Das dezentrale Multi-Master-Modell des Active Directory kennt fünf Funktionen, die zentral von einem Domänen-Controller verwaltet werden müssen, um Replikationskonflikte zu vermeiden. Diese Rollen der Operations Masters, auch FSMO-Rollen genannt, können bei Bedarf auf andere Domain Controller übertragen werden. Das flexibelste Verfahren bietet dabei PowerShell.
Die Bordmittel von Windows zum Anlegen, Verknüpfen und Installieren von Managed Service Accounts beschränken sich auf einige PowerShell-Cmdlets. Wer zu diesem Zweck ein grafisches Tool verwenden möchte, kann auf das kostenlose Managed Service Accounts GUI von Chris Wright zurückgreifen.
Die GUI-basierten Tools für das Active Directory eignen sich vor allem zur Bearbeitung einzelner Konten, Gruppen oder OUs. Für Bulk-Operationen, wiederkehrende Aufgaben oder das Reporting greifen Admins daher meist zur PowerShell. Damit auch Fachabteilungen die Scripts nutzen können, bedarf es jedoch einer sicheren Delegierung.
Managed Service Accounts sind spezielle Konten im Active Directory, die für die Anmeldung von Windows-Diensten gedacht sind. Sie wurden mit Windows Server 2008 R2 eingeführt und bieten unter anderem ein automatisches Passwort-Management. Sie lassen sich mittels PowerShell einrichten und mit einem Computer verknüpfen.
Mit Windows Server 2008 R2 führte Microsoft Managed Service Accounts ein. Es handelt sich dabei um spezielle AD-Konten für Windows-Dienste. Sie sind eine Alternative zu System- oder normalen AD-Accounts, die in dieser Funktion einige Nachteile haben. In Server 2012 kamen Group Managed Service Accounts hinzu.
Das Active Directory sieht die Möglichkeit vor, das Management von Gruppen an Standard-Benutzer zu übertragen. Sie können auch Mitglieder hinzufügen oder entfernen, wenn ihnen dieses Recht zusätzlich eingeräumt wurde. Allerdings gibt es unter den Bordmitteln von Windows kein geeignetes Frontend, mit dem normale User dieser Aufgabe nachgehen können.
Das kostenlose Z-Hire und sein Gegenspieler Z-Term dienen dazu, das Anlegen und das Deaktivieren von Benutzerkonten im Active Directory zu automatisieren. Die Tools sind auch in der Lage, die Accounts für Exchange, Lync und Office 365 zu konfigurieren. Die eben erschienene Version 5.0 überwindet einige bisherige Beschränkungen und unterstützt die neuesten Microsoft-Produkte.
Die Replikation von Änderungen zwischen Domain Controllern stellt sicher, dass eine AD-Infrastruktur durchgängig aktuell und konsistent bleibt. Gerade bei komplexeren Topologien mit mehreren Sites ist es nicht einfach, auftretende Probleme zu erkennen. Microsofts kostenloses Active Directory Replication Status Tool hilft bei dieser Aufgabe.
Seit vSphere 5 gibt es eine vorkonfigurierte Linux-VM als Alternative zu einer Windows-basierten Installation von vCenter. Dieses Virtual Appliance bietet nicht den vollen Funktionsumfang und kann nur eine geringere Zahl an ESXi-Hosts verwalten. Das relativ einfache Setup macht es aber für kleinere Umgebungen interessant.
Ein komplexer Dienst wie Active Directory wird bei größeren Installationen nicht nur von einem Admin verwaltet. Daher bietet es die Möglichkeit, bestimmte Aufgaben an verschiedene Benutzer oder Gruppen zu delegieren. Das kann über einen längeren Zeitraum zu einem Rechte-Wildwuchs mit entsprechenden Sicherheitsproblemen führen. Der kostenlose AD ACL Scanner liest alle Berechtigungen aus und zeigt anhand von Reports, wer wo im AD was darf.
Es war absehbar, dass Microsoft auf die Kritik an der Bedienerführung von Windows 8 reagieren würde. Tatsächlich glättet Windows 8.1 einige Kanten und Ecken der GUI. Die wirklich interessanten Neuerungen betreffen jedoch das Management von Windows in Unternehmen.