Как выгрузить список групп, назначенных на тот или иной объект в AD или объектов?

Question

[Евгений]

Коллеги,


Подскажите, пожалуйста, существует ли софт, который может решить следующие задачи:


1) Выгрузить список групп, назначенных на тот или иной объект в AD

2) Выгрузить список всех Security-групп, находящихся внутри того или иного контейнера

3) Выгрузить список объектов, находящихся внутри того или иного контейнера


Слышал, что это можно реализовать при помощи скриптов или Power Shell, но я пока нахожусь в начале нелегкого пути системного администрирования и эти инструменты мне еще не знакомы.


Выгрузка нужна для того, чтобы проанализировать существующие секьюрити-группы, а их у нас очень много.

Answer 1

[papersaltserver]

1. Бесплатно — писать скрипт, платно www.paramountdefenses.com/goldfinger
2. В gui — сделать запрос в оснастке aduc, в консоле — соответствующий ldp запрос
3. Аналогично 2.

Comments

[papersaltserver]

ах ну вот ещё какая-то Liza нашлась www.ldapexplorer.com/en/liza.htm. А вообще запрос в гугле «audit active directory object permissions»

[Евгений]

Спасибо! Плюсанул карму. Попробую поэкспериментировать.

Answer 2

[alexxerm]

Есть оснастка в powershell позволяющая управлять AD
К примеру
запрос всех пользователей AD: get-qaduser
запрос всех групп домена: get-quagroup
И с условиями
Запрос всех групп лежащих в корневом контейнере в папке global groups: get-qadgroup | ?{$_.ParentContainer -like "*global*"}
Запрос пользователя по фамилии с выводом всех свойств: get-qaduser|?{$_.name -like "*иванов*"} |fl

Возможностей много, более подробно описано на сайте проекта powergui, там же альтернативная GUI оснастка для управления AD написанная на базе вышеописанных команд

Answer 3

[Антон Смирнов]

можно и через powershell, можно и стандартными dsquery | dsget