none
Sicherheitsgruppe nachverfolgen RRS feed

  • Frage

  • Hallo zusammen,

    ich habe die Aufgabe bekommen unser Active Directory aufzuräumen. Leider stoße ich immer wieder an einen Punkt an dem ich nicht weiß wo eine besagte Sicherheitsgruppe im Netzwerk angewandt wird. Ich sehe zwar im AD das User der Gruppe zugeordnet sind, jedoch wo diese Gruppe im Endeffekt Verwendung findet bleibt mir verborgen.

    Kann man dies irgendwie rausfinden? 

    Mit besten Grüßen

    Mattias

    Freitag, 2. Oktober 2015 08:38

Antworten

  • Hi Mattias,

    ich sag jetzt mal ganz platt: in der zugehörigen Dokumentation. ;-)

    Vom AD her hast Du keine Möglichkeit, herauszufinden, auf welchen Mitgliedsservern eine Gruppe wie berechtigt wurde. Daher ist es Best Practice, das in die Beschreibung oder sogar den Gruppennamen aufzunehmen.

    Entweder machst Du Dir also eine "Müll"-OU, in die Du alles reinpackst, was Du nicht zuordnen kannst (Vorsicht: evtl. werden auf die Gruppen noch über die alte OU Gruppenrichtlinien angewendet, die dann nicht mehr greifen) oder Du fängst an, die Server zu durchsuchen...


    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Freitag, 2. Oktober 2015 09:20
  • > stoße ich immer wieder an einen Punkt an dem ich nicht weiß wo eine
    > besagte Sicherheitsgruppe im Netzwerk angewandt wird.
     
    Wurde schon gesagt: Gruppen werden meist in ACLs verwendet. Genauer
    heißen die DACL, und das D steht für "discretionary". Die sind also rein
    dezentral :-)
     
    Was ganz gut geht: Wandle die Gruppe in eine Verteilergruppe um. Da
    bleiben SID und Mitglieder erhalten, aber sie landet nicht mehr im
    TGT/Token. Wenn sich dann jemand beschwert, weißt Du, wer sie braucht.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Freitag, 2. Oktober 2015 10:18

Alle Antworten

  • Hi Mattias,

    ich sag jetzt mal ganz platt: in der zugehörigen Dokumentation. ;-)

    Vom AD her hast Du keine Möglichkeit, herauszufinden, auf welchen Mitgliedsservern eine Gruppe wie berechtigt wurde. Daher ist es Best Practice, das in die Beschreibung oder sogar den Gruppennamen aufzunehmen.

    Entweder machst Du Dir also eine "Müll"-OU, in die Du alles reinpackst, was Du nicht zuordnen kannst (Vorsicht: evtl. werden auf die Gruppen noch über die alte OU Gruppenrichtlinien angewendet, die dann nicht mehr greifen) oder Du fängst an, die Server zu durchsuchen...


    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Freitag, 2. Oktober 2015 09:20
  • Am 02.10.2015 schrieb Ben-neB:
    Hi Ben,

    (Vorsicht: evtl. werden auf die Gruppen noch über die alte OU Gruppenrichtlinien angewendet, die dann nicht mehr greifen)

    Das wäre dann aber maximal bei LDAP Abfragen der Fall. Oder auf was zielst du hier ab?

    Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Freitag, 2. Oktober 2015 09:27
  • > stoße ich immer wieder an einen Punkt an dem ich nicht weiß wo eine
    > besagte Sicherheitsgruppe im Netzwerk angewandt wird.
     
    Wurde schon gesagt: Gruppen werden meist in ACLs verwendet. Genauer
    heißen die DACL, und das D steht für "discretionary". Die sind also rein
    dezentral :-)
     
    Was ganz gut geht: Wandle die Gruppe in eine Verteilergruppe um. Da
    bleiben SID und Mitglieder erhalten, aber sie landet nicht mehr im
    TGT/Token. Wenn sich dann jemand beschwert, weißt Du, wer sie braucht.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Freitag, 2. Oktober 2015 10:18
  • Am 02.10.2015 um 12:18 schrieb Martin Binder [MVP]:
    > Was ganz gut geht: Wandle die Gruppe in eine Verteilergruppe um. Da
    > bleiben SID und Mitglieder erhalten, aber sie landet nicht mehr im
    > TGT/Token. Wenn sich dann jemand beschwert, weißt Du, wer sie braucht.
     
    Like :-)
     
    Aufräumen durch Zuruf und abwarten wo es einschlägt ist ein guter Weg.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Sonntag, 4. Oktober 2015 09:27