Active Directory NTFS 和安全报表

    NTFS 报表和安全报表可全面展示文件夹、服务器、子网及 Active Directory (AD) 对象的权限设置,清晰呈现访问者及其权限级别。本文档将指导您生成并自定义报表,以便查看 AD 中的权限详情和访问权限。

    本文档将指导您完成以下操作:

    • 跨域生成报表
    • 应用过滤器以获取目标结果。
    • 筛选结果以包含或排除特定账户或权限。
    • 跨目录和域查看访问详情。

    要在 ADManager Plus 中生成这些报表,请导航至报表 > NTFS 与安全报表 > NTFS 报表

    本类别提供以下报表:服务器共享、文件夹权限、账户可访问的文件夹以及不可继承文件夹

    服务器报表中的共享

    本报表列出了指定服务器中所有共享及其权限,包括共享名称、ACE类型和权限设置。用于管理共享资源、检测潜在权限配置错误,并确保访问权限设置合理。

    工作原理

    生成服务器共享报表时,ADManager Plus首先通过sAMAccountName识别目标服务器,随后获取该服务器上所有可用共享文件夹。接着提取这些共享的访问控制列表以识别具有权限的安全主体,并为每个共享显示对应的访问详情。

    生成报表的方法

    1. 从"选择域"下拉菜单中选择域。
    2. 在"计算机"字段中选择需要列出共享的服务器。
    3. 点击"优化结果"以显示或排除特定文件夹、对象或权限。
    4. 点击生成

    文件夹权限报表

    本报表列出所有可访问指定路径内文件夹的对象。用于管理文件夹级访问权限,确保仅授权用户拥有必要权限。报表提供访问类型、文件夹路径、权限继承关系及权限来源等详细信息。

    工作原理

    生成文件夹权限报表时,ADManager Plus首先通过sAMAccountName定位目标服务器,随后检索该服务器上的所有共享文件夹。根据界面指定的文件夹层级,系统将遍历每个文件夹及其子文件夹获取对应的安全权限,最终在报表中呈现结果。

    生成报表的方法

    1. 从"选择域"下拉菜单中选择域。
    2. 输入共享资源路径。
      • 示例:
        • \\<文件服务器名称>\\<共享名称>\\<目录路径>
        • \\< DFS命名空间 >\< 共享名称 >\< 目录 >
    3. 使用“检查文件夹权限至”下拉菜单选择所需文件夹级别。
    4. 单击“优化结果”以显示或排除特定文件夹、对象或权限。
    5. 点击生成

    账户可访问文件夹报表

    该报表列出指定账户可访问的所有文件夹。通过展示账户可访问的文件夹及其分配的权限类型(如读取、写入或完全控制),帮助追踪文件夹级别的权限。

    工作原理

    生成"账户可访问文件夹"报表时,ADManager Plus首先通过文件夹路径识别目标共享文件夹。根据用户界面中选定的访问类型和文件夹层级,程序将遍历每个文件夹及其子文件夹以获取安全权限。随后检查选定用户或组是否对这些文件夹拥有指定权限。报表将显示所有满足指定访问条件的文件夹权限。

    生成报表的方法

    1. “选择域”下拉菜单中选择域。
    2. “账户”字段中选择需要验证其文件夹访问权限的用户或组账户。
    3. 在“检查以下位置的文件夹”字段,选择用于搜索指定用户账户可访问文件夹的Windows服务器或DFS命名空间。
    4. 使用“检查文件夹权限至”下拉菜单选择所需的文件夹级别。
    5. 点击“优化结果”以显示或排除特定账户或文件夹。
    6. 点击生成

    不可继承文件夹报表

    本报表列出了所有被限制继承父对象权限的文件夹。该功能用于检测NTFS权限继承中的异常情况,以确保整个文件系统访问控制的一致性。

    工作原理

    生成"不可继承文件夹"报表时,ADManager Plus首先通过文件夹路径识别目标文件夹,并检索选定共享文件夹及其子文件夹。报表将列出禁用继承功能的文件夹及其安全主体。

    生成报表的方法

    1. “选择域”下拉菜单中选择域。
    2. “检查文件夹所在位置”字输入目录路径。
      • 示例:
        • \\<文件服务器名称>\\<共享名称>\\<目录>
        • \\< DFS命名空间 >\< 共享名称 >\< 目录 >
    3. 点击生成

    要生成这些报表,请导航至报表 > NTFS与安全报表 > 对象访问权限报表

    此类别包含以下报表:账户可访问的AD对象、账户可访问的服务器、账户可访问的子网以及搜索权限

    账户可访问AD对象报表

    该报表展示指定用户或组可访问的AD对象,列出对象名称、域及授权访问的账户等详细信息。此功能有助于识别选定账户可访问的AD对象,支持安全审计和访问权限审查。

    工作原理

    生成"账户可访问的AD对象"报表时,ADManager Plus首先检索指定域内的所有AD对象。随后处理选定用户或组账户,并根据指定访问类型评估其对这些对象的访问权限。符合条件的对象将连同权限信息列于报表中。

    生成报表的方法

    1. "选择域"下拉菜单中选择域。如有需要,也可选择组织单位(OU)。
    2. 账户字段中选择需要评估访问权限的用户或组账户。
    3. 点击"优化结果"可显示特定对象,或排除继承权限及其他关联权限。
    4. 在"选择访问类型"字段中选择"任何控制"或"完全控制"以指定所需访问级别。
    5. 点击生成
    6. 使用“显示可访问对象:”下拉菜单筛选步骤3中选定的特定对象。
    7. 选择目标用户或组账户,点击“移除”以撤销该账户对所列对象的访问权限。

    账户可访问服务器报表

    本报表列出特定用户或组账户在AD环境中可访问的服务器。用于安全审计、访问权限审查及合规性报表,确保仅授权账户可访问关键服务器。

    工作原理

    生成“账户可访问服务器”报表时,ADManager Plus首先检索指定域内的所有服务器,随后处理选定用户或组账户,评估其在这些服务器上的访问权限。符合条件的对象及其权限将被列于报表中。

    生成报表的方法

    1. “选择域”下拉菜单中选择域。
    2. “账户”字段中选择用户或组账户,以检查其可访问的服务器。
    3. 使用“显示可访问的服务器:”下拉菜单筛选出上述选定的特定对象。
    4. 点击生成

    账户可访问子网报表

    该报表列出可访问特定网络子网的用户或计算机账户,主要用于审计和安全分析,以追踪组织内部的子网级访问情况。

    工作原理

    生成账户可访问子网报表时,ADManager Plus首先检索指定域内的所有子网。随后处理选定的用户或组账户,评估其在这些子网上的访问权限。符合条件的对象将连同其权限信息列于报表中。

    生成报表的方法

    1. “选择域”下拉菜单中选择域。
    2. “账户”字段中选择用户或组账户,以检查其可访问的子网。
    3. 使用“显示可访问子网:”下拉菜单筛选上述选定的特定对象。
    4. 点击生成

    权限查询报表

    该报表可查询特定AD对象中被选用户或组持有的特定权限,显示对象名称、域及授予访问权限的账户等详细信息。

    工作原理

    生成权限搜索报表时,ADManager Plus首先通过对象的区分名称获取待检查对象及其所有安全权限,随后检索需验证访问权限的对象列表。系统将逐项比对权限条目与这些对象,若存在匹配项,则显示对应对象及其权限。

    生成报表的方法

    1. “选择域”下拉菜单中选择域。
    2. “选择对象”字段中,选择需要验证权限的对象。
    3. “搜索对象”字段中,选择需要查找权限的对象。
    4. 点击“优化结果”以选择用户、组、计算机、联系人、组织单位或 所有对象
    5. 使用下方字段选择您要搜索的权限:
      • 权限:选择权限类型。
      • 适用对象:选择权限应仅适用于目标对象、目标对象及其子对象,还是仅适用于子对象。
      • 类型:选择权限应被允许还是被拒绝。
    6. 点击生成

    要生成这些报表,请导航至报表 > NTFS 与安全报表 > 权限报表

    此类别提供以下报表:服务器权限、子网权限、对象权限和 不可继承对象

    服务器权限报表

    该报表展示拥有服务器访问权限的用户、组及其他安全主体,并标注其持有的权限类型(如读取、写入、修改或完全控制)。用于审计服务器访问权限,确保共享资源的访问控制合规。

    工作原理

    生成服务器权限报表时,ADManager Plus首先识别目标服务器,随后检索每台服务器的所有安全主体。接着解析访问控制列表,提取具有显式或继承权限的安全主体。最后将每个主体映射至其对应的访问级别,并展示对所选服务器具有权限的对象。

    生成报表的方法

    1. 从"选择域"下拉菜单中选择域。
    2. 服务器字段中选择需要审查权限的服务器。
    3. 使用"显示权限于:"下拉菜单筛选上述选定服务器。
    4. 点击生成

    子网权限报表

    本报表列出具有访问 AD 中特定子网权限的用户和组,详细说明权限类型和范围。有助于审计和确保子网访问安全。

    工作原理

    生成子网权限报表时,ADManager Plus首先识别目标子网。针对每个子网,解析访问控制列表以提取具有显式或继承权限的安全主体。随后将每个主体映射至对应访问级别,并展示对所选子网具有权限的对象。

    生成报表的方法

    1. 选择域”下拉菜单中选择域。
    2. 子网字段中选择要验证权限的子网。
    3. 使用“显示权限于:”下拉菜单筛选出上述选定的特定服务器。
    4. 点击生成

    对象权限报表

    该报表列出对所选组织单位内所有对象具有权限的安全主体。适用于访问权限审查、安全审计及确保权限分配合理性。

    工作原理

    生成对象权限报表时,ADManager Plus首先获取选定对象,解析访问控制列表以提取安全主体,从而识别所有对这些对象拥有显式或继承权限的主体(如用户或组)。这些主体将映射至其权限类型,报表将显示拥有访问权限的对象及其控制级别。

    生成报表的方法

    1. 选择域”下拉菜单中选择域。
    2. “选择对象”字段中选择要查看其安全权限的用户、组、计算机或组织单位。
    3. 点击“优化结果”以选择用户、组、计算机所有对象。
    4. 使用“显示权限所在位置:”下拉菜单筛选上述选定的特定对象。
    5. 点击生成

    不可继承对象报表

    该报表列出所选域内未从父对象继承权限的AD对象。它有助于识别安全例外情况,并提供对象名称、权限类型和访问权限等详细信息,以满足审计和合规需求。

    工作原理

    生成非继承对象报表时,ADManager Plus将扫描所选域并获取所有AD对象。随后检查这些对象是否禁用了"启用继承"选项。报表将列出禁用继承的对象及其直接权限。

    生成报表的方法

    1. “选择域”下拉菜单中选择域。如有需要,也可选择所需的组织单位。
    2. 点击生成
    下一页上一页
    版权所有 © 2025, 卓豪(中国)技术有限公司保留一切权利