What I'd like if anyone knows is a way to extract the info as text: members of groups
dsquery -name GroupName | dsget group -members [-expand]
Isso irá procurar um nome de grupo (você pode usar curingas se quiser), e então canalizá-lo para extrair uma lista dos membros - que podem incluir grupos, então você pode expandir opcionalmente até apenas nomes de usuário.
The next thing will be to get a tool that shows me for a group, what files and folders it is applied to.
Não há nada que consiga isso para você, indo nessa direção. O que armazena grupos (AD) não não sabe para o que eles têm permissões. As permissões são mantidas em metadados do próprio item. Esse item pode ser outro objeto no AD, ou um arquivo no seu servidor de arquivos, ou uma parte do Registro em um servidor, ou um objeto do SharePoint, ou uma entidade SQL ... Você precisa consultar o objeto, para ver quais grupos ou os usuários têm permissões.
Portanto, para obter as ACLs em uma determinada pasta ou arquivo NTFS, você pode usar xcacls.vbs ou similar. Mas andar em um diretório grande pode ser tedioso para rever, então tenha isso em mente ao tentar este exercício.