mikewi 10 Geschrieben 15. Mai 2009 Melden Teilen Geschrieben 15. Mai 2009 Hallo Experten, ich habe mal eine Frage an die AD-Experten unter euch. In meiner neuen Firma haben sich über die Jahre nahezu 20.000 AD-Gruppen angesammelt, welche die Zugriffsrechte auf Verzeichnisse regeln, regeln sollen. Bei vielen Gruppen ist schon gar nicht mehr bekannt, für welches Verzeichnis diese Gruppe angelegt wurde bzw. ob es das Verzeichnis wofür die Gruppe erzeugt wurde überhaupt noch existiert. Jetzt soll ich da mal aufräumen. Gibt es eine Möglichkeit herauszufinden mit welchem Verzeichnis eine Gruppe verknüpft ist? Also, ich habe den Gruppennamen und will wissen an welchem Verzeichnis diese Gruppe aktiv ist. Gibt es eine Möglichkeit herauszufinden welche Gruppen überhaupt keinem Verzeichnis mehr zugeordnet, also inaktive ist? Danke für eure Antworten. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 15. Mai 2009 Melden Teilen Geschrieben 15. Mai 2009 Evtl. kann man das andersrum machen. Eine Schleife über alle Verzeichnisse / Shares, schauen welche Gruppen (welche) Rechte haben, und diese dann zählen / dokumentieren,... Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 15. Mai 2009 Melden Teilen Geschrieben 15. Mai 2009 Hallo, also ich bin mir nicht hunderprozentig sicher, aber zu 99%. Da die Rechte für ein Objekt direkt ins Dateisystem geschrieben werden, müsstest du für jede infrage kommende Gruppe alle Verzeichnisse, Freigaben und ggf. Dateien per Script prüfen. Man könnte ja 100 bis 200 Gruppen pro Woche protokollieren udn mal sehen wo die Reise hinführt. Anbei 20.000 Gruppen ist ziemlich viel, viele Nutzer habt ihr denn? mfg Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 15. Mai 2009 Melden Teilen Geschrieben 15. Mai 2009 Servus, es ist so wie es die Kollegen hier bereits erwähnt haben. Im Gruppenobjekt und somit im AD wird diese Information, auf welches Verzeichnis das Gruppenkonto Zugriff hat, nicht gespeichert. Du müsstest die Verzeichnisse z.B. mit den folgenden Tools überprüfen: JSI Tip 9640. How do I print permissions on a folder tree using standard commands? FILEACL Main page SetACL - Windows permission management Showaccs Syntax: File and Storage Services How to use Xcacls.vbs to modify NTFS permissions Oder du exportierst mit CSVDE oder LDIFDE die Benutzer der jeweiligen Gruppen und entferst diese anschließend aus der Gruppe. Anschließend wartest du wer sich beschwert. Wenn es ein professionelles Werkzeug sein darf, dann würde hier sicher der Enterprise Security Reporter von ScriptLogic in Frage kommen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 15. Mai 2009 Melden Teilen Geschrieben 15. Mai 2009 Bist du sicher, dass es sich "nur" um Filesystemgruppen handelt? Terminalserver, Datenbanken, Exchange etc. können ebenfalls AD-Gruppen nutzen. Wenns dumm läuft, wird ein- und dieselbe Gruppe mehrfach genutzt. cu blub Zitieren Link zu diesem Kommentar
mikewi 10 Geschrieben 16. Mai 2009 Autor Melden Teilen Geschrieben 16. Mai 2009 Danke für eure Antworten. es werden auch Gruppen für andere Dinge eingesetzt als nur für Verzeichniszugriffe. Und genau da liegt das Problem, es gibt verschiedenste Gruppen. Nie wurde dabei protokolliert welche Gruppe für was verwendet wird. Auch wenn Gruppen nicht mehr benötigt wurden wurden diese nur in Einzelfällen wieder gelöscht. Jetzt gibt es in der Firma mehr Gruppen wie Mitarbeiter und Windows kann schon nicht mehr alle anzeigen, weil da scheinbar bei 20000 eine Grenze liegt. Ich will jetzt herausfinden welche Gruppe für was, bzw. welche nicht mehr benötigt wird. Es gibt dort Gruppen - für Verzeichniszugriffe - Benutzergruppen um Mitarbeiter zusammenzufassen - für Terminalserver . . . Also wenn ich recht verstanden habe muss ein Skript gebastelt werden welches 1. Verzeichnis für Verzeichnis abklappert und Verknüpfungen auflistet 2. die Verbindungen untereinander, also die Mitgliedschaften, auflistet 3. In einer Tabelle muss auswertet werden ob eine Gruppe z. Bsp einem Verzeichnis zugeordnet ist oder nicht. . . Zitieren Link zu diesem Kommentar
Windowsbetatest 10 Geschrieben 16. Mai 2009 Melden Teilen Geschrieben 16. Mai 2009 Danke für eure Antworten. Also wenn ich recht verstanden habe muss ein Skript gebastelt werden welches 1. Verzeichnis für Verzeichnis abklappert und Verknüpfungen auflistet 2. die Verbindungen untereinander, also die Mitgliedschaften, auflistet 3. In einer Tabelle muss auswertet werden ob eine Gruppe z. Bsp einem Verzeichnis zugeordnet ist oder nicht. Hallo, das könnte zwar so gehn, das wird aber ewig dauern und eine riesige Datenmenge. Je nach Datenmenge und Last am Wochenende, würde ich mit der Powershell einmal die kompletten Rechte alle Verzeichnisse in eine csv Datei schreiben lassen und diese Datei dann in einer SQL Server importieren. Von dort aus kann man mit SQL Anweisungen weitermachen. Die Rechte auf einzelne Dateien würde ich nur prüfen, wenn ihr diese auch explizit gesetzt habt. Normalerweise erben Dateien ja nur vom Verzeichniss. Um die Laufzeit zu verringern, könnte man jeweils nur einzlene Server prüfen, bzw. das Script lokal auf den einzelnen Servern starten (ist zusätzlich auch schneller als per Netzwerk) und die csvs dann erst in der DB zusammenführen. mfg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.