Fügt man Computer oder Benutzer zu einer Sicherheits­gruppe im Active Directory hinzu, dann wirkt sich dies nicht sofort aus. Damit verbun­dene Berech­tigungen greifen erst nach dem erneuten An­melden eines Users oder dem Reboot des Com­puters. Dies lässt sich durch Erneuern der Kerberos-Tickets ver­meiden.

In Microsoft Teams kann der Administrator über Richt­linien bestimmen, welche Funktionen für welche Benutzer zur Ver­fügung stehen. So empfiehlt es sich etwa, Schülern im Online-Unterricht Rechte zu entziehen. Sinn­voll kann es aber auch sein, bei der Einführung von Teams erst nur einige Basis­funk­tionen frei­zuschalten.

Mit Server 2008 R2 führte Microsoft den AD-Papierkorb ein, um das Wieder­herstellen von gelöschten Objekten zu verein­fachen. Standard­mäßig bleibt dieses Feature den Domänen-Admins vorbehalten. Wenn man diese Auf­gabe etwa an den Help­desk delegieren will, muss man die Berech­tigungen anpassen.

Ein plan­volles Management von Datei­berech­tigungen schützt sen­sible Infor­mationen gegen unbe­fugten Zugriff. Die Praxis sieht in vielen Firmen aber meist anders aus, wenn der Über­blick über jahre­lang gewachsene Struk­turen verloren geht. Ein Tools-gestützter Service von BAYOOSOFT hilft beim Auf­räumen.

Das Eins­chalten oder das Zurück­holen einer virtu­ellen Maschine aus dem ge­speicherten Zu­stand kann mit dem Fehler scheitern, wonach das Konto nicht über die erfor­derlichen Berech­tigungen zum Öffnen der virtu­ellen Fest­platte ver­füge. Die Änderung der Zugriffs­rechte auf die VHD löst das Prob­lem aber nicht immer.

Microsoft Teams gliedert sich in Teams und darunter­liegende Kanäle. Selbst die Mit­glieder von abteilungs­über­greifenden Projekten können sich ohne Zutun der IT-Abteilung damit selbst orga­nisieren. Dies gilt auch für das Rechte-Management, wo Adminis­tratoren nur in einigen Fällen ein­greifen müssen.

Freigabe- und andere Funktions­postfächer sind prak­tisch, um eine Abteilung, Projekte oder Services per Mail erreichbar zu machen. Zudem bieten sie Mit­gliedern eines Teams einen zen­tralen Speicher. Vergibt man auf sie Berech­tigungen für verknüpfte Post­fächer, dann können beim Entzug derselben Prob­leme auftreten.

Wenn sensible Daten unauto­risiert das Unter­nehmen verlassen, dann können nicht nur Geschäfts­geheimnisse in die Hände der Konkur­renz fallen. Zusätzlich drohen auch teure Konse­quenzen für Gesetzes­verstöße. Mit geeigneten Werk­zeugen kann man solche Aktivitäten verhindern und nach­verfolgen.

Um die Verwaltung der Postfächer (insbesondere von Funktions­post­fächern) zu verein­fachen, kann man Berech­tigungen an AD-Gruppen vergeben. Das funktioniert aber nicht so ohne weiteres, weil sich nicht alle Typen von Gruppen dafür eignen und sie zudem in bestimmten Fällen E-Mail-aktiviert sein müssen.

Diverse Tools für das Active Directory erlauben eine strin­gente Verwaltung von Be­nutzern und Gruppen. Lau­fende Änderungen bei den Zu­ständig­keiten der Mit­arbeiter nagen aber beständig an der ur­sprüng­lich er­zielten Ord­nung. BAYOOSOFT Access Manager bietet mehrere Mecha­nismen, um das zu ver­hindern.