none
[AYUDA] Crear script para buscar grupos de Active Directory que no estén en uso. RRS feed

  • Pregunta

  • Estimados,

                    Necesitaría en lo posible que me ayuden a generar un Script ya que soy muy nuevo, que busque grupos (globales y locales) que no estén en uso y si están asignados a alguna carpeta compartida (Permisos NTFS).

    Plataforma: Windows 2008

    Les agradezco de todo corazón.

    Saludos Cordiales.

     

    martes, 27 de septiembre de 2011 17:17

Respuestas

Todas las respuestas

  • Mucho pides, eso implicaría revisar las ACLs de todas las carpetas, ficheros, contenedores de AD, etc., membresías directas y heredadas de todos los grupos... Es una cosa monumental la verdad.

    Más rápido es saber si un grupo no tiene miembros y no es miembro de ningún otro grupo; se puede hacer desde línea de comandos con esta consulta:

    dsquery * -scope subtree -filter "(&(objectClass=group)(!(member=*))(!(memberof=*)))" -limit 0 -attr distinguishedName sAMAccountName -l

    De todas maneras, tampoco esto es tan simple, pues hay otro tipo de membresía, que es la del primary group y que no aparece como membresía, si no que los usuarios y los equipos tienen un atributo primaryGroupId que les hace miembros del grupo que indica ese atributo pero no aparecen en la lista de miembros del grupo. Lo normal es que los usuarios tengan como grupo primario el grupo "Usuarios del dominio" y que los equipos tengan el grupo "Equipos del dominio".


    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)
    miércoles, 28 de septiembre de 2011 7:22
    Moderador
  • Fernando,

    Muchas gracias por tu respuesta. Pero no me sirivió.

    Vamos a ser un poco mas livianos, necesitaría saber que grupos de AD se están utilizando.

    Si me podés ayudar a armar el script te lo voy agradecer bastante.

    Saludos Cordiales.

    jueves, 29 de septiembre de 2011 18:03
  • Es que es muy largo de hacer un script que vaya carpeta por carpeta extrayendo qué grupos son los usados en las ACLs. Además, esto no es bastante, pues también se deberían mirar las claves del registro y los servicios. Mira si puede valerte el uso de accesschk.exe o AccessEnum.exe, de SysInternals Suite.

    Un saludo

    Fernando Reyes [MS MVP]
    MCSA 2000/2003
    MCSE 2000/2003
    MCITP EnterpriseAdministrator
    Web: http://freyes.svetlian.com
    Blog: http://urpiano.wordpress.com
    RSS: http://urpiano.wordpress.com/feed/
    freyes.champú@champú.mvps.org
    (Aclárate la cabeza si quieres escribirme)

    lunes, 3 de octubre de 2011 6:38
    Moderador