doskias
Goto Top

In welcher Freigabe wird eine AD-Gruppe genutzt?

Hallo zusammen,

wir sind heute über eine Berechtigungsgruppe gestoßen, die (wir vermuten) irgendwo auf dem File-Server als Freigabe genutzt werden könnte. Gibt es eine Möglichkeit zu ermitteln, wo diese Gruppe in den Berechtigungen eingetragen ist?

Ich habe das ganze jetzt mit PowerShell realisiert, aber vielleicht geht es ja noch einfacher:

Das Skript sieht so aus:
$verzeichnis=Get-ChildItem -path [Freigabe-Ordner auf dem Server] -Directory -Recurse
foreach ($ordner in $verzeichnis)
{
$Zugriff=get-acl $ordner.FullName | ForEach-Object { $_.access }
if ($Zugriff.IdentityReference -like "*[AD-Gruppe]*") {$ordner.FullName}  
}

Ergebnis: Wenn die entspreche AD-Gruppe auf dem Ordner berechtigt ist, wird der Ordnerpfad ausgegeben. Ist das der richtige Weg oder geht es einfacher?

Gruß
Doskias

Content-ID: 4344958577

Url: https://administrator.de/contentid/4344958577

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

emeriks
Lösung emeriks 20.10.2022 um 14:48:33 Uhr
Goto Top
Hi,
nö, das Prinzip ist schon richtig. Womit auch immer Du das abfragst: Du wirst jede einzelne in Frage kommende Ressource abfragen und deren ACL auswerten müssen.

Laufwerke
Ordner
Dateien
Freigaben
Drucker
Datenbanken
...

E.
SlainteMhath
Lösung SlainteMhath 20.10.2022 um 14:48:39 Uhr
Goto Top
Moin,

nein, das geht leider nicht einfacher.

lg,
Slainte
Crusher79
Lösung Crusher79 20.10.2022 um 14:52:30 Uhr
Goto Top
Sieht doch gut aus.

Ohne Gewähr:

https://helgeklein.com/setacl-studio/

Als GUI fällt mir immer noch das ein. Aber ka ob man auch Suchen kann...

Dein 4 Zeiler ist doch kurz und knackig.
emeriks
emeriks 20.10.2022 um 14:53:24 Uhr
Goto Top
Du könntest vielleicht auch mit z.B. icacls eine Ausgabedatei für ein gesamtes Laufwerk incl. Unterordner und Dateien erstellen lassen und dann darin suchen.

Oder damit nach der SID dieser Gruppe suchen

ICACLS name /findsid Sid [/T] [/C] [/L] [/Q]
Findet alle übereinstimmenden Namen, die eine ACL enthalten,
in der die SID explizit erwähnt wird.
Doskias
Doskias 20.10.2022 um 15:00:01 Uhr
Goto Top
Zitat von @emeriks:
Hi,
nö, das Prinzip ist schon richtig. Womit auch immer Du das abfragst: Du wirst jede einzelne in Frage kommende Ressource abfragen und deren ACL auswerten müssen.
Nee zum Glück nicht. Wir haben zum Glück eine gute Namensstruktur bei den Freigaben.
Laufwerke
Ordner
Die Freigabegruppen haben immer den Laufwerk im Namen und jede Freigabe hat seine eigenen zwei Berechtigungsgruppen. Einmal -W und einmal -R.
Dateien
Freigaben auf einzelne Dateien gibt es nicht bzw. soll es nicht geben.
Freigaben
Siehe oben bei Ordner/Dateien. Unsere Freigaben sind für alle User freigegeben, die Netzlaufwerke verbunden bekommen. Ja, das führ teilweise dazu, dass Netzlaufwerke gemappt werden, die dann durch die ABE leer sind. Und?
Drucker
Tragen immer den Druckernamen und Standort in der Gruppe. In das Schema passt die Gruppe vom Namen her nicht.
Datenbanken
haben alle dedizierte Service-Benutzer.

Unterm Strich reicht es bei mir also wirklich aus, wenn ich die Ordnerrechte auslese. Aber im Großen und Ganzen hast du natürlich recht. Ich frage nur Ordnerberechtigungen ab. In anderen Fällen reicht das ggf. nicht aus.

Zitat von @SlainteMhath:
nein, das geht leider nicht einfacher.
Schade und gut zugleich face-smile

Gruß
Doskias