В настоящее время мы находимся в процессе перепроектирования нашей инфраструктуры AD. Я весьма обеспокоен возможным влиянием изменения нескольких имен групп или OU на наши экосистемы (например, программное обеспечение, относящееся к IAM и т. д.). Я хочу убедиться, что нет неизвестных зависимостей.
Так каков же наилучший способ определить, какие IP-адреса/хосты или скрипты/процессы зависят от существующей структуры OU и имен групп?
Я думал о мониторинге запросов LDAP с помощью wireshark. Но это может быть слишком неудобно. Какие еще возможности вы видите?
решение1
Я рекомендую итеративные изменения. Создайте новую желаемую структуру (сначала группы) и добавьте туда существующие элементы. Затем вы можете провести модульное тестирование, удаляя устаревшие группы по одной или по две за раз, при этом точно зная, где искать, если что-то сломается.
Подход «среза», скорее всего, станет огромной головной болью для организации любого размера.
Я скажу, что ОУ являютсявероятнопроще, хотя бы потому, что они в основном являются целью групповых политик. Инструменты GPMC и RSOP хорошо подходят для сортировки иерархии перед такой авантюрой.
Вам определенно следует привлечь к работе все технологические группы, поскольку кто-то неизменно нацеливает синхронизацию пользователей SharePoint или что-то в этом роде на определенное подразделение или филиал (чтобы отделить реальных пользователей от учетных записей служб и т. д.)
Я не знаю инструмента, который сделает это за вас. Я также не стал бы доверять ни одному инструменту выполнение 100% работы.
решение2
Это очень трудно выяснить.
Я не совсем уверен, возможно ли узнать, вызывается ли конкретная группа.
Независимо от этого, даже если вам удалось узнать, используется ли конкретная группа и откуда, большинство приложений на самом деле не используют имя группы. Они используют SID группы.
Скорее всего, если бы вы точно выяснили, откуда поступают все вызовы, вы все равно не смогли бы выяснить, был ли вызов совершен с использованием SID или приложение было плохо написано и фактически использовало имя группы.
Видеть этосвязанный пост.