Eu sugiro que você veja as ferramentas da Sysinternals (agora parte da Microsoft) em particular AccessChk e AccessEnum . Eu não os usei, mas eles soam apropriados às suas necessidades.
Gostaria de saber todas as permissões que um usuário do domínio do Windows tem na minha rede. Existe uma maneira, com um arquivo de script ou uma ferramenta, que pode extrair esse tipo de informação, verificando todos os servidores e computadores na minha rede ? Estou em uma rede da Microsoft com o Windows Server 2008 R2, o Windows XP, o Windows 7.
O relatório deve incluir esse tipo de informação:
para que o relatório seja algo assim:
Permissões para USER_A em DOMAIN.COM
Eu sugiro que você veja as ferramentas da Sysinternals (agora parte da Microsoft) em particular AccessChk e AccessEnum . Eu não os usei, mas eles soam apropriados às suas necessidades.
É insano.
Eu acredito que não há ferramentas gratuitas para isso ... uma ferramenta comercial que conheço é o Access Manager da Quest. link
isto é o que eles reivindicam
Data Intelligence - analise quem está acessando e usando dados e com que frequência ajudar a determinar as políticas de retenção de dados para arquivamento e exclusão de dados não utilizados.
Access Insight - Produza relatórios inteligentes para os proprietários de empresas para mostrar claramente quem está controlando e acessando os dados, quem é o proprietário ou sugerir possíveis proprietários para ajudar a iniciar um processo de atestado de conformidade. / p>
Controle de dados - Acesso seguro a dados, arquivos e compartilhamentos para que informações confidenciais sejam acessadas apenas por pessoas com necessidades comerciais.
Responsabilidade de conformidade - Atribuir a propriedade de todos os dados aos proprietários de empresas apropriados para fins de prestação de contas e relatórios de conformidade.
Acesse a Atividade - Identifique e monitore os principais dados para rastrear todo o acesso, incluindo detalhes como quem acessou os dados e quando, e reter os detalhes no formulário de registro.
Como o @adaptr diz que isso pode ser muito caro, se não impossível. A menos que ... Você tenha que fazer um compromisso organizacional para NUNCA colocar um UserID diretamente em uma ACL. Use grupos para tudo. Se você fizer isso, simplesmente faça uma lista dos grupos dos quais uma pessoa é membro e a que esses grupos concedem acesso.
Em nosso ambiente, temos três grupos para cada compartilhamento Share_Read, Share_Write e Share_Admin. Nunca adicionamos uma conta individual a um compartilhamento, EXCETO o compartilhamento de sua Página inicial.
Permission Analyzer ajudaria, mas é um produto comercial.
Não existe uma ferramenta mágica que analise tudo. Porque a digitalização de todos os recursos de TI pode ir muito além do compartilhamento de arquivos:
A melhor prática é evitar o acesso direto com base na conta do usuário (como dito por outros) e gerenciar a solicitação como tickets (por meio de uma ferramenta de emissão de tickets) para que você possa rastrear a solicitação de mergulhar na matriz real do sistema.