Как найти потенциальный AD-groupname и зависимости OU-структуры экосистем?
В настоящее время мы находимся в процессе перепроектирования нашей AD инфраструктуры. Я довольно обеспокоен возможным влиянием, которое изменение нескольких групп - или OU-имена могло бы оказать к нашим экосистемам (как, я - соответствующее программное обеспечение, и т.д.). Я хочу удостовериться, что нет никаких неизвестных зависимостей.
Таким образом, каков был бы лучший способ определить, какие адреса/хосты IP или сценарии/процессы зависят от существующей OU-структуры и названий группы?
Я думал о контроле запросов LDAP с помощью wireshark. Но это могло бы быть слишком неудобно. Что другие возможности Вы видите?
Я рекомендую итеративные изменения. Создайте новую желаемую структуру (сначала группы) и добавьте туда существующие элементы. Затем вы можете выполнить модульное тестирование, удаляя устаревшие группы по одной или две за раз, при этом точно зная, где искать, если что-то сломается.
Переходный подход, вероятно, станет огромной головной болью для организации любого размера.
Я скажу, что OU , вероятно, проще, хотя бы потому, что они в основном являются целью для групповых политик. Инструменты GPMC и RSOP хорошо подходят для сортировки иерархии перед таким начинанием.
Вы обязательно должны включить в эти усилия все технологические группы, поскольку кто-то неизменно нацелен на синхронизацию пользователей SharePoint или что-то еще с определенным подразделением или филиалом (чтобы сохранить реальных пользователей отдельно от учетных записей служб и т. д.)
Я не знаю инструмента, который сделает это за вас. Я бы также не стал доверять никакому инструменту, который сделает 100% работы.
Это очень сложно выяснить.
Я не совсем уверен, можно ли узнать, вызывается ли конкретная группа.
В любом случае, даже если вам удалось выяснить, используется ли конкретная группа и откуда, большинство приложений фактически не используют имя группы. Они используют SID группы.
Скорее всего, если вы точно узнаете, откуда поступают все звонки, вы все равно не сможете узнать, был ли звонок сделан с использованием SID,или если приложение было плохо написано и фактически использует имя группы.
См. этот связанный пост .