Назад | Перейти на главную страницу

Как найти потенциальные зависимости имени группы AD и структуры OU экосистем?

В настоящее время мы находимся в процессе изменения нашей инфраструктуры AD. Меня очень беспокоит возможное влияние изменения нескольких названий групп или подразделений на наши экосистемы (например, соответствующее программное обеспечение IAM и т. Д.). Я хочу убедиться, что нет неизвестных зависимостей.

Итак, как лучше всего определить, какие IP-адреса / хосты или сценарии / процессы зависят от существующей структуры OU и имен групп?

Я думал о мониторинге запросов LDAP с помощью wirehark. Но это может быть слишком неудобно. Какие еще возможности вы видите?

Я рекомендую итеративные изменения. Создайте новую желаемую структуру (сначала группы) и добавьте туда существующие элементы. Затем вы можете выполнить модульное тестирование, удаляя устаревшие группы по одной или две за раз, точно зная, где искать, если что-то сломается.

Такой подход, вероятно, станет огромной головной болью для организации любого размера.

Я скажу, что OU наверное проще, хотя бы потому, что они в основном являются целью групповых политик. Инструменты GPMC и RSOP хорошо подходят для сортировки иерархии перед таким предприятием.

Вы обязательно должны включить в работу все технологические группы, поскольку кто-то неизменно нацелен на синхронизацию пользователей SharePoint или что-то еще с конкретным подразделением или филиалом (чтобы настоящие пользователи были отделены от учетных записей служб и т. Д.)

Я не знаю инструмента, который сделает это за вас. Я бы также не стал доверять никакому инструменту, который сделает 100% работы.

Это очень сложно выяснить.

Я не совсем уверен, можно ли узнать, вызывается ли конкретная группа.
В любом случае, даже если вам удалось выяснить, используется ли конкретная группа и откуда, большинство приложений фактически не используют имя группы. Они используют SID группы.

Скорее всего, если вы точно узнаете, откуда поступают все вызовы, вы все равно не сможете узнать, был ли вызов выполнен с использованием SID или приложение было плохо написано и фактически использует имя группы.

Посмотри это связанный пост.