Fügt man Computer oder Benutzer zu einer Sicherheitsgruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbundene Berechtigungen greifen erst nach dem erneuten Anmelden eines Users oder dem Reboot des Computers. Dies lässt sich durch Erneuern der Kerberos-Tickets vermeiden.
Failover-Cluster spricht man normalerweise nicht über seine Knoten an, sondern über das CNO im Active Directory. Es verfügt auch über einen DNS-Eintrag, der stets dem Owner-Node zugeordnet ist. Das CNO kann man bereits vor dem Cluster erstellen, die DNS-Konfiguration ist oft Ursache für Verbindungsprobleme.
Trotz Nutzung von diversen Security-Tools nimmt die Zahl der erfolgreichen Angriffe auf Unternehmen zu, unter anderem mit Ransomware. Auch die Sensibilisierung der User für Sicherheitsthemen hat nur bedingten Erfolg. Die Analyse von Anomalien im Netzwerk erlaubt dagegen eine schnelle Reaktion auf Cyber-Attacken.
Auch wenn Microsoft regelmäßig das Ende der Passwörter ausruft, so bleiben diese trotz ihrer Schwächen das populärste Verfahren zur Authentifizierung. Unternehmen sollten daher nur starke Kennwörter zulassen. Passphrasen bilden einen guten Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.*
Microsoft 365 nutzt Azure Active Directory (AAD) zur Verwaltung der Benutzerkonten, die Zugriff auf die Cloud-Dienste erhalten sollen. Wenn Unternehmen bereits ein AD on-prem betreiben, dann können sie die Accounts zwischen den Verzeichnissen getrennt halten oder einheitliche Identitäten einrichten.
Wenn Administratoren zu spät oder gar nicht erkennen, dass Systeme kompromittiert wurden, dann können sie den Schaden nicht rechtzeitig begrenzen. Große Firmen bauen dafür oft eigene Security Operations Center auf. Kleinere Unternehmen können zu diesem Zweck Managed Services oder lokale Tools nutzen.
Der Diebstahl von Identitäten ist für Angreifer der Königsweg zu den Daten eines Unternehmens. Daher sollte man über Policies starke Passwörter erzwingen. Aber auch sie können kompromittiert werden. Eine zusätzliche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.
Im August 2020 wurde die Schwachstelle CVE-2020-1472 im Netlogon Remote Protocol publiziert. Microsofts Patch erzwingt ab dem 9. Februar die Kommunikation über einen Secure RPC. Inkompatible Geräte können sich ab sofort nur mehr an einem DC authentifizieren, wenn man sie über ein GPO zulässt.
Die grafischen Bordmittel von Windows sind primär für das Verwalten von AD-Objekten ausgelegt und nur sehr eingeschränkt geeignet, um das Active Directory abzufragen. Diese Lücke füllt eine ganze Reihe von Drittanbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.
Wenn im Active Directory der Wert für bestimmte Attribute bei einer größeren Zahl von Objekten geändert werden soll, dann kann man diesen Vorgang mit PowerShell automatisieren. Während dies für einfache Werte ziemlich unkompliziert ist, muss man bei Multi-valued-Attributen mehr Aufwand betreiben.
Von Exchange-Benutzern kommt immer wieder einmal die Anforderung, dass sie E-Mails an externe Empfänger unter einem anderen Anzeigenamen verschicken möchten als an solche innerhalb der Organisation. Dies lässt sich on-prem und in der Microsoft-Cloud über das AD-Attribut SimpleDisplayName erreichen.