Reports zum Active Directory erzeugen mit dem kostenlosen AD Info

    AD InfoDie grafischen Bord­mittel von Windows sind primär für das Ver­walten von AD-Objekten aus­gelegt und nur sehr einge­schränkt geeig­net, um das Active Directory abzu­fragen. Diese Lücke füllt eine ganze Reihe von Dritt­anbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.

    Regelmäßige Abfragen im Active Directory sind ein wichtiger Beitrag, um eine die Datenqualität im Verzeichnis zu erhalten und mögliche Sicher­heits­risiken zu entdecken. So sollte regelmäßig nach inaktiven Benutzern und Computern gesucht werden, um nicht mehr benötigte Objekte zu entfernen. Ähnliches gilt für leere Gruppen oder nicht verknüpfte bzw. deaktivierte GPOs.

    Report zum Ermitteln leerer Container

    Schwerpunkt auf Dokumentation

    Noch wichtiger ist es indes, den Überblick über die Konten in administrativen Gruppen zu behalten, darunter auch indirekte Mit­gliedschaften, oder zu erkennen, ob irgendwelche Benutzer kein Passwort benötigen.

    Direkte und indirekte Mitglieder einer Gruppe ausgeben

    Es liegt auf der Hand, dass ein Aufspüren von Sicherheits­defiziten wesentlich anspruchs­voller ist als das Auflisten des AD-Inventars nach bestimmten Kriterien. Dafür bedarf es einer Proto­kollierung von Änderungen und am besten einer Auswertung von Aktivitäten in Echtzeit. Das ist die Domäne von fortgeschrittenen Tools, etwa für das Security Information and Event Management (SIEM).

    In dieser Hinsicht darf man sich also von einfachen Werkzeugen wie AD Info nicht zu viel erwarten. Seine Stärke liegt in der Dokumentation und Inventarisierung des Active Directory. Zu diesem Zweck bringt es weit über 100 vorgefertigte Berichte mit, die in die Kategorien Computer, Contacts, Containers & OUs, Groups, Group Policy Objects, Printers und Users unterteilt sind.

    Berichte mit Filtern für diverse Attribute

    Die meisten Berichte betreffen erwartungs­gemäß Computer, Benutzer und Gruppen. Eine Reihe von Reports untersuchen jeweils die Eigenschaften von bestimmten Objekten, etwa ob sie vor dem Löschen geschützt sind.

    Mit AD Info lässt sich leicht herausfinden, wenn OUs nicht vor dem Löschen geschützt sind.

    Ähnliches gilt für die Frage, ob die betreffenden Objekte einen Manager haben oder innerhalb eines bestimmten Zeitraums erstellt, geändert oder gelöscht wurden.

    Reports zu GPOs

    Als nützlich erweist sich das Reporting zu GPOs. Ihnen ist eine eigene Registerkarte gewidmet, wo man aber primär erfahren kann, wann Gruppen­richtlinien­objekte erstellt, geändert oder gelöscht wurden.

     Ausgabe aller OUs, die mit GPOs verknüpft sind und Anzeige desselben

    Spannender sind die Auskünfte, die man in diesem Zusammen­hang im Tab für die OUs erhält. Hier kann man sich anzeigen lassen, ob sie mit GPOs verknüpft sind und diese auch gleich auflisten lassen.

    Inventarisierung anhand einfacher Filter

    Eine größere Zahl an vorgefertigten Reports dient einfach dazu, die AD-Objekte wie Benutzer oder Kontakte anhand von bestimmten Attributen wie Firma, Abteilung, Manager zu filtern. Hier könnte man natürlich einwenden, dass man diese Ergebnisse mit einem simplen PowerShell-Kommando ebenfalls bekommen kann. Das gilt etwa für das Anzeigen aller Sicherheitsgruppen, für das ein

    Get-ADGroup -Filter "GroupCategory -eq 'Security'"

    reicht.

    Der Vorteil von AD Info besteht aber nicht nur darin, dass es Admins von PowerShell abschirmt, wenn sie damit nicht besonders vertraut sind. Vielmehr lässt sich der Output sehr einfach durch Auswählen der gewünschten Attribute anpassen, und die Darstellung auf einer grafischen Oberfläche ist zudem ansprechender als die Anzeige auf der Kommandozeile.

    Einschränkungen der Free Edition

    Die Ergebnisse jedes Reports lassen sich im CSV-Format exportieren und dann beispielsweise in Excel weiter auswerten. Hier bietet die kosten­pflichtige Standard Edition mehr Optionen, etwa durch die zusätzliche Unterstützung von HTML oder .xlsx als Ausgabe­format.

    Weitere Alleinstellungs­merkmale der bezahl­pflichtigen Version finden sich auf der Download-Seite des Entwicklers. Dieser enthält der Free Edition jedoch kein Feature vor, das die Software zu einer Art Demo verkrüppeln würde. Das Tool kann ohne Registrierung heruntergeladen werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare