Das Active Directory aufräumen

Whitepaper: Microsoft Active Directory (AD) aufräumen

frontpage-mr-partnerprogramm

Die erste Version des AD wurde mit Windows 2000 im Jahre 2000 zur Verfügung gestellt. In vielen Unternehmen existiert das AD auch schon seit diesem Jahr. Das AD ist dabei das System in der Unternehmens-IT, das den meisten Veränderungen und Anpassungen unterworfen ist, weil kontinuierlich Accounts erzeugt, angepasst und gelöscht werden. Zudem werden Gruppen erstellt, miteinander verschachtelt, Rechte darüber vergeben und wieder entzogen.

Seit seiner Einführung hat das AD immer wieder Funktionserweiterungen erfahren, die hauseigenen Tools zur Verwaltung haben sich aber nicht in gleichem Umfang weiterentwickelt. Man kann über das Tool „Benutzer und Computer“ Objekte erzeugen und bearbeiten, allerdings bleiben die zugrundeliegenden Strukturen und großen Zusammenhänge verborgen, gearbeitet wird im Dunkeln.

Gruppen im AD – tendenziell immer viel zu viele

Man kann sich ein AD auf verschiedene Weisen strukturieren. Es gibt Strukturen, die sehr übersichtlich sind, weil sie einer hierarchischen Ordnung folgen – beispielsweise Organisationseinheiten im Unternehmen. Parallel gibt es aber auch noch die schwer zu durchdringenden Gruppenstrukturen, die über Jahre ohne eine klare Konvention gewachsen sind.

Diese Gruppen machen mit 80% den bei weitem größten Teil der AD-Objekte aus und sie wurden ausschließlich zur Steuerung von Berechtigungen im Filesystem erzeugt. Dabei ist das Filesystem selbst ständig starken Veränderungen unterworfen. Verzeichnisse, die gestern erstellt und mit Berechtigungsgruppen versehen wurden heißen heute ganz anders, liegen an einer anderen Stelle oder wurden wenige Stunden nach dem Erstellen schon wieder gelöscht. In den seltensten Fällen werden die Gruppen entsprechend angepasst bzw. ebenfalls gelöscht!

Auf jeden Nutzer kommen 2-3 Berechtigungsgruppen im AD

Unterm Strich kommen so auf einen einzelnen User etwa 2 bis 3 Berechtigungsgruppen im AD. Und das Schlimmste ist, dass man dieses undurchsichtige „Gruppengestrüpp“ weiterhin zur Steuerung von Sicherheitseinstellungen verwendet!

Dadurch sind Fehlkonfigurationen vorprogrammiert; denn mit den Microsoft Bordmitteln sind diese großen Gruppenstrukturen nachträglich kaum noch erfassbar. Die geordnete Suche nach Fehlern ist praktisch unmöglich.

Man kann die verschachtelten Gruppenberechtigungen mit einer russischen Matrjoschka-Puppe vergleichen: Man weiß nie ganz genau, welche und wie viele weitere Matrjoschkas sie enthält. Bezogen auf Zugriffsrechte bedeutet das: Man weist einer Gruppe ein Recht auf dem Filesystem zu und kann ohne aufwändige Analyse gar nicht erkennen, wen man da alles effektiv berechtigt wird. So kann es schnell passieren, dass man eigentlich einen kleinen Benutzerkreis über eine entsprechende Gruppe, z.B. „Personalabteilung“ berechtigen möchte. Und dann wird über eine Verschachtelung die Gruppe „Domänen-Benutzer“ in eben dieser Gruppe mitberechtigt. Im Ergebnis sind dann alle Accounts auf dem Verzeichnis der Personalabteilung berechtigt.

AD aufräumen, aber wie…
migRaven.one mit Graphen Datenbank kann mehr und das schneller

Kommt dann die Zeit, dass genau diese Strukturen – beispielsweise im Zuge der Einführung einer Identity & Access Management Lösung – bereinigt und aufgeräumt werden müssen, steht die IT-Abteilung vor einer schier unlösbaren Aufgabe.

migRaven.one stellt hier auf der Basis seiner auf der Graphentheorie basierenden neo4j-Datenbank ein einzigartiges Framework zur einfachen Analyse der Gruppen und Berechtigungen auf der Basis von logischen Ansätzen zur Verfügung.

Das Active Directory beinhaltet primär Objekte, die zueinander mehr oder weniger in Beziehung stehen. Das ist die Grundlage der Graphentheorie: User stehen über Gruppenmitgliedschaften mit anderen Usern in Beziehung. Die Beziehungen werden wiederum über Berechtigungen im Filesystem erweitert. Die Aufgabe ist nun, die vorgegebenen vergleichbaren Werte wie z.B. das Department mit den tatsächlich existierenden Verbindungen auszuwerten. Wo relationale Datenbanken Stunden oder Tage für die Berechnung brauchen, kann das migRaven Framework dieselben Antworten in Minuten liefern. Und das selbst in Umgebungen mit Userzahlen jenseits der 50.000 User Grenze und Datenumgebungen im Terabyte- bis Petabyte-Bereich.


Die Forschungarbeit der aikux.com GmbH zur Anwendung graphentheoretischer Grundsätze auf AD-Strukturen wird seit 2015 und bis über das Jahr 2018 hinaus vom Bundesministerium für Wirtschaft und Energie gefördert.

Logo ZIM Förderung


Fragen, die man ans AD stellen sollte

Folgende Fragestellungen helfen Ihnen, den Zustand Ihres Active Directory besser zu verstehen:

  • Wie tief sind Gruppen verschachtelt?
  • Welche und wie viele Objekte sind verwaist? (Keine Mitgliedschaft, keine Mitglieder, keine Beziehung zu ACE)
  • Gibt es Objekte, die keinerlei Beziehung mehr zum Filesystem haben?
  • Wie tief reichen die Berechtigungen im Filesystem? (Optimierung der Verwaltung)
  • Gibt es direkt berechtigte Useraccounts?
  • Existieren verwaiste Accounts, die schon seit einer gewissen Zeit nicht mehr genutzt werden?
  • Wie groß sind die Berechtigungs-Token jedes einzelnen Accounts? (Tokensize)
  • Konsistenzüberprüfungen von Gruppen: In welchen Gruppen sind die Accounts der Abteilungen zu welchem Anteil Mitglied? (Nützlich zur Ableitung von Profilen auf der Basis von Mitgliedschaften)

Compliance Check

Compliance Check von Rollengruppen – Sind die Rollengruppen sauber mit den richten Accounts gefüllt?

Input: Rollengruppen
Output: Liste aller Rollengruppen, die Accounts aus unterschiedlichen Abteilungen beinhalten incl. Aller Details zu den Überschneidungen

Die User- und Gruppeninformationen aus dem Active Directory und die Berechtigungen des Filesystems werden in die interne Datenbank importiert und bilden die Grundlage für einzigartige Auswertungen, um die Strukturen und Abhängigkeiten zu verstehen und sie unmittelbar bereinigen zu können.

Eigene AD-Abfragen erstellen – ein Beispiel

Bestimmte Sichten stellt migRaven.one direkt zur Verfügung, andere Analysen können speziell für ihre Fragestellungen entwickelt werden. Die Basis liefert immer die Graphen Datenbank von migRaven.one.

Ein Beispiel für eine direkte Abfrage in der Datenbank über die Sprache „Cypher“. Diese Abfrage liefert Informationen zu den Mitgliedern einer bestimmten Rollengruppe. Bitte beachten Sie, dass diese Abfrage nur mit korrekt im AD hinterlegten Department-Metadaten funktioniert.

MATCH (a2:ADAccount) 
where a2.type="person" and not a2.department="" 
with distinct a2.department as department 
MATCH (a1:ADAccount) 
where a1.type="person" and a1.department=department 
Optional MATCH (a:ADAccount)<-[:rel_member*..]-(g) 
where a.type="person" and a.department=department and not g.domain='local' 
with g,a, count(distinct a1) as Anzahl, department
optional match (g)-[:rel_member*..]->(b) 
where b.type="person" and not b.department = department 
with g,b,a,count( b) as abt, Anzahl
 
return 
distinct 'Die Gruppe:', ( g.name + "@" + g.domain) as Diese_Gruppe,
"enthält:", (count(distinct a)) + " Mitglieder" as enthält_x_Mitglieder,
"aus der Abteilung ", a.department as ade , " die insgesammt aus ", Anzahl, " Mitgliedern besteht was einem Anteil von ", (( (count(distinct a) /tofloat( Anzahl))*100 ) + " %") as c, " entspricht." , 
"Außerdem gibt es noch ", count(distinct b), " Mitglieder aus der Abteilung ", b.department as ab, " was einem Anteil von ", (( (count(distinct b) /tofloat( count(distinct a)))*100 ) + " %" ) as d, " von der Gruppe " ,a.department, " zur Abteilung ", b.department as ab1, " entspricht." as b
order by Diese_Gruppe, enthält_x_Mitglieder desc

Ergebnis:

Die Gruppe „RG_Abteilung_Administration“ enthält nur 4 Mitglieder aus der Abteilung „Administration“, welche insgesamt aus 5 Mitgliedern besteht. Somit sind 80% der Mitarbeiter der Administration in der Gruppe „RG_Abteilung_Administration“. Weiterhin enthält die Gruppe noch 2 Mitglieder aus der Abteilung „Marketing“ was einem Verhältnis von 2 zu 1 zwischen den Abteilungen „Administration“ und „Marketing“ entspricht.

Folgerung:

Die Gruppe muss bereinigt werden, denn sie enthält Mitarbeiter anderer Abteilungen, jedoch nicht alle Mitarbeiter der passenden Abteilung. Beide Aspekte müssen bei der Bereinigung berücksichtigt werden, damit die Rollengruppe ihre Funktion erfüllen kann.

 

Die Funktionen von migRaven.one:


  • Rechte-Visualisierung im AD

    AD-Objekte sehen & Zusammenhänge verstehen

    migRaven.one lässt Sie bequem durch Ihre AD-Objekte browsen, um die komplexen Zusammenhänge, Mitgliedschaften und Beziehungen zwischen den Benutzerkonten und den Berechtigungsgruppen zu verstehen. So lassen sich umfassende Informationen einholen, aber auch Fragen zu den Berechtigungen einzelner User oder Gruppen werden gezielt beantwortet.
  • Rechte-Visualisierung auf Verzeichnissen

    Zugriffsrechte schnell und einfach einsehen

    Die Voraussetzung für eine effiziente Bearbeitung von (oft historisch gewachsenen) NTFS-Berechtigungen ist das Verständnis für die IST-Situation. migRaven.one bietet Ihnen den Überblick über Ihre Berechtigungssituation, beantwortet gezielt Fragen zu den Zugriffsrechten einzelner User oder Verzeichnisse und schafft damit die Grundlage weiteren Handelns.
  • Reporting

    Kennzahlen zu Fileserver & Active Directory

    Eine fundierte Zahlenbasis hilft, Probleme zu identifizieren und Fortschritte greifbar zu machen. migRaven.one unterstützt Sie migRaven.one mit verschiedenen Reports sowohl zu Ihren Fileservices als auch zu Ihrem AD. So erhalten Sie unkompliziert wertvolle Indikatoren für den Zustand Ihrer Verzeichnis- und Berechtigungsstruktur. Vorgefertigte Reports zu allen Userberechtigungen und flexible individualisierte Datenbank-Abfragen sind möglich.
  • Automatische Konsistenz

    Gruppenstrukturen nach Best-Practice

    migRaven.one analysiert Ihre aktuelle oder geplante Berechtigungsstruktur und bringt alle vorhandenen Berechtigungen automatisch in eine neue, saubere Struktur aus Berechtigungsgruppen.
    Dabei werden vorhandene Direktberechtigungen, Mehrfach-Berechtigungen und andere Probleme erkannt und vollständig bereinigt.
  • Automatische Listrechte

    Für alle Zugriffsrechte, in allen Verzeichnissen

    migRaven.one analysiert Ihre aktuelle oder geplante Berechtigungsstruktur und überarbeitet selbstständig alle Listberechtigungen. Dazu liest migRaven.one die Verzeichnis- und Berechtigungsstruktur ein, identifiziert alle Berechtigungsendpunkte und setzt nach dem Need-To-Know-Prinzip automatisch genau die Listrechte, die tatsächlich benötigt werden.
  • Simulation

    Das Ergebnis schon vorher sehen

    Dank innovativer Graphen-Datenbank kann migRaven.one komplexe Verzeichnis- und Berechtigungsstrukturen vollständig einlesen und simulieren. So können Resultate von neuen Berechtigungsstrukturen und ganzen Verzeichnis-Redesigns auf Konsistenz und Effizienz hin geprüft werden, bevor die Änderungen auf das Live-System übertragen werden.
  • Modellierung der Berechtigungen

    Verzeichnisse & Zugriffsrechte entwerfen

    Alles, was mit Berechtigungen zu tun hat, ist in der Regel aufwendig und unterliegt gerade in Live-Systemen einem gewissen Zeitdruck. migRaven.one bietet einen Simulationsmodus (Sandbox), der das Live-System abbildet und den ungestörten Auf- oder Umbau von Verzeichnis- und Berechtigungsstrukturen ermöglicht.
  • ReDesign von Verzeichnisstrukturen

    Klare Ordnerstrukturen für klare Zugriffsrechte

    Sind die Verzeichnisstrukturen zu komplex, können weder die User noch die Administratoren effizient arbeiten. User produzieren dann schnell massenhaft redundante Daten in eigenen Ordnerstrukturen, während die Administratoren den Überblick über die entsprechenden Zugriffsrechte verlieren. migRaven.one hilft, beiden Problemen nachhaltig zu begegnen. Dazu können Sie Ihre Ordnerstrukturen komplett neu aufbauen oder die bestehende Struktur umbauen...
  • Rechtevergabe per Drag & Drop

    Kinderleicht Zugriffsrechte setzen

    Um die komplexen, oft historisch gewachsenen NTFS Berechtigungen zu überarbeiten, bietet migRaven.one seit Version 3.1 die Möglichkeit, Rechte intuitiv per Drag & Drop zu setzen. Dabei kümmert sich migRaven.one automatisch um die zugrundeliegende Gruppenstruktur und macht die Auswirkungen Ihrer Änderungen direkt nachvollziehbar.
  • Daten migrieren

    Transparente, standardisierte Replikation Ihrer Unternehmensdaten

    migRaven.one kümmert sich im letzten Schritt eines ReDesigns bzw. einer Migration auch um die Überführung der Daten in die neuen, sauber berechtigten Verzeichnisse. Dazu wird durch migRaven.one ein individuell konfigurierbares Robocopy-Script erzeugt. Auf diese Weise bildet migRaven.one den Copy-Job besonders transparent ab und setzt auf ein standardisiertes, bewährtes Verfahren.