In Konzeptphasen oder gelegentlich bei der Wartung größerer AD-Strukturen will man sich einen Überblick über die Zahl der AD-Objekte verschaffen. Das funktioniert zwar mit Active Directory-Benutzer und -Computer, doch PowerShell ist flexibler. Dieser Beitrag zeigt Beispiele für User, Computer, OUs und Gruppen.
Office 365 setzt mit SharePoint, Outlook oder Teams auf die Zusammenarbeit von Gruppen. Diese werden oft nur für bestimmte Projekte angelegt und nach deren Abschluss nicht mehr benötigt. Der Administrator kann nun eine Frist setzen, nach deren Ablauf Office-365-Gruppen automatisch entfernt werden.
Benutzer möchten nicht sämtliche Drucker im Netzwerk angezeigt bekommen, sondern nur jene, die an ihrem Arbeitsplatz verfügbar sind. Die Bordmittel sehen für eine solche Zuordnung die Gruppenrichtlinien vor. Sie sind indes recht unflexibel, so dass Unternehmen stattdessen Lösungen von Drittanbietern in Betracht ziehen sollten.
Schwache und leicht zu erratende Passwörter sind ein willkommenes Einfallstor für Angreifer. Auch wenn Administratoren über Richtlinien im Active Directory triviale Kennwörter ausschließen, ist es ratsam, die Konten regelmäßig auf Passwortsicherheit zu prüfen. Dieser Aufgabe dient der kostenlose Specops Password Auditor.
Sowohl eigene Anwendungen als auch von Azure bereitgestellte Dienste lassen sich in der Microsoft-Cloud unter benutzerspezifischen Domänen betreiben. Das gilt beispielsweise für Web-Applikationen oder für Exchange Online. Die Registrierung einer eigenen Domäne erfolgt entweder über das Azure-Portal oder PowerShell.
Azure Active Directory Connect (AAD Connect) synchronisiert User und Gruppen zwischen einem lokalen AD und der Microsoft-Cloud. In einigen Fällen kann es notwendig sein, AAD Connect wieder zu entfernen. Dazu muss man es vom lokalen Server deinstallieren und in Azure die Synchronisierung deaktivieren.
Mandantenfähige Bereitstellung meint, dass sich mehrere Organisationen, die normalerweise keine der gängigen Objekte (etwa Adresslisten) gemeinsam nutzen, eine Installation teilen. Exchange ist für einen solchen Betrieb eigentlich nicht ausgelegt, lässt sich über Regeln und Einstellungen aber entsprechend anpassen.
Das Active Directory Migration Tool (ADMT) dient dazu, AD-Objekte in andere Domänen oder Forests umzuziehen. Standardmäßig berücksichtigt es aber nicht alle Attribute, so dass die Migration unvollständig sein kann. Dieses Verhalten lässt sich durch Überschreiben der vorgegebenen Ausschlussliste ändern.
In vielen Unternehmen gibt es die Anforderung, Mail-Adressen mit verschiedenen SMTP-Suffixen (zum Beispiel @contoso.com) einzurichten, etwa wenn es für Tochtergesellschaften eigene Domänen gibt. In Exchange lässt sich dies über Richtlinien mit eigenen Filtereigenschaften für verschiedene User-Gruppen realisieren.
Das Verschlüsseln von Laufwerken mit BitLocker ist auf Windows-Notebooks ein unabdingbarer Schutz gegen den Diebstahl und Missbrauch von Daten. Wenn sich User damit jedoch aussperren, dann hilft nur noch der Recovery Key. Diesen können Admins im Active Directory speichern und bei Bedarf von dort auslesen.
Die Verwaltung von Windows-Umgebungen und von Active Directory kann mit den Microsoft-eigenen Werkzeugen ziemlich umständlich sein. Hyena fasst die Tools, welche Admins täglich für diese Aufgaben benötigen, unter einer Oberfläche zusammen. Sie gehen dabei weit über die Fähigkeiten der Bordmittel hinaus.