admin666
Goto Top

AD-Gruppe erstellt - wo wird diese jetzt verwendet?

Seid gegrüßt!

Wenn ich eine Gruppe im AD anlege innerhalb meiner Domäne z.B. "Gruppe1" und diese wird jetzt im laufe der Zeit auf Fileservern auf bestimmten Freigaben verwendet. Angenommen die Gruppe wird jetzt auf 5 verschiedenen Freigaben gesetzt, wie kann ich filtern wo diese Gruppe überall verwendet wird im "File-System"??
Gibt es für dieses Problem vielleicht ein Tool/Script ?
Habe keines gefunden...

Aber es kann nicht von Microsoft der ernst sein das man sich bei jeder Gruppe merken muss wo diese eingesetzt ist?!

Ich bin über jede Antwort dankbar!

Viele Grüße
Markus

Content-ID: 72375

Url: https://administrator.de/forum/ad-gruppe-erstellt-wo-wird-diese-jetzt-verwendet-72375.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

coxsrcrub
coxsrcrub 31.10.2007 um 09:57:43 Uhr
Goto Top
Guten Morgen Markus,

Gibt es für dieses Problem vielleicht ein Tool/Script ?

Welches Problem? face-smile

Aber es kann nicht von Microsoft der ernst sein das man sich bei jeder Gruppe merken muss wo diese eingesetzt ist?!

Doch ist es. Schon mal was von Dokumentation gehört?
Denken und Planen musst du schon alleine.
Eine Eierlegende Wollmilchsau gibt es nicht!
Du möchtest doch etwa nicht das die vielen Drittanbieter arbeitslos werden.

hier ein kostenpflichtiges Programm was du dafür nutzen kannst. http://www.systemtools.com/hyena/

oder hier ein kostenloses was aber dafür nicht unbedingt geeignet ist.

Grüße Jörg
Admin666
Admin666 31.10.2007 um 10:05:10 Uhr
Goto Top
Und wie würdest du es dokumentieren?
Gibt es ein Feature im AD oder ähnliches?
coxsrcrub
coxsrcrub 31.10.2007 um 11:09:07 Uhr
Goto Top
Hallo Markus,

Und wie würdest du es dokumentieren?

ich nutze z.B. MS Visio

- der erste link enthält eine 30 Tage Testversion wenn du das Netz gerade erst übernommen hast reicht das meist um das Netz schon recht ordentlich auszulesen. Eine ordentliche Dokumentation erstelle ich Grundsätzlich danach in MS Visio per Hand.

Gibt es ein Feature im AD oder ähnliches?

Im AD, nein. Ähnliches die beiden oben genannten tools sind dazu recht hilfreich. Es gibt aber sicherlich noch mehr!

Grüße Jörg
51705
51705 31.10.2007 um 21:40:59 Uhr
Goto Top
Und wie würdest du es dokumentieren?
Gibt es ein Feature im AD oder
ähnliches?

Ich würde die Design-Vorschläge beachten (lokale Ressource -> lokale Gruppe). Ich würde User- und Ressourcegruppen trennen, und die Zuordnung über User-Gruppen zu Ressource-Gruppen erledigen. Das müßte ich nicht mal dokumentieren, wenn das Schema dokumentiert ist...

Grüße, Steffen
coxsrcrub
coxsrcrub 31.10.2007 um 21:50:21 Uhr
Goto Top
wenn das mal immer so einfach wäre.

In unserer Hauptorganisation existiert ein Filesystem mit an die 5000 Gruppenordner die jeweils noch weiter unterteilt sind (Arbeitsgruppe X; Ausschuß Y usw); Einzelberechtigungen ausgeschalteter Vererbung verschlüsselt und den ganzen Rattenschwanz.

Das lässt sich nicht ohne Doku erledigen. Das AD zu Dokumentieren ist ja ein leichtes da die vergebenen Gruppen; Ressourcengruppen und normalen Gruppen selbsterklärend sind.

Ich glaube das lässt sich nur für den neuaufbau realisieren und nach spätestens einem dreiviertel Jahr ist es eh wieder hinfällig.

Grüße Jörg
51705
51705 31.10.2007 um 22:07:50 Uhr
Goto Top
Hallo Jörg,

du verstehst meine Ansatz bzgl. Ressource und User-Gruppe falsch. Ressourcen existieren auf lokalen Machinen oder Netzen, daher lokale Gruppen. Die Nutzung der lokalen Ressourcen soll auf globale User-Gruppen abgebildet werden.

Die Anzahl der User-Gruppen ist uninteressant, da ich Gruppe auf Gruppe abbilde. Je mehr ich mit lokalen Gruppen bei der Ressourceverwaltung arbeite, destoweniger besteht eine Synchronisationsnotwendigkeit zwischen den DCs der Domain.

Wenn die Ressourcenutzung im Schema ausreichend dokumentiert ist, benötige ich so keine zusätzliche Dokumentation.

Grüße, Steffen
coxsrcrub
coxsrcrub 31.10.2007 um 22:18:41 Uhr
Goto Top
Hi Steffen,

ich glaub ich hab dich schon richtig verstanden. Ich hab mich vielleicht ein wenig fälschlich ausgedrückt. Deine Gedankengänge kann ich ja auch nachvollziehen und nutze diese auch so wenn es möglich ist. Aber Markus kommt es ja auch noch darauf an die Berechtigungen aufs Filesystem auszulesen und mit zu dokumentieren (zumindest habe ich das so verstanden). Gerade wenn dies so ausartet wie bei uns kommt man nicht um die Dokumentation herum. Ich gebe dir ansonsten vollkommen recht.

Eine Doku vom AD habe ich bislang auch noch nie anlegen müssen da es gut Strukturiert ist aber das Filesystem ist ein graus. Bei der größe des Filesystems kannst du dir ja vorstellen wie lang eine suche nach einem, durch dummen Zufall eines Users dauert. Auch zur Wiederherstellung ist es schon mehr als hilfreich wenn man weiß wo man suchen muss.

Grüße Jörg
Admin666
Admin666 02.11.2007 um 07:43:25 Uhr
Goto Top
Danke erstmal für die Tipps!

Dokumentation hin oder her face-smile


Ich habe endlich ein Tool gefunden wo man auf "Shares" Berechtigungen auslesen kann!

Name: SUMARSOFT Dumpsec

Kann ich empfehlen, funktioniert in der kompletten Domain und jeglicher Sub-ordner werden auch durchsucht!

Danke für die Antworten
Für weitere SW-Tipps in diese Richtung bin ich dankbar
Schönes WE