Como posso verificar o acesso de um grupo / usuário no AD antes de excluí-lo?

Navegue suas respostas
3

Estou limpando um domínio herdado que não está bem documentado. Como posso verificar se um determinado grupo ou usuário não possui ACEs no AD?

Coisas como a pesquisa de DACL / SACL para objetos do AD e objetos do servidor de arquivos. Os administradores fazem mesmo esse tipo de diligência?

[Editar] Ainda não posso adicionar comentários, mas quero agradecer Ben e Jim por suas respostas. Leva muito tempo para preparar respostas tão ponderadas, então eu respeito sua generosidade e disposição para compartilhar suas experiências.

Obrigado pela lista de lugares para verificar as permissões baseadas em AD - muito útil.

Apreciei as sugestões para reter grupos vazios para repovoamento se o acesso for inadvertidamente removido. Eu já escrevi algum código c # para enumerar a participação no grupo, então eu tenho esse backup. (Eu acho mais fácil trabalhar com que o PowerShell.) Eu também uso as ferramentas sysinternals como ShareEnum.

Os campos Notas / Descrição - o que são? Sério, eu sei o que são, mas meus predecessores não os usaram. Nem eles usaram grupos aninhados.

    
por zen 02.06.2011 / 00:15

2 respostas

6

Isso é difícil. Muito difícil. Você poderia fazer algo como escrever um script para iterar sobre um sistema de arquivos e avaliar as permissões, mas seria um pouco complicado - você teria que executá-lo em cada servidor e isso pode levar muito tempo dependendo de quantos arquivos estão no servidor.

Olhe para os membros do grupo. Eles são principalmente um grupo de pessoas de um departamento? Isso pode apontar você na direção certa, e se você tiver um nome de grupo enigmático (por exemplo, HSGD Super Users onde HSGD é um aplicativo LOB departamental), você pode perguntar se isso significa alguma coisa para eles.

Verifique o campo Notas do grupo para ver se ele contém alguma coisa útil ( dica : esse campo é MUITO útil e eu recomendo que você o use daqui para frente).

Para que isso seja uma verificação completa, você terá que verificar outras coisas além das permissões do sistema de arquivos. Qualquer coisa que seja capaz de usar as permissões do Windows precisará ser verificada e, infelizmente, posso garantir que você esquecerá algo (todos sempre esquecem dos dispositivos de hardware). No topo da minha cabeça, porém:

  • Permissões do sistema de arquivos
  • SQL Server
  • Microsoft Exchange
  • Seu software antivírus (principalmente o console de gerenciamento do servidor, se aplicável)
  • Tarefas agendadas
  • Serviços do Windows
  • Permissões delegadas do Active Directory
  • Permissões concedidas em estações de trabalho individuais para um usuário / grupo específico do AD
  • Contas de logon do software de backup
  • Dispositivos de hardware (autentica usando uma conta do AD)
  • Máquinas / serviços Linux (da mesma forma, um serviço em execução pode usar LDAP e autenticar com uma conta dedicada)
  • Qualquer e todos os aplicativos LOB que você usa

Também devo chamar algo muito importante, que é você não deve esquecer as associações de grupos indiretos de usuários de grupos aninhados . Acredite, isso é um verdadeiro kicker - já fiz isso antes.

Finalmente, eu estava sendo um pouco irreverente quando disse isso em um comentário à sua pergunta, então faça o que você quiser com este pequeno conselho. Se você tem um grupo que deseja excluir, anote os membros do grupo e simplesmente retire-os do grupo. É importante que você não exclua imediatamente o grupo, pois se esse grupo tiver permissões concedidas em todo o lugar e causar sérios problemas, será necessário corrigi-lo rapidamente adicionando todos. Se você excluir o grupo, primeiro precisará descobrir onde as permissões são concedidas (que você não conhece) e aplicam exatamente as mesmas permissões de antes, que podem não ser permissões padrão (novamente, que você não conhece).

    
por 02.06.2011 / 01:45
4

Ben tem uma boa lista de coisas que podem ir Muito Erradas (tm). Portanto, não, em geral, os administradores não fazem a devida diligência antes de excluir os arquivos. Normalmente, ao assumir um novo ambiente, passei um tempo de qualidade documentando quais grupos os usuários e outros administradores conhecem (adicionando notas e descrições ao AD para cada grupo) e desenvolvendo um plano para começar a atacar grupos que aparentemente não são usados (grupos vazios, grupos que apenas usuários deficientes contian etc). Depois disso, começo a atacar grupos que começam com grupos que contêm apenas usuários. Uma forma prática de fazer isso é NÃO excluir o grupo, mas apenas excluir os membros depois de copiar a associação para um novo grupo (que eu chamarei de OLD_grouptogetdeleted). O script de associação do grupo de cópias da base está no centro de script do technet. Eu não me incomodei em convertê-lo para o powershell ainda. Ele pode ser facilmente modificado para remover os membros da fonte (ou colocar uma nota dizendo DELETE ME em NOVEMBER (se você assim o desejar). Depois disso eu espero cerca de 6 meses para começar a gritar e se isso não acontecer - eu excluir o grupo vazio (ou você pode agendar uma tarefa para verificar os grupos que correspondem ao mês atual no campo de descrição, ou excluir aqueles com nenhuma descrição ...

Em poucas palavras, muito parecido com o médico que cutuca o nariz quebrado, assiste você gritar, em seguida, pergunta se dói, às vezes você tem que cutucar os usuários para levá-los a dizer-lhe se dói.

    
por 02.06.2011 / 05:32

Tags

Onde o Varnish costuma ir em uma pilha web do Rails? como copiar & gzip arquivos individualmente por ssh