Você acabou de ser contratado na empresa A e o antigo administrador não está mais lá. Os pedidos começam a aparecer para adicionar usuários ao grupo restrito de internet. Quando você olha para os grupos, nenhum dos nomes faz sentido e não há documentação para explicar o que cada grupo tem direitos e o que faz. Isso levantaria preocupação para mim. Por segurança, como você sabe se todos têm os direitos corretos?
Como você descobriria o que os grupos têm direitos? Existe uma ferramenta por aí que encontrará essa informação para você?
Você não faz. Há tantas coisas que você basicamente não pode fazer isso a menos que já conheça todo o ambiente. Veja: Como posso verificar o acesso de um grupo / usuário no AD antes de apagá-lo?
Veja a resposta de Ben Pilbrow para uma lista parcial das coisas às quais uma entidade na AD pode receber direitos. Se você conhece todos os aplicativos em seu ambiente que podem ter uma entidade do AD para obter uma ACL atribuída a ela, poderá consultar cada um deles para cada ACL.
A ferramenta sysinternals, AccessEnum, pode ajudá-lo. Ele fornece as permissões Ler, Gravar e Negar para cada diretório em um caminho específico. É uma ferramenta muito útil, mas você deve notar que sua saída também é muito detalhada.
Existe também o accesschk. Você pode usá-lo para exibir informações de acesso específicas de um usuário específico em um diretório específico e seus arquivos.
O Active Directory é um provedor de serviços de autenticação e diretório. Ele contém apenas permissões que pertencem ao próprio diretório ativo (por exemplo, você pode acessar os membros desse grupo, modificar esse usuário, etc.). Usando apenas o diretório ativo, é impossível determinar para que um grupo ou usuário é realmente usado. Você está certo em se preocupar com o aspecto da segurança. Agora você está em uma situação onde você pode ser socialmente projetado para dar a alguém acesso a algo que não deveria ter. Nessa situação, provavelmente começaria executando algum tipo de auditoria, seja o Windows nativo ou uma ferramenta como o gerenciador de acesso a missões , para começar a adivinhar quem é dono do quê. Depois de passar tempo de qualidade com esses relatórios, você pode começar a reduzir os grupos de remoção (consulte minha resposta aqui para uma metodologia sugerida. Ao fazer isso, salve-se algumas dores de cabeça futuras por: