Для домена Windows, есть ли способ увидеть для определенного пользователя или группы, где у пользователя / группы есть разрешения?
В первую очередь: список файлов / папок, к которым пользователь может получить доступ в определенной сетевой папке. (Вроде рекурсивного "эффективного разрешения") Однако другие разрешения также были бы классными.
Я считаю, что видел такой инструмент в действии, но я не могу вспомнить ничего кроме этого - так что это может быть ложное воспоминание.
Рекомендации?
В Windows Sysinternals имеется инструмент AccessEnum, который заявляет: «Хотя гибкая модель безопасности, используемая в системах на базе Windows NT, позволяет полностью контролировать безопасность и разрешения для файлов, управление разрешениями, чтобы пользователи имели надлежащий доступ к файлам, каталогам и разделам реестра, может быть затруднено. Нет встроенного способа быстрого просмотра доступа пользователей к дереву каталогов или ключей. AccessEnum дает вам полное представление о вашей файловой системе и настройках безопасности реестра за считанные секунды, что делает его идеальным инструментом, помогающим вам в поисках брешей в безопасности и блокировании разрешений в случае необходимости. "Удачи!
Команда net user может быть тем, для чего вы блокируете. Синтаксис выглядит следующим образом:
net user` /domain [username]
Возвращение образца:
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\Windows\system32>net user /domain joneswac
The request will be processed at a domain controller for domain MY.SCHOOL.EDU.
User name joneswac
Full Name Wesley P Jones
Comment
User's comment
Country code 000 (System Default)
Account active Yes
Account expires Never
Password last set 5/6/2013 3:51:33 PM
Password expires Never
Password changeable 5/6/2013 3:51:33 PM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory \\WONDERFULSCHOOL\students\joneswac
Last logon 6/1/2013 3:31:50 PM
Logon hours allowed All
Local Group Memberships
Global Group memberships *SOCIAL AND BEHAVIORAL*IT Boot Camp Admin
*Students *Registered for Classe
*Domain Users *90B SOC SCI TCH PLAN
The command completed successfully.
C:\Windows\system32>
просмотреть всю группу пользователей логина (тоже вложенную):
DSQUERY USER -name %Username% | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more
просмотреть все группы пользователей (тоже вложенные):
DSQUERY USER -name <user name> | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more
просмотреть всех членов группы (тоже вложенных):
DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -memberof -expand | DSGET GROUP -sid -samid
просмотреть все члены группы (тоже вложенные):
DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -members -expand | DSGET GROUP -sid -samid
просмотреть текущее разрешение пользователя, см. также /Z /V ... /R варианты:
GPRESULT /USER %username%
просмотреть текущую информацию о пользователе:
dsquery * -filter "(samAccountName=%username%)" -attr *
GUI:
На мой взгляд, лучшая рекомендация - это DREP, очень мощная система, которая позволяет вам проверять и отслеживать реальные разрешения файловой системы. Вы можете переключить свою точку зрения на одного пользователя (даже на нескольких настроенных файловых серверах) или на один файл / папку.