Mobile-Menu

Tipps und Best Practices für das Active Directory Cleanup Aufräumen im Active Directory

Von Thomas Joos

Das Active Directory sollte regelmäßig bereinigt werden, um Sicherheit und Stabilität zu gewährleisten. Dazu gehört auch das Entfernen von nicht mehr benötigten Computer- und Benutzerkonten. Denn diese stellen Einfallstore für Angreifer dar und sind gleichzeitig Ballast für Domänencontroller.

Anbieter zum Thema

Zum Aufräumen im Active Directory gehört auch die regelmäßige Überprüfung des Sicherheitszustands des Verzeichnisdienstes – beispielsweise mit PingCastle.
Zum Aufräumen im Active Directory gehört auch die regelmäßige Überprüfung des Sicherheitszustands des Verzeichnisdienstes – beispielsweise mit PingCastle.
(Bild: Ping Castle SAS)

Mindestens einmal im Monat sollten sich Administratoren das Active Directory ihrer Infrastrukturumgebung genauer anschauen und nicht mehr benötigte Benutzer- und Computerkonten deaktivieren oder löschen. Neben diesen Objekten sollten aber auch andere Objekte aus Active Directory entfernt werden, wenn diese nicht mehr benötigt werden. Dazu gehören auch Domänencontroller, Gruppenrichtlinien und ungenutzte Gruppen.

Bildergalerie
Bildergalerie mit 55 Bildern

Erster Überblick in Sachen AD-Sicherheit

Mit dem Tool PingCastle lassen sich Sicherheitslücken in Active Directory finden. Dazu wird das Archiv entpackt und eine Befehlszeile geöffnet. Um einen ersten Check der Umgebung durchzuführen, wird der folgende Befehl eingegeben:

PingCastle --healthcheck --server joos.int

Zum Starten reicht es aus, die Datei „Pingcastle.exe“ doppelzuklicken. Das Tool läuft in der Befehlszeile. Die Ausführung kann auf Windows-Arbeitsstationen genauso erfolgen, wie auf Domänencontrollern. In diesem Beispiel wird die Domäne „joos.int“ getestet. Anschließend erstellt das Tool eine HTML-Datei, die mit einem Browser geöffnet werden kann. Hier wird dann ersichtlich, wo Sicherheitsgefahren lauern und behoben werden sollten.

Bestandteil des Tools ist eine PDF-Datei, die weitere Informationen zu den Optionen bietet. Auch diese Informationen helfen beim Bereinigen von Active Directory enorm. Wir haben PingCastle und andere Tools aus diesem Bereich umfassend im Beitrag "Diese Tools sorgen für mehr AD-Sicherheit" beleuchtet.

Ungenutzte Konten: Sicherheitsgefahr und Ballast für Domänencontroller

Bereits deaktivierte Konten, die schon länger nicht mehr im Einsatz sind, sollten unbedingt gelöscht werden. Solche Konten stellen eine große Gefahr für die Sicherheit dar, weil sie von Angreifern unbemerkt übernommen werden können. Darüber hinaus sind nicht mehr benötigte Objekte eine Belastung für Domänencontroller und Datensicherung. Aus diesen Gründen ist eine Bereinigung mehr als sinnvoll.

Wir haben uns bereits im Beitrag "10 Tipps für die Verwaltung von Active Directory mit der PowerShell" mit dem Thema auseinandergesetzt und gezeigt, wie inaktive Benutzer und Computer mit Bordmitteln der PowerShell schnell identifiziert werden können.

Nicht aktive Benutzerkonten lassen sich aber auch in der Befehlszeile mit "dsquery" finden. Wie das geht, beschreiben wir im Beitrag "Tipps und Tools für die Benutzer-Verwaltung in Active Directory" https://www.ip-insider.de/tipps-und-tools-fuer-die-benutzer-verwaltung-in-active-directory-a-941390/.

Last Logon Finder erkennt kostenlos nicht mehr aktive Konten

Im Beitrag "10 Tools für Active-Directory-Admins" zeigen wir verschiedene Tools, die Admins das Leben erleichtern. Dazu gehört auch das Tool "Last Logon Finder", mit dem sich die Anmeldedaten der Benutzer auslesen lassen. Dadurch wird schnell ersichtlich, welche Konten nicht mehr aktiv im Einsatz sind.

Tools, wie ManageEngine ADManager Plus sind eine weitere Hilfe, um Active Directory von nicht mehr benötigten Objekten zu befreien. Das Tool kann Active Directory auch automatisiert bereinigen. Eine Testversion kann bei den Entwicklern heruntergeladen werden.

Neben den Benutzer- und Computerkonten sollten auch leere Gruppen möglichst entfernt werden. Sind diese Gruppen nicht mehr im Einsatz, stellen sie ebenfalls nur ein Sicherheitsrisiko und einen Ballast für Domänencontroller dar. Leere Gruppen können zum Beispiel in der PowerShell mit dem folgenden Befehl gefunden werden:

Get-ADGroup -Filter * -Properties Members | where { -not $_.Members}

Übersichtlicher wird die Darstellung mit:

Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name

Nicht mehr benötigte Gruppenrichtlinien entfernen

Neben den nicht mehr benötigten Benutzer- und Computerkonten sollten auch die nicht mehr benötigten Gruppenrichtlinien aus dem AD entfernt werden, wenn sie keinen Einsatz mehr finden. Ob Gruppenrichtlinien noch mit einer OU oder der Domäne verknüpft sind, lässt sich in der Gruppenrichtlinienverwaltung mit "gpmc.msc" schnell in Erfahrung bringen. Bei "Gruppenrichtlinienobjekte" sind die vorhandenen Richtlinien zu sehen. Nicht mehr benötigte Richtlinien können über das Kontextmenü gesichert und danach aus dem AD entfernt werden.

Bereinigung von Active Directory und Entfernen von Domänencontrollern

In manchen Fällen ist der Aufwand einer Fehlerbehebung viel größer, als einfach den betroffenen Domänencontroller neu zu installieren und wieder in Active Directory zu integrieren. Durch die erneute Integration erhält der Domänencontroller wieder die Daten von den anderen Domänencontrollern der Domäne. Häufig passiert es auch, dass Domänencontroller zwar entfernt werden, aber sich noch Restdaten in Active Directory befinden. Auch diese Daten sollten aus Gründen der Sicherheit und Stabilität aus dem Netzwerk entfernt werden.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Die Metadaten von Active Directory enthalten alle Einträge und Servernamen, die zu Active Directory gehören. Wenn ein Domänencontroller ausfällt oder erzwungen aus dem Active Directory entfernt wird, sollten die Metadaten nachträglich bereinigt werden. Für diese Bereinigung kann das Befehlszeilentool "Ntdsutil" zum Einsatz kommen. Um die Metadaten von Active Directory zu bereinigen, werden folgende Aufgaben durchgeführt:

  • Geben Sie nach dem Start von "Ntdsutil" den Befehl "metadata cleanup" ein.
  • Geben Sie "connections" ein.
  • Geben Sie den Befehl "connect to server <Domänencontroller>" ein.
  • Geben Sie den Befehl "quit" ein, um wieder zum Menü "metadata cleanup" zurückzukehren.
  • Geben Sie "select operation target" ein.
  • Es folgt der Befehl "list domains". Damit werden alle Domänen der Gesamtstruktur angezeigt.
  • Geben Sie danach den Befehl "select domain <Nummer der Domäne>" ein. Wählen Sie als Nummer die Domäne aus, aus der Sie den Domänencontroller entfernen wollen.
  • Geben Sie als Nächstes "list sites" ein. Daraufhin werden alle Standorte der Gesamtstruktur angezeigt.
  • Wählen Sie den Standort aus, von dem Sie einen Domänencontroller entfernen wollen. Verwenden Sie dazu den Befehl "select site <Nummer des Standorts>".
  • Nachdem Sie den Standort ausgewählt haben, geben Sie den Befehl "list servers in site" ein. Es werden alle Server in diesem Standort angezeigt.
  • Dann müssen Sie mit "select server <Nummer des Servers>" den Server angeben, den Sie aus dem Active Directory entfernen wollen.
  • Nachdem Sie den Server ausgewählt haben, geben Sie "quit" ein, damit Sie wieder zum Menü "metadata cleanup" gelangen.
  • Geben Sie den Befehl "remove selected server" ein. Es folgt eine Warnmeldung, in der Sie das Entfernen des Servers bestätigen müssen. Nach der Bestätigung dieser Meldung wird der Server aus dem Active Directory entfernt.
  • In Ntdsutil werden die einzelnen Vorgänge beim Entfernen des Servers angezeigt.
  • Im Anschluss können Sie Ntdsutil mit "quit" beenden. Die Active Directory-Metadaten sind bereinigt.

Nachdem die Metadaten von Active Directory bereinigt wurden, sollten Sie noch die Einträge im DNS bereinigen. Entfernen Sie alle SRV-Records, in denen noch der alte Server steht, aus der DNS-Zone der Domäne. Entfernen Sie auch alle Hosteinträge des Servers. Wenn alle DNS-Einträge gelöscht sind, kann auch das Computerkonto des Servers gelöscht werden, falls dies noch nicht geschehen ist.

Bildergalerie
Bildergalerie mit 55 Bildern

(ID:48342220)