2
Berechtigungsverwaltung AD
Hallo,
aktuell werden in unserer Firma die AD berechtigungen auf 1160 Verzeichnis Zugriffsgruppen per Libre office vergeben (rechte Tabelle, welche über umwege zu ner csv/bat umgearbeitet wird und auf dem AD Server ausgeführt wird bei jeder Berechtiungsänderung. Das ganze ist natürlich durch die Größe relativ umständlich (die .bat benötigt über 10min zum ausführen).
Gibt es brauchbare (kostenlose) tools welche einem einen guten überblick über Gruppenberechtigungen in einer bestimmten OU geben bzw. ein Tool mit dem sich das Ganze gut verwalten lässt?
Wie auf dem Screenshot zu sehen ist muss aktuell nur ein r für lesen oder ein w für schreibrecht eingetragen werden.
Ideal wäre es, die Rechte über die AD zu vergeben aber eine übersichtliche Ansicht der vergebenen Rechte zu erhalten.
aktuell werden in unserer Firma die AD berechtigungen auf 1160 Verzeichnis Zugriffsgruppen per Libre office vergeben (rechte Tabelle, welche über umwege zu ner csv/bat umgearbeitet wird und auf dem AD Server ausgeführt wird bei jeder Berechtiungsänderung. Das ganze ist natürlich durch die Größe relativ umständlich (die .bat benötigt über 10min zum ausführen).
Gibt es brauchbare (kostenlose) tools welche einem einen guten überblick über Gruppenberechtigungen in einer bestimmten OU geben bzw. ein Tool mit dem sich das Ganze gut verwalten lässt?
Wie auf dem Screenshot zu sehen ist muss aktuell nur ein r für lesen oder ein w für schreibrecht eingetragen werden.
Ideal wäre es, die Rechte über die AD zu vergeben aber eine übersichtliche Ansicht der vergebenen Rechte zu erhalten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 510592
Url: https://administrator.de/contentid/510592
Printed on: April 16, 2024 at 13:04 o'clock
2 Comments
Latest comment
Hi,
das wirst Du nicht finden.
A) nicht kostenlos, und
B) weil nicht möglich.
Die Berechtigungen werden nicht am Prinzipal festgenagelt sondern an der Ressource. Also kann man immer nur aus Sicht der Ressourcen anzeigen lassen, wer dort welche Zugriffsrechte hat. Aus Sicht des Prinzipals (AD) geht das nicht, weil es im AD keine DB gibt, welche die Berechtigungen eines Prinzipals zentral speichert.
Man kann höchstens diese Zugriffsberechtigungen regelmäßig protokollieren, indem man die relevanten Ressourcen abfragt und die z.Z. erteilten Berechtigungen in eine zentrale DB speichert. Aber selbst diese Datensammlungen sind dann nicht mit Sicherheit vollumfänglich aussagekräftig, weil es ja davon abhängt
Solarwinds ARM (ehemals 8Man) z.B. macht sowas. Kostet aber Geld. Wirklich empfehlen will ich diese Software aber nicht.
E.
das wirst Du nicht finden.
A) nicht kostenlos, und
B) weil nicht möglich.
Die Berechtigungen werden nicht am Prinzipal festgenagelt sondern an der Ressource. Also kann man immer nur aus Sicht der Ressourcen anzeigen lassen, wer dort welche Zugriffsrechte hat. Aus Sicht des Prinzipals (AD) geht das nicht, weil es im AD keine DB gibt, welche die Berechtigungen eines Prinzipals zentral speichert.
Man kann höchstens diese Zugriffsberechtigungen regelmäßig protokollieren, indem man die relevanten Ressourcen abfragt und die z.Z. erteilten Berechtigungen in eine zentrale DB speichert. Aber selbst diese Datensammlungen sind dann nicht mit Sicherheit vollumfänglich aussagekräftig, weil es ja davon abhängt
- dass man wirklich alle Ressourcen abfragt. Wenn neue hinzukommen oder welche wegfallen, dann muss auch die Abfrage ständig angepasst werden. Oder man hat begrenzt diverse Ressourcen (in Art un Anzahl), welche auch irgendwo zentral registriert sind (z.B. im AD), dann könnte man die Abfragen sicherlich halbwegs dynamisch gestalten, sodass sie solche Änderungen zeitnah mitbekommen und berücksichtigen.
- dass die letzte Abfrage zeitnah genug aktuell ist
- dass die Abfrage zuverlässig funktioniert (muss regelmäßig kontrolliert werden)
- usw. usw.
Solarwinds ARM (ehemals 8Man) z.B. macht sowas. Kostet aber Geld. Wirklich empfehlen will ich diese Software aber nicht.
E.
Damit könnte es funktionieren