Active Directory aufräumen und standardisieren

Warum lohnt sich der Einsatz von migRaven.24/7 bzw. der Consulting Service

  • Aufräumen historisch gewachsener AD Umgebungen
  • Active Directory für die Einführung eines IAM vorbereiten
  • preiswerte Alternative zur aufwendigen Domänenmigrationen
  • Ausgliederung von Unternehmensteilen
  • Zusammenführung von AD-Strukturen
  • Übergabe der Verwaltung im Outsourcing Projekt

migRaven.24/7 ist ein Tool, in das über 10 Jahre Know How aus vielen Projekten geflossen ist. Die Spezialisten aus dem migRaven Entwicklungs- und Beratungsteam haben nach Wegen gesucht, um gewachsene Active Directory Strukturen erstmal verstehen zu können, um sie dann aufzuräumen. Dies ist migRaven.24/7 Analyzer möglich.

Warum gerade bei Einführung eines IAM das Aufräumen wichtig ist

Ein IAM System ermöglicht einen hohen Grad an Standardisierung. Dies wird durch die Automatisierung von Prozessen erreicht. Leider ist es so, dass die meisten AD Umgebungen nicht direkt für die Einführung eines IAM geeignet sind.

Die Stammdaten müssen stimmen. Gruppenverschachtelungen sollten sauber sein und es sollten z.B. überhaupt nur Objekte an das IAM übergeben werden, die es wert sind. Genau hier liegt die Stärke von migRaven.24/7 Analyzer: Obsolete Objekte können zuverlässig identifiziert und eliminiert werden. Das ist möglich, weil die Analyse auf Basis der leistungsfähigen Graphendatenbank erfolgt. Graphen stellen die Verbindungen zwischen den Objekten her. Gibt es keine Verbindung von Objekten zu anderen, dann ist das Objekt wahrscheinlich obsolet und kann gelöscht werden.

Erst wenn das erfolgt ist, sollte mit der technischen Implementierung begonnen werden.

Bereinigen Sie effektiv ihr Active Directory. 

Active Directory Strukturen sind erfahrungsgemäß schwer mit den Microsoft-eigenen Mitteln zu verstehen und zu verwalten. Es besteht in großen Unternehmen eine hohe Dynamik: neue Objekte werden erstellt und gelöscht. Die Objekte werden undokumentiert regelmäßig miteinander verschachtelt.

Dies führt in Umgebungen mit mehr als 250 Accounts nach einer gewissen Zeit zu Konstellationen, die nur noch schwer zu verstehen und zu verwalten sind. Aus Gründen von Kosten und Revisionssicherheit wird eine Bereinigung erforderlich.

User und Gruppen um Active Directory sind zum setzen von Sicherheitseinstellungen erzeugt worden. Wenn die Gruppenstrukturen im AD sehr komplex, unübersichtlich und veraltet sind, entstehen viele Sicherheitsrisiken für Ihre Umgebung und machen eine Bereinigung notwendig. Beispielsweise kann es zu Überberechtigungen kommen, die unbefugten Usern Zugriff auf sensible Daten gewähren. Zum Beispiel haben Auszubildende aufgrund des Durchlaufens mehrere Abteilungen Zugriffsrechte auf nahezu alle Abteilungsverzeichnisse.

Daraus ergeben sich die folgenden Fragen: 

  1. Wie kann ich eine Übersicht über meine aktuelle Struktur erlangen?
  2. Wie können die komplexen unübersichtlichen Strukturen bereinigt werden? 

Eine Übersicht über die AD-Strukturen kann mit dem migRaven.24/7 Analyzer erlangt werden. MigRaven bildet die Grundlagen zur Visualisierung der IST-Situation und stellt gleichzeitig die Datenbasis für nachgelagerte, individuell auf die Kundenumgebung zugeschnittene Abfragen.

Graphendatenbank macht es möglich

Hinter migRaven.24/7 steht eine leistungsfähige Mehr-Tier Architektur mit einer innovativen Datenbank. Diese ist darauf ausgelegt große AD-Umgebungen mit mehr als einer Million Objekten analysieren zu können. (Relationale Datenbanken sind für Analysen von Objekten im millionenfachen Bereich ungeeignet.) MigRaven arbeitet daher mit einer schnellen neo4j Graphendatenbank.

Der wesentliche Unterschied liegt in der Art der Datenablage. In einer Graphendantenbank werden die Strukturen in der Form abgelegt, wie sie im AD bestehen. Das sind komplexe Netze mit Knoten, die in direkten Beziehungen miteinander stehen. Aufgrund dessen können Daten einer Graphendatenbank sehr viel schneller analysiert werden, als die in einer Relationen-Datenbank.


In migRaven.24/7 Analyzer werden die relevanten Daten verschieden dargestellt. 

Darin werden folgende Informationen dargeboten. Sie können über verschiedene Clients von verschiedenen User abgerufen werden.

  • Statistiken zu Usern, Administratoren, Gruppen, Verschachtelungstiefen, Tokensize, Anmeldeinformationen von Accounts
  • Listen zu Gruppenverschachtelungen mit effektiven Mitgliedern und Mitgliedschaften
  • Verwaiste Gruppen (a) (ohne Mitglieder )
  • Verwaiste Gruppen (b) (Berechtigungsgruppen ohne Verbindung zu einer ACL)
  • Redundante Gruppenverschachtelungen über User und Gruppen
    • User A -> Gruppe1 -> Gruppe2 -> Gruppe3 -> ACE
    • User A -[Verbindung x]-> Gruppe2 -> Gruppe3 -> ACE
  • RollenPreCheck: dienen der Planungen von zukünftigen Rollengruppen auf der Basis der aktuellen Konfigurationen
  • RollenCrossChecks: Identifikation nicht korrekt konfigurierter Rollengruppen durch intelligente Verknüpfung von Informationen zu Account, Gruppen und Department
  • Berechtigungsanalysen
    • Wer ist Wo und über welche Wege berechtigt
      (Effektive Betrachtung der Berechtigungen:

ACE – Gruppe – Gruppen-X – User

  • Individuelle Abfragen in der Datenbank auf Grundlage spezieller Konfigurationen auf Kundenseite

Die Abfragen stehen als Standard Reports zur Verfügung oder werden nach Anforderung entwickelt.

Obsolete Data Analyse in migRaven.24/7

Wie können die komplexen, fehlerhaften Strukturen bereinigt werden? 

Schritte im CleanUP Prozess

  1. Verstehen: Zusammentragen wichtiger Informationen, um die IST-Situation zu durchdringen
  2. Optimieren der Informationen: Abgleich von SOLL-IST speziell im Bereich er AD-Properties. Z.B. Department…
  3. Identifikation und Entfernen obsoleter Objekte
    1. migRaven liefert als Grundlage spezielle Auswertungen zu verwaisten User-Accounts und Gruppen
  4. Auflösung redundanter Strukturen
    1. migRaven stellt Analysen, Berichte und Funktionen zur Identifikation redundanter Verbindungen zur Verfügung, wobei alle effektiven Verknüpfungen erhalten bleiben.
  5. Bereinigung von zirkulären und rekursiven Gruppenverschachtelungen
    1. Durch Auswertung der Beziehung Account – Gruppe – Department im Vergleich zu anderen Accounts mit ähnlichen oder gleichen Eigenschaften werden fehlerhafte Konfigurationen aufgedeckt
  6. Flatten von zu tiefen, redundanten Gruppenverschachtelungen
  7. Logische Analyse der Strukturen auf Basis der Graphentheorie
  8. Aufzeigen von Lösungsmöglichkeiten

Die leistungsfähigen Funktionen von migRaven in Kombination mit den Erfahrungen der Spezialisten der aikux.com GmbH, finden für jede AD-Bereinigung eine individuelle und effiziente Lösung.

folgende Maßnahmen lohnen sich: 

  • Anzahl Gruppen und User und das Gruppen/User-Verhältnis wird analysiert:
    Die zwei bis dreifache Anzahl an Gruppen zu User Accounts ist durchaus normal. Wird meist durch die ausgeprägte Verwaltung von NTFS-Verzeichnisberechtigungen bestimmt. Wenn es mehr sind, dann ist es auf jeden Fall bedenklich.
  • Gruppenverschachtelungstiefe sollte niemals über 3 Ebenen gehen
    Zu tiefen Strukturen sind immer hinderlich, weil sie die Übersicht einschränken. Hierarchien wirken sich meist negativ aus, weil ein Objekt immer nur an einer Stelle sein kann. Objekteigenschaften können wesentlich flexibler zugewiesen werden.
    Max. 2-3 Ebenen sind optimal.
    Optimal sind folgende Varianten:
    User -> Rollengruppe -> Berechtigungsgruppe ->(Hilfsberechtigungsgruppe)
    User -> Berechtigungsgruppe -> (Hilfsberechtigungsgruppe)
    Rollengruppen miteinander zu verschachteln mag auf den ersten Blick sinnvoll erscheinen. Davon ist aber dringend abzuraten, weil so schnell die Übersicht verloren geht.
  • verwaiste Gruppen ohne Mitglieder sollten gelöscht werden
    Sind meist überflüssig.  
  • verwaiste Berechtigungsgruppen ohne Verwendung in einer ACL sollten gelöscht werden
    Behindern die Sicht und verfälschen das Verständnis der eigentlichen Situation. Wenn ein Verzeichnis mit expl. Berechtigungen entfernt wird, dann sollte unbedingt sofort die zugehörige Gruppe entfernt werden.
    migRaven kann dies sofort über einen Standardreport zuverlässig aufzeigen. Oft können sofort 20%-50% aller Berechtigungsgruppen gelöscht werden.
  • Redundante Gruppenverschachtelungen sollten aufgehoben werden, weil sie zu Fehlern führen
    verschlechtern die Übersichtlichkeit.
  • Redundante User-Gruppenverschachtelungen
    -> Berechtigungen
  • Zirkuläre und rekursive Gruppenverschachtelungen
    muss unbedingt aufgelöst werden
  • Maximale Gruppenmitgliedschaften eines Accounts
    der Kerberos Token Count spielt eine wichtige Rolle. Ein Account kann in max. 1015 Gruppen effektiv Mitglied sein. Aus diesem Grund müssen z.B. überflüssige Gruppenmitgliedschaften immer sofort aufgelöst werden. 

Geschätzter Aufwand für die AD Analyse und Bereinigung:

Der tatsächliche Aufwand kann je nach IT Umgebung und Ziel des Kunden stark abweichen und muss daher individuell bestimmt werden. Sprechen Sie mit dem Consultingteam aus der migRaven Akademie.

Orientierungsgrößen:

  • Einfachste Form: 3-8 Tage für Kunden bis 1000 MA
  • Große Kunden: 5-15 Tage

Inklusive ausführlicher Dokumentation.

Der Aufwand für ein eventuelles, nachgelagertes AD CleanUp kann erst nach der AD Analyse geschätzt werden.

Organisatorische Voraussetzungen

Um die Termine optimal gestalten zu können, sollten die folgenden Information im Vorfeld zur Verfügung gestellt werden:

  • Anzahl der MA im Unternehmen?
    • PC-Relevant?
  • Übersicht über Standorte
  • Ist ein IDM/IAM im Einsatz?
  • Anzahl und welche HR System sind im Einsatz?
  • Verantwortlichkeiten für die Administration
  • Gibt es automatisierte Prozesse zur Erstellung/Modifikation von Objekten im AD?
    • Werden Rollen eingesetzt?
    • Wie wird der Entzug von Berechtigungen aktuell sichergestellt? Least Privilege?
  • Welches Domänen Level besteht?
  • Existieren Trusts?
    • Wohin?
    • Wie konfiguriert?
  • Gibt es ein OU-Konzept im AD?
  • Berechtigungskonzept im AD: gibt es delegierte Berechtigungen? Wer hat welche Rechte?
  • Welche Gruppentypen Sicherheitsgruppen/Verteilergruppen gibt es?
  • Ist ein Namenskonzept für Gruppen vorhanden?
    • wie kann man die Aufgabe der Gruppen erkennen? Gibt es Suffixe/Präfixe, die auf den Einsatz schließen lassen? Gibt es eine Beschreibung der Gruppen?
  • Gibt es ein Namenskonzept für User-Accounts?
  • Gibt es ein Namenskonzept für Service-Accounts?
  • Gibt es einen Prozess zum Aufbau der User und Gruppen? Ist dieser nachvollziehbar?
    • Dokumentation aller Änderungen?
  • Welche Gruppentypen werden eingesetzt? (DL/G/U)
  • Welches Berechtigungskonzept wird genutzt? (A-G-DL-P)
    • Welche Tools werden für die Berechtigungsverwaltung eingesetzt?
    • Wie sehen die aktuellen Prozesse für die Verwaltung aus?
  • Gibt es DataOwner für die Strukturen/Objekte?
  • Welche Personenarten gibt es?
    • Interne Mitarbeiter
    • Auszubildende
    • Accounts für temporäre MA (Externe, Studenten..)
    • Systemaccounts
  • Wie sieht der Prozess im Umgang mit Accounts für Externe aus?
  • Aktueller Umgang mit obsoleten Objekte im AD
    • Gibt es einen Prozess zur Löschung obsoleter User-Objekte? Wird dieser umgesetzt?
    • Werden User deaktiviert oder bekommen ein Ablaufdatum?
    • Gibt es einen Prozess zur Löschung von Gruppen?
  • Rollengruppen
    • Gibt es Rollengruppen?
    • Woran sind Rollengruppen zu erkennen?
    • Gibt es eine Verbindung zum HR System, die automatisiert verwaltet?
  • Sind die Properties im AD gepflegt?
    • Woran (Properties) erkennt man: Department, Funktion, Standort, Vorgesetzter, Kostenstelle?
    • Soll/Ist-Abgleich: Können die Sollwerte aus einem System (HR) exportiert werden und mit den Ist-Werten im AD abgeglichen werden?
  • Welche anderen Systeme, die auf Objekten aus dem AD aufbauen gibt es? (nicht mit migRaven analysierbar)
    • Liste erstellen lassen: Name/kurze Beschreibung/Owner
    • Z.B. SharePoint, Datenbanken, CRM Systeme…
  • evtl. lohnt sich der Import in migRaven über Scripte
    • Sinnvoll, wenn Kunden größer 5000 User+
    • Aufwand (Kosten + Zeit) für Erstellung des Scripts vorher abschätzen, einplanen und kommunizieren

Technische Voraussetzungen

  • Installation von migRaven zur Analyse
    • Windows Server 2016+
    • Sizing für migRaven nach Kundenumgebung
      • Größe AD: User/Gruppen
      • Größe Filesystem: TB
    • Speicherplatz/RAM/HDD
    • Prüfung der Firewall-Einstellungen auf Erreichbarkeit der Zielsystem: typische Windows LDAP/SMB Protokolle
    • Einrichtung der Berechtigungen für das Auslesen der Berechtigungen des FS
      • Bereitstellung eines entsprechenden Accounts
    • Einrichtung der Scans in migRaven
    • Wenn Berechtigungen/Rollen von weiteren Systemen in migRaven importiert werden sollen, dann entsprechende Exports im CSV-Format

Permanentlink zu diesem Beitrag: http://help.migraven.com/active-directory-einfach-aufraeumen/

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.