}

VBScript to read exchange permissions (msexchmailboxsecuritydescriptor)

Since the permissions involving sending and reading mail are stored in different places, you need to read both the AD object permissions as well as the Exchange security descriptor.

The AD permissions contain only entries related to the user itself, such as send-as/receive-as, while the Exchange permissions contain entries related to the mailbox, such as read and full access.

strUserODN = wscript.arguments(0)
strExportFile = wscript.arguments(1)

Const RIGHT_DS_DELETE = &H10000
Const RIGHT_DS_READ = &H20000
Const RIGHT_DS_CHANGE = &H40000
Const RIGHT_DS_TAKE_OWNERSHIP = &H80000
Const RIGHT_DS_MAILBOX_OWNER = &H1
Const RIGHT_DS_SEND_AS = &H2
Const RIGHT_DS_PRIMARY_OWNER = &H4
Const ADS_ACETYPE_ACCESS_ALLOWED = &H0
Const ADS_ACETYPE_ACCESS_DENIED = &H1

set ObjUser = GetObject("LDAP://" & strUserODN)
set fso = CreateObject("Scripting.FileSystemObject")
set output = fso.CreateTextFile(strExportFile, True)

Set objsd = objUser.Get("msExchMailboxSecurityDescriptor")
Set dacl = objsd.DiscretionaryAcl

For Each ace In dacl
output.Write strUserODN & ";"
output.Write ace.Trustee & ";"

strTemp = ""
If (ace.AceType = ADS_ACETYPE_ACCESS_ALLOWED) Then
strTemp = "Allow"
ElseIf (ace.AceType = ADS_ACETYPE_ACCESS_DENIED) Then
strTemp = "Deny"
End If
output.Write strTemp & ";"

strTemp = ""
If (ace.AccessMask And RIGHT_DS_SEND_AS) Then
strTemp = "SendAs"
End If

If (ace.AccessMask And RIGHT_DS_CHANGE) Then
strTemp = "ModifyUserAttributes"
End If

If (ace.AccessMask And RIGHT_DS_DELETE) Then
strTemp = "DeleteMailboxStore"
End If

If (ace.AccessMask And RIGHT_DS_READ) Then
strTemp = "ReadPermissions"
End If

If (ace.AccessMask And RIGHT_DS_TAKE_OWNERSHIP) Then
strTemp = "TakeOwnership"
End If

If (ace.AccessMask And RIGHT_DS_MAILBOX_OWNER) Then
strTemp = "MailboxOwner"
End If

If (ace.AccessMask And RIGHT_DS_PRIMARY_OWNER) Then
strTemp = "PrimaryOwner"
End If
output.Write strTemp & ";"
output.WriteLine "#"
Next

SAP koppeling met Active Directory

Bij 1 van grootste ziekenhuizen van Nederland heb ik recentelijk een SAP koppeling naar Active Directory opgeleverd met behulp van UMRA van Tools4ever. Het scenario is dat SAP elke x minuten een feed aanleverde in CSV formaat met alle wijzigingen, die vervolgens in Active Directory verwerkt moeten worden. Met behulp van specifieke codes voor bepaalde mutaties (instroom, doorstroom, uitstroom) weet de UMRA engine welke business logica uitgevoerd moet worden.

Lees meer

User- en toegangsbeheer in cloud applicaties: een uitdaging

Cloud applicaties als Google Apps, Salesforce.com, GoToMeeting, Office 365, itslearning, AFAS Online en RAET Online worden steeds meer ingezet in het bedrijfsleven. Bij cloud applicaties is het lastiger om exact te weten wie toegang heeft tot welke applicaties en data. Leveranciers van cloud oplossingen geven helaas weinig prioriteit aan het ontwikkelen van beter beheer van user accounts en toegangsrechten in hun applicaties.

Lees meer

De vooroordelen van Single Sign On

Veel IT managers en Security Officers zijn terughoudend als het gaat om het implementeren van een Single Sign On (SSO) oplossing, hoewel de voordelen van SSO duidelijk zijn. Namelijk onder andere gebruikersgemak voor de eindgebruiker en minder wachtwoord reset calls naar de helpdesk. De terughoudendheid ten aanzien van SSO wordt in de hand gewerkt door een aantal vooroordelen over SSO.

Lees meer

RBAC: sleutelrol, beheer en evolutie

Veel organisaties zijn bezig met RBAC in meer of mindere vorm; verkenning, project, implementatie, vulling of beheer. We zien dat dit gestuurd wordt door normen als NEN7510, waarin voornamelijk staat beschreven dat je moet kunnen aantonen waarom iemand een autorisatie nodig heeft en hoe deze tot stand is gekomen. Inmiddels weten we dat RBAC niet een heilige graal is, maar dat veel implementaties stuk lopen door de te grote scope en complexiteit.

Lees meer

Single Sign On met terminal emulatie (VAX64, AS/400, Linux, SSH)

We zien dat veel organisaties steeds bewuster bezig zijn met security, waarschijnlijk mede ingegeven door regelgeving zoals NEN7510 en ICT-audit trajecten. Naast het autorisatiebeheer binnen applicaties, waar we al verschillende oplossingen voor bieden zijn we ook actief op het authenticatie-vlak, namelijk met een Single Sign On (SSO) oplossing.

Lees meer