So erhalten Sie einen Bericht über die Berechtigungen einer Active Directory OU
Netwrix Auditor for Active Directory
- Starten Sie Netwrix Auditor → Navigieren Sie zu "Berichte" → Erweitern Sie den Abschnitt "Active Directory" → Gehen Sie zu "Active Directory - Zustand zu einem Zeitpunkt" → Wählen Sie "Objektberechtigungen in Active Directory" → Klicken Sie auf "Anzeigen".
- Geben Sie die Werte für die unten stehenden Filter ein und klicken Sie auf „Bericht anzeigen“:
- Objekt-UNC-Pfad
- Gewährte Mittel
- Berechtigungen
- Um den Bericht zu speichern, klicken Sie auf die Schaltfläche „Exportieren“ → Wählen Sie ein Format aus dem Dropdown-Menü → Klicken Sie auf „Speichern“.
Erfahren Sie mehr über Netwrix Auditor for Active Directory
Native Auditing
- Öffnen Sie die Powershell ISE → Erstellen Sie ein neues Skript mit dem folgenden Code, geben Sie den Benutzernamen und den Pfad für den Export an und führen Sie es aus:
$schemaIDGUID = @{}
#ignore duplicate errors if any#
$ErrorActionPreference = 'SilentlyContinue'
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties
name, schemaIDGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}
Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter
'(objectClass=controlAccessRight)' -Properties name, rightsGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}
$ErrorActionPreference = 'Continue'
# Get OU.
$OUs = Get-ADOrganizationalUnit -Filter 'Name -like "Production"'| Select-Object -ExpandProperty
DistinguishedName
# retrieve OU permissions.
# Add report columns to contain the OU path and string names of the ObjectTypes.
ForEach ($OU in $OUs) {
$report += Get-Acl -Path "AD:\$OU" |
Select-Object -ExpandProperty Access |
Select-Object @{name='organizationalUnit';expression={$OU}}, `
@{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000- 0000-0000-
000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `
@{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `
*
}
# Export report out to a CSV file for analysis in Excel.
$report | Export-Csv -Path "C:\data\OU_Permissions.csv" -NoTypeInformation
- Öffnen Sie die vom Skript erstellte Datei in MS Excel.
Beispielbericht:
Erhalten Sie eine Active Directory-Berechtigungsliste für eine spezifische OU, um übermäßige Zugriffsrechte zu widerrufen und Missbrauch von Privilegien zu verhindern
Die strikte Durchsetzung des Prinzips der minimalen Rechtevergabe ist für eine starke Sicherheit unerlässlich. Durch die Überprüfung eines umfassenden Active Directory-Berechtigungsberichts können Sie feststellen, wer Zugriff auf was im Domain hat, sehen, wie Benutzerberechtigungen delegiert wurden (Berechtigungen wurden direkt oder über Gruppenmitgliedschaft vergeben) und analysieren, ob die Zugriffsrechte jedes Benutzers mit ihren Verantwortlichkeiten übereinstimmen oder nicht mehr benötigt werden. Diese Informationen ermöglichen es Ihnen, das Modell der minimalen Rechtevergabe durchzusetzen und das Risiko des Missbrauchs von Privilegien zu minimieren.
Um Berechtigungen in einer Active Directory-Gruppe oder OU im Auge zu behalten, können Sie native Tools wie PowerShell verwenden. Wenn Sie jedoch nicht Ihre ganze Zeit mit dem Schreiben von Skripten und dem Durchforsten von kryptischen Daten verbringen möchten, probieren Sie Netwrix Auditor for Active Directory aus. Es bietet leicht verständliche Berichte über explizite und geerbte Berechtigungen für Active Directory-Objekte, einschließlich Domänen, Benutzergruppen, Organisationseinheiten und mehr. Darüber hinaus liefert die Lösung sicherheitsrelevante Informationen mit Details über Änderungen, Zugriffe und Konfigurationen, sodass Sie ungewöhnliches Verhalten erkennen, Bedrohungen untersuchen und das Risiko des Missbrauchs von Privilegien minimieren können.
Teilen auf