10
Audit für Active Directory Gruppen
Moin zusammen,
kennt jemand eine Möglichkeit wie man prüfen kann ob vorhandene Gruppen in der Active Directory noch verwendet werden?
D.h.
1. ob die Benutzer die in den Gruppen eingetragen sind, die Gruppe abfragen
2. Drittanbieter-Systeme die die Gruppe abfragen um Konfigurationen damit abzubilden
Hintergrund ist, dass wir alte Gruppen in derDomäne haben, die wir gerne aufräumen möchten. Jedoch kann man der Gruppe nicht ansehen, ob sie noch verwendet wird.
Wir haben die Einstellungen in den GPo bereits so angepasst, dass das Audit auf den Domain Controller aktiviert ist.
Diese Anleitung ist dabei sehr hilfreich gewesen:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
Das Audit gibt zwar schon einige Informationen her, jedoch zeigt es keine Zugriffe auf AD-Gruppen.
Hat jemand eine Idee wie man das erreichen kann?
Danke & Grüße
Klaus
MS Audit
Audit
kennt jemand eine Möglichkeit wie man prüfen kann ob vorhandene Gruppen in der Active Directory noch verwendet werden?
D.h.
1. ob die Benutzer die in den Gruppen eingetragen sind, die Gruppe abfragen
2. Drittanbieter-Systeme die die Gruppe abfragen um Konfigurationen damit abzubilden
Hintergrund ist, dass wir alte Gruppen in derDomäne haben, die wir gerne aufräumen möchten. Jedoch kann man der Gruppe nicht ansehen, ob sie noch verwendet wird.
Wir haben die Einstellungen in den GPo bereits so angepasst, dass das Audit auf den Domain Controller aktiviert ist.
Diese Anleitung ist dabei sehr hilfreich gewesen:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ...
https://www.msxfaq.de/konzepte/auditing/auditingwindows.htm
Das Audit gibt zwar schon einige Informationen her, jedoch zeigt es keine Zugriffe auf AD-Gruppen.
Hat jemand eine Idee wie man das erreichen kann?
Danke & Grüße
Klaus
MS Audit
Audit
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 603871
Url: https://administrator.de/forum/audit-fuer-active-directory-gruppen-603871.html
Ausgedruckt am: 11.04.2025 um 10:04 Uhr
10 Kommentare
Neuester Kommentar
Moin,
ich glaube nicht das du die Verwendung von AD Gruppen "messen" kannst. Das liegt v. A. daran wie Windows dire Gruppenmitgliedschaft ermittelt, für z.B. NTFS-Rechte. Die Gruppenmitgliedschaft ist teil des Kerberos-Tickets das bei jeder Anmeldung an Windows erzeugt wird.
Angesehen davon wird die Gruppenmitgliedschaft eines Users nicht durch Abfrage aller Gruppen ermittelt, sondern über das "memberOf" Attribut des Users.
Falls die LDAP verwendest könntes es möglich sein LDAP Abfragen zu loggen, aber die müsstest du dann wohl per Hand auswerten.
lg,
Slainte
ich glaube nicht das du die Verwendung von AD Gruppen "messen" kannst. Das liegt v. A. daran wie Windows dire Gruppenmitgliedschaft ermittelt, für z.B. NTFS-Rechte. Die Gruppenmitgliedschaft ist teil des Kerberos-Tickets das bei jeder Anmeldung an Windows erzeugt wird.
Angesehen davon wird die Gruppenmitgliedschaft eines Users nicht durch Abfrage aller Gruppen ermittelt, sondern über das "memberOf" Attribut des Users.
Falls die LDAP verwendest könntes es möglich sein LDAP Abfragen zu loggen, aber die müsstest du dann wohl per Hand auswerten.
lg,
Slainte
Moin,
sehe ich auch so, Du kannst im ersten Schritt abfragen, welche Gruppe in welcher GPO verwendet wird, dann noch welche Gruppe wo NTFS Rechte hat (wird schon aufwändiger). Dann könnten die Gruppen noch im Exchange verwendet werden und auf irgendeiner VPN Firewall oder sonstigem Device ebenfalls abgefragt werden.
Oder Du bist mutig und löschst die Gruppen, gehst in Urlaub und wartest ob jemand anruft
Gruss
sehe ich auch so, Du kannst im ersten Schritt abfragen, welche Gruppe in welcher GPO verwendet wird, dann noch welche Gruppe wo NTFS Rechte hat (wird schon aufwändiger). Dann könnten die Gruppen noch im Exchange verwendet werden und auf irgendeiner VPN Firewall oder sonstigem Device ebenfalls abgefragt werden.
Oder Du bist mutig und löschst die Gruppen, gehst in Urlaub und wartest ob jemand anruft
Gruss
Hallo Slainte,
das habe ich befürchtet, dass es nicht so einfach sein wird.
Danke für Dein Feedback.
Beste Grüße
Klaus
das habe ich befürchtet, dass es nicht so einfach sein wird.
Danke für Dein Feedback.
Beste Grüße
Klaus
Hallo Sabines,
ja so ähnlich haben wir auch überlegt...Die AD hat ja auch einen Papierkorb. D.h. man könnte die Gruppe löschen und warten ob jemand schreit und dann wieder aus dem Papierkorb herstellen. Die Vorgehensweise gefällt mir nur nicht so dolle.
Zudem ist bei der Vielzahl von alten Gruppen eine Ende kaum in Sicht...
Also Lösungsweg bisher noch offen...
Danke für Dein Feedback.
Grüße
Klaus
ja so ähnlich haben wir auch überlegt...Die AD hat ja auch einen Papierkorb. D.h. man könnte die Gruppe löschen und warten ob jemand schreit und dann wieder aus dem Papierkorb herstellen. Die Vorgehensweise gefällt mir nur nicht so dolle.
Zudem ist bei der Vielzahl von alten Gruppen eine Ende kaum in Sicht...
Also Lösungsweg bisher noch offen...
Danke für Dein Feedback.
Grüße
Klaus
Zitat von @0xdabbad00:
D.h. man könnte die Gruppe löschen und warten ob jemand schreit und dann wieder aus dem Papierkorb herstellen. Die Vorgehensweise gefällt mir nur nicht so dolle.
D.h. man könnte die Gruppe löschen und warten ob jemand schreit und dann wieder aus dem Papierkorb herstellen. Die Vorgehensweise gefällt mir nur nicht so dolle.
Wie wäre das denn damit erstmal die User aus der Gruppe zu löschen und zu hinterlegen wer da mal drin war?
Dürfte einfach als löschen und wiederherstellen sein. Vor allem kanns du genauer gucken wer das noch braucht.
Hilfreich könnte Docusnap sein, damit kannst du zumindest die NTFS Rechte kontrollieren.
Und du hast eine Doku zu den Gruppen
Hallo Deepsys,
ja, der Ansatz mit User rein- und rausnehmen ist auch das was wir überlegt haben. Die Masse an Gruppen ist da eher das Problem. Da werden wir vermutlich nie fertig...
Aber Docusnap ist ein guter Tipp. Wir schauen uns die Leistungsfähigkeit von Docusnap mal genauer an...
Danke Dir für Deinen Input.
Beste Grüße
Klaus
ja, der Ansatz mit User rein- und rausnehmen ist auch das was wir überlegt haben. Die Masse an Gruppen ist da eher das Problem. Da werden wir vermutlich nie fertig...
Aber Docusnap ist ein guter Tipp. Wir schauen uns die Leistungsfähigkeit von Docusnap mal genauer an...
Danke Dir für Deinen Input.
Beste Grüße
Klaus
Hi.
Du kannst die Verwendung von AD-Objekten überwachen, genau so wie die Verwendung von Dateien. Wer liest das Objekt, wer schreibt darauf...
Rechtsklick - Eigenschaften ->Reiter Sicherheit ->erweitert->Überwachung.
Die Resultate laufen dann im Sicherheitslog des Domänencontrollers auf. Du müsstest also Woche für Woche dieses durchsuchen nach den Namen der fraglichen Gruppen - fertig.
Du kannst die Verwendung von AD-Objekten überwachen, genau so wie die Verwendung von Dateien. Wer liest das Objekt, wer schreibt darauf...
Rechtsklick - Eigenschaften ->Reiter Sicherheit ->erweitert->Überwachung.
Die Resultate laufen dann im Sicherheitslog des Domänencontrollers auf. Du müsstest also Woche für Woche dieses durchsuchen nach den Namen der fraglichen Gruppen - fertig.
Hallo DerWoWusste,
das haben wir schon konfiguriert. Nur leider finden wir keine Einträge für die AD Gruppen (SIDs) im Eventlog/ Log-Server. Bei Benutzer- und Computerobjekten funktioniert das - die finden wir im Log. Nur von AD Gruppen ist (bisher) nichts zu sehen.
Grüße
Klaus
das haben wir schon konfiguriert. Nur leider finden wir keine Einträge für die AD Gruppen (SIDs) im Eventlog/ Log-Server. Bei Benutzer- und Computerobjekten funktioniert das - die finden wir im Log. Nur von AD Gruppen ist (bisher) nichts zu sehen.
Grüße
Klaus
Ok.
Es scheint so zu sein: beim Zugriff auf zum Beispiel eine Datei, die nur für Gruppe X lesbar ist, wird Gruppe X nicht ausgelesen, sondern, wie
SlainteMhath schon sagte, mittels seines Kerberostickets ermittelt, ob er Zugriff hat, oder nicht.
Somit kannst Du lediglich monitoren, ob die Gruppe verändert wird, was nicht zielführend ist. Hm, schade.
Es scheint so zu sein: beim Zugriff auf zum Beispiel eine Datei, die nur für Gruppe X lesbar ist, wird Gruppe X nicht ausgelesen, sondern, wie
SlainteMhath schon sagte, mittels seines Kerberostickets ermittelt, ob er Zugriff hat, oder nicht.
Somit kannst Du lediglich monitoren, ob die Gruppe verändert wird, was nicht zielführend ist. Hm, schade.
Ja, man kann es so oder so machen. Alles in allem ist die Arbeit halt recht umständlich, weil man keinen direkten Weg findet die Zugriffe auf die Gruppen zu ermitteln. Bei historisch gewachsenen AD Strukturen ist das Aufräumen recht mühselig...
Docusnap werden wir uns nochmal näher ansehen, weil es eben auf Ebene der Fileserver-Berechtigungen einiges an Transparenz schafft.
Docusnap werden wir uns nochmal näher ansehen, weil es eben auf Ebene der Fileserver-Berechtigungen einiges an Transparenz schafft.
