Der Besitz von NTFS-Objekten und die Ver­erbung sind wesent­liche Mecha­nismen für die Vergabe von Zugriffs­rechten. Die Bord­mittel von PowerShell sind für das Manage­ment dieser Features aber um­ständlich oder unzu­reichend. Das Modul NTFSSecurity verein­facht diese Auf­gabe mit mehreren Cmdlets.

Während sich Hyper-V oder das Active Directory praktisch vollständig über PowerShell verwalten lassen, fällt die Unterstützung für das Management der NTFS-Zugriffsrechte immer noch mager aus. Diese Lücke schließt das Modul NTFSSecurity des Microsoft-Mitarbeiters Raimund Andrée mit insgesamt 36 Cmdlets.

Zu den Bordmitteln von Windows gehören icacls und takeown, mit denen man Datei­berechti­gungen ändern oder bestimmte User als Besitzer von Ordnern festlegen kann. Das kostenlose Reset file permissions ist eine grafische Shell für diese CLI-Tools und vereinfacht ihre Nutzung.

Das optionale Active-Directory-Feature Privileged Access Management (PAM) unter Server 2016 erlaubt es, Benutzer zeit­lich befristet in privi­legierte Grup­pen aufzu­nehmen. Es handelt sich dabei um eine Voraussetzung für JIT, welche jedoch hier ohne Bastion-Forest auskommt.

Wenn ein admini­stratives Kon­to in die falschen Hände gerät, dann stehen bös­willigen Zeit­genossen Tür und Tor für destruktive Akti­vitäten offen. Privileged Account Manage­ment (PAM) redu­ziert diese Gefahr, indem es etwa Berech­tigungen nur tempo­rär einräumt. Microsoft bietet in Server 2016 mit Just-In-Time Admini­stration (JIT) eine eigene Lösung an.

Just Enough Admini­stration (JEA) ermög­licht eine fein­körnige Zuteilung admini­strativer Rechte an Benutzer und Gruppen. Der Aktions­radius von Mit­arbeitern lässt sich dabei durch die Beschrän­kung auf be­stimmte Cmdlets und Funk­tionen ein­grenzen. Ich demon­striere JEA hier am Beispiel eines S2D-Clusters.

Mit den Bord­mitteln von Windows lassen sich grund­sätzlich alle Aufgaben des AD-Managements erledigen. Defizite dieser Tools und die einge­schränkten Möglich­keiten, Vorgänge zu automa­tisieren, lassen aber viel Raum für bessere Alter­nativen von Drittan­bietern. Zu diesen zählt Adaxes von Softerra.

Ein Paket mit mehreren Programmen, mit dem Unter­nehmen sich auf die Um­setzung der EU-Daten­schutz-Grund­verordnung vorbe­reiten kön­nen, hat die Soft­ware-Sparte von Hewlett-Packard Enter­prise (HPE) vorgestellt.

Die Microsoft Management Console (MMC) ist als Werk­zeug für End­benutzer mit den meisten Snap-ins zu sperrig und unüber­sichtlich. Wenn Admini­stratoren ein­zelne Auf­gaben etwa an Fach­abteilungen dele­gieren möchten, dann können Sie die MMC jedoch ab­specken und auf genau eine be­stimmte Aufgabe zu­schneiden.

Folgende Anleitung beschreibt, wie Sie Kalender­berech­tigungen zen­tral bei einem Exchange-Server 2007, 2010 oder 2013 mit Hilfe von Power­Shell anpas­sen können. Dies erspart Ihnen Zeit, weil Sie damit Rechte ver­geben können, ohne dass Sie Zu­gang zum PC bzw. Outlook des Kalender­besitzers benötigen.