In welcher Freigabe wird eine AD-Gruppe genutzt?

Hallo zusammen,

wir sind heute über eine Berechtigungsgruppe gestoßen, die (wir vermuten) irgendwo auf dem File-Server als Freigabe genutzt werden könnte. Gibt es eine Möglichkeit zu ermitteln, wo diese Gruppe in den Berechtigungen eingetragen ist?

Ich habe das ganze jetzt mit PowerShell realisiert, aber vielleicht geht es ja noch einfacher:

Das Skript sieht so aus:

$verzeichnis=Get-ChildItem -path [Freigabe-Ordner auf dem Server] -Directory -Recurse
foreach ($ordner in $verzeichnis)
{
$Zugriff=get-acl $ordner.FullName | ForEach-Object { $_.access }
if ($Zugriff.IdentityReference -like "*[AD-Gruppe]*") {$ordner.FullName}  
}

Ergebnis: Wenn die entspreche AD-Gruppe auf dem Ordner berechtigt ist, wird der Ordnerpfad ausgegeben. Ist das der richtige Weg oder geht es einfacher?

Gruß
Doskias

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 4344958577

Url: https://administrator.de/contentid/4344958577

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

5 Kommentare

Neuester Kommentar

Hi,
nö, das Prinzip ist schon richtig. Womit auch immer Du das abfragst: Du wirst jede einzelne in Frage kommende Ressource abfragen und deren ACL auswerten müssen.

Laufwerke
Ordner
Dateien
Freigaben
Drucker
Datenbanken
...

E.

Moin,

nein, das geht leider nicht einfacher.

lg,
Slainte

Sieht doch gut aus.

Ohne Gewähr:

https://helgeklein.com/setacl-studio/

Als GUI fällt mir immer noch das ein. Aber ka ob man auch Suchen kann...

Dein 4 Zeiler ist doch kurz und knackig.

Du könntest vielleicht auch mit z.B. icacls eine Ausgabedatei für ein gesamtes Laufwerk incl. Unterordner und Dateien erstellen lassen und dann darin suchen.

Oder damit nach der SID dieser Gruppe suchen

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
Findet alle übereinstimmenden Namen, die eine ACL enthalten,
in der die SID explizit erwähnt wird.

Zitat von @emeriks:
Hi,
nö, das Prinzip ist schon richtig. Womit auch immer Du das abfragst: Du wirst jede einzelne in Frage kommende Ressource abfragen und deren ACL auswerten müssen.

Nee zum Glück nicht. Wir haben zum Glück eine gute Namensstruktur bei den Freigaben.

Laufwerke
Ordner

Die Freigabegruppen haben immer den Laufwerk im Namen und jede Freigabe hat seine eigenen zwei Berechtigungsgruppen. Einmal -W und einmal -R.

Dateien

Freigaben auf einzelne Dateien gibt es nicht bzw. soll es nicht geben.

Freigaben

Siehe oben bei Ordner/Dateien. Unsere Freigaben sind für alle User freigegeben, die Netzlaufwerke verbunden bekommen. Ja, das führ teilweise dazu, dass Netzlaufwerke gemappt werden, die dann durch die ABE leer sind. Und?

Drucker

Tragen immer den Druckernamen und Standort in der Gruppe. In das Schema passt die Gruppe vom Namen her nicht.

Datenbanken

haben alle dedizierte Service-Benutzer.

Unterm Strich reicht es bei mir also wirklich aus, wenn ich die Ordnerrechte auslese. Aber im Großen und Ganzen hast du natürlich recht. Ich frage nur Ordnerberechtigungen ab. In anderen Fällen reicht das ggf. nicht aus.

Zitat von @SlainteMhath:
nein, das geht leider nicht einfacher.

Schade und gut zugleich