AD Security Reporter
Der AD Security Reporter ist ein Powershell-Skript (AD Check-Up), welches die ACLs angefangen von der Top Level Domain über alle Organisationseinheiten usw. ausliest. Das Ergebnis sollte als HTML Datei abgespeichert werden.
Active Directory ACL Security Scanner
Das Powershell-Modul lässt sich ganz einfach installieren.
Install-Module -Name ADSecurityReporter
In der Powershellkonsole ausgeführt; werden die Ergebnisse als HTML abgespeichert.
Als Beispiel ohne jeglichen Filter angefangen von der TLD bis in den letzten Winkel des ADs:
Get-PscActiveDirectoryACL -ACLToInclude all -GenerateHTMLPath C:\Temp\ACLReport.html
Nur die TLD:
Get-PscActiveDirectoryACL -ACLToInclude TopLevelDomainOnly -GenerateHTMLPath C:\Temp\ACLReportFilter.html
Auf eine OU gefiltert:
Get-PscActiveDirectoryACL -ScanDNName ‘OU=User,OU=DWP,DC=windowspapst,DC=de’ -GenerateHTMLPath C:\Temp\ACLReportOU.html
Ein Beispiel mit möglichen Filteroptionen:
Get-PscActiveDirectoryACL -ACLToInclude TopLevelDomainOnly -ExcludeNTAUTHORITY -ExcludeBuiltIN -ExcludeCreatorOwner -ExcludeEveryOne -ExcludeGroups -GenerateHTMLPath C:\Temp\ACLReportFilter.html
