• Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch
FirstWare IDM-PortalFirstWare IDM-Portal
FirstWare IDM-PortalFirstWare IDM-Portal
User Driven
Identity Management
  • Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch

Active Directory analysieren

Kostenlos AD analysieren und Clean-up planen

Die Benutzer- und Gruppeninformationen in einem gewachsenen Active Directory haben meist eine sehr unterschiedliche Qualität.
Gute Datenqualität im AD ist ein Sicherheitsaspekt. Zugleich ist es auch die Voraussetzung für eine gelungene Anbindung

an andere Systeme (Personaldaten, Intranet-Telefonbuch).

 

Active-Directory-Analyse

Warum lohnt sich eine Active-Directory-Analyse bzw. ein AD Check-up?

Jeder nutzt das Active Directory

Jeder Anwender authentisiert sich gegen das AD und hat damit auch einen AD Account.
Verwenden Sie die Daten aus Ihrem Active Directory auch in anderen Systemen?
Oder haben Sie daran gedacht, diese Daten effektiver zu verwenden?

Datenqualität im Active Directory

Ungenutzt, Unvollständig, Deaktiviert, Leer.
Es lohnt sich zu wissen, was in Ihrem Active Directory vorgeht.
Die Datenqualität ist aus verschiedenen Gründen bedeutend, wir haben einige Punkte zusammengefasst.

Sicherheit – Sie wollen wissen:

  • welche Konten nicht genutzt werden
  • welche Computer gesperrt sind
  • wer sein Kennwort nicht ändert
  • ob es leere Gruppen gibt
  • welche verschachtelten Gruppen vorhanden sind
  • Sie wollen keine doppelten Login-Namen innerhalb eines Forests zulassen.

Delegation und Automatisierung – Sie brauchen:

  • Informationen, ob Benutzer bestimmte Attribute gefüllt haben
  • automatisierte Berechtigungen (z. Bsp. dynamische Gruppenmitgliedschaften)
  • standardisierte Delegation der AD Administration
  • Verbindung zu anderen Systemen mit Active Directory, um Daten auszutauschen

Datenqualität und Verwaltung – Sie interessieren sich für:

  • standardisierte Benutzerverwaltung mit zusätzlichen Attributen
  • Erweiterung Ihres AD um Identity Management Funktionen
  • Übersicht über unvollständige Datensätze
  • konkrete Fakten, um Ihrem Chef Auskunft geben zu können
  • Intranet-Telefonbuch auf AD-Datenbasis

Migration – Sie planen:

  • Umstellung oder Migration in eine andere AD-Domäne

Möglichkeiten: Von der Analyse zu hoher Datenqualität im AD

Wie können Sie die unvollständigen oder fehlerhaften Daten finden und verbessern?

 

Wir empfehlen Ihnen zwei Möglichkeiten:

 

Moeglichkeiten-Active-Directory-Analyse

1. Überprüfen Sie Ihr AD mit dem kostenfreien AD Inspector
Sie erhalten einen Überblick durch verschiedene Reports, die Sie auch als Excel-Dokument zur weiteren Verarbeitung speichern können.

2. Planen Sie einen AD Check-up mit Experten
Wenn Sie sich einen Überblick verschafft haben, können Sie gern unsere AD-Spezialisten zu Rate ziehen.

Wir möchten, dass Sie sich der Bedeutung des Verzeichnisdienstes Active Directory bewusst werden.
Unsere AD Consultants unterstützen Sie mit Erfahrung bei der Planung Ihrer Zieldatenqualität.
Die Integration oder Verbindung weiterer Systeme wird dadurch deutlich einfacher.

Kontaktieren Sie uns, wenn Sie mehr wissen wollen oder beginnen Sie mit dem FirstWare AD Inspector eine erste Analyse.

FirstWare AD Inspector: Kostenlose AD Analyse Software

AD Reporting mit unserem kostenlosen Tool

Nutzen Sie unser kostenloses Active Directory Analyse Tool, um Abfragen gegen Ihr Active Directory zu machen.
Die Software ist selbsterklärend und ermöglicht Ihnen 17 verschiedene Reports.
FirstWare AD Inspector unterstützt nun neben dem CSV- auch einen Excel-Export.

 

FirstWare AD Inspector - AD Analyse Tool

 

Benutzerobjekte mit nicht ablaufenden Kennwörtern

Die Benutzerobjekte können so konfiguriert werden, dass die Kennwörter trotz aktiver Passwort-Policy nie ablaufen.

Nie ablaufende Kennwörter sind ein Sicherheitsrisiko.

Die Kennwörter der Benutzer sollten sich regelmäßig ändern. Meistens tauchen hier lediglich Dienstkonten auf, da sonst der Dienst nicht mehr funktioniert, wenn das Kennwort abgelaufen ist.

Gruppen-Verschachtelungsinformationen

Active Directory Gruppen können sowohl Benutzerobjekte wie auch andere Gruppenobjekte aufnehmen. Bei der Schachtelung von Gruppen ist für den Administrator nicht sofort ersichtlich, welche effektiven Benutzerobjekte Mitglied dieser Gruppe sind. Berechtigungen können so unbewusst an Benutzer vergeben werden, welche nicht dazu berechtigt sind. Mit dieser Analyse erhalten Sie einen Überblick, wie stark die Verschachtelung von Gruppen innerhalb Ihres Active Directorys verwendet wird. Eine zu hohe Verschachtelung sollte vermieden werden, da ansonsten der Überblick schnell verloren gehen kann.

Nutzen Sie dynamische Gruppen zur Automatisierung von Gruppenmitgliedschaften.

Leere Gruppen

Gruppen des Active Directorys, die keine Mitglieder mehr haben, werden in vielen Fällen nicht mehr benötigt. Mit dieser Analyse können Sie sich alle Gruppen ausgeben lassen, welche keine Mitglieder mehr enthalten.

Sie können im Einzelfall entscheiden, ob die Gruppe gelöscht werden kann.

Gerade in Bezug auf eine bevorstehende Active Directory Migration ist es sinnvoll, überflüssige Elemente aus dem Active Directory zu entfernen.

Eine Analyse der leeren Gruppen ist daher notwendig.

Benutzerkonten, denen mindestens ein erforderliches Attribut fehlt

Mit dieser Analyse können Sie prüfen, bei welchem Ihrer Benutzerobjekten die wichtigsten Attribute nicht gefüllt sind.

Das Active Directory ist ein LDAP basierter Verzeichnisdienst und wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Weitere Anwendungen können Sie mit dem AD-Attribute verbinden.

Daher ist es sinnvoll, die Adress- und Telefoninformationen der Benutzerobjekte innerhalb des Active Directorys mit geordneten und aktuellen Daten zu versehen (Datenqualität).

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte „Required User Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste ggf. löschen. Über das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.

Screenshot der Konfiguration: AD-Inspector-Parameter

AD Inspector - Konfiguration

Damit zukünftig alle relevanten Informationen innerhalb des Active Directorys vorhanden sind, können Sie mit Hilfe von FirstWare IDM-Portal übersichtlich und schnell Active Directory Daten pflegen.

Die Active Directory Administration folgt somit Ihren Vorgaben und Sie müssen nicht mehr alle Informationen manuell eintragen. Hinterlegen Sie z.B. Standorte zur einfachen Auswahl im Pull-Down-Menu, um inkonsistente Datensätze zu vermeiden.

Sie können die Administration an die Datenverantwortlichen delegieren.

Kontakte, denen mindestens ein erforderliches Attribut fehlt

Die Kontakte dienen innerhalb des Active Directorys zur Speicherung von Adress- und Telefoninformationen, die in der Regel zu externen Personen gehören. Mit unter tauchen Kontakte bei Exchange Mail-Systemen auch innerhalb des Adressbuchs auf, sofern dies gewünscht ist. Firmen legen zusätzliche Adressbücher für externe Kontakte an, damit das Standard-Adressbuch lediglich die internen Mitarbeiter führen und es über das Mail-System einen Zugriff auf externe Kontakte gibt. Mit Hilfe diese Analyse können Sie sich alle Kontaktobjekte ausgeben lassen, bei denen mindestens ein erforderliches Attribut fehlt.

 

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Attribute, welche in der Spalte „Required Contact Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste löschen. Über das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.

 

Die Active Directory Administration der Kontakte kann delegiert werden, sodass einzelne Bereiche ihre eigenen Adressbücher pflegen können. Zur Delegation der Adressbuchverwaltung können Sie mit Hilfe unserer Software FirstWare IDM-Portal eigene Oberflächen für verschiedene Anwender-Rollen erstellen. Diese können Sie auch an nicht IT-Mitarbeiter delegieren.

Benutzerkonten, die alle erforderlichen Attribute gefüllt haben

Das Active Directory ist ein LDAP basierter Verzeichnisdienst. Dieser wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Daher ist es sinnvoll, die Adress- und Telefoninformationen der Benutzerobjekte innerhalb des Active Directorys mit aktuellen Daten zu versehen. Mit dieser Analyse können Sie prüfen, welche Ihrer Benutzerobjekte die wichtigsten Attribute nicht gefüllt hat.

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte „Required User Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste löschen. Mit Klick auf das Diskettensymbol können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.

Kontakte, die alle erforderlichen Attribute gefüllt haben

Das Active Directory ist ein LDAP basierter Verzeichnisdienst und wird gerne als Adressbuch für Mail-Systeme verwendet. Die Inhalte des Microsoft Exchange Adressbuchs stammen z.B. aus dem Active Directory. Daher ist es sinnvoll, die Kontakte innerhalb des Active Directorys mit ordentlichen und aktuellen Daten zu versehen. Mit dieser Analyse können Sie prüfen, bei welchen Ihrer Kontakte die wichtigsten Attribute nicht gefüllt sind.

Die Konfiguration der zu prüfenden Attribute können Sie über die Schaltfläche Konfiguration bearbeiten vornehmen. Die Attribute, welche in der Spalte „Required Contact Attributes“ aufgeführt sind, werden somit als Pflichtfelder innerhalb der Analyse definiert. Sie können die Zeilen editieren und nach dem Markieren mit der linken Maustaste auch löschen. Über das Symbol mit der Diskette können Sie die getroffene Konfiguration als Default-Werte dauerhaft hinterlegen. Durch Betätigung des grünen Übernehmen-Symbols bleibt die Konfiguration lediglich bis zum Schließen der Anwendung erhalten.

Neu erstellte Benutzerkonten innerhalb der letzten X Tage

Diese Analyse liefert Ihnen alle Benutzerkonten, die innerhalb der letzten x Tage neu angelegt wurden. Die Anzahl der Tage können Sie über die Schaltfläche Konfiguration bearbeiten vorgeben.

Nicht angemeldete Benutzerkonten innerhalb der letzten X Tage

Eine Analyse zu allen Benutzerkonten, die sich innerhalb der letzten x Tage nicht mehr an der Domäne angemeldet haben. Über die Schaltfläche Konfiguration bearbeiten können Sie die Anzahl der Tage festlegen.

Nicht angemeldete Computerkonten innerhalb der letzten X Tage

Dieser Report ermöglicht Ihnen eine kurze Active Directory Analyse zu allen Computerkonten, die sich innerhalb der letzten x Tage nicht mehr an der Domäne angemeldet haben. Über die Schaltfläche Konfiguration bearbeiten können Sie die Anzahl der Tage festlegen.

Gesperrte Benutzerkonten

Diese Analyse liefert Ihnen alle Benutzerkonten, die im Augenblick gesperrt sind. Ein Benutzerkonto wird gesperrt, wenn die Anzahl der zulässigen Versuche überschritten ist, um sich an der Domäne mit dem richtigen Kennwort anzumelden. Das Entsperren eines Benutzerkontos kann mit Hilfe unseres FirstWare IDM-Portals an Verantwortliche delegiert werden, die vielleicht weniger oder auch gar kein IT-Knowhow besitzen.

 

Mit unserem Werkzeug können Sie sehr einfach eine Oberfläche zur Active Directory Delegation erstellen. Sie können so das Entsperren von Benutzerkonten (bezogen auf einzelne Organisationseinheiten Ihres Active Directorys) problemlos an Nicht-IT Mitarbeiter delegieren.

Deaktivierte Benutzerkonten

Mit dieser Active Directory Analyse erfahren Sie, welche Benutzerkonten derzeit deaktiviert sind.

Deaktivierte Computerkonten

Die Anaylse liefert Ihnen alle Computerkonten, welche derzeit deaktiviert sind.

Konten mit nicht geänderten Kennwörtern innerhalb der letzten X Tage

Diese Analyse zeigt Ihnen alle Benutzerkonten an, deren Kennwörter innerhalb der letzten x Tage nicht geändert worden sind. Die Anzahl der Tage können Sie über die Schaltfläche Konfiguration bearbeiten vorgeben.

Doppelte Loginnamen im Forest

Dieser Report liefert Ihnen alle Loginnamen. Welche innerhalb Ihres Forests vorkommen, sofern Sie lediglich eine Active Directory Domäne betreiben. Es können keine Loginnamen mehrfach auftreten, da dies bereits beim Anlegen der Konten geprüft wird. Sollten Sie aber mehrere Domänen betreiben, kann es durchaus vorkommen, dass hier gleiche Loginnamen verwendet werden. In vielen Fällen macht es Sinn, dies zu unterbinden, sodass jeder Loginname im gesamten Forest nur ein mal vorkommt.

Doppelte Kerberos Login Namen im Forest (User Prinicipal Name)

Der Kerberos Logon Name enthält in der Regel neben Benutzernamen auch den Domänennamen in folgender Form: username@ADDomain.xxx. Der Kerberos Logon Name sollte innerhalb des Active Directory Forests eindeutig sein. Bei der oben angesprochenen Struktur wird er dies auch sicherlich sein.

Gruppenmitgliedschaften eines Benutzers

Die Analyse der Gruppenmitgliedschaften liefert Ihnen zwei Informationen zurück:

  • in wie vielen Gruppen Ihr Benutzerobjekt direktes Mitglied ist und
  • in wie vielen geschachtelten Gruppen (TokenGroups) das Benutzerobjekt indirekt Mitglied ist

Geschachtelte Gruppen sind Gruppen, in denen Sie indirekt Mitglied sind, weil Sie in einer Gruppe eingetragen sind, welche selber in einer oder mehreren Gruppen als Mitglied eingetragen ist.

Die Schachtelung von Gruppen kann dazu führen, dass Ihr Benutzerobjekt Berechtigungen bekommt, die aufgrund einer geschachtelten Gruppe vergeben wird. Es ist daher sinnvoll, die Anzahl der Schachtelungen nicht zu übertreiben, damit die Übersicht der effektiven Berechtigungen nicht verloren geht.

Ein Benutzerobjekt kann maximal in ~1020 Gruppen Mitglied werden. Hier werden sowohl die direkten als auch die indirekten Gruppenmitgliedschaften berechnet. Sofern Sie einen Benutzer in mehr als ~1020 Gruppen als Mitglied eingetragen haben, greifen nicht mehr alle Mitgliedschaften, da das Token zum Speichern der Mitgliedschaften einfach voll ist. Der Effekt ist dann, dass Sie jemanden in eine Gruppe eintragen, die gewünschte Berechtigung aber einfach nicht vergeben wird.

Kontakt

Sie erreichen uns unter

+49 89 215 442 40

oder über unser

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • AGBs und EULA
  • Datenschutzerklärung
  • Impressum
  • Kontakt

News

  • Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory
  • IT-Administrator bewertet FirstWare IDM-Portal
  • Gruppen in Azure AD richtig organisieren, da es keine OUs gibt
  • Mitarbeiterverzeichnis für große Kliniken
  • Nutzerattribute in Active Directory und Azure AD zentral pflegen
  • User-Onboarding im AD und HR-System automatisieren

© 2023 · FirstAttribute AG.