Derzeit sind wir dabei, unsere AD-Infrastruktur neu zu gestalten. Ich bin ziemlich besorgt über die möglichen Auswirkungen, die eine Änderung mehrerer Gruppen- oder OU-Namen auf unsere Ökosysteme (wie IAM-relevante Software usw.) haben könnte. Ich möchte sicherstellen, dass keine unbekannten Abhängigkeiten bestehen.
Was wäre also der beste Weg, um zu bestimmen, welche IP-Adressen/Hosts oder Skripte/Prozesse von der vorhandenen OU-Struktur und den Gruppennamen abhängig sind?
Ich habe überlegt, LDAP-Abfragen mit Wireshark zu überwachen. Aber das wäre vielleicht zu umständlich. Welche anderen Möglichkeiten siehst du?
Antwort1
Ich empfehle iterative Änderungen. Erstellen Sie die neue gewünschte Struktur (zuerst Gruppen) und fügen Sie dort vorhandene Elemente hinzu. Sie können dann Unit-Tests durchführen, indem Sie die alten Gruppen einzeln oder nacheinander entfernen, und wissen dabei genau, wo Sie suchen müssen, wenn etwas nicht funktioniert.
Für Unternehmen jeder Größe dürfte ein Cutover-Ansatz mit enormen Kopfschmerzen verbunden sein.
Ich würde sagen, dass OUswahrscheinlicheinfacher, schon allein deshalb, weil sie meist ein Ziel von Gruppenrichtlinien sind. GPMC- und RSOP-Tools eignen sich gut, um die Hierarchie vor einem solchen Vorhaben zu klären.
Sie sollten auf jeden Fall alle Technologieteams in die Bemühungen einbeziehen, da unweigerlich jemand die SharePoint-Benutzersynchronisierung oder etwas anderes auf eine bestimmte Organisationseinheit oder einen bestimmten Zweig ausrichtet (um echte Benutzer von Dienstkonten usw. zu trennen).
Mir ist kein Tool bekannt, das dies für Sie erledigt. Ich würde auch keinem Tool zutrauen, die Arbeit zu 100 % zu erledigen.
Antwort2
Das ist sehr schwer herauszufinden.
Ich bin mir nicht ganz sicher, ob es möglich ist, herauszufinden, ob eine bestimmte Gruppe aufgerufen wird.
Unabhängig davon, selbst wenn Sie herausfinden könnten, ob und von wo aus eine bestimmte Gruppe verwendet wird, verwenden die meisten Anwendungen nicht den Gruppennamen. Sie verwenden die SID der Gruppe.
Selbst wenn Sie herausfinden würden, woher alle Anrufe genau kommen, könnten Sie wahrscheinlich immer noch nicht herausfinden, ob der Anruf über die SID getätigt wurde oder ob die Anwendung schlecht geschrieben ist und tatsächlich den Gruppennamen verwendet.
Sieh dir das anÄhnlicher Beitrag.