none
不要なドメイン ローカル グループの見つけ方 RRS feed

  • 質問

  • 初投稿となります。

    長らく社内 AD (シングル フォレスト、シングル ドメイン)や数台のファイル サーバーを管理してきました。
    ユーザー アカウントやグローバルグループなどは都度メンテをしてきたのですが、ドメイン ローカル グループのメンテナンスで躓いております。

    目的としては、使われていない DL グループを削除したいのですが、対象 DL グループがどこのファイルサーバーのどの共有フォルダーで使われているかをなるべく楽に知る術はありますでしょうか。
    ファイル サーバー側で共有フォルダーの NTFS アクセス権マップ作成ツールでリストかするのが王道なのでしょうか。

    皆さんはどのようにしていますか?

    ちなみに各部門で自前の PC (または極小規模のファイル サーバー) に作った共有フォルダーへの影響については配慮しておりません。

    2018年2月13日 1:00

回答

すべての返信

  • チャブーンです。

    この問題ですが、率直にいうと簡単には解決(検出)できません。

    USフォーラムで同じ質問をしたユーザーがいるようですが、やはり同じような答えとなっています。ただしここでは"AccessEnum"というツールでNTFSアクセス許可をすべて表示することで(簡単でないけど)助けになるかもしれない、という情報があります。必要があれば試されてみてはいかがでしょうか?

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/75b4ccaf-c5cc-44f5-ba28-671229334c08/how-do-detect-unused-security-groups?forum=winserverDS

    追記:もう少し探したところPowerShellですべて実現する方法が書いてありましたので、こちらも参考になると思います。これの面白いところは、疑わしいセキュリティグループをいったん「配布グループ」に変更することで、設定を変えずにセキュリティ機能を無効化して様子をみる(誰もクレームを上げないかどうか)ことで、確認する方法を使え、というところですね。

    https://blogs.technet.microsoft.com/ashleymcglone/2014/03/17/powershell-to-find-where-your-active-directory-groups-are-used-on-file-shares/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2018年2月26日 4:30
    モデレータ
  • フォーラム オペレーターの栗下 望です。
    増田敏久さん、こんにちは。

    ご対応いただきまして誠にありがとうございます。 
    今後ともフォーラムをよろしくお願いいたします。

    以下はフォーラム利用時の注意点のお知らせです。
    ※初めてご投稿された方を対象にお知らせしています。

    ご利用の際は、下記内容をお守りいただきますと
    情報が寄せられやすくなりますので、ぜひご一読ください。

    ・フォーラムでご質問頂くにあたっての注意点
    ・フォーラムのご利用方法(質問の投稿)について
    ・フォーラムへの回答に関するガイドラインおよびフォーラム運営について(再掲)

    ご意見、ご要望はこちらのフォーラムまで。
    各種設定方法はフォーラム内を [かんたん フォーラム ガイド] で検索してみてください。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望


    2018年3月1日 2:51
    モデレータ
  • 返信が遅くなり申し訳ありません。

    PowerShell の方法、面白いですね。
    「消さずにいったん隠しておいて」という方法は共有フォルダー内の古いファイル群を整理するときによく使う方法ですが、なるほど確かにアクセス グループでも (運用がきちんとされていて、当事者が迂回路アクセス権を持っていなければ) 使えそうです。

    1. スクリプトを使って共有フォルダーを軸に ACE のリスト情報を取得して CSV に出力する。
    2. Access などにインポートして 「使われてなさそうな具合」 を分析し、削除候補のグループを見つける。
    3. 削除候補のグループを配布グループに変換し、ユーザーからの打ち上げを待つ。
    4. しばらく経っても誰も文句を言わなければ有力候補のグループとする。
    5. 誰からも打ちあがってこなければ削除。(ただし Active Directory のゴミ箱は有効にしておく)

    理想的なスピードと手間で夢がかなう方法ではありませんが、現状ではこの流れがよさそうです。
    情報ありがとうございました。

    2018年3月8日 6:54