Jump to content

Script um ACL von AD Configuration Partition auszulesen

blob

Von blob
in Windows Forum — Scripting

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

blob Experienced

blob   10

Geschrieben
Geschrieben

Hallo zusammen,

 

kennt jemand einen Weg, um sich die ACL also die Rechte von der AD Config Partition auszulesen? Scriptsprache erstmal egal, vorzugsweise VBS oder PS. Ich habe ein Script geschrieben um die ACL von Ordnern und Dateien auszulesen, aber wie ich die AD Partitionen auslese... kein Plan :-( Google gibt mir auch nichts brauchbares wieder in Bezug auf "VBS default naming context" oder "VBS configuration naming context".

 

Hintergrund: Ich möchte für Exchange die alten Rechte auf dem entsprechenden Container aufräumen. Damit ich nicht mit ADSIEDIT jeden Ordner durcklicken muss, würde ich mir die Rechte gerne exportieren (CSV, TXT etc.) und reviewen. Dabei muss nichtmal genannt werden, welches Recht vorhanden ist, ich will mit der Suche in z.B. Excel einfach nach verschiedenen Usern/Gruppen suchen, die auf irgendwelchen Objekten mit einem Recht noch auftauchen.

 

Gruß

blob

Link zu diesem Kommentar
blob Experienced

blob   10

Geschrieben
  • Autor
Geschrieben

Super Tool, habe es gerade ausprobiert. Es erleichtert etwas die Arbeit, aber leider noch nicht so wie ich es brauche.

 

Ich kann nun schön alla Explorer in der Config. Partition navigieren, und für meine bestimmten Gruppen die Rechte analysieren. Als Ergebnis erhalte ich jedoch nur eine Hervorhebung der Gruppen in roter Schrift, was ja schonmal erleichternd ist. Aber dennoch muss ich im "tree" sozusagen alle "Ordner" aufklappen und schauen, wo ich nun eine rote Hervorhebung wahrnehme (ich weiß ja nicht wo die Gruppe/User überall vergraben ist, und z.B. explizit auf Unter-Unter-Unter-Unter Objekte Rechte hat). Bei zig tausend Unterordnern (ca. 80 administrative Gruppen) doch noch eine Menge Arbeit :-( Dadurch das ich nichts exportieren kann, muss ich jedesmal den Analyser neu ausführen, wenn ich das Programm schließe.

 

Aber natürlich vielen Dank, die richtige Richtung ist es schon.

 

Noch jemand ne Idee? Wenn ich wüsste ich ich mit VBS /PS zu der Partition verbinden kann und die ACL abrufe, kann ich dort ansetzen und ein Script schreiben.

 

Vielen Dank im Voraus.

 

 

Gruß

blob

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.789

Geschrieben
Geschrieben

Moin,

 

och, dazu kann es schon Gründe geben. Exchange beispielsweise oder der Active Directory Connector, den man früher für Exchange brauchte, haben durchaus die DS-ACLs im Configuration-NC manipuliert.

 

Wenn es tatsächlich eine Auswertung dieser Art sein soll, wird man vermutlich an kommerziellen Tools nicht vorbeikommen. Konkrete Empfehlungen dazu kann ich keine nennen, aber eine Handvoll sollte es geben.

 

Man muss dabei abwägen, ob der Aufwand gerechtfertigt ist. Beispiel: Ein gelöschter oder gesperrter Account oder eine Gruppe ohne Mitglieder stellen als Berechtigte in ACLs praktisch kein relevantes Risiko dar.

 

Gruß, Nils

Link zu diesem Kommentar
blob Experienced

blob   10

Geschrieben
  • Autor
Geschrieben (bearbeitet)

@olc:

ich will nichts ändern, ich will nur kontrollieren (mit einer Suchfunktion), ob bei einem bestimmten Objekte inkl. Unterobjekte bestimmte User/Gruppen noch vorhanden sind, z.B. wenn eine Vererbung mal deaktiviert wurde.

Habe nun was gefunden => dsacls

Quelle: http://blogs.technet.com/b/heyscriptingguy/archive/2012/03/12/use-powershell-to-explore-active-directory-security.aspx

Daraufhin kleines Script gebaut, hier mal der Code (Alpha Version aber klappt):
 

set-location ad:$logfile = "C:\Users\User1\Desktop\log.txt"
$Items = Get-ChildItem -path "AD:\CN=1ORG,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=lala,DC=net" -recurse
foreach ($CItem in $Items)
{
get-item $CItem | ft name,DistinguishedName -AutoSize >>$logfile
(Get-Acl $CItem.DistinguishedName).access | ft identityreference, accesscontroltype -AutoSize >>$logfile
"###################################################" >>$logfile
}  






Danke für die Unterstützung!



Grüße,
blob

bearbeitet von blob
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...