Microsoft führte mit Windows 7 und Server 2008 R2 die Möglichkeit ein, mit PCs einer Domäne beizutreten, ohne dass diese eine Verbindung zu einem Domänen-Controller haben müssen. Diesem Zweck dient nur das Kommandozeilen-Tool djoin.exe, ein GUI- oder PowerShell-Äquivalent dazu gibt es nicht.
Microsoft veröffentlichte die vierteljährlichen kumulativen Updates für Exchange 2013 (CU18) und 2016 (CU7). Beide bringen keine neuen Funktionen, sondern beheben nur bekannte Probleme. CU7 für Exchange 2016 stellt jedoch für die Installation neue Systemanforderungen.
Bei der Verwaltung von Exchange fallen regelmäßig Aufgaben an, für welche die grafische Konsole zu umständlich ist und für die sich eine Automatisierung mit PowerShell lohnt. Eine Herausforderung dabei ist die schiere Anzahl der Cmdlets. Das kostenlose Cheat Sheet von ScriptRunner hilft Admins, den Überblick zu behalten.
Per Voreinstellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umgebungen unerwünscht sein, weil sich durch die Beschränkung der Anmeldung Risiken vermeiden lassen. Entsprechende Restriktionen können Admins über Gruppenrichtlinien durchsetzen.
Bei einer großen Zahl an OUs und GPOs ist nicht leicht zu überblicken, welche GPOs mit welchen OUs verknüpft sind. In PowerShell lässt sich das mit relativ geringem Aufwand herausfinden. Dabei kann man wahlweise die OUs nach verlinkten GPOs oder GPOs nach OUs filtern, mit denen sie verbunden sind.
Das optionale Active-Directory-Feature Privileged Access Management (PAM) unter Server 2016 erlaubt es, Benutzer zeitlich befristet in privilegierte Gruppen aufzunehmen. Es handelt sich dabei um eine Voraussetzung für JIT, welche jedoch hier ohne Bastion-Forest auskommt.
Virtualisierte Infrastrukturen stellen bei der Zeitsynchronisierung besondere Anforderungen, weil Hosts, Management-Umgebung und virtuelle Maschinen im Takt sein sollen. Mit dem einfachen Eintragen eines NTP-Servers ist es dabei nicht getan. Vielmehr bedarf es einer Strategie, um zu vermeiden, dass verschiedene Zeitquellen sich in die Quere kommen.
Wenn ein administratives Konto in die falschen Hände gerät, dann stehen böswilligen Zeitgenossen Tür und Tor für destruktive Aktivitäten offen. Privileged Account Management (PAM) reduziert diese Gefahr, indem es etwa Berechtigungen nur temporär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Administration (JIT) eine eigene Lösung an.
Muss man mehrere Benutzer im Active Directory anlegen, dann ist PowerShell unter den Bordmitteln das Tool der Wahl. Zumeist importiert man dabei die Daten aus einer CSV-Datei, bevor man sie an das Cmdlet New-ADUser übergibt. Bei dieser Gelegenheit kann man auch die Mailbox für Exchange einrichten.
Just Enough Administration (JEA) ermöglicht eine feinkörnige Zuteilung administrativer Rechte an Benutzer und Gruppen. Der Aktionsradius von Mitarbeitern lässt sich dabei durch die Beschränkung auf bestimmte Cmdlets und Funktionen eingrenzen. Ich demonstriere JEA hier am Beispiel eines S2D-Clusters.
Statt mit Domäne\Benutzername kann man sich mit dem Benutzerprinzipalname (User Principal Name, UPN) am Active Directory anmelden. Dafür verwendet man die Form benutzername@upnsuffix. Diese Anleitung zeigt, wie man den UPN an die Mail-Adresse anpasst.