Come ottenere un report dei permessi OU di Active Directory
Netwrix Auditor for Active Directory
- Esegui Netwrix Auditor → Vai alla sezione "Reports" → Espandi la sezione "Active Directory" → Vai a "Active Directory - State-in-Time" → Seleziona "Object Permissions in Active Directory" → Clicca su "View".
- Specificare i valori per i filtri qui sotto e fare clic su "Visualizza Report":
- Percorso UNC dell'oggetto
- Mezzi Concessi
- Permessi
- Per salvare il rapporto, clicca sul pulsante "Esporta" → Scegli un formato dal menu a tendina → Clicca "Salva".
Scopri di più su Netwrix Auditor for Active Directory
Auditing nativo
- Apri Powershell ISE → Crea un nuovo script con il seguente codice, specifica Username e il percorso per l'esportazione ed eseguilo:
$schemaIDGUID = @{}
#ignore duplicate errors if any#
$ErrorActionPreference = 'SilentlyContinue'
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties
name, schemaIDGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}
Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter
'(objectClass=controlAccessRight)' -Properties name, rightsGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}
$ErrorActionPreference = 'Continue'
# Get OU.
$OUs = Get-ADOrganizationalUnit -Filter 'Name -like "Production"'| Select-Object -ExpandProperty
DistinguishedName
# retrieve OU permissions.
# Add report columns to contain the OU path and string names of the ObjectTypes.
ForEach ($OU in $OUs) {
$report += Get-Acl -Path "AD:\$OU" |
Select-Object -ExpandProperty Access |
Select-Object @{name='organizationalUnit';expression={$OU}}, `
@{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000- 0000-0000-
000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `
@{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `
*
}
# Export report out to a CSV file for analysis in Excel.
$report | Export-Csv -Path "C:\data\OU_Permissions.csv" -NoTypeInformation
- Apri il file prodotto dallo script in MS Excel.
Esempio di rapporto:
Ottieni un elenco dei permessi di Active Directory per una specifica OU per revocare i diritti di accesso eccessivi e prevenire l'abuso di privilegi
È essenziale applicare rigorosamente il principio del minimo privilegio per una sicurezza forte. Esaminando un rapporto completo sui permessi di Active Directory, puoi determinare chi ha accesso a cosa nel dominio, vedere come sono stati delegati i permessi agli utenti (direttamente o tramite appartenenza a gruppi) e analizzare se i diritti di accesso di ciascun utente sono allineati con le loro responsabilità o se non sono più necessari. Avere queste informazioni ti permetterà di applicare il modello del minimo privilegio e ridurre al minimo il rischio di abuso dei privilegi.
Per tenere d'occhio i permessi su un gruppo di Active Directory o su una OU, puoi utilizzare strumenti nativi, come PowerShell. Ma se preferisci non passare tutto il tuo tempo a scrivere script e a setacciare dati criptici, prova Netwrix Auditor for Active Directory. Fornisce rapporti facili da leggere sui permessi espliciti ed ereditati per gli oggetti di Active Directory, inclusi domini, gruppi di utenti, unità organizzative e altro. Inoltre, la soluzione offre intelligenza sulla sicurezza ricca di dettagli su modifiche, accessi e configurazioni, così puoi identificare comportamenti anomali, indagare minacce e ridurre al minimo il rischio di abuso dei privilegi.
Condividi su