Rechteverwaltung
File-Sharing per GPO blockieren und alte Freigaben im Netz finden
Windows besitzt seit Urzeiten die Fähigkeit für Peer-to-Peer-Networking, so dass Benutzer lokale Ordner und Drucker freigeben können. Das unkontrollierte File-Sharing durch User, die mit dem System der Zugriffsrechte nicht vertraut sind, birgt jedoch Risiken. Daher möchte man dieses Feature auf zentral verwalteten PCs häufig deaktivieren.
AD-Verwaltung delegieren: Passwort zurücksetzen, Gruppen und Mitglieder managen
Gerade in Unternehmen mit vielen Benutzern und Gruppen sollen Mitarbeiter aus den Fachabteilungen oft einfache Aufgaben der AD-Administration übernehmen. Daher erlaubt das Active Directory die Delegierung von Rechten. Am einfachsten geht es über den zuständigen Wizard in AD-Benutzer und -Computer. Die Rechte zu widerrufen ist jedoch komplizierter.
Seitz GHWI: Gratis-Tool für System-Infos, Netzwerk- und Port-Scan, Wake-on-LAN
Die in Bad Kreuznach ansässige Seitz IT-Solutions bietet mit GHWI ein kostenloses Werkzeug an, das die Hard- und Software-Ausstattung von PCs ermitteln kann. Darüber hinaus enthält es einen Netzwerk- und Port-Scanner, einen Telnet-Client und kann Magic Packets für Wake-on-LAN verschicken.
Windows 8.1 im Kiosk-Modus: Konto für zugewiesenen Zugriff einrichten
Zu den Neuerungen von Windows 8.1 gehört ein Betriebsmodus mit der Bezeichnung Assigned Access, der für ausgewählte Benutzer nur eine einzige App ausführt. Dieses Feature ist dafür gedacht, das Betriebssystem für die Kiosk-Nutzung zu konfigurieren.
IT-Security: Tool von CyberArk identifiziert privilegierte Accounts
Privilegierte Benutzerkonten sind im Unternehmensnetz "unvermeidbar". Wie sollten denn sonst auch Administratoren vernünftig arbeiten können. Doch gleichzeitig stellen solche privilegierten Accounts eine potenzielle Sicherheitsgefahr für Unternehmen und Organisationen dar.
OUs, Gruppen, User: AD-Objekte vor zufälligem Löschen schützen
Microsoft führte mit Windows Server 2008 ein Feature ein, das Administratoren hindert, ganze OUs oder Gruppen versehentlich zu entfernen. Allerdings erhalten nur wenige Objekte beim Anlegen automatisch diese Einstellung, so dass es sinnvoll ist, wenn man sie selbst verwaltet.
Virtual Accounts für Dienste unter Windows 7/8 und ab Server 2008 R2
Mit Windows Server 2008 R2 führte Microsoft spezielle Konten im Active Directory für die Anmeldung von Windows-Diensten ein. Zu diesen Managed Service Accounts existieren weniger bekannte lokale Gegenstücke, die so genannten Virtual Accounts.
Managed Service Accounts einrichten mit PowerShell
Managed Service Accounts sind spezielle Konten im Active Directory, die für die Anmeldung von Windows-Diensten gedacht sind. Sie wurden mit Windows Server 2008 R2 eingeführt und bieten unter anderem ein automatisches Passwort-Management. Sie lassen sich mittels PowerShell einrichten und mit einem Computer verknüpfen.
Managed Service Accounts: Windows-Dienste mit eigenen Konten anmelden
Mit Windows Server 2008 R2 führte Microsoft Managed Service Accounts ein. Es handelt sich dabei um spezielle AD-Konten für Windows-Dienste. Sie sind eine Alternative zu System- oder normalen AD-Accounts, die in dieser Funktion einige Nachteile haben. In Server 2012 kamen Group Managed Service Accounts hinzu.
Sicherheitsfilterung: User und Computer von GPOs ausnehmen
Standardmäßig werden Gruppenrichtlinien auf alle User und Computer in einer Domäne, Site oder OU angewandt, mit der das GPO verknüpft ist. Wenn es aufgrund dieser Zuordnung eine große Zahl von AD-Objekten anspricht, dann kann es sein, dass man bestimmte Benutzer oder Computer ausnehmen möchte. Die Sicherheitsfilterung dient diesem Zweck.