¿Tenemos el control de los permisos en nuestro Directorio Activo? – Herramienta AD ACL Scanner.


El otro día me hacían una gran pregunta ¿Tenemos el control de los permisos en nuestro Directorio Activo? ¿Podemos revisar nuestra delegación de permisos en Directorio Activo?, es más ¿Podemos hacer tales cosas rápidamente.

Desde Suecia con amor nos llega una gran herramienta de consulta. Su Plataforma de PFE’s el pasado mayo editó un Post en su blog (ver aqui), donde hablaban de la herramienta AD ACL Scanner (la podemos descargar desde aqui).

¿Que hace AD ACL Scanner?

¿Quién tiene documentado todos los permisos y la delegación de los mismos en su Directorio Activo? …. Yo no. Mal ejemplo doy. Esto tenemos que cambiarlo.

Bien, esta herramienta genera informes sobre las listas de control de acceso a nuestro Directorio Activo. Ahora ya no tenemos escusa para no documentarlo.

Para ejecutar esta herramienta/script, necesitamos lo siguiente:

  • PowerShell 2.0 o superior.
  • Windows 7/Windows Server 2008 o superior.
  • Habilitar la ejecución de scripts no firmados => Set-ExecutionPolicy Unrestricted , de andar por casa, o si queremos ser mas selectivos, Set-ExecutionPolicy Unrestricted -Scope CurrentUser

adaclscan0001

¿Cómo creamos un informe de una OU?

Básicamente son tres sencillos pasos:

  1. Hacemos click en el botón de Connect la herramienta se conectará a nuestro Directorio Activo o a la partición que necesitemos, Configuración, Dominio, Esquema o Custom.
  2. Nos aparecerá el arbol del Directorio Activo con todas sus Unidades Organizativas donde podremos ir moviendonos y seleccionando.
  3. Cuando hayamos seleccionado una OU, ejecutaremos el escaneo pertinente, o sea, click en botón Run.

Este es un ejemplo de informe:

adaclscan0002

Opciones del Escaner:

  • Por defecto solo se nos mostrará la información sobre la OU en la que estamos. Si queremos también la de todas sus hijas, deschequearemos el botón One Level. No tenemos que preocuparnos si la herramienta tarda en hacer su trabajo, sobre todo en grandes estructuras con infinitas OUs.
  • Si queremos la fecha cuando los permisos fueron modificados tenemos que hacer un check en la opción Replication Medatada, añadiéndonos una columna a nuestro informe con dicho valor. Veamos otro ejemplo:

adaclscan0003

adaclscan0004

  • También podemos visualizar todos los bojetos, cambiado la selección de OU a All Objects.
  • Podemos seleccionar que el informe sea formato HTML o CSV o ambos formatos, fijando la ruta de destino del fichero en formato CSV así como podemos intercambiar el resultado entre ambos formatos.

Aunque donde esta herramienta demuestra todo su potencial es en los siguientes puntos:

Comparaciones.- Podemos comparar el resultado del estado actual con un resultado de un estado previo. Al poder guardar la salida del informe en formato CSV podemos comparar ficheros a lo largo del tiempo y poder descubrir quién tiene ahora permisos que antes no tenía y viceversa.

adaclscan0005

Filtrado.- Podemos realizar los siguientes filtros:

  • Filtro de permiso de Permitir o Denegar.
  • Filtro por tipo de objeto, como pueden ser Usuarios, contactos, grupos, equipos, etc.
  • Filtro “By Trustee”, o sea por cualquier conjunto de letras que puedan corresponder a algo que se encuentre en nuestro Directorio Activo.

Con esta herramienta no se que escusa poner ahora.

Suerte.

Anuncios

Publicado el 17/06/2013 en Directorio Activo, Recursos, Seguridad, Tools y etiquetado en . Guarda el enlace permanente. 2 comentarios.

  1. .. me encanta el blog y me viene de lujo esta herramienta…mil gracias
    Sigues igualito que en la foto ;)) Bss

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

masrobeznoquenunca

Comparto lo que hago y lo que veo.

El camino de un ITPro

El camino de un ITPro

adumont

Just another WordPress.com weblog

Marco Antonio's space

Una mirada dentro de mis ratos libres...

Marcelo Ruiz

Network and SocialMedia

A Digital Frontier...

Blog personal de Robert Garrandés Simancas ("Versión Beta")

enero11

Literatura para romper el tiempo.

A %d blogueros les gusta esto: