In LOGINventory taucht manchmal eine Frage auf, die auf den ersten Blick irritiert:
„Warum sehe ich unter Benutzer noch Konten, die es im Active Directory schon lange nicht mehr gibt?“
Die kurze Antwort lautet: Weil ein Eintrag unter Benutzer in LOGINventory nicht automatisch bedeutet, dass dieses Benutzerkonto aktuell noch im Active Directory existiert.
LOGINventory unterscheidet zwischen Benutzerinformationen, die aus einem Verzeichnisdienst wie Active Directory oder Entra ID stammen, und Benutzerobjekten, die innerhalb der Inventardatenbank weiterhin referenziert werden. Genau dieser Unterschied ist wichtig, um alte Benutzer korrekt einzuordnen.
Benutzer ist nicht gleich AD-Benutzerkonto
In LOGINventory gibt es unterschiedliche fachliche Zusammenhänge.
Ein AD-Benutzerkonto ist ein Objekt, das bei einem Scan aus dem Active Directory oder Entra ID ausgelesen wird. Dieses Objekt beschreibt also ein Konto, das in der jeweiligen Domäne oder Tenant vorhanden ist oder zumindest bei einem früheren Scan vorhanden war.
Ein Eintrag unter Benutzer kann dagegen auch ein historischer oder referenzierter Benutzer sein. Solche Benutzer können aus verschiedenen Inventardaten stammen, zum Beispiel weil sie irgendwann auf einem Gerät angemeldet waren, als Besitzer eines Geräts eingetragen wurden oder im Zusammenhang mit installierter Software, Netzlaufwerken oder anderen benutzerbezogenen Daten gefunden wurden.
Zu jedem AD-Benutzerkonto wird auch immer ein Eintrag in der Benutzer-Liste angelegt, aber nicht umgekehrt!
Ein Benutzer kann in LOGINventory noch sichtbar sein, obwohl das zugehörige AD-Konto längst gelöscht wurde.
Das ist nicht automatisch ein Fehler. In vielen Fällen schützt LOGINventory damit die Konsistenz der Datenbank. Würde ein Benutzer gelöscht, obwohl andere Datensätze noch auf ihn verweisen, würden diese Verknüpfungen ins Leere zeigen.
Warum löscht LOGINventory alte AD-Konten nicht sofort?
Beim Active-Directory-Scan kann LOGINventory nicht in jedem Fall sicher wissen, ob wirklich das komplette AD erfasst wurde.
Wenn ein Konto bei einem Scan nicht mehr gefunden wird, kann das mehrere Gründe haben:
- Das Konto wurde tatsächlich im AD gelöscht.
- Das Konto befindet sich in einer OU, die aktuell nicht gescannt wurde.
- Die Scan-Definition wurde geändert.
- Eine Domäne oder Quelle wurde länger nicht mehr erfolgreich erfasst.
Deshalb wäre es riskant, nicht mehr gefundene AD-Objekte sofort automatisch zu löschen.
Stattdessen arbeitet LOGINventory mit einer Bereinigung veralteter AD-Daten. Dabei wird geprüft, wie lange ein Objekt in der jeweiligen Domäne nicht mehr bei einem erfolgreichen Scan enthalten war. Erst nach Ablauf einer konfigurierten Frist können solche veralteten AD-Konten und Gruppen bereinigt werden.
Mehr Informationen zur AD-Bereinigung und Historie finden Sie in diesem Lösungsartikel.
Wichtig dabei: Die Frist bezieht sich auf die jeweilige Quelle beziehungsweise Domäne. Damit die Bereinigung zuverlässig funktioniert, müssen die relevanten AD-Quellen regelmäßig erfolgreich gescannt werden.
Wichtig: Die empfohlene Bereinigung der Active Directory Daten bezieht sich nicht auf die Einträge in der Benutzer-Liste. Diese kann gesondert bereinigt werden.
Welche Bereinigungen sind relevant?
In LOGINventory gibt es mehrere Bereinigungs-Optionen, die bei alten Benutzern eine Rolle spielen können.
Besonders relevant sind:
- Active Directory Konten und Gruppen veraltet für mehr als X Tage
- User CloudSubscription Daten veraltet für mehr als X Tage
- Verwaiste Benutzerdaten
- Veraltete Daten älter als X Tage
- UserLogons
Warum bleiben Benutzer trotz Bereinigung sichtbar?
Ein häufiger Irrtum ist die Annahme: „Wenn ich verwaiste Benutzerdaten bereinige, müssen alle alten Benutzer verschwinden.“
Das stimmt nur eingeschränkt.
Die Bereinigung verwaister Benutzerdaten entfernt nur Benutzer, zu denen keine relevanten Referenzen mehr bestehen. Wenn ein Benutzer noch irgendwo in der LOGINventory-Datenbank verwendet wird, bleibt er erhalten.
Typische Referenzen sind zum Beispiel:
- Benutzersitzungen auf Geräten
- UserLogons
- zuletzt angemeldeter Benutzer
- Eigentümer eines Assets
- benutzerbezogen installierte Software
- Netzlaufwerke oder andere Daten aus dem Benutzerkontext
- Daten auf archivierten Assets
- Cloud- oder Lizenzinformationen, die noch mit einem Benutzer verknüpft sind
Aus Sicht von LOGINventory ist der Benutzer dann nicht „verwaist“. Er wird noch benötigt, weil andere Daten auf ihn zeigen.
Beispiel: Alte Benutzer durch User Logons (Benutzer-Anmeldungen)
Ein typischer Praxisfall sind alte Benutzer-Anmeldungen (also erfolgreiche oder fehlgeschlagene Anmeldeversuche auf einem Gerät).
Selbst wenn die Bereinigung der UserLogons aktiv ist, werden trotzdem (standardmäßig) die letzten 250 Anmeldungen je Gerät aufgehoben.
Jedes Konto, egal ob im AD gelöscht oder nicht, das in dieser Auflistung auftaucht, hat also weiterhin eine Referenz und bleibt auch nach einer Bereinigung der Verwaisten Benutzerdaten (= Bereinigung der Benutzer, zu denen es keine Referenz mehr gibt) bestehen.
Solange diese Anmeldungen in der LOGINventory-Datenbank existieren, bleibt auch der Benutzer erhalten. Würde LOGINventory den Benutzer trotzdem löschen, hätten die Sitzungsdaten keinen gültigen Bezug mehr.
Die richtige Reihenfolge, wenn der Eintrag aus der Benutzer-Liste entfernt werden soll ist deshalb:
- Prüfen, welche Daten noch auf den Benutzer verweisen. Also: Expandieren des Benutzers in der Benutzer-Liste und Anklicken der Unterpunkt, um zu prüfen, wo eine Referenz besteht.
- Die entsprechenden historischen Daten nach den gewünschten Aufbewahrungsregeln bereinigen. Also: Wenn eine Anmeldung an Stelle 151 bei einem PC zu sehen ist, dann müssten bei der Bereinigung der UserLogons nur die letzten 150 Einträge aufgehoben werden. Achtung: Das gilt dann für alle PCs und kann so pauschal auch zu ungewolltem Datenverlust führen.
- Danach die verwaisten Benutzerdaten bereinigen.
Erst wenn keine Referenzen mehr bestehen, kann der Benutzer aus der Benutzerliste verschwinden.
Daher ist es vielleicht auch gar nicht immer nötig, alte Einträge aus der Benutzer-Liste verschwinden lassen zu wollen. Wenn es wirklich keine Referenz mehr gibt, dann wird der Eintrag verschwinden. So lange eine Referenz existiert, ist es richtig, dass der Eintrag in der Liste weiterhin besteht.
Achtung: Ein typischer Stolperstein hier sind Archivierte Assets!
Referenzen zu archivierten Geräten
Wenn das Prüfen der Daten, die auf den Benutzer verweisen, (1. Schritt vorheriger Punkt) keine Ergebnisse liefert, ist der Grund häufig, dass Referenzen zu archivierten Geräten bestehen.
Denn: Wenn ein Asset archiviert wird, werden dessen Referenzen (zu Benutzer-Anmeldungen, Software-Pakten,...) in allen Auswertungen ausgeblendet, bestehen aber weiterhin in der Datenbank. Denn nur so kann durch das Reaktivieren des Assets alles wieder wie gehabt ausgewertet werden.
Das heißt konkret: Auch wenn es in den letzten 250 Einträgen eines archivierten Assets eine Benutzer-Anmeldung von User X gab, ist dieser weiterhin nicht verwaist und wird daher durch die Bereinigung der Verwaisten Benutzerdaten nicht entfernt. Erst das Löschen des Archivierten Assets (oder Einschränken der UserLogon-Tiefe auf die letzten Y Einträge) würde dazu führen, dass der Benutzereintrag verwaist und somit durch die Bereinigung entfernt werden kann.
Warum betrifft das manchmal auch das Lizenzmanagement?
Alte Benutzer können nicht nur optisch stören, sondern auch Auswertungen beeinflussen.
Das ist besonders dann relevant, wenn Benutzer noch mit Cloud-Lizenzen, Softwareinstallationen oder anderen lizenzrelevanten Informationen verbunden sind. In solchen Fällen kann der Eindruck entstehen, dass das Lizenzmanagement falsche Werte liefert.
Die eigentliche Ursache ist dann aber oft nicht das Lizenzmanagement selbst, sondern eine noch vorhandene historische Benutzerreferenz. Solange LOGINventory Daten findet, die diesem Benutzer zugeordnet sind, kann der Benutzer in Auswertungen weiterhin auftauchen.
Deshalb sollte man bei unerwarteten Lizenzwerten nicht nur prüfen, ob das AD-Konto noch existiert, sondern auch, ob es in LOGINventory noch Daten gibt, die auf diesen Benutzer verweisen.
Vorgehensweise zur Analyse
1. Handelt es sich um einen AD-UserAccount oder um einen User?
Zuerst sollte geklärt werden, ob es um ein aktuelles oder veraltetes AD-Konto geht oder um einen allgemeinen Benutzer-Eintrag in der Users-Tabelle.
2. Wurde die richtige Quelle regelmäßig gescannt?
Bei AD- und Cloud-Daten muss geprüft werden, ob die jeweilige Domäne oder Cloud-Quelle regelmäßig erfolgreich erfasst wurde.
3. Sind Bereinigungsfristen gesetzt?
Die relevanten Datenpflegeoptionen sollten aktiviert und mit sinnvollen Fristen versehen sein.
4. Gibt es noch Referenzen?
Wenn ein Benutzer trotz Bereinigung sichtbar bleibt, existiert sehr wahrscheinlich noch eine Referenz.
5. Alte Gerätedaten prüfen
Geräte, die lange nicht mehr gescannt wurden, können alte Benutzerinformationen konservieren. Auch archivierte Assets sollten geprüft werden.
6. Danach erneut bereinigen
Nachdem die verursachenden historischen Daten entfernt oder durch neue Scans aktualisiert wurden, kann die Bereinigung der verwaisten Benutzerdaten erneut ausgeführt werden.
Fazit
Wenn in LOGINventory alte Benutzer sichtbar bleiben, obwohl sie im Active Directory nicht mehr existieren, ist das meistens kein Fehler.
In vielen Fällen handelt es sich um historische oder referenzierte Benutzerobjekte. LOGINventory löscht solche Benutzer nicht, solange noch andere Daten auf sie verweisen. Das schützt die Konsistenz der Inventardatenbank.
Ein nicht mehr existierendes AD-Konto ist nicht automatisch ein löschbarer Benutzer in LOGINventory.
Erst wenn veraltete AD- oder Cloud-Daten korrekt bereinigt wurden und keine weiteren Referenzen wie Benutzersitzungen, UserLogons, installierte Software, Eigentümerbeziehungen oder alte Gerätedaten mehr bestehen, kann der Benutzer vollständig verschwinden.
Wer alte Benutzer sauber entfernen möchte, sollte daher nicht nur auf den AD-Scan schauen, sondern die gesamte Datenkette betrachten: Quelle, Scan-Zeitpunkt, Bereinigungseinstellungen, historische Daten und vorhandene Relationen.