Powershell und Autoit

DasIch

Hallo zusammen,

ich habe ein Problem mit der Powershell in Kombination mit Autoit. Ich möchte mir über Powershell alle expliziten Rechte eines Benutzers auslesen und diese in einem Textfile speichern.

Hierzu habe ich folgenden Code im Internet gefunden und angepasst:

Code

$path = "\\server\d$\daten"
$list = get-childitem $path |get-childitem |where {$_.Psiscontainer}|foreach-object {$_.fullname}
$ntfs = $list | foreach{$a = $_; (get-acl $_).access|format-list IdentityReference,@{label="Name"; expression={$a}  } }
$ntfs >> C:\Users\testuser\Desktop\temp_user.txt

Das Problem ist, dass ich hier nur eine Liste erstellt kriege mit ALLEN Berechtigungen des gesamten Fileservers, was ich ja nicht möchte. Naja, Problem erkannt und getestet. Das kam dabei raus:

Spoiler anzeigen

AutoIt

Func _conFolderShow($iWo)
	Switch $iWo
		;Ordnerberechtigungen User
		Case 0
			local $input = InputBox("", "Bitte Geben Sie die Freigabe ein: ")

			;Erstellen des Powershell Skriptes
			FileWriteLine(@ScriptDir & "\folder.ps1", '$path = "' & $input & '"')
			FileWriteLine(@ScriptDir & "\folder.ps1", '$list = get-childitem $path |get-childitem |where {$_.Psiscontainer}|foreach-object {$_.fullname}')
			FileWriteLine(@ScriptDir & "\folder.ps1", '$ntfs = $list | foreach{$a = $_; (get-acl $_).access|format-list IdentityReference,@{label="Name"; expression={$a}  } }')
			FileWriteLine(@ScriptDir & "\folder.ps1", '$ntfs >> ' & @ScriptDir & '\temp_user.txt')
			local $1 = "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -noexit -command "
			local $2 = ". "
			local $3 = "'" & @ScriptDir & "\folder.ps1'"


			While Not FileExists(@ScriptDir & "\folder.ps1")
				Sleep(50)
			WEnd


			;Ausführen des Skriptes als Domain Admin
			RunAs($frmDom_sUser, $frmDom_sDomain, $frmDom_sPassword, 2, $1 & $2 & $3, "", @SW_HIDE)

			;Auslesen des Benutzernamen aus der Liste der User in der GUI
			local $aUser = _GUICtrlListBox_GetSelItemsText($Ber_lstUserWahl)
			If UBound($aUser) - 1 < 2 Then
				If UBound($aUser) - 1 < 1 Then
					MsgBox(0, "", "Bitte wählen Sie einen Benutzer aus!")
				Else
					_ArraySort($aUser, 0, 1)
					_ArrayDelete($aUser, 0)
					; SamAccountName des Users aus der Liste zur weiteren Verarbeitung
					$sUser = _AD_GetObjectsInOU("", "(&(objectcategory=person)(displayname=" & $aUser[0] & "))", 2, "SamAccountName")
					_FolderShowFilter($sUser[1])
				EndIf
			Else
				MsgBox(0, "", "Bitte nur einen Benutzer auswählen!")
			EndIf


		;Ordnerberechtigungen Gruppen
		Case 1


	EndSwitch
EndFunc ;==> _conFolderShow($iWo)


Func _FolderShowFilter($user)
	;Warten bis das Powershell Skript ausgeführt wurde
	While Not FileExists(@ScriptDir & "\temp_user.txt")
		Sleep(50)
	WEnd

	;Einlesen der Berechtigungen in ein Array
	local $aWhole = FileReadToArray(@ScriptDir & "\temp_user.txt")

	;frmDom_sDNS in der Form DC=Domain,DC=local
	local $aDnsShort = StringSplit(StringTrimLeft($frmDom_sDNS, 3), ",")


	;Löschen der leeren Zeilen aus dem Array
	For $i = UBound($aWhole) - 1 To 0 Step - 1
		If $aWhole[$i] = "" Then _ArrayDelete($aWhole, $i)
	Next


	If FileExists(@ScriptDir & "\auswertung_" & $user & ".txt") Then FileDelete(@ScriptDir & "\auswertung_" & $user & ".txt")


	For $i = 0 To UBound($aWhole) - 1 Step 2

		; Kürzen der Berechtigung auf den SamAccountNamen
		local $sUserShorten = StringRight($aWhole[$i], (StringLen(StringTrimLeft($aWhole[$i], 20)) - StringLen($aDnsShort[1]) - 1))
		$aWhole[$i] = $sUserShorten

		; Eintragen der Benutzernamen in die Datei auswertung_username.txt
		If StringLeft($sUserShorten, 1) <> "\" And $sUserShorten <> "" And $sUserShorten = $user Then
			If FileExists(@ScriptDir & "\auswertung_" & $user & ".txt") Then
				If StringLeft(FileReadLine(@ScriptDir & "\auswertung_" & $user & ".txt", 1), StringLen($user)) = $user Then
					FileWriteLine(@ScriptDir & "\auswertung_" & $user & ".txt", "Berechtigungen von " & $sUserShorten & ":" & @CRLF)
					FileWriteLine(@ScriptDir & "\auswertung_" & $user & ".txt", StringTrimLeft($aWhole[$i+1], 20))
				Else
					FileWriteLine(@ScriptDir & "\auswertung_" & $user & ".txt", StringTrimLeft($aWhole[$i+1], 20))
				EndIf
			Else
				FileWriteLine(@ScriptDir & "\auswertung_" & $user & ".txt", "Berechtigungen von " & $sUserShorten & ":" & @CRLF)
				FileWriteLine(@ScriptDir & "\auswertung_" & $user & ".txt", StringTrimLeft($aWhole[$i+1], 20))
			EndIf
		EndIf


	Next


	; Löschen der temporären Dateien
	FileDelete(@ScriptDir & "\temp_user.txt")
	FileDelete(@ScriptDir & "\folder.ps1")
EndFunc ;==> _FolderShowFilter($user)

Alles anzeigen

Das Ende der Geschichte:
Er braucht natürlich ewig zum Abgleichen, ob eine explizite Berechtigung des Benutzers auf die Ordner des Fileservers vorhanden ist.

Kann ich irgendwie in dem Powershell Skript eintragen, dass er ausschließlich die expliziten Berechtigungen des Benutzers "xyz" als Datei speichern soll? Das würde das ganze Thema erheblich verkürzen und wäre eine deutlich "hübschere" Lösung.

Vielen Dank vorab und LG,
der Robert

**BugFix**

Wozu Powershell? Wenn ich das richtig verstanden habe, kannst du alles erforderliche per WMI abfragen. Falls das Bsp. nicht alle Daten enthält kannst du das anpassen. Details zu WMI findest du bei MSDN.

AutoIt

$strComputer = "."
$objWMIService = ObjGet("winmgmts:\\" & $strComputer & "\root\CIMV2")
$colItems = $objWMIService.ExecQuery("SELECT * FROM Win32_UserAccount", Default,48)
For $objItem in $colItems
    ConsoleWrite("-----------------------------------" & @LF)
    ConsoleWrite("Win32_UserAccount instance" & @LF)
    ConsoleWrite("-----------------------------------" & @LF)
    ConsoleWrite("AccountType: " & $objItem.AccountType & @LF)
    ConsoleWrite("Caption: " & $objItem.Caption & @LF)
    ConsoleWrite("Description: " & $objItem.Description & @LF)
    ConsoleWrite("Disabled: " & $objItem.Disabled & @LF)
    ConsoleWrite("Domain: " & $objItem.Domain & @LF)
    ConsoleWrite("FullName: " & $objItem.FullName & @LF)
    ConsoleWrite("InstallDate: " & $objItem.InstallDate & @LF)
    ConsoleWrite("LocalAccount: " & $objItem.LocalAccount & @LF)
    ConsoleWrite("Lockout: " & $objItem.Lockout & @LF)
    ConsoleWrite("Name: " & $objItem.Name & @LF)
    ConsoleWrite("PasswordChangeable: " & $objItem.PasswordChangeable & @LF)
    ConsoleWrite("PasswordExpires: " & $objItem.PasswordExpires & @LF)
    ConsoleWrite("PasswordRequired: " & $objItem.PasswordRequired & @LF)
    ConsoleWrite("SID: " & $objItem.SID & @LF)
    ConsoleWrite("SIDType: " & $objItem.SIDType & @LF)
    ConsoleWrite("Status: " & $objItem.Status & @LF)
Next

Alles anzeigen

Edit:
Ich habe mal Scriptomatic4AutoIt zum einfachen Generieren von WMI-Code angehängt.

DasIch

Danke für die Antwort!

Ich habe es mir jetzt noch nicht angeschaut, aber soviel vorab: es handelt sich um Domainuser. Kann ich die damit auch abfragen? soweit ich weiß kann ich per WMI doch nur Rechner verwalten bzw. lokal angelegte user, oder?! Wenn ich mich irre, bin ich ruhig

**BugFix**

Zitat von DasIch

doch nur Rechner verwalten bzw. lokal angelegte user, oder?!

Ich arbeite nicht regelmäßig mit WMI. Du kannst Remoteabfragen tätigen ($strComputer = "." <-- bedeutet localhost, da kannst du anderen Rechner angeben).
Ich weiß nicht sicher, inwiefern Gruppenrichtlinien bestimmte Abfragen unterbinden, einfach testen.

DasIch

Danke dir vielmals! Die Accounts habe ich jetzt, aber das war ja nicht das eigentliche Problem Das Hauptproblem war ja, dass ich auslesen möchte, auf welche Ordner auf dem Fileserver ein User explizit Zugriff hat (statt über die Gruppe). Kann ich das auch damit abfragen?

**BugFix**

kann ich dir aus dem Kopf nicht sagen. Starte mal Scriptomatic und schau nach, welche Methoden dir die einzelnen Klassen bieten.

Edit:
Soweit ich das nachgelesen habe, existiert keine interne Möglichkeit um kurz und knackig die Zugriffsrechte von Usern für eine Verzeichnisstruktur abzufragen.
Also musst du auf externe Mittel zugreifen: AccessEnum von Sysinternals

DasIch

Alles klar, dann teste ich mal ein bisschen mit WMI. Ansonsten schau dir mal den Code oben an, vielleicht fällt dir noch ein, was man besser machen könnte.

P.S.: AccessEnum braucht noch länger als mein script

**BugFix**

Kannst aber auch mal mit icacls probieren. Mußt dann das Ergebnis noch durchsortieren. Vielleicht geht das schneller.

AutoIt

$aRights = _GetRights('C:\Code_AutoIt')
_ArrayDisplay($aRights)


Func _GetRights($sPathOrFile)
	Local $sCMD = "icacls " & $sPathOrFile
	Local $iPID = Run(@ComSpec & " /c " & $sCMD, "", @SW_HIDE, $STDOUT_CHILD)
	ProcessWaitClose($iPID)
	Local $sOutput = StdoutRead($iPID)
	Return StringSplit(StringTrimRight(StringStripCR($sOutput), StringLen(@CRLF)), @CRLF)
EndFunc

Alles anzeigen

DasIch

Damit geht es zwar, soweit ich weiß, kann icacls aber nicht beibringen, dass er ausschließlich Ordnerberechtigungen auslesen soll, oder?

Ich habe das hier gefunden für WMI. Leider geht das nur für einen Ordner und nicht für alle unter "\\server\D$\Daten"...

AutoIt

On Error Resume Next


Set wmiFileSecSetting = GetObject( _
 "winmgmts:Win32_LogicalFileSecuritySetting.path='\\server\D$\Daten'")


RetVal = wmiFileSecSetting. _
GetSecurityDescriptor(wmiSecurityDescriptor)


If Err <> 0 Then
	WScript.Echo "Fehler!" & VBCRLF & Err.Number & VBCRLF & Err.Description
	WScript.Quit
End If


DACL = wmiSecurityDescriptor.DACL


For each wmiAce in DACL


	Set Trustee = wmiAce.Trustee
	wscript.echo "Trustee Name: "    & Trustee.Name

Next

Alles anzeigen

Runa

AutoIt

Global $sPath, $oWMI, $sDir = "O:\"


_GetFilesRec($sDir)


Func _GetFilesRec($sDir, $fRec = False)
	If Not $fRec Then
		$sPath = $sDir
		$sOwner = _FileOwner($sPath, $oWMI)
		ConsoleWrite($sPath & " = " & $sOwner & @LF)
	EndIf
	$hFileSearch = FileFindFirstFile($sDir & "\*.*")
	While 1
		$sPath = $sDir & FileFindNextFile($hFileSearch)
		If @error Then ExitLoop


		If StringInStr(FileGetAttrib($sPath), "D") Then
			$sOwner = _FileOwner($sPath, $oWMI)
			ConsoleWrite($sPath & " = " & $sOwner & @LF)
			_GetFilesRec($sPath & "\", True)
		EndIf


	WEnd
EndFunc


Func _FileOwner($varName, ByRef $oWMIService)
    Dim $objSD
    If Not IsObj($oWMIService) Then $oWMIService = ObjGet("winmgmts:")
    Local $oFolderSecuritySettings = $oWMIService.Get("Win32_LogicalFileSecuritySetting='" & $varName & "'")
	If Not IsObj($oFolderSecuritySettings) Then Return
    Local $intRetVal = $oFolderSecuritySettings.GetSecurityDescriptor($objSD)
	Dim $arrACEs = $objSD.DACL


    If $intRetVal = 0 Then
		$sReturn = ""
		For $objACE In $arrACEs
			$sReturn &= $objACE.Trustee.Domain & "/" & $objACE.Trustee.Name & "|"
		Next
		Return StringTrimRight($sReturn, 1)
    Else
        Return "Couldn't retrieve security descriptor."
    EndIf
EndFunc   ;==>_FileOwner

Alles anzeigen

Weiß zwar nicht, was dir dein Script (was hier bereits in erweiterter Form ausgeführt wird, indem es noch die Domain mit angibt) bringen soll, da es nicht einen Hauch von "Berechtigungen" widergibt, sondern einfach bloß "ähm... ja, auf dem Ordner existieren Berechtigungen für den Nutzer... oder auch nicht. Keine Ahnung. Jedenfalls gibt es den da. Und es ist für ihn etwas spezifischer." - aber das wirst du wohl wissen.

DasIch

Es gibt bei einem Kunden das Problem, dass manche User explizit freigegeben sind für unterschiedliche Ordner, und das ist eine Altlast. Der Restrukturierung des Active Directories wegen wäre es somit nützlich, zu wissen welche Ordner in der Struktur für einzelne User freigegeben sind. Da die Ordnerstruktur recht tief ist, und auch weiter unten noch Berechtigungen vergeben wurden, ist das ein Mammutprojekt welches man durch dieses Skript deutlich verkürzen kann. Es soll geschaut werden, welche Userberechtigungen durch Gruppenberechtigungen ersetzt werden können, und welche Berechtigungen ohnehin sinnfrei sind.

Ich schaue mir dein Skript gleich an und ergänze dann hier nochmals, falls ich Fragen habe. Danke jedenfalls für deine Hilfe!