Как найти потенциальные зависимости AD-groupname и OU-структуры экосистем?

Question

Как найти потенциальные зависимости AD-groupname и OU-структуры экосистем?

В настоящее время мы находимся в процессе реорганизации нашей инфраструктуры AD. Я весьма обеспокоен возможным влиянием, которое может оказать изменение нескольких названий групп или подразделений на наши экосистемы (например, соответствующее программное обеспечение IAM и т. Д.). Я хочу убедиться, что нет никаких неизвестных зависимостей.

Итак, как лучше всего определить, какие IP-адреса / хосты или сценарии / процессы зависят от существующей структуры OU и имен групп?

Я думал о мониторинге запросов LDAP с помощью wireshark. Но это может быть слишком неудобно. Какие еще возможности вы видите?

1

active-directory ldap groups organizational-unit

Источник

Matze 26 фев '15 в 13:07

2 ответа

Решение

Это очень сложно выяснить.

Я не совсем уверен, можно ли узнать, вызывается ли конкретная группа.
В любом случае, даже если вам удалось выяснить, используется ли конкретная группа и откуда, большинство приложений фактически не используют имя группы. Они используют SID группы.

Скорее всего, если бы вы точно выяснили, откуда поступают все вызовы, вы все равно не сможете узнать, был ли вызов выполнен с использованием SID, или приложение было написано плохо и фактически использует имя группы.

Смотрите этот пост.

2

Источник

Reaces 26 фев '15 в 14:15

Другие вопросы по тегам active-directory ldap groups organizational-unit

blaughw 26 фев '15 в 16:29 2015-02-26 16:29 · Accepted Answer · 2015-02-26 16:29

Я рекомендую итеративные изменения. Создайте новую желаемую структуру (сначала группы) и добавьте туда существующие элементы. Затем вы можете выполнить модульный тест, удаляя устаревшие группы по одной или двум за раз, точно зная, где искать, если что-то сломается.

Сокращенный подход, вероятно, будет огромной головной болью для организации любого размера.

Я скажу, что OU, вероятно, проще, хотя бы потому, что они в основном являются целью групповых политик. Инструменты GPMC и RSOP хорошо подходят для сортировки иерархии перед таким предприятием.

Вы обязательно должны включить все технологические группы в работу, так как кто-то неизменно нацеливал синхронизацию пользователей SharePoint или что-то в определенное подразделение или филиал (чтобы отделить реальных пользователей от учетных записей служб и т. Д.)

Я не знаю инструмента, который сделает это за вас. Я также не доверял бы любому инструменту, чтобы сделать 100% работы.