cheetah
Goto Top

AD entrümpeln: Was kann gelöscht werden

Hallo,

nach nun über 10 Jahren wird unser alter 2k3 Server in den nächsten Wochen in Rente geschickt und ich bin im Moment dabei alles mögliche zu migrieren. Unter Anderem wurde das alte AD bereits auf den neuen DC verschoben und der 2k3 Server ist kein DC mehr. Vor dem Migrieren habe ich das AD auf 2003 hochgestuft und nach dem Migrieren auf 2012R2.

Das AD wurde bisher nur für die Authentifizierung der Benutzer verwendet und ich schätze mal seit über 5 Jahren auch nicht mehr vom Admin gepfegt. Ich hab die ganze Systemadministration jetzt übernommen und würde das AD gerne aufräumen hatte aber bisher noch nicht wirklich viel mit AD zu tun.

Beim Firmennetzwerk handelt es sich um ca. 15 Benutzer und 15 Computer. Das ganze ist also überschaubar aber es hat sich auch einiges angesammelt was bestimmt nicht verwendet wird z.B irgendwelche User um Faxe weiterzuleiten, Gruppen von alten Antivieren Programmen etc. und auch etliche vordefinierte Gruppen und Templates.

Für den Anfang habe ich daher 4 Fragen:

- Gibt es eine Liste mit den Standard Gruppen/Templates/User welche von einem AD (2012/2003) generiert werden, damit ich solche nicht aus versehen lösche.
- Kann ich Organisationseinheiten ohne Probleme löschen wenn ich die Benutzer etc. vorher wieder in User verschiebe.
- Werden Benutzer in Organisationseinheiten verschoben oder kopiert.
- Gibt es irgend eine Möglichkeit im AD weitere infos zu bekommen für was bestimmte Gruppen/Benutzer verwendet werden und wann das letzte mal. Außer dem was in der Beschreibung steht und dem was ich z.B. über google bei betimmte Gruppen heraus finde.

Bin auch für weiterführende Links sehr dankbar

Vielen Dank schon mal im Vorraus

Andy

Content-ID: 280485

Url: https://administrator.de/contentid/280485

Ausgedruckt am: 26.11.2024 um 10:11 Uhr

Chonta
Chonta 18.08.2015 aktualisiert um 11:42:24 Uhr
Goto Top
Hallo,

mit anderen Worten Du hast keine Ahnung und übernimmst die Administration eines AD...
Also OU einfach so löschen oder Benutzer verschieben ist keien Gute Idee.
An eine OU können Gruppenrcihtlinien dranhängen die auf die in der UO befindlichen Benutzer oder Computer wirken ollen und einstellungen Regeln.
Wenn Du die Benutzer verschiebst, gelten auf einmal diese Reglen nicht mehr.
Löschst Du die OU weist Du nich tmehr welche Reglen auf dieser OU angewendet wurden.

Dss solltest Du vorhe rin Erfahrung bringen.
Auch können Dritanbieteranwendungen das AD benutzen um die Autentifizierung zu machen und es gann sein, das dabei der Einstigspfad z.B. genau diese OU die Du löshen willst ist.
Ist die OU weg oder di eBenutzer sind nicht mehr da, nix autentifizierung.

Jede Gruppe und jeder Benutzer und jeder Computer hat im AD eine eindeutige Nummer, unabhängig vom Objektnamen.
Für Dich Zeigt das AD die Namen an, es selber verwendet die nummern.
Löschst Du einen Benutzer/Gruppe zeigt das AD dann in den ACL komische Nummern an.
Das schöne ist, die Nummer ist frei und wird evtl irgendwann wieder vergeben und der neue Benutzer hat aufeinmal Rechte von denen Du nix weißt/die er nicht haben soll.

Man verschiebt AD Opjekte.

Wenn Du einen Benutzer Kopierst legst Du einen neuen An, der die selben Gruppenmitgleidschaften hat wie der von dem Du kopierst.

Was Du mit den Gruppen/Benutzer Verwendung meinst..... mach eine Schulung oder lass jemanden kommen der sich auskennt, bitte bitte.
Wan sich ein Benutzer mal eingelogt hat, kannman über pOwershell oder dritabieter AD Manager rausbekommen.....

Gruß

Chonta
keine-ahnung
keine-ahnung 18.08.2015 um 11:41:16 Uhr
Goto Top
Moin,
mit anderen Worten Du hast keine Ahung
ich darf doch wohl darum bitten, zumindest meinen Nick korrekt zu schreiben, wenn mir schon wieder die Schuld in die Schuhe geschoben werden soll ...!!

Ansonsten hilft es, sich mal in die Dokumentation des AD einzulesen ... und wenn nicht vorhanden (so wie bei mir face-wink) den alten admin mal zu interviewen.

LG, Thomas
Chonta
Chonta 18.08.2015 um 11:42:57 Uhr
Goto Top
Hallo,

ich darf doch wohl darum bitten, zumindest meinen Nick korrekt zu schreiben, wenn mir schon wieder die Schuld in die Schuhe geschoben werden soll ...!!

Berichtigt face-wink

Gruß

Chonta
Andre.Heisig
Andre.Heisig 18.08.2015 um 16:06:45 Uhr
Goto Top
Wäre es nicht bei nur 15 Usern, andererseits aber 10 Jahren nicht-dokumentiertem Wildwuchs, und noch ein paar Dingen mehr aus dem Text oben der sauberere Schnitt, das AD einfach einmal sauber neu anzulegen?
Chonta
Chonta 18.08.2015 um 16:10:34 Uhr
Goto Top
Hallo,

kommt drauf an was ds da noch mit dran hängt. Exchange? Andere Zugriffe? Sind andere Server vom AD für die Autentifizierung abhängig?
Freigaben und Datten die sensibel sind etc.
Bevor was platt gemacht wird muss man den Sollzustand haben und vor allem auch den Istzustand wenigstens soweit, das man weiß was davon alles abhängt face-smile

Z.B. selbst wenn Du das AD neu machst, haben jehnachdem die ACL der Daten noch Karteileichen mit daraus resultierenden ungewünschten Zugriffen.

Gruß

Chonta
cheetah
cheetah 18.08.2015 aktualisiert um 16:30:20 Uhr
Goto Top
Ja das wäre eine Möglichkeit.

Soweit ich weis wurde das AD bisher nur für die Anmeldung an den Desktops und für Freigabeberechtigungen auf den Netzlaufwerken verwendet. Selbst Gruppen wurden kaum verwendet. Allerdings sind auch ein paar User/Gruppen angelegt von denen ich nicht weis ob sie im Moment noch verwendet werden. Das AD habe ich daher migriert da wir noch ca. 2 Monate, bis alles umgestellt wurde, auf den alten Server und dessen Programme angewiesen sind.

Einer kompletten Neuinstallation wäre ich nicht abgeneigt. Es muss dann nur sichergestellt werden, dass jeder wieder auf seine persöhnlichen Ordner zugreifen kann. Diese würden nicht über das Netzwerk gesichert sondern liegen auf den einzelnen Desktops.

Rechtevergabe würde ich dann komplett neu machen. Und dann eben auch andere sachen wie Exchange einbinden.
Chonta
Chonta 18.08.2015 um 16:31:28 Uhr
Goto Top
Keine Verwendung von Gruppen? Aua!
cheetah
cheetah 18.08.2015 aktualisiert um 16:36:30 Uhr
Goto Top
naja Gruppen gibt es schon aber da sind die User wild verteilt. Genauso sind manche User in OU manche nicht. Manche haben dann einfach Adminrechte bekommen weil sie die Benutzerkontensteuerung genervt hat. Und das ganze wollte ich jetzt sauber aufräumen und strukturieren. User teilen sich ein Benutzerkonto anstatt ein weiteres anzulegen. Totales Chaos eben.

Warscheinlich ist dann aber eine Neuinstallation sobald es möglich ist die bessere Lösung.
dannynb
dannynb 19.08.2015 um 10:58:01 Uhr
Goto Top
Ernsthaft? Wir reden hier über 15 User und 15 Clients in einer AD Struktur, die seit über 5 Jahren nicht gepflegt wurde und es nur Wildwuchs gab? Es werden kaum Gruppen genutzt und wenn, dann gibt es auch hier keine Struktur? Manche User hängen in einer OU und manche nicht?

Neu machen! Alles! Belese dich vorher oder frage deinen Chef, ob ihr euch einen Dienstleister ins Haus holen könnt oder er dich auf Schulung schickt.

Es ist nicht böse gemeint, aber du scheinst echt keine Ahnung zu haben, von dem was da bisher gelaufen ist und genauso wenig, von dem was du da tun sollst. Du hast jetzt die Chance es besser zu machen.
Andre.Heisig
Andre.Heisig 19.08.2015 um 13:30:47 Uhr
Goto Top
... und bei einer Neuerstellung würde ich mich zudem weniger mit der Klärung des Ist-Zustandes aufhalten, sondern eher eine vernünftige Anforderungs-Beschreibung erstellen und dokumentieren, und das dann einmal sauber umsetzen.