Kaum ein Admin kommt beim AD-Management heute noch an PowerShell vorbei. Egal ob man Konten anlegen oder aktualisieren, sicherheitsrelevante Daten abfragen oder Domain-Controller warten muss, PowerShell ist das Tool der Wahl. Auch Fachabteilungen profitieren von PowerShell, wenn man Scripts sicher delegiert.
Wenn sich im Active Directory die Mitglieder von privilegierten Gruppen ändern, dann sollte gewährleistet sein, dass es sich dabei um eine legitime Aktion handelt. Ähnliches gilt beim Zugriff auf Verzeichnisse eines File-Servers, der sensible Informationen enthält. Die Windows-Bordmittel bieten dafür einige Basisfunktionen.
Wenn Unternehmen die Laufwerke ihrer PCs verschlüsseln, dann erwarten sie eine zentrale Konsole für das BitLocker-Management. Das Admin-Tool sollte zudem die Einstellungen flexibel an die Clients zuweisen können und stets den aktuellen Status der Laufwerksverschlüsselung liefern. ACMP verfügt über ein derartiges Modul.
Die PCs der meisten Unternehmen werden über einen hybrid Join Mitglied in Azure AD (künftig Entra ID), wobei das lokale AD mit dem AAD synchronisiert wird. Wenn Organisationen ihre IT jedoch weitgehend in die Cloud ausgelagert haben, dann können die PCs direkt dem AAD beitreten. Wie on-prem gibt es dafür mehrere Optionen.
Admins können das Anlegen von AD-Benutzern automatisieren, um ihren Aufwand reduzieren. Ein User-Objekt unterliegt über seine Lebensdauer jedoch ständigen Änderungen. Diese betreffen auch die Berechtigungen und erfordern daher besondere Sorgfalt. Workflows beschleunigen diese Aufgaben und helfen, Fehler zu vermeiden.
Microsoft benennt Azure Active Directory (AAD), einen der ältesten und wichtigsten seiner Cloud-Dienste, in Entra ID um. Als der Hersteller im letzten Jahr seine Produktfamilie für Identity and Access Management (IAM) vorstellte, umfasste sie auch AAD. Dieses wird nun namentlich angeglichen und um zwei weitere Entra-Produkte ergänzt.
Da es sich beim Active Directory um eine kritische Komponente der IT-Infrastruktur handelt, ist es geboten, dieses laufend auf Abweichungen von einer wünschenswerten Konfiguration und auf Schwachstellen zu prüfen. Wenn man dafür keine kommerzielle Lösung anschaffen will, kann man auch bewährte PowerShell-Scripts zurückgreifen.
User, die einen Computer zu einer AD-Domäne hinzufügen, sind automatisch Besitzer des entsprechenden AD-Objekts. Wenn Standardbenutzer das Recht zum Domain Join besitzen, dann ist aus Sicherheitsgründen geboten, die Besitzer der Computer-Objekte nachträglich zu ändern. Das geht über die ADUC-GUI oder per PowerShell.
Wenn man Standardbenutzern die Möglichkeit bietet, ihre PCs an eine AD-Domäne anzuschließen, dann birgt dies einige Sicherheitsrisiken. Nicht besser ist es, dafür einen Domänen-Admin zu verwenden. Als Alternative bietet sich an, ein eigenes Konto für diese Aufgabe einzurichten und dieses mit minimalen Rechten auszustatten.
Für Windows-PCs existieren mehrere Möglichkeiten, um einer Active Directory-Domäne beizutreten. Dazu zählen der interaktive Domain Join über das Applet Systemeigenschaften, netdom.exe und PowerShell. Als weitere Optionen kommen ein Provisioning Package, eine Antwortdatei oder Offline Domain Join über den Import einer .odj-Datei.
Wenn Administratoren erfolgreiche Angriffe zu spät oder gar nicht erkennen, dann können sie den Schaden nicht rechtzeitig begrenzen. Zudem ist das Netzwerk für den genutzten Angriffsvektor weiterhin anfällig. SIEM-Tools informieren Systemverwalter in Echtzeit über verdächtige Aktivitäten, so dass sie umgehend darauf reagieren können.