Ab und an kommt es mal vor, dass ein User im AD erhöhte Rechte oder zusätzliche Gruppen bekommen muss. Zum Beispiel könnte dieser erhöhte Rechte im Internet (AD-basierte Proxygruppen) oder für eine Applikation (Argh!) benötigen.
Was passiert aber nun, wenn diese Rechte in Vergessenheit geraten und dadurch Schaden (z.B. Data-Loss, Malware, …) entsteht? Die Frage ist natürlich reichlich polemisch, allerdings muss man sich die Frage stellen, wer dafür die Verantwortung trägt? Natürlich die IT.
Und genau die kann dafür sorgen, dass solche Dinge NICHT in Vergessenheit geraten, indem man sich automatisch in periodischen Abständen ein Aufstellung der wichtigsten Gruppen zuschicken lässt. Genau dieses erfüllt das Skript, welches ich geschrieben habe.
Dieses Skript fragt 1-n Gruppen über den LDAP-Filter ab (Zeile $filter = "(&(|(name=Domänen-Admins)(name=FreiesInternet))(objectcategory=group))";) und verschickt wunderschöne E-Mails mit einer tabellarischen Aufstellung der entsprechenden User und in welcher OU sich diese befinden.
Anschließend trägt man dieses Skript in die crontab ein:
0 01 * * 1 /usr/bin/php -q /usr/local/bin/check_ad_admins.php
Nun wird man jede Woche am Montag zum Arbeitsbeginn eine E-Mail mit den aktuellen Gruppenmitgliedern haben, bei sehr großen Firmen sollte man vielleicht noch einen Zwischenschritt einlegen und entweder eine kleine Datenbank oder ein Textfile mit Altwerten füllen um die neu hinzugekommen zu highlighten, aber in meinem Fall war das nicht nötig.
Hier geht es zu meinem Original-Artikel mit dem Quelltext:
[Passive Sicherheit im AD mit PHP: Ollis Blog]
http://oskibbe.blogspot.de/2013/10/passive-sicherheit-im-ad-mit-php.html
http://faq-o-matic.net/?p=5482