Wenn ein neuer DC installiert wird, dann kann die anfängliche Replikation zahlreiche AD-Objekte umfassen. Externe Standorte sind aber oft nur über langsame Netzwerke angebunden. Für solche Szenarien reduziert "Install from Media" (IFM) die Menge der replizierten Daten auf den neuen DC erheblich.
Wenn man einen Server mit der installierten Rolle der AD CS außer Betrieb nimmt, dann bleibt zum Schluss immer die Aufgabe, die betreffende Zertifizierungsstelle aus dem Active Directory zu entfernen. Andernfalls stört sie etwa beim Ausstellen neuer Zertifikate. Das Löschen erfolgt manuell in AD-Standorte und Dienste.
Schwache oder kompromittierte Passwörter sind bekanntlich ein Einfallstor für Angreifer. Hat man herausgefunden, welche Benutzer im Active Directory dadurch bedroht sind, dann hilft PowerShell dabei, diesen Zustand abzustellen. Scripts können grundsätzliche AD-Defizite aber nicht aufheben, dazu braucht es professionelle Tools.
Zwar enthält jeder Windows-PC einen eigenen Satz an administrativen Vorlagen für die Gruppenrichtlinien, diese lassen sich aber in einer zentralen Ablage besser verwalten. Dies gilt umso mehr, wenn ADMX für verschiedene Anwendungen hinzukommen. Als trickreich kann sich aber dann das Update gestalten.
Secure Hash Algorithm (SHA) ist ein häufig verwendetes kryptografischen Verfahren. Der ursprüngliche Standard (SHA-1) ist aber veraltet und bietet nur mehr geringen Schutz. Die meisten Web-Browser lehnen damit signierte Zertifikate ab. Daher ist es für Firmen an der Zeit, von SHA-1 auf SHA-2 umzustellen.
Die Verwendung von unverschlüsseltem LDAP stellt ein Risiko dar. Es ermöglicht Angreifern das Ausnutzen einer Schwachstelle, um erhöhte Privilegien zu erlangen. Diese lassen sich wiederum für Man-In-The-Middle-Angriffe nutzen. Admins können ihre Systeme über mehrere LDAP-Einstellungen davor schützen.
Wenn Firmen ältere Versionen von Windows Server ausmustern, dann steht oft der Umzug wichtiger Infrastrukturdienste an. Davon können die Active Directory Certificate Services (AD CS) betroffen sein. Der folgende Beitrag zeigt, wie man die Datenbank und die Einstellungen der AD CS auf Windows 2019 überträgt.
Das Active Directory bietet nur wenige Optionen zur Authentifizierung. In den meisten Unternehmen kommt daher bloß die Kombination aus Benutzername und Passwort zum Einsatz. Die Hamburger Systola GmbH ergänzt das AD um moderne Verfahren, ohne dass Anwender dafür einen Cloud-Service nutzen müssen.
Azure Active Directory (AAD) ist ein Identity-as-a-Service-Provider. Seine zentrale Aufgabe besteht darin, Identitäten (Identities) und Zugriffe (Access) zu (managen) - daher die Abkürzung IAM. Es setzt zudem das Konzept des rollenbasierten Zugriffs (RBAC) um. Microsoft bietet den Service in mehreren Editionen an.
Einem Report von Verizon zufolge gehen 80 Prozent der IT-Sicherheitsvorfälle, die personenbezogene oder geschäftliche Daten betreffen, auf schwache oder kompromittierte Kennwörter zurück. Daher sollten Admins regelmäßig prüfen, ob die Konten im Active Directory durch starke Passwörter abgesichert sind.*
Microsofts Endpoint Configuration Manager (MECM) ist ein komplexes Tool. Seine Installation erfordert eine genaue Planung sowie mehrere Vorarbeiten. Dazu zählen die Dimensionierung des Servers und der Laufwerke, die Erweiterung des AD-Schemas, die Einrichtung von Konten und Server-Rollen.