Нет, для этого нет сценария, и на то есть веская причина.
Это большая работа, которая, вероятно, никогда не будет на 100%.Нет ни одного места, где хранятся все эти разрешения, поэтому вам нужно будет решить, какой тип разрешений вы ищете, и найти их.
Например, пользователь может быть:
- В разрешениях непосредственно для объектов AD (вам нужно будет сканировать разрешения для каждого объекта AD в вашем домене)
- В разрешениях для файлов на серверах (вам придется сканировать всю файловую систему каждого сервера).в вашей среде)
- В локальных группах на компьютере, например, «Администраторы» (вам придется сканировать каждую локальную группу на каждом компьютере в вашем домене, а затем сканировать файловую систему, чтобы узнать, какие разрешения имеют эти группы)
И когда вы выполняете эти сканирования, вы должны искать любые группы, в которые входит и пользователь.
Вы должны решить, насколько глубоко вы хотите зайти: пользователь можетполучить разрешения для разделов реестра - вы тоже хотите их найти?
Также могут быть приложения, которые могут предоставлять разрешения для AD groups или пользователям напрямую.Список можно продолжать и продолжать.