powershell - powershell を使用したユーザー アカウントの「有効なアクセス許可」

Question

AD ユーザーのアクセス許可を比較する必要があります (あるユーザーは属性を「設定解除」でき、別のユーザーはできません。どちらも変更できます)。

user account > Security > Advanced > Effective Permissionspowershell を使用してアクセスした (およびユーザー アカウントを選択した)ときに見つけたユーザー アカウントの「有効なアクセス許可」をダンプ/比較するにはどうすればよいですか?

Answer 1

Quest Free PowerShell Commands for Active Directory の使用は簡単です:

Get-QadPermission useraccountname -Inherited 

またはより良い方法:

Get-QADUser -Name useraccountname -SecurityMask DACL | Get-QADPermission -Inherited -SchemaDefault

これにより、ユーザー 'useraccountname' に割り当てられたすべての有効な権限が継承または明示的に返されます

で比較できますcompare-object。非常に簡単な例:

compare-object (Get-QADPermission userA -Inherited | select Rights) (Get-QADPermission userB -Inherited | select rights)

Answer 2

私たちはかつて同様の状況にあり、誰がメインOUの1つを削除できるかを知る必要があったので、おそらくOUにACLをダンプして、オブジェクトの削除権限を持つすべての人を探す必要があると考えました。もちろん、dsaclsはこの点で非常に役立ち、ACLを簡単にダンプできました。

しかし、ACLを調べ始めたところ、ACLには約60の許可エントリがあり、その中には約5ダースの拒否エントリがあり、その一部は直接で、その他は継承されていました。最初は拒否を考慮せず、OUを削除できる約200人のユーザーのリストを作成しましたが、それは正しくないようでした（;高すぎるように見えました）。その後、拒否を交差させる必要があることに気付きました。許可します！

したがって、すべての拒否権限とすべての許可権限をフラット化しましたが、一部は継承されたため、これらの拒否のどれが適用されるかを把握する必要がありました。継承されたものは直接の許可を否定しないと思います。さらに骨の折れる作業を行いましたが、それを実行しているときに、継承されたアクセス許可の一部がオブジェクトに適用されないことに気付きました。そのため、最初からやり直す必要がありました。

最後に、私たちはほとんど諦めました。エンタープライズ管理者の1人に尋ねたところ、彼はOUの有効なアクセス許可を決定する必要があると言い、ActiveDirectoryユーザーとコンピュータースナップの[有効なアクセス許可]タブを示しました。の。

そこで、ADUCを起動して[有効なアクセス許可]タブに移動し、どこかで[OK]をクリックするだけでよいと考えました。しかし、すぐに一人一人の名前を個別に入力する必要があることに気づきました。現在、私たちの環境には約2000人の人がいるため、2000人の名前を1つずつ入力する方法はありませんでした。もう1つは、1人の場合でも、その人に対するすべての有効な許可が表示され、技術的にはさらに改良する必要があるということです。

次に、Powershellを試してみることにし、Powerhsellを使用してこれを行うための多くのオプションを検討しましたが、Powershellを使用してADで有効なアクセス許可を決定するのは簡単ではなく、残念でした。特に、Questの無料のPowerShellコマンドであるGet-QadPermissionuseraccountnameとGet-QADUser -Name useraccountnameを試しましたが、特定のユーザーに指定されたすべてのアクセス許可のリストしか取得されなかったのでがっかりしました。ユーザーに付与された有効なアクセス許可は明らかになりませんでした。戻ってきた結果から始めて、手動で有効な権限を決定する必要があることに気づきましたが、これは時間の価値がありませんでした。

それで、私たちはほとんど希望をあきらめていましたが、辞める前に、私たちのためにこれを行うことができる何かがそこにあるに違いないという希望を持って、 Googleの「 ActiveDirectory有効なアクセス許可ツール」だけだと思いました。必要なことを正確に実行できるツールを見つけたので、私たちがやったことをうれしく思います。OUの有効な権限を把握し、これらの有効な権限をエクスポートする機能を提供します-

http://www.paramountdefenses.com/goldfinger_capabilities_true_effective_permissions_for_active_directory.html

このツール（ADの場合はGold Fingerと呼ばれます）には、Active Directoryオブジェクトの有効なアクセス許可を判別し、特定の権利に対して「有効なアクセス許可」を持っているすべてのユーザーのリストを簡単に確認できるように出力を提供する機能があることがわかりました。オブジェクト。たとえば、これを使用して、関心のあるOUに対して「有効な削除アクセス」権限を持つすべての管理者のリストを特定して列挙することができました。

それは私たちにとって非常に役立つことが判明しました、そして多分それはあなたにも役立つかもしれません。私はdsaclsルートであり、手動でこれを実行しようとしたときと同じ苦痛を経験してほしくないので、これを共有すると思いました。手動で行うにはあまりにも苦痛です。