Azure Active Directory Connect (AAD Connect) syn­chro­nisiert User und Gruppen zwischen einem lokalen AD und der Microsoft-Cloud. In einigen Fällen kann es not­wendig sein, AAD Connect wieder zu ent­fernen. Dazu muss man es vom lokalen Server de­instal­lieren und in Azure die Synchroni­sierung deaktivieren.

Man­danten­fähige Bereit­stellung meint, dass sich mehrere Organi­sationen, die normaler­weise keine der gängigen Objekte (etwa Adress­listen) gemein­sam nutzen, eine Instal­lation teilen. Exchange ist für einen solchen Betrieb eigent­lich nicht ausge­legt, lässt sich über Regeln und Ein­stellungen aber ent­sprechend anpassen.

Das Active Directory Migration Tool (ADMT) dient dazu, AD-Objekte in andere Domänen oder Forests umzu­ziehen. Standard­mäßig berück­sichtigt es aber nicht alle Attribute, so dass die Migration unvoll­ständig sein kann. Dieses Verhalten lässt sich durch Über­schreiben der vorge­gebenen Ausschluss­liste ändern.

In vielen Unter­nehmen gibt es die Anforderung, Mail-Adressen mit verschiedenen SMTP-Suffixen (zum Beispiel @contoso.com) einzu­richten, etwa wenn es für Tochter­gesell­schaften eigene Domänen gibt. In Exchange lässt sich dies über Richt­linien mit eigenen Filter­eigen­schaften für verschiedene User-Gruppen realisieren.

Das Verschlüsseln von Lauf­werken mit BitLocker ist auf Windows-Notebooks ein unab­ding­barer Schutz gegen den Dieb­stahl und Miss­brauch von Daten. Wenn sich User damit jedoch aus­sperren, dann hilft nur noch der Recovery Key. Diesen können Admins im AD speichern und bei Bedarf von dort auslesen.

Die Verwaltung von Windows-Umge­bungen und von Active Directory kann mit den Microsoft-eigenen Werk­zeugen ziem­lich umständ­lich sein. Hyena fasst die Tools, welche Admins täglich für diese Auf­gaben be­nötigen, unter einer Ober­fläche zusammen. Sie gehen dabei weit über die Fähig­keiten der Bord­mittel hinaus.

Wenn Unter­nehmen Dienste der Microsoft-Cloud nutzen, dann kommen sie für das Identity Manage­ment kaum an Azure Active Directory (AAD) vorbei. Daher läge es nahe, auch das On-Prem-AD in die Cloud zu migrieren. Eine Hürde dafür ist, dass es einige Unter­schiede zwischen den beiden Ver­zeichnis­diensten gibt.

Wenn sich im Active Dirctory die Mit­glieder von admini­strativen Gruppen ändern, dann sollte die System­verwaltung unverzüglich davon er­fahren. Gleiches gilt beim Zugriff auf Ver­zeichnisse eines File-Servers, der sen­sible Infor­mationen ent­hält. Die Windows-Bordmittel bieten dafür aber nur rudi­mentäre Funktionen.

Cmdlets wie Get-ADUser oder Get-ADComputer geben standard­mäßig nur einen Teil der Attribute für die abge­fragten Objekte aus. Über den Parameter Properties kann man sie dazu über­reden, mehr Infor­ma­tionen preis­zugeben. Eine Über­sicht auf TechNet zeigt, mit welchen Cmdlets man welche AD-Attribute erhält.

Eine SQL-Daten­bank erweist sich nicht nur bei der klassischen Anwen­dungs­ent­wicklung als prak­tisch, sondern kann auch den Scripts der System­verwaltung als Speicher dienen. Microsoft stellt daher für SQL Server ein PowerShell-Modul zur Verfügung, mit dem man in die Daten­bank schreiben und daraus lesen kann.