«

»

Report-Generator AD-Abfragen

Mit dem Report-Generator können vordefinierte Abfragen gestellt werden, teils mit eigenen Parametern.
Die Abfragen beziehen sich immer auf die migRaven-eigene Datenbank.
D.h. die Abfragen können nur auf der Grundlage der gescannten Domäne bzw. Domänen und der von Ihnen durchgeführten Projekte beantwortet werden.
Solange Sie Ihre Laufwerke bzw. Ihren Server nicht komplett in  Projekten gescannt haben, können Abfrage-Ergebnisse keine Aussage für ein komplettes Laufwerk oder für einen ganzen Server liefern.

Datenquellen

Datenquellen sind die gescannten Domänen und die durchgeführten Projekte.
Diese finden Sie bei den Abfragearten wieder:

  • AD
  • Projects
  • ACE  (Zugriffssteuerung, Berechtigungen)
  • Configuration (von migRaven)

AD-Abfragen

1. AD-Konten lesen

Folgende Parameter werden abgefragt:

a. Select Filter by Account
b. Select GroupTyp
c. Select Account
d. Values To Return    (Ausgabe-Parameter)

Diese Abfrage verbindet drei Abfragen miteinander. Sie müssen mindestens bei einer Abfrage Parameter eingeben, die anderen können Sie übergehen.

  • a. Bei „Select Filter by Account“ können Sie einen oder mehrere Objektnamen angeben.
    Schon nach dem ersten eingegebenen Buchstaben werden Ihnen passende Objektnamen angeboten.
    Mehrere Objektnamen können Sie mit einer Bedingung (is equal, and, or, not) verknüpfen.
    Welche Informationen Sie zu den ausgewählten Objekten erhalten, können Sie mit dem letzten Parameter  „d. Values To Return“ festlegen.
  • b. Bei „Select GroupTyp“ können Sie einen oder mehrere Gruppentypen (person, group, computer) auswählen.
    Die Objekte des ausgewählten Gruppentyps werden angezeigt.
  • c. Bei „Select Account“ können Sie eine Zeichenkette angeben. Es werden alle AD-Objekte ausgegeben, die diese Zeichenketten enthalten.

Ausgabe:

  • d. Das Ergebnis Ihrer Abfrage sind AD-Objekte. Objekte können mehrere Eigenschaften haben, und der Name kann in unterschiedlichen Formaten dargestellt werden. Bei „Values To Return“ werden Ihnen die folgenden Felder angeboten, die Sie sich zu Ihren Ergebnis-Objekten anzeigen lassen können.
    angebotene Felder       Beispieldaten
    --------------------------------------------------------------
    ad                      1
    adspath                 LDAP://aikux.local/CN=Beate Hansel,OU=Sid-History,OU=Berlin,DC=aikux,DC=local
    cn                      beate hansel
    commonsid               0
    department
    description
    displayname             Hansel, Beate
    distinguishedname       cn=beate hansel,ou=sid-history,ou=berlin,dc=aikux,dc=local
    domain                  aikux.local
    givenName               Beate
    grouptype
    isactive                True
    lastLogonTimeStamp
    lastlogon
    name                    beate hansel
    objectGUID              {30F5D977-9202-4ED3-BCCD-D434A608F937}
    objectSID               S-1-5-21-1668144310-551658213-1458957750-32058
    primaryGroupID          S-1-5-21-1668144310-551658213-1458957750-513
    sAMAccountName          hansel12748
    sAMAccountType          SAM_NORMAL_USER_ACCOUNT
    sIDHistory1             S-1-5-21-2339429032-2919534904-1953091157-125645
    sIDHistory2
    sIDHistory3
    sIDHistory4
    sIDHistory5
    sn                      Hansel
    tokenfactor             0
    type                    person
    useraccountcontrol      512
    userprincipalname       Beate.Hansel@aikux.local
    whenchanged             09.02.2015 19:27:14
    whencreated             09.02.2015 19:27:07

Tabelle 1: alle Objekt-Attribute

Die Objekt-Attribute sind case sensitiv, d.h. Groß- und Kleinschreibung muss beachtet werden.

2. AD Statistik und Zeitstempel auslesen

Mit dieser Abfrage wird Ihnen angezeigt, wann migRaven Ihr AD gescannt hat, welche Domäne bzw. Domänen gescannt wurden und wieviel Benutzer, aktive Benutzer und Gruppen pro Domäne ermittelt wurden.

AD Statistik

Bild 1: AD-Statistik

3. Alle in der Datenbank gespeicherten AD-Eigenschaften lesen

Es werden die Attribute zu den in migRaven gespeicherten Objekten angezeigt.

Mask ist eine 4bit-Maske, in der Informationen zu den Eigenschaften Standard, DB-Index und Sichtbarkeit hinterlegt sind.

AD Attribute

Bild 2: AD-Eigenschaften

4. Berechnung der Token-Size aller Personen

Die Größe des Kerberos- bzw. Anmelde-Tokens eines Benutzers darf, je nach Windows-Server-Version, einen bestimmten Wert nicht überschreiten. Wenn doch, kann sich der Nutzer nicht mehr anmelden. Mehr unter  „Das Kerberos-Token-Problem„.

Mit dieser Abfrage des Report-Generators können Sie sich die Token-Größe aller Benutzer anzeigen lassen. Damit die kritischen Werte oben stehen, müssen Sie über die Buttons „DATA“ und „SORT“ die Tabelle sortieren.

Bild 3: Token-Size-Tabelle

5. AD-Konten eines bestimmten Typs lesen (person oder group oder computer)

Als Parameter können mit „Select Type“ ein oder mehrere Objekttypen ausgewählt werden:  person | group | computer.
Bei den Rückgabewerten stehen Ihnen unter „Values To Return“ alle Attribute der Tabelle  1 zur Verfügung.

Ausgegeben werden alle Objekte der ausgewählten Objekt-Typen.

6. AD-Konten des Typs ‚person‘ lesen

Ausgabe aller Personen mit allen Attribut-Werten der Tabelle 1.

7. AD-Konten des Typs ‚group‘ lesen

Ausgabe aller Gruppen mit allen Attribut-Werten der Tabelle 1.

8. AD-Konten des Typs ‚computer‘ lesen

Ausgabe aller Personen mit allen Attribut-Werten der Tabelle 1.

9. Domänen übergreifende Gruppenmitgliedschaften ermitteln

Es ist möglich, einer domänen-lokalen Gruppe Mitglieder aus einer anderen Domäne zuzuordnen. In der Gruppe werden Ihnen die Mitglieder der anderen Domäne angezeigt. Bei den Mitgliedern aber wird die Gruppenmitgliedschaft in der fremden Domäne nicht dargestellt. Diese AD-Abfrage schafft Abhilfe. Es werden Ihnen alle Mitgliedschaften der gescannten Domänen aufgelistet, bei denen Gruppe und Mitglied nicht in der gleichen Domäne sind. Details finden Sie unter  „FSP – Foreign Security Principals“ („Fremde Sicherheitskonten“).

10. Kollegen-Check

Diese Funktion ähnelt dem Kollegen-Check im AD-View. Es werden Verbindungen von Benutzern aufgespürt, die über Gruppenverschachtelungen gleiche Rechte besitzen. Benutzer aus unterschiedlichen Abteilungen mit gleichen Zugriffsrechten sind nicht unbedingt die Regel, eher die Ausnahme. Ist das überhabt gewollt oder historisch entstanden und nicht korrigiert worden. Man kümmert sich darum, dass Mitarbeiter Zugriffsrechte erhalten, um ihre Arbeit zu machen – verständlich. Wer kümmert sich darum, dass Zugriffrechte entfernt werden, wenn ein Mitarbeiter die Abteilung wechselt? Und nach kurzer Zeit ist das vergessen. Mit Windows-Mitteln kann man nur konkrete verdächtige Verschachtelungen verfolgen.

migRaven gibt mit dem Kollegen-Check eine Liste mit Benutzer-Paaren, der Anzahl der Gruppen, über die sie verbunden sind, und den entsprechenden Gruppennamen aus.

Bei der Ergebnisliste ist zu beachten:

  • die Anzeige ist auf 20 Zeilen begrenzt (limit 20)
  • Listgruppen werden nicht berücksichtigt
  • Mitarbeiter aus der gleichen Abteilung werden nicht angezeigt  (n.department = m.department)
  • Mitglieder der BuildIn-Gruppe werden nicht angezeigt
  • Die Gruppe Domainen-Benutzer wird nicht angezeigt

Sie können die Befehlszeile editieren:

  • Wollen Sie die Anzahl der anzuzeigenden Zeilen ändern, können Sie limit 20 z.B. durch limit 40 ersetzen. Ohne Limit könnte de Anzeige sehr lange dauern.
  • Wollen Sie nur die Verbindungen des Nutzers  ‚anton‘  sehen, können Sie nach dem where einfügen:  n.name=~ ‚anton.*‘ and

 

Koll-Check

Bild 4: Über 14 Connections verbundene Nutzer.

11. Überprüfung auf rekursive Gruppenverschachtelungen

Besonders unübersichtlich wird es, wenn Gruppen ineinander verschachtelt sind. d.h. die erste in der zweiten, die zweite in der dritten u.s.w. Und die Krönung ist es, wenn sich der Kreis schließt, d.h. wenn die letzte Gruppe in der ersten verschachtelt wird.

Mit dieser Abfrage zeigt der migRaven-Reporter Ihnen an, ob derartige Konstruktionen bei Ihnen vorhanden sind und welche Gruppen beteiligt sind.

rekursive Gruppenverschachtelung

Bild 5: Drei Gruppen, im Kreis ineinander verschachtelt sind.

Nützliche Funktionen

1. Kopfzeile feststellen

Mit den Button „View“, „Freeze“ und „Freeze Top Row“ können Sie die Kopfzeile feststellen, sodass sie auch beim Scrollen sichtbar bleibt.

2. Tabelle sortieren

Erst kennzeichnen Sie die zu sortierenden Daten, ohne Titelzeile. Dann wählen Sie die Button „Data“ und „Sort“.
In dem sich öffnenden Sortierfenster können Sie die Spalte angeben, nach der sortiert werden soll, und die Sortierreihenfolge. Mögliche Sortierreihenfolgen sind „Largest to Smallest“,  „Smallest to Largest“ und „Custom“. Mit „Add Level“ können weitere Sortierspalten hinzugefügt werden. (Bild 3).

! Nicht nur eine Spalte markieren und sortieren. Dann werden nur die Daten in dieser Spalte sortiert.

3. Ergebnis-Ausgabe

Mit dem Disketten-Button kann das Ergebnis ausgegeben werden. Mögliche Ausgabe-Formate sind xlsx, pdf, csv und txt. Sie können aber auch die gewünschten Daten in der Tabelle markieren und über den Zwischenspeicher in eine Tabellenkalkulation übernehmen.

Report-Ausgabe

Bild 6: mögliche Ausgabe-Formate im Report-Generator