現在、AD インフラストラクチャの再設計を進めています。いくつかのグループ名または OU 名の変更がエコシステム (IAM 関連ソフトウェアなど) に及ぼす可能性のある影響について、かなり懸念しています。不明な依存関係がないことを確認したいのです。
では、既存の OU 構造とグループ名に依存する IP アドレス/ホストまたはスクリプト/プロセスを特定する最良の方法は何でしょうか?
Wireshark を使用して LDAP クエリを監視することを考えていました。しかし、それはあまりにも不便かもしれません。他にどのような可能性があると思いますか?
答え1
反復的な変更をお勧めします。新しい目的の構造 (最初にグループ) を作成し、そこに既存の項目を追加します。その後、問題が発生した場合にどこを調べればよいかを正確に把握しながら、レガシー グループを 1 つまたは 2 つずつ削除して単体テストを実行できます。
カットオーバーアプローチは、あらゆる規模の組織にとって大きな頭痛の種となる可能性があります。
OUはおそらくこれらは主にグループ ポリシーの対象であるため、より簡単です。GPMC および RSOP ツールは、このような作業の前に階層を整理するのに適しています。
誰かが必ず SharePoint ユーザーの同期などを特定の OU またはブランチにターゲット設定するため (実際のユーザーをサービス アカウントから分離するためなど)、すべての技術チームをこの取り組みに含める必要があります。
これを自動的に実行してくれるツールは知りません。また、どのツールも 100% の作業を実行できるとは考えられません。
答え2
これを見つけるのは非常に困難です。
特定のグループが呼び出されているかどうかを調べることが可能かどうかは、よくわかりません。
いずれにしても、特定のグループが使用されているかどうか、またどこから使用されているかを調べることができたとしても、ほとんどのアプリケーションは実際にはグループ名を使用しません。グループの SID を使用します。
すべての通話がどこから発信されているかを正確に把握できたとしても、通話が SID を使用して行われたのか、それともアプリケーションが適切に作成されておらず、実際にはグループ名を使用しているのかは、依然として把握できない可能性があります。
これを見て関連記事。