Mobile-Menu

Von Adaxes und Albus Bit über ManageEngine und Netwrix bis SysOp 27 Active-Directory-Tools für Admins

Von Thomas Joos

Anbieter zum Thema

Mit zusätzlichen Tools lassen sich viele Einstellungen in Active Directory einfacher vornehmen und/oder Berichte effektiver abfragen. Mit spezialisierten Werkzeugen lassen sich sogar komplexe AD-Umgebungen verwalten und interessante Informationen ausgelesen. Viele Tools stehen kostenfrei zur Verfügung, andere sind lizenzpflichtig – aber alle können Administratoren die Arbeit enorm erleichtern.

Die Windows-Bordmittel zur Verwaltung von Active-Directory-Umgebungen sind hochspezialisierten Tools oft unterlegen. Wir zeigen die wichtigsten AD-Helferlein für Admins.
Die Windows-Bordmittel zur Verwaltung von Active-Directory-Umgebungen sind hochspezialisierten Tools oft unterlegen. Wir zeigen die wichtigsten AD-Helferlein für Admins.
(Bild: © dizain - stock.adobe.com)

Es gibt zahlreiche Zusatztools, die Administratoren bei ihrer Arbeit mit Active Directory helfen. Wir zeigen in diesem Beitrag einige Tools für Active-Directory-Administratoren, die jetzt und in den nächsten Jahre das Potential haben, sich zu wertvollen Werkzeugen zu entwickeln. Da die meisten Tools kostenlos sind, lassen sich diese schnell und einfach testen.

Anmerkung der Redaktion: Wir haben diesen, erstmals am 06.05.2022 veröffentlichten Beitrag am 31.05.2022 und am 07.07.2022 jeweils um fünf weitere Werkzeuge (siehe Tools Nummer 18 bis 22 und 23 bis 27) erweitert.

Bildergalerie
Bildergalerie mit 73 Bildern

1. Microsoft Active Directory Explorer

Active Directory Explorer steht seit Dezember 2021 in einer neuen Version zur Verfügung. Wie alle Sysinternal-Tools muss auch der Active Directory Explorer nicht installiert werden. Das Tool ist daher auch ideal für den portablen Einsatz geeignet. Der Hauptzweck von Active Directory Explorer besteht darin, einen erweiterten Blick auf den Inhalt von Active Directory zu werfen.

So können sich Admins bspw. den Inhalt der Active-Directory-Datenbank anzeigen lassen, inklusive aller Attribute. Gleichzeitig können aber auch Berechtigungen bearbeitet und Snapshots von Active Directory erstellt werden. Nach dem Erstellen von mehreren Snapshots können diese im Active Directory Explorer auch miteinander verglichen werden. Nach dem Start des Tools müssen der Name oder die IP-Adresse eines Domänencontrollers und die Anmeldedaten eigegeben werden. Danach zeigt der Explorer den Inhalt der Datenbank von Active Directory an.

Der größte Vorteil von AD Explorer besteht vor allem darin, umfassende Eigenschaften von Objekten in Active Directory anzeigen zu können, ohne komplexe Dialogfelder und komplizierte Tools bedienen zu müssen. Für einen schnellen und informativen Blick auf Active Directory ist das Tool ideal.

2. Netwrix Auditor for Active Directory Community Edition

Der Netwrix Auditor for Active Directory Community Edition ermöglicht die Überwachung von Active Directory über den bekannten Netwrix Auditor. Das Tool kann auch Exchange, SQL-Server und Gruppenrichtlinien überwachen. Auch das Bearbeiten von Objekten in Active Directory oder das Hinzufügen und Entfernen von Benutzern und Computern kann mit dem Tool überwacht werden.

Nach der Installation von Netwrix Auditor kann das Tool uneingeschränkt genutzt werden. Nach 20 Tagen schalten sich die erweiterten Funktionen ab und es stehen nur noch die kostenlosen Funktionen der Community Edition zur Verfügung https://www.netwrix.com/freeware_limitations.html. Nach der Installation des Tools lassen sich zunächst die Standardeinstellungen definieren und danach die einzelnen Server anbinden, auch Active-Directory-Domänencontroller. Im Anschluss können Admins mit dem Werkzeug viele Aktionen in Active Directory zuverlässig überwachen.

3. MaxPowerSoft Active Directory Reports Lite

Active Directory Reports Lite bietet die Erstellung von Berichten aus Active Directory. Die kostenlose Version ist auf 200 Objekte in Active Directory begrenzt, kann dafür aber auch Überwachungsberichte zu Benutzern, Computern und Gruppenrichtlinien auswerten.

Wem die Funktionen der kostenlosen Version nicht ausreichen, der kann 14 Tage lang die Vollversion kostenfrei testen und danach eine Lizenz für 300 US-Dollar erwerben, wenn die Berichte dauerhaft ausgelesen werden sollen. Für den Einsatz ist das .NET Framework ab Version 3.5 notwendig.

4. AlbusBit AD FastReporter

AlbusBit AD FastReporter bietet zahlreiche vorkonfigurierte Berichte, mit denen Admins Infos aus Active Directory auslesen können. Wer eigene Berichte nutzen will, muss AD FastReporter lizenzieren Eine Lizenz für einen Administrator kostet 300 US-Dollar, um allen Admins eines Standortes eine Lizenz zuzuweisen, ist eine Lizenz für 850 US-Dollar notwendig. Es gibt aber enorm viele kostenlose Berichte, die nach Benutzern, Gruppen, Computer und anderen Objekten aufgeteilt sind.

Nach der Installation des Tools startet ein kleiner Einweisungsassistent, der die Möglichkeiten von AD FastReporter anzeigt. Danach stehen in der grafischen Oberfläche die verschiedenen Berichte auf der linken Seite zur Verfügung. Nach der Auswahl des Berichtes auf der linken Seite, kann mit "Generate" der Bericht in Echtzeit erstellt werden. Danach zeigt AD FastReporter den Bericht an. Über die Schaltfläche "Export" kann ein Export des Berichtes zu CSV, XLSX oder HTML erfolgen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

5. LDAPSoft Active Directory Browser

Mit dem LDAPSoft Active Directory Browser lassen sich das Active Directory durchsuchen und Einträge oder Attribute auslesen. Auch das Ausführen von LDAP-Anweisungen ist mit LDAPSoft Active Directory Browser möglich. Nach der Eingabe der Verbindungsdaten und der Authentifizierung an Active Directory, zeigt der LDAP-Browser den Inhalt von Active Directory an. Auch das Suchen und der Aufbau zu mehreren Domänencontrollern für den Vergleich des Inhalts ist mit LDAPSoft Active Directory Browser möglich.

Im unteren Bereich kann die Ansicht zwischen "Schema View" und herkömmlicher "Table View" umgeschaltet werden. Interessant ist, dass sich auch SQL-LDAP-Abfragen auf Active Directory ausführen lassen. Mit "Run" führt LDAPSoft Active Directory Browser die Abfrage auf den verbundenen Domänencontroller durch.

Bildergalerie
Bildergalerie mit 73 Bildern

6. Softerra LDAP Administrator 2021.1

Softerra LDAP Administrator 2021.1 ist das erste Tool in diesem Beitrag, das auch in einer eingeschränkten Version nicht kostenlos zur Verfügung steht. Dafür kann das Werkzeug unkompliziert 30 Tage lang getestet werden. Für Installation und Testphase sind weder Registrierung noch Seriennummer notwendig. Sofort nach der Installation steht Softerra LDAP Administrator bereit. Auch dieses Tool bietet einen LDAP-Explorer, mit dem Admins einen Überblick zu Active Directory erhalten. Neben der einfachen Ansicht von Active Directory können mit LDAP Administrator auch Verwaltungsaufgaben durchgeführt werden, um Eigenschaften von Objekten in Active Directory zu ändern.

7. Spiceworks People View

Mit Spiceworks People View lassen sich Informationen aus Active Directory auslesen. Auch Inventarisierungen sind mit dem Tool möglich. Für die Verwendung ist ein Konto bei Spiceworks notwendig, die Software überprüft aber nicht die Richtigkeit der eingegebenen Daten. Nach dem Start des Tools stehen die Funktionen zur Inventarisierung und dem Abrufen von Informationen aus dem Active Directory zur Verfügung. Nach der Einrichtung erfolgt über den Menüpunkt "Inventory" und "Active Directory Configuration" die Anbindung an die Domäne.

8. Adaxes Active Directory Management

Mit Adaxes lassen sich viele Routineaufgaben in Active Directory vereinfachen. Die Lösung kann auch Verwaltungsaufgaben in Microsoft 365 und für Microsoft Exchange vornehmen. Mit dem Tool können Admins über ein Webinterface Verwaltungsaufgaben vornehmen, und auch die Rechte dazu delegieren, zum Beispiel für den Benutzersupport.

Über das Tool können Benutzer angelegt und verwaltet sowie die Gruppenmitgliedschaft gesteuert werden. Auch das Verschieben der Benutzer und Gruppen in Organisationseinheiten ist möglich. Mit Adaxes können Admins auch Microsoft-365-Lizenzen zuweisen und Postfächer anlegen. Auch das Versenden von Informations-E-Mails an neue Benutzer lässt sich automatisieren. Hinzu kommen Self-Service-Funktionen für Anwender und den Help-Desk. Auch diese stehen kostenlos zur Verfügung.

9. Centrel Solutions XIA Automation

Mit XIA Automation können Admins das Provisioning von Benutzern automatisieren. Im Fokus des Tools stehen auch Massenänderungen für Active Directory, Exchange und Microsoft 365. Wer sich für Automatisierung interessiert, kann das Tool 30 Tage kostenlos testen.

Nach der Installation können über den Menüpunkt "Automation Task" mit "New Automation Task" und der Auswahl von "Active Directory" verschiedene Aufgaben automatisiert werden. Dazu gehört das Anlegen von Benutzerkonten aus CSV-Dateien, aber auch das Erstellen und Aktualisieren von Gruppen. Ein YouTube-Video zeigt alle Funktionen, und wie die Erstellung von Automatisierungsaufgaben funktioniert.

Neben Automatisierung der Verwaltungsaufgaben in Active Directory können mit XIA Automation auch Aufgaben für Dateiserver vorgenommen werden. Dazu gehören das automatisierte Erstellen und Freigeben von Verzeichnissen. Zusammen mit Active Directory können mit XIA Automation auch Postfächer in lokalen Exchange-Umgebungen erstellt werden. Dazu stehen Automatisierungsaufgaben über den Menüpunkt "Automation Task" mit "New Automation Task" und "Microsoft Exchange" zur Verfügung. Hier lassen sich auch Benutzerkonten in Microsoft 365/Office 365 erstellen.

Für Massenaufgaben können auch CSV-Dateien im Tool eingelesen und für das Anlegen von Benutzerkonten, inklusive Postfächern, genutzt werden. Mit dem Tool ist es auch möglich Aufgaben und Aktionen selbst mit C# zu programmieren und mit anderen Tools von XIA Automation zu verbinden.

Bildergalerie
Bildergalerie mit 73 Bildern

10. SysOpTools AD Query

Mit SysopTools AD Query kann das Active Directory kostenlos nach Benutzern und Computern durchsucht werden. Neben den Standardinformationen kann AD Query auch Schema- und LDAP-Informationen der Benutzer anzeigen. Das schlanke Tool ist schnell installiert und vor allem für Admins und Support-Mitarbeiter eine Hilfe, die häufig nach Benutzerkonten oder Computern in Active Directory suchen müssen. Für die Verwendung von AD Query ist das .NET Framework 3.5 oder neuer auf dem Rechner notwendig.

Nach der Installation und der Registrierung des kostenlosen Produktschlüssels über "File\Register" kann in der einfachen Oberfläche zunächst ausgewählt werden, nach was gesucht werden soll. Hier stehen im Dropdownmenü die Optionen "User Account" und "Computer Account" zur Verfügung. Sobald das Objekt gefunden ist, zeigt AD Query im unteren Bereich umfassend alle Informationen zu dem Objekt an, die in Active Directory gespeichert sind.

11. ManageEngine ADManager Plus

ManageEngine ADManager Plus ist ein Tool zur Verwaltung von Active Directory, das gleichzeitig in der Lage ist, umfassende Berichte zu erstellen. Neben Active Directory ist das Tool auch in der Lage, Microsoft Exchange und auch Microsoft 365 parallel anzubinden. Die Funktionen des Tools lassen sich 30 Tage kostenlos testen. Der Download ist schnell abgeschlossen, das gilt auch für die Installation. Nach der Installation startet die Verwaltungsoberfläche und es erfolgt die Anbindung an Active Directory. Danach stehen im oberen Bereich verschiedene Registerkarten zur Verfügung, mit denen zwischen den Verwaltungsaufgaben durchgeschaltet werden kann.

Zusätzlich lassen sich Berichte erstellen, die Informationen zu den Benutzern und Gruppen enthalten, zum Beispiel gesperrte oder deaktivierte Benutzerkonten, oder Benutzerkonten, die sich noch nicht an Active Directory angemeldet haben. Für bis zu 100 Objekte ist das Tool kostenlos. Wer alle Funktionen nutzen will, kann die Standard-Edition für 600 US-Dollar oder die Professional-Edition für 800 US-Dollar lizenzieren.

12. Specops GPUpdate

Specops GPUpdate ist ein kostenloses Tool, das sich direkt in Active Directory integriert. Dadurch können Admins im Netzwerk mit dem Tool über die AD-Rechte des Admin-Kontos Aufgaben auf den Zielcomputern ausführen. Dazu gehört das Abrufen der Gruppenrichtlinien auf dem Remote-Computer, aber auch Neustarts, Windows-Updates und vieles mehr.

Nach der Installation auf einem Computer, auf dem auch die Verwaltungstools von Active Directory installiert sind, steht zum Beispiel im Snap-In Active Directory-Benutzer und -Computer über das Kontextmenü der neue Menüpunkt "Specops GPUpdate" zur Verfügung. Dieser startet wieder eine grafische Oberfläche, mit der über das Netzwerk Verwaltungsaufgaben auf dem Remotecomputer durchgeführt werden können.

Außerdem sind nach der Installation von Specops GPUpdate weitere Menüpunkte im Kontextmenü der Remotecomputer verfügbar. Dazu gehören "Run Windows Update", "Start Computer", "Shut Down Computer" und "Restart Computer". Für alle Befehle öffnet das Tool eine eigene, grafische Oberfläche und zeigt an, ob die Ausführung des Befehls erfolgreich war.

Bildergalerie
Bildergalerie mit 73 Bildern
Bildergalerie
Bildergalerie mit 73 Bildern

13. ManageEngine Active Directory Replication Management Tool

Active Directory Replication Management Tool ist ein wertvolles Tool, wenn es um die Nachverfolgung von Replikationen zwischen den Domänencontrollern in Active Directory geht. Nach der Installation zeigt das Tool an, welche Domänencontroller sich untereinander replizieren und gibt detaillierte Informationen zu den Replikationen. Dazu gehören die USN-Nummer, Quell- und Ziel-DC sowie der Zeitpunkt der letzten erfolgreichen Replikation.

Bildergalerie
Bildergalerie mit 73 Bildern

Das Werkzeug arbeitet auch mit der PowerShell zusammen und lässt sich mit "Get-ReplicationManager" aufrufen. Außerdem kann in der grafischen Oberfläche direkt die Replikation aller Domänencontroller gestartet werden. Dazu steht die Schaltfläche "Replicate" zur Verfügung.

Über die Schaltfläche "Replicate Two DCs" ist es möglich einen manuellen Replikationsvorgang zwischen zwei beliebigen Domänencontrollern zu starten und die Vorgänge danach auszuwerten. Über "LastReplicationInformation" zeigt das Tool die aktuellen Replikationsvorgänge und deren Status an.

14. ManageEngine Domain and Domain Controllers Roles Reporter

Mit dem Tool Domain and Domain Controllers Roles Reporter lassen sich über "Get Domain and Domain Controllers" die vorhandenen Domänencontroller und gleichzeitig die den Domänencontrollern zugewiesenen FSMO-Rollen für ein Active Directory anzeigen.

Auch globale Kataloge zeigt das Tool übersichtlich in einer Oberfläche an. Nach dem Start können im Dropdownmenü "Domains" alle Domänen ausgewählt werden, für die ein Benutzer Zugriffsrechte hat. Mit der Schaltfläche "Clear" löscht das Tool den Inhalt des Fensters, mit "Get DCs" werden die Informationen aus der aktuellen Domäne ausgelesen.

15. ManageEngine Active Directory Domain Controller Monitoring Tool

ManageEngine Active Directory Domain Controller Monitoring Tool ermöglicht die einfache Überwachung der Domänencontroller einer Domäne. Nach der Anmeldung an der Domäne werden die Domänencontroller ausgewählt, deren Leistungsdaten überwacht werden sollen. Nach der erfolgreichen Anbindung sind über die verschiedenen Registerkarten Informationen zur Auslastung der Domänencontroller zu sehen. Hier stehen zum Beispiel die Auslastung der CPU, des Arbeitsspeichers, der Festplatte und weitere Daten zur Verfügung.

16. SysOpTools Account Manager

SysOpTools Account Manager ist ein kostenpflichtiges Tool, das aber 30 Tage kostenfrei getestet werden kann. Mit SysOpTools Account Manager können Admins Benutzerkonten verwalten. Das Tool muss nicht installiert werden, sondern lässt sich direkt starten.

Über das Suchfeld im Account Manager können Admins oder Support-Mitarbeiter nach den Benutzern suchen und erhalten sofort wichtige Informationen, wie Infos zum Ablauf oder Sperrstatus eines Kontos und, ob das Kennwort des Benutzers abgelaufen ist. Außerdem kann über das Tool das Kennwort des Benutzers zurückgesetzt werden.

Auch das Entsperren oder Sperren von Benutzerkonten ist direkt im Fenster möglich. Beim Beenden minimiert sich Account Manager in den Traybereich der Taskleiste und lässt sich jederzeit wieder an beliebiger Stelle starten. Das geht wesentlich schneller als die Benutzerverwaltung mit Bordmitteln.

17. SysOpTools Password Reminder PRO und Password Reset PRO

Die beiden Tools Password Reminder PRO und Password Reset PRO von SysOpTools stehen ebenfalls 30 Tage kostenlos für Tests zur Verfügung.

Mit Password Reset PRO können Anwender selbst nach Ablauf oder Sperre eines Kennwortes Änderungen an ihrem Konto vornehmen. Das Tool funktioniert auch außerhalb von Domänen, zum Beispiel für Benutzer aus Microsoft 365. Die Installation des Tools ist sehr einfach, was generell für alle Programme von SysOpTools gilt.

Für den Betrieb des Werkzeugs ist kein dedizierter Server notwendig. Benutzer können sich mit einem temporären oder abgelaufenen Domänen-Passwort an dem Tool anmelden, um ihr Kennwort zurückzusetzen. Das Tool funktioniert nativ in jedem mobilen oder Desktop-Webbrowser, es keine App-Installation notwendig.

Password Reminder PRO informiert Anwender automatisch per E-Mail, wenn ein Kennwort abläuft. Außerdem können Admins überprüfen, bei welchen Benutzern der Ablauf ansteht. Das Tool funktioniert auch für Microsoft 365 und Microsoft Azure.

Bildergalerie
Bildergalerie mit 73 Bildern

18. Microsoft Safety Scanner

Mit dem Microsoft Safety Scanner kann auf Servern und Domänencontrollern nach Viren, Spyware und unerwünschter Software gesucht werden. Das kostenlose Tool muss nicht installiert werden. Es reicht aus, die Datei "msert.exe" herunterzuladen und auf dem Domänencontroller auszuführen. Zunächst kann bei "Scan type" festgelegt werden, ob das System vollständig (Full scan) oder schnell (Quick scan) gescannt werden soll. Auch einzelne Verzeichnisse können gescannt werden. Danach scannt das Tool den Rechner und zeigt gefundene Malware an und entfernt diese auch.

19. CJWDEV AD Tidy

Mit dem kostenlosen Tool AD Tidy des Entwicklers CJWDEV lassen sich in Active Directory die inaktiven Benutzer- und Computerkonten auslesen. Für die Verwendung muss das Tool installiert werden. Es ist aber auch möglich, das Werkzeug auf Rechnern mit Windows 10/11 und aktivierten Remote Server Administration Tools (RSAT) für Active Directory zu betreiben. Nach dem Start des Tools kann entweder die komplette Domäne oder eine spezielle OU durchsucht werden. Standardmäßig ist bereits "Entire Domain" ausgewählt. Mit der Schaltfläche "Set Credentials" kann ausgewählt werden, mit welchen Anmeldedaten Active Directory durchsucht werden soll.

Im oberen Bereich kann ausgewählt werden, ob das Tool nach inaktiven Benutzern oder inaktiven Computern suchen soll. Mit "Start" beginnt der Vorgang. Um genauere Informationen zu erhalten, können noch die Optionen "Ping Test" und "Check DNS" ausgewählt werden. Anschließend versucht das Tool eine Verbindung zu allen Domänencontrollern aufzubauen, um nicht erfolgreiche Anmeldungen anzuzeigen. Danach sind im Fenster die Informationen zu den betreffenden Computern oder Benutzern zu finden. Auch die letzten Anmeldedaten und der zuletzt verwendete Domänencontroller ist an dieser Stelle zu sehen.

Das Tool bietet auch zahlreiche Einstellungsmöglichkeiten für Filter und Zeitrahmen, in denen die Benutzer inaktiv waren. Die Dazu verfügbaren Optionen sind über die Schaltflächen "Last Logon Date" und "Last Logon Settings" sowie "Edit Current Filter" zu finden. Über den Menüpunkt "Options können zahlreiche Einstellungen für das Tool vorgenommen werden. Einige Optionen stehen aber nur in der kostenpflichtigen Version des Tools zur Verfügung.

Mit dem Menüpunkt "Export" können die Daten in eine CSV-Datei exportiert werden. Auch der Export in eine Excel-Tabelle ist möglich. Charts können hier auch als XPS-Datei exportiert werden. Über den Menüpunkt können inaktive Konten auch gleich deaktiviert werden. Dazu wird das jeweilige Konto oder auch mehrere Konten markiert und die Deaktivierung mit "Disable" durchgeführt. Das Deaktivieren und auch das Aktivieren kann auch über das Kontextmenü von Computern durchgeführt werden.

20. CJWDEV Active Directory Reporting Tool

Berichte aus Active Directory erstellen und diese zu analysieren ist eine Aufgabe, die häufig notwendig ist, um sich einen Überblick im Active Directory zu verschaffen. Mit dem Active Directory Reporting Tool des Entwicklers CJWDEV können aus dem Active Directory heraus Berichte erstellt und exportiert werden. Dadurch lassen sich auch alle Computer oder Benutzer schnell und einfach auslesen. Das kostenlose Active Directory Reporting Tool kann über 190 Berichte erstellen. Die Berichte sind auf Basis der Objekte untergliedert, für die Berichte erstellt werden sollen. Grundsätzlich gibt es Berichte für Computer, Contacts, Containers & OUs, Groups, Group Policy Objects, Printers und Users.

AD Info ist in zwei Editionen erhältlich, der kostenlosen Edition und der Standard-Edition. Die kostenlose Version ist für den persönlichen und kommerziellen Gebrauch kostenlos und zeitlich nicht begrenzt. Die Einschränkungen der kostenlosen Version liegen in den Exportmöglichkeiten und den Abfragen. Die genauen Informationen dazu sind auf der Produktseite zu finden.

Nach der Installation und dem Start stehen auf den verschiedenen Registerkarten unterschiedliche Berichte zur Verfügung. Mit einem Doppelklick können einzelne Attribute ausgewählt werden, die AD Info aus dem Active Directory auslesen soll. Danach führt das Tool die Abfrage durch und zeigt die Ergebnisse im Fenster an. Über die Schaltfläche "Export Query Results" kann das Ergebnis des Berichtes in eine CSV-, HTML- oder Textdatei exportiert werden. Wer eigene Abfragen erstellen will, muss für knapp 60 US-Dollar eine Lizenz der Standard-Edition kaufen. Die Möglichkeiten der Abfragen können aber auch mit der kostenlosen Version angezeigt werden.

Über "Tools\Domain Settings" kann wiederum eingestellt werden, aus welcher Domäne das Tool Informationen auslesen soll und welche Authentifizierungsinformationen dazu verwendet werden sollen. Auch die verwendeten Domänencontroller können an dieser Stelle konfiguriert werden.

Bildergalerie
Bildergalerie mit 73 Bildern

21. SystemTools Software Hyena

Das Active-Directory-Verwaltungstool Hyena von SystemTools Software steht als 30-Tages-Testversion zur Verfügung. Danach kostet eine Lizenz in etwa 330 US-Dollar. Das Tool stellt ein zentrales Werkzeug für die Verwaltung von Active Directory zur Verfügung. Alle Funktionen von Hyena befinden sich in der zentralen Oberfläche. Hier lassen sich die verschiedenen Benutzer, Gruppen, Computer und andere Objekte in Active Directory umfassend verwalten. Die Installation erfolgt normalerweise auf Arbeitsstationen. Hier unterstützt das Tool auch Windows 11 und Windows Server 2022 sowie die Vorgängerversionen. Mit einer Größe von gerade 20 MB ist Hyena ein echtes Software-Leichtgewicht. Die Installation ist schnell abgeschlossen, für den Download ist keine Registrierung notwendig.

Nach dem Start ist die Bedienung sehr intuitiv. Administratoren können sich durch die Objekte klicken und auch die rechte Maustaste steht zur Verfügung. Hier sind die einzelnen Aufgaben zu sehen, die mit den verschiedenen Objekten durchgeführt werden können. Für die einzelnen Server können an dieser Stelle zum Beispiel zentral die Ereignisanzeigen geöffnet werden. Auch die Steuerung der Dienste, Freigaben und WMI-Abfragen lassen sich an dieser Stelle durchführen. Über das Kontextmenü von "Gruppen" und "Benutzer" können auch gleich neue Gruppen oder Benutzer angelegt werden. Auch das Verwalten vorhandener Gruppen ist an dieser Stelle möglich.

Über das Kontextmenü der angebundenen Domänen können die FSMO-Rollen auf einen Blick angezeigt werden. Hier lassen sich auch die Kennwortrichtlinien steuern, die gelöschten Objekte anzeigen und die Synchronisierung von allen Domänencontrollern durchführen. Für alle angebundenen Objekte und auch Computer ist es möglich einzelne Informationen abzufragen, zum Beispiel auch den freien Festplattenplatz.

22. Active Directory Pro AD-Tools

Das AD Pro Toolkit bietet verschiedene Tools zur Verwaltung von AD an. Mit dem AD Pro Toolkit von Active Directory Pro erhalten Admins eine Sammlung von 13 Tools zur Verwaltung von Active Directory. Darunter ist auch das Active Directory User Unlock Tool sowie weitere Tools, die Admins das Leben erleichtern. In einer gemeinsamen Oberfläche sind folgende Tools enthalten:

  • Bulk User Import
  • Bulk User Updater
  • AD Cleanup Tool
  • Last Logon Reporter
  • User Export
  • Account Lockout Tool
  • Group Reporter
  • Group Management Tool
  • NTFS Permission Tool
  • Local Group Report Tool
  • Active Directory PowerShell Reports
  • AD Health Monitor
  • Service Account Finder

Neun der insgesamt 13 Tools können auch einzeln heruntergeladen und kostenlos getestet werden. Für das Gesamtpaket ist auf jeden Fall eine kostenpflichtige Lizenz nötig. Eine Lifetime-Lizenz aller gemeinsamen Tools kostet für 3 Admins 299 US Dollar, für 10 Admins 599. Nach dem Start von Active Directory Toolkit stehen auf der linken Seite die einzelnen Tools zur Verfügung. Nach dem Anklicken eines Tools, zum Beispiel dem AD Cleanup oder dem User Unlock-Tool, können auf der rechten Seite Einstellungen für das Tool vorgenommen werden.

Sind alle Optionen so angepasst wie erforderlich, kann die jeweilige Aktion über "Run" gestartet werden. Die Tools bieten für die einzelnen Aktionen auch die Möglichkeit, alle Objekte auf einmal zu steuern, zum Beispiel das Entsperren von allen Benutzerkonten auf einmal. Neben Verwaltungsaktionen für Benutzer und Gruppen kann Active Directory Pro Toolkit auch eine Analyse von Active Directory durchführen. Auch das Überprüfen von Gruppenmitgliedschaften ist mit dem Toolkit möglich.

Neben Verwaltungsaufgaben kann das Active Directory Pro Toolkit auch Berichte über die Gruppenmitgliedschaften in Active Directory erstellen oder Berichte über die letzten Anmeldungen in Active Directory erzeugen. Auch diese können umfassend angepasst und anschließend exportiert werden. Die Arbeitsweise mit dem Tool ist sehr einfach, eine lange Einarbeitung ist nicht notwendig.

Alle Tools verwenden die Anmeldeinformationen, die Domäne und den Domänencontroller, der bei "Domain" und "Connection Details" angegeben ist. Die Daten lassen sich jederzeit ändern und gelten anschließend für alle Tools im Toolkit.

Bildergalerie
Bildergalerie mit 73 Bildern

23. Dovestones Software AD Reporting

Mit AD Reporting von Dovestones Software ist es möglich, schnell und einfach umfassende Berichte zu einzelnen Bereichen in Active Directory zu erstellen. Die umfassenden Berichte können anschließend in verschiedene Dateiformate exportiert werden. Für einen einzelnen Administrator kostet das Produkt 300 US-Dollar, es ist aber ohne Registrierung und lange Aktionen möglich, das Produkt umfassend kostenlos zu testen. Die Installation ist in wenigen Sekunden abgeschlossen, danach steht nach dem Start die Oberfläche zur Verfügung, um umfassende Berichte zu erstellen. Neben Active Directory kann das Tool auch Berichte für Microsoft 365/Office 365 erstellen. Auch Abfragen und Berichte zu abgelaufenen Kennwörtern und den Benutzern, die demnächst ihr Kennwort ändern müssen, sind möglich.

Nach dem Start wird über "Connections" zunächst die Anmeldung an der Active-Directory-Domäne oder an Microsoft 365/Office 365 durchgeführt. Über "Domain" kann die Domäne ausgewählt werden, für die das Tool Berichte erstellen soll. Bei "Domain Query" muss die jeweilige Domäne noch einmal explizit ausgewählt werden. Danach muss über "Browser" noch einmal der Pfad ausgewählt werden. Die Auswahl ist deswegen so kompliziert, weil AD Reporting zahlreiche Berichte, Filter und Optionen unterstützt. Nachdem alle Auswählmöglichkeiten getroffen sind, erfolgt die Erstellung des Berichtes mit "Start".

Über die Schaltflächen "Users", "Passwords", "Computers" und "Groups" können weitere Abfragen erstellt werden, welche die aktuellen Berichte filtern. Über "Custom Reports" können anschließend noch individuelle Berichte definiert und mit "Create Report" erstellt werden. In hybriden Netzwerken kann bei "Connection" parallel zum Active Directory auch gleich die Anmeldung an Microsoft 365 bzw. Office 365 erfolgen. Dadurch können direkt in der Oberfläche auch Abfragen aus der Cloud durchgeführt werden, parallel zum Active Directory.

24. Active Directory Pro AD User Export Tool

Mit dem Active Directory User Export Tool lassen sich alle Benutzer in Active Directory in eine CSV-Datei exportieren, inklusive aller Attribute und Werte. Der Exportvorgang kann in einer grafischen Oberfläche durchgeführt werden. Für die Bedienung des Tools sind keinerlei PowerShell-Kenntnisse oder Skript-Erfahrungen notwendig. Das Tool kostet in einer 1-Jahres-Lizenz etwa 200 US-Dollar.

Nach der Installation steht das AD User Export Tool über den Menüpunkt "User Export" zur Verfügung. Zunächst kann an dieser Stelle ausgewählt werden, ob die komplette Domäne oder nur Benutzer einzelner OUs oder Sicherheitsgruppen exportiert werden sollen. Bei "Change Columns" können die Attribute ausgewählt werden, die bei dem Vorgang mit exportiert werden sollen. Bei "Export" kann ausgewählt werden, ob "Export all Rows" nach "ASCII", "Unicode" oder nach "UTF-8" exportiert werden soll. Mit "Run" wird der Vorgang gestartet.

Die Anbindung an Active Directory läuft über die Menüpunkte "Domain" und "Connection Details". Um nur die Benutzer aus einer einzelnen Gruppe oder OU zu exportieren, wird die Option "Select OU or Group" ausgewählt. Mit "Browse" zeigt das User Export Tool die einzelnen OUs oder Gruppen an. Diese können anschließend exportiert werden. Benutzereigenschaften können mit dem Werkzeug zudem entfernt werden.

25. Netwrix SbPAM

Bei Netwrix SbPAM (Stealthbits Privileged Activity Manager) handelt es sich um ein Tool, mit dem Just-In-Time-Zugriffe in Active Directory effektiv gesteuert werden können. Das Privileged Access Management Tool bietet eine übersichtliche, grafische Oberfläche, in der Admins für Verwaltungsaufgaben neue Benutzerkonten erstellen oder aktivieren können. Wenn der Vorgang abgeschlossen ist, können nicht nur die Rechte vom Konto entfernt werden, sondern es ist auch möglich, das Konto zu löschen, zu deaktivieren oder von der Gruppe der Domänenadmins zu entfernen. Alle Aufgaben und durchgeführten Aktionen können in der grafischen Oberfläche des Tools überwacht werden. In einem zentralen Dashboard können alle notwendigen Aktionen zentral konfiguriert und auch gleich getestet werden.

Die Integration in Active Directory kann als lokale Installation oder über eine virtuelle Appliance durchgeführt werden. Für die Einrichtung und Verwendung des Tools ist etwas Einarbeitung notwendig. Das Handbuch zu Netwrix SbPAM steht ebenfalls zum Download zur Verfügung. Nach der Installation (die notwendigen Installationsvoraussetzungen, wie den IIS, .NET und PostgresSQL installiert der Assistent über die heruntergeladenen Installationsdateien) im lokalen Rechenzentrum oder der Inbetriebnahme der Appliance, kann das Dashboard über einen lokalen Browser mit der Adresse https://localhost:6500 aufgerufen werden. Nach der Einrichtung über einen Assistenten können die einzelnen Server als Ressourcen in der Weboberfläche angebunden werden. Danach können in der Oberfläche für "Create Session" neue Admin-Sitzungen erstellt werden.

Bildergalerie
Bildergalerie mit 73 Bildern

26. CJWDEV Managed Service Accounts GUI

Um verwaltete Benutzerkonten für Dienste anzulegen, sind normalerweise Befehle in der PowerShell notwendig. Das kostenlose Tool Managed Service Accounts GUI des Entwicklers CJWDEV kann das aber auch in der grafischen Oberfläche durchführen. Das macht das Anlegen von verwalteten Benutzerkonten für Dienste sehr einfach. Das Tool kann nicht nur verwaltete Dienstkonten anlegen, sondern auch alle vorhandenen verwalteten Dienstkonten in der Domäne anzeigen und verwalten. Das Tool funktioniert mit Domänencontrollern auf Basis von Windows Server 2019 und Windows Server 2022. Das Tool kann zwar auch auf Servern installiert werden, allerdings sollte in produktiven Umgebungen dazu eine Arbeitsstation mit installierten RSAT (Remote Server Administration Tools) für Active Directory und Windows 10/11 zum Einsatz kommen. Bevor Sie gruppierte Konten anlegen, müssen Sie zunächst einen neuen Masterschlüssel für die Domäne erstellen:

Add-KdsRootKey -EffectiveImmediately

Standardmäßig dauert es ab diesem Moment 10 Stunden, bis Sie verwaltete Dienstkonten anlegen können. In Testumgebungen können Sie den Zeitraum mit dem folgenden Befehl umgehen:

Add-KdsRootKey -EffectiveTime ((Get-Date).addhours(-10))

Nach dem Start des Tools lassen sich mit "New" neue verwaltete Dienstkonten und auch gruppierte, verwaltete Dienstkonten erstellen. Diese können wiederum für mehrere Dienste und auch auf mehreren Servern genutzt werden.

Über "Additional Options" kann auch ein Ablaufdatum für verwaltete Dienstkonten hinterlegt werden. Nach dem Anlegen von neuen, verwalteten Dienstkonten, lassen sich diese auch Computern zuordnen. Parallel dazu ist es möglich die Zuordnung aufzuheben und auch verwaltete Dienstkonten zu entfernen. Die dazu gehörigen Optionen sind über die Schaltflächen im oberen Bereich erreichbar.

27. CJWDEV NTFS Permissions Reporter

Mit dem kostenlosen Tool NTFS Permissions Reporter können die Berechtigungen von kompletten Verzeichnisstrukturen erfasst und als Bericht gespeichert werden. Das Tool ist in Active-Directory-Gesamtstrukturen ideal, da es die verschiedenen Gruppen und Benutzerkonten erfasst, die Zugriff auf einzelne Dateien oder Verzeichnisse haben. Die Berichte können auch exportiert werden. Bereits die kostenlose Version beherrscht die meisten notwendigen Funktionen. Auch Filter können gesetzt werden. Die Ansicht kann zwischen einer Baum- und einer Tabellenstruktur gewechselt werden. In komplexen AD-Strukturen ist es auch möglich, einzelne Verzeichnisse auszublenden.

Das Tool kann auch komplette Laufwerke oder Freigaben auf einmal scannen. Nach der Auswahl des Laufwerks oder des Verzeichnisses, startet der Scan-Vorgang mit "Run Report". Danach scannt NTFS Permissions Reporter die Verzeichnisstruktur und zeigt im Fenster das Ergebnis in Echtzeit an. Anschließend kann das Ergebnis auch als Bericht exportiert werden. Mit "Export Report" kann der Bericht mit verschiedenen Spalten als HTML, CSV, Excel oder NTPR exportiert werden.

Über Tools\Options können die Einstellungen von NTFS Permissions Reporter angepasst werden. Berichte können auch automatisiert als E-Mail verschickt werden. Dazu steht der Menüpunkt "Email report results when complete" bereit. Allerdings ist für diese Funktion eine Lizenzierung der Standard-Edition von NTFS Permissions Reporter notwendig. Das Tool kostet pro Benutzer etwa 150 US-Dollar. Wer erweiterte Filter erstellen will, kann die Schaltfläche "Edit" bei "Filter" nutzen. Auch hier ist jedoch eine Lizenz der Standard-Edition notwendig.

Bildergalerie
Bildergalerie mit 73 Bildern
Bildergalerie
Bildergalerie mit 73 Bildern

(ID:48263224)