ComputerBase Menü
Aktuelles

Nutzung von Active Directory Gruppen abfragen?

D

Dan316

Lt. Junior Grade
Registriert
Jan. 2012
Beiträge
321
Hallo zusammen,

ich würde gerne eine Abfrage (Powershell?) erstellen / nutzen, welche anzeigt, welche User eine bestimmte Active Directoy Gruppe (in welcher Sie auch Mitglied sind) genutzt haben.

Ist das überhaupt möglich?

Hintergrund ist, dass wir aktuell unsere Strukur überarbeiten. Wir vergeben Berechtigungen per AD Gruppe an User und möchten herausfinden, wie oft diese Berechtigung(en) tatsächlich benötigt (abgefragt) wurde- und wenn möglich, auch von wem.


Danke vorab für jegliche Vorschläge.
 
Ich glaube das würde wohl über die Verzeichnis überwachung gehen, aber die muss erst mal eingerichtet werden
 
.... eh?

Irgendwas läuft da gewaltig schief. Berechtigungen kriegt man nicht, weil man sie abfragen könnte. Berechtigungen kriegt man, weil man sie haben muß, bzw braucht, bzw weil sie einem zustehen. Das ist ein logisches Modell, was man dann natürlich irgendwie umsetzen muß.

Es ist aber egal, welcher Benutzer am Ende woher was bekommt, solange nur sichergestellt ist, daß das, WAS er bekommt, auch das ist, was er -semantisch- haben sollte. Sonst könnte man für JEDER einfach Vollzugriff erlauben, dann kriegen die schon das, was sie brauchen (alles andere aber auch).


Für den Fall, daß was damit nicht stimmt, weil Benutzer Dinge dürfen, die sie eigentlich NICHT dürfen sollten, und ggf andersherum Dinge NICHT tun können, die sie eigentlich tun können MÜßTEN....

... müßtet ihr die AD-Gruppenstruktur analysieren, gucken, ob die das, was da ist, logisch korrekt abbildet, ob also alle "realen" Rollen durch Rollengruppen modelliert sind (und zum Beispiel Chefchen ein Mitglieder der "Chefchen"-Gruppe ist oder ob der es nur bis in die "Praktikanten" geschafft hat, in welchem Fall ihm wohl das Chefchen-Sein schwerfallen würde).

Danach schauen, wie die Ressourcengruppen verteilt sind. Das ist ebenfalls erstmal eine pure logische Geschichte, sprich, es muß sichergestellt sein, daß auf einer Ressource (Datei, Drucker, was weiß ich) Rechte vergeben sind für die Rollen -- dafür gibt es die Ressourcengruppen. Sinngemäß: "Chefchen_darf_lesen! als Gruppe könnte man dem Dateipfad mit Projektinformationen zuordnen; schreiben dürfen Chefchens da nicht drin, aber sie müssen wissen was geht, ergo kriegt \Projekte die Gruppe "Chefchen_darf_lesen" mit, man ahnt es, LESEN-Berechtigungen.


Dazu muß man natürlich erstmal seine Geschäftsprozesse kennen und wissen, wer was wo wie tun können MUSS und wer was wo wie nicht und wie das alles miteinander zusammenhängt.

Auf dieser Basis baut man sich dann seine Rollengruppen und Ressourcengruppen und dann gibt es am Ende nur genau zwei Möglichkeiten:

-a- Es funktioniert wie es soll, dann hat man alles richtig gemacht.
-b- Es funktioniert NICHT wie es soll, dann muß man überprüfen, ob die realen Modelle per Gruppensystematik nicht richtig abgebildet wurde oder ob man ggf irgendwo was falsch zugeordnet hatte.
 
@RalphS
Das mag in kleinen Unternehmen so sein. In größeren macht es durchaus Sinn, die Berechtigungen zu prüfen und ggf. den Zugriff zu entfernen, wenn diese nicht benutzt werden.

@Dan316
Uns wurde mal eine Software vorgestellt, die das kann - es gibt also etwas derartiges. Das ist allerdings schon zwei Jahre her, und ich kann mich leider nicht erinnern, wie die Software hieß. Eigentlich sollte sie in unserem Fall zu Verzeichnisüberwachung eingesetzt werden, also z.B. eine Warnung ausgeben, wenn ein Useraccount gleichzeitig aus verschiedenen Standorten auf eine Datei zugreift, um Sicherheitsvorfälle rechtzeitig erkennen zu können. Aus Kostengründen wurde das aber nicht weiterverfolgt.
 
Huh, okay, von mir aus gerne.

Mir würde sowas gerade in größeren Unternehmen nicht passieren. Da sieht man doch überhaupt nicht mehr durch und MUß sich buchstäblich darauf verlassen, daß das, was man da tut, auch "richtig" ist.

Dann nehm ich jetzt ne Gruppe weg.... und dann? Nee, sorry. Es gibt imo nicht den GERINGSTEN Grund, da irgendwas rumzufurwerken, es sei denn natürlich, man will die gesamte Architektur über den Haufen werfen und neu implementieren.



Was man aber natürlich immer machen kann: durch die Gruppen durchgehen und sich fragen, ob "diese" oder "jene" Gruppe noch sinnvoll ist. Wenn wir fünf AD-Gruppen haben, die alle mögliche Arten und Berechtigungsstufen für Praktikanten definieren sollen, und wir stellen aber gar keine Praktikanten mehr ein und werden das absehbar auch nicht, dann können die sicherlich weg.

Was aber zB nicht geht, daß ich sag okay ich hab hier ne Gruppe Mauer, aber sag mal hier meine Gruppe Elektriker, die kann doch scheinbar dasselbe. Schmeißen wir das doch zusammen --- dann geht das mit ziemlicher Sicherheit in die Hose, wenn man nicht genau hinterher ist. Besser an dieser Stelle eine Gruppe "Handwerker" zu bauen, der das zu geben, wo man sieht, aha das haben Mauer und Elektriker beide gleichermaßen, und dann die beiden Gruppen da reinstopfen.

Denn Maurer sind keine Elektriker, und im schlimmsten Fall dürfen dann die einen notwendige Dinge nicht mehr tun und die anderen können plötzlich Kabel ziehen, wozu sie vielleicht gar nicht befugt sein sollten.
 
Zuletzt bearbeitet von einem Moderator:
RalphS schrieb:
Mir würde sowas gerade in größeren Unternehmen nicht passieren. Da sieht man doch überhaupt nicht mehr durch und MUß sich buchstäblich darauf verlassen, daß das, was man da tut, auch "richtig" ist.
Zum Vergrößern anklicken....

Je größer das Unternehmen, um so schwieriger ist das auch. Oftmals werden die Zugriffe auch über FIM (Forefront Identity Manager) oder Nachfolgeprodukte geregelt, bei dem man selbst Zugriff auf Ressourcen beantragen kann und der Genehmiger das Data Owner ist. In so einem Fall geht das sogar an der IT vorbei.

Du siehst das zu schwarzweiß. Bei übergreifenden Projekten gibt es durchaus Personen, die Zugriff auf Verzeichnisse haben müssen, und trotzdem keine Maurer oder Elektriker sind. Jemand wechselt die Abteilung, braucht aber trotzdem noch Zugriff auf Dokumente der anderen Abteilung, zumindest für einen gewissen Zeitraum. Sinnvoll ist eine Rechtevergabe mit so wenig Rechten wie notwendig. Wenn man Anwender fragt, ob sie dies oder das brauchen, sagen sie immer 'ja'. Ob sie das letztendlich tatsächlich tun, steht auf einem anderen Blatt.

BTW: Eigentlich sollte man auch keine Berechtigungsstufen für Praktikanten einrichten. Wir haben Berechtigungsgruppen (Domain Local Groups), die den Zugriff auf Ressourcen regeln (READ/MODIFY) und organisatorische Gruppen (Global/Universal Groups), die in diese Berechtigungsgruppen eingetragen werden. Es gibt über Berechtigungskonzepte ein sehr gutes Buch von Microsoft, das müßte ich noch irgendwo rumfliegen haben...

EDIT: "Windows Administration - Productivity Solutions for IT Professionals" von Dan Holme. Evtl. gibt's davon eine Neuauflage - meins ist von 2008.
 
Zuletzt bearbeitet:
Vielen Dank für die Antworten.

Es geht auch nicht um eine Grundsatzdiskussion: Der Chef möchte eine entsprechende Auswertung haben. Und damit hat es sich auch schon, Sinn oder Unsinn sei mal dahingestellt.

Frightener schrieb:
@Dan316
Uns wurde mal eine Software vorgestellt, die das kann - es gibt also etwas derartiges. Das ist allerdings schon zwei Jahre her, und ich kann mich leider nicht erinnern, wie die Software hieß. Eigentlich sollte sie in unserem Fall zu Verzeichnisüberwachung eingesetzt werden, also z.B. eine Warnung ausgeben, wenn ein Useraccount gleichzeitig aus verschiedenen Standorten auf eine Datei zugreift, um Sicherheitsvorfälle rechtzeitig erkennen zu können. Aus Kostengründen wurde das aber nicht weiterverfolgt.
Zum Vergrößern anklicken....

Frightener schrieb:
EDIT: "Windows Administration - Productivity Solutions for IT Professionals" von Dan Holme. Evtl. gibt's davon eine Neuauflage - meins ist von 2008.
Zum Vergrößern anklicken....

Danke für den Tipp, ich schaue es mir mal an!
 
8Man haben wir auch im Einsatz, damit habe ich allerdings nichts zu tun. Ich kann mal die Kollegen fragen, ob das zu bewerkstelligen ist.
 
Hi,

über 8Man können nur Zugriffe auf das Filesystem protokolliert werden, siehe8MATE FS Logga. Beachte, aber, dass innerhalb kurzer Zeit eine beachtliche Menge an Einträgen anfallen. Aus diesem Grund setzen wir dieses Feature aktuell nicht ein. Die "Nutzung" von AD-Gruppen kann über 8Man nicht erfasst werden. Es können nur Änderungen an diesen, auch welche außerhalb von 8Man erfolgt sind, protokolliert werden und du kannst nachvollziehen, von wem diese erfolgt sind.
 
Zuletzt bearbeitet:
Frightener schrieb:
Je größer das Unternehmen, um so schwieriger ist das auch. (...) In so einem Fall geht das sogar an der IT vorbei. (...) Ob sie das letztendlich tatsächlich tun, steht auf einem anderen Blatt. (...) Eigentlich sollte man auch keine Berechtigungsstufen für Praktikanten einrichten.
Zum Vergrößern anklicken....

Ich weiß dass du tief in der IT steckst, aber das klingt für mich so als hättet ihr kein vernünftiges Bestellsystem für Berechtigungen. Es geht die IT gar nicht an wer auf welches Verzeichnis Zugriff hat. Das hat alleine der Owner zu entscheiden. Und wenn der Owner für den Praktikanten den Zugriff zulässt, dann ist das so und gehört nicht hinterfragt! Wenn der Account des Praktikanten nach dem Praktikum weiterhin aktiv bleibt ist das ein Fehler der bei HR zu suchen ist. Wird der Praktikant zu einem Internal bekommt er einen neuen Account verpasst. Geschieht dies nicht --> Schuld bei HR suchen.

Die IT stellt nur das Gerüst zur Verfügung, über Zugriffe etc. entscheiden andere Personen!
 
Ich gebe Dir natürlich Recht , da habe ich mich falsch oder zumindest mißverständlich ausgedrückt. Bis zur Einführung von 8man haben wir als IT Bestellungen für den Zugriff auf Verzeichnisse bekommen - teils vom Data Owner, teils von Anwendern, die den Zugriff haben wollten. In letzterem Fall mußten wir wiederum beim Data Owner die Genehmigung einholen. Die Rechtevergabe haben wir nun an die Dataowner delegiert.

Hinterfragen kann man die Berechtigungen aber trotzdem. Wenn dieser Praktikant die Abteilung verläßt muß sich natürlich der Dataowner um den Entzug der Berechtigungen kümmern. Aber in diesem wie auch diversen anderen Fällen kann das auch mal jemand vergessen. Wenn es die technischen Möglichkeiten gibt, ist es durchaus ein Ansatz, die Berechtigungen automatisch zu entziehen, wenn X Monate kein Zugriff auf bestimmte Verzeichnisse erfolgt sind. Das können durchaus auch Vorgaben der Unternehmenssicherheit sein.

Ich könnte Dir noch andere Beispiele nennen, ich wollte aber eigentlich nur darlegen, daß es durchaus Vorgaben oder Voraussetzungen geben kann, die Berechtigungen zu 'hinterfragen'.

Mit Dynamic Access Control arbeiten wir nicht.

BTW: Mit 'Eigentlich sollte man auch keine Berechtigungsstufen für Praktikanten einrichten.' meinte ich, daß man dafür keine Domain Local Group (die auf die Ressource berechtigt ist) einrichten sollte, sondern eine organisatorische Global oder Universal Group und diese dann in die Donain Local Group packen sollte.
 
Zuletzt bearbeitet:
Frightener schrieb:
Wenn dieser Praktikant die Abteilung verläßt muß sich natürlich der Dataowner um den Entzug der Berechtigungen kümmern.
Zum Vergrößern anklicken....

Eigentlich muss sich nicht der Owner darum kümmern; der bekommt in den wenigsten Fällen mit dass jemand die Abteilung wechselt oder das Unternehmen verlässt.

  • Verlässt jemand das Unternehmen muss von HR die Kündigung beauftragt werden. Mit dieser Kündigung geht die Löschung des AD Users einher. Berechtigungen sind weg. Alles gut.
  • Wechselt jemand von Praktikant/External zu einem Internal, siehe Praktikant.
  • Wechselt ein Internal die Abteilung muss die abgebende Führungskraft dafür sorgen dass vergebene Berechtigungen entzogen werden. Im besten Fall gibt es einen digitalen Bestandsnachweis oder ein Rollenkonzept basierend auf AD-Gruppen (Bsp.: an "Entwickler"-Rolle hängen Zugriff auf Share A, B und C. Verlässt jemand die Entwickler Abteilung wird ihm die Entwickler-Rolle entzogen -> kein Zugriff mehr)
 
Du verstehst mich offensichtlich nicht. Grundsätzlich ist das ja auch so. Es gibt allerdings Ausnahmen, die eine Überprüfung rechtfertigen. Je nach Unternehmensorganisation ist ein derartiges Konzept nunmal nicht 100% umsetzbar.
 
Frightener schrieb:
Du verstehst mich offensichtlich nicht.
Zum Vergrößern anklicken....

Ich habe dich wirklich nicht verstanden. Jetzt allerdings schon.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

PEASANT KING
NAS im AD / Gruppen besitzen keine Rechte trotz Konfiguration
Antworten
2
Aufrufe
575
PEASANT KING
PEASANT KING
J
VPN und Active Directory
Antworten
8
Aufrufe
6.604
jb_alvarado
J
Kaito Kariheddo
Leserartikel Arch Linux - Schritt für Schritt Anleitung für Einsteiger
3 4 5
Antworten
84
Aufrufe
39.781
Floppy Disk 8"
F
S
  • Artikel
Leserartikel Synology - Active Backup for Microsoft365 M365 Office365 O365
Antworten
2
Aufrufe
12.293
SVΞN
SVΞN
ibm9001
Erfahrungsbericht: GPU Passthrough mit AMD Ryzen 5700G auf einem ITX Mainboard BIOSTAR B550T-Silver
Antworten
14
Aufrufe
8.537
ibm9001
ibm9001
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz