Mit LOGINventory 2025.1 (Version 9.9) wurde das Verhalten beim Aktualisieren & Bereinigen von Active Directory Daten & Daten zu Cloud Subscriptions grundlegend geändert. Hier erklären wir die Hintergründe.
Jeder Datensatz aus dem AD erhält einen Zeitstempel ("Timestamp"), aus welchem ersichtlich ist, wann dieser Datensatz eingelesen wurde.
Wenn die empfohlenen Einstellungen verwendet werden und bei der Bereinigung die Checkbox zum Bereinigen von "Active Directory Konten und Gruppen veraltet für mehr als 1 Tag" aktiviert ist, werden alle Datensätze entfernt, für die der Zeitstempel relativ zur neuesten Erfassung dieses AD mehr als 1 Tag alt ist.
Beispiel:
Angenommen, es gibt zwei AD-Domänen:
- In Domäne 1 wird Benutzer A gelöscht.
- In Domäne 2 wird Benutzer B gelöscht.
Danach wird sofort ein AD-Scan in beiden Domänen durchgeführt → beide Benutzer fehlen, bleiben aber in der Datenbank mit einem Timestamp,
an welchem ersichtlich ist, dass die Daten im letzten Scan nicht enthalten waren.
Zwei Tage später:
- Ein neuer Scan wird nur in Domäne 1 durchgeführt und im Anschluss die Bereinigung gestartet.
- Die Bereinigung erkennt, dass Benutzer A bereits seit über einem Tag nicht mehr vorhanden ist → Benutzer A wird gelöscht.
- In Domäne 2 gab es keinen neuen Scan → der
Timestamp
von Benutzer B ist zwar zwei Tage alt, aber da es keinen neueren Scan gibt, erfolgt keine Löschung.
Wichtig zu wissen: Die 1-Tages-Frist bezieht sich immer auf die letzte Erfassung der jeweiligen Domäne. Es ist daher wichtig, regelmäßige Scans für alle angebundenen Domänen durchzuführen, damit veraltete Objekte zuverlässig erkannt und bereinigt werden können.
Das gleiche Verhalten gilt für die Mitgliedschaft in AD-Gruppen, als auch für die Zuweisung von Cloud Subscriptions zu Usern.
Wir empfehlen also diese Checkboxen zu setzen, sodass die genannte Bereinigung regelmäßig durchgeführt wird. Durch die Migration von Vorgängerversionen auf LOGINventory 2025.1 werden die beiden Checkboxen jedoch nicht gesetzt, damit nicht unbeabsichtigt Daten gelöscht werden.
Weiterhin wurden beim Eintrage-Verhalten Änderungen vorgenommen, sodass eine zuverlässige Historie geschrieben wird, wenn Beispielsweise User aus einer Gruppe entfernt werden.
Daher empfehlen wir die Änderungsverfolgung für folgende Tabellen in den Einstellungen einzuschalten, damit vom neuen Historie-Feature überhaupt profitiert werden kann:
- AdGroup
- ComputerAccount
- ComputerAccountMembership
- UserAccount
- UserAccountMembership
Bei Datenbanken, die mit Version 2025.1 oder später angelegt wurden, sind die Checkboxen zum Bereinigen, sowie zum Erzeugen der Historiendaten für die genannten Tabellen bereits standardmäßig aktiviert.
Zum Vergleich: Vor LOGINventory 2025.1 (Version 9.8.1 und früher) war das Verhalten wie folgt:
Ohne die neue Option zum Bereinigen der Verwaisten Daten mussten regelmäßig ALLE AD-Daten komplett bereinigt werden (also alle AD-Daten komplett gelöscht werden) und im Anschluss eine erneute AD-Erfassung durchgeführt werden - sodass dann die Daten wieder aktuell waren. Der Nachteil bestand jedoch darin, dass somit keine Historie erzeugt werden konnte, da ja alle Daten (auch Historien-Daten) regelmäßig entfernt wurden.
Diese Option zum Komplett-Entfernen aller AD-Daten besteht weiterhin, wir empfehlen aber diese nicht mehr zu verwenden und stattdessen die oben genannten Anpassungen durchzuführen.