Jump to content
0xdabbad00

Audit für Active Directory Gruppen

Recommended Posts

Moin zusammen,

kennt jemand eine Möglichkeit wie man prüfen kann ob vorhandene Gruppen in der Active Directory noch verwendet werden?
D.h.
1. ob die Benutzer die in den Gruppen eingetragen sind, die Gruppe abfragen
2. Drittanbieter-Systeme die die Gruppe abfragen um Konfigurationen damit abzubilden

Hintergrund ist, dass wir alte Gruppen in derDomäne haben, die wir gerne aufräumen möchten. Jedoch kann man der Gruppe nicht ansehen, ob sie noch verwendet wird.

Wir haben die Einstellungen in den GPo bereits so angepasst, dass das Audit auf den Domain Controller aktiviert ist.
Diese Anleitung ist dabei sehr hilfreich gewesen:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm

Das Audit gibt zwar schon einige Informationen her, jedoch zeigt es keine Zugriffe auf AD-Gruppen.

Hat jemand eine Idee wie man das erreichen kann?

Danke & Grüße
Klaus

Share this post


Link to post

Moin,

 

du hast da anscheinend falsche Vorstellungen von Gruppen. Die Mitgliedschaft wird nicht "abgefragt" - sie gilt in dem Moment, wo ein User sich anmeldet. Die Gruppe ist dann Teil seines Access Tokens. Ob er die Rechte und Berechtigungen, die damit zusammenhängen, auch ausübt, ist eine ganz andere Frage.

 

Deine Frage ist durchaus berechtigt und naheliegend, aber sie ist nicht trennscharf genug. Typischerweise wird man, um eine Frage dieser Art zu beantworten, im gesamten Netzwerk eine Berechtigungsanalyse machen müssen, um dann festzustellen, ob bestimmte Gruppen in Berechtigungslisten auftauchen oder nicht. Falls nein, ist die Gruppe praktisch nutzlos. Falls ja, heißt das aber noch nicht, dass die Gruppe wirklich noch gebraucht wird - vielleicht gibt es ja gar keinen Bedarf mehr für die Berechtigung.

 

Ein anderer Weg, der manchmal beschritten wird: Export der Gruppenmitglieder und Leeren der Gruppe. Falls sich niemand beschwert, braucht man die Gruppe nicht mehr und kann sie entfernen.* Falls doch, fügt man die Mitglieder wieder ein.

 

* dabei beachte man: Auch in diesem Fall sollte man wissen, wo die Gruppe berechtigt ist. Man sollte sie dann erst dort löschen, denn sonst bleibt ein verwaister Berechtigungseintrag, den man nur noch schwer zuordnen kann.

 

Gruß, Nils

PS. ja, das ist kompliziert.

Share this post


Link to post

Moin Nils,

 

das hilft mir schon weiter. Den Export der Gruppenmitglieder und selektives "Abschalten" finde ich ziemlich gut. Es wird vermutlich schwierig bei der großen Anzahl an Gruppen das in einer vertretbaren Zeit umzusetzen. 
Evt. ist hier tatsächlich Hilfe von einer Zusatzsoftware (z.B. Docusnap o.ä.) notwendig, damit wir hier Klarheit schaffen können.

Auf jeden Fall erstmal vielen Dank für Deinen Input hierzu. :-)

Beste Grüße
Klaus
P.S. Ja das ist es...:oh2:   

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...