Während sich Benutzer und Gruppen im Active Directory über verschiedene Tools an einer Stelle verwalten lassen, speichert jeder Windows-PC seine lokalen Konten in einer eigenen SAM-Datenbank. Nachdem lokale Benutzer auch dann wichtig sind, wenn der Rechner in einer Domäne ist, benötigen Administratoren die Möglichkeit, diese zentral zu verwalten. Die Gruppenrichtlinien stellen dafür zwei Mechanismen zur Verfügung.

Die Arbeit in Teams oder innerhalb von Unternehmen insgesamt lebt vom Informations­austausch, etwa in Form von Mails, Adressen, Terminen, Aufgabenlisten. Groupware-Systeme wie CommuniGate Pro sollen die Werkzeuge für die Erstellung und Verwaltung, aber auch für die Weitergabe der gewünschten Daten bereitstellen.

Windows besitzt seit Urzeiten die Fähigkeit für Peer-to-Peer-Networking, so dass Benutzer lokale Ordner und Drucker freigeben können. Das unkontrollierte File-Sharing durch User, die mit dem System der Zugriffsrechte nicht vertraut sind, birgt jedoch Risiken. Daher möchte man dieses Feature auf zentral verwalteten PCs häufig deaktivieren.

Gerade in Unternehmen mit vielen Benutzern und Gruppen sollen Mitarbeiter aus den Fachab­teilungen oft einfache Aufgaben der AD-Administration übernehmen. Daher erlaubt das Active Directory die De­le­gierung von Rechten. Am einfachsten geht es über den zuständigen Wizard in AD-Benutzer und -Computer. Die Rechte zu widerrufen ist jedoch komplizierter.

Die in Bad Kreuznach ansässige Seitz IT-Solutions bietet mit GHWI ein kostenloses Werkzeug an, das die Hard- und Software-Ausstattung von PCs ermitteln kann. Darüber hinaus enthält es einen Netzwerk- und Port-Scanner, einen Telnet-Client und kann Magic Packets für Wake-on-LAN verschicken.

Zu den Neuerungen von Windows 8.1 gehört ein Betriebsmodus mit der Bezeichnung Assigned Access, der für ausgewählte Benutzer nur eine einzige App ausführt. Dieses Feature ist dafür gedacht, das Betriebssystem für die Kiosk-Nutzung zu konfigurieren.

Privilegierte Benutzerkonten sind im Unternehmensnetz "unvermeidbar". Wie sollten denn sonst auch Administratoren vernünftig arbeiten können. Doch gleichzeitig stellen solche privilegierten Accounts eine potenzielle Sicherheits­gefahr für Unternehmen und Organisationen dar.

Microsoft führte mit Windows Server 2008 ein Feature ein, das Admini­stratoren hindert, ganze OUs oder Gruppen ver­sehent­lich zu entfernen. Aller­dings erhalten nur wenige Objekte beim Anlegen auto­matisch diese Einstel­lung, so dass es sinn­voll ist, wenn man sie selbst verwaltet.

Mit Windows Server 2008 R2 führte Microsoft spezielle Konten im Active Directory für die Anmeldung von Windows-Diensten ein. Zu diesen Managed Service Accounts existieren weniger bekannte lokale Gegenstücke, die so genannten Virtual Accounts.

Managed Service Accounts sind spezielle Konten im Active Directory, die für die Anmeldung von Windows-Diensten gedacht sind. Sie wurden mit Windows Server 2008 R2 eingeführt und bieten unter anderem ein automatisches Passwort-Management. Sie lassen sich mittels PowerShell einrichten und mit einem Computer verknüpfen.