企业需要每天都警惕内部攻击和间谍等重大安全威胁。防范潜在的攻击者对保护组织的网络和数据大有裨益。但是，要实现此目标，还需满足几点。您必须完全了解分配给Windows Active Directory (AD)中用户和组的权限，它们可访问的帐户、资源和数据，其 NTFS和共享权限, 以及它们可以执行的操作。换句话说，您需要有关于AD中用户和组权限的详细报告。

这些权限报告对于通过 SOX, HIPAA, GLBA, GDPR 和PCI等各种法规的合规性审计也十分必要。要列出每个AD用户和组具有的所有权限，您通常需要依赖PowerShell或Active Directory用户和计算机(ADUC)控制台之外的其他脚本语言，因为该控制台不提供AD报告帮助。而另一方面 ADManager Plus, 则可提供专门构建的报告，可轻松查看分配给AD中用户和组的所有权限。

Active Directory

使用ADManager Plus报告Active Directory权限

ADManager Plus是一个基于Web的Active Directory、Office 365和Exchange管理和报告工具，提供预定义的报告库，其中包括基于权限的报告，如：

• 用户和组可访问的AD对象: 查看指定AD用户和组可以访问的所有对象（如用户、组、计算机、文件夹、NTDS服务对象等），以及他们对每个对象拥有的权限（读取所有属性、读取登录信息、写入、列出内容、更改密码、删除、完全控制等）和权限类型（允许或拒绝）。

• 用户和组可访问的服务器: 列出所选AD用户和组可以访问的所有计算机（服务器和工作站）、计算机的操作系统、这些计算机的权限类型（允许或拒绝），以及他们可以对其执行的完整操作列表。

• 用户和组可访问的文件夹: 显示指定AD用户和组可以访问的所有共享文件夹、他们可以执行的权限或操作的完整列表，以及他们对所列操作具有的权限类型（允许或拒绝）。

• 用户和组可访问的子网: 显示AD中所选用户或组可以访问的所有子网。还会列出所选用户和组在子网中可以和不可执行的所有操作。

• 文件夹权限: 显示有权访问指定文件夹的用户和组及其相应的权限。对于组，此报告还显示组成员，这反过来可帮助您确定哪些组和用户可以访问所选文件夹（作为组的成员）。

• 服务器权限: 列出可以访问所选服务器和计算机的所有用户和组，以及有关其所属域、拥有的权限以及安全标识符（对象SID）的信息。

• 子网权限: 查看有权访问指定子网的用户和组、其拥有的权限以及其域名、对象类型和对象SID等详细信息。

• 用户的组: 对于每个选定的用户，此报告显示其所属的组，以及每个组中的所有成员（用户和组）、组所在的域、组类型（通讯组或安全组）、组范围（通用、全局或域本地）和AD中组的位置等信息。

ADManager Plus

IT合规报告

除了基于组和用户权限的报告之外，ADManager Plus还提供了许多遵守HIPAA, SOX, GLBA 合规, GDPR, PCI. 等合规标准所需的报告。其他一些可用报告包含以下方面的信息:

• 在过去N天内创建、修改或删除的用户帐户和组。

• 在过去N天内未更改其密码的用户。

• 在过去N天内未更改其密码的用户。

• 已到期用户帐户。

通过这些专用报告，ADManager Plus让您可以轻松分析和管理AD用户和组的权限，并确保他们只能执行应执行的操作。

ADManager Plus是基于Web的解决方案，适用于您的所有AD、Exchange、Skype for Business、G Suite和Office 365管理需求。它简化了 配置用户, 清理休眠帐户, 管理NTFS和共享权限, 管理NTFS和共享权限等多个日常任务。ADManager Plus还提供 150多个预封装报告, 包括有关不活动或已锁定AD用户帐户、Office 365许可证和用户上次登录时间的报告。直接从报告中执行管理操作。构建 自定义工作流 结构可帮助进行工单和合规性管理，自动执行用户配置和解除配置等日常任务 。

想了解关于ADManager Plus产品的详细功能信息。请持续关注“运维有小邓”，小邓将带您了解更多IT运维新知识！