Suchen

Mehr Sicherheit, Stabilität und Schutz 10 Tipps für Active-Directory-Administratoren

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Die Verwaltung von Active Directory ist keine einfache Angelegenheit. Mit diesen 10 einfachen Schritten lassen sich Probleme in Active Directory aber bereits im Vorfeld vermeiden, Datenverlust verhindern und Betriebssicherheit herstellen.

Firmen zum Thema

Man sollte die Administration von Active Directory nicht auf die leichte Schulter nehmen – diese 10 Tipps helfen.
Man sollte die Administration von Active Directory nicht auf die leichte Schulter nehmen – diese 10 Tipps helfen.
(Bild: Joos / Microsoft)

In diesem Beitrag gehen wir auf einige interessante Möglichkeiten ein, um Active Directory besser und sicherer zu betreiben. Es lohnt sich aber auch einen Blick in die am Ende des Textes gelisteten Beiträge zu werfen, in denen wir die einzelnen Punkte genauer durchleuchten.

Bildergalerie

Bildergalerie mit 8 Bildern

1. Active Directory Papierkorb aktivieren und überprüfen

Mit dem Papierkorb in Active Directory können gelöschte Objekte wiederhergestellt werden, wenn andere Möglichkeiten nicht mehr zur Verfügung stehen. Damit das möglich wird, muss der AD-Papierkorb aktiviert werden. Außerdem sollte ab und zu überprüft werden, ob er noch verfügbar ist bzw. ob Objekte im Papierkorb gesammelt werden. Zwar lässt sich der Papierkorb nicht deaktivieren, dennoch sollte seine Funktion hin und wieder überprüft werden.

Der Papierkorb kann zum Beispiel über das Kontextmenü der Gesamtstruktur im Active Directory-Verwaltungscenter aktiviert werden (siehe Abbildung 1). Ist der Papierkorb aktiv, ist die Option zum Deaktivieren ausgegraut. Gelöschte Objekte sammelt das Active-Directory-Verwaltungscenter in der OU „Deleted Objects“ (siehe Abbildung 2).

2. Wichtige Organisationseinheiten vor dem Löschen schützen

Standardmäßig werden die meisten Organisationseinheiten vor dem versehentlichen Löschen geschützt. Dazu ist auf der Registerkarte „Objekt“ in den Eigenschaften der OU die Option „Objekt vor dem zufälligen Löschen“ aktiviert (siehe Abbildung 3). Wird der Haken entfernt, lässt sich die OU wieder löschen.

Damit die Registerkarte angezeigt wird, muss in der Konsole Active Directory-Benutzer und -Computer über „Ansicht“ die Option „Erweiterte Features“ aktiviert sein (siehe Abbildung 4).

3. AD-Standorte, wichtige Gruppen und Benutzer vor dem Löschen schützen

Die Option zum Verhindern von versehentlichem Löschen kann auch für andere Objekte aktiviert werden – auch in der Verwaltung der Active Directory-Standorte und Dienste (siehe Abbildung 5). Natürlich lassen sich auf diesem Weg auch andere Objekte schützen, wie zum Beispiel Gruppen und Benutzerkonten. Es lohnt sich, diese Einstellung für besonders heikle Objekte zu setzen.

4. Regelmäßige Diagnose der Domänencontroller und Replikation

Auch wenn das Active Directory vermeintlich stabil läuft, ist es sinnvoll ab und zu mit „dcdiag“ und „repadmin /showreps“ den Zustand der Domänencontroller zu testen. Mit „dcdiag /v“ lässt sich eine umfassende Analyse durchführen. So werden Probleme in der Domäne sehr schnell erkannt. Die Ausführung dauert nur wenige Sekunden. Fehler können in einer Suchmaschine eingegeben werden, um das Problem zu beheben.

5. Nicht mehr notwendige Konten löschen oder deaktivieren

Benutzerkonten, die schon eine Weile nicht mehr genutzt werden, sollten aus Sicherheitsgründen deaktiviert oder sogar gelöscht werden. Dadurch werden Sicherheitslücken vermieden, in dem Angreifer nicht mehr benötigte Konten für Angriffe auf die Domäne nutzen. Beim Auslesen helfen Tools wie Lumax (siehe Abbildung 6).

6. Zeitsynchronisierung konfigurieren und überprüfen

Damit Active Directory funktioniert, darf die Uhrzeit auf den verschiedenen Servern nicht zu weit auseinanderlaufen, vor allem auf den Domänencontrollern. Es lohnt sich also, regelmäßig die Uhrzeit auf den Domänencontrollern zu überprüfen, und die Zeitsynchronisierung zu kontrollieren. Auch der PDC-Master der Umgebung muss dazu fehlerfrei funktionieren (siehe nächster Tipp).

Am einfachsten wird die Uhrzeit in der Eingabeaufforderung mit dem Befehl „net time“ überprüft. Mit „net time\\<Computer>“ kann die Uhrzeit über das Netzwerk abgefragt werden. So lässt sich schnell feststellen, ob alle Server und Domänencontroller noch synchron laufen (siehe Abbildung 7).

7. Betriebsmaster überprüfen

Die Betriebsmaster haben eine wichtige Aufgabe in Active Directory. Die Funktion der Betriebsmaster sollte regelmäßig überprüft werden. Wichtig ist, dass der Domänencontroller, der als Betriebsmaster konfiguriert ist, auch funktioniert und noch im Netzwerk vorhanden ist. Informationen zu den Betriebsmastern sind im Beitrag „So ersetzen Sie AD-Domänencontroller nach einem Ausfall“ zu finden. Der Beitrag „Verwalten der Betriebsmasterrollen von Domänencontrollern“ geht auf die Thematik ebenfalls ein.

8. Administratoren-Gruppenmitgliedschaften überprüfen

Administratoren sollten regelmäßig überprüfen, welche Benutzerkonten in Ihrer Gesamtstruktur über Administratorrechte verfügen. Dazu werden am besten die Gruppen kontrolliert, die in Active Directory-Benutzer und -Computer (dsa.msc) in der OU „Users“ zu finden sind. (siehe Abbildung 8).

Bildergalerie

Bildergalerie mit 8 Bildern

9. Active Directory-Standorte und Subnetze überprüfen

Die verschiedenen Standorte und Subnetze sind im Snap-In „Active Directory-Standorte- und -Dienste“ zu finden. Es sollte regelmäßig überprüft werden, ob die Subnetze noch den korrekten Standorten zugewiesen sind, und ob die Domänencontroller noch abrufbar sind. In der Befehlszeile kann mit „nltest /dsgetsite“ getestet werden, ob ein Domänencontroller seinem richtigen Standort zugewiesen ist. Unterhalb der einzelnen Standorte sollte überprüft werden, ob die Replikationsverbindungen zwischen den Domänencontrollern noch vorhanden sind und funktionieren.

10. DNS-Datenbanken überprüfen und aufräumen

Die Namensauflösung spielt in Active Directory eine wichtige Rolle. Auf wichtigen Servern sollte ab und zu mit „nslookup“ überprüft werden, ob die Domänencontroller und andere Server noch erreicht werden können. Auch die DNS-Server sollten überprüft werden. Veraltete Einträge sollten aus den DNS-Zonen entfernt werden. Außerdem sollten regelmäßig die Einstellungen der DNS-Server überprüft werden.

Active Directory im Fokus

Bildergalerie mit 35 Bildern

(ID:45392478)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist