Printout Header
LEX RSS Feed

LIZA

 

Active Directory Analyse für Security, Berechtigungen und ACLs


Schnelle und übersichtliche Anzeige von Objekt-Berechtigungen und Audit-Konfigurationen im Active Directory.
Analyse: Wo in der Verzeichnishierarchie hat ein Account (zusammen mit seinen Gruppenmitgliedschaften) Zugriffsrechte? Bei welchen Objekten ist die Rechtevererbrung unterbrochen?




         Lazarus Software Logo
    Download Liza
   Version 1.9.1

Liza ist ein kostenloses Tool für Active Directory Umgebungen, das die Anzeige und Analyse von Objektrechten in der Verzeichnishierarchie erlaubt. Man kann es z.B. für die Rechte-Analyse einer AD Domäne oder der Configuration Partition einsetzen.
       

 

Liza Tool Screenshot

Ich habe die Möglichkeiten schon immer für ziemlich unhandlich und komplex gehalten, die Windows von Haus aus zur Untersuchung von Objektberechtigungen in einer Active Directory Umgebung bietet. Dewegen habe mit der Entwicklung von LIZA versucht, die meisten in einem Permission ACE (Access Control Entry) enthaltenen Informationen möglichst einfach derart darzustellen, dass man schon auf den ersten Blick einen fast kompletten Überblick über die Berechtigungen erhält.

Folgende Abschnitte stehen für die Online Dokumentation des Programms zur Verfügung:

Liza Icon Security Descriptor Anzeige
Liza Icon Trustee Analyse
Liza Icon Blocked Inheritance Analyse
Liza Icon Objekte in LEX - The LDAP Explorer anzeigen
Liza Icon Command Buttons
   
Liza Icon Change Log und Installationsvoraussetzungen



Security Descriptor Anzeige


Im linken Bereich des LIZA Fensters wird die Container-Hierarchie des verbundenen Active Directory Namespaces angezeigt. Im rechten Bereich des Programmfensters sieht man den Inhalt des Security Descriptors des aktuell markierten Containers. Diese Informationen werden zusammen mit den betreffenden Objekten im LDAP-Attribut nTSecurityDescriptor gespeichert.

Ein Active Directory Security Descriptor enthält drei wichtige Informationen:

Sie müssen Besitzer eines Objektes sein oder über die Berechtigung RC (Read Control) verfügen, um auf die DACL- und Owner Informationen zugreifen zu können.
Sie benötigen das Privileg Manage auditing and security logs auf Domänencontrollern, um auf die SACL Information zugreifen zu können.


In den Access Listen werden jeweils mehrere Spalten gezeigt:

ACE display explanations

In den ACLs sieht man eine Liste von Access Control Entries (ACE). Liza zeigt in jeder Zeile eine Zusammenfassung eines ACEs - nichtsdestotrotz können Sie mit dem Show ACE Button jedes Detail eines ACEs anzeigen lassen:

Detailed ACE display window


Trustee Analyse


LIZA kann füe einzelne Trustees die Berechtigungen analysieren. Wählen Sie dazu einfach einen Trustee aus (dies könnte z.B. ein Benutzer oder eine Gruppe sein). Danach kann Liza alle Container in der Verzeichnishierarchie scannen, um die Berechtigungen zu finden, die für den ausgewählten Trustee (und seine Gruppenmitgliedschaften) vergeben oder verweigert wurden.

Befolgen Sie diese Schritte, um eine Berechtigungs-Analyse fü einen bestimmten Trustee durchzuführen:

 

Step 1 Verwenden Sie den Select trustee for ACL analysis Button unten im Liza-Programmfenster, um in den Browse-Modus zu wechseln. Im Browse-Modus sehen sie alle Verzeichnisobjekte in der verbundenen Hierarchie, die ein SID-Attribut (Security Identifier) besitzen. Nur Objekte mit einer SID können Security Principals (potentielle Rechteinhaber) sein und sind damit für eine Analyse.

Der Button für die Berechtigungsanalyse

Step 2 Nun können Sie den Security Principal aus, für den Sie die Verzeichnisberechtigungen checken wollen. Es könnte sich dabei um einen einzelnen Benutzer oder eine Gruppe oder auch um einen Computer-Account handeln. Im unteren Bereich des Liza-Programmfensters sehen Sie das aktuell ausgewählte Objekt. Wenn die Inlcude group membership Checkbox aktiviert ist, dann werden auch die Gruppen aufgelistet, in denen das betreffende Objek Mitglied ist (inklusive der verschachtelten Gruppenmitgliedschaften).

Auswahl des Trustees für die Analyse

Step 3 sie können auch den Nmen enies Objektes direkt eingeben: Klicken Sie dazu einfach mit der Maus auf die Trustee Liste im unteren Bereich des Programmfensters und geben Sie den Namen ein. Liza kann das betreffende Objekt automatisch während ihrer Eingabe finden:

Direkte Eingabe des Trustee-Namens

Step 4 Wenn Sie nun zur nomalen Rechte-Anzeige ohne Trustee Analyse zurückkehren wollen, dann klicken Sie einfach auf die Liste am unteren Fensterrand und drücken die DELETE Taste. The List wird dann gelehrt, und sie können den Analyze ACLs Button verwenden, um in den ursprünglichen Modus mit der Anzeige der Berechtigungen zurückkehren.

Um die Analyse zu starten, muss der Name eines Trustees und vielleicht auch seine Gruppenmitgliedschaften in der Liste am unteren Fensterrand aufgeführt sein. Die Beschriftung ändert sich dadurch zu Analyze ACLs for the Selected Trustee. Um eine Trustee Analyse zu starten, müssen Sie nun diesen Button verwenden. Vorsicht: Wenn Sie den Button Show leaf objects in the selected container aktiviert haben, kann die Analyze unter Umständen sehr lange dauern, da hier jedes Objekt des Verzeichnisses untersucht wird. Es erscheint in diesem Fall eine entsprechende Warnmeldung:

Start der Rechte-Analyse

Step 5 Während die Hierarchie bezüglich der Rechte analysiert wird, bleibt die Applikation deaktiviert. Warten Sie einfach auf den Abschluss des Fortschrittbalkens. Sie können die Analyse jedoch jederzeit unterbrechen, indem Sie den Abort ACL analysis Button benutzen.

Fortschrittsanzeige bei der Analyse

Step 5 Wenn Liza das Analyse-Ergebnis zeigt, werden alle Container und ACEs, bei denen das betreffende Objekt (oder seine Gruppen) direkt betroffen sind, in fetter roter Schrift angezeigt. Wenn Sie den Show leaf objects in the selected container Button aktiviert haben, dann werden sogar id eeinzelnen Objekte auf die betreffenden Trustee Berechtigungen hin untersucht.

Wenn die Berechtigung für den Container hingegen nur vererbt und nicht direkt gesetzt ist, dann erscheint der Eintrag nur in roter Schrift (ohne Fettdruck) angezeigt.

Das Analyse-Ergebnis



Blocked Inheritance Analyse


LIZA kann das gesamte Verzeichnis nach Objekten durchsuchen, die eine gesperrte Berechtigungsvererbung haben. Eine blockierte Vererbung führt in vielen Fällen zu Delegation Problemen, weil delegierten Rechte nicht auf solche Objekte wirken (sie müßten dann explizit direkt für das Objekt festgelegt sein).

Für alle Objekte, die vom AdminSDHolder Mechanismus betroffen sind, wird die Vererbung von Berechtigungen deaktiviert (zum Beispiel weil sie Mitglied einer hoch privilegierte Gruppe sind). Meistens ist es ziemlich schwierig solche Objekte zu erkennen, weil die blockierte Vererbung bleibt, auch wenn die Objekte garnicht mehr Mitglied einer derartigen Gruppe sind.

LIZA kann solche Objekte zu suchen: Benutzen Sie einfach den Search blocked inheritance Button auf dem Bildschirm unten rechts. Die Analyse kann ein bisschen dauern, weil LIZA die Security Descriptoren aller Objekte im aktuellen Verzeichnis auslesen muss, und dies kann eine Menge von Daten sein. Das Ergebnis wird in der Baumansicht auf der linken Seite gezeigt. Alle Objekte mit blockierter Vererbung sind fett rot markiert:

Liza Tool Screenshot



Objekte in LEX - The LDAP Explorer anzeigen


Wenn Sie auf der gleichen Maschine eine Version von LEX - The LDAP Explorer installiert haben (mindestens LEX v 1.5.000), so können sie Objekte aus LIZA heraus direkt in LEX öffnen. Dies ermöglicht es Ihnen z.B. Berechtigungen in LEX zu ändern - LIZA ist schließlich "nur" ein ReadOnly Werkzeug, das die AD Berechtigungen anzeigen, jedoch nicht verändern kann.

Zu diesem Zweck verwenden Sie die Option Open in LEX aus dem Kontext-Menü der Objekte im Treeview:

Liza Tool Screenshot



Command Buttons


Am oberen Rand des LIZA Applikationsfensters finden Sie folgende Kommando Buttons:

Das Analyse-Ergebnis

Hier können Sie eine neue Verbindung zu einem anderen Domänencontroller oder einer anderen Active Directory Verzeichnispartition herstellen (Falls Sie die Rechte im Schema, in der Configuration Partition oder einer anderen Domäne überprüfen wollen). Standardmäßig verbindet sich LILZA stets mit dem nächstgelegenen Domänencontroller und zeigt die Domäne an, in der sich das eigene Benutzerobjekt befindet.

Das Analyse-Ergebnis

Dieser Button löst ein Wiedereinlesen der aktuell dargestellten Information aus. Wenn Sie sich im linken Fensterbereich (der Verzeichnishierarchie) befinden, so wird jedoch nicht der gesamte Baum eingelesen, sondern lediglich die Container direkt ober- und unterhalb desjenigen, in dem sie sich gerade befinden.

Das Analyse-Ergebnis

Mit diesem Button können Sie in jeweils darüber liegende Verzeichnis wechseln (dazu kann man auch die BACKSPACE-Taste verwenden).

Das Analyse-Ergebnis

Wenn dieser Button aktiviert ist, so werden in der Hierarchie nicht nur Container (z.B. OUs) angezeigt, sondern alle Objekte des Verzeichnisses (also auch die sogenannten Leaf Objects = Blattobjekte ohne darin enthaltene Objekte. LIZA liest dann jeweils die Blattobjekte in die Hierarchieanzeige ein, die sich im gerade ausgewählten Container befinden. Wenn sie also einn Container anklicken, der z.B. 20.000 Benutzerobjekte enthält, so kann die Darstelung dieser Blattobjekte eine Weile dauern. Wenn Sie diese Option aktivieren und eine Trustee Analyse durchführen, dann kann diese sehr lange Zeit in Anspruch nehmen!

Das Analyse-Ergebnis

 

Dieser Button ist nur sichtbar, wenn Sie gerade im Modus "Auswählen eines Trustees für die Analyse" sind. Er entscheided, ob für die Verzeichnisobjekte in der rechten Fensterhälfte eine freundliche Darstellung des Namens gewählt wird oder der volle LDAP Distinguished Name dargestellt wird.

Das Analyse-Ergebnis

 

Mit diesem Button können sie in der Anzeige der Berechtigungen alle Einträge ausfiltern, die von obergeordneten Objekten (z.B. OUs) auf das betreffende Objekt vererbt wurden. Unter Umständen kann eine sehr große Anzahl von vererbten Berechtigungen vorhanden sein und die Anzeige der Berechtigungen wird dadurch unübersichtlich und langsam. Wenn Sie sich also vor allem für die explizit gesetzten Berechtigungen an Objekten interessieren, dann können Sie diesen Filter benutzen. Damit Sie nicht vergessen, dass bei aktivem Filter Informationen da sind, die momentan nicht angezeigt werden, blinkt der Button in diesem Fall rot.

Das Analyse-Ergebnis

Mit diesem Button rufen Sie die Online Hilfe auf.


Die letzten Versionsänderungen:


Einige wichtige technische Informationen zu LIZA: