Tags: Active Directory, Reporting, Tools
ModernAD ist ein PowerShell-Modul, das mehrere vordefinierte HTML-Berichte zu AD-Objekten generieren kann. Der integrierte Search Builder erlaubt darüber hinaus das Erstellen komplexer Filter, um gezielt an die gewünschten Daten zu kommen. Die Reports können in mehreren Formaten exportiert werden, darunter PDF und Excel.
Die Beschränkungen der grafischen Bordmittel wie AD-Benutzer und -Computer oder AD-Verwaltungscenter beim Reporting sind hinlänglich bekannt. Unzureichende Filter- und Exportoptionen sowie eine dürftige Aufbereitung der Daten lassen Admins zu PowerShell oder Produkten von Drittanbietern greifen.
In diese Kategorie fallen auch eine Reihe kostenloser Tools, darunter Lite-Versionen kommerzieller Produkte, oder wie im Fall von ModernAD, auch Open-Source-Programme.
ModernAD kommt als PowerShell-Modul, das man über die gewohnten Mechanismen installieren kann. Am einfachsten geht es über PowerShellGet:
Install-Module modernActiveDirectory
Verfügt man über keine administrativen Rechte, dann kann man es so nur für den aktuellen Benutzer hinzufügen:
Install-module ModernActiveDirectory -Scope CurrentUser
Als alternative Methode kommen der Download von GitHub und eine manuelle Installation in Frage, indem man den Inhalt des ZIP-Archivs in ein Verzeichnis des $env:PSModulePath entpackt.
Reports generieren
Zur Nutzung des Tools benötigt man nur einen einzigen Befehl, nämlich den Aufruf von
Get-ADModernReport
Alle weiteren Aktionen finden dann auf der Web-GUI von ModernAD statt. Wenn man dieses Kommando ohne Parameter in einer Session mit erhöhten Rechten startet, dann hat der Web-Browser anschließend jedoch keinen Zugriff auf die HTML-Dateien, weil er im Kontext des Standardbenutzers läuft und die Reports im Temp-Verzeichnis des Admin-Users gespeichert werden.
In dieser Konstellation empfiehlt sich daher die Verwendung des Parameters SavePath, um für den Speicherort beispielsweise explizit eine Netzfreigabe festzulegen:
Get-ADModernReport -SavePath \\server\share
Das Tool unterstützt eine Reihe weiterer Argumente, durch die man mit Hilfe der Autovervollständigung rotieren kann.
Nennenswert sind unter anderem die Days, UserCreatedDays und DayUntilPWExpireINT, mit denen man die Zeiträume für bestimmte User-Abfragen definiert (wie lange haben sich User nicht angemeldet, welche Konten wurden innerhalb eines bestimmten Zeitraums angelegt, User deren Passwort innerhalb einer bestimmten Frist abläuft).
Per Vorgabe blendet der Report die administrativen Konten aus, dies kann man mit dem Schalter Showadmin ändern. IllimitedSearch sorgt dafür, dass alle AD-Objekte durchsucht werden. Mit OUlevelSearch kann man die Suche auf Base, OneLevel oder Subtree einschränken bzw. erweitern.
Dashboard mit wichtigen Kennzahlen
Nach erfolgreicher Ausführung des Scripts öffnet dieses automatisch die Startseite des Reporting-Tools. Diese besteht aus einem Dashboard, das die wesentlichen Kennzahlen für AD-Objekte visualisiert, sowie aus der Navigation, über die man spezifische Reports startet.
Die Widgets auf dem Dashboard geben unter anderem Auskunft über Benutzer, deren Konto deaktiviert wurde, die sich nie oder in den letzten 90 Tagen nicht angemeldet haben oder wie viele von ihnen Domain- und Enterprise-Admins sind.
Hinzu kommen Infos zu problematischen GPOs, Computer mit einem veralteten Betriebssystem oder zur Domäne selbst (PDC, Funktionsebene, AD-Papierkorb). Schließlich enthalten einige Widgets die Historie zu bestimmten Vorgängen wie dem Anlegen von Konten für Computer und Benutzer, die zuletzt gesperrten Konten oder die Zahl der in den letzten 30 Tagen gelöschten Objekte.
Reports zu Gruppen, OUs, GPOs
Neben der globalen Sicht auf das AD im Dashboard bietet ModernAD die Möglichkeit, individuelle Reports zu bestimmten Objekten zu generieren. Unter dem Menü Domains finden sich Einträge zu Gruppen, leeren Gruppen, OUs, Group Policy und Druckern.
Diese Befehle öffnen die vorgenerierten Berichte und enthalten sämtliche Objekte. Über den Search Builder kann man aber nun komplexe Filter generieren, die Abfragen über mehrere Attribute enthalten können. Die einzelnen Kriterien kann man über AND oder OR verknüpfen.
So ließen sich auf diese Weise alle GPOs anzeigen, die im letzten Monat geändert wurden, oder alle Gruppen ermitteln, die bestimmte User als Mitglieder haben.
Nach dem gleichen Prinzip funktionieren die Berichte für Users und Computers, die sich im Menü Objects befinden. Per Vorgabe enthalten sie alle Objekte des jeweiligen Typs und lassen sich dann ebenfalls anhand selbstdefinierter Filter auf die gewünschten Konten eingrenzen.
Alle Reports zu spezifischen Objekttypen enthalten neben den tabellarischen Daten mehrere Diagramme, aus denen wichtige Kennzahlen hervorgehen. Im Fall der Computer erkennt man etwa die Anteile der jeweiligen Betriebssysteme, bei den Benutzern erhält man unter anderem Aufschluss über den Ablaufstatus der Passwörter.
Alle Berichte lassen sich in mehreren Formaten exportieren (PDF, CSV, Excel), wobei nur die textuellen Informationen, aber nicht die Diagramme übernommen werden.
Fazit
ModernAD ist ein freies Reporting-Tool für das Active Directory, das sich sehr einfach installieren und nutzen lässt. Bereits mit einem täglichen Blick auf das Dashboard können Admins dafür sorgen, dass ihnen wichtige Informationen nicht entgehen. Für die regelmäßigen Updates müsste man ModernAD allerdings über eine geplante Aufgabe ausführen.
Für eine detaillierte Recherche bietet das Tool eigene Reports zu verschiedenen Objekttypen wie Gruppen, GPOs, Benutzer oder Computer. Diese kann man mit Hilfe beliebiger Filter auf die gewünschten Einträge reduzieren.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- AD FastReporter Free: Berichte generieren für User, Gruppen, Computer, GPOs
- LAPS WebUI: Lokale Admin-Passwörter im Browser aus dem Active Directory abrufen
- Benutzer im Active Directory filtern und bearbeiten mit NetKey UMT
- Im Test: Active Directory Reports Professional
- Reports zum Active Directory erzeugen mit dem kostenlosen AD Info
Weitere Links