Actualmente estamos en el proceso de rediseñar nuestra infraestructura AD. Estoy bastante preocupado por el posible impacto que un cambio de varios nombres de grupos u unidades organizativas podría tener en nuestros ecosistemas (como el software relevante de IAM, etc.). Quiero asegurarme de que no haya dependencias desconocidas.
Entonces, ¿cuál sería la mejor manera de determinar qué direcciones IP/hosts o scripts/procesos dependen de la estructura OU y los nombres de grupo existentes?
Estaba pensando en monitorear consultas LDAP usando Wirehark. Pero eso podría resultar demasiado inconveniente. ¿Qué otras posibilidades ves?
Respuesta1
Recomiendo cambios iterativos. Cree la nueva estructura deseada (primero los grupos) y agregue allí los elementos existentes. Luego puede realizar pruebas unitarias eliminando los grupos heredados uno o dos a la vez, sabiendo exactamente dónde buscar si algo falla.
Un enfoque de transición probablemente será un gran dolor de cabeza para una organización de cualquier tamaño.
Diré que las OU sonprobablementemás fácil, aunque sólo sea porque son principalmente el objetivo de las políticas de grupo. Las herramientas GPMC y RSOP son muy adecuadas para clasificar la jerarquía antes de emprender una empresa de este tipo.
Definitivamente debe incluir a todos los equipos de tecnología en el esfuerzo, ya que alguien invariablemente apunta a la sincronización de usuarios de SharePoint o algo a una unidad organizativa o sucursal específica (para mantener a los usuarios reales separados de las cuentas de servicio, etc.)
No conozco ninguna herramienta que haga esto por usted. Tampoco confiaría en ninguna herramienta para hacer el 100% del trabajo.
Respuesta2
Esto es muy difícil de descubrir.
No estoy del todo seguro de si es posible saber si se está llamando a un grupo en particular.
De todos modos, incluso si logró averiguar si se está utilizando un grupo específico y desde dónde, la mayoría de las aplicaciones en realidad no usan el nombre del grupo. Usan el SID del grupo.
Lo más probable es que si descubrieras exactamente de dónde provienen todas las llamadas, aún no podrías saber si la llamada se realizó usando el SID o si la aplicación estaba mal escrita y en realidad utiliza el nombre del grupo.
Mira estoPublicación relacionada.