Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Um desafio que muitas organizações enfrentam é a proliferação de grupos em seus domínios do AD DS (Active Directory Domain Services), especialmente grupos de segurança. Uma organização pode criar grupos de segurança para projetos, mas eles não são mais necessários ao longo do tempo. Esses grupos podem permanecer sem manutenção no domínio.
A limpeza de grupo reduz a carga e o risco de administração e impede a sincronização de grupos não utilizados no Microsoft Entra. Este artigo descreve como analisar grupos e usar uma metodologia de teste de gritos para identificar e remover grupos não utilizados de um domínio do AD DS. Em um teste de grito, um administrador identifica um recurso que pode não ser mais necessário, torna temporariamente esse recurso indisponível e aguarda para ver se alguém notifica o administrador de que ele foi afetado. Se não houver relatórios de ninguém afetado, os administradores continuarão a limpar o recurso.
Primeiro, você determina se cada grupo precisa ser gerenciado com uma ferramenta de gerenciamento baseada em AD DS, como Usuários e Computadores do Active Directory, ou gerenciado na nuvem com o Centro de administração do Microsoft Entra ou o Exchange Online, ou se talvez não seja necessário. Em alguns casos, o teste de grito indica que um grupo ainda é necessário e se deseja gerenciá-lo na ID do Microsoft Entra ou no domínio do AD DS. Se o grupo não for necessário, você poderá executar vários testes de gritos para determinar se ele está ativo. Se ele não estiver mais ativo, você poderá excluí-lo do domínio do AD DS.
Tipos de grupos no escopo da limpeza
Grupos de DL (Lista de Distribuição e Segurança) em uma topologia do AD DS, com uma única floresta, domínio único. Ambientes multiforest ou multidomain, grupos de trabalho, grupos locais em computadores ingressados no domínio ou outros ambientes estão fora do escopo deste artigo.
Grupos com membros que são usuários ou outros grupos que estão no escopo da sincronização com o Microsoft Entra. Grupos que contêm computadores, contatos ou outros objetos como membros estão fora do escopo deste artigo.
Grupos criados no AD DS usando usuários e computadores do Active Directory, o MIM (Microsoft Identity Manager) ou outras ferramentas de gerenciamento de identidade. Este artigo não abrange grupos internos ou grupos que são criados por outros produtos.
Pré-requisitos
Esses pré-requisitos devem ser concluídos antes de você começar a remover grupos não utilizados com essa abordagem:
Você precisa de associação no grupo Administradores de Domínio ou permissão semelhante para atualizar, mover e excluir grupos.
Você precisa ser capaz de alterar o escopo da Sincronização do Microsoft Entra Connect ou da Sincronização de Nuvem para incluir ou excluir grupos.
Você precisa criar um GPO (Objeto de Política de Grupo) para todos os controladores de domínio graváveis para habilitar o registro em log de modificações de objeto do AD DS e configurar um repositório central para logs coletados. Para obter mais informações, consulte:
Você precisa habilitar a Lixeira do Active Directory.
Você precisa criar duas UOs (unidades organizacionais) no domínio – uma para grupos temporários de teste de gritos de aplicativo Kerberos e outra para grupos de teste de grito de aplicativo LDAP (Lightweight Directory Access Protocol) temporários.
Executar uma análise de grupo para o domínio
A meta da análise de grupo é examinar e confirmar quais dos grupos em um domínio são:
Necessário para um aplicativo integrado ao AD DS e gerenciado usando uma ferramenta integrada ao AD DS.
Necessário para um aplicativo integrado ao AD DS e gerenciado usando o Microsoft Entra ou o Exchange Online, com a associação gravada novamente no Microsoft Entra.
Potencialmente não é mais necessário no domínio do AD DS, mas é necessário em serviços conectados ao Microsoft Entra e que podem ser mantidos apenas no Microsoft Entra.
Não é necessário para aplicativos integrados ao AD DS ou ao Microsoft Entra.
A primeira etapa é identificar e categorizar os grupos em seus domínios que precisam de triagem. Para grandes organizações com milhares de grupos, você precisa escolher uma ordem para avaliar os grupos. A ordem pode ser baseada em fatores como:
- Tipo de grupo (grupo de segurança, grupo de segurança habilitado para email ou lista de distribuição)
- UO (unidade organizacional de grupo)
- Tamanho e associação do grupo
- Aninhamento de grupo (o grupo é membro de outro grupo no domínio do Active Directory Domain Services)
Selecione um lote de tamanho razoável de grupos não testados para análise. Com base no tipo de cada grupo, consulte as próximas seções para obter etapas para analisá-lo para uma possível limpeza:
- Análise de uma lista de distribuição ou grupo de segurança habilitado para email
- Análise de um grupo de segurança
Depois de executar uma dessas análises nesse lote, prossiga com o próximo lote de grupos sem título. Quando todos os grupos tiverem sido analisados, o teste de grito será concluído.
Análise de uma lista de distribuição ou grupo de segurança com suporte para e-mail
Veja se um proprietário está definido para o grupo no Exchange ou no Exchange Online. Entre em contato com o proprietário do grupo para determinar se o grupo ainda é necessário.
Veja se o grupo tem membros. Se não houver membros, vá para o teste de gritos de nuvem.
Pesquise os logs do Exchange ou do Exchange Online para ver se o email foi enviado ao grupo. Você pode usar Get-MessageTrackingLog para pesquisar e analisar os logs. Se o email tiver sido enviado, o grupo provavelmente ainda estará em uso. Entre em contato com os remetentes desses emails para determinar a finalidade do grupo.
Veja se os membros do grupo incluem usuários, contatos ou grupos que não estão sincronizados com o Microsoft Entra. Se o grupo incluir membros que não estão sincronizados, seu tipo de grupo não será atualizado para um grupo do Microsoft 365 ou uma DL do Exchange Online. Execute o teste de grito para Kerberos e os testes sucessores. Depois que você terminar:
Se o grupo ainda for necessário, mantenha-o no domínio usando o Exchange local ou substitua-o por uma DL do Exchange Online ou um grupo do Microsoft 365.
Se o grupo não for necessário, remova-o do domínio.
Se o grupo for uma DL, mesmo que os membros do grupo estejam no Microsoft Entra, o grupo Origem de Autoridade (SOA) não poderá ser convertido para o Microsoft Entra. Você deve executar um teste de grito para uso na nuvem e os testes sucessores. Quando concluídas, as opções são:
- Se você ainda precisar do grupo, substitua-o por uma DL do Exchange Online ou por um grupo do Microsoft 365.
- Se o grupo não for necessário, remova-o do domínio do AD DS e não o substitua.
Entre em contato com o administrador do Exchange para determinar com qual opção prosseguir.
Se o grupo for um MESG (grupo de segurança habilitado para email), o SOA do grupo não poderá ser convertido. Execute um teste de grito para o uso da nuvem e os testes sucessores. Quando concluídas, as opções são:
- Substitua por um grupo do Microsoft 365.
- Crie uma DL separada e um grupo de segurança e processe cada um separadamente.
- Atualize o tipo de grupo para que ele seja um grupo de segurança ou um DL em vez de um MESG.
- Remova o grupo do domínio do AD DS e não o substitua.
Contate o administrador do Exchange para determinar se o grupo ainda é necessário para fins do Exchange. Se você ainda precisar do grupo para o Exchange, substitua-o por um grupo do Microsoft 365 ou crie um grupo de segurança e DL separado e processe cada um separadamente. Caso contrário, suponha que o grupo só precisa ser um grupo de segurança ou não é mais necessário e prossiga com a análise de um grupo de segurança.
Análise de um grupo de segurança
Examine os membros do grupo. Se o grupo não tiver membros, prossiga para o teste de gritos para uso na nuvem. Examine as recomendações na tabela a seguir para outros tipos de objeto membro.
Tipo de membro do objeto Recomendações Um ou mais computadores O grupo provavelmente é usado para a política de grupo ou a administração do System Center. Entre em contato com os administradores do Windows Server e do System Center para determinar seus planos para esse grupo. Você pode substituí-lo por uma nova abordagem com o Azure ou o Intune. Um ou mais contatos Se o grupo for um MESG, esses contatos não poderão ser usados para autenticar no Microsoft Entra. Remova-os do grupo se você planeja converter o grupo de forma a não ser habilitado para email. Um ou mais usuários ou grupos não sincronizados com o Microsoft Entra (excluídos do escopo de sincronização) O grupo não deve ter sua Fonte de Autoridade convertida. Usuários e grupos sincronizados com o Microsoft Entra Planeje executar um teste de grito para uso na nuvem. Encontre a data de alteração do grupo. Se o grupo for modificado recentemente, verifique os logs para determinar quem modificou o grupo. O SID (identificador de segurança) do usuário que modificou o grupo está incluído no campo de assunto do evento 5136. Entre em contato com eles para determinar a finalidade do grupo e se ele pode ser atualizado para um grupo de segurança de nuvem.
Caso contrário, se o grupo não tiver sido modificado recentemente, use Get-Acl para verificar se uma ACL (lista de controle de acesso) no grupo ou sua UO delega a propriedade do grupo. Se uma ACL delegar a posse, entre em contato com os proprietários para esclarecer a finalidade do grupo.
Caso contrário, verifique se outro grupo tem esse grupo como membro e se esse grupo tem um proprietário identificado. Nesse caso, entre em contato com os proprietários desse grupo.
Se todos os membros do grupo forem usuários e grupos sincronizados com o Microsoft Entra e o grupo não tiver alterações recentes, nenhum proprietário claro, ele não dependerá de outro grupo e, em seguida, continuará para a próxima seção para executar um teste de grito para uso na nuvem.
Caso contrário, se o grupo tiver membros de usuário ou grupo que não são contas do Microsoft Entra e não for um grupo interno, prossiga com o teste de grito para aplicativos Kerberos.
Depois que esses testes de gritos forem iniciados para esse grupo que está sendo analisado, continue com o próximo grupo no lote.
Teste de grito para uso na nuvem
Este teste determina se há usuários em grupos que são usados para recursos de nuvem, incluindo funções privilegiadas em uma assinatura do Azure.
Primeiro, verifique no Microsoft Entra se há uma referência ao grupo:
- De uma função de aplicativo
- De uma política de Acesso Condicional
- Em outro grupo de nuvem
- No Gerenciamento de Identidades Privilegiadas
- Em fluxos de trabalho de ciclo de vida, revisões de acesso ou gestão de direitos
Nesse caso, entre em contato com os administradores desse recurso ou serviço para determinar como o grupo é usado e se ele pode ser substituído por um grupo de segurança de nuvem.
Veja se há uma referência ao grupo a partir de uma função do Azure em uma assinatura, grupo de recursos ou recurso do Azure. Nesse caso, entre em contato com os proprietários dessa assinatura do Azure.
Fale com Exchange, SharePoint, Intune, Azure e outros administradores para determinar se o grupo é necessário para a administração de seus serviços.
Fale com os administradores de outros aplicativos no Microsoft Online Services para determinar se eles usam o grupo.
Depois de determinar que não há nenhum uso evidente do grupo nos Serviços Online da Microsoft, pode haver outro serviço que não ficou evidente. Para detectar se há outro serviço, prossiga para as etapas de teste de grito abaixo.
Altere a sincronização de nuvem ou a configuração de sincronização do Connect para excluir a sincronização do grupo.
Aguarde a conclusão da sincronização e confirme se o grupo não está mais visível no Microsoft Entra.
Aguarde vários dias para determinar se algum usuário reclama que o grupo está indisponível. Por exemplo, veja se alguém abre um tíquete de suporte com a assistência técnica de TI.
Se houver reclamações, remova o grupo da exclusão. Identifique a equipe que depende do grupo e determine um plano para migrar a equipe para usar um grupo gerenciado por nuvem no futuro.
Se não houver reclamações sobre o grupo não estar mais disponível no Microsoft Entra, vá para a próxima seção, o teste de grito para aplicativos Kerberos.
Teste de grito para aplicativos Kerberos
Este teste determina se há aplicativos que dependem de um usuário ser membro de um grupo de segurança, em que o AD DS fornece ao aplicativo um tíquete Kerberos que contém a ID do grupo desse grupo ou outro grupo que o contém.
Para executar um teste de grito Kerberos, siga estas etapas:
Mova o grupo para a UO para grupos no teste de gritos Kerberos.
Atualize o tipo de grupo para uma DL, para que o grupo não seja mais incluído em tokens Kerberos. Como alternativa, remova os membros. Por exemplo, mova os membros para outro novo grupo de DL temporariamente.
Aguarde vários dias para determinar se algum usuário reclama que o grupo está indisponível. Por exemplo, veja se alguém abre um tíquete de suporte com a assistência técnica de TI.
Se houver reclamações, altere o tipo de grupo de volta para um grupo de segurança ou adicione os membros novamente. Em seguida, identifique a equipe que depende do grupo.
Se não houver reclamações, vá para a próxima seção, o teste de grito para aplicativos LDAP.
Teste de grito para aplicativos LDAP
Este teste determina se há aplicativos LDAP que dependem de um usuário ser membro de um grupo de segurança.
Mova o grupo para a UO para grupos no teste de grito LDAP.
Remova os membros do grupo. Por exemplo, mova os membros para outro novo grupo temporariamente.
Aguarde vários dias para determinar se algum usuário reclama que o grupo está indisponível. Por exemplo, veja se alguém abre um tíquete de suporte com a assistência técnica de TI.
Se houver reclamações, restaure a membresia do grupo e mova-o de volta para a OU original. Identifique a equipe que depende do grupo.
Se não houver reclamações, exclua o grupo. O grupo excluído vai para a Lixeira do Active Directory.