如果您没有文档，如何发现AD组具有什么权限？

Question

你刚在A公司被录用，原来的管理员已经不在了。开始请求将用户添加到internet限制组。当您查看组时，没有一个名称是有意义的，也没有任何文档可以解释每个组有什么权利和做什么。这会引起我的关注。为了安全你怎么知道每个人都有正确的权利。

你怎么会发现这些团体有什么权利？有什么工具可以帮你找到这些信息吗？

Answer 1

你不知道。有很多事情，你根本做不到，除非你已经了解了整个环境。请参阅：在删除之前，如何在AD中检查组/用户的访问权限？

请看本·皮尔博恩的回答，其中列出了AD中的实体可以享有的权利的部分清单。如果您知道您的环境中的每个应用程序都可以让AD实体获得分配给它的ACL，那么您可以查询每个ACL的每个应用程序。

Answer 2

sysinternals工具AccessEnum可能可以帮助您。它为特定路径中的每个目录提供读、写和拒绝权限。这是一个非常有用的工具，但您应该注意，它的输出也非常冗长。

http://technet.microsoft.com/en-us/sysinternals/bb897332

也有辅助功能。您可以使用它显示特定用户针对特定目录及其文件的特定访问信息。

http://technet.microsoft.com/en-us/sysinternals/bb664922

Answer 3

Active directory是身份验证和目录服务提供程序。它只包含与活动目录本身相关的权限(例如，可以通知这个组的成员，您可以修改这个用户等等)。单独使用active目录是不可能确定一个组或用户实际用于什么的。你对安全方面的担忧是对的。你现在所处的情况是，你可以被社会设计为让某人获得他们不应该拥有的东西。在这种情况下，可能首先运行某种类型的审核，无论是windows本机还是像任务访问管理器这样的工具，以便开始猜测谁拥有什么。在使用了这些报告之后，您可以开始减少组数(请参阅我在这里的回答以获得建议的方法)。在这样做的同时，你也可以通过以下方法来避免未来的头痛：

• 使用“托管按”字段
• 填写详细说明此组存在的原因的说明(如“用于超级cool sharepoint服务器”)
• 使用notes字段进行特殊处理说明(例如“JimB的团队拥有该组，所有成员请求必须由它们处理-不要使它成为一个通用组，因为它会破坏一些ldap查找”)