Windows besitzt seit Urzeiten die Fähigkeit für Peer-to-Peer-Networking, so dass Benutzer lokale Ordner und Drucker freigeben können. Das unkontrollierte File-Sharing durch User, die mit dem System der Zugriffsrechte nicht vertraut sind, birgt jedoch Risiken. Daher möchte man dieses Feature auf zentral verwalteten PCs häufig deaktivieren.

Gerade in Unternehmen mit vielen Benutzern und Gruppen sollen Mitarbeiter aus den Fachab­teilungen oft einfache Aufgaben der AD-Administration übernehmen. Daher erlaubt das Active Directory die De­le­gierung von Rechten. Am einfachsten geht es über den zuständigen Wizard in AD-Benutzer und -Computer. Die Rechte zu widerrufen ist jedoch komplizierter.

Die in Bad Kreuznach ansässige Seitz IT-Solutions bietet mit GHWI ein kostenloses Werkzeug an, das die Hard- und Software-Ausstattung von PCs ermitteln kann. Darüber hinaus enthält es einen Netzwerk- und Port-Scanner, einen Telnet-Client und kann Magic Packets für Wake-on-LAN verschicken.

Zu den Neuerungen von Windows 8.1 gehört ein Betriebsmodus mit der Bezeichnung Assigned Access, der für ausgewählte Benutzer nur eine einzige App ausführt. Dieses Feature ist dafür gedacht, das Betriebssystem für die Kiosk-Nutzung zu konfigurieren.

Privilegierte Benutzerkonten sind im Unternehmensnetz "unvermeidbar". Wie sollten denn sonst auch Administratoren vernünftig arbeiten können. Doch gleichzeitig stellen solche privilegierten Accounts eine potenzielle Sicherheits­gefahr für Unternehmen und Organisationen dar.

Microsoft führte mit Windows Server 2008 ein Feature ein, das Admini­stratoren hindert, ganze OUs oder Gruppen ver­sehent­lich zu entfernen. Aller­dings erhalten nur wenige Objekte beim Anlegen auto­matisch diese Einstel­lung, so dass es sinn­voll ist, wenn man sie selbst verwaltet.

Mit Windows Server 2008 R2 führte Microsoft spezielle Konten im Active Directory für die Anmeldung von Windows-Diensten ein. Zu diesen Managed Service Accounts existieren weniger bekannte lokale Gegenstücke, die so genannten Virtual Accounts.

Managed Service Accounts sind spezielle Konten im Active Directory, die für die Anmeldung von Windows-Diensten gedacht sind. Sie wurden mit Windows Server 2008 R2 eingeführt und bieten unter anderem ein automatisches Passwort-Management. Sie lassen sich mittels PowerShell einrichten und mit einem Computer verknüpfen.

Mit Windows Server 2008 R2 führte Microsoft Managed Service Accounts ein. Es handelt sich da­bei um spezielle AD-Konten für Windows-Dien­ste. Sie sind eine Alternative zu System- oder normalen AD-Accounts, die in dieser Funktion eini­ge Nachteile haben. In Server 2012 kamen Group Managed Service Accounts hinzu.

Standardmäßig werden Gruppenrichtlinien auf alle User und Computer in einer Domäne, Site oder OU angewandt, mit der das GPO verknüpft ist. Wenn es aufgrund dieser Zuordnung eine große Zahl von AD-Objekten anspricht, dann kann es sein, dass man bestimmte Benutzer oder Computer ausnehmen möchte. Die Sicherheitsfilterung dient diesem Zweck.