AD ACL Scanner est un outil fonctionnel qui a été entièrement écrit en powerhell. Il est utilisé pour créer des rapports sur les listes de contrôle d'accès (DACL) et les listes de contrôle d'accès au système (SACL) dans Active Directory. Il est particulièrement utile pour comparer rapidement les listes de contrôle d'accès utilisant l'USN à partir de métadonnées de réplication.
Il est relativement simple de commencer à utiliser le scanner AD ACL. L'application lance une interface graphique sans avoir à l'installer. Il vous suffit d'appeler le fichier script et d'afficher les droits dans l'interface correspondante.
Les principales caractéristiques sont les suivantes :
- Consultez les rapports HTML des DACL/SACL et enregistrez-les sur disque.
- Ne signaler que les DACL/SACL explicitement attribués.
- Rapport sur les OU, les OU et les objets en conteneur ou tous les types d'objets.
- Signaler le propriétaire de l'objet.
- Filtrez les DACL/SACL pour un type d'accès spécifique. Où existe-t-il une autorisation de "refus" ?
- Filtrez les DACL/SACL pour obtenir une autorisation sur un objet spécifique. Où sont fixées les autorisations sur les objets informatiques ?
- Filtrez les DACL/SACL pour une identité spécifique. Où les "Domain\Client Admins" ont-ils un accès explicite ? Ou utilisez des caractères de remplacement comme "jdoe".
- Filtrez les DACL/SACL pour obtenir une autorisation sur un objet spécifique. Où sont fixées les autorisations sur les objets informatiques ?
- Sauter les autorisations par défaut (defaultSecurityDescriptor) dans le rapport.
- Connectez-vous et parcourez votre domaine, schéma, configuration ou contexte de nommage par défaut défini par distinguishedname.
- Exporter des DACL/SACL sur des objets Active Directory dans un format CSV.
- Comparez les résultats précédents avec la configuration actuelle et voyez les différences par schéma de couleur.
- Indiquer quand les autorisations ont été modifiées.
- Peut utiliser les métadonnées de réplication AD lors de la comparaison.
- Peut convertir un fichier CSV précédemment créé en un rapport HTML.
Pour utiliser efficacement AD ACL Scanner, vous devez autoriser l'exécution de scripts dans PowerShell sur le PC approprié. Le cmdlet Set-ExecutionPolicy Unrestricted vous permet d'exécuter n'importe quel script dont vous avez besoin dans PowerShell. Un mot d'avertissement : vous devez temporairement passer outre ce paramètre et vous assurer de rétablir la valeur par défaut, après avoir exécuté le script.
