Reports zum Active Directory erzeugen mit dem kostenlosen AD Info

Noch wichtiger ist es indes, den Überblick über die Konten in administrativen Gruppen zu behalten, darunter auch indirekte Mit­gliedschaften, oder zu erkennen, ob irgendwelche Benutzer kein Passwort benötigen.

Es liegt auf der Hand, dass ein Aufspüren von Sicherheits­defiziten wesentlich anspruchs­voller ist als das Auflisten des AD-Inventars nach bestimmten Kriterien. Dafür bedarf es einer Proto­kollierung von Änderungen und am besten einer Auswertung von Aktivitäten in Echtzeit. Das ist die Domäne von fortgeschrittenen Tools, etwa für das Security Information and Event Management (SIEM).

In dieser Hinsicht darf man sich also von einfachen Werkzeugen wie AD Info nicht zu viel erwarten. Seine Stärke liegt in der Dokumentation und Inventarisierung des Active Directory. Zu diesem Zweck bringt es weit über 100 vorgefertigte Berichte mit, die in die Kategorien Computer, Contacts, Containers & OUs, Groups, Group Policy Objects, Printers und Users unterteilt sind.

Berichte mit Filtern für diverse Attribute

Die meisten Berichte betreffen erwartungs­gemäß Computer, Benutzer und Gruppen. Eine Reihe von Reports untersuchen jeweils die Eigenschaften von bestimmten Objekten, etwa ob sie vor dem Löschen geschützt sind.

Ähnliches gilt für die Frage, ob die betreffenden Objekte einen Manager haben oder innerhalb eines bestimmten Zeitraums erstellt, geändert oder gelöscht wurden.

Reports zu GPOs

Als nützlich erweist sich das Reporting zu GPOs. Ihnen ist eine eigene Registerkarte gewidmet, wo man aber primär erfahren kann, wann Gruppen­richtlinien­objekte erstellt, geändert oder gelöscht wurden.

Spannender sind die Auskünfte, die man in diesem Zusammen­hang im Tab für die OUs erhält. Hier kann man sich anzeigen lassen, ob sie mit GPOs verknüpft sind und diese auch gleich auflisten lassen.

Inventarisierung anhand einfacher Filter

Eine größere Zahl an vorgefertigten Reports dient einfach dazu, die AD-Objekte wie Benutzer oder Kontakte anhand von bestimmten Attributen wie Firma, Abteilung, Manager zu filtern. Hier könnte man natürlich einwenden, dass man diese Ergebnisse mit einem simplen PowerShell-Kommando ebenfalls bekommen kann. Das gilt etwa für das Anzeigen aller Sicherheitsgruppen, für das ein

Get-ADGroup -Filter "GroupCategory -eq 'Security'"

reicht.

Der Vorteil von AD Info besteht aber nicht nur darin, dass es Admins von PowerShell abschirmt, wenn sie damit nicht besonders vertraut sind. Vielmehr lässt sich der Output sehr einfach durch Auswählen der gewünschten Attribute anpassen, und die Darstellung auf einer grafischen Oberfläche ist zudem ansprechender als die Anzeige auf der Kommandozeile.

Einschränkungen der Free Edition

Die Ergebnisse jedes Reports lassen sich im CSV-Format exportieren und dann beispielsweise in Excel weiter auswerten. Hier bietet die kosten­pflichtige Standard Edition mehr Optionen, etwa durch die zusätzliche Unterstützung von HTML oder .xlsx als Ausgabe­format.

Weitere Alleinstellungs­merkmale der bezahl­pflichtigen Version finden sich auf der Download-Seite des Entwicklers. Dieser enthält der Free Edition jedoch kein Feature vor, das die Software zu einer Art Demo verkrüppeln würde. Das Tool kann ohne Registrierung heruntergeladen werden.