Statische und dynamische Verteilergruppen gehören zur Grundausstattung von Exchange. Mit ihnen lassen sich etwa Abteilungen oder Teams abbilden. Sie dienen der Bündelung von Kontakten und vereinfachen die Erreichbarkeit der Empfänger. Manchmal möchte man aber die Mitglieder einer Gruppe vor den Benutzern verbergen.
Mit PowerShell lassen sich praktisch alle Produkte und Komponenten der Microsoft-Plattform verwalten. Kommt jedoch eine größere Sammlung an Scripts zusammen, dann geht die Übersicht schnell verloren. Das gilt erst recht, wenn die Scripts an Benutzer delegiert und deren Berechtigungen angepasst werden sollen.
Herkömmliche Konzepte der IT-Sicherheit wollen den Schutz primär an den Grenzen zum eigenen Netzwerk gewährleisten. Innerhalb desselben gelten Dienste, Geräte und User als vertrauenswürdig. Dagegen betrachtet Zero Trust Insider und Geräte als eine potenzielle Bedrohung, die ständig beobachtet werden muss.
Aus bekannten Gründen ist das Arbeiten vom Home-Office ein Megatrend der letzten eineinhalb Jahre. Entsprechend schossen auch die Nutzerzahlen von Microsoft 365 und Microsoft Teams in die Höhe. Diese Entwicklung hat jedoch in vielen Firmen eine Schattenseite, nämlich ein unkontrollierten Wachstum von Teams und Channels.
Bei der Einführung von Microsoft Teams stehen Unternehmen vor der Frage, wie sie den Wildwuchs bei Teams und Channels in den Griff bekommen. Entzieht man den Benutzern das Recht, Gruppen im Azure AD anzulegen, dann können sie keine Teams mehr erstellen. Das wirkt sich aber auch auf andere M365-Dienste aus.
Als Reaktion auf die schwerwiegende Sicherheitslücke im Print-Spooler von Windows (CVE-2021-1678) veröffentlichte Microsoft einen Patch, der im kumulativen Update für August enthalten ist. Dieser führte in vielen Firmen zu Problemen beim Drucken. Der Hersteller präsentierte dafür nun Behelfslösungen.
Wenn man die Zugriffsrechte auf Verzeichnisse für viele Rechner anpassen möchte, dann lässt sich auch diese Aufgabe über die Gruppenrichtlinien erledigen. Damit spart man sich nicht nur die interaktive Konfiguration, sondern stellt auch sicher, dass die Berechtigungen künftig nicht mehr von der Vorgabe abweichen.
Microsoft meldet eine weitere Schwachstelle in Windows 10 (ab 1809). Sie erlaubt es Angreifern, die Privilegien des SYSTEM-Kontos zu erlangen. Voraussetzung ist jedoch, dass sie berechtigt sind, Code auf dem Rechner auszuführen. Ursache sind zu großzügige Berechtigungen für Dateien wie SAM oder SYSTEM.
Administratoren sind gelegentlich gezwungen, Programmen im Kontext der Konten SYSTEM oder Trusted Installer auszuführen, wenn diese Owner von Dateien und Registry-Schlüsseln sind. Nachdem die Bordmittel dafür keine einfache Möglichkeit vorsehen, übernehmen kostenlose Utilities diese Aufgabe.
Fügt man Computer oder Benutzer zu einer Sicherheitsgruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbundene Berechtigungen greifen erst nach dem erneuten Anmelden eines Users oder dem Reboot des Computers. Dies lässt sich durch Erneuern der Kerberos-Tickets vermeiden.