Active-Directory-Umgebungen können sehr komplex werden: Das Modell "Ein Unternehmen - eine Domäne" spielt selbst bei KMUs kaum eine Rolle; vielmehr hat man es gewöhnlich mit Domänen zu tun, welche die Teilbereiche der Organisation widerspiegeln und eine übergreifende Gesamtstruktur bilden. Die Summe aller Objekte der Gesamtstruktur heißt globaler Katalog (GC).
Bei der Vergabe von Rechten und Berechtigungen im Active Directory ist es entscheidend für die Übersicht, Granularität bei der Rechtevergabe und die Skalierbarkeit, in welche Sicherheitsgruppen man die Benutzer einteilt. Idealerweise wird die Gruppenstruktur anhand des Firmen-Organigramms und der IT-Ressourcen gebildet.
Das Monitoring von IT-Ressourcen gehört zu den gängigen Aufgaben der Systemverwaltung. Die mittlerweile sehr mächtigen Tools und die unterschiedlichen Strategien der Hersteller sorgen jedoch oft für Verwirrung. Das E-Book Network Monitoring For Dummies erläutert die wichtigsten Konzepte und Aspekte.*
Ohne die grafische Management-Console gpmc.msc für die Gruppenrichtlinien wäre deren Management schlechterdings unmöglich: Kein Administrator mag sich vorstellen, die gesammelten Richtlinien seiner Organisation per Scriptsammlung, Kommandozeile (PowerShell eingeschlossen) oder als XML-Datei verwalten zu müssen. Für bestimmte Aktionen ist eine nebenbei geöffnete Eingabeaufforderung jedoch eine sinnvolle Ergänzung, etwa um gerade gemachte Änderungen sofort zu propagieren oder die Resultate zu überprüfen.
Vom kanadischen Consulting-Unternehmen Overall Solutions
stammt eine nützliche GUI für den AD-Papierkorb. Das schlicht „ADRecycleBin“ genannte Programm spürt gelöschte Objekte auf und kann sie wiederherstellen – ohne dass der Administrator mit PowerShell in Berührung kommt.
Legt man bestimmte Richtlinien für AD-Passwörter fest wie etwa ein minimales und maximales Alter oder spezifische Komplexitätsanforderungen, ist dies auf den ersten Blick ein Satz von Gruppenrichtlinien wie jeder andere auch. Intern werden Passwort-Richtlinien jedoch von Active Directory anders gehandhabt als „gewöhnliche“. Da man sie aber in jedem beliebigen Gruppenrichtlinienobjekt festlegen und einer beliebigen OU zuordnen kann, ohne dass es deswegen Fehlermeldungen gibt, fällt dies eventuell erst dann auf, wenn man andere als die erwarteten Ergebnisse erhält.
Gruppenrichtlinien bieten eine Möglichkeit, die Zuordnungen von Seites zu den Sicherheitszonen des Internet Explorer zentral zu verwalten, statt dies jedem Nutzer selbst zu überlassen. Die Einstellung findet sich (etwas versteckt) unter „Windows-Komponenten ⇒ Internet Explorer ⇒ Internetsystemsteuerung ⇒ Sicherheitsseite“ in der Richtlinie „Liste der Site zu Zonenzuweisungen“.
Das Directory-Services-Team von Microsoft gibt auf seinem Blog 7 Tipps zum Betrieb von DNS im Active Directory, die sich in der Praxis als wesentlich herausgestellt haben. Der Beitrag ist im Original nicht allzu prominent als Antwort auf eine wöchentliche Beantwortung gesammelter Leseranfragen plaziert, Friday Mail Sack genannt.
Mit Windows Server 2008 R2 hat Microsoft ein neues AD-Verwaltungstool eingeführt. Die gewohnten AD-Verwaltungswerkzeuge wie „Benutzer und Computer“, „Domänen und Vertrauensstellungen“ und „Standorte und Dienste“ werden allerdings nur ergänzt, nicht etwa ersetzt.
Wenn man zu Maßnahmen wie dem AD-Papierkorb oder gar zur AD-Wiederherstellung greifen muss, weil man versehentlich AD-Objekte gelöscht hat, ist dies Mehrarbeit genug. Besonders aufwändig werden derartige Wiederherstellungsmaßnahmen jedoch, wenn es ganze OUs mitsamt der in ihnen enthaltenen Objekte erwischt hat, weil auch mit AD-Papierkorb jedes wiederherzustellende Objekt zunächst eine vorhandene Elternstruktur braucht, in die es wieder „zurückgelegt“ wird.
Windows Server 2008 (R2) bringt die Mittel mit, um Snapshots vom Active Directory zu erstellen und miteinander oder mit dem Live-AD zu vergleichen, doch sonderlich handlich ist die Methode mit ntdsutil.exe nicht.