Hoe identificeer ik recursieve en lege groepen in Active Directory met Access Rights Manager?
Naarmate netwerken groter worden, worden er meer gebruikers aan toegevoegd die toegang hebben tot de bronnen van het netwerk. Bedrijven zijn veel te afhankelijk geworden van hun gegevens en het is bijna handig gezien de tijd waarin we ons nu bevinden. Of het nu gaat om klantgegevens voor andere privé- of bedrijfsgerelateerde gegevens, het is belangrijk om alles beveiligd en veilig te hebben. Dit wordt nog belangrijker en krijgt een nog grotere betekenis als je kijkt naar de recente toename van cyberaanvallen.
Daarom moeten de nodige maatregelen worden genomen om ervoor te zorgen dat u beschermd bent tegen datalekken of wat dan ook. Zoals we al zeiden, met de toename van de grootte van een netwerk, krijgen meer gebruikers toegang tot het netwerk. Hierdoor kunnen ze gebruik maken van de verschillende bronnen van het netwerk. In sommige gevallen leidt een slecht beheerd systeem van toegangsrechten tot verschillende lekken. Dit komt doordat u mogelijk meerdere gebruikersgroepen in uw netwerk hebt die toegang hebben tot iets waarvoor ze niet verplicht zijn. Dat is echter niet het enige voorbeeld van een slecht gebruikersbeheersysteem.
Afgezien daarvan zijn er in de meeste Active Directories verschillende groepen die na een bepaalde tijd geen nut meer hebben. Daarnaast zijn er altijd recursieve groepen in een Active Directory waaraan geen aandacht is besteed en die dus moeten worden verwijderd. Als u dergelijke groepen handmatig zou lokaliseren, zou dat veel tijd en energie kosten die anders productiever had kunnen zijn. Daarom zullen we in dit artikel een toegangsrechtenbeheer tool waarmee u uw Active Directory gemakkelijk kunt beheren en taken zoals het zoeken naar lege en recursieve groepen gemakkelijk kunt maken.
De Solarwinds Access Rights Manager downloaden
Solarwinds is een bedrijf dat op dit moment geen introductie nodig heeft, vooral niet voor de jongens die betrokken zijn bij het netwerk- en systeembeheer. Er zijn zonder twijfel verschillende ARM- of Access Right Managers op internet beschikbaar. Sommige zijn echter vaak te ingewikkeld voor nieuwkomers of bieden niet zo'n uitgebreide functionaliteit als degene die we in deze zullen gebruiken.
Solarwinds Access Rights Manager (download hier) is, zoals de naam al zegt, een tool voor het beheer van toegangsrechten waarmee u uw IT-infrastructuur kunt beheren en auditen. Het wordt geleverd met verschillende Active Directory-beheertools waarmee u uw AD op een veel betere manier kunt beheren, omdat u meer algemeen zicht hebt op de gebruikersgroepen en hun toegangsrechten.
Met een intuïtieve gebruikersinterface kunt u de machtigingen van elke afzonderlijke gebruiker in Active Directory en andere bestandsservers bekijken en bewerken. Dankzij de geschiedenisfunctie kunt u de exacte wijzigingen bekijken die zijn aangebracht door verschillende gebruikersaccounts als u dat wilt, wat kan helpen bij het vinden van ongeautoriseerde acties of gebruikersaccounts.
We zullen de Solarwinds Access Rights Manager in dit artikel gebruiken, dus ga je gang en download de tool via de aangeboden link. Nadat u de tool heeft gedownload, voert u de installatiewizard uit, die vrij eenvoudig is. Tijdens de installatie wordt u gevraagd om een installatietype te kiezen tussen twee opties. Om een bestaande SQL-server te gebruiken, moet u de optie Geavanceerde installatie kiezen. Verder is de installatie vrij eenvoudig en duurt het meestal maar een paar minuten.
Access Rights Manager configureren met behulp van de configuratiewizard
Zodra u de Access Rights Manager-tool op uw systeem heeft, moet u deze configureren voordat u deze gaat gebruiken. Deze configuratiewizard omvat het verstrekken van de legitimatiegegevens van de Active Directory en de SQL-server, het opzetten van een database en nog veel meer. Nadat u de configuratiewizard heeft doorlopen, kunt u de tool optimaal gebruiken.
Voordat u begint met configureren, moet u inloggen als de gebruiker die de ARM-tool heeft geïnstalleerd. Dus laten we zonder verder oponthoud aan de slag gaan.
- Wanneer u de ARM voor de eerste keer opent, wordt u automatisch naar de configuratiewizard geleid. Voordat u begint, moet u inloggen als de gebruiker die ARM heeft geïnstalleerd. Geef daarom de vereiste gegevens op en klik vervolgens op Log in. Zorg ervoor dat de hostnaam komt overeen met dat van het systeem waarop de ARM-server is geïnstalleerd.
- Op de eerste pagina wordt u gevraagd om de inloggegevens voor de Active Directory op te geven. Deze inloggegevens worden gebruikt om toegang te krijgen tot de Active Directory. Dan klikken De volgende.
- Voer daarna het SQL-server referenties en kies vervolgens een authenticatiemethode. Geef de vereiste aanmeldingsgegevens op voor de geselecteerde verificatiemethode. Raken De volgende.
- Op de Database pagina, kunt u een nieuwe database maken of een bestaande gebruiken. Klik vervolgens op het De volgende knop.
- Op de Webcomponenten pagina kunt u de webtoegang van de ARM-tool configureren door de poort of iets anders te wijzigen. Klik De volgende eenmaal gedaan.
- U kunt de RabbitMQ instellingen als u dat wenst, maar het wordt aanbevolen de standaardwaarden te gebruiken. Klik op de De volgende knop.
- Daarna wordt een overzicht van alle instellingen weergegeven. Ga er doorheen en als u er zeker van bent, klikt u op de Bewaar Config knop.
- De ARM-service wordt opnieuw gestart en vervolgens wordt een Server niet verbonden bericht wordt weergegeven. Dit is normaal, dus u hoeft zich geen zorgen te maken.
- Daarna de ARM Scan Config Wizard zal opengaan.
- Voer de Active Directory-aanmeldingsgegevens in die worden gebruikt om de AD en de bestandsserver te scannen.
- Het domein is waar het scanaccount vandaan komt. Klik De volgende.
- Selecteer daarna de Active Directory-domein worden gescand. Dan klikken De volgende.
- Selecteer een bestandsserver om te scannen en klik vervolgens op het De volgende knop.
- Ten slotte wordt een samenvatting van de scaninstellingen weergegeven. Klik Veiligheidsscan wanneer je klaar bent. Dit zal de scan starten.
- Als dat allemaal is gebeurd, kunt u nu inloggen op de ARM en deze gaan gebruiken.
Zoeken naar lege groepen in Active Directory
Nu u eindelijk de Solarwinds Access Rights Manager heeft geconfigureerd, kunt u deze gebruiken om de toegangsrechten op een gemakkelijkere manier te beheren. Naarmate de tijd verstrijkt, zijn er vaak lege groepen in een AD-structuur die de prestaties en transparantie beïnvloeden. Volg de onderstaande instructies om lege groepen in de Active Directory te vinden.
- Klik eerst op het Dashboard tabblad en dubbelklik vervolgens op het Lege groepen optie aan de linkerkant.
- Hierdoor zal de ARM automatisch overschakelen naar de Multiselectie tabblad en het Leeg scenario wordt geactiveerd.
- Alle vermelde groepen zijn leeg. Simpel als dat.
Recursieve groepen zoeken in Active Directory
In sommige gevallen zijn gebruikersgroepen vaak lid van andere groepen. Met Active Directory kunnen kindergroepen ouders worden in hun stamboom. Toewijzingen van groepslidmaatschap kunnen ineffectief worden als de geneste groepsstructuur op een cirkelvormige manier wordt herhaald. Met behulp van deze geneste circulaire groepen of recursies krijgt elke gebruiker die lid is van deze recursieve groepen alle rechten van alle groepen. Dit kan erg verwarrend zijn en is vaak een puinhoop. Het wordt aanbevolen om de ketting te doorbreken en recursies te verwijderen. Access Rights Manager identificeert deze recursies automatisch.
Hier leest u hoe u deze recursieve groepen kunt vinden:
- Ga naar het Dashboard tab door op Dashboard te klikken in het menu.
- Klik daarna op het Groep in recursies optie aan de linkerkant.
- Dit brengt je naar de Multiselectie tab opnieuw en de groep in het recursiescenario wordt geactiveerd.
- Hiermee worden alle groepen in recursies weergegeven. Klik op een groep en u krijgt alle gebruikers en groepen in de geselecteerde recursie te zien.
- Als u dubbelklikt op een groep, wordt u naar de accountweergave geleid waar u de recursie kunt zien.
- De recursie wordt aangegeven met een oranje lijn.