Windows enthält die nötige Grundausstattung für das Management des Active Directory und seiner verschiedenen Funktionen. Sie reicht aber für viele Aufgaben nicht aus, so dass ein ganzer Markt für AD-Tools entstanden ist. Neben mächtigen Produkten für komplexe Umgebungen füllen auch kostenlose Angebote einige Lücken der Bordmittel.
Angesichts der Leistungsfähigkeit und Komplexität des Active Directory gibt es ein breites Spektrum von Tools, die sich auf bestimmte Aufgaben spezialisieren. Zum Beispiel dienen mehrere Produkte dem Daten-Management, indem sie das Anlegen von Objekten beschleunigen, den Upload von Dateien vereinfachen oder veraltete Objekte identifizieren.
Ein breites Angebot an Tools dient dem Reporting und Monitoring, einem Bereich also, bei dem die Windows-eigenen Dienstprogramme relativ wenig leisten. Dabei geht es unter anderem um das Überwachen von Änderungen, um eine Übersicht der AD-Zugriffsrechte oder um das Aufdecken von Sicherheitslücken wie etwa Konten mit leeren Passwörtern.
Neben den mächtigen Werkzeugen größerer Anbieter gibt es eine Vielzahl von Tools kleinerer Hersteller. Die folgende Übersicht erhebt keinen Anspruch auf Vollständigkeit und beschränkt sich im Wesentlichen auf Identity-Management und die Verwaltung der AD-Infrastruktur.
AD ACL Scanner
Bei der Verwaltung des AD kann man bestimmte Aufgaben an verschiedene Benutzer oder Gruppen delegieren. Das führt über einen längeren Zeitraum oft zu einem Rechte-Wildwuchs mit entsprechenden Sicherheitsproblemen.
Der AD ACL Scanner liest alle Berechtigungen aus und zeigt anhand von Reports, wer wo im AD was darf.
Siehe dazu: Zugriffsrechte im Active Directory analysieren mit dem AD ACL Scanner
Whatsup AD Monitor
Der AD Monitor von Ipswitch gibt einen Überblick über die Auslastung der wichtigsten Systemkomponenten eines Domain-Controller, nämlich von CPUs, Speicher, Laufwerke und Netzwerk.
Die gebotenen Informationen gehen nicht über das hinaus, die man mit Windows-Bordmitteln wie dem Ressourcen-Monitor oder dem Task-Manager erhält.
Die Darstellung der wichtigsten Parameter in einem Dashboard ist jedoch übersichtlicher als in den Windows-eigenen Tools (siehe dazu meine ausführliche Beschreibung von AD Monitor).
AD Info
Bei AD Info handelt es sich um ein Reporting-Tool mit mehr als 190 vorkonfigurierten Berichten, um die gewünschten Informationen aus dem Active Directory zu erfragen. Beispielsweise kann man sich damit sämtliche Gruppenmitgliedschaften von AD-Objekten anzeigen lassen.
Die Möglichkeit zur Erstellung eigener Reports ist auf die kostenpflichtige Standard Edition beschränkt (siehe dazu meine ausführliche Besprechung).
AD FastReporter Free
Wie der Name des Tools erahnen lässt, dient es dazu, Berichte zu diversen AD-Objekten zu erstellen. Es umfasst Dutzende vorgefertigte Reports, die in die Kategorien User, Computers, Groups, Exchange, Contacts, Printers, Group Policy Objects und Organizational Units unterteilt sind.
In der Free Edition sind diese nicht anpassbar und teilweise müssen Felder aus dem Report entfernt werden, die der kostenpflichtigen Ausführung vorbehalten bleiben.
Das Tool beantwortet zahlreiche Fragen, die Admins häufig zu den Eigenschaften von Objekten stellen, und zeigt Änderungen im Active Directory auf.
Siehe: AD FastReporter Free: Berichte generieren für User, Gruppen, Computer, GPOs
Active Directory Replication Status Tool
Das Active Directory Replication Status Tool ist eine GUI-Alternative zu repadmin /showrepl. Es analysiert die Replikation zwischen DCs wahlweise auf Forest- bzw. Domänenebene oder zwischen ausgewählten Endpunkten.
Ein besonderes Feature ist der Replication Status Viewer mit einer grafischen Darstellung der Topologie und einer sortierbaren Tabelle mit allen Replikationsereignissen.
Siehe dazu: Replikation zwischen DCs analysieren mit dem AD Replication Status Tool
AD Tidy
AD Tidy identifiziert inaktive User- und Computer-Konten. Es bietet eine Reihe von Filtermöglichkeiten, um die Suche einzugrenzen. Auf die gefundenen Accounts lassen sich diverse Aktionen anwenden, etwa sie in eine andere OU zu verschieben, sie aus Gruppen zu entfernen oder sie zu deaktivieren.
Die Free Edition ist eine abgespeckte Ausführung der Standard Edition. Ihr fehlen die Funktionen zur automatischen Bearbeitung von inaktiven Konten sowie die Kommandozeilen-Tools.
Siehe dazu: Inaktive Benutzerkonten im AD anzeigen
PingCastle
Bei PingCastle handelt es sich um einen Security-Scanner für das Active Directory, der auch große Strukturen mit mehreren Hundert Domänen prüfen kann. Das Tool zieht zu diesem Zweck mehr als 70 Regeln heran. Es ist ein Programm für die Kommandozeile, das Reports in HTML und XML erzeugt.
Siehe dazu: Schwachstellen im Active Directory entdecken mit dem kostenlosen PingCastle
ModernAD
ModernAD ist ein PowerShell-Modul, das mehrere vordefinierte HTML-Berichte zu AD-Objekten generieren kann. Der integrierte Search Builder erlaubtdas Erstellen komplexer Filter, um gezielt an die gewünschten Daten zu kommen.
Die Reports können in mehreren Formaten exportiert werden, darunter PDF und Excel.
Siehe dazu:ModernAD: Kostenloses Reporting-Tool für Active Directory
Jose
Bei Jose handelt es sich um ein VBScript zur Dokumentation der AD-Struktur sowie ihrer Objekte und Eigenschaften.
Es bietet eine grafische Auswahlmaske, mit der sich festlegen lässt, was in die Dokumentation aufgenommen wird. Diese wird im HTML-Format ausgegeben.
Siehe dazu: Active Directory dokumentieren mit dem kostenlosen Jose 3.5
Active Directory Migration Tool (ADMT)
Wie der Name vermuten lässt, dient dieses Tool von Microsoft dem Umzug von Benutzern Gruppen und Computern in einer neue Gesamtstruktur. Zu diesem Zweck muss vorher eine Vertrauensstellung mit dieser hergestellt werden.
Siehe dazu:Benutzer zwischen AD-Domänen umziehen mit dem Active Directory Migration Tool (ADMT)
Group Manager
Im AD ist die Möglichkeit vorgesehen, Managern einer Gruppe das Recht einzuräumen, Mitglieder hinzuzufügen oder zu entfernen. Group Manager versteht sich als Frontend für normale Benutzer, damit sie diese Aufgabe auf unkomplizierte Weise wahrnehmen können.
Das Tool benötigt keine Konfiguration und findet automatisch heraus, für welche Gruppen der angemeldete User Management-Rechte hat.
Siehe dazu: Verwaltung von AD-Gruppen an Benutzer delegieren mit Group Manager
Inactive User Account Removal Tool
Das Inactive User Account Removal Tool von SolarWinds ist auf eine einzige Aufgabe spezialisiert, nämlich inaktive Konten zu finden und sie zu beseitigen. Im Gegensatz zum Windows-eigenen dsquery findet es auch solche, an denen sich noch nie jemand angemeldet hat.
Die Software kommt im Paket mit dem Inactive Computer Account Removal Tool und dem User Import Tool.
Download (mit Registrierung)
Lepide Active Directory Bulk Image Editor
Der AD Bulk Image Editor ist ein GUI-Tool, mit dem sich Bilder in das AD hochladen und dort verwalten lassen. Es kann zudem Images von allen oder ausgewählten Konten anzeigen, diese entfernen oder exportieren.
Download (nach Registrierung)
Lumax
Lumax ist ein Reporting-Tool für User-Konten, das zahlreiche Filteroptionen bietet. Bei der Darstellung ausgewählter Accounts kann man User farblich hervorheben, die ein bestimmtes Kriterium erfüllen. Zum anderen lassen sich nach dem Muster von ADAC alle User ausblenden, die nicht auf eine Auswahl passen.
Siehe dazu: User-Attribute im Active Directory abfragen mit Lumax
ManageEngine Free Directory Tools
Es handelt sich dabei um eine Sammlung von mehreren Tools: Free Password Policy Manager, AD Replication Manager, SharePoint Reporter, DMZ Port Analyzer, Domain and DC Roles Reporter, AD Query Tool, Empty Password Reporter und Duplicates Identifier.
Netwrix Active Directory Change Reporter
Der AD Change Reporter ist ein Auditing-Tool, das alle Änderungen an AD-Objekten oder GPOs nachverfolgen kann. Voraussetzung dafür ist, dass Auditing im AD aktiviert wurde.
Die funktional eingeschränkte Free Edition meldet zwar alle Änderungen, aber nicht vom wem und wann sie gemacht wurden. Die Fähigkeit zum Rollback ist auf Änderungen beschränkt, die in den letzten 4 Tagen vorgenommen wurden.
Download (mit Registrierung)
SpecOps Password Auditor
Bei Password Auditor handelt es sich um ein Reporting-Tool, das einen Überblick über die konfigurierten Password Policies im AD gibt.Sie lassen sich mit den Empfehlungen anerkannter Organisationen vergleichen.
Weitere Reports zeigen all jene Konten, die ein leeres Passwort haben oder deren Kennwort abgelaufen ist bzw. in Kürze abläuft. Außerdem findet das Tool heraus, ob bestimmte Kennwörter mehrfach verwendet wurden.
Siehe dazu: Kennwörter und Passwortrichtlinien im AD überprüfen mit Specops Password Auditor
Sysinternals AD Explorer
Der AD Explorer lässt sich nutzen, um durch die hierarchischen Strukturen des Active Directory zu navigieren sowie einzelne Objekte bis auf Attributebene zu analysieren und zu ändern. Außerdem kann er Snapshots der AD-Datenbank erstellen und diese miteinander bzw. mit der Live-Konfiguration vergleichen.
Siehe dazu: AD Explorer: Änderungen im Active Directory nachverfolgen
