Active Directory

    Active Directory in Windows Server 2022 bleibt auf Funktionsebene von Server 2016

    Active Directory StrukturNachdem bereits Windows Server 2019 keine eigene Funktions­ebene für Domänen und Forests brachte, stagniert die Ent­wicklung des Active Directory auch in Windows Server 2022. Die erneute Bei­be­haltung des Functional Level reflek­tiert die Tat­sache, dass Microsoft dem AD keine wesent­lichen Neuerungen gönnt.

    Starke Passwörter und Passphrasen für das Active Directory durchsetzen

    Kompromittierte PasswörterOrgani­sationen aller Branchen und Größen werden Opfer von Cyber­angriffen. Eine be­liebte Masche ist das Ver­schlüsseln von Firmen­daten und das Erpressen von Löse­geldern für das Ent­schlüsseln. Mit den richtigen Tools kann man starke Pass­wörter für das Active Directory erzwingen und sich gegen Angriffe schützen.*

    Domain-Controller mit Install From Media (IFM) einrichten

    Read-only Domain-Controller (RODC)Wenn ein neuer DC installiert wird, dann kann die anfängliche Repli­kation zahlreiche AD-Objekte umfassen. Externe Stand­orte sind aber oft nur über lang­same Netz­werke ange­bunden. Für solche Szenarien reduziert "Install from Media" (IFM) die Menge der replizierten Daten auf den neuen DC erheblich.

    Nicht mehr existierende Zertifizierungsstellen aus dem Active Directory entfernen

    ZertifizierungsstelleWenn man einen Server mit der instal­lierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Auf­gabe, die betref­fende Zertifi­zierungs­stelle aus dem Active Directory zu ent­fernen. Andern­falls stört sie etwa beim Aus­stellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Stand­orte und Dienste.

    Zentralen Store für ADMX-Vorlagen einrichten und aktualisieren

    ADMX-Vorlagen für Office 2016 und 2019Zwar enthält jeder Windows-PC einen eigenen Satz an admini­stra­tiven Vor­lagen für die Gruppen­richt­linien, diese lassen sich aber in einer zen­tralen Ablage besser ver­walten. Dies gilt umso mehr, wenn ADMX für ver­schiedene Anwen­dungen hinzu­kommen. Als trick­reich kann sich aber dann das Update gestalten.

    AD-Zertifikatsdienste (AD CS) von SHA-1 auf SHA-2 migrieren: Gründe und Hindernisse

    ZertifikateSecure Hash Algorithm (SHA) ist ein häufig ver­wen­detes kryp­to­grafischen Ver­fahren. Der ur­sprüng­liche Stan­dard (SHA-1) ist aber ver­altet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit sig­nierte Zerti­fikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzu­stellen.

    Domain Controller mit LDAP Channel Binding und LDAP Signing absichern

    LDAPDie Ver­wendung von unver­schlüs­seltem LDAP stellt ein Risiko dar. Es ermög­licht Angreifern das Aus­nutzen einer Schwach­stelle, um erhöhte Privilegien zu erlangen. Diese lassen sich wiederum für Man-In-The-Middle-Angriffe nutzen. Admins können ihre Systeme über mehrere LDAP-Einstellungen davor schützen.

    Active Directory-Zertifikatdienste auf einen neuen Server migrieren

    Active Directory Zertifikatsdienste sichernWenn Firmen ältere Versionen von Windows Server aus­mustern, dann steht oft der Umzug wichtiger Infra­struktur­dienste an. Davon können die Active Directory Certificate Services (AD CS) betroffen sein. Der folgende Beitrag zeigt, wie man die Daten­bank und die Einstellungen der AD CS auf Windows 2019 überträgt.

    SystoLOCK im Test: Ohne Passwörter mit Zwei-Faktor-Authentifizierung am Active Directory anmelden

    SystoLock MFA ohne PasswörterDas Active Directory bietet nur wenige Optionen zur Authen­tifizierung. In den meisten Unter­nehmen kommt daher bloß die Kombi­nation aus Benutzer­name und Pass­wort zum Einsatz. Die Ham­burger Systola GmbH ergänzt das AD um moderne Ver­fahren, ohne dass Anwender dafür einen Cloud-Service nutzen müssen.

    Azure Active Directory: Funktionsweise, Editionen, Preise

    Azure AD LogoAzure Active Directory (AAD) ist ein Identity-as-a-Service-Provider. Seine zen­trale Aufgabe besteht darin, Iden­titäten (Identities) und Zugriffe (Access) zu (managen) - daher die Abkürzung IAM. Es setzt zu­dem das Kon­zept des rollen­basierten Zugriffs (RBAC) um. Microsoft bietet den Service in mehreren Editionen an.

    Seiten