designsoliman - Fotolia

Active Directory: Organisationseinheiten besser schützen

Dank der OUs oder Organisationseinheiten im Active Directory kann man für Ordnung in der IT-Organisation sorgen. Daher sollte man die Objekte vor unabsichtlichem Löschen schützen.

Mit Hilfe des Active Directory können Administratoren die hierarchische Organisation des Unternehmens abbilden, Anwendern Zugriff auf Ressourcen gewähren und Kontrolle wie Überblick behalten. Wird ein Teils des Verzeichnisdienstes beispielsweise bei Wartungsarbeiten versehentlich gelöscht, kann dies weitreichende Folgen haben und den Geschäftsbetrieb empfindlich beeinträchtigen.

AD-Organisationseinheiten (OU) ordnen Benutzer, Systeme und andere Elemente einer ganz bestimmten Ordnung zu. Daher kann das Entfernen einer Organisationseinheit für massive Störungen im Betrieb sorgen. Löscht ein Admin beispielsweise versehentlich eine OU, können sich diese Mitarbeiter nicht mehr an ihren PCs anmelden. Solange der Admin die Organisationseinheit nicht wieder herstellt, leidet die Produktivität des Unternehmens. Zwar verfügt das Active Directory ja seit geraumer Zeit über einen Papierkorb, um in Zweifel Elemente wiederherstellen zu können. Aber eine vollständige Wiederherstellung kann in größeren Unternehmen schon mal mehrere Stunden in Anspruch nehmen.

Nun lassen sich Objekte im Active Directory vor dem versehentlichen Löschen über die Eigenschaften schützen. Mithilfe eines PowerShell-Skripts lässt sich überprüfen, ob auch jede AD-Organisationseinheit tatsächlich geschützt ist.

Je nach verwendeter Windows-Version müssen die Active-Directory-Cmdlets unter Umständen erst installiert werden. Installieren Sie hierfür gegebenenfalls das RSAT-Paket (Remote Server Administration Tools) für das jeweilige Betriebssystem. Zu diesen gehört auch das Active-Directory-Modul. Dieses muss nun noch aktiviert werden. Und zwar über Programs and Features und folgendem Pfad: Remote Server Administration Tools/Role Administration Tools/AD DS and AD LDS Tools/Active Directory Module for Windows PowerShell. Oder bei deutscher Spracheinstellung über Programme und Features und dem Pfad: Remoteserver-Verwaltungstools/Rollenverwaltungstools/ AD DS-/AD LDS-Tools/Active Directory-Modul für Windows PowerShell.

Den Schutzstatus der AD-Objekte ermitteln

Um den Schutzstatus einer einzelnen Organisationseinheit im Active Directory zu ermitteln, kann der Identity-Parameter verwendet werden: 

Get-ADOrganizationalUnit –Identity "OU=ComputersOU, DC=TechTarget, DC=Com" –Properties ProtectedFromAccidentalDeletion 

Die Eigenschaft ProtectedFromAccidentalDeletion gibt einen FALSE-Wert zurück, wenn die AD-Organisationseinheit nicht geschützt ist. 

Sind alle Organisationseinheiten geschützt?

Um den Schutzstatus von Organisationseinheiten in allen Active-Directory-Domänen zu ermitteln, kann das folgende PowerShell-Skript verwendet werden. Es erfasst alle OUs, überprüft deren Schutzeinstellungen und speichert die Ergebnisse in einer CSV-Datei.

$ReportFile="C:\Temp\OUProtectionStatus.CSV"

Remove-item $ReportFile -ErrorAction

$ThisStr="OU Name, OU Path, In AD Domain, Final Status"

Add-Content "$TestCSVFile" $ThisStr

$DomainList = "C:\Temp\DomainList.TXT"

ForEach ($DomName in Get-Content "$DomainList")

{

    $AllOUs = Get-ADOrganizationalUnit -Server $DomName -filter * -Properties * | where {$_.ProtectedFromAccidentalDeletion -eq $false}

    $TotOUNow = $RAllOU.Count

    IF ($TotOUNow -ne 0)

    {

        ForEach ($Item in $AllOUs)

        {

            $FinalSTR = '"'+$Item.Name+'"'+","+'"'+$Item.DistinguishedName+'"'+","+$ThisDomain+",Not Ok"

            Add-Content "$ReportFile" $FinalSTR

        }

    }

}

Das Skript erzeugt eine Reportdatei mit dem OU-Namen, OU-Pfad, OU-Domänennamen und dem OU-Schutzstatus.

Per PowerShell-Skript lässt sich der Schutzstatus der AD-Organisationseinheiten ermitteln und eine CSV-Datei mit den Ergebnissen erzeugen.
Abbildung 1: Per PowerShell-Skript lässt sich der Schutzstatus der AD-Organisationseinheiten ermitteln und eine CSV-Datei mit den Ergebnissen erzeugen.

In diesem Beispiel zeigen die Ergebnisse des Skripts an, dass die Schutzeinstellung für UsersOU, ComputersOU, ServersOU und Domänencontroller nicht aktiviert ist. Das Skript erfasst den spezifischen Namen der OU, um das Auffinden der AD-Organisationseinheit zu erleichtern und so die Schutzeinstellung aktivieren zu können.

Um den Schutz für eine oder alle AD-Organisationseinheiten in der Domäne zu aktivieren, kann man das Cmdlet Set-ADOrganizationalUnit verwenden.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Best Practices zur Active-Directory-Sicherheit

Das Active Directory Schritt für Schritt absichern

Die richtige Pflege für das Active Directory

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Data-Center-Systems-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close