Sollen Computer eine Domäne im Active Directory ver­lassen, dann möchte man diese Aufgabe wahr­scheinlich nicht auf jedem PC inter­aktiv erledigen. Power­Shell ist in der Lage, den Unjoin auch remote für mehrere Rechner gleich­zeitig auszuführen. Das Computer­konto im AD muss man aber separat entfernen.

In der Praxis kommt es gelegent­lich vor, dass AD-Gesamt­strukturen zusammen­geführt werden müssen, beispiels­weise nach der Fusion von Firmen. Bevor man die Konten für Benutzer und Computer oder Gruppen über­nehmen kann, muss man im ersten Schritt eine Vertrauens­stellung zwischen den Forests ein­richten.

Das Anmelden an einem Rechner, der Mit­glied in einer Domäne ist, scheitert manch­mal mit der Fehler­meldung, wonach eine Vertrauens­stellung mit der pri­mären Domäne nicht herge­stellt werden konnte. Die Ursache dafür liegt in einem ungültigen Pass­wort für das Computer-Konto, das man zurück­setzen muss.

Shadows Groups im Active Directory stehen für ein Konzept, bei dem man für OUs gleich­namige Sicherheits­gruppen anlegt, welche die gleichen User ent­halten wie die ent­sprechende OU. Power­Shell kann die zusammen­gehörigen OUs und Gruppen syn­chron halten, indem man damit User aus der Gruppe ent­fernt oder ihr hinzu­fügt.

Microsoft veröffent­lichte die Version 2 eines Programms, mit dem Admini­stratoren veral­tete Objekte aus dem Active Directory ent­fernen können. Im Gegen­satz zu den gängigen Bord­mitteln handelt es sich dabei um ein benutzer­freundliches Tool mit grafischer Ober­fläche.

Microsoft führte mit Windows 7 und Server 2008 R2 die Mög­lich­keit ein, mit PCs einer Domäne beizu­treten, ohne dass diese eine Verbin­dung zu einem Domänen-Controller haben müssen. Diesem Zweck dient nur das Kom­mando­zeilen-Tool djoin.exe, ein GUI- oder Power­Shell-Äqui­valent dazu gibt es nicht.

Microsoft ver­öffent­lichte die viertel­jährlichen kumu­lativen Updates für Exchange 2013 (CU18) und 2016 (CU7). Beide bringen keine neuen Funk­tionen, sondern beheben nur bekannte Prob­leme. CU7 für Exchange 2016 stellt jedoch für die Instal­lation neue System­anfor­derungen.

Per Vorein­stellung können sich alle AD-User an jedem Rechner der Domäne einloggen. Dieser Zustand dürfte in einigen Umge­bungen uner­wünscht sein, weil sich durch die Beschränkung der Anmel­dung Risiken ver­meiden lassen. Entsprechende Restrik­tionen können Admins über Gruppen­richtlinien durchsetzen.

Bei einer großen Zahl an OUs und GPOs ist nicht leicht zu über­blicken, welche GPOs mit welchen OUs ver­knüpft sind. In Power­Shell lässt sich das mit relativ geringem Aufwand heraus­finden. Dabei kann man wahl­weise die OUs nach ver­linkten GPOs oder GPOs nach OUs filtern, mit denen sie ver­bunden sind.

Das optionale Active-Directory-Feature Privileged Access Management (PAM) unter Server 2016 erlaubt es, Benutzer zeit­lich befristet in privi­legierte Grup­pen aufzu­nehmen. Es handelt sich dabei um eine Voraussetzung für JIT, welche jedoch hier ohne Bastion-Forest auskommt.