Die Benutzer- und Gruppeninformationen in einem gewachsenen Active Directory haben meist eine sehr unterschiedliche Qualität.
Gute Datenqualität im AD ist ein Sicherheitsaspekt. Zugleich ist es auch die Voraussetzung für eine gelungene Anbindung
an andere Systeme (Personaldaten, Intranet-Telefonbuch).
Jeder Anwender authentisiert sich gegen das AD und hat damit auch einen AD Account.
Verwenden Sie die Daten aus Ihrem Active Directory auch in anderen Systemen?
Oder haben Sie daran gedacht, diese Daten effektiver zu verwenden?
Ungenutzt, Unvollständig, Deaktiviert, Leer.
Es lohnt sich zu wissen, was in Ihrem Active Directory vorgeht.
Die Datenqualität ist aus verschiedenen Gründen bedeutend, wir haben einige Punkte zusammengefasst.
Sicherheit – Sie wollen wissen:
Delegation und Automatisierung – Sie brauchen:
Datenqualität und Verwaltung – Sie interessieren sich für:
Migration – Sie planen:
Wir empfehlen Ihnen zwei Möglichkeiten:
Wir möchten, dass Sie sich der Bedeutung des Verzeichnisdienstes Active Directory bewusst werden.
Unsere AD Consultants unterstützen Sie mit Erfahrung bei der Planung Ihrer Zieldatenqualität.
Die Integration oder Verbindung weiterer Systeme wird dadurch deutlich einfacher.
Kontaktieren Sie uns, wenn Sie mehr wissen wollen oder beginnen Sie mit dem FirstWare AD Inspector eine erste Analyse.
Nutzen Sie unser kostenloses Active Directory Analyse Tool, um Abfragen gegen Ihr Active Directory zu machen.
Die Software ist selbsterklärend und ermöglicht Ihnen 17 verschiedene Reports.
FirstWare AD Inspector unterstützt nun neben dem CSV- auch einen Excel-Export.
Die Benutzerobjekte können so konfiguriert werden, dass die Kennwörter trotz aktiver Passwort-Policy nie ablaufen.
Nie ablaufende Kennwörter sind ein Sicherheitsrisiko.
Die Kennwörter der Benutzer sollten sich regelmäßig ändern. Meistens tauchen hier lediglich Dienstkonten auf, da sonst der Dienst nicht mehr funktioniert, wenn das Kennwort abgelaufen ist.
Active Directory Gruppen können sowohl Benutzerobjekte wie auch andere Gruppenobjekte aufnehmen. Bei der Schachtelung von Gruppen ist für den Administrator nicht sofort ersichtlich, welche effektiven Benutzerobjekte Mitglied dieser Gruppe sind. Berechtigungen können so unbewusst an Benutzer vergeben werden, welche nicht dazu berechtigt sind. Mit dieser Analyse erhalten Sie einen Überblick, wie stark die Verschachtelung von Gruppen innerhalb Ihres Active Directorys verwendet wird. Eine zu hohe Verschachtelung sollte vermieden werden, da ansonsten der Überblick schnell verloren gehen kann.
Nutzen Sie dynamische Gruppen zur Automatisierung von Gruppenmitgliedschaften.
Gruppen des Active Directorys, die keine Mitglieder mehr haben, werden in vielen Fällen nicht mehr benötigt. Mit dieser Analyse können Sie sich alle Gruppen ausgeben lassen, welche keine Mitglieder mehr enthalten.
Sie können im Einzelfall entscheiden, ob die Gruppe gelöscht werden kann.
Gerade in Bezug auf eine bevorstehende Active Directory Migration ist es sinnvoll, überflüssige Elemente aus dem Active Directory zu entfernen.
Eine Analyse der leeren Gruppen ist daher notwendig.
Mit dieser Analyse können Sie prüfen, bei welchem Ihrer Benutzerobjekten die wichtigsten Attribute nicht gefüllt sind.
Das Active Directory ist ein LDAP basierter Verzeichnisdienst und wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Weitere Anwendungen können Sie mit dem AD-Attribute verbinden.
Daher ist es sinnvoll, die Adress- und Telefoninformationen der Benutzerobjekte innerhalb des Active Directorys mit geordneten und aktuellen Daten zu versehen (Datenqualität).
Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte „Required User Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste ggf. löschen. Über das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.
Screenshot der Konfiguration: AD-Inspector-Parameter
Damit zukünftig alle relevanten Informationen innerhalb des Active Directorys vorhanden sind, können Sie mit Hilfe von FirstWare IDM-Portal übersichtlich und schnell Active Directory Daten pflegen.
Die Active Directory Administration folgt somit Ihren Vorgaben und Sie müssen nicht mehr alle Informationen manuell eintragen. Hinterlegen Sie z.B. Standorte zur einfachen Auswahl im Pull-Down-Menu, um inkonsistente Datensätze zu vermeiden.
Sie können die Administration an die Datenverantwortlichen delegieren.
Die Kontakte dienen innerhalb des Active Directorys zur Speicherung von Adress- und Telefoninformationen, die in der Regel zu externen Personen gehören. Mit unter tauchen Kontakte bei Exchange Mail-Systemen auch innerhalb des Adressbuchs auf, sofern dies gewünscht ist. Firmen legen zusätzliche Adressbücher für externe Kontakte an, damit das Standard-Adressbuch lediglich die internen Mitarbeiter führen und es über das Mail-System einen Zugriff auf externe Kontakte gibt. Mit Hilfe diese Analyse können Sie sich alle Kontaktobjekte ausgeben lassen, bei denen mindestens ein erforderliches Attribut fehlt.
Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Attribute, welche in der Spalte „Required Contact Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste löschen. Über das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.
Die Active Directory Administration der Kontakte kann delegiert werden, sodass einzelne Bereiche ihre eigenen Adressbücher pflegen können. Zur Delegation der Adressbuchverwaltung können Sie mit Hilfe unserer Software FirstWare IDM-Portal eigene Oberflächen für verschiedene Anwender-Rollen erstellen. Diese können Sie auch an nicht IT-Mitarbeiter delegieren.
Das Active Directory ist ein LDAP basierter Verzeichnisdienst. Dieser wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Daher ist es sinnvoll, die Adress- und Telefoninformationen der Benutzerobjekte innerhalb des Active Directorys mit aktuellen Daten zu versehen. Mit dieser Analyse können Sie prüfen, welche Ihrer Benutzerobjekte die wichtigsten Attribute nicht gefüllt hat.
Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte „Required User Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste löschen. Mit Klick auf das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.
Das Active Directory ist ein LDAP basierter Verzeichnisdienst und wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Daher ist es sinnvoll, die Kontakte innerhalb des Active Directorys mit ordentlichen und aktuellen Daten zu versehen. Mit dieser Analyse können Sie prüfen, bei welchen Ihrer Kontakte die wichtigsten Attribute nicht gefüllt sind.
Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte „Required Contact Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste auch löschen. Über das Symbol mit der Diskette können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.
Diese Analyse liefert Ihnen alle Benutzerkonten, die innerhalb der letzten x Tage neu angelegt wurden. Die Anzahl der Tage können Sie über die Schaltfläche Konfiguration bearbeiten vorgeben.
Eine Analyse zu allen Benutzerkonten, die sich innerhalb der letzten x Tage nicht mehr an der Domäne angemeldet haben. Über die Schaltfläche Konfiguration bearbeiten können Sie die Anzahl der Tage festlegen.
Dieser Report ermöglicht Ihnen eine kurze Active Directory Analyse zu allen Computerkonten, die sich innerhalb der letzten x Tage nicht mehr an der Domäne angemeldet haben. Über die Schaltfläche Konfiguration bearbeiten können Sie die Anzahl der Tage festlegen.
Diese Analyse liefert Ihnen alle Benutzerkonten, die im Augenblick gesperrt sind. Ein Benutzerkonto wird gesperrt, wenn die Anzahl der zulässigen Versuche überschritten ist, um sich an der Domäne mit dem richtigen Kennwort anzumelden. Das Entsperren eines Benutzerkontos kann mit Hilfe unseres FirstWare IDM-Portals an Verantwortliche delegiert werden, die vielleicht weniger oder auch gar kein IT-Knowhow besitzen.
Mit unserem Werkzeug können Sie sehr einfach eine Oberfläche zur Active Directory Delegation erstellen. Sie können so das Entsperren von Benutzerkonten (bezogen auf einzelne Organisationseinheiten Ihres Active Directorys) problemlos an Nicht-IT Mitarbeiter delegieren.
Mit dieser Active Directory Analyse erfahren Sie, welche Benutzerkonten derzeit deaktiviert sind.
Die Anaylse liefert Ihnen alle Computerkonten, welche derzeit deaktiviert sind.
Diese Analyse zeigt Ihnen alle Benutzerkonten an, deren Kennwörter innerhalb der letzten x Tage nicht geändert worden sind. Die Anzahl der Tage können Sie über die Schaltfläche Konfiguration bearbeiten vorgeben.
Dieser Report liefert Ihnen alle Loginnamen. Welche innerhalb Ihres Forests vorkommen, sofern Sie lediglich eine Active Directory Domäne betreiben. Es können keine Loginnamen mehrfach auftreten, da dies bereits beim Anlegen der Konten geprüft wird. Sollten Sie aber mehrere Domänen betreiben, kann es durchaus vorkommen, dass hier gleiche Loginnamen verwendet werden. In vielen Fällen macht es Sinn, dies zu unterbinden, sodass jeder Loginname im gesamten Forest nur ein mal vorkommt.
Der Kerberos Logon Name enthält in der Regel neben Benutzernamen auch den Domänennamen in folgender Form: username@ADDomain.xxx. Der Kerberos Logon Name sollte innerhalb des Active Directory Forests eindeutig sein. Bei der oben angesprochenen Struktur wird er dies auch sicherlich sein.
Die Analyse der Gruppenmitgliedschaften liefert Ihnen zwei Informationen zurück:
Geschachtelte Gruppen sind Gruppen, in denen Sie indirekt Mitglied sind, weil Sie in einer Gruppe eingetragen sind, welche selber in einer oder mehreren Gruppen als Mitglied eingetragen ist.
Die Schachtelung von Gruppen kann dazu führen, dass Ihr Benutzerobjekt Berechtigungen bekommt, die aufgrund einer geschachtelten Gruppe vergeben wird. Es ist daher sinnvoll, die Anzahl der Schachtelungen nicht zu übertreiben, damit die Übersicht der effektiven Berechtigungen nicht verloren geht.
Ein Benutzerobjekt kann maximal in ~1020 Gruppen Mitglied werden. Hier werden sowohl die direkten als auch die indirekten Gruppenmitgliedschaften berechnet. Sofern Sie einen Benutzer in mehr als ~1020 Gruppen als Mitglied eingetragen haben, greifen nicht mehr alle Mitgliedschaften, da das Token zum Speichern der Mitgliedschaften einfach voll ist. Der Effekt ist dann, dass Sie jemanden in eine Gruppe eintragen, die gewünschte Berechtigung aber einfach nicht vergeben wird.
© 2025 · FirstAttribute AG.