Angelo: Meta-Reporting für Active Directory

Es gibt viele Möglichkeiten, eine Active-Directory-Umgebung zu dokumentieren und zu analysieren. Wer sich einen Überblick über ein AD verschaffen möchte – sei es das der eigenen Firma, sei es die Domäne eines neuen Kunden – kommt mit den vorhandenen Werkzeugen in kurzer Zeit zu einem Ergebnis. Da ist dann aber immer der Aufwand, sich die verschiedenen Tools zusammenzusuchen und richtig einzusetzen.

Um diese Arbeit etwas zu erleichtern, haben wir Angelo gebaut: Ein Meta-Reporting-Tool für Active Directory. Angelo selbst macht dabei eigentlich fast nichts, die Arbeit erledigen vorhandene Werkzeuge aus verschiedenen Quellen. Angelos Job besteht darin, diese Tools aufzurufen und ihre Ergebnisse in einem Report-Ordner zusammenzustellen. Dazu generiert Angelo dann noch eine Report-Übersicht.

Folgende Werkzeuge steuert Angelo:

• AdFind
• Borg
• Cindy
• Costa
• DCDiag
• DNSLint
• Get-GroupReport
• GPMC-Skripte bzw. –Commandlets
• José
• OldCmp

Damit erzeugt Angelo u.a. folgende Analysen:

• Metadaten der Domäne
• Objektstruktur
• Standorte und Replikationskonfiguration
• Domänen-“Gesundheit”
• Gruppenrichtlinien
• DNS-Grundkonfiguration
• IP-Konfiguration und Windows-Konfiguration aller DCs
• Aktive, inaktive und kritische Benutzer- und Computerkonten
• Mitgliedschaft in kritischen Gruppen, einschließlich Primary Groups
• AD-Schema

Mit diesen Daten hat man eine sehr gute Grundlage, den Zustand einer AD-Umgebung einzuschätzen. Die Interpretation der Ergebnisse nimmt Angelo einem nicht ab, aber in der Report-Übersicht gibt es ein paar Hinweise, worauf man achten sollte. Angelo ist vollständig in englischer Sprache, läuft aber natürlich auch auf nicht-englischen Systemen.

Angelo-Download

Hier findet ihr Angelo:

  Angelo: AD-Metareporting (15,9 KiB, 3.464-mal heruntergeladen, letzte Änderung am 19. September 2023)

Angelo vorbereiten

In dem Download befindet sich nur das Angelo-Skript selbst sowie eine Ordnerstruktur und ein paar Hilfsskripte. Die eigentlichen Tools sind nicht enthalten – und zwar aus zwei Gründen: Erstens werden diese Tools von anderen gepflegt und aktualisiert. Würden wir sie in unseren Download integrieren, wären viele davon wohl schnell veraltet. Und zweitens dürfen wir natürlich fremde Tools nicht so einfach weiterverbreiten.

Also müsst ihr die Tools selbst herunterladen und in Angelos Ordnerstruktur verteilen. Das ist aber sehr einfach, denn in jedem Ordner steht genau, welches Tool dort hingehört und wo man es bekommt. Euren eigenen fertigen Angelo-Ordner könnt ihr dann natürlich nach Belieben mitnehmen.

Angelo nutzen

Angelo kann man auf einem beliebigen Rechner ausführen, der Mitglied der zu untersuchenden Domäne ist. Einige Tools haben aber folgende Voraussetzungen:

• Auf dem Rechner, auf dem man Angelo startet, sollten die Verwaltungstools (RSAT) für Active Directory installiert sein.
• Auch die PowerShell mit AD-Modul sollte vorhanden sein (ist normalerweise der Fall, wenn die RSAT installiert sind).  
• Angelo läuft zwar auch ohne Adminrechte, aber dann kann er einiges nicht lesen. Am besten läuft Angelo, wenn man über Domänen-Admin-Rechte verfügt.

Am besten startet man also ein CMD-Fenster mit Domänen-Admin-Rechten, wechselt in den Angelo-Ordner und ruft Angelo dann auf. Das Skript braucht ein paar Minuten, in großen Umgebungen vielleicht auch ein paar Minuten mehr. Alle weiteren Fenster, die sich öffnen, bitte einfach so lassen, sie schließen sich von selbst wieder.

Nach ein paar Minuten hat Angelo dann alle Daten in seinem Unterordner “Reports” abgelegt, wo es einen Unterordner mit Zeitstempel gibt. Dort liegen viele Einzeldateien und ein paar weitere Ordner. Besonderes Augenmerkt verdient die Datei “_ReportOverview.html”: Sie enthält einen Überblick über alle Einzel-Reports, erläutert diese kurz und gibt auch gleich die passenden Links zu den Berichten an.

Hier ist ein Beispiel-Report, allerdings ohne die Detaildaten.