Bereinigung alter Sicherheitsgruppen

[Roscoe 10]

Hallo,

 

wir haben alte Sicherheitsgruppen im Einsatz, bei denen wir nicht wissen, wie diese verwendet werden.

 

Innerhalb dieser Sicherheitsgruppen, sind wieder Gruppen abgelegt in denen manchmal wieder ne Gruppe mit darunter Usern ist, manchmal auch direkt User.

 

Wie geht man sowas systematisch an? Damit unnütze Sicherheitsgruppen bereinigt werden können?

 

Vielen Dank für eure Tips.

[Sunny61 833]

Ich würde diese Gruppen umbenennen und dann abwarten.

[Roscoe 10]

Hm, generell sicherlich auch ne Möglichkeit nur würde ich bevor ich das mache, die Auswirkungen einschätzen können.

[wannabee 10]

Dokumentationen durchforsten ... es sollte ja alles dokumentiert sein.

 

Ansonsten fällt mir auch nur Try & Error ein.

[Sunny61 833]

Du kannst natürlich auch erst mit diesem Tool arbeiten: SetACL Studio | Helge Klein | Home of SetACL

[Maraun 12]

Hi,

 

noch ne Idee von mir. Ich würde die Gruppenzugehörigkeiten z. B. mit Powershell auslesen und vielleicht gibt es ja zwei Benutzer aus der gleichen Abteilung. Nach Rücksprache mit beiden würde ich einen davon aus den jeweiligen Sicherheitsgruppen entfernen.

Powershell eignet sich auch dazu, die Sicherheitsgruppen von Benutzern auszulesen. Eventuell ist ja dann auch der andere Schluss zu ziehen, dass die bestimmten Gruppen gar nicht mehr benötigt werden.

Ansonsten fällt mir auch nur Try and Error mit Rücksprache der Abteilungen und Kollegen ein.

 

Grüße

Alex

[NilsK 3.046]

Moin,

 

Ich würde diese Gruppen umbenennen und dann abwarten.

 

daa würde nur den Admin stören, aber niemanden sonst. Berechtigungen werden auf die SIDs vergeben, nicht auf den Namen der Gruppe. Daher würde man eine Umbenennung im normalen Betrieb gar nicht bemerken und hätte damit auch keinen Effekt.

 

Gruß, Nils

[Sunny61 833]

daa würde nur den Admin stören, aber niemanden sonst. Berechtigungen werden auf die SIDs vergeben, nicht auf den Namen der Gruppe. Daher würde man eine Umbenennung im normalen Betrieb gar nicht bemerken und hätte damit auch keinen Effekt.

 

Hmm, stimmt natürlich. Dann die Gruppen von den Freigaben und den NTFS Berechtigungen lösen.

[NilsK 3.046]

Moin,

 

oder, wie schon ansatzweise vorgeschlagen, die Gruppenmitglieder genau dokumentieren, aus der Gruppe entfernen (Gruppe wird damit wirkungslos) und beobachten, was passiert. Gibt es keine Probleme: Gruppe löschen (und natürlich vorher aus den Berechtigungen entfernen). Gibt es doch welche: Gruppe wieder mit den Mitgliedern füllen.

 

Gruß, Nils

[lefg 276]

....Wie geht man sowas systematisch an? Damit unnütze Sicherheitsgruppen bereinigt werden können?....

 

Falls das also notwendig sein sollte und falls es mir nicht gelingen sollte, die derzeitige Struktur zu entwirren und zu bereinigen, mir das nicht sinnvoll erschiene, dann machte ich mir Gedanken über eine neue; nicht stützend auf die alte, sondern ein tatsächlicher Neuanfang nach den aktuellen Bedürfnis, Notwendigkeit. Zum Visualisieren ein paar Flipcharts hinstellen oder grosse Bögen Papier an der Wand benutzen; es ist aber Kopfarbeit. Letztendlich entsteht eine Ableitung der Unternehmensstruktur, diese eventuell teilweise korrespondierend mit der Verzeichnisstruktur (eventuell).Man kann in dem Zuge darüber nachdenken, ob und wie man die Verzeichnsistruktur überarbeitet, das kurzfristig oder über die lange Zeitachse.

bearbeitet 4. Februar 2012 von lefg

[NilsK 3.046]

Moin,

 

na gut, wenn wir auf der Ebene angelangt sind: Dann sollte man auch das Gruppenkonzept von Windows berücksichtigen.

 

faq-o-matic.net » Windows-Gruppen richtig nutzen

 

Gruß, Nils