Workshop: Berichte für das Active Directory mit kostenlosen Tools erstellen

Ein großer Vorteil der hier vorgestellten Werkzeuge: Sie müssen die Tools nicht auf den Domänencontrollern verwenden. Einige müssen Sie nicht einmal fest installieren. Alles, was Sie brauchen, ist ein Rechner in der Active Directory-Gesamtstruktur. Wir haben die kleinen Helfer mit Windows Server 2012 R2 und Windows 8.1 getestet, sie laufen auch unter Windows 7 und Server 2012. Setzen Sie ältere Versionen ein, müssen Sie gegebenenfalls ausprobieren, ob die Software funktioniert.

Rechte auslesen mit AD ACL Scanner

In Unternehmen, in denen mehrere Administratoren das Active Directory verwalten und ein komplexes Berechtigungsmodell im Einsatz ist, sollten die Berechtigungen im Active Directory regelmäßig ausgelesen und dokumentiert werden. Das ist vor allem dann notwendig, wenn in Unternehmen Revisionen durchgeführt werden. Aber auch sonst kann es sinnvoll sein, beständig zu überprüfen, welche Administratoren oder Benutzerkonten Rechte in den verschiedenen Organisationseinheiten haben. Dazu bietet sich das PowerShell-Skript AD ACL Scanner [1] an. Es startet eine grafische Oberfläche und bietet den Vorteil, dass Sie es nicht installieren müssen. Sie rufen die Skriptdatei auf und lassen sich die Rechte in der dazugehörigen Oberfläche anzeigen.

Neben den Rechten von Administratoren kann das Tool auch anzeigen, ob Benutzer mit delegierten Rechten – zum Beispiel für das Zurücksetzen von Kennwörtern – zu viele Privilegien erhalten haben. So stellen Sie etwa fest, ob Benutzerkonten Administratorrechte in Organisationseinheiten haben, für die das nicht gewünscht ist. Außerdem vermeiden Sie mit dem Tool Redundanzen. Sie erkennen, wenn ein Benutzerkonto über mehrere Wege wie etwa einer direkten Zuordnung und durch Mitgliedschaft in einer Gruppe das Recht besitzt, andere Konten zu verwalten.

Damit Sie das Tool nutzen können, müssen Sie in der PowerShell auf dem

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.