none
Windows server 2008 R2

    Dotaz

  • Dobrý den,

    potřeboval bych poradit jak (asi nějakým scriptem) vytáhnou do souboru všechny oprávnění s AD tzn. uživatel ten a ten má oprávnění např. na tyto schránky, patří do těchto distribučních se znamů a je členem těchto skupin zabezpečení. Googlil jsem, nějaké scripty jsem našel, ale jelikož neznám tolik VBS tak mi moc nefungovali.

    Díky za radu

     

    VP 

    čtvrtek 13. října 2011 7:52

Odpovědi

  • Se obavam, ze chcete neco, co ze sveho principu nejde.

    Active directory je ve sve podstate jen databaze objektu, ktere maji nejake atributy. AD v principu nezajima, ze ma AD objekt nejaka prava na nejake NTFS disky, ze ma AD objekt nejaka prava na SQL, tezko obejdete vsechna PC a jejich registry, ktere take mohou obsahovat opravneni pro objekty z AD, AD nezajima do kterych dalsich schranek, kalendaru, ukolu muze nejaky uzivatel na Exchange atp.

    Nebo jinak: SID skupin a uzivatelu muze pouzivat kdejaka aplikace a ukladat si tyto informace do sveho vlastniho uloziste.

    Tj. z AD vypisete clenstvi ve skupinach, GPO objekty, emailove adresy (pokud pouzivate takovy mailovy system, ktery je tam potrebuje mit - napr. Exchange) a to je asi tak vse. Pro ostatni opravneni uzivatele se musite scriptem obracet na konkretni sluzby a aplikace (souborove systemy, mailove systemy, databaze apod) = nenajdeet jeden script, ale musite si poridit soustavu scriptu v zavislosti na vami pouzivanych sluzbach a aplikacich. Je mozne, ze z nekterych aplikaci/systemu ani takovou informaci scriptem nevypisete.

    čtvrtek 13. října 2011 8:54
  • VBS mozna nefungovaly, pokud jste bud pouzil spatnou syntaxi, spatne definoval objekty, popripade jste je nespoustel skripty se zvysenymi pravy (Run as Administrator). VBS muzete prolozit prikazy, ktere vypisi hodnoty a tak se muzete dopracovat k reseni problematickeho mista.

    Druhou moznosti je pouziti Powershellu(PS). Existuje mnozstvi materialu na strankach MS, existuji specializovane fora http://powershell.com/cs/ a take knihy. K elektronicke knize se dostate velmi rychle, napriklad zde

    http://www.manning.com/search/results?cx=008207406337866288189%3Avej9zumcdec&cof=FORID%3A9&ie=UTF-8&q=powershell#928

    Active Directory ma PS modul, stejne tak exituji prikazy pro Exchage. Diskusni skupina PS (MS) je zde:

    http://social.technet.microsoft.com/Forums/en-US/winserverpowershell/threads

     

    pátek 14. října 2011 12:33
    Vlastník

Všechny reakce

  • Se obavam, ze chcete neco, co ze sveho principu nejde.

    Active directory je ve sve podstate jen databaze objektu, ktere maji nejake atributy. AD v principu nezajima, ze ma AD objekt nejaka prava na nejake NTFS disky, ze ma AD objekt nejaka prava na SQL, tezko obejdete vsechna PC a jejich registry, ktere take mohou obsahovat opravneni pro objekty z AD, AD nezajima do kterych dalsich schranek, kalendaru, ukolu muze nejaky uzivatel na Exchange atp.

    Nebo jinak: SID skupin a uzivatelu muze pouzivat kdejaka aplikace a ukladat si tyto informace do sveho vlastniho uloziste.

    Tj. z AD vypisete clenstvi ve skupinach, GPO objekty, emailove adresy (pokud pouzivate takovy mailovy system, ktery je tam potrebuje mit - napr. Exchange) a to je asi tak vse. Pro ostatni opravneni uzivatele se musite scriptem obracet na konkretni sluzby a aplikace (souborove systemy, mailove systemy, databaze apod) = nenajdeet jeden script, ale musite si poridit soustavu scriptu v zavislosti na vami pouzivanych sluzbach a aplikacich. Je mozne, ze z nekterych aplikaci/systemu ani takovou informaci scriptem nevypisete.

    čtvrtek 13. října 2011 8:54
  • VBS mozna nefungovaly, pokud jste bud pouzil spatnou syntaxi, spatne definoval objekty, popripade jste je nespoustel skripty se zvysenymi pravy (Run as Administrator). VBS muzete prolozit prikazy, ktere vypisi hodnoty a tak se muzete dopracovat k reseni problematickeho mista.

    Druhou moznosti je pouziti Powershellu(PS). Existuje mnozstvi materialu na strankach MS, existuji specializovane fora http://powershell.com/cs/ a take knihy. K elektronicke knize se dostate velmi rychle, napriklad zde

    http://www.manning.com/search/results?cx=008207406337866288189%3Avej9zumcdec&cof=FORID%3A9&ie=UTF-8&q=powershell#928

    Active Directory ma PS modul, stejne tak exituji prikazy pro Exchage. Diskusni skupina PS (MS) je zde:

    http://social.technet.microsoft.com/Forums/en-US/winserverpowershell/threads

     

    pátek 14. října 2011 12:33
    Vlastník