0xdabbad00 0 Geschrieben 11. September 2020 Melden Teilen Geschrieben 11. September 2020 Moin zusammen, kennt jemand eine Möglichkeit wie man prüfen kann ob vorhandene Gruppen in der Active Directory noch verwendet werden? D.h. 1. ob die Benutzer die in den Gruppen eingetragen sind, die Gruppe abfragen 2. Drittanbieter-Systeme die die Gruppe abfragen um Konfigurationen damit abzubilden Hintergrund ist, dass wir alte Gruppen in derDomäne haben, die wir gerne aufräumen möchten. Jedoch kann man der Gruppe nicht ansehen, ob sie noch verwendet wird. Wir haben die Einstellungen in den GPo bereits so angepasst, dass das Audit auf den Domain Controller aktiviert ist. Diese Anleitung ist dabei sehr hilfreich gewesen:https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm Das Audit gibt zwar schon einige Informationen her, jedoch zeigt es keine Zugriffe auf AD-Gruppen. Hat jemand eine Idee wie man das erreichen kann? Danke & Grüße Klaus Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 11. September 2020 Melden Teilen Geschrieben 11. September 2020 Moin, du hast da anscheinend falsche Vorstellungen von Gruppen. Die Mitgliedschaft wird nicht "abgefragt" - sie gilt in dem Moment, wo ein User sich anmeldet. Die Gruppe ist dann Teil seines Access Tokens. Ob er die Rechte und Berechtigungen, die damit zusammenhängen, auch ausübt, ist eine ganz andere Frage. Deine Frage ist durchaus berechtigt und naheliegend, aber sie ist nicht trennscharf genug. Typischerweise wird man, um eine Frage dieser Art zu beantworten, im gesamten Netzwerk eine Berechtigungsanalyse machen müssen, um dann festzustellen, ob bestimmte Gruppen in Berechtigungslisten auftauchen oder nicht. Falls nein, ist die Gruppe praktisch nutzlos. Falls ja, heißt das aber noch nicht, dass die Gruppe wirklich noch gebraucht wird - vielleicht gibt es ja gar keinen Bedarf mehr für die Berechtigung. Ein anderer Weg, der manchmal beschritten wird: Export der Gruppenmitglieder und Leeren der Gruppe. Falls sich niemand beschwert, braucht man die Gruppe nicht mehr und kann sie entfernen.* Falls doch, fügt man die Mitglieder wieder ein. * dabei beachte man: Auch in diesem Fall sollte man wissen, wo die Gruppe berechtigt ist. Man sollte sie dann erst dort löschen, denn sonst bleibt ein verwaister Berechtigungseintrag, den man nur noch schwer zuordnen kann. Gruß, Nils PS. ja, das ist kompliziert. Zitieren Link zu diesem Kommentar
0xdabbad00 0 Geschrieben 11. September 2020 Autor Melden Teilen Geschrieben 11. September 2020 Moin Nils, das hilft mir schon weiter. Den Export der Gruppenmitglieder und selektives "Abschalten" finde ich ziemlich gut. Es wird vermutlich schwierig bei der großen Anzahl an Gruppen das in einer vertretbaren Zeit umzusetzen. Evt. ist hier tatsächlich Hilfe von einer Zusatzsoftware (z.B. Docusnap o.ä.) notwendig, damit wir hier Klarheit schaffen können. Auf jeden Fall erstmal vielen Dank für Deinen Input hierzu. Beste Grüße Klaus P.S. Ja das ist es... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.