Active Directory Cleanup: 5 Tipps für mehr Sicherheit und Stabilität

Wie in jedem Bereich schadet es auch beim Windows Verzeichnisdienst Active Directory nicht, diesen ab und an einem gründlichen „Frühjahrsputz“ zu unterziehen. Da beispielsweise nicht mehr benötigte Objekte wie Benutzerkonten und Computer potentielle Einfallstore für Angreifer sind, sollten diese regelmäßig gelöscht werden. Diese Aufräumaktionen verbessern dabei nicht nur die Sicherheit, sondern sorgen auch für mehr Stabilität.

Vor diesem Hintergrund sollten Sie Ihr Active Directory regelmäßig überprüfen und unnötigen Ballast löschen. Das geht entweder manuell oder – deutlich schneller und komfortabler – automatisiert mit einer AD-Management- und -Reporting-Lösung wie ADManager Plus.

Weitere Tipps & Infos rund um das Active Directory und ADManager Plus finden Sie hier.

ADManager Plus Live-Demo

Wir stellen Ihnen die Funktionen von ADManager Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!

Jetzt anmelden!

Tipp 1: So automatisieren Sie die Bereinigung nicht mehr benötigter Gruppen

Falls Sie Ihr Active Directory regelmäßig auf nicht mehr genutzte Gruppen überprüfen und diese anschließend entfernen möchten, können Sie dies mit einer Automatisierungsaufgabe in ADManager Plus automatisieren:

1. Melden Sie sich bei ADManager Plus an und klicken Sie auf die Registerkarte „Automatisierung“.

2. Klicken Sie auf „Neue Automatisierung erstellen“.

3. Geben Sie einen Namen (z.B. „Gruppen ohne Mitglieder entfernen“) und eine Beschreibung für die Automatisierung ein.

4. Wählen Sie die Domäne aus, für die die Automatisierung angewendet werden soll.

5. Wählen Sie „Gruppenautomatisierung“ aus dem Dropdown-Menü bei „Automatisierungskategorie“.

6. Bei „Automatisierungsaufgabe/Richtlinie“ wählen Sie im Dropdown-Menü „Gruppen löschen“ aus.

7. Falls Sie diese Aufgabe überwachen möchten, klicken Sie auf das Kontrollkästchen „Implementieren Geschäftlicher Workflow“.

Hinweis:
Mit der Option „Implementieren Geschäftlicher Workflow“ können Sie – falls benötigt – einen Freigabeprozess für die Automatisierungsaufgabe festlegen. Die Aufgabe wird erst durchgeführt, wenn alle im Workflow definierten Personen der Aktion zugestimmt haben. Auf diese Weise können Sie – in unserem Beispiel – vor dem Löschen der leeren Gruppen noch einen Blick auf die zu löschenden Gruppen werfen.

8. Im nächsten Schritt spezifizieren Sie die Aufgabe, die Sie ausführen möchten. Führen Sie dazu einen der folgenden Schritte aus:

  • Falls Sie einen Bericht von ADManager Plus als Basis für diese Aufgabe nutzen möchten, wählen Sie diesen bei „aus Bericht“ aus (z. B. „Gruppen ohne Mitglieder“). Bei Bedarf können Sie hier weitere Einstellungen vornehmen, um z. B. Objekte auszuschließen, die bereits bei einer vorherigen Automatisierung verändert wurden.
  • Alternativ können Sie auch eine CSV-Datei als Basis für die Aufgabe verwenden. Um die CSV-Datei zu importieren, klicken Sie bitte auf „Mehr auswählen“ und geben Sie den Speicherort an.

9. Anschließend geben Sie bei Ausführungszeit das Intervall an, in dem die Aufgabe ausgeführt werden soll.

Hinweis:
Falls Sie alle Gruppen in Ihrem Unternehmen löschen möchten, die keine Mitglieder haben, können Sie bei „aus Bericht“ den vorkonfigurierten Report „Gruppen ohne Mitglieder“ von ADManager Plus verwenden. Wir empfehlen, die Automatisierungsaufgabe jeden Monat durchzuführen (siehe Screenshot).

10. Falls Sie benachrichtigt werden möchten, sobald die Aufgabe ausgeführt wurde, aktivieren Sie „Benachrichtigung aktivieren“ und wählen Sie eine Benachrichtigungsvorlage aus bzw. erstellen Sie eine neue.

11. Klicken Sie auf „Speichern“ bzw. auf „Speichern & Ausführen“­­, falls die neue Aufgabe sofort ausgeführt werden soll.

Screenshot ADManager Plus: Automatisierung Gruppen ohne Mitglieder löschen
Screenshot ADManager Plus: Mit den individuell konfigurierbaren Automatisierungen in ADManager Plus können Sie z. B. leere Gruppen automatisiert löschen lassen.

Zusatztipp:
Sie können sich – neben der hier beschriebenen Aufgabe zum Löschen leerer Gruppen – beispielsweise auch eine Automatisierungsaufgabe anlegen, mit der inaktive Computer bereinigt werden. Falls Sie diese lieber manuell entfernen möchten, finden Sie hier eine detaillierte Anleitung, wie Sie inaktive Computer in ADManager Plus aus dem Bericht „Inaktive Computer“ heraus bereinigen können.

Tipp 2: So entziehen Sie deaktivierten Benutzern automatisch die Microsoft-365-Lizenzen

Beim Deaktivieren von AD-Benutzerkonten sollten Administratoren darauf achten, dass diesen Benutzern auch deren Microsoft-365-Lizenzen entzogen wird. Um Sie bei dieser Aufgabe zu unterstützen, bietet ADManager Plus die „Lösch-/Deaktivierungsrichtlinie“ (Disable/Delete Policy). Diese bietet verschiedene Optionen, damit beim Deaktivieren von Active-Directory-Konten automatisch auch alle zugehörigen Ressourcen der betroffenen Benutzer bereinigt werden. Neben dem Widerrufen der Microsoft-365-Lizenz lassen sich so beispielsweise auch Exchange-Postfächer etc. automatisch löschen.

  1. Melden Sie sich bei ADManager Plus an und klicken Sie auf die Registerkarte „Admin“.
  2. Klicken Sie unter „Benutzerdefinierte Einstellungen“ auf „Lösch-/Deaktivierungsrichtlinie“.
  3. Wählen Sie die Domäne aus, für die diese Richtlinie gelten soll.
  4. Auf der Registerkarte „Richtlinie deaktivieren“ wählen Sie unter „Cloud-Konten“ die Option „Microsoft 365-Benutzerlizenz widerrufen“. Wählen Sie je nach Bedarf die erforderlichen Aktionen für Exchange-Postfach, Home-Ordner usw. aus.
  5. Klicken Sie auf „Speichern“.

Wenn nun ein AD-Benutzerkonto in der ausgewählten Domäne deaktiviert wird, wird die Microsoft-365-Lizenz des Benutzers automatisch entzogen.

Tipp 3: So automatisieren Sie die Bereinigung (Löschung) abgelaufener AD-Benutzerkonten

Mit den Automatisierungsaufgaben in ADManager Plus können Sie wiederkehrende Aufgaben, wie das Löschen abgelaufener Benutzerkonten, einfach und schnell automatisieren. Einmal definiert, werden damit alle abgelaufenen Benutzerkonten automatisch und regelmäßig in den angegebenen Intervallen aus dem Active Directory gelöscht.

1. Melden Sie sich bei ADManager Plus an und klicken Sie auf die Registerkarte „Automatisierung“.

2. Sie sehen nun eine Liste mit allen automatisierten Aufgaben. Klicken Sie oben rechts auf „Neue Automatisierung erstellen“.

3. Geben Sie einen geeigneten Namen und eine Beschreibung für die zu erstellende Automatisierung ein.

4. Wählen Sie bei Automatisierungskategorie die Option „Benutzerautomatisierung“.

5. Wählen Sie die Domäne aus, in der Sie die abgelaufenen Benutzerkonten automatisch löschen möchten. Falls Sie diese Aktion nur in bestimmten Organisationseinheiten durchführen möchten, klicken Sie auf „OEs hinzufügen“ und wählen Sie die erforderlichen OUs aus.

6. Wählen Sie bei „Automatisierungsaufgabe/Richtlinie“ unter „AD-Aufgabe“ die Option „Benutzer löschen“ aus.

Hinweis:
Falls Sie in ADManager Plus eine Reihe von Aufgaben automatisieren möchten, die in einer bestimmten Reihenfolge und in bestimmten Intervallen ausgeführt werden müssen, können Sie dies mithilfe von Automatisierungsrichtlinien definieren. Um eine neue Automatisierungsrichtlinie zu erstellen, klicken Sie auf Automatisierung / Automatisierung / Automatisierungsrichtlinie.

Hinweis:
Falls Sie vor dem Löschen lieber nochmal einen Blick auf die zum Löschen ausgewählten Benutzerkonten werfen möchten, aktivieren Sie bitte die Option „Implementieren Geschäftlicher Workflow“. Das ermöglicht es Ihnen, die Ausführung dieser Aufgabe zu steuern, d.h. die Aufgabe wird automatisch initiiert, aber sie wird erst durchgeführt, wenn Sie grünes Licht geben. Weitere Informationen zu Workflows finden Sie hier auf der englischen Website des Herstellers.

7. Unter „Objekte auswählen“ stehen Ihnen zwei Möglichkeiten zur Verfügung, um die zu löschenden Benutzerkonten anzugeben:

  • Aus Bericht“: Falls Sie einen in ADManager Plus erstellten Bericht nutzen möchten, um die zu löschenden Konten auszuwählen, klicken Sie bei  Aus Bericht auf das Plus-Symbol. Anschließend wählen Sie aus der Liste unter „Kontostatusberichte“ den Bericht „Benutzer mit abgelaufenen Konten“ aus.
    Falls Sie die zu löschenden Konten weiter einschränken möchten, können Sie mit der Option „Bedingungen zufügen“ bestimmte Bedingungen auswählen, die die Konten erfüllen sollen. So können Sie zum Beispiel nur die abgelaufenen Benutzerkonten einer bestimmten Abteilung oder Organisationseinheit bereinigen.
  • CSV-Speicherort“: Falls Sie die zu löschenden Benutzer über eine CSV-Datei definieren möchten, klicken Sie auf „Mehr auswählen“, und geben Sie den Speicherort der CSV-Datei an.

8. Anschließend verwenden Sie die unter „Ausführungszeit“ angebotenen Optionen (stündlich, täglich, wöchentlich, monatlich oder benutzerdefiniert), um anzugeben, wie oft und wann die abgelaufenen Benutzerkonten aus dem AD gelöscht werden sollen.

9. Klicken Sie auf „Speichern“, um die Automatisierung zu speichern. Falls Sie möchten, dass die Automatisierung nach dem Speichern auch sofort ausgeführt wird, klicken Sie auf „Speichern & Ausführen“.

Screenshot ADManager Plus: Automatisierung abgelaufene Konten löschen
Screenshot ADManager Plus: Einmal angelegt, löscht diese Automatisierung in ADManager Plus abgelaufene Konten regelmäßig aus Ihrem AD.

Screenshot ADManager Plus: Bericht „abgelaufene Konten“ als Auswahlkriterium für Automatisierungen
Screenshot ADManager Plus: Sie können z. B. den Bericht „Benutzer mit abgelaufenen Konten“ als Basis für eine Automatisierung in ADManager Plus verwenden.

Tipp 4: So automatisieren Sie das Finden und Entfernen inaktiver AD-Benutzerkonten

Um die Angriffsfläche Ihres Unternehmens möglichst gering zu halten, sollten Sie auch inaktive AD-Benutzerkonten regelmäßig entfernen. In ADManager Plus können Sie diese Aufgabe sowohl manuell (siehe Zusatztipp) als auch automatisiert durchführen.

So entfernen Sie inaktive Benutzer mithilfe einer Automatisierung:

1. Melden Sie sich bei ADManager Plus an und klicken Sie auf die Registerkarte „Automatisierung“.

2. Wählen Sie im Abschnitt „Automatisierung“ die Option „Neue Automatisierung erstellen“.

3. Geben Sie einen geeigneten Namen und eine Beschreibung ein und wählen Sie bei Automatisierungskategorie die Option „Benutzerautomatisierung“ aus der Dropdown-Liste aus.

4. Wählen Sie die Domäne, in der Sie die inaktiven Benutzer entfernen möchten, und wählen Sie ggf. die Organisationseinheit bei „OEs hinzufügen“ aus.

5. Wählen Sie unter Automatisierungsaufgabe/Richtlinie die Option „Benutzer löschen“ aus.

6. Falls notwendig, aktivieren Sie das Kontrollkästchen bei „Implementieren Geschäftlicher Workflow". (Weitere Informationen zu dieser Option siehe Hinweis bei Tipp 3).

7. Klicken Sie das Plus-Symbol bei „Aus Bericht“ an und wählen Sie Anmeldeberichte / Inaktive Benutzer aus. Anschließend wählen Sie die Anzahl der Tage aus, die Benutzer mindestens inaktiv sein müssen, damit sie bei der Automatisierungsaufgabe berücksichtigt werden. Mit den Kontrollkästchen „Nie angemeldete Benutzer ausschließen“ und „Deaktivierte Benutzer ausschließen“ können Sie diese Benutzer ausschließen. Bei Bedarf können Sie bei „Bedingungen zufügen“ zusätzliche Bedingungen angeben, um die Ergebnisse zu verfeinern. Anschließend klicken Sie auf „OK“.

8. Geben Sie bei „Ausführungszeit“ an, wann und in welchem Intervall die Aufgabe ausgeführt werden soll.

9. Klicken Sie auf „Speichern“.

Screenshot ADManager Plus: Automatisierung zum Löschen inaktiver Benutzer
Screenshot ADManager Plus: Mit dieser Automatisierung in ADManager Plus werden inaktive AD-Benutzer automatisiert einmal im Monat gelöscht.

Screenshot ADManager Plus: „Inaktive Benutzer”-Bericht als Auswahlkriterium für Automatisierung festlegen
Screenshot ADManager Plus: Um inaktive AD-Benutzer automatisiert zu löschen, können Sie z. B. den Bericht „Inaktive Benutzer“ als Auswahlkriterium für eine Automatisierung nutzen.

Zusatztipp:
Falls Sie inaktive Benutzer lieber manuell entfernen möchten, gehen Sie bitte wie folgt vor:

  1. Melden Sie sich bei ADManager Plus an und klicken Sie auf die Registerkarte „Berichte“.
  2. Wählen Sie unter Benutzerberichte / Anmeldeberichte den Bericht „Inaktive Benutzer“ aus.
  3. Passen Sie ggf. die Domäne an bzw. wählen Sie die gewünschten Organisationseinheiten aus.
  4. Wählen Sie bei „Gewünschter Zeitraum“ den Zeitraum aus, über den die Benutzer inaktiv gewesen sein müssen, um in den Report aufgenommen zu werden.
  5. Klicken Sie auf das Kontrollkästchen neben „Nie angemeldete Benutzer ausschließen“ und „Deaktivierte Benutzer ausschließen“, falls Sie diese Benutzer aus den Berichten ausschließen möchten.
  6. Klicken Sie auf „Erstellen“.
  7. Wählen Sie den/die Benutzer aus, die Sie löschen möchten, und klicken Sie auf „Löschen“.

Tipp 5: So werden Home-Ordner und Roaming-Profile beim Löschen eines Benutzerkontos automatisch mit gelöscht

Werden Benutzerkonten manuell aus dem AD gelöscht, kann es vorkommen, dass der Home-Ordner oder das Roaming-Profil des Benutzers versehentlich erhalten bleibt. Mit den Löschrichtlinien in ADManager Plus können Sie diese nicht mehr benötigten Dateien beim Löschen des Accounts automatisch mit bereinigen lassen.

1. Melden Sie sich bei ADManager Plus an.

2. Navigieren Sie zu Admin > Benutzerdefinierte Einstellungen > Lösch-/Deaktivierungsrichtlinien.

3. Wählen Sie die Domäne und aktivieren Sie die folgenden Kontrollkästchen:

  • Stammordner löschen/verschieben
  • Externen Terminalservice-Stammordner löschen
  • Roaming-Profile löschen
  • Roaming-Terminalserviceprofile löschen

4. Klicken Sie auf “Speichern”.

Screenshot ADManager Plus: Lösch-/Deaktivierungsrichtlinie
Screenshot ADManager Plus: In der Lösch-/Deaktivierungsrichtlinie von ADManager Plus können Sie u. a. festlegen, dass Home-Ordner und Roaming-Profile beim Löschen des zugehörigen Kontos ebenfalls gelöscht werden.

Jetzt ADManager Plus testen!
Demo-Version von ADManager Plus ansehen

Weitere Active-Directory-Tipps:

So sehen Sie alle Benutzer im AD oder in bestimmten OE
So bearbeiten Sie Details zu den Microsoft-365-Benutzerlizenzen
So finden Sie die eindeutigen Benutzernamen im AD
So gewähren Sie Zugriff auf bestimmte AD-Ordner
So erstellen Sie
AD-Gruppenberichte
So bereinigen Sie inaktive
Computer im AD
So wenden Sie das ADManager Plus Service Pack an
Massenänderung von
Benutzerattributen
Massenänderungen in
Organisationseinheiten
5 Sicherheitstipps
für das AD
3 Tipps für das
GPO-Management

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren