Im folgenden Artikel gehe ich zuerst davon aus, dass der DC einwand­frei funk­tioniert und mit seinen Partnern kommu­niziert. Ich spreche dann aber auch das Ver­halten bei even­tuellen Fehler­fällen an. Das Herab­stufung (im Englischen Demotion genannt) zeige ich ein­mal anhand der GUI und zusätzlich mittels PowerShell.

Nach der Instal­lation von SCCM ist das Sys­tem leer, es sind keine User und auch keine Computer ent­halten. Diese muss der Admini­strator daher erst impor­tieren. Dafür stehen mehrere Ver­fahren zur Aus­wahl. Ich be­schreibe hier die manu­elle Ein­gabe eines Com­puters sowie die Über­nahme aus dem Active Directory.

Unter dem Titel Bringing IT together richten Manage­Engine und die Micro­Nova AG eine ganz­tägige Veran­staltung aus, die sich um die Admini­stration des Active Directory und von hetero­genen Clients sowie um ITSM dreht. Neben mehreren Vor­trägen er­warten die Teil­nehmer auch praxis­nahe Work­shops.

Der Network Policy Server (NPS) über­nimmt die Authen­tifi­zierung, Autori­sierung sowie das Accounting (AAA) für Radius-Clients (Access Server). Das können WLAN-APs, Switches, DFÜ-Remote­zugriffe und VPN-Server sein. Diese Anleitung zeigt, wie man NPS installiert, mit dem AD verbindet und Accounting aktiviert.

Der DNS-Server ist mit einer der wichtigsten Bestand­teile einer Active-Directory-Domain. Nur durch ihn können Computer den Domain Controller finden. Das ver­sehent­liche Löschen einer DNS-Zone hat daher unange­nehme Konse­quenzen. Ein solches Malheur lässt sich durch einen ent­sprechen­den Schutz vermeiden.

Auch wenn es zahl­reiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeig­nete Tools nur schwer einzu­halten und zu über­wachen. Das kosten­lose PingCastle über­nimmt diese Aufgabe, in­dem es das AD auf zahl­reiche Risiko­faktoren prüft und detail­lierte Reports erstellt.

Seit Server 2016 ist es mög­lich, Be­nutzer tem­porär in AD-Gruppen aufzu­nehmen und so ihre Berech­tigungen zeit­lich zu be­schränken. Die Bord­mittel sehen dafür nur Power­Shell vor. Mein hier beschrie­benes Script bietet aber eine GUI, so dass auch tech­nisch nicht versierte User diese Aufgabe über­nehmen können.

Die Ver­waltung des Active Directory besteht zum Groß­teil aus Routine­aufgaben. Sie ver­schlingen viel Zeit, wenn man sie manu­ell mit den Bord­mitteln erledigt. Dadurch wächst auch die Gefahr von (sicherheits­kritischen) Fehl­eingaben. Das richtige Tool  hilft nicht nur Zeit sparen, sondern verbessert auch die Daten­qualität im AD.

Windows enthält die nötige Grundausstattung für das Management des Active Directory und seiner verschiedenen Funktionen. Sie reicht aber für viele Aufgaben nicht aus, so dass ein ganzer Markt für AD-Tools entstanden ist. Neben mächtigen Produkten für komplexe Umgebungen füllen auch kostenlose Angebote einige Lücken der Bordmittel.

Anwender sind aus dem Web ge­wohnt, dass sie ein neues Kenn­wort ver­geben können, wenn sie das alte ver­gessen haben. ADSelfService Plus bringt solchen Kom­fort in die Unter­nehmen und erlaubt Mitarbeitern zudem, ihre per­sön­lichen Infos im AD zu ändern. Neue AD-Passwörter synchronisiert das Tool mit anderen Systemen.