Remove From My Forums

verwaiste Gruppen finden

Frage
0

Anmelden

Hallo,

im laufe der Jahre haben sich in unserem Active Directory sicherlich einige Gruppen angesammelt, die niemand mehr verwendet.

Die Frage ist ob es eine Möglichkeit gibt diese zu finden. Ist jemand ein AD Attribut bekannt, an dem man die letzte Nutzung auslesen kann? Bei Verteilergruppen könnte es so etwas wie "letzter Mailversand" sein.

Danke!

Mittwoch, 10. Januar 2018 09:12

Antworten

|

Zitieren

Alle Antworten

1

Anmelden

Hallo Paulchen Panther,

Keine vordefinierte Lösung hier, aber es soll per Skript möglich sein.

Diese Diskussion enthält mehrere Ideen dazu:

https://social.technet.microsoft.com/Forums/en-US/7d37dc15-74c5-42f3-ba6a-1bf988cd56b3/group-policy-to-delete-inactive-users-accounts-and-computer-accounts?forum=winserverDS

Grüße,

Yavor

Mittwoch, 10. Januar 2018 09:41

Antworten

|

Zitieren
0

Anmelden

Hallo und Danke.

Dabei suchen die aber nach dem Attribut lastlogon. Das gibt es aber bei Gruppen nicht. Bei Verteilern müsste es dann irgendwie lastsend/lastreceived,.... oder so heißen. Bei Sec-Gruppen ???

Mittwoch, 10. Januar 2018 11:15

Antworten

|

Zitieren
0

Anmelden
Hallo,

Das Ganze ist leider noch so ohne Weiteres möglich.

Im englischen Forum wurde das bereits vor einiger Zeit (2011) diskutiert sowie Links zu Scripts und weiteren Informationen zur Verfügung gestellt: https://social.technet.microsoft.com/Forums/windowsserver/en-US/378c25cb-ad4b-4d75-bf29-07a3fdb115a5/how-to-tell-if-active-directory-group-is-used-anywhere?forum=winserversecurity
- Bearbeitet TobyU Mittwoch, 10. Januar 2018 11:39 link edited
Mittwoch, 10. Januar 2018 11:38

Antworten

|

Zitieren
1

Anmelden

Hi,

Am 10.01.2018 um 10:12 schrieb Paulchen Panther:

> Die Frage ist ob es eine Möglichkeit gibt diese zu finden.

Ja, das ist relativ einfach. Du hattest _vorher_ ein klares

Namenskonzept, daß die Funktion, das Recht und die Ressource beschreibt

auf der die Gruppe verwendet wurde.

Sonst: Nein.

Du musst JEDES(!) potentielle Ziele/Ressource abfragen, wo welche Gruppe

verwendet wird ... im Dateisystem, innerhalb der DAtenbank, auf dem

Proxy, dem Webserver ... Das AD hat davon keine Ahnung.

CleanUp Weg:

- Members der Gruppe auslesen und Dokumentieren

- Gruppe leeren

- x Wochen warten ob sich jemand meldet

Tschö

Mark

--

Mark Heitbrink - MVP Group Policy - Cloud and Datacenter Management

Homepage: http://www.gruppenrichtlinien.de - deutsch

Aktuelles: https://www.facebook.com/Gruppenrichtlinien/

GET Privacy and DISABLE Telemetry on Windows 10 - gp-pack PaT

http://www.gruppenrichtlinien.de/artikel/gp-pack-pat-privacy-and-telemetry/

Mittwoch, 10. Januar 2018 17:26

Antworten

|

Zitieren
0

Anmelden

Hallo Mark,

unsere Gruppen sind recht gut strukturiert und auch benamt. Aber bei mehreren hunderten Gruppen ist es trotzdem ein recht großer Aufwand. Vor allem bei Verteilern weiß ich doch nicht ob die Abteilungen die noch benötigen oder nicht. Da muss ich für jede Gruppe dann die Abteilungen fragen. Ich hätte den Aufwand gerne recht gering gehalten.

Trotzdem Danke!

Donnerstag, 11. Januar 2018 07:43

Antworten

|

Zitieren
1

Anmelden

Hallo Paulchen,

suche doch im ersten Schritt nach Gruppen deren "Member List" leer ist.
reduziert schon mal die Anzahl

Jetzt könntest Du noch Deine Fileservices und anderen Dienste gezielt auf Berechtigungen für diese Gruppen prüfen. Dabei mögliche SQL Berechtigungen nicht vergessen.

Gruß Malte

Donnerstag, 11. Januar 2018 12:44

Antworten

|

Zitieren
0

Anmelden

Danke!

Freitag, 12. Januar 2018 08:11

Antworten

|

Zitieren