Ver­knüpfte Post­fächer eignen sich besonders für Unter­nehmen, welche Exchange in einer Ressourcen-Gesamt­struktur bereit­stellen wollen. Benutzer erhalten dabei ihr Konto ganz normal in ihrer lokalen Domäne, das Post­fach selbst liegt aber auf einem Exchange-Server einer anderen Domäne bzw. einem anderen Forrest.

Als einen weiteren Service, der bisher einem lokalen Windows Server vorbehalten war, bringt Micro­soft nun auch die Druck­dienste in die Cloud. Universal Print ersetzt Print-Server im Unter­nehmen und nutzt einen univer­salen Drucker­treiber auf den PCs. Bestehende Printer lassen sich über einen Connec­tor inte­grieren.

In Konzept­phasen oder gelegent­lich bei der Wartung größerer AD-Strukturen will man sich einen Überblick über die Zahl der AD-Objekte verschaffen. Das funk­tioniert zwar mit Active Directory-Benutzer und -Computer, doch Power­Shell ist flexibler. Dieser Bei­trag zeigt Beispiele für User, Com­puter, OUs und Gruppen.

Office 365 setzt mit Share­Point, Outlook oder Teams auf die Zu­sammen­arbeit von Gruppen. Diese werden oft nur für bestimmte Pro­jekte angelegt und nach deren Abschluss nicht mehr be­nötigt. Der Admini­strator kann nun eine Frist setzen, nach deren Ablauf Office-365-Gruppen auto­matisch ent­fernt werden.

Schwache und leicht zu erratende Passwörter sind ein will­kommenes Ein­fallstor für Angreifer. Auch wenn Admini­stratoren über Richt­linien im Active Directory triviale Kenn­wörter aus­schließen, ist es ratsam, die Konten regel­mäßig auf Passwort­sicherheit zu prüfen. Dieser Aufgabe dient der kosten­lose Specops Password Auditor.

Sowohl eigene Anwen­dungen als auch von Azure bereit­gestellte Dienste lassen sich in der Microsoft-Cloud unter benutzer­spezifischen Do­mänen betreiben. Das gilt beispiels­weise für Web-Applikationen oder für Exchange Online. Die Regi­strierung einer eigenen Domäne erfolgt ent­weder über das Azure-Portal oder Power­Shell.

Azure Active Directory Connect (AAD Connect) syn­chro­nisiert User und Gruppen zwischen einem lokalen AD und der Microsoft-Cloud. In einigen Fällen kann es not­wendig sein, AAD Connect wieder zu ent­fernen. Dazu muss man es vom lokalen Server de­instal­lieren und in Azure die Synchroni­sierung deaktivieren.

Man­danten­fähige Bereit­stellung meint, dass sich mehrere Organi­sationen, die normaler­weise keine der gängigen Objekte (etwa Adress­listen) gemein­sam nutzen, eine Instal­lation teilen. Exchange ist für einen solchen Betrieb eigent­lich nicht ausge­legt, lässt sich über Regeln und Ein­stellungen aber ent­sprechend anpassen.

Das Active Directory Migration Tool (ADMT) dient dazu, AD-Objekte in andere Domänen oder Forests umzu­ziehen. Standard­mäßig berück­sichtigt es aber nicht alle Attribute, so dass die Migration unvoll­ständig sein kann. Dieses Verhalten lässt sich durch Über­schreiben der vorge­gebenen Ausschluss­liste ändern.

In vielen Unter­nehmen gibt es die Anforderung, Mail-Adressen mit verschiedenen SMTP-Suffixen (zum Beispiel @contoso.com) einzu­richten, etwa wenn es für Tochter­gesell­schaften eigene Domänen gibt. In Exchange lässt sich dies über Richt­linien mit eigenen Filter­eigen­schaften für verschiedene User-Gruppen realisieren.