Como verificar permissões de usuário no Active Directory

Netwrix Auditor for Active Directory

1. Execute o Netwrix Auditor → Acesse "Relatórios" → Expanda a seção "Active Directory" → Vá para "Active Directory - State-in-Time" → Selecione "Permissões de Conta no Active Directory" → Clique em "Visualizar".
2. Especifique os valores para os filtros abaixo e clique em "Ver Relatório":
   • Caminho UNC da conta
   • Meios Concedidos
   • Permissões
3. Para salvar o relatório, clique no botão "Exportar" → Escolha um formato no menu suspenso → Clique em "Salvar".

Saiba mais sobre Netwrix Auditor for Active Directory

Auditoria Nativa

• Abra o Powershell ISE → Crie um novo script com o seguinte código, especificando o nome de usuário e o caminho para a exportação → Execute o script.

      Import-Module ActiveDirectory
# Array for report.
$report = @()
$schemaIDGUID = @{}
# ignore duplicate errors if any #
$ErrorActionPreference = 'SilentlyContinue'
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties name, schemaIDGUID |
 ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}
Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID |
 ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}
$ErrorActionPreference = 'Continue'
# Get a list of AD objects.
$AOs  = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName)
$AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName
$AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName
# Loop through each of the AD objects and retrieve their permissions.
# Add report columns to contain the path.
ForEach ($AO in $AOs) {
    $report += Get-Acl -Path "AD:\$AO" |
     Select-Object -ExpandProperty Access | 
     Select-Object @{name='organizationalunit';expression={$AO}}, `
                   @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `
                   @{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `
                   *
} # Filter by single user and export to a CSV file.
$User ='Username'
$report | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique |
Export-Csv -Path "C:\data\explicit_permissions.csv" -NoTypeInformation
      

• Inicie o MS Excel e abra o arquivo gerado pelo script.

Relatório de amostra:

Reduza as Áreas de Superfície de Ataque Verificando Continuamente os Relatórios de Permissões de Usuário do Active Directory

Para um gerenciamento adequado do Active Directory e melhor segurança, as melhores práticas exigem que as permissões sejam herdadas por meio da associação a grupos do Active Directory em vez de atribuídas explicitamente. No entanto, garantir que os direitos de acesso sigam esse princípio pode ser um desafio. Os administradores de TI precisam visualizar regularmente relatórios de permissões de usuários do Active Directory que detalham como as permissões foram concedidas para que possam remover aquelas que foram atribuídas explicitamente, bem como trabalhar com os proprietários dos dados para remover usuários de grupos que lhes concedem permissões desnecessárias para o seu trabalho diário. A revisão e limpeza regular das permissões ajudam a minimizar o risco de abuso de privilégios e violações de dados. Mas criar relatórios com base em uma ferramenta de relatórios como o PowerShell e revisar saídas crípticas é tanto demorado quanto propenso a erros.

Netwrix Auditor for Active Directory supera a limitação dos scripts PowerShell fornecendo um relatório abrangente que lista todos os objetos aos quais um determinado usuário tem acesso e se os direitos foram concedidos por meio de associação a grupos ou explicitamente. Você pode facilmente obter mais detalhes, como exatamente quais permissões o usuário tem em um objeto específico.