Mehr Sicherheit, Stabilität und Schutz

10 Tipps für Active-Directory-Administratoren

| Autor / Redakteur: Thomas Joos / Andreas Donner

Man sollte die Administration von Active Directory nicht auf die leichte Schulter nehmen – diese 10 Tipps helfen.
Man sollte die Administration von Active Directory nicht auf die leichte Schulter nehmen – diese 10 Tipps helfen. (Bild: Joos / Microsoft)

Die Verwaltung von Active Directory ist keine einfache Angelegenheit. Mit diesen 10 einfachen Schritten lassen sich Probleme in Active Directory aber bereits im Vorfeld vermeiden, Datenverlust verhindern und Betriebssicherheit herstellen.

In diesem Beitrag gehen wir auf einige interessante Möglichkeiten ein, um Active Directory besser und sicherer zu betreiben. Es lohnt sich aber auch einen Blick in die am Ende des Textes gelisteten Beiträge zu werfen, in denen wir die einzelnen Punkte genauer durchleuchten.

1. Active Directory Papierkorb aktivieren und überprüfen

Mit dem Papierkorb in Active Directory können gelöschte Objekte wiederhergestellt werden, wenn andere Möglichkeiten nicht mehr zur Verfügung stehen. Damit das möglich wird, muss der AD-Papierkorb aktiviert werden. Außerdem sollte ab und zu überprüft werden, ob er noch verfügbar ist bzw. ob Objekte im Papierkorb gesammelt werden. Zwar lässt sich der Papierkorb nicht deaktivieren, dennoch sollte seine Funktion hin und wieder überprüft werden.

Der Papierkorb kann zum Beispiel über das Kontextmenü der Gesamtstruktur im Active Directory-Verwaltungscenter aktiviert werden (siehe Abbildung 1). Ist der Papierkorb aktiv, ist die Option zum Deaktivieren ausgegraut. Gelöschte Objekte sammelt das Active-Directory-Verwaltungscenter in der OU „Deleted Objects“ (siehe Abbildung 2).

2. Wichtige Organisationseinheiten vor dem Löschen schützen

Standardmäßig werden die meisten Organisationseinheiten vor dem versehentlichen Löschen geschützt. Dazu ist auf der Registerkarte „Objekt“ in den Eigenschaften der OU die Option „Objekt vor dem zufälligen Löschen“ aktiviert (siehe Abbildung 3). Wird der Haken entfernt, lässt sich die OU wieder löschen.

Damit die Registerkarte angezeigt wird, muss in der Konsole Active Directory-Benutzer und -Computer über „Ansicht“ die Option „Erweiterte Features“ aktiviert sein (siehe Abbildung 4).

3. AD-Standorte, wichtige Gruppen und Benutzer vor dem Löschen schützen

Die Option zum Verhindern von versehentlichem Löschen kann auch für andere Objekte aktiviert werden – auch in der Verwaltung der Active Directory-Standorte und Dienste (siehe Abbildung 5). Natürlich lassen sich auf diesem Weg auch andere Objekte schützen, wie zum Beispiel Gruppen und Benutzerkonten. Es lohnt sich, diese Einstellung für besonders heikle Objekte zu setzen.

4. Regelmäßige Diagnose der Domänencontroller und Replikation

Auch wenn das Active Directory vermeintlich stabil läuft, ist es sinnvoll ab und zu mit „dcdiag“ und „repadmin /showreps“ den Zustand der Domänencontroller zu testen. Mit „dcdiag /v“ lässt sich eine umfassende Analyse durchführen. So werden Probleme in der Domäne sehr schnell erkannt. Die Ausführung dauert nur wenige Sekunden. Fehler können in einer Suchmaschine eingegeben werden, um das Problem zu beheben.

5. Nicht mehr notwendige Konten löschen oder deaktivieren

Benutzerkonten, die schon eine Weile nicht mehr genutzt werden, sollten aus Sicherheitsgründen deaktiviert oder sogar gelöscht werden. Dadurch werden Sicherheitslücken vermieden, in dem Angreifer nicht mehr benötigte Konten für Angriffe auf die Domäne nutzen. Beim Auslesen helfen Tools wie Lumax (siehe Abbildung 6).

6. Zeitsynchronisierung konfigurieren und überprüfen

Damit Active Directory funktioniert, darf die Uhrzeit auf den verschiedenen Servern nicht zu weit auseinanderlaufen, vor allem auf den Domänencontrollern. Es lohnt sich also, regelmäßig die Uhrzeit auf den Domänencontrollern zu überprüfen, und die Zeitsynchronisierung zu kontrollieren. Auch der PDC-Master der Umgebung muss dazu fehlerfrei funktionieren (siehe nächster Tipp).

Am einfachsten wird die Uhrzeit in der Eingabeaufforderung mit dem Befehl „net time“ überprüft. Mit „net time\\<Computer>“ kann die Uhrzeit über das Netzwerk abgefragt werden. So lässt sich schnell feststellen, ob alle Server und Domänencontroller noch synchron laufen (siehe Abbildung 7).

7. Betriebsmaster überprüfen

Die Betriebsmaster haben eine wichtige Aufgabe in Active Directory. Die Funktion der Betriebsmaster sollte regelmäßig überprüft werden. Wichtig ist, dass der Domänencontroller, der als Betriebsmaster konfiguriert ist, auch funktioniert und noch im Netzwerk vorhanden ist. Informationen zu den Betriebsmastern sind im Beitrag „So ersetzen Sie AD-Domänencontroller nach einem Ausfall“ zu finden. Der Beitrag „Verwalten der Betriebsmasterrollen von Domänencontrollern“ geht auf die Thematik ebenfalls ein.

8. Administratoren-Gruppenmitgliedschaften überprüfen

Administratoren sollten regelmäßig überprüfen, welche Benutzerkonten in Ihrer Gesamtstruktur über Administratorrechte verfügen. Dazu werden am besten die Gruppen kontrolliert, die in Active Directory-Benutzer und -Computer (dsa.msc) in der OU „Users“ zu finden sind. (siehe Abbildung 8).

9. Active Directory-Standorte und Subnetze überprüfen

Die verschiedenen Standorte und Subnetze sind im Snap-In „Active Directory-Standorte- und -Dienste“ zu finden. Es sollte regelmäßig überprüft werden, ob die Subnetze noch den korrekten Standorten zugewiesen sind, und ob die Domänencontroller noch abrufbar sind. In der Befehlszeile kann mit „nltest /dsgetsite“ getestet werden, ob ein Domänencontroller seinem richtigen Standort zugewiesen ist. Unterhalb der einzelnen Standorte sollte überprüft werden, ob die Replikationsverbindungen zwischen den Domänencontrollern noch vorhanden sind und funktionieren.

10. DNS-Datenbanken überprüfen und aufräumen

Die Namensauflösung spielt in Active Directory eine wichtige Rolle. Auf wichtigen Servern sollte ab und zu mit „nslookup“ überprüft werden, ob die Domänencontroller und andere Server noch erreicht werden können. Auch die DNS-Server sollten überprüft werden. Veraltete Einträge sollten aus den DNS-Zonen entfernt werden. Außerdem sollten regelmäßig die Einstellungen der DNS-Server überprüft werden.

In 14 Schritten zum perfekten Domänencontroller

Wege zum stabilen und schnellen Active Directory

In 14 Schritten zum perfekten Domänencontroller

27.10.17 - Active Directory ist in Windows-Netzwerken essentielle Grundlage für einen stabilen Betrieb. Damit das AD optimal funktioniert, sollten Administratoren bei der Installation der Domäne und der Domänencontroller besonders umsichtig vorgehen. Wir zeigen die 14 wichtigsten Schritte beim Installieren neuer Domänencontroller auf Basis von Windows Server 2012 R2 und Server 2016. lesen

So ersetzen Sie AD-Domänencontroller nach einem Ausfall

Systemrollen übertragen & Netzwerkeinstellungen anpassen

So ersetzen Sie AD-Domänencontroller nach einem Ausfall

11.04.18 - Fällt ein Domänencontroller aus und muss ersetzt werden, sind einige Nacharbeiten notwendig, um sicherzustellen, dass es im Netzwerk zu keinen Problemen kommt, weil Server den ausgefallenen Domänencontroller nicht mehr erreichen. Darauf müssen Sie achten: lesen

Administration von Domänen und AD-Strukturen

Active Directory Workshop Teil 5

Administration von Domänen und AD-Strukturen

14.05.18 - Damit ein Active Directory fehlerfrei funktioniert, müssen die Domänencontroller regelmäßig gewartet werden. Eine Überprüfung der Funktionsfähigkeit sollte regelmäßig auch für die Replikation der Domänencontroller, die richtige Namensauflösung und anderer Problemstellen erfolgen. Wir geben Tipps. lesen

AD für Einsteiger – Wozu dient der Verzeichnisdienst

Active Directory Workshop Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

03.05.18 - Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory ist hier eine ideale Lösung. Dieser fünfteilige Workshop zeigt, was Sie wissen müssen. lesen

Serverrollen im Überblick

Active Directory Workshop Teil 2

Serverrollen im Überblick

04.05.18 - Active Directory besteht nicht nur aus Domänencontrollern, sondern aus einer Vielzahl weiterer Serverdienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Wir geben einen Überblick. lesen

Planung, Umsetzung und Betrieb eines Domänennetzes

Active Directory Workshop Teil 3

Planung, Umsetzung und Betrieb eines Domänennetzes

07.05.18 - Um ein Domänennetzwerk aufzubauen, sind nur wenige Schritte notwendig. Allerdings lassen sich diese nur sehr schwer rückgängig machen. Vor dem Aufbau eines Active Directory lohnt es sich also, gut zu planen. lesen

Diese Active-Directory-Einstellungen müssen Admins kennen

Domänencontroller optimal und sicher konfigurieren

Diese Active-Directory-Einstellungen müssen Admins kennen

03.07.15 - Administratoren von Active-Directory-Umgebungen sollten einige Einstellungen kennen und regelmäßig überprüfen, damit das AD möglichst problemlos betrieben werden kann – vor allem in puncto der Sicherheit und Datenschutz. Die Einstellungen in diesem Beitrag sind für Windows Server 2012 R2 & 2016 sowie die meisten Vorgängerversionen gültig. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45392478 / Tipps & Tricks)