Neben schwachen und kompromittierten Passwörtern bilden inaktive Accounts beliebte Angriffspunkte, um Netzwerke zu infiltrieren. Wird ein solches Konto gehackt, können Angreifer in aller Ruhe ihr Unwesen treiben. Admins sollten daher das Active Directory regelmäßig mit geeigneten Tools auf solche Schwachpunkte prüfen.*
Fügt man Computer oder Benutzer zu einer Sicherheitsgruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbundene Berechtigungen greifen erst nach dem erneuten Anmelden eines Users oder dem Reboot des Computers. Dies lässt sich durch Erneuern der Kerberos-Tickets vermeiden.
Wenn Admins das Verteilen des Betriebssystems auf die Rechner im Netzwerk nicht weitgehend automatisieren, dann entsteht ihnen erheblicher und wiederkehrender Aufwand bei der Einrichtung und Aktualisierung von PCs. Die Bordmittel von Windows sind dafür nur bedingt geeignet, und jetzt entfällt auch noch der Support für die WDS.
Failover-Cluster spricht man normalerweise nicht über seine Knoten an, sondern über das CNO im Active Directory. Es verfügt auch über einen DNS-Eintrag, der stets dem Owner-Node zugeordnet ist. Das CNO kann man bereits vor dem Cluster erstellen, die DNS-Konfiguration ist oft Ursache für Verbindungsprobleme.
Auch wenn Microsoft regelmäßig das Ende der Passwörter ausruft, so bleiben diese trotz ihrer Schwächen das populärste Verfahren zur Authentifizierung. Unternehmen sollten daher nur starke Kennwörter zulassen. Passphrasen bilden einen guten Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit.*
Microsoft 365 nutzt Azure Active Directory (AAD) zur Verwaltung der Benutzerkonten, die Zugriff auf die Cloud-Dienste erhalten sollen. Wenn Unternehmen bereits ein AD on-prem betreiben, dann können sie die Accounts zwischen den Verzeichnissen getrennt halten oder einheitliche Identitäten einrichten.
Der Diebstahl von Identitäten ist für Angreifer der Königsweg zu den Daten eines Unternehmens. Daher sollte man über Policies starke Passwörter erzwingen. Aber auch sie können kompromittiert werden. Eine zusätzliche Absicherung erreicht man durch MFA, das zudem auch Remote-Zugriffe schützen soll.
Im August 2020 wurde die Schwachstelle CVE-2020-1472 im Netlogon Remote Protocol publiziert. Microsofts Patch erzwingt ab dem 9. Februar die Kommunikation über einen Secure RPC. Inkompatible Geräte können sich ab sofort nur mehr an einem DC authentifizieren, wenn man sie über ein GPO zulässt.
Die grafischen Bordmittel von Windows sind primär für das Verwalten von AD-Objekten ausgelegt und nur sehr eingeschränkt geeignet, um das Active Directory abzufragen. Diese Lücke füllt eine ganze Reihe von Drittanbietern. Ein Klassiker ist AD Info, der schon in der Free Edition sehr nützlich ist.
Wenn im Active Directory der Wert für bestimmte Attribute bei einer größeren Zahl von Objekten geändert werden soll, dann kann man diesen Vorgang mit PowerShell automatisieren. Während dies für einfache Werte ziemlich unkompliziert ist, muss man bei Multi-valued-Attributen mehr Aufwand betreiben.
Von Exchange-Benutzern kommt immer wieder einmal die Anforderung, dass sie E-Mails an externe Empfänger unter einem anderen Anzeigenamen verschicken möchten als an solche innerhalb der Organisation. Dies lässt sich on-prem und in der Microsoft-Cloud über das AD-Attribut SimpleDisplayName erreichen.