Zum Inhalt springen
  • 0

Ungenutze (volle) AD Gruppen finden


Frage

Geschrieben

Hallo zusammen,

ich bin gerade dabei mein AD ein wenig zu entschlacken und stolpre gerade über die vielen Gruppen die mein Vorgänger angelegt hat. Natürlich sinnvoll benannt und dokumentiert was welche Gruppe denn macht... NOT!

Die leeren Gruppen habe ich schon gefunden und bin sie losgeworden, aber nun stolpere ich über Leichen, die bewohnt sind.

Beispielsweise habe ich hier die Gruppe FiBu in der Hand. Der erste Gedanke: Fileserver? ...Nope! DATEV? Nö! Firewall? GPO? RDP? Njet, no, nein... MEH :angry:

Problem 1, die Gruppe enthält Mitglieder, deren Mitgliedschaft ist auch schlüssig zum Gruppennamen.

Problem 2, die Gruppe ist vielleicht-oder-auch-nicht noch irgendwo verknüpft, in Verwendung und ggf auch noch wichtig.

Gerade über Problem 2 würde ich im Zweifelsfall erst dann stolpern, wenn ich die Gruppe gelöscht haben + ZeitraumX in dem ich mich nicht mehr auf dem Schirm habe dass es auch daran liegen könnte.

Möglichkeit 1: Gruppen leeren, dokumentieren wer Mitglied war, die leeren Gruppen stehen lassen und warten ob es knallt. (Ein Jahr passiert nichts, Gruppe weg *boom*)

Möglichkeit 2 (Theorie): Es gibt irgendeine Möglichkeit festzustellen, wann das letzte Mal jemand aufgrund der Zugehörigkeit zu dieser Gruppe bestimmte Rechte erhalten hat. Entweder lässt sich so der Dienst herausfinde oder zumindest der Zeitraum seit dem die Gruppe vor sich hin stinkt.

 

Meine Frage: Ist Möglichkeit 2 machbar? Wenn ja, wie? Im Idealfall natürlich mit Boardmitteln (Powershell) oder kostenlos, wie immer :)

 

9 Antworten auf diese Frage

Empfohlene Beiträge

  • 0
Geschrieben

Ist es möglich, Zugriffswerte zu protokollieren, bedeutet, du lässt ein Skript mal unter der Woche laufen und siehst, wann auf/ über eine bestimmte Gruppe zugegriffen wird. So siehst du, dass es aktiv in Benutzung ist und kannst vielleicht Rückschlüsse ziehen, für was sie benötigt wird.

  • 0
Geschrieben

Ich gehe mal davon aus, dass über die Gruppen Dateizugriffsrechte, Laufwerkszuweisung, ... und andere "AD Fremde" Sachen passieren?

IMO gibt es keine Möglichkeit zu prüfen wo eine Gruppe nach "extern" Verknüpft ist (wäre großartig, wenn mich jemand korrigieren könnte - das wäre ein fantastisches Feature).
Wenn du weisst welche Dienste genutzt werden (File, GPO, ...) dann kannst du hier evtl. jede Funktion einzeln gegenchecken, was dann aber auch ne ganz schöne Frickeley wird (wobei das mittels Powershell zumindest auf Microsoft Ebene gut funktionieren sollte).

  • 0
Geschrieben

Du hast keine Chance. Bzw. nicht immer.

Es gibt Software die vergibt interen Rechte anhand der Zugehörigkeit zu bestimmten Gruppen. Dazu muss die Gruppe im AD selber keine weiteren Strukturen haben.

Das kann sogar MS eigene Software. z.b. Dynamics AX 2012 steuert die eigene Berechtigungsstruktur so.

Und damit hast du dann gar keine Chance mehr raus zu bekommen welche Software das macht. Denn die Software liest ja nur beim Starten den User und seine Gruppen.

  • 0
Geschrieben

@t0pi : Cool, das Ding schau ich mir auf jeden Fall an, auch wenn ich nicht sicher bin, ob es mir in der aktuellen Situation hilft. Brauchen kann ich das sicher trotzdem :)

vor 1 Stunde schrieb Eratum:

Ich gehe mal davon aus, dass über die Gruppen Dateizugriffsrechte, Laufwerkszuweisung, ... und andere "AD Fremde" Sachen passieren?

@EratumDa gehst du richtig, der Vorteil ist , die Gruppen die in Richtung GPO, bzw auch allgemein ich Richtung "neuere" Systeme gehen habe ich erstellt und dementsprechend benannt. Da sollte mir also nichts auf die Füße fallen. Mein Problem sind diese ganzen "Altlasten" und Systeme die "nur" ein Update bekommen haben aber keine neuen Server mit sauber konfigurierten Dienstkonten drunter.

Und auf genau dieses fantastische Feature hoffe ich, vielleicht zauber ja doch jemand ein Skript, Programm oder eine Voodopuppe aus dem Hut der/die/das genau das kann :)

vor 33 Minuten schrieb Enno:

Du hast keine Chance. Bzw. nicht immer.

Es gibt Software die vergibt interen Rechte anhand der Zugehörigkeit zu bestimmten Gruppen. Dazu muss die Gruppe im AD selber keine weiteren Strukturen haben.

Solange die Software nur auf den Gruppennamen bzw den distinguishedName geht habe ich ja trotzdem eine Chance das ganze wieder zusammenzufrickeln, wenn die objektGUID abgefragt wird bin ich gekniffen (wenn ich es nicht mehr im AD Papierkorb habe 2012er Domäne ftw)

  • 0
Geschrieben

Was spricht gegen die "Hammermethode"? Mail an alle raus mit dem Hinweis, dass, um die interne Sicherheit zu gewährleisten, wichtige Systemkonfigurationen vorgenommen werden müssen und einige Dienste ausfallen / beeinträchtigt sein können. Natürlich mit der Bitte um Rückmeldung falls was nicht mehr geht. Dann umbenennen / deaktivieren (natürlich dokumentieren was du tust) und abwarten...

Mittlerweile steht bei uns die Leitung auch hinter solchen Aktionen, wenn wir die Sicherheitsnadeln mit ins Boot holen.

  • 0
Geschrieben
vor 57 Minuten schrieb Eratum:

Was spricht gegen die "Hammermethode"? Mail an alle raus mit dem Hinweis, dass, um die interne Sicherheit zu gewährleisten, wichtige Systemkonfigurationen vorgenommen werden müssen und einige Dienste ausfallen / beeinträchtigt sein können. Natürlich mit der Bitte um Rückmeldung falls was nicht mehr geht. Dann umbenennen / deaktivieren (natürlich dokumentieren was du tust) und abwarten...

Mittlerweile steht bei uns die Leitung auch hinter solchen Aktionen, wenn wir die Sicherheitsnadeln mit ins Boot holen.

Das kommt dann, wenn ich die Ordnerstruktur soweit passend durch berechtigt habe.

Das Problem hierbei wird sein, dass ein Umbenennen der Gruppe nicht unbedingt was bringt, die objektGUID  bleibt gleich und ich habe immer noch keine Ahnung ob das nun genutzt wird oder nicht, und für was.

Blöd wäre es dann, wenn es Dienste... betrifft bei denen es erst in X Wochen/Monaten auffällt, entweder weil es wirklich nur sporadisch genutzt wird, oder weil sich erst dann jemand wundert warum es nicht geht.

  • 0
Geschrieben

Jup, der Plan ist, für alle Gruppen die ich nicht zugeordnet bekomme die Mitglieder zu dokumentieren, dann rauszuwerfen und zu hoffen dass ich nie auf die Doku zurückgreifen muss :)

Die Gruppen selbst dann eben nach > 1 Jahr mal langsam löschen.

Außer halt, es zaubert noch jemand ein superduper Tool aus dem Hut mit dem ich das schneller rausfinden kann :)

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...