目前我們正在重新設計我們的 AD 基礎架構。我非常擔心更改多個群組或 OU 名稱可能對我們的生態系統(例如 IAM 相關軟體等)產生的影響。我想確保不存在未知的依賴關係。
那麼,確定哪些 IP 位址/主機或腳本/進程依賴現有 OU 結構和群組名稱的最佳方法是什麼?
我正在考慮使用wireshark 監控LDAP 查詢。但這可能太不方便了。您還看到哪些其他可能性?
答案1
我建議迭代更改。建立新的所需結構(首先是群組)並在其中新增現有項目。然後,您可以進行單元測試,一次刪除一兩個舊組,同時準確地知道在出現問題時應該在哪裡找到。
對於任何規模的組織來說,切換方法可能是一個非常令人頭痛的問題。
我會說 OU 是大概更容易,因為它們主要是群組策略的目標。 GPMC 和 RSOP 工具非常適合在此類冒險之前理清層次結構。
您絕對應該讓所有技術團隊參與其中,因為有人總是將 SharePoint 使用者同步或特定的 OU 或分支作為目標(以將真實使用者與服務帳戶等分開)
我不知道有什麼工具可以為您做到這一點。我也不相信任何工具可以完成 100% 的工作。
答案2
這很難找出來。
我不完全確定是否可以找出某個特定群組是否正在被呼叫。
無論如何,即使您確實設法查明是否正在使用特定群組以及從何處使用,大多數應用程式實際上並未使用該群組名稱。他們使用群組的 SID。
如果您要準確找出所有呼叫的來源,您仍然可能無法確定呼叫是否是使用 SID 完成的,或者應用程式是否寫得不好並且實際上使用了群組名稱。
看到這個相關貼文。