ModernAD: Kostenloses Reporting-Tool für Active Directory


    Tags: , ,

    ModernADModernAD ist ein PowerShell-Modul, das mehrere vordefinierte HTML-Berichte zu AD-Objekten generieren kann. Der integrierte Search Builder erlaubt darüber hinaus das Erstellen komplexer Filter, um gezielt an die gewünschten Daten zu kommen. Die Reports können in mehreren Formaten exportiert werden, darunter PDF und Excel.

    Die Beschränkungen der grafischen Bordmittel wie AD-Benutzer und -Computer oder AD-Verwaltungscenter beim Reporting sind hinlänglich bekannt. Unzureichende Filter- und Exportoptionen sowie eine dürftige Aufbereitung der Daten lassen Admins zu PowerShell oder Produkten von Drittanbietern greifen.

    In diese Kategorie fallen auch eine Reihe kostenloser Tools, darunter Lite-Versionen kommerzieller Produkte, oder wie im Fall von ModernAD, auch Open-Source-Programme.

    ModernAD kommt als PowerShell-Modul, das man über die gewohnten Mechanismen installieren kann. Am einfachsten geht es über PowerShellGet:

    Install-Module modernActiveDirectory

    Verfügt man über keine administrativen Rechte, dann kann man es so nur für den aktuellen Benutzer hinzufügen:

    Install-module ModernActiveDirectory -Scope CurrentUser

    Als alternative Methode kommen der Download von GitHub und eine manuelle Installation in Frage, indem man den Inhalt des ZIP-Archivs in ein Verzeichnis des $env:PSModulePath entpackt.

    Reports generieren

    Zur Nutzung des Tools benötigt man nur einen einzigen Befehl, nämlich den Aufruf von

    Get-ADModernReport

    Alle weiteren Aktionen finden dann auf der Web-GUI von ModernAD statt. Wenn man dieses Kommando ohne Parameter in einer Session mit erhöhten Rechten startet, dann hat der Web-Browser anschließend jedoch keinen Zugriff auf die HTML-Dateien, weil er im Kontext des Standard­benutzers läuft und die Reports im Temp-Verzeichnis des Admin-Users gespeichert werden.

    Wenn man das Script unter einem anderen Konto startet, dann sollte man den Pfad für die Berichte explizit angeben.

    In dieser Konstellation empfiehlt sich daher die Verwendung des Parameters SavePath, um für den Speicherort beispielsweise explizit eine Netzfreigabe festzulegen:

    Get-ADModernReport -SavePath \\server\share

    Das Tool unterstützt eine Reihe weiterer Argumente, durch die man mit Hilfe der Auto­vervoll­ständigung rotieren kann.

    Nennenswert sind unter anderem die Days, UserCreatedDays und DayUntilPWExpireINT, mit denen man die Zeiträume für bestimmte User-Abfragen definiert (wie lange haben sich User nicht angemeldet, welche Konten wurden innerhalb eines bestimmten Zeitraums angelegt, User deren Passwort innerhalb einer bestimmten Frist abläuft).

    Per Vorgabe blendet der Report die administrativen Konten aus, dies kann man mit dem Schalter Showadmin ändern. IllimitedSearch sorgt dafür, dass alle AD-Objekte durchsucht werden. Mit OUlevelSearch kann man die Suche auf Base, OneLevel oder Subtree einschränken bzw. erweitern.

    Dashboard mit wichtigen Kennzahlen

    Nach erfolgreicher Ausführung des Scripts öffnet dieses automatisch die Startseite des Reporting-Tools. Diese besteht aus einem Dashboard, das die wesentlichen Kennzahlen für AD-Objekte visualisiert, sowie aus der Navigation, über die man spezifische Reports startet.

    Das Dashboard bietet einen Überblick über den Status verschiedener AD-Objekte.

    Die Widgets auf dem Dashboard geben unter anderem Auskunft über Benutzer, deren Konto deaktiviert wurde, die sich nie oder in den letzten 90 Tagen nicht angemeldet haben oder wie viele von ihnen Domain- und Enterprise-Admins sind.

    Hinzu kommen Infos zu problematischen GPOs, Computer mit einem veralteten Betriebssystem oder zur Domäne selbst (PDC, Funktionsebene, AD-Papierkorb). Schließlich enthalten einige Widgets die Historie zu bestimmten Vorgängen wie dem Anlegen von Konten für Computer und Benutzer, die zuletzt gesperrten Konten oder die Zahl der in den letzten 30 Tagen gelöschten Objekte.

    Reports zu Gruppen, OUs, GPOs

    Neben der globalen Sicht auf das AD im Dashboard bietet ModernAD die Möglichkeit, individuelle Reports zu bestimmten Objekten zu generieren. Unter dem Menü Domains finden sich Einträge zu Gruppen, leeren Gruppen, OUs, Group Policy und Druckern.

    Standardbericht zu den Gruppen im Active Directory

    Diese Befehle öffnen die vorgenerierten Berichte und enthalten sämtliche Objekte. Über den Search Builder kann man aber nun komplexe Filter generieren, die Abfragen über mehrere Attribute enthalten können. Die einzelnen Kriterien kann man über AND oder OR verknüpfen.

    So ließen sich auf diese Weise alle GPOs anzeigen, die im letzten Monat geändert wurden, oder alle Gruppen ermitteln, die bestimmte User als Mitglieder haben.

    Formulierung eines Filters über den Search Builder von ModernAD

    Nach dem gleichen Prinzip funktionieren die Berichte für Users und Computers, die sich im Menü Objects befinden. Per Vorgabe enthalten sie alle Objekte des jeweiligen Typs und lassen sich dann ebenfalls anhand selbstdefinierter Filter auf die gewünschten Konten eingrenzen.

    Alle Reports zu spezifischen Objekttypen enthalten neben den tabellarischen Daten mehrere Diagramme, aus denen wichtige Kennzahlen hervorgehen. Im Fall der Computer erkennt man etwa die Anteile der jeweiligen Betriebs­systeme, bei den Benutzern erhält man unter anderem Aufschluss über den Ablaufstatus der Passwörter.

    Alle Berichte lassen sich in mehreren Formaten exportieren

    Alle Berichte lassen sich in mehreren Formaten exportieren (PDF, CSV, Excel), wobei nur die textuellen Informationen, aber nicht die Diagramme über­nommen werden.

    Fazit

    ModernAD ist ein freies Reporting-Tool für das Active Directory, das sich sehr einfach installieren und nutzen lässt. Bereits mit einem täglichen Blick auf das Dashboard können Admins dafür sorgen, dass ihnen wichtige Informationen nicht entgehen. Für die regelmäßigen Updates müsste man ModernAD allerdings über eine geplante Aufgabe ausführen.

    Für eine detaillierte Recherche bietet das Tool eigene Reports zu verschiedenen Objekttypen wie Gruppen, GPOs, Benutzer oder Computer. Diese kann man mit Hilfe beliebiger Filter auf die gewünschten Einträge reduzieren.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links