Active Directory: reporting sur les groupes inutilisés

Traduction FR:
 IT-Central.fr
Auteur & Source :

Nous nous intéresserons aujourd’hui sur une des manières de procéder au nettoyage des groupes inutilisés dans une forêt AD. J’ai constaté ces dernières années une tendance croissante: les administrateurs ou les groupes d’identité créent des groupes qui ne sont jamais utilisés. Une fois ces groupes créés, il semble impossible de supprimer ces groupes pour des raisons inconnues. Cela pour plusieurs raisons comme; ils peuvent être simplement utilisés, mais vides, ou nous n’avons aucune idée de ce pour quoi il est utilisé. [As part of my continue discussions I started focusing on low hanging fruit (groups)]. Pour résoudre cela, j’ai commencé à me focaliser sur le fait que si  “Membre de” et “Membres” sont vides et que leur changement était supérieur à x, il ne doit pas être utilisé. Cela semble logique, mais il s’avère que ce n’était pas le cas, j’ai ensuite élargi ma recherche pour inclure si msDS-ReplValueMetaData est nul et si l’option créée est antérieure à x. Il existe de nombreux topiques autour de l’utilisation de msDS-ReplValueMetaData et pour quoi il peut-être utilisé. Pour faire cour, il s’agit d’un attribut qui contient toutes les métadonnées de réplication autour des valeurs liées (Use PowerShell and Repadmin to Check for Updates to High Privileged Groups). Si l’attribut est vide, il est plus que probable que le groupe n’ait jamais ajouté directement de Membres. J’ai trouvé qu’au moins un quart de tous les groupes dans la plupart des environnements Active Directory appartiennent à cette catégorie.

Voici le script que j’ai lancé sur l’ensemble de la forêt

Ce script traversera tous les domaines d’une forêt.

Lien vers la galerie Technet

Une fois que le script est terminé, ouvrez-le dans Excel et triiez les données de votre choix.

https://i2.wp.com/msdnshared.blob.core.windows.net/media/2017/04/image558.png?resize=665%2C446&ssl=1

Dans Insérer, sélectionnez Tableau Croisé Dynamique, cela fait apparaître les champs croisés de la table comme suit :

https://i0.wp.com/msdnshared.blob.core.windows.net/media/2017/04/image559.png?w=665&ssl=1

Vous devriez avoir une belle petite vue comme celle-ci :

https://i0.wp.com/msdnshared.blob.core.windows.net/media/2017/04/image560.png?w=665&ssl=1

* Envisager de filtrer les OU ou les conteneurs comme Builtin et Utilisateurs.

Faites en sorte que les champs du tableau croisé ressemblent à ceci :

https://i1.wp.com/msdnshared.blob.core.windows.net/media/2017/04/image561.png?w=665&ssl=1

Une belle vue de chaque OU et l’âge et le nombre des Groupes devraient être affichés :

https://i2.wp.com/msdnshared.blob.core.windows.net/media/2017/04/image562.png?w=665&ssl=1

Maintenant que vous avez ces données, espérons-le, il suffira de nettoyer certain dans eux dans Active Directory. Dans une prochaine publication sur le blog, nous aborderons la dernière modification de msDS-ReplValueMetaData pour déterminer la dernière fois qu’un objet a été ajouté ou supprimé. J’espère que vous trouvez cela utile. Je vous souhaite une bonne journée.

Chad

Share

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.