Windows: просмотр «всех» разрешений определенного пользователя или группы

Для домена Windows, есть ли способ увидеть для определенного пользователя или группы, где у пользователя / группы есть разрешения?

В первую очередь: список файлов / папок, к которым пользователь может получить доступ в определенной сетевой папке. (Вроде рекурсивного «эффективного разрешения») Однако другие разрешения также были бы классными.

Я считаю, что видел такой инструмент в действии, но я не могу вспомнить ничего кроме этого - так что это может быть ложное воспоминание.

Рекомендации?

В Windows Sysinternals есть инструмент AccessEnum, который заявляет: «Хотя гибкая модель безопасности, используемая в системах на базе Windows NT, обеспечивает полный контроль над безопасностью и разрешениями для файлов, управление разрешениями так, чтобы пользователи имели надлежащий доступ к файлам, каталогам и разделам реестра, может быть затруднено. Нет встроенного способа быстрого просмотра доступа пользователей к дереву каталогов или ключей. AccessEnum дает вам полное представление о вашей файловой системе и настройках безопасности реестра за считанные секунды, что делает его идеальным инструментом, который поможет вам найти дыры в безопасности и заблокировать разрешения, где это необходимо. " Удачи!

net userКоманда может быть то , что вы блокировки для. Синтаксис выглядит следующим образом:

net user /domain [username]

Возвращение образца:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>net user /domain joneswac
The request will be processed at a domain controller for domain MY.SCHOOL.EDU.

User name                    joneswac
Full Name                    Wesley P Jones
Comment
User's comment
Country code                 000 (System Default)
Account active               Yes
Account expires              Never

Password last set            5/6/2013 3:51:33 PM
Password expires             Never
Password changeable          5/6/2013 3:51:33 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory               \\WONDERFULSCHOOL\students\joneswac
Last logon                   6/1/2013 3:31:50 PM

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *SOCIAL AND BEHAVIORAL*IT Boot Camp Admin
                             *Students             *Registered for Classe
                             *Domain Users         *90B SOC SCI TCH PLAN
The command completed successfully.


C:\Windows\system32>

редактировать: убрал опечатку из команды

просмотреть всю группу пользователей логина (тоже вложенную):

DSQUERY USER -name %Username% | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more

просмотреть все группы пользователей (тоже вложенные):

DSQUERY USER -name <user name> | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more

просмотреть всех членов группы (тоже вложенных):

DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -memberof -expand | DSGET GROUP -sid -samid

просмотреть все члены группы (тоже вложенные):

DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -members -expand | DSGET GROUP -sid -samid

просмотреть текущее разрешение пользователя, см. также /Z /V... /Rпараметры:

GPRESULT /USER %username%

просмотреть текущую информацию пользователя:

dsquery *  -filter "(samAccountName=%username%)" -attr *

GUI:

PDF! : Действующие разрешения

На мой взгляд, лучшая рекомендация - это DREP , очень мощная система, которая позволяет вам проверять и отслеживать реальные разрешения файловой системы. Вы можете переключить свою точку зрения на одного пользователя (даже на несколько настроенных файловых серверов) или на один файл / папку.

Вы также можете использовать ADSISearcher:

([ADSISearcher]"(&(ObjectCategory=User)(cn=Lastname, Firstname))").FindOne().properties

Это вернет только разрешения пользователя, но в полном списке