Übersicht: Kostenlose Tools für Active Directory

    , 22.06.2018
    Tags: , ,

    Active Directory TeaserWindows enthält die nötige Grundausstattung für das Management des Active Directory und seiner verschiedenen Funktionen. Sie reicht aber für viele Aufgaben nicht aus, so dass ein ganzer Markt für AD-Tools entstanden ist. Neben mächtigen Produkten für komplexe Umgebungen füllen auch kostenlose Angebote einige Lücken der Bordmittel.

    Angesichts der Leistungsfähigkeit und Komplexität des Active Directory gibt es ein breites Spektrum von Tools, die sich auf bestimmte Aufgaben spezialisieren. Zum Beispiel dienen mehrere Produkte dem Daten-Management, indem sie das Anlegen von Objekten beschleunigen, den Upload von Dateien vereinfachen oder veraltete Objekte identifizieren.

    Monitoring, Reporting, Rechte-Management

    Ein breites Angebot an Tools dient dem Reporting und Monitoring, einem Bereich also, bei dem die Windows-eigenen Dienstprogramme relativ wenig leisten. Dabei geht es unter anderem um das Überwachen von Änderungen, um eine Übersicht der AD-Zugriffsrechte oder um das Aufdecken von Sicherheitslücken wie etwa Konten mit leeren Passwörtern.

    Neben den mächtigen Werkzeugen größerer Anbieter gibt es eine Vielzahl von Tools kleinerer Hersteller. Die folgende Übersicht erhebt keinen Anspruch auf Vollständigkeit und beschränkt sich im Wesentlichen auf Identity-Management und die Verwaltung der AD-Infrastruktur.

    AD ACL Scanner

    Bei der Verwaltung des AD kann man bestimmte Aufgaben an verschiedene Benutzer oder Gruppen delegieren. Das führt über einen längeren Zeitraum oft zu einem Rechte-Wildwuchs mit entsprechenden Sicherheitsproblemen. Der AD ACL Scanner liest alle Berechtigungen aus und zeigt anhand von Reports, wer wo im AD was darf.

    Der AD ACL Scanner berichtet über alle Zugriffsrechte, die User oder Gruppen auf bestimmte AD-Objekte haben.

    Siehe dazu: Zugriffsrechte im Active Directory analysieren mit dem AD ACL Scanner

    Download

    Whatsup AD Monitor

    Der AD Monitor von Ipswitch gibt einen Überblick über die Auslastung der wichtigsten Systemkomponenten eines Domain-Controller, nämlich von CPUs, Speicher, Laufwerke und Netzwerk.

    Das Dashboard von AD Monitor zeigt allgemeine Systeminformationen und den Status von AD-Diensten.

    Die gebotenen Informationen gehen nicht über das hinaus, die man mit Windows-Bordmitteln wie dem Ressourcen-Monitor oder dem Task-Manager erhält. Die Darstellung der wichtigsten Parameter in einem Dashboard ist jedoch übersichtlicher als in den Windows-eigenen Tools (siehe dazu meine ausführliche Beschreibung von AD Monitor).

    Download

    AD Info

    Bei AD Info handelt es sich um ein Reporting-Tool mit mehr als 190 vorkonfigurierten Berichten, um die gewünschten Informationen aus dem Active Directory zu erfragen. Beispielsweise kann man sich damit sämtliche Gruppenmitgliedschaften von AD-Objekten anzeigen lassen.

    Direkte und indirekte Mitglieder einer Gruppe ausgeben

    Die Möglichkeit zur Erstellung eigener Reports ist auf die kostenpflichtige Standard Edition beschränkt (siehe dazu meine ausführliche Besprechung).

    Download

    AD FastReporter Free

    Wie der Name des Tools erahnen lässt, dient es dazu, Berichte zu diversen AD-Objekten zu erstellen. Es umfasst Dutzende vorgefertigte Reports, die in die Kategorien User, Computers, Groups, Exchange, Contacts, Printers, Group Policy Objects und Organizational Units unterteilt sind.

    Besonders viele Abfragen sieht das Tool für Exchange-Attribute vor.

    In der Free Edition sind diese nicht anpassbar und teilweise müssen Felder aus dem Report entfernt werden, die der kostenpflichtigen Ausführung vorbehalten bleiben. Das Tool beantwortet zahlreiche Fragen, die Admins häufig zu den Eigenschaften von Objekten stellen, und zeigt Änderungen im Active Directory auf.

    Siehe: AD FastReporter Free: Berichte generieren für User, Gruppen, Com­pu­ter, GPOs

    Download

    Active Directory Inspector

    Der AD Inspector ist ein Analyse-Tool, das Konten und Gruppen anhand zahlreicher vordefinierter Kriterien filtern kann. Zum Beispiel lassen sich sämtliche User anzeigen, die nicht alle erforderlichen Attribute besitzen, das Passwort innerhalb der letzten 365 Tage nicht geändert haben oder deren Kennwörter nicht ablaufen.

    Download (nach Registrierung)

    Active Directory Replication Status Tool

    Das Active Directory Replication Status Tool ist eine GUI-Alternative zu repadmin /showrepl. Es analysiert die Replikation zwischen DCs wahlweise auf Forest- bzw. Domänenebene oder zwischen ausgewählten Endpunkten. Ein besonderes Feature ist der Replication Status Viewer mit einer grafischen Darstellung der Topologie und einer sortierbaren Tabelle mit allen Replikations­ereignissen.

    Das Active Directory Replication Status Tool ist eine komfortable GUI-Alternative zu repadmin /showrepl.

    Siehe dazu: Replikation zwischen DCs analysieren mit dem AD Replication Status Tool

    Download

    AD Tidy

    AD Tidy identifiziert inaktive User- und Computer-Konten. Es bietet eine Reihe von Filtermöglichkeiten, um die Suche einzugrenzen. Auf die gefundenen Accounts lassen sich diverse Aktionen anwenden, etwa sie in eine andere OU zu verschieben, sie aus Gruppen zu entfernen oder sie zu deaktivieren. Die Free Edition ist eine abgespeckte Ausführung der Standard Edition. Ihr fehlen die Funktionen zur automatischen Bearbeitung von inaktiven Konten sowie die Kommandozeilen-Tools.

    Siehe dazu: Inaktive Benutzerkonten im AD anzeigen

    Download

    PingCastle

    Bei PingCastle handelt es sich um einen Security-Scanner für das Active Directory, der auch große Strukturen mit mehreren Hundert Domänen prüfen kann. Das Tool zieht zu diesem Zweck mehr als 70 Regeln heran. Es ist ein Programm für die Kommandozeile, das Reports in HTML und XML erzeugt.

    Das Dashboard zeigt den Security-Status anhand mehrerer Indikatoren an.

    Siehe dazu: Schwachstellen im Active Directory entdecken mit dem kostenlosen PingCastle

    Download

    Active Directory Topology Diagrammer

    Microsofts Active Directory Topology Diagrammer liest die Konfiguration des Active Directory über LDAP aus und erstellt daraus ein Visio-Diagramm der AD- und Exchange-Server-Topologie. Die grafische Darstellung kann Domänen, Sites, Server, Organisationseinheiten (OUs), DFS-R, administrative Gruppen sowie Routing Groups und Konnektoren für Exchange enthalten. Der Diagrammer setzt Visio ab der Version 2003 voraus.

    Download

    Jose

    Bei Jose handelt es sich um ein VBScript zur Dokumentation der AD-Struktur sowie ihrer Objekte und Eigenschaften. Es bietet eine grafische Auswahlmaske, mit der sich festlegen lässt, was in die Dokumentation aufgenommen wird. Diese wird im HTML-Format ausgegeben.

    Siehe dazu: Active Directory dokumentieren mit dem kostenlosen Jose 3.5

    Download

    Active Directory Migration Tool (ADMT)

    Wie der Name vermuten lässt, dient dieses Tool von Microsoft dem Umzug von Benutzern Gruppen und Computern in einer neue Gesamtstruktur. Zu diesem Zweck muss vorher eine Vertrauensstellung mit dieser hergestellt werden.

    Wizards in ADMT zur Migration von AD-Objekten

    Siehe dazu: Benutzer zwischen AD-Domänen umziehen mit dem Active Directory Migration Tool (ADMT)

    Group Manager

    Im AD ist die Möglichkeit vorgesehen, Managern einer Gruppe das Recht einzuräumen, Mitglieder hinzuzufügen oder zu entfernen. Group Manager versteht sich als Frontend für normale Benutzer, damit sie diese Aufgabe auf unkomplizierte Weise wahrnehmen können.

    AD Group Manager

    Das Tool benötigt keine Konfiguration und findet automatisch heraus, für welche Gruppen der angemeldete User Management-Rechte hat.

    Siehe dazu: Verwaltung von AD-Gruppen an Benutzer delegieren mit Group Manager

    Download

    Inactive User Account Removal Tool

    Das Inactive User Account Removal Tool von SolarWinds ist auf eine einzige Aufgabe spezialisiert, nämlich inaktive Konten zu finden und sie zu beseitigen. Im Gegensatz zum Windows-eigenen dsquery findet es auch solche, an denen sich noch nie jemand angemeldet hat. Die Software kommt im Paket mit dem Inactive Computer Account Removal Tool und dem User Import Tool.

    Download (mit Registrierung)

    Lepide Active Directory Bulk Image Editor

    Der AD Bulk Image Editor ist ein GUI-Tool, mit dem sich Bilder in das AD hochladen und dort verwalten lassen. Es kann zudem Images von allen oder ausgewählten Konten anzeigen, diese entfernen oder exportieren.

    Download (nach Registrierung)

    Lumax

    Lumax ist ein Reporting-Tool für User-Konten, das zahlreiche Filteroptionen bietet. Bei der Darstellung ausgewählter Accounts kann man User farblich hervorheben, die ein bestimmtes Kriterium erfüllen. Zum anderen lassen sich nach dem Muster von ADAC alle User ausblenden, die nicht auf eine Auswahl passen.

    Lumax bietet eine ganze Reihe von Filtern, um ausgewählte Konten anzuzeigen.

    Siehe dazu: User-Attribute im Active Directory abfragen mit Lumax

    Download

    Manageengine Free Directory Tools

    Es handelt sich dabei um eine Sammlung von mehreren Tools: Free Password Policy Manager, AD Replication Manager, SharePoint Reporter, DMZ Port Analyzer, Domain and DC Roles Reporter, AD Query Tool, Empty Password Reporter und Duplicates Identifier.

    Download

    Netwrix Active Directory Change Reporter

    Der AD Change Reporter ist ein Auditing-Tool, das alle Änderungen an AD-Objekten oder GPOs nachverfolgen kann. Voraussetzung dafür ist, dass Auditing im AD aktiviert wurde. Die funktional eingeschränkte Free Edition meldet zwar alle Änderungen, aber nicht vom wem und wann sie gemacht wurden. Die Fähigkeit zum Rollback ist auf Änderungen beschränkt, die in den letzten 4 Tagen vorgenommen wurden.

    Download (mit Registrierung)

    SpecOps Password Auditor

    Bei Password Auditor handelt es sich um ein Reporting-Tool, das einen Überblick über die konfigurierten Password Policies im AD gibt. Sie lassen sich mit den Empfehlungen anerkannter Organisationen vergleichen.

    Durch Specops Password Auditor erzeugter Report zur AD-Passwortsicherheit

    Weitere Reports zeigen all jene Konten, die ein leeres Passwort haben oder deren Kennwort abgelaufen ist bzw. in Kürze abläuft. Außerdem findet das Tool heraus, ob bestimmte Kennwörter mehrfach verwendet wurden.

    Siehe dazu: Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor

    Download

    Sysinternals AD Explorer

    Der AD Explorer lässt sich nutzen, um durch die hierarchischen Strukturen des Active Directory zu navigieren sowie einzelne Objekte bis auf Attributebene zu analysieren und zu ändern. Außerdem kann er Snapshots der AD-Datenbank erstellen und diese miteinander bzw. mit der Live-Konfiguration vergleichen.

    Der AD Explorer bietet eine feiner einstellbare Suche als etwa das Active Directory Verwaltungscenter.

    Siehe dazu: AD Explorer: Änderungen im Active Directory nachverfolgen

    Download

    Z-Hire und Z-Term

    Z-Hire und sein Gegenspieler Z-Term dienen dazu, das Anlegen und das Deaktivieren von Benutzerkonten im Active Directory auf Basis von Templates zu automatisieren. Die Tools können auch die Accounts für Exchange, Lync und Office 365 konfigurieren.

    Z-Hire kann sich viele Einstellungen für bestimmte User-Typen in Templates merken und sie beim Anlegen eines Kontos laden.

    Siehe dazu: Z-Hire 5.0: AD-User anlegen mit Hilfe von Templates

    Download

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links