Dateiverzeichnisse: Bestimmte Berechtigungsgruppe auslesen und auflisten.

  • Hallo .... ^^

    Mein ehemaliger Chef (der hat es nun hinter sich) hat damals im Active-Directory einfach Gruppen ohne Dokumentation darüber anglegt, auf welche Verzeichnisebenen er diese Gruppen berechtigt hat.

    Kennt jemand von Euch eine Möglichkeit, wie eine bestimmte Berechtigungsgruppe oder ein User aus dem Root-Verzeichnis eines Servers rekursiv ausgelesen und in einer Datei aufgelistet werden kann?

    Ich hoffe Ihr versteht was ich meine :Glaskugel:

    Wie würdest Ihr es angehen, das herauszufinden?

    Freue mich über jede Hilfe.

  • Wir setzten zwar keines davon ein, aber es gibt viele Permission Audit bzw. Permission Reporting tools die sich über Google finden lassen.
    Mit einer entsprechend langen Testperiode kann man die Qualität und den Funktionsumfang sicher gut prüfen.


    Z.B. https://www.netadmintools.com/ntfs-permissio…orting-software

    Aber vielleicht genügt auch PowerShell: https://www.lepide.com/how-to/get-an-…powershell.html

  • Herzlichen Dank für die Tips.

    Kaufsoftware scheidet leider aus. Da hindert bei uns immer der zentrale Einkauf dran. Die wollen vor einem Softwarekauf immer ein ausführliches Lastenheft und eine Gefährdungsbeurteilung durch den Datenschutzbeauftragten und den ganzen Kram den keiner von und wirklich abarbeiten will. Das war für mich einer der Hauptgründe den Versuch zu starten, eine Skriptsprache wie Autoit zu erlernen.

    Der link zur Powershell schaut interessant aus.

    Powershell nutze ich schon um Reports der einzelnen Benutzern oder Gruppen aus der active-directory herzustellen. es ist nur so aufwenig für mich die ganzen PS-Tools mit der für die Windows-Version passenden ISOs zu installieren und zu skripten. Bin leider kein guter Skripter.

    Was ich interssant finde ist die in google-übersetzter Form getroffene Aussage des Webeditors aus Deinem ersten Link:

    Zitat

    Manager und Compliance-Prüfer fordern IT-Administratoren häufig auf, einen Bericht mit einer Liste der Dateifreigabeberechtigungen zu erstellen, die verschiedenen Personen und Gruppen erteilt wurden.

    Obwohl dies übergreifend klingt, ist es in Wirklichkeit notwendig, die kritischen Ressourcen einer Organisation zu schützen.

    Wenn eine Person oder Gruppe übermäßige Rechte und Berechtigungen für den Zugriff auf alle Dateien und Ordner erhält, kann dies zu ungerechtfertigten Änderungen an Dateien oder unangemessenem Zugriff führen. Solche Maßnahmen könnten für Organisationen gefährlich werden.

    Aus diesem Grund ist es wichtig, NTFS-Berechtigungen zu prüfen, und IT-Administratoren sollten Compliance-Berichte über den Zugriff und die Berechtigungen senden, die verschiedenen Benutzern für den Zugriff auf Dateien und Ordner erteilt wurden.

    Aus Sicht eines IT-Administrators ist diese ständige Berichterstellung und Überwachung eine mühsame und zeitaufwändige Aufgabe. Aus diesem Grund ist es hilfreich, über Tools zur Berichterstellung für Windows NTFS-Berechtigungen zu verfügen.

    Also dass ein Report der NTFS-Berechtigungs-Struktur notwendig ist bezweifle ich nicht. So etwas wurde bei uns seit 17 Jahren das zweite Mal angefordert. Und immer bei Chefwechsel ^^

    Mich interessiert dennoch sehr, wie weitere Forummitglieder Ihren Report der NTFS-Berechtigungs-Struktur in der Firma ausführen und vor allem auch auswerten.

    Einmal editiert, zuletzt von bazii (30. Dezember 2020 um 22:24)

    • Offizieller Beitrag

    Da hindert bei uns immer der zentrale Einkauf dran. Die wollen vor einem Softwarekauf immer ein ausführliches Lastenheft und eine Gefährdungsbeurteilung durch den Datenschutzbeauftragten und den ganzen Kram den keiner von und wirklich abarbeiten will.

    Nur mal am Rande:

    Sofern ihr irgendeine Form des Qualitätsmanagements verwendet, gilt das adäquat für jedes Softwareprodukt - dazu zählen auch selbst erstellte Skripte.

    Aber der Aufwand ist überschaubar:

    - Beschreibung des aktuellen Ablaufs

    - Beschreibung der Parts, die von der Software übernommen werden sollen

    - Parallellauf beider Verfahren zur Absicherung der Ergebnisgleichheit

    - Freigabe für den produktiven Einsatz

    Das passt auf ein DIN A4 Blatt. Alle 3 Jahre checkst du, ob alles noch wie gewollt läuft und vermerkst das auf dem Blatt: "weiterhin gültig, Datum/Unterschrift"

    Falls du mal solch ein Musterformular benötigst, melde dich.

  • Hallo!

    Wenn ich den ersten Satz richtig verstehe geht es um AD-Gruppen die z.B.: auf einen Fileserver für die Berechtigungen sorgen. Ich kann Dir schon helfen da ich selbst sehr viel beruflich damit zu tun habe, aber hier müssen noch ein paar Informationen her:

    Willst Du nur die AD-Struktur (Verschachtelungen) bis zu den Benutzer herausfinden?

    Willst Du feststellen welche Gruppe wo auf einen Fileservice berechtigt ist?

    wie sind die FS bereitgestellt?

    a.) viele Shares mit standard ACLs ? (Gruppe A_R darf nur lesen [read] und Gruppe A_W darf schreiben [write]

    b.) wenige Shars mit aufwenidger ACLs wo welcher Benutzer (Gruppe) schreiben darf?

    mit icacls.exe kannst Dich mal anfreunden. Sollte das nicht reichten kann ich Dir setacl von Helge Klein sehr ans Herz legen https://helgeklein.com/setacl/

    Was ich Dir sicher sagen kann: Du hast ein großes Erbe bekommen, so ganz ohne Doku!

    lg

    Racer

  • Hallo und frohes neues Jahr

    Was ich Dir sicher sagen kann: Du hast ein großes Erbe bekommen, so ganz ohne Doku!

    Oh ja, nicht nur damit. Ich habe auch noch andere Baustellen. Diese ist jetzt aber Prio 1 da die Geschäftsleitung einen Report von mir möchte, wer auf welche Verzeichnisse berechtigt ist und das ist ohne eine Doku nicht handlebar. Daraum benötige ich da dringend Hilfe.

    Willst Du nur die AD-Struktur (Verschachtelungen) bis zu den Benutzer herausfinden?

    Meinst Du damit die Gruppenzugehörigkeit der Benutzer in der AD?

    Falls ja, das kann ich mittels Powershell reporten.

    Willst Du feststellen welche Gruppe wo auf einen Fileservice berechtigt ist?

    Genau das ist mein Anliegen. Wir haben Gruppen bis 4 Verzeichnisebenen unterhalb diverser Hauptordner mit unterscheidlichen Berechtigungen. Das ganze läßt sich ohne einen Report welch Gruppe wo genau berechtigt ist, nicht mehr managen.

    wie sind die FS bereitgestellt?

    Meinst Du damit den Fileserver?

    Ich habe auf diesen keinen direkten Zugriff. Nur das freigegebene Sharelaufwerk mit den gesamten Verzeichnissen und Dateien auf dem Windows-Server. Die administration der Gruppen und Benutzer unterliegt uns.

    a.) viele Shares mit standard ACLs ? (Gruppe A_R darf nur lesen [read] und Gruppe A_W darf schreiben [write]

    Beides und viele.

    b.) wenige Shars mit aufwenidger ACLs wo welcher Benutzer (Gruppe) schreiben darf?

    Das haben wir so meine ich überhaupt nicht.


    mit icacls.exe kannst Dich mal anfreunden. Sollte das nicht reichten kann ich Dir setacl von Helge Klein sehr ans Herz legen https://helgeklein.com/setacl/

    Vielen Dank für den Tip. icacls.exe kann ich nicht verwenden weil ich das Windows-Serversystem nicht remoten kann. Ich muss quasi allein mit der Netzwerkfreigabe zurecht kommen können.

    "setacl" schau ich mir ab dem 11.01.2021 mal ganz genau an.

  • Sorry für den Doppelpost.

    Es ist ein Zwischenbericht, falls es jemanden interessieren oder auch weiterhelfen sollte .....

    Leider gibt mir keines der nachfolgend gelisteten Programme das als Protokollergebnis aus, was ich möchte :rolleyes: aber alle hier genannten Programme sind für Reports der Berechtigungsstrukturen auf Netzlaufwerke relativ gut zu gebrauchen.

    1. Das einfachste Tool ist:

    icacls.exe

    Das kann man entgegen meiner Befürchtungen wirklich gut auch auf alle Netzlaufwerke anwenden und ist in (zumindest) allen Windows 10 Installationen enthalten.

    Folgende Befehlszeile gibt einen Report aller Berechtigungen von allen Ordner und Dateien (rekursiv) aus.

    Code
    C:\WINDOWS\system32>icacls "Laufwerk\Ordner" /T > Laufwerk\Ordner\Protokoll.txt

    Fazit: Einfach zu bedienen aber bei Laufwerksabfragen mit Terrabyte vielen Verzeichnissen und Dateien ist das Protokoll fast nicht auswertbar.

    2. AccessEnum
    https://docs.microsoft.com/en-us/sysinter…oads/accessenum

    Das Tool (mit GUI) scannt rekursiv alle Dateien und Ordner im angegebenen Pfad. Einschränkungen auf bestimmte Dateitypen oder die Tiefe der Verzeichnis­struktur ist auch hier nicht machbar.
    Das Programm listet abweichende Rechte in den Strukturen der angegebenen Verzeichnisebene auf und erstellt einen exportierbaren Report.

    Die Standard-Einstellung haut schon mal alle Dateien aus dem Listview raus, wenn diese gleiche oder weniger Rechte haben wie das Mutter-Verzeichnis. Das Tool spezialisiert sich auf Ordner und Dateien, die durch abhebende Zugriffsrechte auffallen.

    Fazit brauchbar und erweitert zu 1 gut zu gebrauchen.

    3.

    Sollte das nicht reichten kann ich Dir setacl von Helge Klein sehr ans Herz legen https://helgeklein.com/setacl/

    Fazit:

    Ich zumindest konnte damit überhaupt keinen Report erstellen. Auch mit der Kommandozeilenoption von dem Proggi habe ich keine Option dazu gefunden.

    Es ist aber ein sehr gutes Verwaltungsprogramm und für die Berechtigungs-Verwaltung im Netzlaufwerk übersichtlicher als der Explorer.

    Was ich gut finde ist, dass alle Änderungen bei geöffnetem Programm endlos wieder rückgängig gemacht werden können. :ironie:

    4. dumpsec

    https://www.systemtools.com/somarsoft/

    Nach Angabe einer E-Mailadresse auf der Homepage bekommt man die Downloadlinks für eine x86 und x64 Version zugeschickt.

    Die recht altertümlich aussehende Software :) (erinnert mich an Windows XP) stammt lt. Dateieigenschaften aus dem Jahr 2016 (About kommt von 2011, Copyright ging bis 1998 :)) aber verrichtet einen sehr guten Dienst.

    Fazit:

    Es gibt viele Report-Optionen (Berichtmöglichkeiten für den Export für Verzeichnisberechtigungen oder Datei- und Verzeichnisberechtigungen und weitere sinnvolle Einstellungsmöglichkeiten.

    dumpsec ist die bislang für mich sinnvollste Möglichkeit, Verzeichnisberechtigungs-Strukturen auszulesen.

    Entscheiden muss jeder für sich selbst. Alle Programme sind etwas besonderes und verrichten ihren Dienst.

    Kennt jemand von Euch eine Möglichkeit, wie eine bestimmte Berechtigungsgruppe oder ein User aus dem Root-Verzeichnis eines Servers rekursiv ausgelesen und in einer Datei aufgelistet werden kann?

    Bin gerne für weitere Anregungungen dankbar, falls sich jemand damit auskennen sollte.

  • Auch eine schönes neues Jahr!

    Da warst Du eh schon sehr fleißig uns hast viele Tools gesammelt.

    Möglichweise habe ich noch einen Tipp für Dich: Du hast mir als Antwort gegeben das Ihr mehrere/viele Shares habe. Ich gehen davon aus dass hier nur auf Freigabeberechtigungen gesetztet wird (kann sein, muss nicht). Wenn ja, ist die Auswertung etwas leichter, denn Du musst dann nicht die ACL's analysieren (=mein persönlicher Alptraum).

    Wenn ich ein Fileservice (FS) anlegen, mache ich einen Ordner und gebe diesen frei auf 2 (können auch mehr sein) Gruppen. Bei den ACLs werden diese dann automatisch gesetzt und ich brauche mich nicht mehr darum kümmern was im 27ten Unterordner für eine Berchtigung ist. Das kannst Du mit Stichproben leicht überprüfen.

    Wenn ja, dann kannst sehr einfach mit rmtshare (ist ein altes Tools von WindowsNT4 noch) remote die Freigaberechte auslesen. https://ss64.com/nt/rmtshare.html

    Das geht aber auch mit der Powershell so weit ich weiß, nur ich bin da recht Old-School und verwende immer noch gerne die liebgewonnen alten Tools!

    Damit Deine Arbeit nicht zu leicht wird kommt jetzt das AD ins Spiel! Dort kannst Du nahezu beliebig verschachteln und das kann Dir den Tag auch ganz schön versauen!

    Beipiel:

    Am Fileserver ist der Ordner "Buchhaltung" für die AD-Gruppen "Buchhaltung_schreiben", "Controling_nur_lesen," und "Buchhaltung_schreiben" freigeben. Die ACL's sollten unter anderem diese AD-Gruppen auflisten.

    Das fiese ist jetzt das ich aber im AD in die Gruppe "Buchhaltung_schreiben" die Gruppe "Controling_alle" reingeben kann und diese Gruppe beinhaltet wieder "Controling_nur_lesen".

    Ergo, darf die Gruppe "Controling_nur_lesen" auch schreiben obwohl die Freigabe eigentlich sagt das ich "nur Lesen" darf!

    Auch hier ist es wichtig das Du die Berechtigung rekursiv übers AD verfolgst. Ich habe mir dazu ein kleines AutoIt Programm geschrieben das rekrusiv die Verschachtelung wieder auflöst und die Grupen in Gruppen genau anzeigt!

    Noch was, check mal ob am Share ACL's gibt die Benutzern erlauben die Attribute zu verändern (Fullcontroll)! Leider hatte ich so einen Fall, damit haben sie die Administratoren ausgesperrt im 12ten Unterordner. Wenn ja, sofort korriegeren, ein Benutzer (Gruppe) bekommt immer nur "lesen/ausführen" oder "ändern/lesen/ausführen/schreiben", niemals Vollzugriff

    drücke die Daumen!

    Racer

  • Beipiel:


    Am Fileserver ist der Ordner "Buchhaltung" für die AD-Gruppen "Buchhaltung_schreiben", "Controling_nur_lesen," und "Buchhaltung_schreiben" freigeben. Die ACL's sollten unter anderem diese AD-Gruppen auflisten.

    Das fiese ist jetzt das ich aber im AD in die Gruppe "Buchhaltung_schreiben" die Gruppe "Controling_alle" reingeben kann und diese Gruppe beinhaltet wieder "Controling_nur_lesen".

    Ergo, darf die Gruppe "Controling_nur_lesen" auch schreiben obwohl die Freigabe eigentlich sagt das ich "nur Lesen" darf!

    Glücklicher Weise hatten wir schon immer die Regelung, dass wir nur User mit Schreibrechten haben.

    Noch was, check mal ob am Share ACL's gibt die Benutzern erlauben die Attribute zu verändern (Fullcontroll)! Leider hatte ich so einen Fall, damit haben sie die Administratoren ausgesperrt im 12ten Unterordner. Wenn ja, sofort korriegeren, ein Benutzer (Gruppe) bekommt immer nur "lesen/ausführen" oder "ändern/lesen/ausführen/schreiben", niemals Vollzugriff

    Danke für den Tip. Das werde ich beherzigen.