none
[AYUDA] Crear script para buscar grupos de Active Directory que no estén en uso.

    Question

  • Estimados,

                    Necesitaría en lo posible que me ayuden a generar un Script ya que soy muy nuevo, que busque grupos (globales y locales) que no estén en uso y si están asignados a alguna carpeta compartida (Permisos NTFS).

    Plataforma: Windows 2008

    Les agradezco de todo corazón.

    Saludos Cordiales.

     

    mardi 27 septembre 2011 17:17

Réponses

Toutes les réponses

  • Mucho pides, eso implicaría revisar las ACLs de todas las carpetas, ficheros, contenedores de AD, etc., membresías directas y heredadas de todos los grupos... Es una cosa monumental la verdad.

    Más rápido es saber si un grupo no tiene miembros y no es miembro de ningún otro grupo; se puede hacer desde línea de comandos con esta consulta:

    dsquery * -scope subtree -filter "(&(objectClass=group)(!(member=*))(!(memberof=*)))" -limit 0 -attr distinguishedName sAMAccountName -l

    De todas maneras, tampoco esto es tan simple, pues hay otro tipo de membresía, que es la del primary group y que no aparece como membresía, si no que los usuarios y los equipos tienen un atributo primaryGroupId que les hace miembros del grupo que indica ese atributo pero no aparecen en la lista de miembros del grupo. Lo normal es que los usuarios tengan como grupo primario el grupo "Usuarios del dominio" y que los equipos tengan el grupo "Equipos del dominio".


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    mercredi 28 septembre 2011 07:22
    Modérateur
  • Fernando,

    Muchas gracias por tu respuesta. Pero no me sirivió.

    Vamos a ser un poco mas livianos, necesitaría saber que grupos de AD se están utilizando.

    Si me podés ayudar a armar el script te lo voy agradecer bastante.

    Saludos Cordiales.

    jeudi 29 septembre 2011 18:03
  • Es que es muy largo de hacer un script que vaya carpeta por carpeta extrayendo qué grupos son los usados en las ACLs. Además, esto no es bastante, pues también se deberían mirar las claves del registro y los servicios. Mira si puede valerte el uso de accesschk.exe o AccessEnum.exe, de SysInternals Suite.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    lundi 3 octobre 2011 06:38
    Modérateur