Active Directory opschonen met AD Tidy

Verschillende kwaliteitssystemen op het gebied van informatiebeveiliging eisen dat organisaties ervoor zorgen dat accounts van medewerkers tijdig worden opgeruimd wanneer zij bijvoorbeeld uit dienst treden. Dit om te voorkomen dat medewerkers die niet meer in dienst zijn toch nog toegang hebben tot informatie waartoe ze geen toegang meer behoren te hebben. Dit betekent dat gebeurtenissen zoals uit dienst treden, maar ook het veranderen van functie, verwerkt moeten worden in de Active Directory. Een account kan eerst tijdelijk gedisabled worden, maar zal uiteindelijk moeten worden verwijderd. Hoe simpel dit ook klinkt, maar al te vaak gebeurt het niet en is het bijna een gegeven dat bij de meeste organisaties tot wel 10 procent vervuiling in de AD staat.

De dieperliggende oorzaak is natuurlijk dat IT-organisatie van oudsher niet in de flow zit die de verandering van het dienstverband afhandelt. Wat er binnen organisaties die hier last van hebben moet gebeuren is het inrichten van Identity Management. Maar gewoon af en toe eens controleren of er veel vervuiling van oude gebruikers in AD zit kan ook geen kwaad als er wel IM is ingericht. Sterker nog, het is een mooie methode om te bewijzen dat IM werkt.

AD Tidy

Een tooltje dat helpt om zulke controles, maar ook de opschoningen zelf, snel en gemakkelijk uit te voeren is AD Tidy. Het is geschreven door de Engelse IT Pro Chris Wright die het gratis ter beschikking stelt. AD Tidy doorzoekt de AD voor computer- en gebruikersaccounts op basis van op te geven criteria. Op de accounts die dan gevonden worden kunnen een of meer acties worden uitgevoerd.

Zoeken is mogelijk binnen de hele AD of specifieke OU's. Er kan worden gezocht direct en specifiek op computers en accounts, maar ook op basis van laatste logon. Verder is het mogelijk specifiek te zoeken op accounts die een gegeven aantal dagen niet meer is aangelogd. Als extra controleslag of een computeraccount nog wel of niet bestaat, kan vanuit Tiny AD direct een ping verstuurd worden. Resultaten kunnen verder worden gefilterd door specifieke accounts op basis van naam of kenmerk uit te filteren. AD Tidy werkt zowel met het AD waarvan de gebruiker zelf op is ingelogd, maar kan door alternatieve geldige credentials te verstrekken ook een andere AD doorzoeken.

Acties

De acties die vervolgens kunnen worden uitgevoerd op de gevonden accounts zijn het verplaatsen naar een andere OU, uitschakelen of verwijderen uit alle groepen. Ook kan een beschrijving aan de accounts worden toegevoegd, een verloopdatum, kunnen de accounts aan een groep worden toegevoegd of juist uit een groep verwijderd of uit alle groepen verwijderd. Een account kan bovendien uit de Exchange Address List worden verwijderd en de gebruikersdirectory kan worden gewist.

Zoekresultaten zowel als de activiteitenlog van alle wijzigingen die via Tidy AD gebeuren kunnen worden bewaard in CSV-formaat. Zoekopdrachten kunnen in XML-formaat worden bewaard en ook ingelezen.

Download

AD Tidy bouwt op .NET Framework 3.5 SP1 en later. De meest recente versie van AD Tidy is 1.5.0. De download is slechts 556kb groot. De download bestaat uit een ZIP-bestand waarin een MSI en een setup-programma. Het bestand is door VirusTotal op malware gecontroleerd en vrij van alle malware bevonden.

De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.