Wenn ein Computer einer AD-Domäne beitritt, dann erhält er automatisch ein Konto im Active Directory. Allerdings landet er dann standardmäßg im Container Computer. Um diesen Zustand zu vermeiden, kann man einen Computer bereits vor seinem Beitritt zur Domäne in der passenden OU vorab eintragen.
Server Core ist eine Installationsoption für Windows Server seit der Version 2008. Aufgrund ihres geringen Ressourcenbedarfs und mangels einer vollwertigen GUI eignet sie sich besonders für Server, die nur eine Aufgabe übernehmen und remote verwaltet werden.
Policy as Code (PaC) formuliert Richtlinien als ausführbaren Code, so dass sich IT-Sicherheitsvorgaben zentral durchsetzen und Abweichungen davon automatisch beseitigen lassen. GigaOm untersuchte die Produkte von sieben Anbietern und verglich sie hinsichtlich ihres Funktionsumfangs und ihrer Eignung für bestimmte Firmengrößen.
Der kostenlose Active Directory Topology Diagrammer liest die Konfiguration des Active Directory über LDAP aus und erstellt daraus ein Visio-Diagramm der AD- und Exchange-Server-Topologie.
Centrify aktualisierte die kostenlose Express-Version seiner Software, die der Integration von Linux- und Mac-Rechnern in das Active Directory dient.
Ist ein Domänencontroller ausgefallen oder eine beabsichtigte Herabstufung mittels dcpromo lief nicht korrekt zu Ende, befinden sich dessen Metadaten noch in der Active-Directory-Datenbank. Das stellt spätestens dann ein größeres Problem dar, wenn man einen neuen DC unter dem gleichen Namen wieder ins Active Directory einhängen will. Aber auch, wenn man das nicht vorhat, will man die Daten real nicht mehr existierender Objekte gerne sauber aus dem Verzeichnis entfernt sehen.
DNS muss nicht nur bei den dynamischen Updates abgesichert werden. Zwei weitere grundlegende Vorgänge, deren Planung und Umsetzung nicht zu vernachlässigende Sicherheitsaspekte beinhaltet, sind Weiterleitungen und Zonentransfers.
DNS ist ein Dienst, der im Kern lediglich aus einer Datenbank mit Hosts und deren Eigenschaften, vor allem deren IP-Nummern besteht. Ob er korrekt konfiguriert und abgesichert ist, entscheidet über aber Wohl oder Wehe der gesamten Netzwerkinfrastruktur: Es handelt sich um einen Dienst mit höchsten Sicherheitsanforderungen. Werden DNS-Updates manipuliert, können Anfragen beliebig umgeleitet und damit ernsthaft Schaden angerichtet werden.
Unter bestimmten Bedingungen muss man FSMO-Rollen
von einem Server zwangsweise übernehmen, das heißt ohne ihren bisherigen Inhaber am Transfer zu beteiligen. Dieses Verfahren dient nicht als Standard- sondern als Ausnahme-Methode in den folgenden Fällen:
Active-Directory-Umgebungen können sehr komplex werden: Das Modell "Ein Unternehmen - eine Domäne" spielt selbst bei KMUs kaum eine Rolle; vielmehr hat man es gewöhnlich mit Domänen zu tun, welche die Teilbereiche der Organisation widerspiegeln und eine übergreifende Gesamtstruktur bilden. Die Summe aller Objekte der Gesamtstruktur heißt globaler Katalog (GC).
Bei der Vergabe von Rechten und Berechtigungen im Active Directory ist es entscheidend für die Übersicht, Granularität bei der Rechtevergabe und die Skalierbarkeit, in welche Sicherheitsgruppen man die Benutzer einteilt. Idealerweise wird die Gruppenstruktur anhand des Firmen-Organigramms und der IT-Ressourcen gebildet.