Listing des répertoires accessibles par utilisateur AD

Listing des répertoires accessibles par utilisateur AD - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 09-06-2015 à 11:22:20    

Bonjour,
 
J'aimerai trouver une solution qui me permettrait de lister les répertoires accessibles de mon serveur de fichiers pour un utilisateur "Active Directory" donné.
 
Bien sur, je ne souhaite pas que l'outil en question scanne toute l'arborescence du serveur de fichiers (plusieurs millions de répertoires... le résultat serait illisible) mais par exemple jusqu'à 2 ou 3 sous-répertoires pour chaque partage.
 
Est-ce qu'un utilitaire de ce type existe?
Comment faites-vous quand votre hiérarchie vous demande la liste des répertoires accessibles par un utilisateur précis? (vous ne donnez que la liste des groupes AD auxquels il appartient?)
 
Merci d'avance pour votre aide  ;)  

Reply

Marsh Posté le 09-06-2015 à 11:22:20   

Reply

Marsh Posté le 09-06-2015 à 11:24:09    

powershell

Reply

Marsh Posté le 09-06-2015 à 11:34:40    

ah... merci  ;)  
 
hum...  :whistle: ... bon va falloir que je me plonge dans powershell pour voir comment ça marche et développer le script qui va bien alors  :sweat:  
 
Personne n'a un outil plus simple? même payant?

Reply

Marsh Posté le 09-06-2015 à 12:02:40    

varonis :D

Reply

Marsh Posté le 11-06-2015 à 20:36:25    

Une bonne pratique, quand on a un gros serveur de fichiers, consiste à créer un groupe d'accès pour chaque dossier (ou un en lecture, un en écriture aussi).
Du coup quand tu donnes juste les groupes, t'es renseigné.
Tu crées une arborescence type :
Disque
- Service 1
-- Dossier 1
-- Dossier 2
-- Dossier 3
- Service 2
-- Dossier 1
-- Dossier 2
-- Dossier 3
- Service 3
-- Dossier 1
-- Dossier 2
-- Dossier 3
 
Et tes groupes :
Service1_Dossier1_R
Service1_Dossier1_RW
etc...
 
Pour les scripts powershell, tu devrais faire un tour sur le script center repository où tu pourrais trouver des scripts tout faits.
https://gallery.technet.microsoft.com/scriptcenter


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 11-06-2015 à 21:49:18    

Mouais, paie ton usine a gaz

Reply

Marsh Posté le 11-06-2015 à 23:00:41    

C'est ce qui fonctionne dans un groupe de 32.000 personnes [:spamafote]


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 11-06-2015 à 23:06:43    

Mais tu fais partie de combien de groupes ? Tu exploses la taille de ton token kerberos là :/

Reply

Marsh Posté le 11-06-2015 à 23:24:52    

Le serveur de fichiers est organisé de façon à ne pas avoir 10.000 arborescences différentes, une par unité de production (c'est de l'industrie), et ensuite des services en dessous, puis des équipes.
 
On a effectivement déjà vu des problèmes de taille de tickets kerberos sur des personnes ayant fréquenté 3 ou 4 services sans jamais que leur appartenance aux groupes soit retirée.
 
De mémoire ça faisait genre 50 groupes pour ceux là.
Un utilisateur lambda appartient à une douzaine de groupes en moyenne, pas plus.
 
ps : cette orga est initialement plus longue à mettre en place, mais ensuite très simple à faire vivre pour les équipes de helpdesk.


Message édité par CK Ze CaRiBoO le 11-06-2015 à 23:25:55

---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
Reply

Marsh Posté le 12-06-2015 à 08:34:46    

Par contre, niveau scalabilité c'est pas top ...


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 12-06-2015 à 08:34:46   

Reply

Marsh Posté le 12-06-2015 à 09:03:34    

Oui, ici aussi, on a cette politique de répertoires par service :
- un répertoire accessible uniquement par le chef de service
- un autre que par les membres du service
- un autre en lecture pour toute l'entreprise mais en écriture que par les membres du services
... et à chaque fois avec les groupes qui vont bien.
 
Normalement, on essaye de ne pas trop s'écarter de cette politique et de ne pas trop rajouter de droits nominatifs sur les répertoires...  
Mais par exemple, quand une personne change de service, on lui laisse les droits sur son ancien service le temps qu'elle finisse sa migration... et du coup, ça peut arriver qu'on oublie ensuite de lui enlever les anciens droits...
 
donc si il y avait un outil pas trop compliqué pour vérifier qu'il n'y a pas d'erreur ça me plairait bien ;)


Message édité par pem43 le 12-06-2015 à 09:07:49
Reply

Marsh Posté le 12-06-2015 à 11:36:40    

Avec ce genre d'organisation, il faut bien border le process de changements d'équipe/d'organisation.
Pour pouvoir adapter les appartenances aux bons groupes dès qu'il y a un changement (changement de service, nouveau service, départ et arrivée des personnes).
 
Reste que si l'organisation change ou grandit et que certains utilisateurs aient besoin d'avoir beaucoup d'accès, le risque d'arriver à la limite grandit.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 12-06-2015 à 11:51:41    

Soit tes filers fonctionnent à l'ancienne et dans ce cas tu listes les groupes d'appartenance correspondants.
 
Soit tu utilises le DAC et la tu listes les attributs AD.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed