Como obter um relatório de permissões de OU do Active Directory
Netwrix Auditor for Active Directory
- Execute o Netwrix Auditor → Acesse "Relatórios" → Expanda a seção "Active Directory" → Vá para "Active Directory - State-in-Time" → Selecione "Permissões de Objeto no Active Directory" → Clique em "Visualizar".
- Especifique os valores para os filtros abaixo e clique em "Ver Relatório":
- Caminho UNC do Objeto
- Meios Concedidos
- Permissões
- Para salvar o relatório, clique no botão "Exportar" → Escolha um formato no menu suspenso → Clique em "Salvar".
Saiba mais sobre Netwrix Auditor for Active Directory
Auditoria Nativa
- Abra o Powershell ISE → Crie um novo script com o seguinte código, especifique o Nome de Usuário e o caminho para a exportação e execute-o:
$schemaIDGUID = @{}
#ignore duplicate errors if any#
$ErrorActionPreference = 'SilentlyContinue'
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaIDGUID=*)' -Properties
name, schemaIDGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)}
Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter
'(objectClass=controlAccessRight)' -Properties name, rightsGUID |
ForEach-Object {$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)}
$ErrorActionPreference = 'Continue'
# Get OU.
$OUs = Get-ADOrganizationalUnit -Filter 'Name -like "Production"'| Select-Object -ExpandProperty
DistinguishedName
# retrieve OU permissions.
# Add report columns to contain the OU path and string names of the ObjectTypes.
ForEach ($OU in $OUs) {
$report += Get-Acl -Path "AD:\$OU" |
Select-Object -ExpandProperty Access |
Select-Object @{name='organizationalUnit';expression={$OU}}, `
@{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000- 0000-0000-
000000000000') {'All'} Else {$schemaIDGUID.Item($_.objectType)}}}, `
@{name='inheritedObjectTypeName';expression={$schemaIDGUID.Item($_.inheritedObjectType)}}, `
*
}
# Export report out to a CSV file for analysis in Excel.
$report | Export-Csv -Path "C:\data\OU_Permissions.csv" -NoTypeInformation
- Abra o arquivo produzido pelo script no MS Excel.
Relatório de amostra:
Obtenha uma lista de permissões do Active Directory para uma OU específica para revogar direitos de acesso excessivos e prevenir abuso de privilégios
É essencial aplicar rigorosamente o princípio do menor privilégio para uma segurança robusta. Ao revisar um relatório abrangente de permissões do Active Directory, você pode determinar quem tem acesso a quê no domínio, ver como as permissões dos usuários foram delegadas (permissões concedidas diretamente ou por meio de associação a grupos) e analisar se os direitos de acesso de cada usuário estão alinhados com suas responsabilidades ou se já não são necessários. Ter essa informação permitirá que você aplique o modelo de menor privilégio e minimize o risco de abuso de privilégios.
Para monitorar as permissões em um grupo do Active Directory ou em uma OU, você pode usar ferramentas nativas, como o PowerShell. Mas se preferir não gastar todo o seu tempo escrevendo scripts e analisando dados crípticos, experimente Netwrix Auditor for Active Directory. Ele fornece relatórios fáceis de ler sobre permissões explícitas e herdadas para objetos do Active Directory, incluindo domínios, grupos de usuários, unidades organizacionais e mais. Além disso, a solução oferece inteligência de segurança rica em detalhes sobre alterações, acessos e configurações, para que você possa identificar comportamentos anormais, investigar ameaças e minimizar o risco de abuso de privilégios.
Compartilhar em