Haben Sie einen Kunden übernommen und der Vorgänger hat die AD-Struktur nicht gepflegt, und es herrscht Wildwuchs? Vielleicht haben Sie es sogar selber versäumt, das AD aktuell zu halten?

Jeder Sysadmin wird wohl einmal vor der Aufgabe stehen, „sein“ Active Directory aufzuräumen. Vor dieser nicht wirklich beliebten Aufgabe stand ich diese Woche.

Zusammen mit dem Kunden habe ich die Benutzer und Gruppen geprüft, und nicht mehr aktive Benutzer gelöscht. Doch was ist mit den Gruppen? Was, wenn eine Gruppe irgendwo, tief im Filesystem, oder in einer Gruppenrichtlinie doch noch benutzt wird?

Gruppenrichtlinien
Diese können in der Group Policy Management Console relativ einfach überprüft werden.

NTFS Berechtigungen
Mit dem Tool AccessEnum kann das Filesystem gescannt werden. Das Tool scannt ein Verzeichnis, und liefert die Ergebnisse in ein (grosses) Textfile. In diesem File kann bequem nach den vermeintlich nicht mehr benötigten Gruppen gesucht werden.

Plan B
Nicht mehr benötigte Benutzer kann man in einem ersten Schritt deaktivieren. So kann gefahrenlos herausgefunden werden, ob der Benutzer nicht doch noch irgendwo benutzt wird. Im Falle eines Falles kann der Benutzer problemlos wieder aktiviert werden. Bei Gruppen ist dies leider nicht möglich. Ich bediene mich hier folgendem Befehl, um die Mitglieder einer Gruppe zu exportieren:

dsget group „CN=gruppenname,OU=organisationseinheit,DC=domain,DC=local“ -members -expand >> c:\temp\users_gruppenname.txt

Danach kann die Gruppe gelöscht werden, notfalls können mit obigem File wenigstens auf Anhieb sämtliche Mitglieder wiederhergestellt werden.

Die Moral der Geschicht: AD Pflege lohnt sich – aber laufend!

Martin Wildi

Über Martin Wildi

Systemtechniker und begeisterter FC Aarau Fan. Befasst sich mit Clientdeployment, Exchange, HyperV und ...Musik. Bekommt die Sorgen und Wünsche der Kunden beim ServiceDesk hautnah mit. In seinem eigenen Heim versucht er, das Multimediavergnügen zu perfektionieren.
Kommentar schreiben

*