Hat sich von euch schon einmal jemand mit dem Auslesen und Dokumentieren von Freigabe- und NTFS-Berechtigungen auf Windows-Fileservern beschäftigt? Das zu untersuchende Volumen ist keine Kleinigkeit und verteilt sich auf vier Server. Sowohl die Verzeichnistiefe als auch die Datenmenge sind erheblich. Bevor wir uns mit kostenpflichtigen Tools beschäftigen, möchten wir uns gerne zunächst mit der Thematik auseinandersetzen und Erfahrungen sammeln. Beispielsweise würden uns die Möglichkeiten eines Reports, der Umfang der zu erwartenden Informationen sowie eine sinnvolle Filterung interessieren.
Im ersten Schritt geht es uns im Grunde um die Ermittlung personenbezogener Berechtigungen, also um die Zugriffe, die nicht ausschließlich gruppenbasiert sind. Im zweiten Schritt sollten dann die Gruppenmitgliedschaften aufgelöst werden. Das Ganze soll dann durch ein erstes Review der Abteilungsleiter und der Geschäftsführung gehen. Es sollen keine aktiven Aktionen an den Berechtigungen ausgeführt werden, wie es beispielsweise in professionellen IAM-Systemen der Fall wäre. Uns reicht zunächst eine passive Bestandsaufnahme.
Hat jemand bereits Erfahrungen mit Skriptsammlungen und Open-Source-Lösungen gesammelt? Auf GitHub gibt es beispielsweise eine Fülle von Skripten zu dieser Thematik, aber eine Vorauswahl mit Erfahrungsaustausch wäre sehr hilfreich.
Berechtigungs Audit in Windows Active Directory Fileserver
Das Active Directory ist m.E. nicht relevant.
Ich hab mich dem noch nicht gewidmet, fände aber ein Tool auch hilfreich. Konzeptionell brauchst Du eigentlich nur eines, das auf dem Server den Baum aufzählt, auf jedem Directory und jeder Datei icacls und Get-Acl() (wg. Owner - k.A. wie das mit icacls abfragbar ist) aufruft, und alles wegfiltert was ererbt ist - richtig?
Hast Du eine Liste der Tools auf github etc und eine erste Bewertung im Sinne, könnte das oder ist obskur? Oder was brauchst Du noch?
Von allem, was ich bislang gefunden habe, habe ich jetzt zwei Kandidaten identifiziert, die ich mir näher anschauen möchte:
- AccessControlDsc (NtfsAccessEntry) [1]
- NTFSSecurity [2]
Damit werde ich mich zunächst beschäftigen, es sei denn, jemand macht einen besseren Vorschlag. Ausprobiert habe ich noch keines davon. Ich habe im Moment keine Möglichkeit, das zu testen (zu Hause habe ich kein Windows). Aber am Montag schaue ich mir das genauer an. Was dabei herauskommt, weiß ich noch nicht. Wenn jemand so etwas schon einmal gemacht hat, könnte er mich möglicherweise vor der einen oder anderen Sackgasse bewahren.
Der Hinweis auf das Active Directory war nur als Präzisierung der Infrastruktur gedacht.
[1] https://github.com/jcwalker/AccessControlDsc
[2] https://github.com/raandree/NTFSSecurity