Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2919 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Listing des répertoires accessibles par utilisateur AD

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Listing des répertoires accessibles par utilisateur AD

n°131575
pem43
Posté le 09-06-2015 à 11:22:20  profilanswer
 

Bonjour,
 
J'aimerai trouver une solution qui me permettrait de lister les répertoires accessibles de mon serveur de fichiers pour un utilisateur "Active Directory" donné.
 
Bien sur, je ne souhaite pas que l'outil en question scanne toute l'arborescence du serveur de fichiers (plusieurs millions de répertoires... le résultat serait illisible) mais par exemple jusqu'à 2 ou 3 sous-répertoires pour chaque partage.
 
Est-ce qu'un utilitaire de ce type existe?
Comment faites-vous quand votre hiérarchie vous demande la liste des répertoires accessibles par un utilisateur précis? (vous ne donnez que la liste des groupes AD auxquels il appartient?)
 
Merci d'avance pour votre aide  ;)  

mood
Publicité
Posté le 09-06-2015 à 11:22:20  profilanswer
 

n°131576
Je@nb
Modérateur
Kindly give dime
Posté le 09-06-2015 à 11:24:09  profilanswer
 

powershell

n°131577
pem43
Posté le 09-06-2015 à 11:34:40  profilanswer
 

ah... merci  ;)  
 
hum...  :whistle: ... bon va falloir que je me plonge dans powershell pour voir comment ça marche et développer le script qui va bien alors  :sweat:  
 
Personne n'a un outil plus simple? même payant?

n°131578
Je@nb
Modérateur
Kindly give dime
Posté le 09-06-2015 à 12:02:40  profilanswer
 

varonis :D

n°131714
CK Ze CaRi​BoO
Posté le 11-06-2015 à 20:36:25  profilanswer
 

Une bonne pratique, quand on a un gros serveur de fichiers, consiste à créer un groupe d'accès pour chaque dossier (ou un en lecture, un en écriture aussi).
Du coup quand tu donnes juste les groupes, t'es renseigné.
Tu crées une arborescence type :
Disque
- Service 1
-- Dossier 1
-- Dossier 2
-- Dossier 3
- Service 2
-- Dossier 1
-- Dossier 2
-- Dossier 3
- Service 3
-- Dossier 1
-- Dossier 2
-- Dossier 3
 
Et tes groupes :
Service1_Dossier1_R
Service1_Dossier1_RW
etc...
 
Pour les scripts powershell, tu devrais faire un tour sur le script center repository où tu pourrais trouver des scripts tout faits.
https://gallery.technet.microsoft.com/scriptcenter


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°131724
Je@nb
Modérateur
Kindly give dime
Posté le 11-06-2015 à 21:49:18  profilanswer
 

Mouais, paie ton usine a gaz

n°131727
CK Ze CaRi​BoO
Posté le 11-06-2015 à 23:00:41  profilanswer
 

C'est ce qui fonctionne dans un groupe de 32.000 personnes [:spamafote]


---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°131728
Je@nb
Modérateur
Kindly give dime
Posté le 11-06-2015 à 23:06:43  profilanswer
 

Mais tu fais partie de combien de groupes ? Tu exploses la taille de ton token kerberos là :/

n°131729
CK Ze CaRi​BoO
Posté le 11-06-2015 à 23:24:52  profilanswer
 

Le serveur de fichiers est organisé de façon à ne pas avoir 10.000 arborescences différentes, une par unité de production (c'est de l'industrie), et ensuite des services en dessous, puis des équipes.
 
On a effectivement déjà vu des problèmes de taille de tickets kerberos sur des personnes ayant fréquenté 3 ou 4 services sans jamais que leur appartenance aux groupes soit retirée.
 
De mémoire ça faisait genre 50 groupes pour ceux là.
Un utilisateur lambda appartient à une douzaine de groupes en moyenne, pas plus.
 
ps : cette orga est initialement plus longue à mettre en place, mais ensuite très simple à faire vivre pour les équipes de helpdesk.


Message édité par CK Ze CaRiBoO le 11-06-2015 à 23:25:55

---------------
The only thing necessary for the triumph of evil is for good people to do nothing.
n°131731
nex84
Dura lex, sed lex
Posté le 12-06-2015 à 08:34:46  profilanswer
 

Par contre, niveau scalabilité c'est pas top ...


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
mood
Publicité
Posté le 12-06-2015 à 08:34:46  profilanswer
 

n°131733
pem43
Posté le 12-06-2015 à 09:03:34  profilanswer
 

Oui, ici aussi, on a cette politique de répertoires par service :
- un répertoire accessible uniquement par le chef de service
- un autre que par les membres du service
- un autre en lecture pour toute l'entreprise mais en écriture que par les membres du services
... et à chaque fois avec les groupes qui vont bien.
 
Normalement, on essaye de ne pas trop s'écarter de cette politique et de ne pas trop rajouter de droits nominatifs sur les répertoires...  
Mais par exemple, quand une personne change de service, on lui laisse les droits sur son ancien service le temps qu'elle finisse sa migration... et du coup, ça peut arriver qu'on oublie ensuite de lui enlever les anciens droits...
 
donc si il y avait un outil pas trop compliqué pour vérifier qu'il n'y a pas d'erreur ça me plairait bien ;)


Message édité par pem43 le 12-06-2015 à 09:07:49
n°131738
nex84
Dura lex, sed lex
Posté le 12-06-2015 à 11:36:40  profilanswer
 

Avec ce genre d'organisation, il faut bien border le process de changements d'équipe/d'organisation.
Pour pouvoir adapter les appartenances aux bons groupes dès qu'il y a un changement (changement de service, nouveau service, départ et arrivée des personnes).
 
Reste que si l'organisation change ou grandit et que certains utilisateurs aient besoin d'avoir beaucoup d'accès, le risque d'arriver à la limite grandit.


---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
n°131743
nebulios
Posté le 12-06-2015 à 11:51:41  profilanswer
 

Soit tes filers fonctionnent à l'ancienne et dans ce cas tu listes les groupes d'appartenance correspondants.
 
Soit tu utilises le DAC et la tu listes les attributs AD.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Sécurité

  Listing des répertoires accessibles par utilisateur AD

 

Sujets relatifs
erreurs AD (event: 1865 1566 1311)conflit UPN AD et Session RDP
GLPI et AD 2003Connexion à OCS par Windows AD en SSO
LDAP Windows AD LDS pour Application web PhpConnection lente à l'ouverture de session sur un domaine AD
Authentification AD échoue, accès par IPMigration d'un AD vers un autre
Augmentation niveau fonctionnel ADProblème avec un profil sur AD [résolu] merci tout seul
Plus de sujets relatifs à : Listing des répertoires accessibles par utilisateur AD


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR