Active Directory'deki (AD) herhangi bir nesnenin güvenlik izinlerini görüntüleme
PowerShell kullanarak AD kullanıcısının, grubunun veya başka nesnelerin izinlerini nasıl görüntüleyeceğinizi ve bu işlemleri ADManager Plus ile nasıl kolayca yapabileceğinizi öğrenmek için okumaya devam edin.
Windows PowerShell
- İzinlerinin görüntüleneceği nesnenin içinde bulunduğu etki alanını tanımlayın.
- AD nesnesinin izinlerini görüntülemek için komut dosyasını oluşturun ve derleyin. Komut dosyasını PowerShell'de yürütün.
- Bir AD kullanıcı hesabı için parola ayarını 'kullanıcı bir sonraki oturumda parolayı değiştirmelidir' olarak değiştirmek için örnek komut dosyası:
Kopyalandı
$securityreport = @()
$schemaGUID = @{}
$ErrorActionPreference = 'SilentlyContinue' Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaGUID=*)' -Properties name, schemaGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.schemaGUID,$_.name)} Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.rightsGUID,$_.name)} $ErrorActionPreference = 'Continue' # Get a list of AD objects. $AOs = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName) $AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName $AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName ForEach ($AO in $AOs) { $securityreport += Get-Acl -Path "AD:\$AO" | Select-Object -ExpandProperty Access | Select-Object @{name='organizationalunit';expression={$AO}}, ` @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaGUID.Item($_.objectType)}}}, ` @{name='inheritedObjectTypeName';expression={$schemaGUID.Item($_.inheritedObjectType)}}, ` * } # Filter by single user and export to a CSV file. $User ='Username' $securityreport | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique | Export-Csv -Path "D:\report\permissions.csv" -NoTypeInformation
$schemaGUID = @{}
$ErrorActionPreference = 'SilentlyContinue' Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter '(schemaGUID=*)' -Properties name, schemaGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.schemaGUID,$_.name)} Get-ADObject -SearchBase "CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)" -LDAPFilter '(objectClass=controlAccessRight)' -Properties name, rightsGUID | ForEach-Object {$schemaGUID.add([System.GUID]$_.rightsGUID,$_.name)} $ErrorActionPreference = 'Continue' # Get a list of AD objects. $AOs = @(Get-ADDomain | Select-Object -ExpandProperty DistinguishedName) $AOs += Get-ADOrganizationalUnit -Filter * | Select-Object -ExpandProperty DistinguishedName $AOs += Get-ADObject -SearchBase (Get-ADDomain).DistinguishedName -SearchScope Subtree -LDAPFilter '(objectClass=*)' | Select-Object -ExpandProperty DistinguishedName ForEach ($AO in $AOs) { $securityreport += Get-Acl -Path "AD:\$AO" | Select-Object -ExpandProperty Access | Select-Object @{name='organizationalunit';expression={$AO}}, ` @{name='objectTypeName';expression={if ($_.objectType.ToString() -eq '00000000-0000-0000-0000-000000000000') {'All'} Else {$schemaGUID.Item($_.objectType)}}}, ` @{name='inheritedObjectTypeName';expression={$schemaGUID.Item($_.inheritedObjectType)}}, ` * } # Filter by single user and export to a CSV file. $User ='Username' $securityreport | Where-Object {$_.IdentityReference -like "*$User*"} | Select-Object IdentityReference, ActiveDirectoryRights, OrganizationalUnit, IsInherited -Unique | Export-Csv -Path "D:\report\permissions.csv" -NoTypeInformation
ADManager Plus
- Raporlar > Güvenlik Raporları > Hesaplar tarafından erişilebilen AD nesneleri alanına gidin.
- İzinlerini görüntülemek istediğiniz Etki Alanı ve Kullanıcı Hesabını/Hesaplarını seçin. Hatta bu listeyi bir CSV dosyasından içe aktarabilirsiniz. Uygula öğesine tıklayın.
Ekran görüntüsü
» 30 günlük ücretsiz deneme süresini başlatın
Bu rapor, bir AD hesabının erişim izinlerine ilişkin içgörüler sağlar.
PowerShell gibi yerel araçlarla AD nesneleri için izinleri görüntülemek basit gibi görünse de birkaç sınırlamaya tabidir:
- PowerShell komut dosyası, yalnızca Active Directory Etki Alanı Hizmetleri rolünün yüklü olduğu bilgisayarlarda çalıştırılabilir.
- Başka AD nesneleri için herhangi bir iznin gerekli olduğu durumlarda yeni ve karmaşık bir komut dosyasının yazılması gerekir.
- Söz diziminin, parametrelerin ve tekrarların doğru olması gerekir. Özellikle komut dosyası uzun ise bir yazım hatası veya yanlış söz diziminin tespit edilmesi ve düzeltilmesi zor olabilir.
AD izinlerini sürekli olarak izleyerek güvenlik risklerini azaltın
BT yöneticilerinin, AD nesneleri üzerindeki izinleri görüntülemelerini ve analiz etmelerini sağlayacak raporlara erişebilmesi önemlidir. Bunu yapmak, kullanıcıları onlara gündelik işleri için gerekli olmayan izinleri veren gruplardan çıkarmalarına yardımcı olur.
ADManager Plus, yalnızca birkaç tıkla yöneticilerin web tabanlı GUI konsolundan ayrıntılı izin raporları almasına imkan verir. Ayrıca raporları planlama ve e-posta ile otomatik olarak gönderme seçenekleri de mevcuttur. Buradan AD izinleri raporları hakkında daha fazla bilgi edinin.
Amaca yönelik olarak oluşturulmuş raporlarla NTFS izinleri ve dosya paylaşımları üzerinde eksiksiz kontrol sahibi olun.
30 günlük ücretsiz deneme sürümünü edinin.İlgili Powershell Nasıl Yapılır Kılavuzları:
-
AD Kullanıcı Yönetimi için
- Powershell kullanarak AD'de yeni kullanıcı hesapları oluşturma
- PowerShell kullanarak Active Directory kullanıcılarını CSV'den içe aktarma
- Powershell kullanarak AD kullanıcı özniteliklerini değiştirme
- PowerShell kullanarak Active Directory kullanıcı hesaplarını etkinleştirme
- PowerShell kullanarak AD hesaplarını devre dışı bırakma
- Powershell kullanarak AD'de kullanıcı hesaplarını silme
- Powershell kullanarak AD kullanıcı hesaplarını taşıma
- PowerShell kullanarak kullanıcıları Active Directory grubundan kaldırma
- Powershell kullanarak AD Hesapları için son geçerlilik tarihi belirleme
- Powershell kullanarak AD Hesap Denetimi Değerlerini Değiştirme
- Powershell kullanarak AD hesaplarının kilidini açma
- Powershell kullanarak AD Nesnelerini değiştirme
- Powershell kullanarak AD hesaplarını hiçbir zaman sona ermeyecek şekilde ayarlama
- Powershell Komut Dosyalarıyla AD kullanıcısına proxy adresi ekleme
-
AD Kullanıcı Raporlaması için
- Powershell kullanarak tüm AD kullanıcılarının raporunu alma
- Powershell kullanarak etkin/devre dışı AD kullanıcı hesaplarını alma
- Etkinleştirilmiş AD kullanıcıları raporunu Powershell kullanarak dışa aktarma
- Powershell kullanarak AD'de devre dışı bırakılan kullanıcılar raporunu alma
- PowerShell kullanarak Active Directory hesabı durum raporlarını alma
- Powershell kullanarak kilitli AD kullanıcı hesaplarını bulma
- Powershell kullanarak AD'de hesap süresi dolmuş kullanıcıları bulma
- Powershell kullanarak AD kullanıcı hesaplarının son oturum açma zamanını alma
- Powershell ile hiçbir zaman sona ermeyecek şekilde ayarlanmış AD kullanıcı hesaplarını listeleme
-
GPO Yönetimi için
- Powershell kullanarak GPO oluşturma
- PowerShell kullanılarak GPO bağlantılarını oluşturma ve kaldırma
- Powershell kullanarak GPO'yu düzenleme
- Powershell kullanarak Bağlantısı Kaldırılış GPO'yu Görüntüleme
- Powershell kullanarak GPO Listesini alma
- Powershell kullanarak GPO Bağlantı Raporu alma
- Powershell kullanarak GPO'yu yedekleme ve geri yükleme
-
Parola Yönetimi için
- PowerShell kullanarak AD kullanıcılarının parolasını değiştirme
- PowerShell kullanarak AD kullanıcısının son parola değiştirme tarihini bulma
- Powershell kullanarak AD hesapları için parola belirleme
- PowerShell ile AD kullanıcısının bir sonraki oturum açışında parolayı değiştirme gerekliliğini ayarlama
- Powershell kullanarak AD kullanıcı parolasını hiçbir zaman sona ermeyecek şekilde ayarlama
- Powershell kullanarak parolalarının süresi hiçbir zaman sona ermeyecek AD Kullanıcılarının Listesini alma
- Powershell kullanarak AD Kullanıcılarının Parola Süresini Sona Erme Tarihini Alma
-
AD Grup Yönetimi için
- Powershell kullanarak Active Directory grupları oluşturma
- Powershell kullanarak Active Directory gruplarına kullanıcı ekleme
- Powershell kullanarak bir grubu başka bir AD Grubunun üyesi olarak ekleme
- Powershell kullanarak AD kullanıcıları için ana grup üyeliği ekleme
- PowerShell komut dosyalarını kullanarak AD grubu özniteliklerini değiştirme
- Powershell kullanarak Active Directory gruplarını silme
- PowerShell kullanarak bir grubu AD'deki başka bir gruptan kaldırma
- Powershell kullanarak dinamik dağıtım grupları oluşturma
- Powershell'i kullanarak dağıtım grupları oluşturma
- PowerShell kullanarak dağıtım gruplarına birden fazla üye ekleme
- Powershell kullanarak AD'de grup üyeliği raporu
-
Dosya Erişim Yönetimi İçin
- Active Directory'de klasör izinlerini ayarlama ve değiştirme
- Powershell kullanarak AD'de dosya ve klasör izinlerini algılama
- Powershell'i kullanarak kullanıcının dosya ve klasör erişim izinlerini dışa aktarma
- Powershell kullanarak tüm AD nesnelerinin izinlerini alma
- Powershell kullanarak klasörler ve alt klasörler için ACL'yi alma
- Powershell'i kullanarak NTFS izinlerini alma
-
AD Bilgisayar Yönetimi için
- PowerShell kullanarak AD Bilgisayar hesapları oluşturma
- PowerShell kullanarak AD Bilgisayar özniteliklerini değiştirme
- PowerShell kullanarak AD Bilgisayar hesaplarını etkinleştirme
- PowerShell kullanarak AD Bilgisayar hesaplarını devre dışı bırakma
- Powershell kullanarak AD Bilgisayar hesaplarını taşıma
- PowerShell kullanarak AD Bilgisayar hesaplarını kaldırma
- PowerShell kullanarak etkin olmayan AD Bilgisayar hesaplarını bulma
- Powershell kullanarak AD Bilgisayarının son oturum açma zamanını bulma
- Powershell Kullanarak AD Etki Alanındaki Bilgisayarları Listeleme
-
Office 365 Yönetimi için
- Office 365 Powershell Modülüne Bağlanma Kılavuzu
- PowerShell kullanarak Office 365 gruplarına kullanıcı ekleme
- Office 365 kullanıcı lisanslarını Powershell kullanarak değiştirme
- Powershell'i kullanarak hesabınızdaki tüm Office 365 lisanslarını görüntüleme
- Powershell kullanarak Office 365 lisansını kullanıcı hesaplarından kaldırma
- Powershell kullanarak Office 365 kullanıcıları lisans raporu
- Powershell kullanarak tüm Office 365 grup üyelerini alma
- Powershell kullanarak dinamik dağıtım grubu üyeleri raporu
- Powershell kullanarak dinamik dağıtım grupları raporu
-
Exchange Yönetimi için
- Exchange Online PowerShell'e Bağlanmak için Hızlı Kılavuz
- Powershell ile Exchange Online'da Posta Kutuları Oluşturma
- Powershell kullanarak posta kutularını Exchange Online'dan kaldırma
- PowerShell kullanarak Exchange Online dağıtım grupları listesini dışarı aktarma
- Powershell ile Exchange Server'da Posta Kutuları Oluşturma
- Powershell kullanarak kullanıcı posta kutularını Exchange Server'dan kaldırma
- PowerShell kullanarak Dağıtım Grubu Üyeleri Raporunu Dışa Aktarma