6. MĂ€rz 20187 j Hallo zusammen, ich bin gerade dabei mein AD ein wenig zu entschlacken und stolpre gerade ĂŒber die vielen Gruppen die mein VorgĂ€nger angelegt hat. NatĂŒrlich sinnvoll benannt und dokumentiert was welche Gruppe denn macht... NOT! Die leeren Gruppen habe ich schon gefunden und bin sie losgeworden, aber nun stolpere ich ĂŒber Leichen, die bewohnt sind. Beispielsweise habe ich hier die Gruppe FiBu in der Hand. Der erste Gedanke: Fileserver? ...Nope! DATEV? Nö! Firewall? GPO? RDP? Njet, no, nein... MEH Problem 1, die Gruppe enthĂ€lt Mitglieder, deren Mitgliedschaft ist auch schlĂŒssig zum Gruppennamen. Problem 2, die Gruppe ist vielleicht-oder-auch-nicht noch irgendwo verknĂŒpft, in Verwendung und ggf auch noch wichtig. Gerade ĂŒber Problem 2 wĂŒrde ich im Zweifelsfall erst dann stolpern, wenn ich die Gruppe gelöscht haben + ZeitraumX in dem ich mich nicht mehr auf dem Schirm habe dass es auch daran liegen könnte. Möglichkeit 1: Gruppen leeren, dokumentieren wer Mitglied war, die leeren Gruppen stehen lassen und warten ob es knallt. (Ein Jahr passiert nichts, Gruppe weg *boom*) Möglichkeit 2 (Theorie): Es gibt irgendeine Möglichkeit festzustellen, wann das letzte Mal jemand aufgrund der Zugehörigkeit zu dieser Gruppe bestimmte Rechte erhalten hat. Entweder lĂ€sst sich so der Dienst herausfinde oder zumindest der Zeitraum seit dem die Gruppe vor sich hin stinkt.  Meine Frage: Ist Möglichkeit 2 machbar? Wenn ja, wie? Im Idealfall natĂŒrlich mit Boardmitteln (Powershell) oder kostenlos, wie immer Â
6. MĂ€rz 20187 j Hilft dir hier das Tool evtl. weiter? https://www.windowspro.de/tool/zugriffsrechte-im-active-directory-analysieren-dem-ad-acl-scanner
6. MĂ€rz 20187 j Ist es möglich, Zugriffswerte zu protokollieren, bedeutet, du lĂ€sst ein Skript mal unter der Woche laufen und siehst, wann auf/ ĂŒber eine bestimmte Gruppe zugegriffen wird. So siehst du, dass es aktiv in Benutzung ist und kannst vielleicht RĂŒckschlĂŒsse ziehen, fĂŒr was sie benötigt wird.
6. MĂ€rz 20187 j Ich gehe mal davon aus, dass ĂŒber die Gruppen Dateizugriffsrechte, Laufwerkszuweisung, ... und andere "AD Fremde" Sachen passieren? IMO gibt es keine Möglichkeit zu prĂŒfen wo eine Gruppe nach "extern" VerknĂŒpft ist (wĂ€re groĂartig, wenn mich jemand korrigieren könnte - das wĂ€re ein fantastisches Feature). Wenn du weisst welche Dienste genutzt werden (File, GPO, ...) dann kannst du hier evtl. jede Funktion einzeln gegenchecken, was dann aber auch ne ganz schöne Frickeley wird (wobei das mittels Powershell zumindest auf Microsoft Ebene gut funktionieren sollte).
6. MÀrz 20187 j Du hast keine Chance. Bzw. nicht immer. Es gibt Software die vergibt interen Rechte anhand der Zugehörigkeit zu bestimmten Gruppen. Dazu muss die Gruppe im AD selber keine weiteren Strukturen haben. Das kann sogar MS eigene Software. z.b. Dynamics AX 2012 steuert die eigene Berechtigungsstruktur so. Und damit hast du dann gar keine Chance mehr raus zu bekommen welche Software das macht. Denn die Software liest ja nur beim Starten den User und seine Gruppen.
6. MĂ€rz 20187 j Autor @t0pi : Cool, das Ding schau ich mir auf jeden Fall an, auch wenn ich nicht sicher bin, ob es mir in der aktuellen Situation hilft. Brauchen kann ich das sicher trotzdem vor 1 Stunde schrieb Eratum: Ich gehe mal davon aus, dass ĂŒber die Gruppen Dateizugriffsrechte, Laufwerkszuweisung, ... und andere "AD Fremde" Sachen passieren? @EratumDa gehst du richtig, der Vorteil ist , die Gruppen die in Richtung GPO, bzw auch allgemein ich Richtung "neuere" Systeme gehen habe ich erstellt und dementsprechend benannt. Da sollte mir also nichts auf die FĂŒĂe fallen. Mein Problem sind diese ganzen "Altlasten" und Systeme die "nur" ein Update bekommen haben aber keine neuen Server mit sauber konfigurierten Dienstkonten drunter. Und auf genau dieses fantastische Feature hoffe ich, vielleicht zauber ja doch jemand ein Skript, Programm oder eine Voodopuppe aus dem Hut der/die/das genau das kann vor 33 Minuten schrieb Enno: Du hast keine Chance. Bzw. nicht immer. Es gibt Software die vergibt interen Rechte anhand der Zugehörigkeit zu bestimmten Gruppen. Dazu muss die Gruppe im AD selber keine weiteren Strukturen haben. Solange die Software nur auf den Gruppennamen bzw den distinguishedName geht habe ich ja trotzdem eine Chance das ganze wieder zusammenzufrickeln, wenn die objektGUID abgefragt wird bin ich gekniffen (wenn ich es nicht mehr im AD Papierkorb habe 2012er DomĂ€ne ftw)
9. MĂ€rz 20187 j Was spricht gegen die "Hammermethode"? Mail an alle raus mit dem Hinweis, dass, um die interne Sicherheit zu gewĂ€hrleisten, wichtige Systemkonfigurationen vorgenommen werden mĂŒssen und einige Dienste ausfallen / beeintrĂ€chtigt sein können. NatĂŒrlich mit der Bitte um RĂŒckmeldung falls was nicht mehr geht. Dann umbenennen / deaktivieren (natĂŒrlich dokumentieren was du tust) und abwarten... Mittlerweile steht bei uns die Leitung auch hinter solchen Aktionen, wenn wir die Sicherheitsnadeln mit ins Boot holen.
9. MĂ€rz 20187 j Autor vor 57 Minuten schrieb Eratum: Was spricht gegen die "Hammermethode"? Mail an alle raus mit dem Hinweis, dass, um die interne Sicherheit zu gewĂ€hrleisten, wichtige Systemkonfigurationen vorgenommen werden mĂŒssen und einige Dienste ausfallen / beeintrĂ€chtigt sein können. NatĂŒrlich mit der Bitte um RĂŒckmeldung falls was nicht mehr geht. Dann umbenennen / deaktivieren (natĂŒrlich dokumentieren was du tust) und abwarten... Mittlerweile steht bei uns die Leitung auch hinter solchen Aktionen, wenn wir die Sicherheitsnadeln mit ins Boot holen. Das kommt dann, wenn ich die Ordnerstruktur soweit passend durch berechtigt habe. Das Problem hierbei wird sein, dass ein Umbenennen der Gruppe nicht unbedingt was bringt, die objektGUID bleibt gleich und ich habe immer noch keine Ahnung ob das nun genutzt wird oder nicht, und fĂŒr was. Blöd wĂ€re es dann, wenn es Dienste... betrifft bei denen es erst in X Wochen/Monaten auffĂ€llt, entweder weil es wirklich nur sporadisch genutzt wird, oder weil sich erst dann jemand wundert warum es nicht geht.
9. MĂ€rz 20187 j Dann muss die Ruhephase lange genug sein Die Programme fĂŒr den Jahresabschluss z.B. braucht's halt nur 1x/Jahr.
9. MĂ€rz 20187 j Autor Jup, der Plan ist, fĂŒr alle Gruppen die ich nicht zugeordnet bekomme die Mitglieder zu dokumentieren, dann rauszuwerfen und zu hoffen dass ich nie auf die Doku zurĂŒckgreifen muss Die Gruppen selbst dann eben nach > 1 Jahr mal langsam löschen. AuĂer halt, es zaubert noch jemand ein superduper Tool aus dem Hut mit dem ich das schneller rausfinden kann
Erstelle ein Konto oder melde dich an, um einen Kommentar zu schreiben.