Audit skupin v Active Directory

Dnes mě na chatu chytil jeden z přátel zabývajících se bezpečností. Líbil se mu report zobrazující lokální administrátory na koncových stanicích a chtěl něco podobného vytvořit pro skupinu Domain Admins. Ptal se mne na možnosti a mou první odpovědí bylo: PowerShell.

První nástřel byl tento:

Get-QADGroupMember 'domain.com/CZ/Domain Admins'

Výstupem příkazu je seznam členů této skupiny. To mělo úspěch a samozřejmě přišla další otázka: "Lze porovnat výsledky proti nějakému danému stavu?" Ano, úkol jak dělaný pro Compare-Object. Celý skript pak vypadal následovně.

1. function Compare-ADGroup {
3. param (
4. [string]$group = 'domain.com/CZ/Domain Admins',
5. [switch]$snapshot
6. )
8. if ($snapshot) {
9. # save state as snapshot
10. Get-QADGroupMember $group | `
11. Select-Object SamAccountName, FirstName, LastName | `
12. Export-Clixml ./snapshot.xml
13. }
14. else {
15. Get-QADGroupMember $group | `
16. Select-Object SamAccountName, FirstName, LastName | `
17. Export-Clixml ./current.xml
19. # load to variables, sort to prepare for Compare-Object
20. $s = (Import-Clixml ./snapshot.xml) | Sort-Object SamAccountName
21. $c = (Import-Clixml ./current.xml) | Sort-Object SamAccountName
23. # compare objects based on SamAccountName
24. Compare-Object -ReferenceObject $s -DifferenceObject $c -Property SamAccountName
25. } # else
26. } # function Compare-ADGroup

První spuštění musí být s parametrem -Snapshot. Tím se vytvoří referenční soubor se "správnými" daty. Skript by šel ještě vylepšit o kontrolu existence souboru snapshot.xml nebo například o vložení časové značky do souboru current.xml.