Mobile-Menu

Microsoft-Netzwerke besser verwalten 9 Tipps für die Verwaltung von Active Directory

Von Thomas Joos

Um Active Directory optimal zu verwalten, sind bei IP-Insider.de haufenweise Praxisbeiträge zu finden. In diesem Beitrag zeigen wir einige schnell umsetzbare Tipps, mit denen sich die Verwaltung von Active Directory auch noch deutlich effektiver betreiben lässt.

Anbieter zum Thema

Wartung und Pflege sind besonders in Active-Directory-Umgebungen wichtig – und mit diesen Tipps einfacher umzusetzen.
Wartung und Pflege sind besonders in Active-Directory-Umgebungen wichtig – und mit diesen Tipps einfacher umzusetzen.
(Bild: © Tatjana Balzer - stock.adobe.com)

Geht es um die Verwaltung von Active Directory, spielen vor allem folgende Punkte eine wichtige Rolle:

Das Active Directory sollte gut organisiert sein. Mit Organisationseinheiten können die verschiedenen Objekte optimal strukturiert werden. Daher empfiehlt auch Microsoft, dass zum Beispiel Computer- und Benutzerkonten nicht in denselben Organisationseinheiten gespeichert werden sollten. Bei einer optimalen Struktur können auch Gruppenrichtlinien optimal eingesetzt werden, um Ordnung und Sicherheit zu schaffen.

Durch eine richtige OU-Struktur ist es darüber hinaus auch möglich, Berechtigungen zu delegieren. Dadurch können Verwaltungsaufgaben einzelner Organisationseinheiten leichter an verschiedene Gruppen weitergeleitet werden, was die IT-Abteilung entlastet. Eine optimale OU-Struktur bietet zahlreiche Vorteile, die das Leben der Admins und auch der Benutzer deutlich erleichtern.

Tipp 1: Eine ideale OU-Struktur

Um die richtige OU-Struktur zu finden, sollten idealerweise zunächst Benutzerkonten und Computerkonten voneinander getrennt werden. Da OUs auch in einer Baumstruktur angeordnet werden können, ist es sinnvoll, für einzelne Abteilungen untergeordnete Ous zu erstellen.

Darüber hinaus empfehlen viele Experten, in den verschachtelten OUs für spezielle Funktionen eigene OUs zu erstellen. Beispiele bei Computern sind OUs für Testcomputer, bestimmte Server oder auch Dienstkonten. Dadurch können Gruppenrichtlinien angepasst genau für diese Objekte umgesetzt werden, ohne mit komplexen Filtern arbeiten zu müssen, die viel Potential für Fehler haben können.

Gleichzeitig erreichen Unternehmen dadurch auch noch eine übersichtliche Struktur, durch die leicht navigiert werden kann und bei der schnell ersichtlich ist, wo sich die einzelnen Produkte befinden.

Tipp 2: Eigene OUs für Sicherheits-Gruppen und Server

Durch das Erstellen einer eigenen OU für die Sicherheitsgruppen im Netzwerk, ist sichergestellt, dass alle Gruppen schnell und einfach gefunden werden können und nicht in verschiedenen OUs verteilt sind. Das verbessert die Übersicht deutlich und sorgt für mehr Sicherheit, da die Gruppen immer im Blick bleiben und dadurch sehr viel leichter abzusichern sind.

Gleichzeitig sollten auch die Server in eine eigene OU kommen. Der Vorteil liegt auch hier darin, dass Server schneller gefunden werden können und Gruppenrichtlinien leichter umsetzbar sind. Innerhalb der OU für die Server können natürlich weitere, untergeordnete OUs erstellt werden. Auch das ermöglicht wieder eine spezifische Zuordnung von Gruppenrichtlinien.

Tipp 3: Standardisierte Namenskonventionen

Ein wichtiger Punkt bei der Ordnung in Active Directory sind durchdachte Namenskonvention. Zusammen mit einer optimalen OU-Struktur lassen sich Objekte dann schneller finden und einheitlicher verwalten. Häufig kommen bspw. bei Anmeldenamen eine Kombination aus einem Buchstaben oder Initialen in Verbindung mit dem Nachnamen zum Einsatz.

So wird aus "Thomas Joos" zum Beispiel "joost" oder "tjoos". Teilweise trennen Unternehmen auch Vor- und Nachname mit Sonderzeichen, zum Beispiel "thomas.joos". Gibt es identische Namen, können auch mittlere Initialen zum Einsatz kommen. Selten sinnvoll ist die Verwendung von abgekürzten Namen oder Zahlen, weil das die Anzeige verwirrend gestaltet.

Bei Computerkonten oder anderen Geräten kann es sinnvoll sein, mit einem Buchstaben der Eigenschaft des Computers zu beginnen, zum Beispiel "S" für Server, "W" für Workstations, "N" für Notebooks, "P" für Drucker oder "VM" für virtuelle Computer. Auch bei Computern kann es sinnvoll sein, den Namen der Abteilung mit zwei Buchstaben innerhalb des Namens zu verwenden und den Rest mit Nummern abzukürzen, zum Beispiel "W-HR-1456".

Bei Gruppen kann es sinnvoll sein mit einer Kombination aus Abteilung/Gruppe plus Ressource plus Berechtigungen zu arbeiten. Zusätzlich sollte ein Präfix oder Suffix genutzt werden, um welche Art von Gruppe es sich handelt, zum Beispiel "L" für domänen-lokale Gruppen, "G" für globale Gruppen und "U" für universelle Gruppen. So kann die Helpdesk-Gruppe, die für das Ändern von Kennwörtern verantwortlich ist und über eine globale Gruppe abgewickelt wird mit "Helpdesk-PasswordReset-G" abgekürzt werden, oder die Gruppe in der Personalabteilung für Schreibberechtigungen auf die Freigaben der Abteilung mit "HR-HRShare-RW-G". Generell kann es bei Abteilungen sinnvoll sein, mit Abkürzungen aus zwei Buchstaben zu arbeiten, damit die Namen nicht zu lange werden.

Dadurch sind bereits über den Namen der Gruppe wichtige Informationen verfügbar, ohne die Eigenschaften der Gruppe oder die Dokumentation zu kennen. Wenn die Gruppen dann auch noch in der richtigen OU-Struktur angeordnet sind, geht auch bei einer großen Anzahl an Gruppen der Überblick nicht verloren.

Tipp 4: Core-Server verwenden

Für die Sicherheit und Leistung von Windows-Servern in Active Directory ist die GUI schon lange nicht mehr auf jedem Server notwendig. Mit dem Windows Admin Center lassen sich Core-Server genauso verwalten, wie herkömmliche Server, und auch die GUIs in Active Directory ermöglichen die Anbindung von Core-Servern auf einfache Art und Weise. Core-Server bieten eine geringere Angriffsfläche und sind gleichzeitig für fast alle relevanten AD-Dienste nutzbar. Domänencontroller, DHCP und DNS können problemlos mit Core-Servern abgewickelt werden.

Tipp 5: Die Möglichkeiten zur AD-Diagnose bekannt machen

Admins sollten sich umfassend mit den zahlreichen Diagnosemöglichkeiten von Active Directory vertraut machen. Treten Fehler auf, sind die Tools bekannt und können sofort eingesetzt werden. Hinzu kommt der Vorteil, dass bei regelmäßigen Diagnosen von AD kleine Fehler schnell auffallen und sich dadurch große Fehler vermeiden lassen. Im Beitrag "Active-Directory-Troubleshooting mit der PowerShell" gehen wir auf dieses Thema ein. In diesem Beitrag sind auch weiterführende Links zu weiteren Artikeln auf IP-Insider zu finden, die dabei helfen, Diagnosen für das AD zu erstellen und Fehler zu beheben. Die beiden wichtigsten Befehle in diesem Bereich sind "dcdiag" und "repadmin /showrepl".

Tipp 6: Active Directory regelmäßig bereinigen

Regelmäßig einmal im Monat (ggfs. auch öfters) ist es sinnvoll, Active Directory von alten Konten zu bereinigen und nicht mehr benötigte Objekte zu entfernen. Auf IP-Insider sind auch dazu Informationen zu finden, welche Tools dabei helfen. Unnötige Objekte stellen ein Sicherheitsrisiko dar und sind gleichzeitig auch eine nicht notwendige Belastung für den Server. Generell kann das Datum der letzten Anmeldung eines Benutzerkontos in der PowerShell ausgelesen werden:

Get-ADUser „<Name>“ -Properties LastLogonDate | FT -Property Name, LastLogonDate -A

Benutzerkonten die bereits längere Zeit gesperrt sind und die nicht mehr benötigt werden, lassen sich ebenfalls in der PowerShell aufspüren und dann auch löschen:

Get-ADUser -Filter {(Enabled -eq $true)} -Properties LastLogonDate | select samaccountname, Name, LastLogonDate | Sort-Object LastLogonDate

Tipp 7: Mit Beschreibungen arbeiten

Für nahezu jedes Objekt in Active Directory gibt es die Möglichkeit, eine Beschreibung zu hinterlegen. Die Beschreibungen werden in den meisten Fällen auch in den Verwaltungstools angezeigt. Damit und in Ergänzung zu den sprechenden Benutzernamen steigt die Übersicht für die Objekte.

Tipp 8: Berechtigungen für Aufgaben delegieren

Über das Kontextmenü von Organisationseinheiten kann der Assistent zum Delegieren von Verwaltungsaufgaben gestartet werden. Durch eine saubere und optimale OU-Struktur kann zum Beispiel die Verwaltung einzelner Aufgaben an Benutzer delegiert werden, die eigentliche keine Administratoren sind. Eine hier gerne delegierte Aufgabe ist bspw. das Recht, Kennwörter von Benutzern zurückzusetzen. Hier gibt es aber weit mehr Möglichkeiten, die über den Assistenten leicht umsetzbar sind. Beispiele dafür sind das Verwalten von Gruppenmitgliedschaften, das Hinzufügen von Computern zu Domänen oder das Anlegen von Benutzerkonten.

Tipp 9: Active Directory überwachen

Active Directory und die Domänencontroller sollten überwacht werden. Dazu stellt Microsoft Überwachungsrichtlinien zur Verfügung. Um Zugriffe auf Active Directory zu überwachen, besteht der erste Schritt darin, eine bestehende Richtlinie zu bearbeiten, die den Domänencontrollern zugewiesen ist, zum Beispiel die "Default Domain Controller Policy", oder eine neue Richtlinie zu erstellen und den Domänencontrollern zuzuweisen. Die Einstellungen zur Überwachung finden sich in der Richtlinienüberwachung im Bereich "Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie".

Um Anmeldungen in Active Directory zu überwachen, muss die Richtlinie "Anmeldeereignisse überwachen" aktiviert sein. Die erweiterten Einstellungen sind über "Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration" zu finden. Wie bei der normalen Überwachung ist es auch hier sehr empfehlenswert, eine eigene Gruppenrichtlinie für Überwachungseinstellungen zu erstellen und zuzuweisen.

Active Directory im Fokus
Bildergalerie mit 55 Bildern

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48330444)