我想知道一个Windows域用户在我的networking中拥有的所有权限。 有没有办法通过检查我的networking中的所有服务器和计算机来提取这种信息的脚本文件或工具? 我使用的是Windows Server 2008 R2,Windows XP,Windows 7的Microsoftnetworking。
报告应该包括这些信息:
所以报告可能是这样的:
USER_A在DOMAIN.COM中的权限
我build议你看一下Sysinternals工具 (现在是Microsoft的一部分),特别是AccessChk和AccessEnum。 我自己并没有用过,但是它们听起来适合你的需求。
除了显而易见的情况 – 在1000+服务器域中,这个代价非常昂贵 – 您需要脚本来检索AD中的所有计算机,然后使用pipe理员帐户进行迭代,该帐户有权查看所有文件系统的所有权限对象。
这是疯了。
我相信有没有免费的工具…我知道一个商业工具是来自Quest的Access Manager。 http://www.quest.com/access-manager/
这是他们所宣称的
数据智能 – 分析谁正在访问和使用数据,以及经常帮助确定用于归档和删除未使用数据的数据保留策略。
访问洞察 – 为企业主生成智能报告,以清楚地显示谁在控制和访问数据,所有者是谁,或build议潜在所有者协助启动certificatestream程以确保合规性。
数据控制 – 安全访问数据,文件和共享,以便敏感信息只能被有业务需求的人访问。
合规问责制 – 将所有数据的所有权分配给适当的企业主,进行问责和合规报告。
访问活动 – 识别和监控关键数据以跟踪所有访问,包括详细信息,如谁访问数据以及何时访问,并以日志forms保留详细信息。
正如@adaptr所说,这可能是非常昂贵的,如果不是不可能的话。 除非…你必须做出一个组织承诺永远不要把用户名直接放入ACL中。 为一切使用组。 如果你这样做,那么你只需要列出一个人所属的小组的列表以及这些小组授予的访问权限。
在我们的环境中,我们有三个分组Share_Read,Share_Write和Share_Admin。 我们绝不会将个人帐户添加到除Home分享之外的份额。
许可分析器将有所帮助,但它是一个商业产品。
没有什么神奇的工具可以扫描一切。 因为扫描所有资源IT可以远远超过文件共享:
最佳做法是避免基于用户帐户的直接访问(如其他人所说的),并将请求作为票据(通过票务工具)进行pipe理,以便跟踪潜在真实系统matrix的请求。