Active Directory ACL Security Scanner

Active Directory ACL Security Scanner

AD Security Reporter

Der AD Security Reporter ist ein Powershell-Skript (AD Check-Up), welches die ACLs angefangen von der Top Level Domain über alle Organisationseinheiten usw. ausliest. Das Ergebnis sollte als HTML Datei abgespeichert werden.

Active Directory ACL Security Scanner

Das Powershell-Modul lässt sich ganz einfach installieren.

Install-Module -Name ADSecurityReporter

In der Powershellkonsole ausgeführt; werden die Ergebnisse als HTML abgespeichert.

Active Directory ACL Security Scanner

Als Beispiel ohne jeglichen Filter angefangen von der TLD bis in den letzten Winkel des ADs:

Get-PscActiveDirectoryACL -ACLToInclude all -GenerateHTMLPath C:\Temp\ACLReport.html

Nur die TLD:

Get-PscActiveDirectoryACL -ACLToInclude TopLevelDomainOnly -GenerateHTMLPath C:\Temp\ACLReportFilter.html

Auf eine OU gefiltert:

Get-PscActiveDirectoryACL -ScanDNName ‘OU=User,OU=DWP,DC=windowspapst,DC=de’ -GenerateHTMLPath C:\Temp\ACLReportOU.html

Ein Beispiel mit möglichen Filteroptionen:

Get-PscActiveDirectoryACL -ACLToInclude TopLevelDomainOnly -ExcludeNTAUTHORITY -ExcludeBuiltIN -ExcludeCreatorOwner -ExcludeEveryOne -ExcludeGroups -GenerateHTMLPath C:\Temp\ACLReportFilter.html

AD Security Reporter

ACL Report OU