Das Zurück­setzen von Pass­wörtern gehört zu den häufig­sten Anfragen an den Helpdesk. Die Aufgabe selbst ist zwar trivial, aber vor­her muss sicher sein, dass der Auf­trag vom betref­fenden User selbst kommt. Die Tesis Sysware GmbH bietet mit ASPR einen Self Service, der 7 Methoden zur Authen­tifizierung be­herrscht.

Microsoft sieht für das Active Directory nur be­schränkte Mittel vor, um sichere Pass­wörter zu erzwingen. Der schwe­dische Her­steller Specops Software schließt diese Lücke mit Pass­word Policy, das ein Manage­ment der Benutzer­kenn­wörter über ein ausge­klügeltes Regel­werk und eine zentrale Blacklist erlaubt.

Diverse Tools für das Active Directory erlauben eine strin­gente Verwaltung von Be­nutzern und Gruppen. Lau­fende Änderungen bei den Zu­ständig­keiten der Mit­arbeiter nagen aber beständig an der ur­sprüng­lich er­zielten Ord­nung. BAYOOSOFT Access Manager bietet mehrere Mecha­nismen, um das zu ver­hindern.

Die meisten Gruppen­richt­linienobjekte (GPOs) fassen mehrere Ein­stellungen zu einem Windows-Feature oder einer Anwen­dung zu­sammen. Möchte man eine bestimmte Einstellung wieder daraus ent­fernen, dann funk­tioniert das oft nicht rück­stands­los. In diesem Fall ist manuelle Nach­arbeit nötig.

Ver­knüpfte Post­fächer eignen sich besonders für Unter­nehmen, welche Exchange in einer Ressourcen-Gesamt­struktur bereit­stellen wollen. Benutzer erhalten dabei ihr Konto ganz normal in ihrer lokalen Domäne, das Post­fach selbst liegt aber auf einem Exchange-Server einer anderen Domäne bzw. einem anderen Forrest.

Als einen weiteren Service, der bisher einem lokalen Windows Server vorbehalten war, bringt Micro­soft nun auch die Druck­dienste in die Cloud. Universal Print ersetzt Print-Server im Unter­nehmen und nutzt einen univer­salen Drucker­treiber auf den PCs. Bestehende Printer lassen sich über einen Connec­tor inte­grieren.

In Konzept­phasen oder gelegent­lich bei der Wartung größerer AD-Strukturen will man sich einen Überblick über die Zahl der AD-Objekte verschaffen. Das funk­tioniert zwar mit Active Directory-Benutzer und -Computer, doch Power­Shell ist flexibler. Dieser Bei­trag zeigt Beispiele für User, Com­puter, OUs und Gruppen.

Office 365 setzt mit Share­Point, Outlook oder Teams auf die Zu­sammen­arbeit von Gruppen. Diese werden oft nur für bestimmte Pro­jekte angelegt und nach deren Abschluss nicht mehr be­nötigt. Der Admini­strator kann nun eine Frist setzen, nach deren Ablauf Office-365-Gruppen auto­matisch ent­fernt werden.

Schwache und leicht zu erratende Passwörter sind ein will­kommenes Ein­fallstor für Angreifer. Auch wenn Admini­stratoren über Richt­linien im Active Directory triviale Kenn­wörter aus­schließen, ist es ratsam, die Konten regel­mäßig auf Passwort­sicherheit zu prüfen. Dieser Aufgabe dient der kosten­lose Specops Password Auditor.

Sowohl eigene Anwen­dungen als auch von Azure bereit­gestellte Dienste lassen sich in der Microsoft-Cloud unter benutzer­spezifischen Do­mänen betreiben. Das gilt beispiels­weise für Web-Applikationen oder für Exchange Online. Die Regi­strierung einer eigenen Domäne erfolgt ent­weder über das Azure-Portal oder Power­Shell.