16
AD Share NTFS Berechtigungen ausgeben lassen
Hallo Leute,
ich würde mir gerne für eine große Anzahl von Shares die NTFS Berechtigungen ausgeben lassen.
Dabei ist zu beachten, dass für die Shares (ca. 3000) meistens komplette Gruppen die Berechtigungen erhalten.
Ziel ist es hier nicht nur die Gruppe(n) mit Ihrer Berechtigung ausgeben zu lassen, sondern die Mitglieder der jeweiligen Gruppe.
Beispiel:
Share 1 -> GruppeAB -> Schreibrechte
In GruppeAB sind BenutzerA und BenutzerB
Share 1 -> GruppeXY -> Leserechte.
In GruppeXY sind BenutzerA und BenutzerB
Am Ende soll
a) eine Datei mit allen Shares und allen jeweils zugehörigen Gruppen bzw. Mitgliedern der Gruppen und deren Berechtigungen als csv oder xml herauskommen
b) eine Datei für jeden Share mit den jeweils zugehörigen Gruppen bzw. Mitgliedern der Gruppen und dessen Berechtigungen als csv oder xml herauskommen
Ist dies irgendwie möglich?
Ich habe auch schon mit nem Skript angefangen. Hier werden mir alle Shares angezeigt, die AD Objekte die darauf Berechtigungen haben und welche das sind.
Jetzt muss ich nur noch aus den angezeigten Gruppen die jeweiligen Mitglieder rausziehen können.
$pfad = "\\def-svr2\e$"
$partition = Get-ChildItem -Path $pfad
$schleife = foreach($obj in $partition){
Get-Acl $obj.FullName
Get-Acl $obj.FullName |
Select-Object -ExpandProperty Access |
Select-Object @{n="Name";e={ $obj.fullname }},
@{n="AD Objekt";e={ $_.identityreference }},
@{n="Berechtigungen";e={ $_.filesystemrights }}
}
$schleife #| Out-File c:\Komplettliste2.txt
Danke für die Hilfe im Voraus
Kilrathi
ich würde mir gerne für eine große Anzahl von Shares die NTFS Berechtigungen ausgeben lassen.
Dabei ist zu beachten, dass für die Shares (ca. 3000) meistens komplette Gruppen die Berechtigungen erhalten.
Ziel ist es hier nicht nur die Gruppe(n) mit Ihrer Berechtigung ausgeben zu lassen, sondern die Mitglieder der jeweiligen Gruppe.
Beispiel:
Share 1 -> GruppeAB -> Schreibrechte
In GruppeAB sind BenutzerA und BenutzerB
Share 1 -> GruppeXY -> Leserechte.
In GruppeXY sind BenutzerA und BenutzerB
Am Ende soll
a) eine Datei mit allen Shares und allen jeweils zugehörigen Gruppen bzw. Mitgliedern der Gruppen und deren Berechtigungen als csv oder xml herauskommen
b) eine Datei für jeden Share mit den jeweils zugehörigen Gruppen bzw. Mitgliedern der Gruppen und dessen Berechtigungen als csv oder xml herauskommen
Ist dies irgendwie möglich?
Ich habe auch schon mit nem Skript angefangen. Hier werden mir alle Shares angezeigt, die AD Objekte die darauf Berechtigungen haben und welche das sind.
Jetzt muss ich nur noch aus den angezeigten Gruppen die jeweiligen Mitglieder rausziehen können.
$pfad = "\\def-svr2\e$"
$partition = Get-ChildItem -Path $pfad
$schleife = foreach($obj in $partition){
Get-Acl $obj.FullName
Get-Acl $obj.FullName |
Select-Object -ExpandProperty Access |
Select-Object @{n="Name";e={ $obj.fullname }},
@{n="AD Objekt";e={ $_.identityreference }},
@{n="Berechtigungen";e={ $_.filesystemrights }}
}
$schleife #| Out-File c:\Komplettliste2.txt
Danke für die Hilfe im Voraus
Kilrathi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 278126
Url: https://administrator.de/contentid/278126
Printed on: April 24, 2024 at 21:04 o'clock
16 Comments
Latest comment
Guckst du hier:
Vergebene Rechte dokumentieren - Gibt es hierfür ein anwenderfreundliches Tool?
Für das Auslesen der Mitglieder einer Gruppe gibt's :
Get-AdGroupMember
Gruß jodel32
Vergebene Rechte dokumentieren - Gibt es hierfür ein anwenderfreundliches Tool?
Für das Auslesen der Mitglieder einer Gruppe gibt's :
Get-AdGroupMember
Gruß jodel32
1
Wow Klasse danke für die schnelle Antwort. Das Skript ist vom Aufbau ähnlich zu meinem Skript... nur viel schöner und schlichter. Und hat dazu noch ne schöne html Seite 
Ein Dank geht an dieser Stelle an den Ersteller
Jetzt muss ich nur irgendwie die Gruppenmitglieder mit dem entsprechenden Befehl auslesen und in die ganze Geschichte einbauen? Hat da jemand ne Idee?
Kann man das überhaupt zusammen in eins basteln? Oder muss ich mir die Gruppenmitglieder erst im Nachgang an die Berechtigungsabfrage anzeigen lassen?
Gruß
Kilrathi
Ein Dank geht an dieser Stelle an den Ersteller
Jetzt muss ich nur irgendwie die Gruppenmitglieder mit dem entsprechenden Befehl auslesen und in die ganze Geschichte einbauen? Hat da jemand ne Idee?
Kann man das überhaupt zusammen in eins basteln? Oder muss ich mir die Gruppenmitglieder erst im Nachgang an die Berechtigungsabfrage anzeigen lassen?
Gruß
Kilrathi
Moin,
Geb doch einfach der Variablen accessrules eine neue Spalte und lese dir mit oben bereits genannten Befehl die Gruppenmitglieder aus, den Gruppennamen bekommst du ja dort mit $_.IdentityReference und feddich ist die Kiste
Gruß grexit
Geb doch einfach der Variablen accessrules eine neue Spalte und lese dir mit oben bereits genannten Befehl die Gruppenmitglieder aus, den Gruppennamen bekommst du ja dort mit $_.IdentityReference und feddich ist die Kiste
Gruß grexit
1
Meinst du in etwa so?
"Member" = Get-ADGroupMember $_.IdentityReference ???
Da kommt ne Fehlermeldung:
Cannot bind parameter 'Identity'. Cannot convert the "BUILTIN\Administrators" value of type "System.Security.Principal.NTAccount" to type "Microsoft.ActiveDirectory.Management.ADGroup".
Egal ob BUILTIN\Administrators oder DEF\NRW (selbst erstellte Gruppe), es kommt die Fehlermeldung.
Also irgendwie scheint er mir die ganzen Accounts nicht als Gruppen anzunehmen?
"Member" = Get-ADGroupMember $_.IdentityReference ???
Da kommt ne Fehlermeldung:
Cannot bind parameter 'Identity'. Cannot convert the "BUILTIN\Administrators" value of type "System.Security.Principal.NTAccount" to type "Microsoft.ActiveDirectory.Management.ADGroup".
Egal ob BUILTIN\Administrators oder DEF\NRW (selbst erstellte Gruppe), es kommt die Fehlermeldung.
Also irgendwie scheint er mir die ganzen Accounts nicht als Gruppen anzunehmen?
Naja du musst schon bestimmte Gruppen ausfiltern, oder eben die Accounts zur SID auflösen:
musst dich halt Schritt für Schritt ran arbeiten, hat ja keiner gesagt das es von selbst geht
# Username to SID
(New-Object System.Security.Principal.NTAccount("DEINUSERNAME")).Translate([System.Security.Principal.SecurityIdentifier]).Value
Das Problem dabei ist, dass es mehrere tausend Gruppen sind... filtern is da nicht. Sind für jeden Share mindestens 2 oder 3 spezifische Gruppen jeweils...
https://social.microsoft.com/Forums/en-US/3df8cca7-db6e-47c3-bf26-888eb9 ...
scheinbar gab es vor 2 Jahren schonmal jemanden, der was vergleichbares basteln wollte.... leider ohne Ergebnis.
Aber das steht auch, dass das Zielskript sehr umständlich sei, da alle Gruppen überprüft werden müssten und je nachdem verschiedene Varianten von Funktionen ablaufen müssen. Ist das richtig oder ist mein Vorhaben doch irgendwie "einfacher" umzusetzen?
https://social.microsoft.com/Forums/en-US/3df8cca7-db6e-47c3-bf26-888eb9 ...
scheinbar gab es vor 2 Jahren schonmal jemanden, der was vergleichbares basteln wollte.... leider ohne Ergebnis.
Aber das steht auch, dass das Zielskript sehr umständlich sei, da alle Gruppen überprüft werden müssten und je nachdem verschiedene Varianten von Funktionen ablaufen müssen. Ist das richtig oder ist mein Vorhaben doch irgendwie "einfacher" umzusetzen?
Du musst nur den Gruppennamen an dem Backslash "splitten" und nur den reinen Gruppennamen verwenden, dann klappt das 
1
Hast Du da vllt. den entsprechenden Befehl bzw. die benötigten Befehle?
Ich weiß was Du meinst, aber z.B. mit -replace(...) wird es ja wohl kaum funktionieren nehme ich an?
Ich weiß was Du meinst, aber z.B. mit -replace(...) wird es ja wohl kaum funktionieren nehme ich an?
Hast Du da vllt. den entsprechenden Befehl bzw. die benötigten Befehle?
Ich weiß was Du meinst, aber z.B. mit -replace(...) wird es ja wohl kaum funktionieren nehme ich an?
doch das geht auch ,Ich weiß was Du meinst, aber z.B. mit -replace(...) wird es ja wohl kaum funktionieren nehme ich an?
Variante 1
$_.IdentityReference.toString() -replace '.*?\\(.*)','$1' $_.IdentityReference.toString().split('\')[1] ($_.IdentityReference.toString() -Split '\\')[1] Du hast die freie Wahl
Ich habe:
"Member" = Get-ADGroupMember $_.IdentityReference.split('\')[1]
und bekomme als Fehlermeldung:
Method invocation failed because [System.Security.Principal.NTAccount] does not contain a method named 'split'.
Wenn ich die Variante mit Replace nehme, bekomme ich den gleichen Fehler wie bisher
"Member" = Get-ADGroupMember $_.IdentityReference.split('\')[1]
und bekomme als Fehlermeldung:
Method invocation failed because [System.Security.Principal.NTAccount] does not contain a method named 'split'.
Wenn ich die Variante mit Replace nehme, bekomme ich den gleichen Fehler wie bisher
Dann musst du jeweils noch ein toString() dazwischen setzen um das Objekt in einen String umzuwandeln
Bin leider im Moment auf dem Smartphone, ist oben alles korrigiert, sorry.
$_.IdentityReference.toString().split('\')[1]
Wow Klasse das klappt!!!
Wenn du mir jetzt noch sagst, wie ich es hinbekomme, dass mehrere Gruppenmitglieder in z.B. ner CSV Datei angezeigt werden, dann bist du mein Held der Woche
Aktuell kommt bei mehreren Mitgliedern: System.Object .... verständlicherweise
Wenn du mir jetzt noch sagst, wie ich es hinbekomme, dass mehrere Gruppenmitglieder in z.B. ner CSV Datei angezeigt werden, dann bist du mein Held der Woche
Aktuell kommt bei mehreren Mitgliedern: System.Object .... verständlicherweise
Noch zur Info:
Enthalten deine Gruppen noch weitere verschachtelten Gruppen, kannst du diese alle mit dem Parameter -recursive auf einen Schlag auflösen lassen :
https://technet.microsoft.com/en-us/library/ee617193.aspx
Enthalten deine Gruppen noch weitere verschachtelten Gruppen, kannst du diese alle mit dem Parameter -recursive auf einen Schlag auflösen lassen :
https://technet.microsoft.com/en-us/library/ee617193.aspx
export-csv lautet das Stichwort
ja die csv Datei lass ich mir ja bereits ausgeben. Aber in der Spalte mit den Members steht dann (falls es mehrere Members sind) System.Object ... das meinte ich damit
Du musst die Spalte mit select -Expand erst expandieren bevor du sie ausgeben kannst...
Mann das sind doch Powershell Grundlagen ...
Das hier macht das gewünschte
Mann das sind doch Powershell Grundlagen ...
Das hier macht das gewünschte
Get-AdGroupMember $_.IdentityReference.toString().split('\')[1] -recursive | select SamAccountName | export-csv 'C:\datei.csv' -NoType -Delimiter ";" -Encoding UTF8 
