Nach der Installation von SCCM ist das System leer, es sind keine User und auch keine Computer enthalten. Diese muss der Administrator daher erst importieren. Dafür stehen mehrere Verfahren zur Auswahl. Ich beschreibe hier die manuelle Eingabe eines Computers sowie die Übernahme aus dem Active Directory.
Der Network Policy Server (NPS) übernimmt die Authentifizierung, Autorisierung sowie das Accounting (AAA) für Radius-Clients (Access Server). Das können WLAN-APs, Switches, DFÜ-Remotezugriffe und VPN-Server sein. Diese Anleitung zeigt, wie man NPS installiert, mit dem AD verbindet und Accounting aktiviert.
Trotz Nutzung von diversen Security-Tools nimmt die Zahl der erfolgreichen Angriffe auf Unternehmen zu, unter anderem mit Ransomware. Auch die Sensibilisierung der User für Sicherheitsthemen hat nur bedingten Erfolg. Die Analyse von Anomalien im Netzwerk erlaubt dagegen eine schnelle Reaktion auf Cyber-Attacken.
Der DNS-Server ist mit einer der wichtigsten Bestandteile einer Active-Directory-Domain. Nur durch ihn können Computer den Domain Controller finden. Das versehentliche Löschen einer DNS-Zone hat daher unangenehme Konsequenzen. Ein solches Malheur lässt sich durch einen entsprechenden Schutz vermeiden.
Auch wenn es zahlreiche Regeln und Best Practices zur Absicherung des Active Directory gibt, so sind diese ohne ein geeignete Tools nur schwer einzuhalten und zu überwachen. Das kostenlose PingCastle übernimmt diese Aufgabe, indem es das AD auf zahlreiche Risikofaktoren prüft und detaillierte Reports erstellt.
Seit Server 2016 ist es möglich, Benutzer temporär in AD-Gruppen aufzunehmen und so ihre Berechtigungen zeitlich zu beschränken. Die Bordmittel sehen dafür nur PowerShell vor. Mein hier beschriebenes Script bietet aber eine GUI, so dass auch technisch nicht versierte User diese Aufgabe übernehmen können.
Windows enthält die nötige Grundausstattung für das Management des Active Directory und seiner verschiedenen Funktionen. Sie reicht aber für viele Aufgaben nicht aus, so dass ein ganzer Markt für AD-Tools entstanden ist. Neben mächtigen Produkten für komplexe Umgebungen füllen auch kostenlose Angebote einige Lücken der Bordmittel.
Bei LAPS handelt es sich um ein kostenloses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufälliges Passwort erzeugt. Allerdings kann man nicht so einfach erkennen, ob der Mechanismus auf jedem Rechner funktioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.
CommuniGate Pro ist eine Software für Unified Communications, deren Funktionen von E-Mail, Kalender und Aufgaben über VoIP und Instant Messaging bis Video-Konferenzen reicht. Sie besitzt eine übergreifende Installation für alle Features. Als kritische Infrastruktur lässt sie sich hochverfügbar konfigurieren.*
Wenn eine Installation von Exchange gegen die Wand gefahren wurde oder der alte Exchange-Server sich nicht mehr deinstallieren lassen will, dann kann eine manuelle Bereinigung des Active Directory erforderlich sein. Andernfalls scheitert jeder Versuch, Exchange in dieser Umgebung neu einzurichten.
Die Windows-Bordmittel bieten bekanntlich nur beschränkte Reporting-Fähigkeiten für das Active Directory. Diese Lücke schließen zahlreiche Anbieter mit eigenen Tools. Im Gegensatz zu komplexen Werkzeugen für ein umfassendes AD-Management konzentriert sich AD FastReporter auf Berichte zu den wesentlichen AD-Objekten.