Active Directory aufräumen

Haben Sie einen Kunden übernommen und der Vorgänger hat die AD-Struktur nicht gepflegt, und es herrscht Wildwuchs? Vielleicht haben Sie es sogar selber versäumt, das AD aktuell zu halten?

Jeder Sysadmin wird wohl einmal vor der Aufgabe stehen, «sein» Active Directory aufzuräumen. Vor dieser nicht wirklich beliebten Aufgabe stand ich diese Woche.

Zusammen mit dem Kunden habe ich die Benutzer und Gruppen geprüft, und nicht mehr aktive Benutzer gelöscht. Doch was ist mit den Gruppen? Was, wenn eine Gruppe irgendwo, tief im Filesystem, oder in einer Gruppenrichtlinie doch noch benutzt wird?

Gruppenrichtlinien
Diese können in der Group Policy Management Console relativ einfach überprüft werden.

NTFS Berechtigungen
Mit dem Tool AccessEnum kann das Filesystem gescannt werden. Das Tool scannt ein Verzeichnis, und liefert die Ergebnisse in ein (grosses) Textfile. In diesem File kann bequem nach den vermeintlich nicht mehr benötigten Gruppen gesucht werden.

Plan B
Nicht mehr benötigte Benutzer kann man in einem ersten Schritt deaktivieren. So kann gefahrenlos herausgefunden werden, ob der Benutzer nicht doch noch irgendwo benutzt wird. Im Falle eines Falles kann der Benutzer problemlos wieder aktiviert werden. Bei Gruppen ist dies leider nicht möglich. Ich bediene mich hier folgendem Befehl, um die Mitglieder einer Gruppe zu exportieren:

dsget group «CN=gruppenname,OU=organisationseinheit,DC=domain,DC=local» -members -expand >> c:\temp\users_gruppenname.txt

Danach kann die Gruppe gelöscht werden, notfalls können mit obigem File wenigstens auf Anhieb sämtliche Mitglieder wiederhergestellt werden.

Die Moral der Geschicht: AD Pflege lohnt sich – aber laufend!

Über Martin Wildi

Systemtechniker und begeisterter FC Aarau Fan. Befasst sich mit Clientdeployment, Exchange, HyperV und …Musik. Bekommt die Sorgen und Wünsche der Kunden beim ServiceDesk hautnah mit. In seinem eigenen Heim versucht er, das Multimediavergnügen zu perfektionieren.

Ein Kommentar zu “Active Directory aufräumen

  1. Michael Probst 30.01.2019 - 10:52

    Vielen Dank für die Informationen.
    Was kann man tun wenn man herausfinden möchte, welche AD-Gruppen nicht mehr einem Ordner auf dem Fileserver zugeteilt sind? Damit man diese Gruppen löschen kann.

    Vielen Dank

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


The reCAPTCHA verification period has expired. Please reload the page.