Desde Suecia con amor nos llega una gran herramienta de consulta. Su Plataforma de PFE's el pasado mayo editó un muy puen Post en su blog (ver aqui), donde hablaban de la herramienta AD ACL Scanner (la podemos descargar desde aqui).
[mantra-button-dark url="#"]¿Que hace AD ACL Scanner?[/mantra-button-dark]
¿Quién tiene documentado todos los permisos y la delegación de los mismos en su Directorio Activo? .... Yo no. Mal ejemplo doy. Estoy tenemos que cambiarlo.
Bien, esta herramienta genera informes sobre las listas de control de acceso a nuestro Directorio Activo. Ahora ya no tenemos escusa para no documentarlo.
Para ejecutar esta herramienta/script, necesitamos lo siguiente:
- PowerShell 2.0 o superior.
- Windows 7/Windows Server 2008 o superior.
- Habilitar la ejecución de scripts no firmados => Set-ExecutionPolicy Unrestricted , de andar por casa, o si queremos ser mas selectivos, Set-ExecutionPolicy Unrestricted -Scope CurrentUser
[mantra-button-dark url="#"]¿Cómo creamos un informe de una OU?[/mantra-button-dark]
Básicamente son tres sencillos pasos:
- Hacemos click en el botón de Connect la herramienta se conectará a nuestro Directorio Activo o a la partición que necesitemos, Configuración, Dominio, Esquema o Custom.
- Nos aparecerá el arbol del Directorio Activo con todas sus Unidades Organizativas donde podremos ir moviendonos y seleccionando.
- Cuando hayamos seleccionado una OU, ejecutaremos el escaneo pertinente, o sea, click en botón Run.
Este es un ejemplo de informe:
Opciones del Escaner:
- Por defecto solo se nos mostrará la información sobre la OU en la que estamos. Si queremos también la de todas sus hijas, deschequearemos el botón One Level. No tenemos que preocuparnos si la herramienta tarda en hacer su trabajo, sobre todo en grandes estructuras con infinitas OUs.
- Si queremos la fecha cuando los permisos fueron modificados tenemos que hacer un check en la opción Replication Medatada, añadiéndonos una columna a nuestro informe con dicho valor. Veamos otro ejemplo:
- También podemos visualizar todos los bojetos, cambiado la selección de OU a All Objects.
- Podemos seleccionar que el informe sea formato HTML o CSV o ambos formatos, fijando la ruta de destino del fichero en formato CSV así como podemos intercambiar el resultado entre ambos formatos.
Aunque donde esta herramienta demuestra todo su potencial es en los siguientes puntos:
[mantra-button-color url="#" color="#47AFFF"]Comparaciones[/mantra-button-color].- Podemos comparar el resultado del estado actual con un resultado de un estado previo. Al poder guardar la salida del informe en formato CSV podemos comparar ficheros a lo largo del tiempo y poder descubrir quién tiene ahora permisos que antes no tenía y viceversa.
[mantra-button-color url="#" color="#47AFFF"]Filtrado.[/mantra-button-color]- Podemos realizar los siguientes filtros:
- Filtro de permiso de Permitir o Denegar.
- Filtro por tipo de objeto, como pueden ser Usuarios, contactos, grupos, equipos, etc.
- Filtro "By Trustee", o sea por cualquier conjunto de letras que puedan corresponder a algo que se encuentre en nuestro Directorio Activo.
Con esta herramienta no se que escusa poner ahora.
Suerte.
No hay comentarios:
Publicar un comentario