Seit Server 2016 ist es mög­lich, Be­nutzer tem­porär in AD-Gruppen aufzu­nehmen und so ihre Berech­tigungen zeit­lich zu be­schränken. Die Bord­mittel sehen dafür nur Power­Shell vor. Mein hier beschrie­benes Script bietet aber eine GUI, so dass auch tech­nisch nicht versierte User diese Aufgabe über­nehmen können.

Windows enthält die nötige Grundausstattung für das Management des Active Directory und seiner verschiedenen Funktionen. Sie reicht aber für viele Aufgaben nicht aus, so dass ein ganzer Markt für AD-Tools entstanden ist. Neben mächtigen Produkten für komplexe Umgebungen füllen auch kostenlose Angebote einige Lücken der Bordmittel.

Bei LAPS handelt es sich um ein kosten­loses Tool von Microsoft, das für lokale Admin-Konten auf jedem PC ein zufäl­liges Pass­wort erzeugt. Aller­dings kann man nicht so ein­fach erkennen, ob der Mecha­nismus auf jedem Rechner funk­tioniert. Abhilfe schafft hier ein PowerShell-Script, das einen Health-Report erstellt.

CommuniGate Pro ist eine Soft­ware für Unified Communi­cations, deren Funk­tionen von E-Mail, Kalen­der und Auf­gaben über VoIP und Instant Messaging bis Video-Kon­ferenzen reicht. Sie besitzt eine über­greifende Instal­lation für alle Features. Als kri­tische Infra­struktur lässt sie sich hoch­verfügbar konfi­gurieren.*

Wenn eine Installation von Exchange gegen die Wand ge­fahren wurde oder sich der alte Exchange-Server sich nicht mehr dein­stallieren lassen will, dann kann eine manu­elle Berei­nigung des Active Directory erfor­derlich sein. Andern­falls scheitert jeder Versuch, Exchange in dieser Umge­bung neu einzu­richten.

Die Windows-Bord­mittel bieten bekanntlich nur be­schränkte Reporting-Fähig­keiten für das Active Directory. Diese Lücke schließen zahl­reiche An­bieter mit eigenen Tools. Im Gegen­satz zu kom­plexen Werk­zeugen für ein um­fassendes AD-Management kon­zen­triert sich AD FastReporter auf Berichte zu den wesentlichen AD-Objekten.

PowerShell Core 6 ist seit Anfang des Jahres ver­fügbar und soll die Basis für alle weiteren Entwick­lungen von PowerShell sein. Aktuell fehlen der Core-Version jedoch die meisten Module zur Verwaltung von Windows. Diese muss man von Windows PowerShell impor­tieren, was für einige wichtige Module nicht klappt.

Zu den neuen Features der Preview 17079 gehört die Möglich­keit, neue Releases direkt auf vor­herige Ver­sionen aufzu­spielen. Auf diese Weise lässt sich Windows Server ab 1709 aktuali­sieren. Das Upgrade er­folgt durch die Aus­führung von setup.exe, einen Mecha­nismus via Windows Update oder WSUS gibt es nicht.

Zu den kritischen Enti­täten im Active Directory gehören admini­strative Gruppen. Wenn sich deren Mit­glied­schaften oder die Pass­wörter von enthaltenen Konten ändern, dann sollte die System­verwaltung davon erfahren. Daher empfiehlt es sich, für diesen Zweck die Überwachungs­funktionen für den Verzeichnis­dienst zu aktivieren.

Nachdem eine Vertrauens­stellung zwischen der Quell- und Ziel-Domäne einge­richtet ist, kann man Benutzer, Gruppen und Computer von der alten in die neue Gesamt­struktur über­tragen. Ein Werk­zeug dafür ist das kostenlose Active Directory Migration Tool (ADMT), welches auch auf Windows Server 2012 R2 und 2016 läuft.