Kostenlose AD-Tools für Admin-Reports Berichte aus dem Active Directory erstellt man mit Freeware

Autor / Redakteur: Thomas Joos / Ulrike Ostler

Administratoren müssen häufig wichtige Daten dem „Active Directory“ (AD) entnehmen und Berichte erstellen. Dabei kann es sich um gesperrte Konten handeln oder Informationen zu Berechtigungen und mehr. In diesem Bereich gibt es haufenweise kostenlose Tools. Einige finden sich hier:

Firmen zum Thema

Für Administratoren, die Informationen aus dem Active Directory benötigen, gibt es Freeware, mit denen sich diese abgreifen und zu Berichten aufbereiten lassen.
Für Administratoren, die Informationen aus dem Active Directory benötigen, gibt es Freeware, mit denen sich diese abgreifen und zu Berichten aufbereiten lassen.
(Bild: © Joachim Wendler - Fotolia)

In Unternehmen, bei denen mehrere Administratoren das Active Directory verwalten und ein komplexeres Berechtigungsmodell im Einsatz ist, kann es notwendig sein, die Berechtigungen in Active Directory zu lesen und zu dokumentieren. Dazu gibt es etwa das kostenlose Tool „AD ACL-Scanner“.

Mit AD ACL Scanner- Rechte in Active Directory lesen

Bei dem Werkzeug handelt es sich um ein „Powershell“-Skript mit einer grafischen Oberfläche, Administratoren müssen das Tool nicht installieren. Mit AD ACL Scanner lesen Administratoren Berechtigungen detailliert aus. Eine weitere Einsatzmöglichkeit ist die Überprüfung von Benutzerrechten in einer Organisationseinheit.

Im Tool ist zu sehen, ob Benutzer mit delegierten Rechten zu viele Rechte erhalten haben. Ebenfalls möglich ist das Auffinden von Redundanzen. Wurden Rechte an mehrere Gruppen erteilt, können Administratoren diese vergleichen und Gruppen zusammenführen.

Zum Schutz enthält die Powershell Sicherheits-Features, zu denen auch die Ausführungsrichtlinie zählt. Die Ausführungsrichtlinie legt fest, ob Skripts ausgeführt werden dürfen. Standardmäßig blockiert die Powershell Skripts. Administratoren können die Ausführungsrichtlinie jedoch mit dem Cmdlet Set-ExecutionPolicy ändern.

Der Befehl

Set-ExecutionPolicy Unrestricted

erlaubt alle Skripte. Diese Einstellung sollte gesetzt sein, um AD ACL-Scanner zu nutzen. Anschließend geben Administratoren in der Powershell den Befehl ein:

.\adaclscan1.2.ps1

Admins müssen sich dazu im Verzeichnis mit dem Tool befinden. Starten sie das Tool auf einem Domänenmitglied, reicht es aus, wenn sie auf Connect klicken. Anschließend verbindet sich das Tool mit den Rechten des Benutzers, der es startet, mit der Domäne und zeigt Daten an.

Das Werkzeug AD ACL Scanner zeigt Berechtigungen in der Domäne als HTML-Bericht an.
Das Werkzeug AD ACL Scanner zeigt Berechtigungen in der Domäne als HTML-Bericht an.
(Bild: Thomas Joos)

Im unteren Feld muss auf die OU oder Domäne geklickt werden, die das Tool scannen soll. Mit Run scan wird der Vorgang gestartet. Den Bericht können Administratoren in eine HTML-Datei exportieren oder ausdrucken.

Wer noch mehr Rechte lesen will, kann das Tool „8MAN“ testen. Dieses ist zwar kostenpflichtig, steht aber als Testversion zur Verfügung.

Mit AD Info Berichte für Active Directory erstellen

AD Info“ kann Berichte aus Ihren Domänen lesen. Das Tool benötigt das „.NET Framework 3.5“. Nach dem Start sind im oberen Bereich über Registerkarten die verschiedenen Bereiche zu sehen, für die sich Berichte erstellen lassen.

Auf der Registerkarte Computer können Administratoren alle Computer mit bestimmten Bedingungen anzeigen lassen. Im unteren Bereich sehen Administratoren nach dem Scan-Vorgang das Ergebnis.

Mit AD Info erstellen Administratoren Berichte über die verschiedenen Bereiche in Active Directory.
Mit AD Info erstellen Administratoren Berichte über die verschiedenen Bereiche in Active Directory.
(Bild: Thomas Joos)

Über das Kontextmenü können lässt sich Inhalt der Felder, Zeilen und Spalten in die Zwischenablage kopieren und weiter verwenden. Administratoren haben aber auch die Möglichkeit über den Menüpunkt File den Bericht als CSV oder HTML-Datei zu speichern.

Neben Computern und Servern, können Administratoren auch andere Objekte in Active Directory auslesen. Ebenfalls erfassbar sind die Gruppenrichtlinienobjekte in der Domäne.

Mit AD-Inspector analysieren und Berichte erstellen

AD-Inspector“ ist ein weiteres AD-Berichts-Tool. Im ersten Schritt wählen Administratoren welchen Container in Active Directory sie analysieren wollen. Um dann zum Beispiel eine Analyse der Gruppenmitgliedschaften durchzuführen, setzen Administratoren den Haken bei Benutzer Gruppenmitgliedschaften.

Die Berichte von AD-Inspector sind einfach aufgebaut und lassen sich als CSV-Datei speichern.
Die Berichte von AD-Inspector sind einfach aufgebaut und lassen sich als CSV-Datei speichern.
(Bild: Thomas Joos)

Anschließend führt AD-Inspector eine erste Analyse aus und zeigt die Spalte dann in grün an. Wird in der Spalte des durchgeführten Scans auf das Lupensymbol geklickt, erscheinen mehr Informationen und ein ausführlicher Bericht.

Auf dem gleichen Weg lassen Sie auch andere Analysen erstellen. Administratoren müssen den Ordner auswählen den das Tool durchsuchen soll, dann den Bericht auswählen und schließend auf das grüne Dreieck klicken.

Active Directory-Replikation testen

Microsoft stellt für die Diagnose der Replikation von Domänen-Controller das Tool „AD Replication Status“ kostenlos im Download Center zur Verfügung. Mit dem Tool sehen Administratoren ob die Replikation zwischen den Domänen-Controller funktioniert.

Tools für die Diagnose von Active Directory
Tools für die Diagnose von Active Directory
(Bild: Thomas Joos)

Netzwerküberwachung mit Total Network Monitor

Administratoren die noch keine professionelle Lösung für die Überwachung Ihrer Server und Netzwerkgeräte einsetzen, sollten einen Blick auf die Freeware „Total Network Monitor“ werfen. Mit der Software lassen sich Server, Netzwerkgeräte und einzelne Prozesse oder Dienste en Detail überwachen. Für Server können Sie gezielt einen oder mehrere Monitore anlegen und Aktionen ausführen. Das Tool kann E-Mails versenden, Skripte ausführen und Dienste neu starten.

Die Installationsdatei von Total Network Monitor laden Administratoren direkt von der Seite des Herstellers. Es ist nicht notwendig, auf den Endgeräten einen Agenten zu installieren.

Total Network Monitor überwacht zwar nicht die Active Directory-Datenbank, dafür aber auf Wunsch die Domänen-Controller und andere Server.
Total Network Monitor überwacht zwar nicht die Active Directory-Datenbank, dafür aber auf Wunsch die Domänen-Controller und andere Server.
(Bild: Thomas Joos)

Das Werkzeug prüft nicht nur ob bestimmte Server auf Ping-Anfragen antworten, sondern kann gezielt einzelne Server-Dienste, Ereignisanzeigen, Prozesse und mehr auf den Servern überwachen. Meldet einer der überwachten Dienste einen Fehler, erhalten Administratoren eine Meldung.

Der Autor:

Thomas Joos ist freier Fachjournalist und hat als Blogger einen eigenen Themenkanal auf DataCenter-Insider: „Toms Admin -Blog“.

(ID:42670979)