Windows: visualize permissões "todas" de um usuário ou grupo específico

Para um domínio do Windows, há uma maneira de ver para um determinado usuário ou grupo, onde o usuário / grupo tem permissões?

Principalmente: lista quais arquivos / pastas o usuário pode acessar em um determinado compartilhamento de rede. (Tipo de "permissões efetivas" recursivas). No entanto, outras permissões também seriam legais.

Acredito ter visto uma ferramenta desse tipo em ação, mas não consigo me lembrar de nada além disso - portanto, isso pode ser uma memória falsa.

Recomendações?

O Windows Sysinternals possui uma ferramenta AccessEnum que declara: "Embora o modelo de segurança flexível empregado pelos sistemas baseados no Windows NT permita controle total sobre a segurança e as permissões de arquivo, o gerenciamento de permissões para que os usuários tenham acesso apropriado a arquivos, diretórios e chaves do Registro pode ser difícil. Não há uma maneira integrada de visualizar rapidamente os acessos dos usuários a uma árvore de diretórios ou chaves.O AccessEnum oferece uma visão completa do sistema de arquivos e das configurações de segurança do Registro em segundos, tornando-o a ferramenta ideal para ajudá-lo a encontrar falhas de segurança e bloquear permissões onde necessário. " Boa sorte!

O net usercomando pode ser o que você está bloqueando. A sintaxe é a seguinte:

net user /domain [username]

Retorno da amostra:

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\system32>net user /domain joneswac
The request will be processed at a domain controller for domain MY.SCHOOL.EDU.

User name                    joneswac
Full Name                    Wesley P Jones
Comment
User's comment
Country code                 000 (System Default)
Account active               Yes
Account expires              Never

Password last set            5/6/2013 3:51:33 PM
Password expires             Never
Password changeable          5/6/2013 3:51:33 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory               \\WONDERFULSCHOOL\students\joneswac
Last logon                   6/1/2013 3:31:50 PM

Logon hours allowed          All

Local Group Memberships
Global Group memberships     *SOCIAL AND BEHAVIORAL*IT Boot Camp Admin
                             *Students             *Registered for Classe
                             *Domain Users         *90B SOC SCI TCH PLAN
The command completed successfully.


C:\Windows\system32>

edit: removeu o erro de digitação do comando

veja todos os grupos de usuários de login (aninhados também):

DSQUERY USER -name %Username% | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more

visualizar todos os grupos de usuários (aninhados também):

DSQUERY USER -name <user name> | DSGET USER -memberof -expand | DSGET GROUP -sid -samid | more

ver todos memberof grupo (aninhado também):

DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -memberof -expand | DSGET GROUP -sid -samid

visualizar todos os grupos de membros (aninhados também):

DSQUERY GROUP -name "Nected Group Set of resources 1" | DSGET GROUP -members -expand | DSGET GROUP -sid -samid

veja a permissão do usuário atual, veja também /Z /V... /Ropções:

GPRESULT /USER %username%

ver o suporte atual do usuário:

dsquery *  -filter "(samAccountName=%username%)" -attr *

GUI:

PDF! : Permissões efetivas

A melhor recomendação em minha mente é o DREP , um sistema muito poderoso que permite verificar e rastrear as permissões reais do sistema de arquivos. Você pode mudar seu ponto de vista para um único usuário (mesmo em vários servidores de arquivos configurados) ou para um único arquivo / pasta.

Você também pode usar o ADSISearcher:

([ADSISearcher]"(&(ObjectCategory=User)(cn=Lastname, Firstname))").FindOne().properties

Isso retornará apenas as permissões do usuário, mas na exibição de lista completa