Я надеюсь, что кто-то может помочь...
Я хочу найти способ визуализировать группы безопасности и их участников и иметь возможность показать это пользователям в простом формате для обсуждения. У меня есть простая матрица в Excel, которая делает свое дело — показывает пользователей по группам и группы по папкам. Мне бы хотелось иметь простой способ извлекать данные из AD или Windows Explorer в виде текста.
До сих пор я заходил в проводник Windows, щелкал правой кнопкой мыши по файлу/папке > свойства > безопасность > Изменить (разрешения); затем делал скриншоты страниц групп, которые применены к этой папке.
- Затем я ввожу эти группы в Excel.
- Я делаю то же самое, чтобы привлечь участников групп.
Я бы хотел, если кто-то знает, как извлечь информацию в виде текста: члены групп и группы, примененные к папкам или файлам - либо из AD, либо из Windows Explorer, либо откуда-то еще. Я не эксперт, так что вам, возможно, придется немного упростить.
Следующим шагом будет получение инструмента, который покажет мне для группы, к каким файлам и папкам она применяется. Было бы здорово иметь возможность ВИДЕТЬ всю эту информацию - в настоящее время мы в значительной степени полагаемся на знания определенных сотрудников, поскольку мы просто не можем извлечь информацию, чтобы визуализировать ее.
Нам действительно следует рационализировать и наши группы.
Похожий пост, который я нашел:
решение1
Я бы хотел узнать, если кто-то знает, как извлечь информацию в виде текста: члены групп.
dsquery -name GroupName | dsget group -members [-expand]
Это позволит найти имя группы (при желании можно использовать подстановочные знаки), а затем передать его для извлечения списка участников, который сам по себе может включать группы, поэтому при желании можно расширить список до одних только имен пользователей.
Следующим шагом будет получение инструмента, который покажет мне, к каким файлам и папкам применяется группа.
Нет ничего, что даст вам это, идя в этом направлении. То, что хранит группы (AD) делаетнетзнать, на что у них есть разрешения. Разрешения хранятся в метаданных самого элемента. Этот элемент может быть другим объектом в AD, или файлом на вашем файловом сервере, или частью реестра на сервере, или объектом SharePoint, или сущностью SQL... Вам нужно запросить объект, чтобы узнать, какие группы или пользователи имеют на него разрешения.
Итак, чтобы получить ACL для заданной папки или файла NTFS, вы можете использовать xcacls.vbs или что-то подобное. Но обход большого каталога может быть утомительным для просмотра, так что имейте это в виду, когда попробуете это упражнение.