AD ACL扫描程序是完全用powershell编写的功能性工具。它用于在Active Directory中创建访问控制列表(DACL)和系统访问控制列表(SACL)的报告。这对于使用USN快速比较复制元数据中的访问控制列表非常有用。
使用AD ACL Scanner入门相对简单。该应用程序无需安装即可启动图形界面。您只需调用脚本文件并在相关界面中显示权限。
主要功能包括:
- 查看DACL / SACL的HTML报告并将其保存到磁盘。
- 仅报告显式分配的DACL / SACL。
- 报告OU,OU和容器对象或所有对象类型。
- 报告对象的所有者。
- 筛选特定访问类型的DACL / SACL。哪里有“拒绝”权限?
- 筛选DACL / SACL以获取对特定对象的许可。在计算机对象上的权限设置在哪里?
- 筛选DACL / SACL以获取特定身份。 “域\客户端管理员”在哪里有显式访问权限?或使用通配符,例如“ jdoe”。
- 筛选DACL / SACL以获取对特定对象的许可。在计算机对象上的权限设置在哪里?
- 跳过报告中的默认权限(defaultSecurityDescriptor)。
- 连接并浏览您由专有名称定义的默认域,架构,配置或命名上下文。
- 以CSV格式导出Active Directory对象上的DACL / SACL。
- 将以前的结果与当前配置进行比较,然后按颜色方案查看差异。
- 修改权限时报告。
- 比较时可以使用AD复制元数据。
- 可以将以前创建的CSV文件转换为HTML报告。
为了有效地使用AD ACL扫描程序,您需要允许在相应PC上的PowerShell中执行脚本。 Set-ExecutionPolicy Unrestricted cmdlet允许您执行PowerShell中所需的任何脚本。请注意:运行脚本后,您应该暂时覆盖此设置并确保恢复默认设置。
