Zugriffsrechte im Active Directory analysieren mit dem AD ACL Scanner

    Ein komplexer Dienst wie Active Directory wird bei größeren Installationen nicht nur von einem Admin verwaltet. Daher bietet es die Möglichkeit, bestimmte Aufgaben an verschiedene Benutzer oder Gruppen zu delegieren. Das kann über einen längeren Zeitraum zu einem Rechte-Wildwuchs mit entsprechenden Sicherheitsproblemen führen. Der kostenlose AD ACL Scanner liest alle Berechtigungen aus und zeigt anhand von Reports, wer wo im AD was darf.

    Die Bordmittel von Windows konzentrieren sich vor allem darauf, Privilegien auf bestimmte Objekte zu vergeben. Active Directory-Benutzer und -Computer bietet zu diesem Zweck einen eigenen Wizard (Befehl Objektverwaltung zuweisen), der AD-Rechte in Form von Aufgaben darstellt und diese in einer verständlichen Form beschreibt.

    Kein Reporting mit den AD-Tools von Windows

    Möchte man dagegen einen Überblick über die Berechtigungsstruktur einer Domäne oder eine OU gewinnen, dann muss man diese Informationen aus den Eigenschaften jedes Objekts unter Sicherheit => Erweitert separat auslesen.

    Der AD ACL Scanner berichtet über alle Zugriffsrechte, die User oder Gruppen auf bestimmte AD-Objekte haben.

    Diese Aufgabe vereinfachen zahlreiche kommerzielle Reporting-Tools für das Active Directory. Wer keine zu hohen Ansprüche hat, kann auch mit dem kostenlosen AD ACL Scanner die wichtigsten Informationen über die vergebenen Rechte extrahieren und aufbereiten. Dabei sollen mögliche Inkonsistenzen, zu großzügige Privilegien oder verwaiste Einträge aufgespürt werden.

    Beispielsweise könnte man der Frage nachgehen, ob bestimmten Benutzern irgendwann Rechte für bestimmte Tätigkeiten zugeteilt wurden, sie aber für diese nicht mehr zuständig sind. Um das AD nicht mit ungültigen Einträgen zu überfrachten, kann man mit diesem Tool nach Berechtigungen für User oder Gruppen suchen, die nicht mehr existieren.

    Einfache Filter-Optionen

    Die Bedienung des AD ACL Scanners ist aufgrund des überschaubaren Funktionsumfangs relativ einfach. Bevor man sich mit einer Domäne verbindet, wählt man aus, ob man nur die Hierarchie der OUs oder alle Objekte sehen möchte. In der angezeigten Struktur markiert man die Ebene, für die man einen Report erzeugen möchte.

    Prinzipiell kann man jetzt schon den Scan-Befehl ausführen. In der Regel möchte man aber nicht die zahlreichen Standardrechte für die eingebauten User und Gruppen sehen, weil sie normalerweise keine Probleme darstellen. Diese lassen sich über eine entsprechende Option ausblenden. Zusätzlich bietet das Tool einfache Filteroptionen, zum Beispiel um nur explizit verweigerte Rechte anzuzeigen.

    Berichte im HTML- und CSV-Format

    Berichte lassen sich im HTML-Format erzeugen oder als CSV-Datei für eine Weiterverarbeitung in Excel oder anderen Programmen exportieren. Die CSV-Option dient auch dazu, gespeicherte Reports mit dem Ist-Zustand des AD zu vergleichen. Auf diese Weise kann man Änderungen in den AD-Zugriffsrechten nachverfolgen.

    Systemvoraussetzungen und Verfügbarkeit

    Beim AD ACL Scanner handelt es sich um ein PowerShell-Script mit einer grafischen Oberfläche. Eine Installation ist daher nicht erforderlich, Voraussetzung ist nur PowerShell 2.0. Außerdem muss sichergestellt sein, dass unsignierte Scripts ausgeführt werden dürfen.

    Das Tool wurde vom schwedischen Microsoft-Mitarbeiter Robin Granberg geschrieben. Es kann kostenlos von Github heruntergeladen werden.

    Keine Kommentare