Fileberechtigungen von Gruppen auswerten

[Kuddel071089 9]

Hallo zusammen,

 

gibt es eine Möglichkeit die Rechte von Gruppen auszuwerten?

 

Wir haben unsere Umgebung von Novell nach Microsoft migriert und haben da ein paar Unstimmigkeiten gefunden.

 

 

Jetzt würde wir gern wissen, auf welche Verzeichnisse z.B. die Gruppe Personal-PV berechtigungen hat?

 

Ist so etwas möglich? Untern Novell ging das immer recht einfach.

 

 

Danke schon einmal für die Hilfe

 

[Sunny61 833]

SetACL von Helge Klein ist das Tool der Wahl: https://helgeklein.com/setacl-studio/

[daabm 1.431]

Und um die Antwort von Sunny noch zu ergänzen: Verzeichnisrechte heißen vollständig DACL - "discretionary access control list". Die Rechte sind also nicht "zentral" gespeichert, sondern hängen an der jeweiligen Ressource. Da bleibt nix anderes übrig als alle relevanten Ressourcen zu scannen... setacl kann das zwar, aber dem mußt Du sagen, wo es gucken soll. Gibt auch fertige Lösungen, aber die kosten dann. Darf es was kosten?

[Alina85 0]

Hi ...

 

Ist so etwas möglich? Untern Novell ging das immer recht einfach.

 

Natürlich ist das möglich, aber "einfach" ist immer ein wenig relativ. Ich würde übungshalber die Powershell bemühen. Da sie einem ohnehin alle Nase lang aufgenötigt wird kommt man an dem Ding auf Dauer eh nicht vorbei.

 

Probier doch - in einer mit Admin Rechten gestarteten Powershell - mal eben diesen da:

 

get-childitem c:\ -recurse | get-acl

 

das wäre doch mal eine gute Ausgangsbasis. Zwei kleine Änderungen: wir wollen vermutlich den kompletten Dateipfad sehen, und filtern nach einer bestimmten Gruppe. Leider beginne ich auch erst mit der Powershell zu arbeiten, aber ich möchte Dir ja auch nicht die Spannung wegnehmen :-)

 

Alina

[Kuddel071089 9]

 

Hi ...

 

Ist so etwas möglich? Untern Novell ging das immer recht einfach.

 

Natürlich ist das möglich, aber "einfach" ist immer ein wenig relativ. Ich würde übungshalber die Powershell bemühen. Da sie einem ohnehin alle Nase lang aufgenötigt wird kommt man an dem Ding auf Dauer eh nicht vorbei.

 

Probier doch - in einer mit Admin Rechten gestarteten Powershell - mal eben diesen da:

 

get-childitem c:\ -recurse | get-acl

 

das wäre doch mal eine gute Ausgangsbasis. Zwei kleine Änderungen: wir wollen vermutlich den kompletten Dateipfad sehen, und filtern nach einer bestimmten Gruppe. Leider beginne ich auch erst mit der Powershell zu arbeiten, aber ich möchte Dir ja auch nicht die Spannung wegnehmen :-)

 

Alina

 

 

Bisschen weiter bin ich schon

 

 

get-acl C:\Data | select Path -Expand Access | format-list Path,IdentityReference,FileSystemRights

 

Ergebnis:

 

 

Path              : Microsoft.PowerShell.Core\FileSystem::C:\Data
IdentityReference : TEST-AD\Data-R
FileSystemRights  : ReadAndExecute, Synchronize

Path              : Microsoft.PowerShell.Core\FileSystem::C:\Data
IdentityReference : TEST-AD\Data-RW
FileSystemRights  : DeleteSubdirectoriesAndFiles, Write, ReadAndExecute, Synchronize

Path              : Microsoft.PowerShell.Core\FileSystem::C:\Data
IdentityReference : NT-AUTORITÄT\SYSTEM
FileSystemRights  : FullControl

Path              : Microsoft.PowerShell.Core\FileSystem::C:\Data
IdentityReference : VORDEFINIERT\Administratoren
FileSystemRights  : FullControl

 

Die ersten beiden Ausgabe sind genau das, was ich suche,

 

Das jetzt noch ein bisschen filtern und evtl in ne csv exportieren, das wäre top

[daabm 1.431]

Das läßt sich bestimmt in export-csv pipen :)

[MurdocX 1.004]

Probier mal das ;-)

 

Das Wort "Setup" durch deine Gruppe ersetzen und "D:\" durch den Netz oder Laufwerkspfad und los gehts...

$Berechtigungen = Get-ChildItem -Path 'D:\' -Recurse -ErrorAction SilentlyContinue | Get-Acl

Foreach ($obj in $Berechtigungen){

    if (($obj.Access).Identityreference -like '*Setup*')
    {
        Out-File -FilePath 'D:\Out.log' -InputObject $obj.PSPath
    }

}