Header-grossesschiff

Telefon  +49 6126 710 796 0

Active Directory analysieren

Die Benutzer-und Gruppeninformationen in einem gewachsenen Active Directory haben meist eine sehr unterschiedliche Qualität. Gute Datenqualität im AD ist ein Sicherheitsaspekt und die Vorrausetzung für eine planvolle Anbindung an andere Systeme (Personaldaten, Intranet-Telefonbuch...).
Analysieren Sie Ihr AD und planen Sie einen Clean-up. Ihr Ziel sind gepflegte, vollständige und gleichartige Datensätze? Wir unterstützen Sie mit Know-how und kostenfreier Software.

Active Directory Analyse

Neben unvollständigen Daten finden wir oft verwaiste Objekte oder überberechtigte Nutzer. Ungenutzte AD-Konten ehemaliger Mitarbeiter bergen aber auch Gefahren. Deaktivieren oder löschen Sie diese.

Analysieren Sie zunächst selbst Ihr AD. FirstAttribute stellt Ihnen dafür mit dem FirstWare-AD Inspector ein kostenfreies AD Reporting und Analyse-Tool zur Verfügung.


Warum lohnt sich eine AD-Analyse bzw. einen AD-Check-Up?

Jeder nutzt das Active Directory

Jeder Anwender authentisiert sich gegen das AD und hat damit auch einen AD-Account.
Verwenden Sie die Daten aus Ihrem Active Directory auch in anderen Systemen?
Oder haben Sie daran gedacht, diese Daten zu verwenden?
 

Datenqualität im Active Directory

Ungenutzt, Unvollständig, Deaktiviert, Leer.
Es lohnt sich für Sie zu wissen, was in Ihrem Active Directory vorgeht. Die Datenqualität ist aus verschiedenen Gründen bedeutend, wir haben einige für Sie zusammengefasst.

Sicherheit:

  • Sie wollen wissen, welche Konten nicht genutzt werden
  • Sie wollen wissen, welche Computer gesperrt sind
  • Sie wollen wissen, wer sein Kennwort nicht ändert
  • Sie wollen leere Gruppen vermeiden und verschachtelte Gruppen erkennen
  • Sie wollen keine doppelten Login-Namen innerhalb eines Forest zulassen

Datenqualität und Verwaltung:

Delegation und Automatisierung:

Migration:

  • Sie planen eine Umstellung oder Migration in ein andere AD-Domäne

Möglichkeiten: Von der Analyse zu hoher Datenqualität im AD

Wie können Sie die unvollständigen oder fehlerhaften Daten finden und verbessern?
Wir empfehlen Ihnen zwei Möglichkeiten:

Moeglichkeiten-AD-Analyse
  1. Überprüfen Sie Ihr AD mit dem kostenfreien FirstWare-AD Inspector
    Sie erhalten einen Überblick durch verschiedene Reports, die Sie auch als Excel-Dokument zur weiteren Verarbeitung speichern können.
     
  2. Planen Sie einen AD-Check-Up mit Experten
    Wenn Sie sich einen Überblick verschafft haben, können Sie gern unsere AD Spezialisten zu Rate ziehen. Unsere AD Consultants unterstützen Sie mit viel Erfahrung bei der Planung Ihrer Zieldatenqualität. Die Integration oder Verbindung weiterer Systeme wird dadurch deutlich einfacher.

Wir möchten, dass Sie sich der Bedeutung des Verzeichnisdienstes Active Directory bewußt werden. Kontaktieren Sie und, wenn Sie mehr wissen wollen oder beginnen Sie mit dem FirstWare-AD Inspector eine erste Analyse.


FirstWare-AD Inspector: Kostenlose AD Analyse Software

AD Reporting mit unserem kostenlosen Tool

Nutzen Sie unser kostenlose AD Analyse Tool um Abfragen gegen Ihr Active Directory zu fahren.
Die Software ist selbsterklärend und ermöglicht Ihnen 17 verschiedene Reports.
FirstWare-AD Inspector 2015 unterstützt nun neben dem CSV-  auch einen Excel-Export.

FirstWare-AD-Inspector-2015

Weitere Infos und kostenloser
Download FirstWare-AD Inspector

 

Was kann ich mit AD Inspector analysieren?

Warum sollte ich mein Active Directory analysieren?

Das Active Directory stellt Informationen (Attribute) für angeschlossene Applikationen und Systeme zu Verfügung. Unternehmens-Telefonbücher nutzt meist Adressen und Telefonnummern aus dem Active Directory.

Es ist wichtig, dass Ihr AD aktuelle und vollständige Daten bereit stellt. Andernfalls können die angeschlossenen Systeme diese Daten nicht sinnvoll weiter nutzen.

AD Inspector hilft Ihnen die Datenqualität zu überprüfen.

Was bringt mir der AD Inspector?

Sie erhalten

  • Informationen über Benutzer, Computer und Gruppen
  • Hinweise, wie Sie das Ergebnis Ihrer Analyse bewerten können
  • Hinweise, welche Maßnahmen möglich sind

In den nächsten Kapiteln erfahren Sie mehr zu den einzelnen Analysen.

Warum ist AD Inspector kostenlos?

Wir sind spezialisiert auf Design und Migration von Active Directory Infrastrukturen. Datenqualität ist einer der wichtigsten Punkte, wenn Sie Directory Services verwenden wollen.

Wir möchten, dass Sie mehr über Ihr AD wissen. Sie können so selbst Schwächen feststellen. Wenn Sie Untersützung bei der Beseitigung benötigen, helfen wir Ihnen gern.


Benutzerobjekte mit nicht ablaufenden Kennworten

Benutzerobjekte können so konfiguriert werden, dass die Kennwörter trotz aktiver Passwort-Policy nie ablaufen.

Nie ablaufende Kennwörter sind ein Sicherheitsrisiko

Die Kennwörter der Benutzer sollten sich regelmäßig ändern. In der Regel tauchen hier lediglich Dienstkonten auf, da sonst der Dienst nicht mehr funktioniert, wenn das Kennwort abgelaufen ist.


Gruppen-Verschachtelungsinformationen

Active Directory Gruppen können sowohl Benutzerobjekte wie auch andere Gruppenobjekte aufnehmen. Bei der Schachtelung von Gruppen ist für den Administrator nicht sofort ersichtlich, welche effektiven Benutzerobjekte Mitglied dieser Gruppe sind. Berechtigungen können so unbewusst an Benutzer vergeben werden, welche nicht dazu berechtigt sind. Mit dieser Analyse erhalten Sie einen Überblick, wie stark die Verschachtelung von Gruppen innerhalb Ihres Active Directories verwendet wird. Eine zu hohe Verschachtelung sollte vermieden werden, da ansonsten der Überblick schnell verloren gehen kann.

Nutzen Sie dynamische Gruppen zur Automatisierung von Gruppenmitgliedschaften.


Leere Gruppen

Active Directory Gruppen, die keine Mitglieder mehr haben, werden in vielen Fällen nicht mehr benötigt. Mit dieser Analyse können Sie sich alle Gruppen ausgeben lassen, welche keine Mitglieder mehr enthalten.

Sie können dann im Einzelfall entscheiden, ob die Gruppe gelöscht werden kann.

Gerade in Bezug auf eine bevorstehende Active Directory Migration ist es sinnvoll, überflüssige Elemente aus dem Active Directory zu entfernen.

Eine Analyse der leeren Gruppen ist daher notwendig.


Benutzerkonten, denen mindestens ein erforderliches Attribut fehlt

Mit dieser Analyse können Sie prüfen, bei welchen Ihrer Benutzerobjekte die wichtigsten Attribute nicht gefüllt sind.

Das Active Directory ist ein LDAP basierter Verzeichnisdienst und wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Sie können auch weiteren Anwendungen mittels AD-Attribute verbinden.

Daher ist es sinnvoll, die Adress- und Telefoninformationen der Benutzerobjekte innerhalb des Active Directorys mit geordneten und aktuellen Daten zu versehen (Datenqualität).

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte "Required User Attributes" aufegführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste falls gewünscht löschen. Über das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.

Screenshot der Konfiguration: AD-Inspector-Parameter

Konfiguration-DE

Damit zukünftig alle relevanten Informationen innerhalb des Active Directories vorhanden sind, können Sie mit Hilfe von FirstWare-IDM Portal übersichtlich und schnell Active Directory Daten pflegen, auch nach Ihren eigenen Regeln.

Die Active Directory Administration folgt somit Ihren Vorgaben und Sie müssen nicht mehr alle Informationen manuell eintragen. Hinterlegen Sie z.B. Standorte zur einfachen Auswahl im Pull-Down-Menu um inkonsistente Datensätze zu vermeiden.

Sie können die Administration auch ganz an die Datenverantwortlichen delegieren.


Kontakte, denen mindestens ein erforderliches Attribut fehlt

Kontakte dienen innerhalb des Active Directories zur Speicherung von Adress- und Telefoninformationen, die in der Regel zu externen Personen gehören. Kontakte tauchen bei Exchange Mail-Systemen auch innerhalb des Adressbuchs auf, sofern dies gewünscht ist. Viele Firmen legen zusätzliche Adressbücher für externe Kontakte an, damit das Standard-Adressbuch lediglich die internen Mitarbeiter führt und es dennoch über das Mail-System einen zentralen Zugriff auf externe Kontakte gibt. Mit Hilfe dieser Analyse können Sie sich alle Kontaktobjekte ausgeben lassen, bei denen mindestens ein erforderliches Attribut fehlt.

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte "Required Contact Attributes" aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste auch löschen. Über das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.

Die Active Directory Administration der Kontakte kann delegiert werden, sodass einzelne Bereiche ihre eigenen Adressbücher pflegen können, ohne dass dies auf das interne Adressbuch Auswirkungen hätte. Zur Delegation der Adressbuchverwaltung können Sie mit Hilfe unserer Software FirstWare-IDM Portal eigenen Oberflächen für verschiedene Anwender-Rollen erstellen und damit auch an nicht IT-Mitarbeiter delegieren.


Benutzerkonten, die alle erforderlichen Attribute gefüllt haben

Das Active Directory ist ein LDAP basierter Verzeichnisdienst und wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Daher ist es sinnvoll, die Adress- und Telefoninformationen der Benutzerobjekte innerhalb des Active Directories mit ordentlichen und aktuellen Daten zu versehen. Mit dieser Analyse können Sie prüfen, bei welchen Ihrer Benutzerobjekte die wichtigsten Attribute nicht gefüllt sind.

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte "Required User Attributes" aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste auch löschen. Mit Klick auf das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.


Kontakte, die alle erforderlichen Attribute gefüllt haben

Das Active Directory ist ein LDAP basierter Verzeichnisdienst und wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Daher ist es sinnvoll, die Kontakte innerhalb des Active Directories mit ordentlichen und aktuellen Daten zu versehen. Mit dieser Analyse können Sie prüfen, bei welchen Ihrer Kontakte die wichtigsten Attribute nicht gefüllt sind.

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte "Required Contact Attributes" aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste auch löschen. Über das Symbol mit der Diskette können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.


Neu erstellte Benutzerkonten innerhalb der letzten X Tage

Diese Analyse liefert Ihnen alle Benutzerkonten, die innerhalb der letzten x Tage neu angelegt worden sind. Die Anzahl der Tage können Sie über die Schaltfläche Konfiguration bearbeiten vorgeben.


Nicht angemeldete Benutzerkonten innerhalb der letzten X Tage

Eine Analyse zu allen Benutzerkonten, die sich innerhalb der letzten x Tage nicht mehr an der Domäne angemeldet haben. Über die Schaltfläche Konfiguration bearbeiten können Sie die Anzahl der Tage festlegen.


Nicht angemeldete Computerkonten innerhalb der letzten X Tage

Dieser Report ermöglicht Ihnen eine kurze AD Analyse zu allen Computerkonten, die sich innerhalb der letzten x Tage nicht mehr an der Domäne angemeldet haben. Über die Schaltfläche Konfiguration bearbeiten können Sie die Anzahl der Tage festlegen.


Gesperrte Benutzerkonten

Diese Analyse liefert Ihnen alle Benutzerkonten, die im Augenblick gesperrt sind. Ein Benutzerkonto wird gesperrt, wenn es die Anzahl der zulässigen Versuche überschritten hat, sich an der Domäne mit dem richtigen Kennwort anzumelden. Das Entperren eines Benutzerkontos kann mit Hilfe unseres FirstWare-IDM Portals an Verantwortliche delegiert werden, die vielleicht weniger oder auch gar kein IT-KnowHow besitzen.

Mit unserem Werkzeug können Sie sehr einfach eine Oberfläche zur Active Directory Delegation erstellen. Sie können so das Entsperren von Benutzerkonten (bezogen auf einzelne Organisationseinheiten Ihres Active Directories) leicht an Nicht-IT Mitarbeiter delegieren.


Deaktivierte Benutzerkonten

Mit dieser AD Analyse erfahren Sie welche Benutzerkonten derzeit deaktiviert sind.


Deaktivierte Computerkonten

Die Anaylse liefert Ihnen alle Computerkonten, welche derzeit deaktiviert sind.


Konten mit nicht geänderten Kennwörtern innerhalb der letzten X Tage

Diese Analyse zeigt Ihnen alle Benutzerkonten an, deren Kennwörter innerhalb der letzten x Tage nicht geändert worden sind. Die Anzahl der Tage können Sie über die Schaltfläche Konfiguration bearbeiten vorgeben.


Doppelte Loginnamen im Forest

Dieser Report liefert Ihnen alle Loginnamen, die innerhalb Ihres Forests mehrfach vorkommen. Sofern Sie lediglich eine Active Directory Domäne betreiben, können keine Loginnamen mehrfach auftreten, da dies bereits beim Anlegen der Konten geprüft wird. Sollten Sie aber mehrere Domänen betreiben, kann es durchaus vorkommen, dass hier gleiche Loginnamen verwendet werden. In vielen Fällen macht es Sinn, dies zu unterbinden, sodass jeder Loginname im gesamten Forest lediglich ein mal vorkommt.


Doppelte Kerberos Logon Namen im Forest (User Prinicipal Name)

Der Kerberos Logon Name enthält in der Regel neben Benutzernamen auch den Domänennamen in folgender Form: username@ADDomain.xxx. Der Kerberos Logon Name sollte innerhalb des Active Directory Forests eindeutig sein. Bei der oben angesprochenen Struktur wird er dies auch sicherlich sein.


Benutzer Gruppenmitgliedschaften

Die Analyse der Gruppenmitgliedschaften liefert Ihnen zwei Informationen zurück. Zum einen bekommen Sie aufgelistet, in wie vielen Gruppen Ihr Benutzerobjekt direktes Mitglied ist und zum anderen bekommen Sie aufgelistet, in wievielen gschachtelten Gruppen (TokenGroups) das Benutzerobjekt indirekt Mitglied ist. Geschachtelte Gruppen sind Gruppen, in denen Sie indirekt Mitglied sind, weil Sie in einer Gruppe eingetragen sind, welche selber in einer oder mehreren Gruppen als Mitlgied eingetragen ist.

Die Schachtelung von Gruppen kann dazu führen, dass Ihr Benutzerobjekt Berechtigungen bekommt, die aufgrund einer geschachtelten Gruppe vergeben wird. Es ist daher sinnvoll, die Anzahl der Schachtelungen nicht zu übertreiben, damit die Übersicht der errektiven Berechtigungen nicht verloren geht.

Ein Benutzerobjekt kann maximal in ~1020 Gruppen zum Mitglied werden. Hier werden sowohl die direkten als auch die indirekten Gruppenmitgliedschaften gerechnet. Sofern Sie ein Benutzer in mehr als ~1020 Gruppen als Mitglied eingetragen wird, greifen nicht mehr alle Mitgliedschaften, da das Token zum Speichern der Mitgliedschaften einfach voll ist. Der Effekt ist dann, dass Sie jemanden in eine Gruppe eintragen, die gewünschte Berechtigung aber einfach nicht vergeben wird.


Sie haben Fragen zu individuellen Analysen oder Datenqualität?

Sie wünschen weitere AD Analysen, einen AD-Health Check oder haben Fragen?
Nehmen Sie kurz Kontakt mit uns auf. Wir freuen uns auf Ihre Nachricht.

Kontakt

News

  • Active Directory Consulting Dortmund

    AD Consulting, Migration und Identity Management von Dortmund bis Bielefeld

    mehr...
  • Active Directory Inter-Forest-Migration mit ADMT

    Zusammenführung von User Accounts in Düsseldorf

    mehr...
  • AD Konsolidierung im Rhein-Main-Gebiet

    AD Migrationen mit Dell Migration Manager for Active Directory

    mehr...
  • DynamicGroup 2015 Release

    FirstWare-DynamicGroup 2015 veröffentlicht

    mehr...
  • AD Spezialisten in Frankfurt unterwegs

    Laufende AD Consultants in Frankfurt

    mehr...
  • Active Directory Consulting in München

    Identity Management mit AD Schwerpunkt

    mehr...
  • AD Konsolidierung und DFS Einführung in Hamburg

    Active Directory Consulting Projekt im Bankenumfeld.

    mehr...
  • Identity Management für den Mittelstand (KMU)

    Active Directory als zentrales Identity Management für Mittelstand (KMU) einsetzen.

    mehr...
  • Exchange Adressbuchverwaltung per Weboberfläche

    Delegation der Exchange Adressbuchverwaltung per Weboberfläche

    mehr...
  • Cloud Integration am Beispiel von Office 365

    Integration von Cloud Angeboten in das Unternehmensnetzwerk am Beispiel von Office 365.

    mehr...

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum