Cómo obtener un informe de permisos de OU de Active Directory
Netwrix Auditor for Active Directory
- Ejecute Netwrix Auditor → Vaya a "Informes" → Despliegue la sección "Active Directory" → Acceda a "Active Directory - Estado en el Tiempo" → Seleccione "Permisos de Objeto en Active Directory" → Haga clic en "Ver".
- Especifique los valores para los filtros a continuación y haga clic en "Ver Informe":
- Ruta UNC del objeto
- Medios Concedidos
- Permisos
- Para guardar el informe, haga clic en el botón "Exportar" → Elija un formato del menú desplegable → Haga clic en "Guardar".
Aprende más sobre Netwrix Auditor for Active Directory
Auditoría Nativa
- Abra el Powershell ISE → Cree un nuevo script con el siguiente código, especifique el Nombre de usuario y la ruta para la exportación y ejecútelo:
$schemaIDGUID = @{}
#ignore duplicate errors if any#
$ErrorActionPreference = 'SilentlyContinue'
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties
name, schemaIDGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}
Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter
'(objectClass=controlAccessRight)' -Properties name, rightsGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}
$ErrorActionPreference = 'Continue'
# Get OU.
$OUs = Get-ADOrganizationalUnit -Filter 'Name -like "Production"'| Select-Object -ExpandProperty
DistinguishedName
# retrieve OU permissions.
# Add report columns to contain the OU path and string names of the ObjectTypes.
ForEach ($OU in $OUs) {
$report += Get-Acl -Path "AD:\$OU" |
Select-Object -ExpandProperty Access |
Select-Object @{name='organizationalUnit';expression={$OU}}, `
@{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000- 0000-0000-
000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `
@{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `
*
}
# Export report out to a CSV file for analysis in Excel.
$report | Export-Csv -Path "C:\data\OU_Permissions.csv" -NoTypeInformation
- Abra el archivo generado por el script en MS Excel.
Informe de muestra:
Obtenga una lista de permisos de Active Directory para una OU específica para revocar derechos de acceso excesivos y prevenir el abuso de privilegios
Es esencial hacer cumplir estrictamente el principio de mínimo privilegio para una seguridad sólida. Al revisar un informe completo de permisos de Active Directory, puedes determinar quién tiene acceso a qué en el dominio, ver cómo se delegaron los permisos de los usuarios (se otorgaron directamente o a través de la membresía de un grupo) y analizar si los derechos de acceso de cada usuario se alinean con sus responsabilidades o si ya no son necesarios. Tener esta información te permitirá aplicar el modelo de mínimo privilegio y minimizar el riesgo de abuso de privilegios.
Para mantener un control sobre los permisos en un grupo de Active Directory o en una OU, puedes utilizar herramientas nativas, como PowerShell. Pero si prefieres no pasar todo tu tiempo escribiendo scripts y analizando datos crípticos, prueba Netwrix Auditor for Active Directory. Proporciona informes fáciles de leer sobre permisos explícitos e heredados para objetos de Active Directory, incluyendo dominios, grupos de usuarios, unidades organizativas y más. Además, la solución ofrece inteligencia de seguridad rica en detalles sobre cambios, accesos y configuraciones, para que puedas identificar comportamientos anormales, investigar amenazas y minimizar el riesgo de abuso de privilegios.
Compartir en