Directorio Activo. DumpSec

Una carencia del directorio activo es listar para un usuario, qué permisos tiene en carpetas del dominio. Esto se debe a la propia organización del dominio:

  • Un usuario pertenece a cero o más grupos.
  • Una carpeta tiene permisos a nivel de usuario y grupo

Las herramientas que vienen con el dominio, están preparadas para consultar en una carpeta qué permisos hay, pero no al revés.

Nuestro objetivo sería conseguir que nos listara qué permisos tiene un usuario en todas las carpetas compartidas de nuestro dominio; es decir, no sólo en NAS, sino en cualquier PC donde alguien haya compartido una carpeta. Lamentablemente, no hemos logrado dar con una solución a este problema. Eso sí, agradeceremos comentarios que nos abran la luz.

La herramienta DumpSec de Somarsoft, sí permite explorar una unidad compartida (una nas) y decirnos qué permisos tiene caa carpeta a nivel de usuarios y grupos.

Además, admite entradas por consola , por lo que, al menos, podremos listar qué carpetas hay, y quien tiene permiso sobre estas carpetas

Ejemplo:

PS C:\> & ‘C:\Program Files (x86)\SystemTools\DUMPSEC.exe’ /computer=\\localhost //rpt=allsharedirs /outfile=./output.txt /saveas=csv

 

Hemos probado otras opciones:

  • ShareEnum: Requiere permisos de administrador de dominio
  • AccessEnum: No conseguimos que listara nada externo a los discos locales
  • xcacls: Lista permisos e incluso los puede modificar, pero no  está soportado en windows 7