Hallo zusammen,

ich bin gerade dabei mein AD ein wenig zu entschlacken und stolpre gerade über die vielen Gruppen die mein Vorgänger angelegt hat. Natürlich sinnvoll benannt und dokumentiert was welche Gruppe denn macht... NOT!

Die leeren Gruppen habe ich schon gefunden und bin sie losgeworden, aber nun stolpere ich über Leichen, die bewohnt sind.

Beispielsweise habe ich hier die Gruppe FiBu in der Hand. Der erste Gedanke: Fileserver? ...Nope! DATEV? Nö! Firewall? GPO? RDP? Njet, no, nein... MEH

Problem 1, die Gruppe enthält Mitglieder, deren Mitgliedschaft ist auch schlüssig zum Gruppennamen.

Problem 2, die Gruppe ist vielleicht-oder-auch-nicht noch irgendwo verknüpft, in Verwendung und ggf auch noch wichtig.

Gerade über Problem 2 würde ich im Zweifelsfall erst dann stolpern, wenn ich die Gruppe gelöscht haben + ZeitraumX in dem ich mich nicht mehr auf dem Schirm habe dass es auch daran liegen könnte.

Möglichkeit 1: Gruppen leeren, dokumentieren wer Mitglied war, die leeren Gruppen stehen lassen und warten ob es knallt. (Ein Jahr passiert nichts, Gruppe weg *boom*)

Möglichkeit 2 (Theorie): Es gibt irgendeine Möglichkeit festzustellen, wann das letzte Mal jemand aufgrund der Zugehörigkeit zu dieser Gruppe bestimmte Rechte erhalten hat. Entweder lässt sich so der Dienst herausfinde oder zumindest der Zeitraum seit dem die Gruppe vor sich hin stinkt.

 

Meine Frage: Ist Möglichkeit 2 machbar? Wenn ja, wie? Im Idealfall natürlich mit Boardmitteln (Powershell) oder kostenlos, wie immer

 

Hilft dir hier das Tool evtl. weiter? https://www.windowspro.de/tool/zugriffsrechte-im-active-directory-analysieren-dem-ad-acl-scanner

Ist es möglich, Zugriffswerte zu protokollieren, bedeutet, du lässt ein Skript mal unter der Woche laufen und siehst, wann auf/ über eine bestimmte Gruppe zugegriffen wird. So siehst du, dass es aktiv in Benutzung ist und kannst vielleicht Rückschlüsse ziehen, für was sie benötigt wird.

Ich gehe mal davon aus, dass über die Gruppen Dateizugriffsrechte, Laufwerkszuweisung, ... und andere "AD Fremde" Sachen passieren?

IMO gibt es keine Möglichkeit zu prüfen wo eine Gruppe nach "extern" Verknüpft ist (wäre großartig, wenn mich jemand korrigieren könnte - das wäre ein fantastisches Feature).
Wenn du weisst welche Dienste genutzt werden (File, GPO, ...) dann kannst du hier evtl. jede Funktion einzeln gegenchecken, was dann aber auch ne ganz schöne Frickeley wird (wobei das mittels Powershell zumindest auf Microsoft Ebene gut funktionieren sollte).

Du hast keine Chance. Bzw. nicht immer.

Es gibt Software die vergibt interen Rechte anhand der Zugehörigkeit zu bestimmten Gruppen. Dazu muss die Gruppe im AD selber keine weiteren Strukturen haben.

Das kann sogar MS eigene Software. z.b. Dynamics AX 2012 steuert die eigene Berechtigungsstruktur so.

Und damit hast du dann gar keine Chance mehr raus zu bekommen welche Software das macht. Denn die Software liest ja nur beim Starten den User und seine Gruppen.

@t0pi : Cool, das Ding schau ich mir auf jeden Fall an, auch wenn ich nicht sicher bin, ob es mir in der aktuellen Situation hilft. Brauchen kann ich das sicher trotzdem

vor 1 Stunde schrieb Eratum:

Ich gehe mal davon aus, dass über die Gruppen Dateizugriffsrechte, Laufwerkszuweisung, ... und andere "AD Fremde" Sachen passieren?

@EratumDa gehst du richtig, der Vorteil ist , die Gruppen die in Richtung GPO, bzw auch allgemein ich Richtung "neuere" Systeme gehen habe ich erstellt und dementsprechend benannt. Da sollte mir also nichts auf die Füße fallen. Mein Problem sind diese ganzen "Altlasten" und Systeme die "nur" ein Update bekommen haben aber keine neuen Server mit sauber konfigurierten Dienstkonten drunter.

Und auf genau dieses fantastische Feature hoffe ich, vielleicht zauber ja doch jemand ein Skript, Programm oder eine Voodopuppe aus dem Hut der/die/das genau das kann

vor 33 Minuten schrieb Enno:

Du hast keine Chance. Bzw. nicht immer.

Es gibt Software die vergibt interen Rechte anhand der Zugehörigkeit zu bestimmten Gruppen. Dazu muss die Gruppe im AD selber keine weiteren Strukturen haben.

Solange die Software nur auf den Gruppennamen bzw den distinguishedName geht habe ich ja trotzdem eine Chance das ganze wieder zusammenzufrickeln, wenn die objektGUID abgefragt wird bin ich gekniffen (wenn ich es nicht mehr im AD Papierkorb habe 2012er Domäne ftw)

Was spricht gegen die "Hammermethode"? Mail an alle raus mit dem Hinweis, dass, um die interne Sicherheit zu gewährleisten, wichtige Systemkonfigurationen vorgenommen werden müssen und einige Dienste ausfallen / beeinträchtigt sein können. Natürlich mit der Bitte um Rückmeldung falls was nicht mehr geht. Dann umbenennen / deaktivieren (natürlich dokumentieren was du tust) und abwarten...

Mittlerweile steht bei uns die Leitung auch hinter solchen Aktionen, wenn wir die Sicherheitsnadeln mit ins Boot holen.

vor 57 Minuten schrieb Eratum:

Was spricht gegen die "Hammermethode"? Mail an alle raus mit dem Hinweis, dass, um die interne Sicherheit zu gewährleisten, wichtige Systemkonfigurationen vorgenommen werden müssen und einige Dienste ausfallen / beeinträchtigt sein können. Natürlich mit der Bitte um Rückmeldung falls was nicht mehr geht. Dann umbenennen / deaktivieren (natürlich dokumentieren was du tust) und abwarten...

Mittlerweile steht bei uns die Leitung auch hinter solchen Aktionen, wenn wir die Sicherheitsnadeln mit ins Boot holen.

Das kommt dann, wenn ich die Ordnerstruktur soweit passend durch berechtigt habe.

Das Problem hierbei wird sein, dass ein Umbenennen der Gruppe nicht unbedingt was bringt, die objektGUID  bleibt gleich und ich habe immer noch keine Ahnung ob das nun genutzt wird oder nicht, und für was.

Blöd wäre es dann, wenn es Dienste... betrifft bei denen es erst in X Wochen/Monaten auffällt, entweder weil es wirklich nur sporadisch genutzt wird, oder weil sich erst dann jemand wundert warum es nicht geht.

Dann muss die Ruhephase lange genug sein Die Programme für den Jahresabschluss z.B. braucht's halt nur 1x/Jahr.

Jup, der Plan ist, für alle Gruppen die ich nicht zugeordnet bekomme die Mitglieder zu dokumentieren, dann rauszuwerfen und zu hoffen dass ich nie auf die Doku zurückgreifen muss

Die Gruppen selbst dann eben nach > 1 Jahr mal langsam löschen.

Außer halt, es zaubert noch jemand ein superduper Tool aus dem Hut mit dem ich das schneller rausfinden kann