AD ACL Scanner

Tin minte ca acum multi ani pusesem la dispozitie cateva scripturi pentru a ajuta la localizarea locurilor din AD unde au fost setate delegari.

Mai nou, exista un script (e scris in Powershell si are si interfata grafica) facut de un angajat MS ce va poate ajuta sa documentati foarte usor permisiunile din Active Directory.

Se numeste AD ACL Scanner si il puteti downloada de aici: https://adaclscan.codeplex.com/

Bineinteles ca fiind un script powershell va fi nevoie sa aveti execution policy setat pe unrestricted (Set-ExecutionPolicy Unrestricted). Odata rulat interfata arata asa:

Optiunea default in Scan Depth este base adica va scana doar containerul selectat, dar puteti selecta subtree si va lua la verificat toate containerele de sub el pentru un raport complet. Bineinteles ca exista si optiunea de a scana alte tipuri de obiecte, nu doar OU-uri.

Daca selectati optiunea SD Modified Date veti putea vedea si data cand ACL-ul a fost modificat:

Alte functionalitati importante ar fi optiunea de filtrare dupa un anumit obiect sau user, optiunea de a compara raportul actual cu unul mai vechi (pentru a observa schimbarile) si functionalitatea de export in CSV.

Mai jos iata un exemplu in care caut delegarile din tot domeniul pentru un anumit utilizator:

Asa ca nu mai stati pe ganduri, folositi scriptul pentru a va pune in ordine documentatia pentru AD.

PS: are si functia pe care o facusem eu via vbscript de a gasi inheritance disabled (obiectele cu inheritance disabled vor fi marcate cu rosu in raport).