Non. Sur tous les points, vraiment.
Une grande multi-nationale bien connue là où je vis, par exemple, a plus de 25 000 GPO. Donc, même si vous pensez avoir trop de GPO et trop de complexité (et vous pourriez bien l'avoir), ce n'est pas un problème vraiment soluble. Les organisations complexes et complexes avec des relations complexes ont de gros annuaires complexes. Pas moyen d'y échapper.
La seule solution réelle est une conception, une application et une administration correctes de votre structure AD... ce qui n'est pas non plus une tâche facile, ni quelque chose qui peut être résolu avec "quelques outils". Et, encore une fois, même avec une bonne conception et des politiques en place, vous vous retrouverez avec un AD relativement grand et compliqué. C'est juste la nature de ce type de données - il y en a beaucoup, et cela suit beaucoup de relations et de dépendances, donc c'est complexe. Nature de la bête.
Votre premier objectif est de décider comment vous souhaitez organiser/concevoir votre structure AD et vos hiérarchies, ce qui est un projet en soi.
Une fois que vous aurez réglé cela, vous devriez passer au reporting dans votre environnement actuel, ce qui n'est pas non plus une tâche triviale. Il existe de nombreux outils pour cela, y compris de simples scripts pour interroger et récupérer des données via LDAP, ainsi que des outils tiers. Les outils de reporting Windows et Active Directory de Quest seraient probablement votre "norme de l'industrie" dont vous parlez, mais ils sont coûteux, et ce ne sont pas une solution miracle. Par exemple, dans le cadre d'une refonte de l'AD que j'ai réalisée pour une entreprise d'environ 1 000 employés, le rapport sur les autorisations de fichiers sur leurs serveurs de fichiers générait des feuilles de calcul Excel avec plus d'un quart de million de lignes.
Ensuite, une fois que vous avez déterminé où vous souhaitez être et où vous en êtes actuellement, vous devez planifier un moyen d'y parvenir. Et, bien sûr, cela doit être fait pendant que l'environnement fonctionne, car vous ne pouvez pas vraiment mettre l'AD hors ligne pendant quelques mois pour résoudre les problèmes. Il est bon de noter que cela conduit souvent à la réalisation qu'il est plus facile et plus judicieux de mettre en place un tout nouveau domaine ou une nouvelle forêt vers lesquels vous "migrez" l'environnement existant.
Enfin, une fois que vous avez fait tout cela, il est impératif de mettre en place des politiques et des procédures et de les faire respecter pour protéger la structure et l'organisation du nouvel AD et/ou de l'AD nettoyé, sinon vous vous retrouverez rapidement dans le même désordre qu'au départ.
Beaucoup de travail.
En fonction de la taille et du degré de désorganisation de votre environnement AD, il est peut-être préférable de simplement documenter votre environnement AD, de vous attaquer aux tâches les plus simples et de mettre en place des politiques au fur et à mesure que vous nettoyez une zone particulière. Par exemple, nettoyer les adhésions aux groupes en supprimant d'anciens employés et des groupes vides, et mettre en place une procédure en cas de départ d'employé, telle que "exécuter le script suivant pour déterminer les adhésions aux groupes et supprimer l'ancien employé de tous les groupes."
quoi qu'il en soit, il n'y a pas d'outil pour le faire pour vous, et cela va nécessiter un bon effort pour réaliser cela.
