Wenn eine Installation von Exchange gegen die Wand ge­fahren wurde oder der alte Exchange-Server sich nicht mehr dein­stallieren lassen will, dann kann eine manu­elle Berei­nigung des Active Directory erfor­derlich sein. Andern­falls scheitert jeder Versuch, Exchange in dieser Umge­bung neu einzu­richten.

Die Windows-Bord­mittel bieten bekanntlich nur be­schränkte Reporting-Fähig­keiten für das Active Directory. Diese Lücke schließen zahl­reiche An­bieter mit eigenen Tools. Im Gegen­satz zu kom­plexen Werk­zeugen für ein um­fassendes AD-Management kon­zen­triert sich AD FastReporter auf Berichte zu den wesentlichen AD-Objekten.

PowerShell Core 6 ist seit Anfang des Jahres ver­fügbar und soll die Basis für alle weiteren Entwick­lungen von PowerShell sein. Aktuell fehlen der Core-Version jedoch die meisten Module zur Verwaltung von Windows. Diese muss man von Windows PowerShell impor­tieren, was für einige wichtige Module nicht klappt.

Zu den neuen Features der Preview 17079 gehört die Möglich­keit, neue Releases direkt auf vor­herige Ver­sionen aufzu­spielen. Auf diese Weise lässt sich Windows Server ab 1709 aktuali­sieren. Das Upgrade er­folgt durch die Aus­führung von setup.exe, einen Mecha­nismus via Windows Update oder WSUS gibt es nicht.

Zu den kritischen Enti­täten im Active Directory gehören admini­strative Gruppen. Wenn sich deren Mit­glied­schaften oder die Pass­wörter von enthaltenen Konten ändern, dann sollte die System­verwaltung davon erfahren. Daher empfiehlt es sich, für diesen Zweck die Überwachungs­funktionen für den Verzeichnis­dienst zu aktivieren.

Nachdem eine Vertrauens­stellung zwischen der Quell- und Ziel-Domäne einge­richtet ist, kann man Benutzer, Gruppen und Computer von der alten in die neue Gesamt­struktur über­tragen. Ein Werk­zeug dafür ist das kostenlose Active Directory Migration Tool (ADMT), welches auch auf Windows Server 2012 R2 und 2016 läuft.

Sollen Computer eine Domäne im Active Directory ver­lassen, dann möchte man diese Aufgabe wahr­scheinlich nicht auf jedem PC inter­aktiv erledigen. Power­Shell ist in der Lage, den Unjoin auch remote für mehrere Rechner gleich­zeitig auszuführen. Das Computer­konto im AD muss man aber separat entfernen.

In der Praxis kommt es gelegent­lich vor, dass AD-Gesamt­strukturen zusammen­geführt werden müssen, beispiels­weise nach der Fusion von Firmen. Bevor man die Konten für Benutzer und Computer oder Gruppen über­nehmen kann, muss man im ersten Schritt eine Vertrauens­stellung zwischen den Forests ein­richten.

Das Anmelden an einem Rechner, der Mit­glied in einer Domäne ist, scheitert manch­mal mit der Fehler­meldung, wonach eine Vertrauens­stellung mit der pri­mären Domäne nicht herge­stellt werden konnte. Die Ursache dafür liegt in einem ungültigen Pass­wort für das Computer-Konto, das man zurück­setzen muss.

Shadows Groups im Active Directory stehen für ein Konzept, bei dem man für OUs gleich­namige Sicherheits­gruppen anlegt, welche die gleichen User ent­halten wie die ent­sprechende OU. Power­Shell kann die zusammen­gehörigen OUs und Gruppen syn­chron halten, indem man damit User aus der Gruppe ent­fernt oder ihr hinzu­fügt.