Jump to content

Audit für Active Directory Gruppen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen,

kennt jemand eine Möglichkeit wie man prüfen kann ob vorhandene Gruppen in der Active Directory noch verwendet werden?
D.h.
1. ob die Benutzer die in den Gruppen eingetragen sind, die Gruppe abfragen
2. Drittanbieter-Systeme die die Gruppe abfragen um Konfigurationen damit abzubilden

Hintergrund ist, dass wir alte Gruppen in derDomäne haben, die wir gerne aufräumen möchten. Jedoch kann man der Gruppe nicht ansehen, ob sie noch verwendet wird.

Wir haben die Einstellungen in den GPo bereits so angepasst, dass das Audit auf den Domain Controller aktiviert ist.
Diese Anleitung ist dabei sehr hilfreich gewesen:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm

Das Audit gibt zwar schon einige Informationen her, jedoch zeigt es keine Zugriffe auf AD-Gruppen.

Hat jemand eine Idee wie man das erreichen kann?

Danke & Grüße
Klaus

Link zu diesem Kommentar

Moin,

 

du hast da anscheinend falsche Vorstellungen von Gruppen. Die Mitgliedschaft wird nicht "abgefragt" - sie gilt in dem Moment, wo ein User sich anmeldet. Die Gruppe ist dann Teil seines Access Tokens. Ob er die Rechte und Berechtigungen, die damit zusammenhängen, auch ausübt, ist eine ganz andere Frage.

 

Deine Frage ist durchaus berechtigt und naheliegend, aber sie ist nicht trennscharf genug. Typischerweise wird man, um eine Frage dieser Art zu beantworten, im gesamten Netzwerk eine Berechtigungsanalyse machen müssen, um dann festzustellen, ob bestimmte Gruppen in Berechtigungslisten auftauchen oder nicht. Falls nein, ist die Gruppe praktisch nutzlos. Falls ja, heißt das aber noch nicht, dass die Gruppe wirklich noch gebraucht wird - vielleicht gibt es ja gar keinen Bedarf mehr für die Berechtigung.

 

Ein anderer Weg, der manchmal beschritten wird: Export der Gruppenmitglieder und Leeren der Gruppe. Falls sich niemand beschwert, braucht man die Gruppe nicht mehr und kann sie entfernen.* Falls doch, fügt man die Mitglieder wieder ein.

 

* dabei beachte man: Auch in diesem Fall sollte man wissen, wo die Gruppe berechtigt ist. Man sollte sie dann erst dort löschen, denn sonst bleibt ein verwaister Berechtigungseintrag, den man nur noch schwer zuordnen kann.

 

Gruß, Nils

PS. ja, das ist kompliziert.

Link zu diesem Kommentar

Moin Nils,

 

das hilft mir schon weiter. Den Export der Gruppenmitglieder und selektives "Abschalten" finde ich ziemlich gut. Es wird vermutlich schwierig bei der großen Anzahl an Gruppen das in einer vertretbaren Zeit umzusetzen. 
Evt. ist hier tatsächlich Hilfe von einer Zusatzsoftware (z.B. Docusnap o.ä.) notwendig, damit wir hier Klarheit schaffen können.

Auf jeden Fall erstmal vielen Dank für Deinen Input hierzu. :-)

Beste Grüße
Klaus
P.S. Ja das ist es...:oh2:   

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...