Gerade in größeren und vor allem älteren Active Directory Umgebungen, häufen sich mit der Zeit eine Vielzahl von Berechtigungen und Delegierungen an. Oft finden sich darunter auch Berechtigungen mit verwaisten SIDs, beispielsweise wenn der Benutzer bereits gelöscht wurde, die ACL aber noch besteht. Diese verwaisten SIDs kennen viele von Fileservern und deren Berechtigungsstruktur.
Um die Berechtigungen innerhalb des Active Directory zu analysieren und zu auditieren, kann das Script “ADACLScanner” von Robin Granberg eingesetzt werden. Beim ACACLScanner handelt es sich um ein PowerShell Script, welches sich nach etwas Einarbeitung bequem via GUI oder Shell bedienen lässt.
Hier mal eine Übersicht der GUI:
Ein Report der Berechtigungen im Active Directory kann als HTML, CSV oder Excel Dokument ausgegeben werden. Hier mal ein Beispiel für den HTML Report:
Ziemlich praktisch ist, dass sich ein Scan in eine CSV Datei exportieren lässt und später auch wieder mit einem neuen Scan vergleichen lässt. So fallen Änderungen an den Berechtigungen und Delegierungen schnell auf. Hier mal ein Beispiel, bei dem der Benutzer “Support” Vollzugriff auf eine OU bekommen hat, welches noch nicht im vorherigen Scan noch nicht der Fall war:
Noch besser sind die vordefinierten Templates mit den Standardeinstellungen des Active Directory, so lassen sich beispielsweise Änderungen gegenüber dem Standard nachvollziehen. Gerade in älteren Umgebungen hat man somit erst einmal einen guten Startpunkt:
Bei den Templates muss bei Servern in deutscher Sprache allerdings etwas Hand angelegt werden, denn das Template enthält die englischen Namen, hier mal ein Beispiel:
Mit ein bisschen “Suchen & Ersetzen” ist dies allerdings schnell behoben. Da sich ADACLScanner auch direkt von der Powershell mit entsprechenden Parametern aufrufen lässt, ist das Tool gerade für das Audit des Active Directory geeignet. Mit ein paar Anpassungen am Script lassen sich so auch Änderungen an den Berechtigungen gegenüber dem Template wöchentlich per Mail schicken.
Hier gibt es einen guten Überblick, wie ADACLScanner eingesetzt werden kann:
Die aktuelle Version von ADACLScanner kann hier runtergeladen werden:
Super. danke für diesen Eintrag / Tool. Kannte ich nicht. Dieses Thema popt bei uns immer wieder auf.
cool, kannte das Tool bisher nicht, Danke