AD entrümpeln: Was kann gelöscht werden
Hallo,
nach nun über 10 Jahren wird unser alter 2k3 Server in den nächsten Wochen in Rente geschickt und ich bin im Moment dabei alles mögliche zu migrieren. Unter Anderem wurde das alte AD bereits auf den neuen DC verschoben und der 2k3 Server ist kein DC mehr. Vor dem Migrieren habe ich das AD auf 2003 hochgestuft und nach dem Migrieren auf 2012R2.
Das AD wurde bisher nur für die Authentifizierung der Benutzer verwendet und ich schätze mal seit über 5 Jahren auch nicht mehr vom Admin gepfegt. Ich hab die ganze Systemadministration jetzt übernommen und würde das AD gerne aufräumen hatte aber bisher noch nicht wirklich viel mit AD zu tun.
Beim Firmennetzwerk handelt es sich um ca. 15 Benutzer und 15 Computer. Das ganze ist also überschaubar aber es hat sich auch einiges angesammelt was bestimmt nicht verwendet wird z.B irgendwelche User um Faxe weiterzuleiten, Gruppen von alten Antivieren Programmen etc. und auch etliche vordefinierte Gruppen und Templates.
Für den Anfang habe ich daher 4 Fragen:
- Gibt es eine Liste mit den Standard Gruppen/Templates/User welche von einem AD (2012/2003) generiert werden, damit ich solche nicht aus versehen lösche.
- Kann ich Organisationseinheiten ohne Probleme löschen wenn ich die Benutzer etc. vorher wieder in User verschiebe.
- Werden Benutzer in Organisationseinheiten verschoben oder kopiert.
- Gibt es irgend eine Möglichkeit im AD weitere infos zu bekommen für was bestimmte Gruppen/Benutzer verwendet werden und wann das letzte mal. Außer dem was in der Beschreibung steht und dem was ich z.B. über google bei betimmte Gruppen heraus finde.
Bin auch für weiterführende Links sehr dankbar
Vielen Dank schon mal im Vorraus
Andy
nach nun über 10 Jahren wird unser alter 2k3 Server in den nächsten Wochen in Rente geschickt und ich bin im Moment dabei alles mögliche zu migrieren. Unter Anderem wurde das alte AD bereits auf den neuen DC verschoben und der 2k3 Server ist kein DC mehr. Vor dem Migrieren habe ich das AD auf 2003 hochgestuft und nach dem Migrieren auf 2012R2.
Das AD wurde bisher nur für die Authentifizierung der Benutzer verwendet und ich schätze mal seit über 5 Jahren auch nicht mehr vom Admin gepfegt. Ich hab die ganze Systemadministration jetzt übernommen und würde das AD gerne aufräumen hatte aber bisher noch nicht wirklich viel mit AD zu tun.
Beim Firmennetzwerk handelt es sich um ca. 15 Benutzer und 15 Computer. Das ganze ist also überschaubar aber es hat sich auch einiges angesammelt was bestimmt nicht verwendet wird z.B irgendwelche User um Faxe weiterzuleiten, Gruppen von alten Antivieren Programmen etc. und auch etliche vordefinierte Gruppen und Templates.
Für den Anfang habe ich daher 4 Fragen:
- Gibt es eine Liste mit den Standard Gruppen/Templates/User welche von einem AD (2012/2003) generiert werden, damit ich solche nicht aus versehen lösche.
- Kann ich Organisationseinheiten ohne Probleme löschen wenn ich die Benutzer etc. vorher wieder in User verschiebe.
- Werden Benutzer in Organisationseinheiten verschoben oder kopiert.
- Gibt es irgend eine Möglichkeit im AD weitere infos zu bekommen für was bestimmte Gruppen/Benutzer verwendet werden und wann das letzte mal. Außer dem was in der Beschreibung steht und dem was ich z.B. über google bei betimmte Gruppen heraus finde.
Bin auch für weiterführende Links sehr dankbar
Vielen Dank schon mal im Vorraus
Andy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 280485
Url: https://administrator.de/contentid/280485
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
mit anderen Worten Du hast keine Ahnung und übernimmst die Administration eines AD...
Also OU einfach so löschen oder Benutzer verschieben ist keien Gute Idee.
An eine OU können Gruppenrcihtlinien dranhängen die auf die in der UO befindlichen Benutzer oder Computer wirken ollen und einstellungen Regeln.
Wenn Du die Benutzer verschiebst, gelten auf einmal diese Reglen nicht mehr.
Löschst Du die OU weist Du nich tmehr welche Reglen auf dieser OU angewendet wurden.
Dss solltest Du vorhe rin Erfahrung bringen.
Auch können Dritanbieteranwendungen das AD benutzen um die Autentifizierung zu machen und es gann sein, das dabei der Einstigspfad z.B. genau diese OU die Du löshen willst ist.
Ist die OU weg oder di eBenutzer sind nicht mehr da, nix autentifizierung.
Jede Gruppe und jeder Benutzer und jeder Computer hat im AD eine eindeutige Nummer, unabhängig vom Objektnamen.
Für Dich Zeigt das AD die Namen an, es selber verwendet die nummern.
Löschst Du einen Benutzer/Gruppe zeigt das AD dann in den ACL komische Nummern an.
Das schöne ist, die Nummer ist frei und wird evtl irgendwann wieder vergeben und der neue Benutzer hat aufeinmal Rechte von denen Du nix weißt/die er nicht haben soll.
Man verschiebt AD Opjekte.
Wenn Du einen Benutzer Kopierst legst Du einen neuen An, der die selben Gruppenmitgleidschaften hat wie der von dem Du kopierst.
Was Du mit den Gruppen/Benutzer Verwendung meinst..... mach eine Schulung oder lass jemanden kommen der sich auskennt, bitte bitte.
Wan sich ein Benutzer mal eingelogt hat, kannman über pOwershell oder dritabieter AD Manager rausbekommen.....
Gruß
Chonta
mit anderen Worten Du hast keine Ahnung und übernimmst die Administration eines AD...
Also OU einfach so löschen oder Benutzer verschieben ist keien Gute Idee.
An eine OU können Gruppenrcihtlinien dranhängen die auf die in der UO befindlichen Benutzer oder Computer wirken ollen und einstellungen Regeln.
Wenn Du die Benutzer verschiebst, gelten auf einmal diese Reglen nicht mehr.
Löschst Du die OU weist Du nich tmehr welche Reglen auf dieser OU angewendet wurden.
Dss solltest Du vorhe rin Erfahrung bringen.
Auch können Dritanbieteranwendungen das AD benutzen um die Autentifizierung zu machen und es gann sein, das dabei der Einstigspfad z.B. genau diese OU die Du löshen willst ist.
Ist die OU weg oder di eBenutzer sind nicht mehr da, nix autentifizierung.
Jede Gruppe und jeder Benutzer und jeder Computer hat im AD eine eindeutige Nummer, unabhängig vom Objektnamen.
Für Dich Zeigt das AD die Namen an, es selber verwendet die nummern.
Löschst Du einen Benutzer/Gruppe zeigt das AD dann in den ACL komische Nummern an.
Das schöne ist, die Nummer ist frei und wird evtl irgendwann wieder vergeben und der neue Benutzer hat aufeinmal Rechte von denen Du nix weißt/die er nicht haben soll.
Man verschiebt AD Opjekte.
Wenn Du einen Benutzer Kopierst legst Du einen neuen An, der die selben Gruppenmitgleidschaften hat wie der von dem Du kopierst.
Was Du mit den Gruppen/Benutzer Verwendung meinst..... mach eine Schulung oder lass jemanden kommen der sich auskennt, bitte bitte.
Wan sich ein Benutzer mal eingelogt hat, kannman über pOwershell oder dritabieter AD Manager rausbekommen.....
Gruß
Chonta
Moin,
Ansonsten hilft es, sich mal in die Dokumentation des AD einzulesen ... und wenn nicht vorhanden (so wie bei mir ) den alten admin mal zu interviewen.
LG, Thomas
mit anderen Worten Du hast keine Ahung
ich darf doch wohl darum bitten, zumindest meinen Nick korrekt zu schreiben, wenn mir schon wieder die Schuld in die Schuhe geschoben werden soll ...!!Ansonsten hilft es, sich mal in die Dokumentation des AD einzulesen ... und wenn nicht vorhanden (so wie bei mir ) den alten admin mal zu interviewen.
LG, Thomas
Hallo,
kommt drauf an was ds da noch mit dran hängt. Exchange? Andere Zugriffe? Sind andere Server vom AD für die Autentifizierung abhängig?
Freigaben und Datten die sensibel sind etc.
Bevor was platt gemacht wird muss man den Sollzustand haben und vor allem auch den Istzustand wenigstens soweit, das man weiß was davon alles abhängt
Z.B. selbst wenn Du das AD neu machst, haben jehnachdem die ACL der Daten noch Karteileichen mit daraus resultierenden ungewünschten Zugriffen.
Gruß
Chonta
kommt drauf an was ds da noch mit dran hängt. Exchange? Andere Zugriffe? Sind andere Server vom AD für die Autentifizierung abhängig?
Freigaben und Datten die sensibel sind etc.
Bevor was platt gemacht wird muss man den Sollzustand haben und vor allem auch den Istzustand wenigstens soweit, das man weiß was davon alles abhängt
Z.B. selbst wenn Du das AD neu machst, haben jehnachdem die ACL der Daten noch Karteileichen mit daraus resultierenden ungewünschten Zugriffen.
Gruß
Chonta
Ernsthaft? Wir reden hier über 15 User und 15 Clients in einer AD Struktur, die seit über 5 Jahren nicht gepflegt wurde und es nur Wildwuchs gab? Es werden kaum Gruppen genutzt und wenn, dann gibt es auch hier keine Struktur? Manche User hängen in einer OU und manche nicht?
Neu machen! Alles! Belese dich vorher oder frage deinen Chef, ob ihr euch einen Dienstleister ins Haus holen könnt oder er dich auf Schulung schickt.
Es ist nicht böse gemeint, aber du scheinst echt keine Ahnung zu haben, von dem was da bisher gelaufen ist und genauso wenig, von dem was du da tun sollst. Du hast jetzt die Chance es besser zu machen.
Neu machen! Alles! Belese dich vorher oder frage deinen Chef, ob ihr euch einen Dienstleister ins Haus holen könnt oder er dich auf Schulung schickt.
Es ist nicht böse gemeint, aber du scheinst echt keine Ahnung zu haben, von dem was da bisher gelaufen ist und genauso wenig, von dem was du da tun sollst. Du hast jetzt die Chance es besser zu machen.