Je active directory optimaliseren? Wij deden het voor in deze case! - Technical fact
Dit technical fact is een onderdeel van een serie van drie, waarin we stilstaan bij Active Directory optimalisatie, domein migratie en de afwerking nadien. Active Directory optimalisatie doen we om de werking binnenin het domein te optimaliseren en structureren. We schrijven stap voor stap uit hoe we te werk gaan, hoe we de audit uitvoeren en welke stappen we zetten voor de optimalisatie ervan. Benieuwd naar het proces? Lees dan zeker verder!
Waarom een active directory optimaliseren?
We merken in de praktijk dat er regelmatig domeinen worden opgesteld die doorheen de tijd verschillende aanpassingen ondergaan, maar waar nooit nog naar wordt teruggekeken. Hierdoor kan het zijn dat bijvoorbeeld bepaalde gebruikers of computers in de omgeving zijn opgenomen die al enkele jaren niet meer actief zijn. Je DNS pool kan ook veel duplicaten bevatten (omwille van scavenging die uitstaat) of er kunnen groepen binnen je AD bestaan die niet gebruikt worden. Daarnaast kan het ook gewoon zijn dat er nu een veel efficiëntere manier van werken bestaat dan enkele jaren geleden. Je Active Directory wordt dus ‘sneller en vaker vervuild’ dan je zou denken. Wanneer je het domein dan uiteindelijk wil optimaliseren kost dit veel tijd en moeite. Een audit van de omgeving is dan een goede richtingwijzer om de optimalisatie zo efficiënt mogelijk te laten verlopen.
De audit op zich
Een van onze klanten merkte dat de structuur binnen het domein onder handen genomen mocht worden, omdat hier een groot gebrek aan was. Naar aanleiding hiervan stelde onze klant de vraag om een audit uit te voeren op hun huidige Active directories binnen hun domein. Uiteraard gingen we met plezier in op deze vraag.
Hoe begonnen we hieraan? We keken onderstaande zaken in de lijst allemaal na en vergeleken deze met de best practices van Microsoft:
• ADMX Storage
• ADM -> ADMX migration
• SYSVOL DFSR/replication
• GPO permissions
• Orphaned GPO’s
• Password policy’s
• User right assignments
• GPO’s with stored passwords
• GPO links
• Local group assignments
• DC GCS
• Network config
• Eventlogs
• Installed updates
• Installed roles & features
• Running services
• DSRM password
• Time configuration
• DC replication
• Security/hardening
• Antivirus
• Unused accounts
• DNS setup
• DNS replication
• DNS scavenging
• Netbios
• SMB
• AD connect
Nadat we al deze zaken hadden gecontroleerd en geoptimaliseerd, controleerden we ook een aantal basisonderdelen in het domein, zoals: inactieve accounts en computers. We keken vervolgens de gebruikersaccounts en beheerdersaccounts na en lijstten deze mee op.
Onze klant maakt gebruik van Azure ad connect. Als dit het geval is controleren we ook welke mappen gesynchroniseerd worden en of er synchronisatieproblemen zijn of niet.
Wat na de audit?
Op het einde van de audit documenteerden we alles in één document. We sloten het document af met een lijst aan suggesties. Hierin besproken we de controles die we uitvoerden en de hieraan gekoppelde te nemen stappen. De keuze is op dat moment aan de klant. Deze moet bekijken welke controles ze willen doorvoeren en welke niet. In deze case vroeg onze klant alle optimalisaties uit te voeren, die we in ons document hadden opgelijst.
Optimalisatie van de active directory
Om dit uit te kunnen voeren moesten we verschillende services uitschakelen, bewerken en weer inschakelen. We vertellen je hieronder hoe we te werk gingen.
Uitschakelen
Allereerst schakelden we IPv6 uit op de netwerkadapters, omdat deze niet werd gebruikt in het domein. Vervolgens hebben we ook NetBIOS & SMBv1 uitgeschakeld. Deze protocollen waren beiden eveneens niet in gebruik. Vervolgens keken we samen met de klant welke inactieve gebruikers en computers van de lijst verwijderd konden worden.
Bewerkt
We stelden het DSRM-wachtwoord opnieuw in. Deze werd niet gedocumenteerd wanneer het domein werd opgezet. Vervolgens wijzigden we de replicatie-instelling van de GPO, zodat deze uniform was voor alle beleidsregels. Deze had ook meer structuur nodig, aangezien verschillende sites in één domein gebruikt werden. We veranderden de interval voor inter-site replicatie naar één keer per 15 minuten. Als laatste hebben we de NTP instellingen aangepast om verbinding te kunnen maken met de verschillende local.pool.ntp servers.
Inschakelen
We schakelden het DFSR-protocol in omdat FSR verouderd was. Vervolgens stelden we het beleid voor het blokkeren van accounts in op: 10 pogingen. De AD prullenbak werd opnieuw geconfigureerd, zodat per ongeluk verwijderde records makkelijk terug te halen waren. Vervolgens schakelden we DNS record in om oude records te verwijderen. Als laatste schakelden we de authenticatie op netwerkniveau en de lokale firewall opnieuw in.
We stelden voor om een secundair domein te verwijderen en deze te migreren naar het huidige domein. Op deze manier creëerden we een extra site in het huidige domein, wat voor uniformiteit in de setup zorgt. De voordelen van zo’n installatie/migratie, bespreken we in het tweede deel van ons verhaal.
Conclusie
Hopelijk hebben we de meerwaarde van een optimalisatie van je Active Directory voldoende kunnen duiden. Wil je het domein binnen jouw IT-omgeving evalueren? Neem zeker contact op via onderstaand formulier. We helpen je graag verder!