Discussion:
AD Gruppe deaktivieren
(zu alt für eine Antwort)
Peter
2008-11-07 12:31:00 UTC
Permalink
Hallo NG,

gibt es eigentlich die Möglichkeit im AD (W2K3 Domäne), eine Security Gruppe
zu deaktivieren? Wir haben einige Gruppen mit Benutzern bei denen wir nicht
100%ig sicher sind, dass diese nicht "irgendwo" noch genutzt werden. Wenn wir
die Gruppen nun löschen, könnte das ja fatale Folgen haben. Beim deaktivieren
wäre das ja nicht ganz so schlimm.
--
Gruß,

Peter
Nils Kaczenski [MVP]
2008-11-07 13:04:10 UTC
Permalink
Moin,
Post by Peter
gibt es eigentlich die Möglichkeit im AD (W2K3 Domäne), eine Security Gruppe
zu deaktivieren?
nein, leider nicht.
Post by Peter
Wir haben einige Gruppen mit Benutzern bei denen wir nicht
100%ig sicher sind, dass diese nicht "irgendwo" noch genutzt werden. Wenn wir
die Gruppen nun löschen, könnte das ja fatale Folgen haben. Beim deaktivieren
wäre das ja nicht ganz so schlimm.
Ja, das Szenario wird öfter mal nachgefragt. Ein möglicher Workaround:
Mit ldifde die Gruppe exportieren, die Mitglieder löschen und sehen,
wass passiert. Falls es Probleme gibt, kann man die Gruppe dann wieder
mit den ursprünglichen Mitgliedern füllen.

Als Alternative zu ldifde sollte sich das auch mit Werding machen lassen:

[faq-o-matic.net » Active-Directory-Daten online wiederherstellen]
http://www.faq-o-matic.net/2006/11/19/active-directory-daten-online-wiederherstellen/


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Peter
2008-11-07 13:16:01 UTC
Permalink
Hallo Nils,

danke für die Hilfe. Gibt es einen technischen Grund hierfür? Ich kann das
nicht ganz nachvollziehen. Bei den Benutzern geht es ja auch?
--
Gruß,

Peter
Post by Nils Kaczenski [MVP]
Moin,
Post by Peter
gibt es eigentlich die Möglichkeit im AD (W2K3 Domäne), eine Security Gruppe
zu deaktivieren?
nein, leider nicht.
Post by Peter
Wir haben einige Gruppen mit Benutzern bei denen wir nicht
100%ig sicher sind, dass diese nicht "irgendwo" noch genutzt werden. Wenn wir
die Gruppen nun löschen, könnte das ja fatale Folgen haben. Beim deaktivieren
wäre das ja nicht ganz so schlimm.
Mit ldifde die Gruppe exportieren, die Mitglieder löschen und sehen,
wass passiert. Falls es Probleme gibt, kann man die Gruppe dann wieder
mit den ursprünglichen Mitgliedern füllen.
[faq-o-matic.net » Active-Directory-Daten online wiederherstellen]
http://www.faq-o-matic.net/2006/11/19/active-directory-daten-online-wiederherstellen/
Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Nils Kaczenski [MVP]
2008-11-07 14:21:20 UTC
Permalink
Moin,
Post by Peter
danke für die Hilfe. Gibt es einen technischen Grund hierfür? Ich kann das
nicht ganz nachvollziehen. Bei den Benutzern geht es ja auch?
bei Gruppen müsste man das völlig anders implementieren. Im Falle von
Benutzern kann man einfach die Anmeldung verweigern, bei einer Gruppe
müsste man aber verhindern, dass diese im Anmeldetoken auftaucht. Das
hätte natürlich auch Folgen für Funktionen, die z.B. SIDs auswerten oder
die Gruppenmitgliedschaft direkt aus dem AD auslesen und nicht aus dem
Token. Und so weiter, und so fort.

Technisch sicher machbar, aber ein größerer Design-Change. Sowas macht
Microsoft nur, wenn es einen wichtigen Business Need dafür gibt, und den
hat anscheinend noch niemand geltend gemacht.


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Peter
2008-11-07 15:57:01 UTC
Permalink
Hallo Nils,

Danke für die ausführlich und gut verständliche Erklärung.
--
Gruß,

Peter
Post by Nils Kaczenski [MVP]
Moin,
Post by Peter
danke für die Hilfe. Gibt es einen technischen Grund hierfür? Ich kann das
nicht ganz nachvollziehen. Bei den Benutzern geht es ja auch?
bei Gruppen müsste man das völlig anders implementieren. Im Falle von
Benutzern kann man einfach die Anmeldung verweigern, bei einer Gruppe
müsste man aber verhindern, dass diese im Anmeldetoken auftaucht. Das
hätte natürlich auch Folgen für Funktionen, die z.B. SIDs auswerten oder
die Gruppenmitgliedschaft direkt aus dem AD auslesen und nicht aus dem
Token. Und so weiter, und so fort.
Technisch sicher machbar, aber ein größerer Design-Change. Sowas macht
Microsoft nur, wenn es einen wichtigen Business Need dafür gibt, und den
hat anscheinend noch niemand geltend gemacht.
Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Lesen Sie weiter auf narkive:
Loading...