Benutzer sind von Online-Diensten gewohnt, dass sie Kenn­wörter bei Ver­gessen einfach zurück­setzen können. ADSelfService Plus sorgt für eine ähnliche Erfahrung in der Firmen-IT, wobei Benutzern auch andere AD-Attribute selbst ändern können. Funktionen für Admins erhöhen zudem die Sicher­heit.

Um die Verwaltung der Postfächer (insbesondere von Funktions­post­fächern) zu verein­fachen, kann man Berech­tigungen an AD-Gruppen vergeben. Das funktioniert aber nicht so ohne weiteres, weil sich nicht alle Typen von Gruppen dafür eignen und sie zudem in bestimmten Fällen E-Mail-aktiviert sein müssen.

Die meisten Firmen defi­nieren eine Richt­linie, die User dazu zwingt, ihre Pass­wörter nach einer be­stimmten Zeit zu ändern. Um zu ver­hindern, dass sie damit bis zur letzten Minute warten und dann wo­möglich den Helpdesk benötigen, kann man sie recht­zeitig mit Specops Password Notifi­cation daran erinnern.

Windows 10 2004 bringt eine neue Ein­stellung für die Gruppen­richtlinien, die erlaubt, die minimale Länge von Kenn­wörtern auf einen größeren Wert als 14 zu konfi­gurieren. Dies war auch bisher schon über PowerShell möglich. Die ebenfalls neue Audit-Richtlinie meldet aber Konflikte zwischen den beiden Mecha­nismen.

Zu den Begleit­erscheinungen der Authen­tifi­zierung mit Pass­wörtern gehört, dass User diese ver­gessen. Um den Help­desk zu ent­lasten, kann man das Zurück­setzen der Kenn­wörter an die Benutzer delegieren. Specops uReset bietet einen solchen Self-Service und schützt dabei vor dem Diebstahl von Identitäten.

Das Zurück­setzen von Pass­wörtern gehört zu den häufig­sten Anfragen an den Helpdesk. Die Aufgabe selbst ist zwar trivial, aber vor­her muss sicher sein, dass der Auf­trag vom betref­fenden User selbst kommt. Die Tesis Sysware GmbH bietet mit ASPR einen Self Service, der 7 Methoden zur Authen­tifizierung be­herrscht.

Microsoft sieht für das Active Directory nur be­schränkte Mittel vor, um sichere Pass­wörter zu erzwingen. Der schwe­dische Her­steller Specops Software schließt diese Lücke mit Pass­word Policy, das ein Manage­ment der Benutzer­kenn­wörter über ein ausge­klügeltes Regel­werk und eine zentrale Blacklist erlaubt.

Die Ver­waltung des Active Directory besteht zum Groß­teil aus Routine­aufgaben. Sie ver­schlingen viel Zeit, wenn man sie manu­ell mit den Bord­mitteln erledigt. Dadurch wächst auch die Gefahr von (sicherheits­kritischen) Fehl­eingaben. Das richtige Tool  hilft nicht nur Zeit sparen, sondern verbessert auch die Daten­qualität im AD.

Diverse Tools für das Active Directory erlauben eine strin­gente Verwaltung von Be­nutzern und Gruppen. Lau­fende Änderungen bei den Zu­ständig­keiten der Mit­arbeiter nagen aber beständig an der ur­sprüng­lich er­zielten Ord­nung. BAYOOSOFT Access Manager bietet mehrere Mecha­nismen, um das zu ver­hindern.

Die meisten Gruppen­richt­linienobjekte (GPOs) fassen mehrere Ein­stellungen zu einem Windows-Feature oder einer Anwen­dung zu­sammen. Möchte man eine bestimmte Einstellung wieder daraus ent­fernen, dann funk­tioniert das oft nicht rück­stands­los. In diesem Fall ist manuelle Nach­arbeit nötig.