目前,我们正在重新设计 AD 基础设施。我非常担心更改几个组或 OU 名称可能会对我们的生态系统(如 IAM 相关软件等)产生影响。我想确保没有未知的依赖关系。
那么,确定哪些 IP 地址/主机或脚本/进程依赖于现有的 OU 结构和组名的最佳方法是什么?
我正在考虑使用 wireshark 监控 LDAP 查询。但这可能太不方便了。您还看到了什么其他可能性?
答案1
我建议进行迭代更改。创建新的所需结构(首先是组)并在其中添加现有项目。然后,您可以对一次删除一个或两个旧组进行单元测试,同时确切地知道如果出现问题该查找哪里。
对于任何规模的组织来说,切换方法都可能是一个巨大的难题。
我要说的是,OU大概更容易,因为它们主要是组策略的目标。GPMC 和 RSOP 工具非常适合在进行此类冒险之前理清层次结构。
您绝对应该让所有技术团队都参与其中,因为有人总是将 SharePoint 用户同步或其他内容定位到特定的 OU 或分支(以将真实用户与服务帐户分开等)
我不知道有什么工具可以帮你完成这个任务。我也不相信任何工具可以 100% 地完成任务。
答案2
这很难发现。
我不完全确定是否有可能找出某个特定组是否被调用。
无论如何,即使您设法找出某个特定组是否被使用以及从哪里使用,大多数应用程序实际上并不使用组名。它们使用组的 SID。
有可能,如果您要确切找出所有呼叫的来源,您仍然无法确定呼叫是否是使用 SID 完成的,或者应用程序是否编写不当并实际使用了组名。
看到这个相关帖子。