企业需要每天都警惕内部攻击和间谍等重大安全威胁。防范潜在的攻击者对保护组织的网络和数据大有裨益。但是,要实现此目标,还需满足几点。您必须完全了解分配给Windows Active Directory (AD)中用户和组的权限,它们可访问的帐户、资源和数据,其 NTFS和共享权限, 以及它们可以执行的操作。换句话说,您需要有关于AD中用户和组权限的详细报告。
这些权限报告对于通过 SOX, HIPAA, GLBA, GDPR 和PCI等各种法规的合规性审计也十分必要。要列出每个AD用户和组具有的所有权限,您通常需要依赖PowerShell或Active Directory用户和计算机(ADUC)控制台之外的其他脚本语言,因为该控制台不提供AD报告帮助。而另一方面 ADManager Plus, 则可提供专门构建的报告,可轻松查看分配给AD中用户和组的所有权限。
Active Directory
使用ADManager Plus报告Active Directory权限
ADManager Plus是一个基于Web的Active Directory、Office 365和Exchange管理和报告工具,提供预定义的报告库,其中包括基于权限的报告,如:
- 用户和组可访问的AD对象: 查看指定AD用户和组可以访问的所有对象(如用户、组、计算机、文件夹、NTDS服务对象等),以及他们对每个对象拥有的权限(读取所有属性、读取登录信息、写入、列出内容、更改密码、删除、完全控制等)和权限类型(允许或拒绝)。
- 用户和组可访问的服务器: 列出所选AD用户和组可以访问的所有计算机(服务器和工作站)、计算机的操作系统、这些计算机的权限类型(允许或拒绝),以及他们可以对其执行的完整操作列表。
- 用户和组可访问的文件夹: 显示指定AD用户和组可以访问的所有共享文件夹、他们可以执行的权限或操作的完整列表,以及他们对所列操作具有的权限类型(允许或拒绝)。
- 用户和组可访问的子网: 显示AD中所选用户或组可以访问的所有子网。还会列出所选用户和组在子网中可以和不可执行的所有操作。
- 文件夹权限: 显示有权访问指定文件夹的用户和组及其相应的权限。对于组,此报告还显示组成员,这反过来可帮助您确定哪些组和用户可以访问所选文件夹(作为组的成员)。
- 服务器权限: 列出可以访问所选服务器和计算机的所有用户和组,以及有关其所属域、拥有的权限以及安全标识符(对象SID)的信息。
- 子网权限: 查看有权访问指定子网的用户和组、其拥有的权限以及其域名、对象类型和对象SID等详细信息。
- 用户的组: 对于每个选定的用户,此报告显示其所属的组,以及每个组中的所有成员(用户和组)、组所在的域、组类型(通讯组或安全组)、组范围(通用、全局或域本地)和AD中组的位置等信息。
ADManager Plus
IT合规报告
除了基于组和用户权限的报告之外,ADManager Plus还提供了许多遵守HIPAA, SOX, GLBA 合规, GDPR, PCI. 等合规标准所需的报告。其他一些可用报告包含以下方面的信息:
- 在过去N天内创建、修改或删除的用户帐户和组。
- 在过去N天内未更改其密码的用户。
- 在过去N天内未更改其密码的用户。
- 已到期用户帐户。
通过这些专用报告,ADManager Plus让您可以轻松分析和管理AD用户和组的权限,并确保他们只能执行应执行的操作。
ADManager Plus是基于Web的解决方案,适用于您的所有AD、Exchange、Skype for Business、G Suite和Office 365管理需求。它简化了 配置用户, 清理休眠帐户, 管理NTFS和共享权限, 管理NTFS和共享权限等多个日常任务。ADManager Plus还提供 150多个预封装报告, 包括有关不活动或已锁定AD用户帐户、Office 365许可证和用户上次登录时间的报告。直接从报告中执行管理操作。构建 自定义工作流 结构可帮助进行工单和合规性管理,自动执行用户配置和解除配置等日常任务 。
想了解关于ADManager Plus产品的详细功能信息。请持续关注“运维有小邓”,小邓将带您了解更多IT运维新知识!