Admins können Anwender bei der nächsten Anmeldung zu einem Wechsel des Passworts anhalten. Während man den Status des entsprechenden Attributs in AD-Benutzer und -Computer leicht einsehen kann, ist das Vorgehen mit PowerShell etwas trickreich. Das Setzen dieser Vorgabe fällt dagegen ziemlich einfach.
Microsoft bietet mehrere Ausführungen von Azure Active Directory an, wovon zwei kostenlos sind. Mit welcher der beiden Sie starten, hängt vom Onboarding-Verfahren ab. Anschließend kann man jederzeit auf eine kostenpflichtige Version wechseln. Mit einem Tenant sind in der Regel Azure-Abonnements verbunden.
Neben den Gruppenrichtlinien ist PowerShell das bevorzugte Bordmittel für das Management der AD-Passwörter. So bietet es Cmdlets für das Verwalten der Kennwortrichtlinien oder das Aktualisieren von Konten. Eine Stärke von PowerShell liegt in der Analyse von unsicheren Accounts, etwa wenn diese kein Kennwort benötigen.
Wenn man Tools wie die Gruppenrichtlinienverwaltung oder AD-Benutzer und -Computer öffnet, dann kann es vorkommen, dass diese die Domäne nicht finden. Verantwortlich dafür sind fast immer Netzwerkprobleme im Allgemeinen und solche mit DNS im Besonderen. Eine besondere Rolle spielt dabei die IPv6-Konfiguration.
Die Anbindung eines lokalen Active Directory an das Azure AD ermöglicht nicht nur ein Single-Sign-on für die Nutzung von lokalen und Cloud-Ressourcen. Die Synchronisierung der beiden Verzeichnisdienste kann zudem geänderte Passwörter abgleichen und die Kennwortrichtlinien aus dem Azure AD lokal durchsetzen.
Das Azure Active Directory unterstützt mehrere Verfahren zur Anmeldung, die ohne Passwort auskommen. Eines davon ist die Certificate-based Authentication (CBA), die aktuell als Preview vorliegt. Vor ihrer finalen Freigabe beseitigte Microsoft noch einige Einschränkungen, darunter die fehlende Unterstützung für Smartcards.
Azure AD ist ein Cloud-basierter Dienst zur Identitäts- und Zugriffsverwaltung, der sich für externe Anwendungen wie Microsoft 365 sowie für interne Ressourcen nutzen lässt. Er bietet mehrere moderne Verfahren zur Authentifizierung, die auch in hybriden Umgebungen mit einem lokalen Active Directory zur Verfügung stehen.
Microsoft veröffentlichte die Version 2.1.15.0 von Azure AD Connect, dem bevorzugten Tool für die Synchronisierung von Objekten zwischen einem lokalen AD und Azure AD. Zu den wichtigsten Neuerungen gehört, dass sich das Tool automatisch aktualisiert. Der Admin Agent wurde aus Sicherheitsgründen entfernt.
Mit Privileged Identity Management (PIM) lassen sich privilegierte Konten wie der globale Administrator im Azure AD zeitlich beschränken. Nutzer kommen dann nur noch bei tatsächlichem Bedarf in den Genuss der erhöhten Rechte, wobei sie das im Self Service erledigen können. Dieser Artikel zeigt, wie PIM für den Schutz von Azure AD-Ressourcen funktioniert.
Eine regelmäßige Wartung ist von zentraler Bedeutung für die Sicherheit des Active Directory. Dazu gehört das Aufspüren und Korrigieren von Konten, die kein Passwort benötigen bzw. das nie abläuft, oder von verwaisten Accounts. Eine einfache Möglichkeit dafür bietet die Kombination aus Specops Password Auditor und PowerShell.
Die Local Administrator Password Solution (LAPS) soll verhindern, dass Unternehmen auf allen Rechnern das gleiche Kennwort für lokale Admin-Konten verwenden. Microsoft erweitert LAPS in Windows 11 auf DSRM-Konten von DCs, erlaubt die Verschlüsselung von Passwörtern und bietet eigene Kennwortrichtlinien für LAPS.