Die Verwaltung von Windows-Umge­bungen und von Active Directory kann mit den Microsoft-eigenen Werk­zeugen ziem­lich umständ­lich sein. Hyena fasst die Tools, welche Admins täglich für diese Auf­gaben be­nötigen, unter einer Ober­fläche zusammen. Sie gehen dabei weit über die Fähig­keiten der Bord­mittel hinaus.

Wenn Unter­nehmen Dienste der Microsoft-Cloud nutzen, dann kommen sie für das Identity Manage­ment kaum an Azure Active Directory (AAD) vorbei. Daher läge es nahe, auch das On-Prem-AD in die Cloud zu migrieren. Eine Hürde dafür ist, dass es einige Unter­schiede zwischen den beiden Ver­zeichnis­diensten gibt.

Wenn sich im Active Dirctory die Mit­glieder von admini­strativen Gruppen ändern, dann sollte die System­verwaltung unverzüglich davon er­fahren. Gleiches gilt beim Zugriff auf Ver­zeichnisse eines File-Servers, der sen­sible Infor­mationen ent­hält. Die Windows-Bordmittel bieten dafür aber nur rudi­mentäre Funktionen.

Cmdlets wie Get-ADUser oder Get-ADComputer geben standard­mäßig nur einen Teil der Attribute für die abge­fragten Objekte aus. Über den Parameter Properties kann man sie dazu über­reden, mehr Infor­ma­tionen preis­zugeben. Eine Über­sicht auf TechNet zeigt, mit welchen Cmdlets man welche AD-Attribute erhält.

Eine SQL-Daten­bank erweist sich nicht nur bei der klassischen Anwen­dungs­ent­wicklung als prak­tisch, sondern kann auch den Scripts der System­verwaltung als Speicher dienen. Microsoft stellt daher für SQL Server ein PowerShell-Modul zur Verfügung, mit dem man in die Daten­bank schreiben und daraus lesen kann.

Neben den gängigen GUI- und CLI-Tools ist unter den Bord­mitteln von Windows auch Power­Shell in der Lage, die Aus­stellung eines Zertifikats anzu­fordern. Das dafür zuständige Cmdlet weist zwar einige Ein­schränkungen auf, eignet sich aber zum Beispiel dazu, ein SSL-Zertifikat von einer internen CA aus­stellen zu lassen.

Eine autori­sierende Wieder­herstellung (Authori­tative Restore) setzt ein einzelnes gelöschtes Active Directory-Objekt oder einen Con­tainer auf den Zu­stand vor der letzten Sicherung zurück. Sie sorgt dafür, dass die restau­rierten Objekte durch die Repli­kation mit anderen DCs nicht wieder ent­fernt werden.

Zu Dokumen­tations­zwecken kann es erfor­derlich sein, einen Report zur Gruppen­mit­gliedschaft von allen oder aus­gewählten Be­nutzern im Active Directory zu erstellen. PowerShell bietet mehrere Möglich­keiten, um gezielt User und Gruppen auszu­wählen und das Ergebnis in eine CSV-Datei zu schreiben.

Das PowerShell-Modul für Active Direc­tory um­fasst nicht nur Cmdlets zum An­legen und Ab­fragen von Kon­ten, son­dern auch zum Löschen der­selben. Zu­ständig da­für sind Remove-ADUSer und Remove-ADComputer. Remove-ADGroup ent­fernt Grup­pen und Remove-ADObject räumt alle Ar­ten von Ob­jekten ab.

Wesent­licher Zweck von Access Manager (AM) ist die Ver­gabe von Ver­zeichnis­berech­tigungen über einen Geneh­migungs-Workflow. Mit­arbeiter können dabei Anträge aus einem Self-Service-Portal stellen. Das 3rd-Party-Modul erweitert dieses Ver­fahren auf alle Res­sourcen, die sich über das AD ver­walten lassen.