Die AD-Statistik liefert eine zentrale Übersicht über Benutzerkonten, Computerobjekte und Gruppen in der gewählten Active Directory-Domäne.
Sie dient Administratoren als Einstiegspunkt zur strukturierten Analyse des AD-Zustands. Per Klick auf eine Kennzahl öffnet sich eine Detailansicht mit allen relevanten Objekten. Diese Listen können bei Bedarf exportiert werden.
Inhaltsverzeichnis
Zugriff auf die AD-Statistik
Die AD-Statistik ist standardmäßig für Administratoren freigeschaltet, kann jedoch im Rollen-Designer auch für andere Rollen aktiviert oder deaktiviert werden. Die Statistik befindet sich im Bereich AD-Analyse der migRaven-Oberfläche.
Die AD-Statistik im Überblick
Die Übersichtsseite stellt die zentralen Kennzahlen zu AD-Objekten visuell dar.
Zu jedem Bereich lassen sich per Klick weiterführende Detailinformationen aufrufen. Diese ermöglichen eine tiefergehende Analyse und bieten Exportfunktionen.
Zu „Sicherheitsgruppen“
Die Statistik unterscheidet Sicherheitsgruppen nach deren Typ – mit Relevanz für die Auswertung von Kerberos-Token:
- Universelle Gruppen
→ Belegen 8 oder 40 Byte im Kerberos Token (je nach Domänenkontext) - Globale Gruppen
→ Belegen 8 Byte im Kerberos Token - Domänenlokale Gruppen
→ Belegen 40 Byte im Kerberos Token - Built-In-Gruppen
→ Typischerweise 40 Byte im Kerberos Token
Hinweis: Verteilergruppen werden nicht importiert oder ausgewertet.
Zu „Token Size“
Die Token Size misst die tatsächliche Größe des Kerberos Tokens in Byte – abhängig von der Anzahl und Art der enthaltenen SIDs.
- Standardgrenze: ca. 12.000 Byte (in Windows, konfigurierbar per Registry)
- Risiko: Wird die Token Size überschritten, kann die Authentifizierung fehlschlagen.
- Indikator für Strukturprobleme: Eine große Token Size weist häufig auf zu viele, ineffiziente oder historisch gewachsene Gruppenmitgliedschaften hin.
Tipp: Eine optimierte Berechtigungsstruktur hält die Token Size niedrig und verbessert die Performance beim Anmelden und beim Zugriff auf Ressourcen.
Zu „Token Count“
Der Token Count zeigt die Anzahl der Gruppenmitgliedschaften, die im Kerberos Token eines Benutzers enthalten sind. Dieser Wert ist sicherheitsrelevant und technisch begrenzt.
- Maximalwert: 1013 Gruppenmitgliedschaften pro Benutzerkonto
- Folge bei Überschreitung: Der Benutzer kann sich nicht mehr anmelden
- Ursache für plötzliche Zunahme:
Wird ein Konto in eine andere Domäne verschoben, wandern alte Gruppenmitgliedschaften in die SID-History. Diese zählen zusätzlich zur tatsächlichen Mitgliedschaft und können den Grenzwert schnell überschreiten.
Empfehlung: Überwachen Sie den Token Count regelmäßig, insbesondere bei Berechtigungsvergaben über mehrere Domänen hinweg.
Zu „Abteilungen“
Die AD-Statistik wertet zusätzlich das „department“-Attribut in Benutzerkonten aus:
- Alle vorhandenen Abteilungen (Department-Werte) werden gruppiert und gezählt.
- Per Klick auf eine Abteilung öffnet sich die Detailansicht mit allen zugehörigen Benutzern.
Zusätzlich werden die gesetzten Abteilungs-Properties (Department) auf den Useraccounts aufgelistet und gezählt. Durch Klick auf die „23“ öffnet sich die Sidebar mit der Dateilauswertung zu allen Departments.
Hinweis: Konten ohne gesetzten Department-Wert werden separat ausgewiesen.
Über die Kategorie „User Accounts ohne Abteilung“ lässt sich die vollständige Liste dieser Benutzer aufrufen – ideal zur gezielten Nachpflege fehlender Angaben.