Просмотр доступа к папке пользователей локальной группы

@mutaborio · Регистрация: 06.10.2017

Студворк — интернет-сервис помощи студентам

Здравствуйте!
Есть скрипт для получения списка доступа к шаре с указанием уровня вложенности папок, рекурсией по AD-группе и экспортом в Excel.

PowerShell
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
#Import-Module -Name ActiveDirectory
Function RecursiveFolder ($Path, $Max, $Level = 1)
{
  $Path = (Resolve-Path $Path).ProviderPath
  $Path
  ForEach ($Item in @(Get-ChildItem $Path | Where {$_.PsIsContainer}))
  {
    If ($Level -eq $Max) {Return}
    RecursiveFolder $Item.PSPath $Max ($Level + 1)
  }
}
 
# Целевая папка
$Share = "\\Сервер\Шара"
# Уровень вложенности папок
#$Deep = 1
Do {
    Clear-Host
    [int]$Deep = Read-Host "Уровень вложенности папок"
    }
    Until ($Deep -gt "0")
# Путь к экспортируемому файлу относительно каталога сценария
$Export = "\CSV\AccessFolder.csv"
# 3 строки для добавления в имя экспортируемого файла наименование целевой папки, дату и время
#$Export = "\CSV\AccessFolder({0})-{1:ddMMyyyy_HHmm}.csv"
#$ShareName = $Share.Replace("\\", "")
#$ShareName = $ShareName.Replace("\","_")
$ScriptPath = $MyInvocation.MyCommand.Path | Split-Path -Parent #Текущий каталог сценария
$ExcelExport = "$ScriptPath$Export" + $Args[0]
Write-Host "Ждите..."
$Folders = RecursiveFolder $Share -max $Deep
$Result = @()
ForEach ($CurFld in $Folders) {
    $Result += (Get-ACL $CurFld).Access  | Foreach {
        $Acl = $_
        $Id = $Acl.IdentityReference.Value.split("\")[1]
        $Dom = $Acl.IdentityReference.Value.split("\")[0]
        Try {
            $Obj = Get-ADObject -Filter "SamAccountName -eq '$Id'"
            If(!$Obj) {
                $Obj = [pscustomobject]@{Name = $Acl.IdentityReference.Value}
            }
            
            [pscustomobject]@{
                Folder = $CurFld
                Class = $Obj.ObjectClass
                Name = $Obj.Name
                IdentityReference = $Acl.IdentityReference
                AccessControlType = $Acl.AccessControlType
                FilesystemRights  = $Acl.FilesystemRights
            }
            If($Obj.ObjectClass -eq "Group") {
                Get-ADGroupMember $Obj -Recursive | Foreach {
                    [pscustomobject]@{
                        Folder = $CurFld
                        Class = $_.ObjectClass+" of "+$Acl.IdentityReference
                        Name = $_.Name.tostring()
                        IdentityReference = $Dom+"\"+$_.SamAccountName
                        AccessControlType = $Acl.AccessControlType
                        FilesystemRights  = $Acl.FilesystemRights
                    }
                } #end ForEach ADGroupMember
            } #end If Group
        } #end Try
        Catch {
            [pscustomobject]@{
                Folder = $CurFld
                Class = $Acl.ObjectClass
                Name = $Acl.IdentityReference.Value
                IdentityReference = $Acl.IdentityReference
                AccessControlType = $Acl.AccessControlType
                FilesystemRights  = $Acl.FilesystemRights
            }
        } #end Catch
    } #end ForEach ACL
} #end ForEach Folders
$Result | Sort-Object Folder,Class,Name | Export-Csv -Encoding UTF8 -Path ("$ExcelExport" -f $ShareName,(Get-Date)) -Delimiter ";" -Force -NoTypeInformation
Write-Host "Выполнено"

Вопрос №1: не могу получить список пользователей локальной группы, точнее не от чего оттолкнуться - не могу получить имя локальной группы, только SID;
Вопрос №2: после ввода имени сервера выпадает список шар, но не отсортированный и без контекстного ввода.

@KDE777 · 16.01.2019, 16:50

Сообщение от mutaborio

не могу получить список пользователей локальной группы, точнее не от чего оттолкнуться - не могу получить имя локальной группы, только SID

А чем не устраивает SID локальной группы?

PowerShell
1
Get-CimInstance -ClassName win32_group -ComputerName $comp -Filter "SID = '$SID'" | Get-CimAssociatedInstance -Association win32_groupuser

или

PowerShell
1
Invoke-Command -ComputerName $comp -ArgumentList $SID -ScriptBlock {"Get-LocalGroupMember -SID $args"}

+ только SID в IdentityReference может быть не только у локальной группы/пользователя, но и у объекта ранее удалённого из AD...

Сообщение от mutaborio

после ввода имени сервера выпадает список шар, но не отсортированный и без контекстного ввода.

Вы про функцию RecursiveFolder? Тогда не понятно, зачем этот велосипед, когда есть Get-ChildItem и ключ -Depth

Вот несколько примеров аудита NTFS разрешений:

Поиск папок, в которые есть доступ у пользователя
Выгрузка списка доступа к сетевой папке

@mutaborio · 16.01.2019, 17:28 **[ТС]**

Сообщение от KDE777

Вы про функцию RecursiveFolder?

В строке 14 после ввода \\сервер\ появляется выпадающий список шар на этом сервере

@KDE777 · 16.01.2019, 17:47

Сообщение от mutaborio

В строке 14 после ввода \\сервер\ появляется выпадающий список шар на этом сервере

Вы про ввод в тексте самого скрипта? Если да, то у меня в PowerShell_ISE (WinServer 2012R2) - появляется отсортированный список, в котором доступна навигация мышью или клавиатурой...

@mutaborio · 16.01.2019, 18:00 **[ТС]**

Сообщение от KDE777

Вы про ввод в тексте самого скрипта?

Да, в ISE навигация есть, но не отсортировано и контекстный поиск не поддерживается.
PSVersion 4.0

@KDE777 · 16.01.2019, 18:13

Сообщение от mutaborio

Да, в ISE навигация есть, но не отсортировано и контекстный поиск не поддерживается.
PSVersion 4.0

Win 8.1 и 2012R2, ISE, PS 4 и 5.1 - всё отсортировано и контекстно выбирается...

@mutaborio · 17.01.2019, 13:45 **[ТС]**

Сообщение от KDE777

Win 8.1 и 2012R2, ISE, PS 4 и 5.1 - всё отсортировано и контекстно выбирается...

Intellisense при вводе командлетов сортирует и контекстно выбирает, но при вводе путей только навигация. Возможно, это параметр в $psise, пока не разбирался.

Сообщение от KDE777

только SID в IdentityReference может быть не только у локальной группы/пользователя, но и у объекта ранее удалённого из AD...

Это понятно и на данный момент не имеет значения, т.к. удаленные объекты периодически подчищаются

Сообщение от KDE777

PowerShell
1
Get-CimInstance -ClassName win32_group -ComputerName $comp -Filter "SID = '$SID'" | Get-CimAssociatedInstance -Association win32_groupuser

или

PowerShell
1
Invoke-Command -ComputerName $comp -ArgumentList $SID -ScriptBlock {"Get-LocalGroupMember -SID $args"}

WS-Management не поддерживается

@KDE777 · 17.01.2019, 13:49

Сообщение от mutaborio

WS-Management не поддерживается

Ну тогда, wmi вам в руки (вариант 1)

@mutaborio · 17.01.2019, 14:41 **[ТС]**

Могут быть иные варианты?

Get-CimInstance : Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы. Ознакомьтесь с журналами и документацией для определения запущенной на узле назначения службы WS-Management (чаще всего это IIS или WinRM). Если это служба WinRM, то для анализа состояния и настройки этой службы используйте на удаленном узле команду "winrm quickconfig".

New-CimSession : Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы. Ознакомьтесь с журналами и документацией для определения запущенной на узле назначения службы WS-Management (чаще всего это IIS или WinRM). Если это служба WinRM, то для анализа состояния и настройки этой службы используйте на удаленном узле команду "winrm quickconfig".

@KDE777 · 17.01.2019, 14:55

Сообщение от mutaborio

Могут быть иные варианты?

PowerShell
1
2
3
$option = New-CimSessionOption -Protocol Dcom
$session = New-CimSession -ComputerName $comp -SessionOption $option
Get-CimInstance -ClassName win32_group -CimSession $session -Filter "SID = '$SID'" | Get-CimAssociatedInstance -Association win32_groupuser

@mutaborio · 18.01.2019, 16:01 **[ТС]**

Спасибо!
Единственное неудобство, что долго выполняется.

@KDE777 · 18.01.2019, 16:19

Сообщение от mutaborio

Единственное неудобство, что долго выполняется.

Один раз сохраните в переменную список всех локальных групп, а далее проверяйте sid'ы уже по этому списку. А можно сразу и всех участников сохранить, что-то типа:

SID1, GroupName1, User1
SID1, GroupName1, User2
SID2, GroupName2, User1
...

+ не раздавайте доступы через локальные группы и избавитесь от всех этих трудностей

Новые блоги и статьи Все статьи Все блоги /
SDL3 для Web (WebAssembly): Обработчик клика мыши в браузере ПК и касания экрана в браузере на мобильном устройстве 8Observer8 02.02.2026 Содержание блога Для начала пошагово создадим рабочий пример для подготовки к экспериментам в браузере ПК и в браузере мобильного устройства. Потом напишем обработчик клика мыши и обработчик. . .	Философия технологии iceja 01.02.2026 На мой взгляд у человека в технических проектах остается роль генерального директора. Все остальное нейронки делают уже лучше человека. Они не могут нести предпринимательские риски, не могут. . .	SDL3 для Web (WebAssembly): Вывод текста со шрифтом TTF с помощью SDL3_ttf 8Observer8 01.02.2026 Содержание блога В этой пошаговой инструкции создадим с нуля веб-приложение, которое выводит текст в окне браузера. Запустим на Android на локальном сервере. Загрузим Release на бесплатный. . .	SDL3 для Web (WebAssembly): Сборка C/C++ проекта из консоли 8Observer8 30.01.2026 Содержание блога Если вы откроете примеры для начинающих на официальном репозитории SDL3 в папке: examples, то вы увидите, что все примеры используют следующие четыре обязательные функции, а. . .
SDL3 для Web (WebAssembly): Установка Emscripten SDK (emsdk) и CMake для сборки C и C++ приложений в Wasm 8Observer8 30.01.2026 Содержание блога Для того чтобы скачать Emscripten SDK (emsdk) необходимо сначало скачать и уставить Git: Install for Windows. Следуйте стандартной процедуре установки Git через установщик. . . .	SDL3 для Android: Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 29.01.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами. Версия v3 была полностью переписана на Си, в. . .	Инструменты COM: Сохранение данный из VARIANT в файл и загрузка из файла в VARIANT bedvit 28.01.2026 Сохранение базовых типов COM и массивов (одномерных или двухмерных) любой вложенности (деревья) в файл, с возможностью выбора алгоритмов сжатия и шифрования. Часть библиотеки BedvitCOM Использованы. . .	SDL3 для Android: Загрузка PNG с альфа-каналом с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 28.01.2026 Содержание блога SDL3 имеет собственные средства для загрузки и отображения PNG-файлов с альфа-каналом и базовой работы с ними. В этой инструкции используется функция SDL_LoadPNG(), которая. . .

@mutaborio 1 / 1 / 0 Регистрация: 06.10.2017 Сообщений: 39
	17.01.2019, 14:41 [ТС]
	Могут быть иные варианты? Get-CimInstance : Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы. Ознакомьтесь с журналами и документацией для определения запущенной на узле назначения службы WS-Management (чаще всего это IIS или WinRM). Если это служба WinRM, то для анализа состояния и настройки этой службы используйте на удаленном узле команду "winrm quickconfig". New-CimSession : Клиенту не удается подключиться к узлу назначения, указанному в запросе. Убедитесь, что служба на узле назначения работает и принимает запросы. Ознакомьтесь с журналами и документацией для определения запущенной на узле назначения службы WS-Management (чаще всего это IIS или WinRM). Если это служба WinRM, то для анализа состояния и настройки этой службы используйте на удаленном узле команду "winrm quickconfig". 0

@mutaborio 1 / 1 / 0 Регистрация: 06.10.2017 Сообщений: 39
	18.01.2019, 16:01 [ТС]
	Спасибо! Единственное неудобство, что долго выполняется. 0