AD ACL-Scanner ist ein funktionelles Werkzeug, das vollständig in Power-Shell geschrieben wurde. Sie wird zur Erstellung von Berichten über Zugriffskontrolllisten (DACLs) und Systemzugriffskontrolllisten (SACLs) in Active Directory verwendet. Es ist besonders nützlich, um Zugriffskontrolllisten mit USN aus Replikations-Metadaten schnell zu vergleichen.
Der Einstieg in AD ACL Scanner ist relativ einfach. Die App startet eine grafische Oberfläche, ohne dass diese installiert werden muss. Sie rufen einfach die Skriptdatei auf und zeigen die Rechte in der zugehörigen Oberfläche an.
Zu den wichtigsten Merkmalen gehören:
- Betrachten Sie HTML-Berichte von DACLs/SACLs und speichern Sie sie auf der Festplatte.
- Bericht nur explizit zugewiesene DACLs/SACLs.
- Bericht über OUs , OUs und Containerobjekte oder alle Objekttypen.
- Eigentümer des Objekts melden.
- Filtern Sie DACLs/SACLs für eine bestimmte Zugriffsart. Wo gibt es die Erlaubnis "Verweigern"?
- Filtern Sie DACLs/SACLs nach der Berechtigung für ein bestimmtes Objekt. Wo werden die Berechtigungen für Computerobjekte festgelegt?
- Filtern Sie DACLs/SACLs für eine bestimmte Identität. Wo haben "Domain\Client Admins" expliziten Zugriff? Oder verwenden Sie Wildcards wie "jdoe".
- Filtern Sie DACLs/SACLs nach der Berechtigung für ein bestimmtes Objekt. Wo werden die Berechtigungen für Computerobjekte festgelegt?
- Überspringen Sie die Standardberechtigungen (defaultSecurityDescriptor) im Bericht.
- Verbinden und durchsuchen Sie Ihre Standarddomäne, Ihr Schema, Ihre Konfiguration oder einen Namenskontext, der durch den Distishedname definiert ist.
- Exportieren Sie DACLs/SACLs auf Active Directory-Objekte in einem CSV-Format.
- Vergleichen Sie frühere Ergebnisse mit der aktuellen Konfiguration und sehen Sie die Unterschiede nach Farbschema.
- Berichten Sie, wenn die Berechtigungen geändert wurden.
- Kann beim Vergleich AD-Replikations-Metadaten verwenden.
- Kann eine zuvor erstellte CSV-Datei in einen HTML-Bericht konvertieren.
Um AD ACL-Scanner effektiv zu verwenden, müssen Sie die Skriptausführung in PowerShell auf dem entsprechenden PC zulassen. Mit dem Cmdlet "Set-ExecutionPolicy Unrestricted" können Sie jedes beliebige Skript in PowerShell ausführen. Ein Wort der Vorsicht: Sie sollten diese Einstellung vorübergehend außer Kraft setzen und sicherstellen, dass Sie nach der Ausführung des Skripts die Standardeinstellung wiederherstellen.
