Active Directory einfach aufräumen

Einsatzszenarien:

  • Aufräumen historisch gewachsener AD Umgebungen
  • preiswerte Alternative zur aufwendigen Domänenmigrationen
  • Ausgliederung von Unternehmensteilen
  • Zusammenführung von AD-Strukturen
  • Übergabe der Verwaltung im Outsourcing Projekt

Bereinigen Sie mit uns effektiv ihr Active Directory. 

Active Directory Strukturen sind erfahrungsgemäß schwer mit den Microsoft-eigenen Mitteln zu verstehen und zu verwalten. Es besteht in großen Unternehmen eine hohe Dynamik: neue Objekte werden erstellt und gelöscht. Die Objekte werden undokumentiert regelmäßig miteinander verschachtelt.

Dies führt in Umgebungen mit mehr als 250 Accounts nach einer gewissen Zeit zu Konstellationen, die nur noch schwer zu verstehen und zu verwalten sind. Aus Gründen von Kosten und Revisionssicherheit wird eine Bereinigung erforderlich.

User und Gruppen um Active Directory sind zum setzen von Sicherheitseinstellungen erzeugt worden. Wenn die Gruppenstrukturen im AD sehr komplex, unübersichtlich und veraltet sind, entstehen viele Sicherheitsrisiken für Ihre Umgebung und machen eine Bereinigung notwendig. Beispielsweise kann es zu Überberechtigungen kommen, die unbefugten Usern Zugriff auf sensible Daten gewähren. Zum Beispiel haben Auszubildende aufgrund des Durchlaufens mehrere Abteilungen Zugriffsrechte auf nahezu alle Abteilungsverzeichnisse.

Daraus ergeben sich die folgenden Fragen: 

  1. Wie kann ich eine Übersicht über meine aktuelle Struktur erlangen?
  2. Wie können die komplexen unübersichtlichen Strukturen bereinigt werden? 

Eine Übersicht über die AD-Strukturen kann mit dem migRaven.24/7 Analyzer erlangt werden. MigRaven bildet die Grundlagen zur Visualisierung der IST-Situation und stellt gleichzeitig die Datenbasis für nachgelagerte, individuell auf die Kundenumgebung zugeschnittene Abfragen.

Graphendatenbank macht es möglich

Hinter migRaven.24/7 steht eine leistungsfähige Mehr-Tier Architektur mit einer innovativen Datenbank. Diese ist darauf ausgelegt große AD-Umgebungen mit mehr als einer Million Objekten analysieren zu können. (Relationale Datenbanken sind für Analysen von Objekten im millionenfachen Bereich ungeeignet.) MigRaven arbeitet daher mit einer schnellen neo4j Graphendatenbank.

Der wesentliche Unterschied liegt in der Art der Datenablage. In einer Graphendantenbank werden die Strukturen in der Form abgelegt, wie sie im AD bestehen. Das sind komplexe Netze mit Knoten, die in direkten Beziehungen miteinander stehen. Aufgrund dessen können Daten einer Graphendatenbank sehr viel schneller analysiert werden, als die in einer Relationen-Datenbank.


In migRaven werden die relevanten Daten verschieden dargestellt. 

Darin werden folgende Informationen dargeboten. Sie können über verschiedene Clients von verschiedenen User abgerufen werden.

  • Statistiken zu Usern, Administratoren, Gruppen, Verschachtelungstiefen, Tokensize, Anmeldeinformationen von Accounts
  • Listen zu Gruppenverschachtelungen mit effektiven Mitgliedern und Mitgliedschaften
  • Verwaiste Gruppen (a) (ohne Mitglieder )
  • Verwaiste Gruppen (b) (Berechtigungsgruppen ohne Verbindung zu einer ACL)
  • Redundante Gruppenverschachtelungen über User und Gruppen
    • User A -> Gruppe1 -> Gruppe2 -> Gruppe3 -> ACE
    • User A -[Verbindung x]-> Gruppe2 -> Gruppe3 -> ACE
  • RollenPreCheck: dienen der Planungen von zukünftigen Rollengruppen auf der Basis der aktuellen Konfigurationen
  • RollenCrossChecks: Identifikation nicht korrekt konfigurierter Rollengruppen durch intelligente Verknüpfung von Informationen zu Account, Gruppen und Department
  • Berechtigungsanalysen
    • Wer ist Wo und über welche Wege berechtigt
      (Effektive Betrachtung der Berechtigungen:

ACE – Gruppe – Gruppen-X – User

  • Individuelle Abfragen in der Datenbank auf Grundlage spezieller Konfigurationen auf Kundenseite

Die Abfragen stehen als Standard Reports zur Verfügung oder werden nach Anforderung entwickelt.

Obsolete Data Analyse in migRaven.24/7

Wie können die komplexen, fehlerhaften Strukturen bereinigt werden? 

Reihenfolge für ein sinnvolles Vorgehen:

  1. Verstehen: Zusammentragen wichtiger Informationen, um die IST-Situation zu durchdringen
  2. Optimieren der Informationen: Abgleich von SOLL-IST speziell im Bereich er AD-Properties. Z.B. Department…
  3. Identifikation und Entfernen obsoleter Objekte
    1. migRaven liefert als Grundlage spezielle Auswertungen zu verwaisten User-Accounts und Gruppen
  4. Auflösung redundanter Strukturen
    1. migRaven stellt Analysen, Berichte und Funktionen zur Identifikation redundanter Verbindungen zur Verfügung, wobei alle effektiven Verknüpfungen erhalten bleiben.
  5. Bereinigung von zirkulären und rekursiven Gruppenverschachtelungen
    1. Durch Auswertung der Beziehung Account – Gruppe – Department im Vergleich zu anderen Accounts mit ähnlichen oder gleichen Eigenschaften werden fehlerhafte Konfigurationen aufgedeckt
  6. Flatten von zu tiefen, redundanten Gruppenverschachtelungen
  7. Logische Analyse der Strukturen auf Basis der Graphentheorie
  8. Aufzeigen von Lösungsmöglichkeiten

Die leistungsfähigen Funktionen von migRaven in Kombination mit den Erfahrungen der Spezialisten der aikux.com GmbH, finden für jede AD-Bereinigung eine individuelle und effiziente Lösung.

folgende Maßnahmen lohnen sich: 

  • Anzahl Gruppen und User und das Gruppen/User-Verhältnis wird analysiert:
    Die zwei bis dreifache Anzahl an Gruppen zu User Accounts ist durchaus normal. Wird meist durch die ausgeprägte Verwaltung von NTFS-Verzeichnisberechtigungen bestimmt. Wenn es mehr sind, dann ist es auf jedenfall bedenktlich.
  • Gruppenverschachtelungstiefe 
    Zu tiefen Strukturen sind immer hinderlich, weil sie die Übersicht einschränken. Hierarchien wirken sich meist negativ aus, weil ein Objekt immer nur an einer Stelle sein kann. Objekteigenschaften können wesentlich flexibler zugewiesen werden.
    Max. 2-3 Ebenen sind optimal.
  • verwaiste Gruppen ohne Mitglieder
    Sind meist überflüssig.  
  • verwaiste Gruppen ohne Verbindung zu einer ACL 
    Behindern die Sicht und verfälschen das Verständnis der eigentlichen Situation. Wenn ein Verzeichnis mit expl. Berechtigungen entfernt wird, dann sollte unbedingt sofort die zugehörige Gruppe entfernt werden.
    migRaven kann dies sofort über einen Standardreport zuverlässig aufzeigen. Oft können sofort 20%-50% aller Berechtigungsgruppen gelöscht werden.
  • Redundante Gruppenverschachtelungen
    verschlechtern die Übersichtlichkeit.
  • Redundante User-Gruppenverschachtelungen
    -> Berechtigungen
  • Zirkuläre und rekursive Gruppenverschachtelungen
    muss unbedingt aufgelöst werden
  • Maximale Gruppenmitgliedschaften eines Accounts
    der Kerberos Token Count spielt eine wichtige Rolle. Ein Account kann in max. 1015 Gruppen effektiv Mitglied sein. Aus diesem Grund müssen z.B. überflüssige Gruppenmitgliedschaften immer sofort aufgelöst werden. 

Geschätzter Aufwand für die AD Analyse und Bereinigung:

Der tatsächliche Aufwand kann je nach IT Umgebung und Ziel des Kunden stark abweichen und muss daher individuell bestimmt werden.

Orientierungsgrößen:

  • Einfachste Form: 3-8 Tage für Kunden bis 1000 MA
  • Große Kunden: 5-15 Tage

Inklusive ausführlicher Dokumentation.

Der Aufwand für ein eventuelles, nachgelagertes AD CleanUp kann erst nach der AD Analyse geschätzt werden.

Organisatorische Voraussetzungen

Um die Termine optimal gestalten zu können, sollten die folgenden Information im Vorfeld zur Verfügung gestellt werden:

  • Anzahl der MA im Unternehmen?
    • PC-Relevant?
  • Übersicht über Standorte
  • Ist ein IDM/IAM im Einsatz?
  • Anzahl und welche HR System sind im Einsatz?
  • Verantwortlichkeiten für die Administration
  • Gibt es automatisierte Prozesse zur Erstellung/Modifikation von Objekten im AD?
    • Werden Rollen eingesetzt?
    • Wie wird der Entzug von Berechtigungen aktuell sichergestellt? Least Privilege?
  • Welches Domänen Level besteht?
  • Existieren Trusts?
    • Wohin?
    • Wie konfiguriert?
  • Gibt es ein OU-Konzept im AD?
  • Berechtigungskonzept im AD: gibt es delegierte Berechtigungen? Wer hat welche Rechte?
  • Welche Gruppentypen Sicherheitsgruppen/Verteilergruppen gibt es?
  • Ist ein Namenskonzept für Gruppen vorhanden?
    • wie kann man die Aufgabe der Gruppen erkennen? Gibt es Suffixe/Präfixe, die auf den Einsatz schließen lassen? Gibt es eine Beschreibung der Gruppen?
  • Gibt es ein Namenskonzept für User-Accounts?
  • Gibt es ein Namenskonzept für Service-Accounts?
  • Gibt es einen Prozess zum Aufbau der User und Gruppen? Ist dieser nachvollziehbar?
    • Dokumentation aller Änderungen?
  • Welche Gruppentypen werden eingesetzt? (DL/G/U)
  • Welches Berechtigungskonzept wird genutzt? (A-G-DL-P)
    • Welche Tools werden für die Berechtigungsverwaltung eingesetzt?
    • Wie sehen die aktuellen Prozesse für die Verwaltung aus?
  • Gibt es DataOwner für die Strukturen/Objekte?
  • Welche Personenarten gibt es?
    • Interne Mitarbeiter
    • Auszubildende
    • Accounts für temporäre MA (Externe, Studenten..)
    • Systemaccounts
  • Wie sieht der Prozess im Umgang mit Accounts für Externe aus?
  • Aktueller Umgang mit obsoleten Objekte im AD
    • Gibt es einen Prozess zur Löschung obsoleter User-Objekte? Wird dieser umgesetzt?
    • Werden User deaktiviert oder bekommen ein Ablaufdatum?
    • Gibt es einen Prozess zur Löschung von Gruppen?
  • Rollengruppen
    • Gibt es Rollengruppen?
    • Woran sind Rollengruppen zu erkennen?
    • Gibt es eine Verbindung zum HR System, die automatisiert verwaltet?
  • Sind die Properties im AD gepflegt?
    • Woran (Properties) erkennt man: Department, Funktion, Standort, Vorgesetzter, Kostenstelle?
    • Soll/Ist-Abgleich: Können die Sollwerte aus einem System (HR) exportiert werden und mit den Ist-Werten im AD abgeglichen werden?
  • Welche anderen Systeme, die auf Objekten aus dem AD aufbauen gibt es? (nicht mit migRaven analysierbar)
    • Liste erstellen lassen: Name/kurze Beschreibung/Owner
    • Z.B. SharePoint, Datenbanken, CRM Systeme…
  • evtl. lohnt sich der Import in migRaven über Scripte
    • Sinnvoll, wenn Kunden größer 5000 User+
    • Aufwand (Kosten + Zeit) für Erstellung des Scripts vorher abschätzen, einplanen und kommunizieren

Technische Voraussetzungen

  • Installation von migRaven zur Analyse
    • Windows Server 2016+
    • Sizing für migRaven nach Kundenumgebung
      • Größe AD: User/Gruppen
      • Größe Filesystem: TB
    • Speicherplatz/RAM/HDD
    • Prüfung der Firewall-Einstellungen auf Erreichbarkeit der Zielsystem: typische Windows LDAP/SMB Protokolle
    • Einrichtung der Berechtigungen für das Auslesen der Berechtigungen des FS
      • Bereitstellung eines entsprechenden Accounts
    • Einrichtung der Scans in migRaven
    • Wenn Berechtigungen/Rollen von weiteren Systemen in migRaven importiert werden sollen, dann entsprechende Exports im CSV-Format

Permanentlink zu diesem Beitrag: https://help.migraven.com/active-directory-einfach-aufraeumen/

Schreibe einen Kommentar

Deine Email-Adresse wird nicht veröffentlicht.