iT邦幫忙

1

AD使用者帳號停用時,FileServer內帳號可否連帶停用?

  • 分享至 

  • xImage

各位先進好,

想請教每當有User離職時,AD內帳號會先行停用,但停用之後FileServer內,該名User帳號並不會隨之停用,由於多數公司資料夾結構複雜,不易將該名User帳號,自所有資料夾中找出並移除,所以想請教是否有相對應方法或工具,可幫助管理者找出Windows FileServer內,已停用AD帳號所在的資料夾,協助管理者移除。

謝謝!

PIZZ iT邦新手 2 級 ‧ 2024-08-07 09:11:11 檢舉
GPT開釋:

要快速清除一个被停用的AD帐户在文件服务器上共享文件夹的权限,可以按以下步骤操作:

### 方法一:使用GUI工具(适用于少量文件夹)
1. **登录文件服务器**:使用管理员帐户登录到文件服务器。
2. **打开文件夹属性**:
- 右键点击共享文件夹,选择“属性”。
- 选择“安全”标签页。
3. **检查权限**:
- 在“组或用户名称”列表中,找到被停用的AD帐户。
- 选择该帐户并点击“移除”。
4. **应用更改**:点击“应用”或“确定”来保存更改。

### 方法二:使用PowerShell脚本(适用于大规模清理)
如果你需要在多个共享文件夹中批量清理权限,可以使用PowerShell脚本来完成。

#### 示例脚本:
```powershell
$DisabledUser = "domain\username" # 这里替换成被停用的AD用户
$SharedFolders = "C:\SharedFolder1", "C:\SharedFolder2" # 这里列出所有需要清理权限的共享文件夹路径

foreach ($folder in $SharedFolders) {
$acl = Get-Acl $folder
$acl.Access | Where-Object { $_.IdentityReference -eq $DisabledUser } | ForEach-Object {
$acl.RemoveAccessRule($_)
}
Set-Acl -Path $folder -AclObject $acl
Write-Host "已移除 $DisabledUser 对 $folder 的权限"
}
```
#### 使用步骤:
1. **调整脚本参数**:替换 `$DisabledUser` 和 `$SharedFolders` 变量中的内容,指定要清理的用户和文件夹。
2. **执行脚本**:在文件服务器上使用管理员权限运行此PowerShell脚本。

### 方法三:使用第三方工具
还有一些专门用于权限管理的第三方工具,可以自动扫描并清理无效的AD帐户权限。如果你的环境比较复杂或涉及大量文件夹,这些工具可能会更高效。

以下是几款常用的第三方工具,可以帮助你管理和清理文件服务器上的权限,包括移除无效的AD帐户权限:

### 1. **NTFS Permissions Reporter**
- **功能**:这款工具能够生成详细的NTFS权限报告,方便你查看和管理文件夹权限。你可以轻松地找到并移除无效或已停用的AD帐户权限。
- **优点**:界面友好,生成的报告易于阅读和导出。
- **缺点**:可能需要手动操作,适合中小规模环境。
- **官网**:[NTFS Permissions Reporter](https://www.cjwdev.com/Software/NtfsReports/Info.html)

### 2. **ManageEngine ADManager Plus**
- **功能**:ADManager Plus是一款综合性AD管理工具,支持用户和权限管理、报告生成、批量操作等功能。它可以帮助你批量清理文件服务器上的权限。
- **优点**:功能强大,适合企业级环境;可自动化任务,减轻管理负担。
- **缺点**:配置和学习曲线较长,费用较高。
- **官网**:[ManageEngine ADManager Plus](https://www.manageengine.com/products/ad-manager/)

### 3. **SolarWinds Access Rights Manager**
- **功能**:这款工具专注于文件服务器和AD的权限管理与审计。它能帮助你快速识别并移除无效的用户权限,同时提供全面的报告和监控功能。
- **优点**:功能全面,支持权限分析、报告生成、自动化管理等;适合大型企业。
- **缺点**:价格较高,适合预算较充裕的企业。
- **官网**:[SolarWinds Access Rights Manager](https://www.solarwinds.com/access-rights-manager)

### 4. **Netwrix Auditor**
- **功能**:Netwrix Auditor提供文件服务器和AD的详细审计和报告功能,可以帮助你识别并清理不再需要的权限。它还提供权限变更的实时监控和警报功能。
- **优点**:界面简洁直观,支持定制化报告;具有强大的权限审计功能。
- **缺点**:对于仅需要基本权限管理的用户来说,可能有些过于复杂。
- **官网**:[Netwrix Auditor](https://www.netwrix.com/file_servers_auditing.html)

### 5. **Permissions Reporter by ScriptLogic**
- **功能**:这是一个专业的权限报告工具,能够生成易于理解的文件权限报告,并帮助你快速清理无效的AD帐户权限。
- **优点**:专注于文件权限管理,易于上手。
- **缺点**:功能相对单一,主要用于报告生成和权限管理。
- **官网**:[Permissions Reporter by ScriptLogic](https://www.quest.com/products/enterprise-reporter-for-windows-permissions/)

这些工具各有特点,选择哪款工具取决于你的具体需求、预算和IT环境的复杂性。如果你的需求只是基本的权限管理,可能不需要功能最全的工具;但如果你需要综合的AD和权限管理功能,类似ADManager Plus或SolarWinds这样的工具会更适合。
PIZZ iT邦新手 2 級 ‧ 2024-08-07 09:28:07 檢舉
不然就把資料夾權限用群組方式來做,有人離職就把帳號群組都移除掉...
ai6598 iT邦新手 5 級 ‧ 2024-08-08 08:37:21 檢舉
感謝 Pizz,我將抽空測試,謝謝!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

1
Kailis
iT邦研究生 1 級 ‧ 2024-08-07 10:58:22

用指令就可以移除特定使用者了,
幫你問好GPT

在 Windows 文件伺服器上,如果需要使用命令將特定使用者從目錄樹中的所有檔案夾和子目錄中移除權限,可以使用 icacls 命令。icacls 是一個強大的工具,可以用來設定檔案和資料夾的 NTFS 權限。以下是如何執行這個操作的步驟:

打開命令提示字元(CMD):
以系統管理員身份執行 CMD。

執行 icacls 命令:
使用以下命令來移除特定使用者的權限。假設我們要移除使用者 username 在目錄 C:\example 及其所有子目錄中的權限。

icacls "C:\example" /remove:g username /t
這裡的各個參數說明:

"C:\example":目標資料夾的路徑。
/remove:g:移除指定使用者的所有授權(權限)。
username:要移除權限的使用者名稱。
/t:遞迴處理目錄樹中的所有子目錄和檔案。
確認操作:
執行命令後,系統會遞迴遍歷指定目錄及其子目錄,並移除目標使用者的所有權限。

範例:
如果要移除使用者 JohnDoe 在 D:\Projects 資料夾及其子目錄中的所有權限,可以使用以下命令:

icacls "D:\Projects" /remove:g JohnDoe /t
執行這個命令後,JohnDoe 在 D:\Projects 資料夾及其所有子目錄中的權限將被移除。請注意,執行此操作需要具有適當的管理員權限。

ai6598 iT邦新手 5 級 ‧ 2024-08-08 08:38:34 檢舉

感謝 Kailis,我將抽空測試,謝謝!

我要發表回答

立即登入回答