LIZA
Active Directory Analyse für Security, Berechtigungen und ACLs
|
 Download Liza |
Liza ist ein kostenloses Tool für Active Directory Umgebungen, das die Anzeige und Analyse von Objektrechten in der Verzeichnishierarchie erlaubt. Man kann es z.B. für die Rechte-Analyse einer AD Domäne oder der Configuration Partition einsetzen.
Ich habe die Möglichkeiten schon immer für ziemlich unhandlich und komplex gehalten, die Windows von Haus aus zur Untersuchung von Objektberechtigungen in einer Active Directory Umgebung bietet. Dewegen habe mit der Entwicklung von LIZA versucht, die meisten in einem Permission ACE (Access Control Entry) enthaltenen Informationen möglichst einfach derart darzustellen, dass man schon auf den ersten Blick einen fast kompletten Überblick über die Berechtigungen erhält.
Folgende Abschnitte stehen für die Online Dokumentation des Programms zur Verfügung:
 |
Security Descriptor Anzeige |
|
Trustee Analyse |
|
Command Buttons |
|
Installationsvoraussetzungen |
Im linken Bereich des LIZA Fensters wird die Container-Hierarchie des verbundenen Active Directory Namespaces angezeigt. Im rechten Bereich des Programmfensters sieht man den Inhalt des Security Descriptors des aktuell markierten Containers. Diese Informationen werden zusammen mit den betreffenden Objekten im LDAP-Attribut nTSecurityDescriptor gespeichert.
Ein Active Directory Security Descriptor enthält drei wichtige Informationen:
Sie müssen Besitzer eines Objektes sein oder über die Berechtigung RC (Read Control) verfügen, um auf die DACL- und Owner Informationen zugreifen zu können.
Sie benötigen das Privileg Manage auditing and security logs auf Domänencontrollern, um auf die SACL Information zugreifen zu können.
In den Access Listen werden jeweils mehrere Spalten gezeigt:
In den ACLs sieht man eine Liste von Access Control Entries (ACE). Liza zeigt in jeder Zeile eine Zusammenfassung eines ACEs - nichtsdestotrotz können Sie mit dem Show ACE Button jedes Detail eines ACEs anzeigen lassen:
LIZA kann füe einzelne Trustees die Berechtigungen analysieren. Wählen Sie dazu einfach einen Trustee aus (dies könnte z.B. ein Benutzer oder eine Gruppe sein). Danach kann Liza alle Container in der Verzeichnishierarchie scannen, um die Berechtigungen zu finden, die für den ausgewählten Trustee (und seine Gruppenmitgliedschaften) vergeben oder verweigert wurden.
Befolgen Sie diese Schritte, um eine Berechtigungs-Analyse fü einen bestimmten Trustee durchzuführen:
 |
Verwenden Sie den Select trustee for ACL analysis Button unten im Liza-Programmfenster, um in den Browse-Modus zu wechseln. Im Browse-Modus sehen sie alle Verzeichnisobjekte in der verbundenen Hierarchie, die ein SID-Attribut (Security Identifier) besitzen. Nur Objekte mit einer SID können Security Principals (potentielle Rechteinhaber) sein und sind damit für eine Analyse. |
 |
Nun können Sie den Security Principal aus, für den Sie die Verzeichnisberechtigungen checken wollen. Es könnte sich dabei um einen einzelnen Benutzer oder eine Gruppe oder auch um einen Computer-Account handeln. Im unteren Bereich des Liza-Programmfensters sehen Sie das aktuell ausgewählte Objekt. Wenn die Inlcude group membership Checkbox aktiviert ist, dann werden auch die Gruppen aufgelistet, in denen das betreffende Objek Mitglied ist (inklusive der verschachtelten Gruppenmitgliedschaften). |
 |
sie können auch den Nmen enies Objektes direkt eingeben: Klicken Sie dazu einfach mit der Maus auf die Trustee Liste im unteren Bereich des Programmfensters und geben Sie den Namen ein. Liza kann das betreffende Objekt automatisch während ihrer Eingabe finden: |
 |
Wenn Sie nun zur nomalen Rechte-Anzeige ohne Trustee Analyse zurückkehren wollen, dann klicken Sie einfach auf die Liste am unteren Fensterrand und drücken die DELETE Taste. The List wird dann gelehrt, und sie können den Analyze ACLs Button verwenden, um in den ursprünglichen Modus mit der Anzeige der Berechtigungen zurückkehren. Um die Analyse zu starten, muss der Name eines Trustees und vielleicht auch seine Gruppenmitgliedschaften in der Liste am unteren Fensterrand aufgeführt sein. Die Beschriftung ändert sich dadurch zu Analyze ACLs for the Selected Trustee. Um eine Trustee Analyse zu starten, müssen Sie nun diesen Button verwenden. Vorsicht: Wenn Sie den Button Show leaf objects in the selected container aktiviert haben, kann die Analyze unter Umständen sehr lange dauern, da hier jedes Objekt des Verzeichnisses untersucht wird. Es erscheint in diesem Fall eine entsprechende Warnmeldung:  |
 |
Während die Hierarchie bezüglich der Rechte analysiert wird, bleibt die Applikation deaktiviert. Warten Sie einfach auf den Abschluss des Fortschrittbalkens. Sie können die Analyse jedoch jederzeit unterbrechen, indem Sie den Abort ACL analysis Button benutzen. |
 |
Wenn Liza das Analyse-Ergebnis zeigt, werden alle Container und ACEs, bei denen das betreffende Objekt (oder seine Gruppen) direkt betroffen sind, in fetter roter Schrift angezeigt. Wenn Sie den Show leaf objects in the selected container Button aktiviert haben, dann werden sogar id eeinzelnen Objekte auf die betreffenden Trustee Berechtigungen hin untersucht. Wenn die Berechtigung für den Container hingegen nur vererbt und nicht direkt gesetzt ist, dann erscheint der Eintrag nur in roter Schrift (ohne Fettdruck) angezeigt.  |
Am oberen Rand des LIZA Applikationsfensters finden Sie folgende Kommando Buttons:
Hier können Sie eine neue Verbindung zu einem anderen Domänencontroller oder einer anderen Active Directory Verzeichnispartition herstellen (Falls Sie die Rechte im Schema, in der Configuration Partition oder einer anderen Domäne überprüfen wollen). Standardmäßig verbindet sich LILZA stets mit dem nächstgelegenen Domänencontroller und zeigt die Domäne an, in der sich das eigene Benutzerobjekt befindet.
Dieser Button löst ein Wiedereinlesen der aktuell dargestellten Information aus. Wenn Sie sich im linken Fensterbereich (der Verzeichnishierarchie) befinden, so wird jedoch nicht der gesamte Baum eingelesen, sondern lediglich die Container direkt ober- und unterhalb desjenigen, in dem sie sich gerade befinden.
Mit diesem Button können Sie in jeweils darüber liegende Verzeichnis wechseln (dazu kann man auch die BACKSPACE-Taste verwenden).
Wenn dieser Button aktiviert ist, so
werden in der Hierarchie nicht nur Container (z.B. OUs) angezeigt, sondern alle Objekte des Verzeichnisses (also auch die sogenannten Leaf Objects = Blattobjekte ohne darin enthaltene Objekte. LIZA liest dann jeweils die Blattobjekte in die Hierarchieanzeige ein, die sich im gerade ausgewählten Container befinden. Wenn sie also einn Container anklicken, der z.B. 20.000 Benutzerobjekte enthält, so kann die Darstelung dieser Blattobjekte eine Weile dauern. Wenn Sie diese Option aktivieren und eine Trustee Analyse durchführen, dann kann diese sehr lange Zeit in Anspruch nehmen!
Dieser Button ist nur sichtbar, wenn Sie gerade im Modus "Auswählen eines Trustees für die Analyse" sind. Er entscheided, ob für die Verzeichnisobjekte in der rechten Fensterhälfte eine freundliche Darstellung des Namens gewählt wird oder der volle LDAP Distinguished Name dargestellt wird.
Mit diesem Button rufen Sie die Online Hilfe auf.
Einige wichtige technische Informationen zu LIZA:
