:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/a1/7da13c070fec8d616ec16b45bd7f5506/0111560991.jpeg "Die NetCrunch-Oberfläche bietet eine übersichtliche Menüstruktur und integrierte sowohl On-Premises- als auch Cloud-Infrastrukturkomponenten. (Bild: AdRem Software - Joos)")
:quality(80)/p7i.vogel.de/wcms/e2/2e/e22ee822cafaa471a4dbee79a58433a5/0111567753.jpeg "Das IP-Adressmanagement ist seit je her wichtig. Besonders wichtig wird die Planung und Verwaltung von IP-Adressen aber dann, wenn lokale Infrastruktur und Cloud-Dienste aufeinander abgestimmt werden müssen. (Bild: © ronstik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/53/92535bf443113da1720a610be6a24a60/0111514107.jpeg "Offene Ports können schnell zu einem Sicherheitsrisiko werden. Geeignete Tools helfen, Problemstellen zu identifizieren und Sicherheitslücken zu schließen. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/18/7b180d83dd1052fa83dcc38ca2a83534/0111273841.jpeg "Alles normal – auf den ersten Blick! Doch tatsächlich wurde dieses Auto durch den Verkehr in Düsseldorf von einem Menschen in Hamburg gesteuert. (Bild: Mira)")
:quality(80)/p7i.vogel.de/wcms/2c/3b/2c3beacac6ad84f45bd7f9e6c1b8fc8e/0111162157.jpeg "Im Universitätsklinikum Frankfurt soll künftig in allen Innenräumen 5G zur Verfügung stehen. (Bild: Universitätsklinikum Frankfurt)")
:quality(80)/p7i.vogel.de/wcms/58/d8/58d8a9f842f457385f82c4029c0b8e20/0111023242.jpeg "Campus-Netze der Telekom ermöglichen Geschäftskunden maßgeschneiderte Konnektivität für digitale Anwendungen auf ihrem Betriebsgelände. (Bild: Deutsche Telekom / GettyImages / Traitov)")
:quality(80)/p7i.vogel.de/wcms/d2/e0/d2e0dcd5c927b295845fa8ff3d258b7e/0110997301.jpeg "Ericsson Private 5G eigne sich für die Fertigung und andere industrielle Umgebungen wie Häfen, Bergbau und Energieversorgung. (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/d4/bc/d4bcb762ec60c8938962624c43de3374/0111393071.jpeg "Der Trendnet TI-BG62i wird inklusive einer Halterung für die DIN-Rail-Montage geliefert. (Bild: Trendnet)")
:quality(80)/p7i.vogel.de/wcms/2b/b6/2bb659c16d0d3ae0b1e0024085e71dd8/0111393098.jpeg "An den AP3000 von Extreme Networks können auch externe Antennen angeschlossen werden. (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/c1/78/c178285c6912802a7166b3ed33e9bbf8/0111525684.jpeg "Die Switches der XGS2220-Serie können im Stand-alone-Modus oder über die Cloud gemanagt werden. (Bild: Zyxel)")
:quality(80)/p7i.vogel.de/wcms/51/14/511437e5d0b6b7f218b239b2a25de9c7/0111362151.jpeg "Die Tabelle mit den Ergebnissen eines Wi-Fi-Scans zeigt die SSID, das BSS, Frequenz- und Kanalinformationen sowie die Signalstärke für jedes Wi-Fi-Netzwerk. (Bild: Allegro Packets)")
:quality(80)/p7i.vogel.de/wcms/9a/12/9a12540d068597e80b0c58a00739e881/0111831135.jpeg ""Übergreifendes Netzwerk-Monitoring für IT und OT", ein Interview von Oliver Schonschek, Insider Research, mit Felix Berndt von der Paessler AG. (Bild: Vogel IT-Medien / Paessler AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/bc/bf/bcbfd1989b64de7d1efcec464b2ae2b9/0111241131.jpeg "Dr. Melanie Langermeier ist CEO von Qbilon und verantwortlich für Produktstrategie und Kundenbetreuung. (Bild: Qbilon)")
:quality(80)/p7i.vogel.de/wcms/04/31/0431d676156b689354505ddc83d3910a/0111274207.jpeg "Smartphones sind im beruflichen Alltag ein beliebtes Tool, um Arbeitsprozesse zu verbessern. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/d5/68d51e33733190015fe48085d19bf50f/0100318890.jpeg "Gregor Stegen ist Vice President Sales and Business Development EMEA bei Plume und erläutert, welchen Mehrwert KI für das Kundenmanagement bei Service-Providern bereithält. (Bild: foto di matti - Gregor Stegen - Plume)")
:quality(80)/p7i.vogel.de/wcms/f9/1d/f91d30aa4e1cba1da28fdd677c6d3b6f/0111632396.jpeg "Die ZTNA_Architektur spielt Ihre Stärken bisher meist nur bei der Anbindung remoter Mitarbeiter und Geräte aus – doch auch im lokalen Netz ist Zero Trust Network Access mehr als sinnvoll. (Bild: © photoopus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/5b/a95ba2286d25790a5a74d52430e1aa51/0111402128.jpeg "Das MSP-Geschäft ist über die Zeit vielfältiger geworden. (Bild: A Luna Blue - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/91/ae9110ac101250ed8ae2c9217c77eb90/0111583975.jpeg "Extreme unternimmt mit der in Berlin vorgestelltem Data Fabric-Lösung "ExtremeCloud Edge" einen weiteren Anlauf hin zu weniger Komplexität. Dabei handelt es sich um ein Software-Paket bestehend aus Anwendungen wie ExtremeCloud IQ, ExtremeCloud SD-WAN und Extreme Intuitive Insights, mit dem firmeneigene Clouds von jedem beliebigen Standort aus aufgebaut werden können. (Bild: Dietmar Müller)")
:quality(80)/p7i.vogel.de/wcms/d3/1a/d31aa21504bed10399be39e92f72efa7/0110934224.jpeg "Jochen Kunert von Unisys erläutert, wo man in Sachen Homeoffice und Remote Work jetzt angreifen muss, um die während der Pandemie oft hopplahopp eingeführten Konzepte auf sichere Füe zu stellen. (Bild: ARMIN HOEHNER - Unisys)")
:quality(80)/p7i.vogel.de/wcms/5e/90/5e901c67000a6a3b3e5d5c1dc20ded19/0110796663.jpeg "Mit SaaS Remote Access behalten Unternehmen die Kontrolle über den externen Fernzugriff. (Bild: Wallix)")
:quality(80)/p7i.vogel.de/wcms/78/20/7820f031c9f54f82f18b35275f028c71/0110700143.jpeg "Das SoftEther VPN-Projekt ermöglicht die Installation eines VPN-Servers als Alternative zu WireGuard und OpenVPN. (Bild: Joos - SoftEther Project)")
:quality(80)/p7i.vogel.de/wcms/ba/fa/bafaa37c6352f5b0c58a06a2c2881899/0111346909.jpeg "Die Workspaces der Starface App für Windows sollen Anwendern einen besseren Überblick über ihre Kommunikationsumgebung bieten. (Bild: Starface)")
:quality(80)/p7i.vogel.de/wcms/5f/d1/5fd10f0c6f06b5cd02dc7f72d9e2c4d8/0111134557.jpeg "Hybride Zusammenarbeit und dafür in der Cloud gespeicherte Daten benötigen angepasste Schutzmaßnahmen. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/04/1604941dd5a9d03ab6f9af938606e80a/0111400477.jpeg "Vertrauenswürdige Webseiten durch „IP Use After Free“-Attacken sind die perfide Weiterentwicklung der Lookalike Domains. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/e2/ffe242f7ff4ea687d6f181688f02cd0e/0111349539.jpeg "Viele Organisationen tun sich schwer, ihre Infrastrukturen adäquat zu schützen. Finanzielle und personelle Ressourcen sind beschränkt und es fehlt oft auch am Bewusstsein, welchen Stellenwert IT-Security heutzutage einnimmt. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f019c6193d103a1894ce7a933921255/0111362429.jpeg "Für On-Demand-Kunden seien in Sekundenschnelle Bandbreiten von bis zu 10 GBit/s an Tausenden von Standorten im Colt-Netzwerk verfügbar. (Bild: Colt)")
:quality(80)/p7i.vogel.de/wcms/a4/24/a4242fc17c20b0b6c258756fe631f018/0111080608.jpeg "Das Einsteigerpaket „Ortsbeleuchtung“ enthält neben den konfigurierten GreenBoxes mit integrierter Winkelantenne ein LoRaWAN-Outdoor-Gateway und drei Monate Nutzung des Demo-Dashboards. (Bild: Alpha-Omega Technology)")
:quality(80)/p7i.vogel.de/wcms/7c/42/7c426017759c779c90334252640bbed1/0110988923.jpeg "Software-definierte Netztechnologien sind heute ein Muss für agile Unternehmen, sagen Steffen Gienger von Juniper Networks und Sherif Rezkalla von der Deutsche Telekom in ihrem gemeinsamen Beitrag. (Bild: © basiczto - stock.adobe.com)")
Microsoft-Netzwerke besser verwalten 9 Tipps für die Verwaltung von Active Directory
Um Active Directory optimal zu verwalten, sind bei IP-Insider.de haufenweise Praxisbeiträge zu finden. In diesem Beitrag zeigen wir einige schnell umsetzbare Tipps, mit denen sich die Verwaltung von Active Directory auch noch deutlich effektiver betreiben lässt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/6b/626ba9b8326a0/cradlepoint-ericsson-logo-full-color-horizontal.png "cradlepoint-ericsson-logo-full-color-horizontal (Cradlepoint)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Geht es um die Verwaltung von Active Directory, spielen vor allem folgende Punkte eine wichtige Rolle:
Das Active Directory sollte gut organisiert sein. Mit Organisationseinheiten können die verschiedenen Objekte optimal strukturiert werden. Daher empfiehlt auch Microsoft, dass zum Beispiel Computer- und Benutzerkonten nicht in denselben Organisationseinheiten gespeichert werden sollten. Bei einer optimalen Struktur können auch Gruppenrichtlinien optimal eingesetzt werden, um Ordnung und Sicherheit zu schaffen.
Durch eine richtige OU-Struktur ist es darüber hinaus auch möglich, Berechtigungen zu delegieren. Dadurch können Verwaltungsaufgaben einzelner Organisationseinheiten leichter an verschiedene Gruppen weitergeleitet werden, was die IT-Abteilung entlastet. Eine optimale OU-Struktur bietet zahlreiche Vorteile, die das Leben der Admins und auch der Benutzer deutlich erleichtern.
Tipp 1: Eine ideale OU-Struktur
Um die richtige OU-Struktur zu finden, sollten idealerweise zunächst Benutzerkonten und Computerkonten voneinander getrennt werden. Da OUs auch in einer Baumstruktur angeordnet werden können, ist es sinnvoll, für einzelne Abteilungen untergeordnete Ous zu erstellen.
Darüber hinaus empfehlen viele Experten, in den verschachtelten OUs für spezielle Funktionen eigene OUs zu erstellen. Beispiele bei Computern sind OUs für Testcomputer, bestimmte Server oder auch Dienstkonten. Dadurch können Gruppenrichtlinien angepasst genau für diese Objekte umgesetzt werden, ohne mit komplexen Filtern arbeiten zu müssen, die viel Potential für Fehler haben können.
Gleichzeitig erreichen Unternehmen dadurch auch noch eine übersichtliche Struktur, durch die leicht navigiert werden kann und bei der schnell ersichtlich ist, wo sich die einzelnen Produkte befinden.
Tipp 2: Eigene OUs für Sicherheits-Gruppen und Server
Durch das Erstellen einer eigenen OU für die Sicherheitsgruppen im Netzwerk, ist sichergestellt, dass alle Gruppen schnell und einfach gefunden werden können und nicht in verschiedenen OUs verteilt sind. Das verbessert die Übersicht deutlich und sorgt für mehr Sicherheit, da die Gruppen immer im Blick bleiben und dadurch sehr viel leichter abzusichern sind.
Gleichzeitig sollten auch die Server in eine eigene OU kommen. Der Vorteil liegt auch hier darin, dass Server schneller gefunden werden können und Gruppenrichtlinien leichter umsetzbar sind. Innerhalb der OU für die Server können natürlich weitere, untergeordnete OUs erstellt werden. Auch das ermöglicht wieder eine spezifische Zuordnung von Gruppenrichtlinien.
Tipp 3: Standardisierte Namenskonventionen
Ein wichtiger Punkt bei der Ordnung in Active Directory sind durchdachte Namenskonvention. Zusammen mit einer optimalen OU-Struktur lassen sich Objekte dann schneller finden und einheitlicher verwalten. Häufig kommen bspw. bei Anmeldenamen eine Kombination aus einem Buchstaben oder Initialen in Verbindung mit dem Nachnamen zum Einsatz.
So wird aus "Thomas Joos" zum Beispiel "joost" oder "tjoos". Teilweise trennen Unternehmen auch Vor- und Nachname mit Sonderzeichen, zum Beispiel "thomas.joos". Gibt es identische Namen, können auch mittlere Initialen zum Einsatz kommen. Selten sinnvoll ist die Verwendung von abgekürzten Namen oder Zahlen, weil das die Anzeige verwirrend gestaltet.
Bei Computerkonten oder anderen Geräten kann es sinnvoll sein, mit einem Buchstaben der Eigenschaft des Computers zu beginnen, zum Beispiel "S" für Server, "W" für Workstations, "N" für Notebooks, "P" für Drucker oder "VM" für virtuelle Computer. Auch bei Computern kann es sinnvoll sein, den Namen der Abteilung mit zwei Buchstaben innerhalb des Namens zu verwenden und den Rest mit Nummern abzukürzen, zum Beispiel "W-HR-1456".
Bei Gruppen kann es sinnvoll sein mit einer Kombination aus Abteilung/Gruppe plus Ressource plus Berechtigungen zu arbeiten. Zusätzlich sollte ein Präfix oder Suffix genutzt werden, um welche Art von Gruppe es sich handelt, zum Beispiel "L" für domänen-lokale Gruppen, "G" für globale Gruppen und "U" für universelle Gruppen. So kann die Helpdesk-Gruppe, die für das Ändern von Kennwörtern verantwortlich ist und über eine globale Gruppe abgewickelt wird mit "Helpdesk-PasswordReset-G" abgekürzt werden, oder die Gruppe in der Personalabteilung für Schreibberechtigungen auf die Freigaben der Abteilung mit "HR-HRShare-RW-G". Generell kann es bei Abteilungen sinnvoll sein, mit Abkürzungen aus zwei Buchstaben zu arbeiten, damit die Namen nicht zu lange werden.
Dadurch sind bereits über den Namen der Gruppe wichtige Informationen verfügbar, ohne die Eigenschaften der Gruppe oder die Dokumentation zu kennen. Wenn die Gruppen dann auch noch in der richtigen OU-Struktur angeordnet sind, geht auch bei einer großen Anzahl an Gruppen der Überblick nicht verloren.
Tipp 4: Core-Server verwenden
Für die Sicherheit und Leistung von Windows-Servern in Active Directory ist die GUI schon lange nicht mehr auf jedem Server notwendig. Mit dem Windows Admin Center lassen sich Core-Server genauso verwalten, wie herkömmliche Server, und auch die GUIs in Active Directory ermöglichen die Anbindung von Core-Servern auf einfache Art und Weise. Core-Server bieten eine geringere Angriffsfläche und sind gleichzeitig für fast alle relevanten AD-Dienste nutzbar. Domänencontroller, DHCP und DNS können problemlos mit Core-Servern abgewickelt werden.
Tipp 5: Die Möglichkeiten zur AD-Diagnose bekannt machen
Admins sollten sich umfassend mit den zahlreichen Diagnosemöglichkeiten von Active Directory vertraut machen. Treten Fehler auf, sind die Tools bekannt und können sofort eingesetzt werden. Hinzu kommt der Vorteil, dass bei regelmäßigen Diagnosen von AD kleine Fehler schnell auffallen und sich dadurch große Fehler vermeiden lassen. Im Beitrag "Active-Directory-Troubleshooting mit der PowerShell" gehen wir auf dieses Thema ein. In diesem Beitrag sind auch weiterführende Links zu weiteren Artikeln auf IP-Insider zu finden, die dabei helfen, Diagnosen für das AD zu erstellen und Fehler zu beheben. Die beiden wichtigsten Befehle in diesem Bereich sind "dcdiag" und "repadmin /showrepl".
Tipp 6: Active Directory regelmäßig bereinigen
Regelmäßig einmal im Monat (ggfs. auch öfters) ist es sinnvoll, Active Directory von alten Konten zu bereinigen und nicht mehr benötigte Objekte zu entfernen. Auf IP-Insider sind auch dazu Informationen zu finden, welche Tools dabei helfen. Unnötige Objekte stellen ein Sicherheitsrisiko dar und sind gleichzeitig auch eine nicht notwendige Belastung für den Server. Generell kann das Datum der letzten Anmeldung eines Benutzerkontos in der PowerShell ausgelesen werden:
Get-ADUser „<Name>“ -Properties LastLogonDate | FT -Property Name, LastLogonDate -ABenutzerkonten die bereits längere Zeit gesperrt sind und die nicht mehr benötigt werden, lassen sich ebenfalls in der PowerShell aufspüren und dann auch löschen:
Get-ADUser -Filter {(Enabled -eq $true)} -Properties LastLogonDate | select samaccountname, Name, LastLogonDate | Sort-Object LastLogonDateTipp 7: Mit Beschreibungen arbeiten
Für nahezu jedes Objekt in Active Directory gibt es die Möglichkeit, eine Beschreibung zu hinterlegen. Die Beschreibungen werden in den meisten Fällen auch in den Verwaltungstools angezeigt. Damit und in Ergänzung zu den sprechenden Benutzernamen steigt die Übersicht für die Objekte.
Tipp 8: Berechtigungen für Aufgaben delegieren
Über das Kontextmenü von Organisationseinheiten kann der Assistent zum Delegieren von Verwaltungsaufgaben gestartet werden. Durch eine saubere und optimale OU-Struktur kann zum Beispiel die Verwaltung einzelner Aufgaben an Benutzer delegiert werden, die eigentliche keine Administratoren sind. Eine hier gerne delegierte Aufgabe ist bspw. das Recht, Kennwörter von Benutzern zurückzusetzen. Hier gibt es aber weit mehr Möglichkeiten, die über den Assistenten leicht umsetzbar sind. Beispiele dafür sind das Verwalten von Gruppenmitgliedschaften, das Hinzufügen von Computern zu Domänen oder das Anlegen von Benutzerkonten.
Tipp 9: Active Directory überwachen
Active Directory und die Domänencontroller sollten überwacht werden. Dazu stellt Microsoft Überwachungsrichtlinien zur Verfügung. Um Zugriffe auf Active Directory zu überwachen, besteht der erste Schritt darin, eine bestehende Richtlinie zu bearbeiten, die den Domänencontrollern zugewiesen ist, zum Beispiel die "Default Domain Controller Policy", oder eine neue Richtlinie zu erstellen und den Domänencontrollern zuzuweisen. Die Einstellungen zur Überwachung finden sich in der Richtlinienüberwachung im Bereich "Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie".
Um Anmeldungen in Active Directory zu überwachen, muss die Richtlinie "Anmeldeereignisse überwachen" aktiviert sein. Die erweiterten Einstellungen sind über "Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Erweiterte Überwachungsrichtlinienkonfiguration" zu finden. Wie bei der normalen Überwachung ist es auch hier sehr empfehlenswert, eine eigene Gruppenrichtlinie für Überwachungseinstellungen zu erstellen und zuzuweisen.
:quality(80)/images.vogel.de/vogelonline/bdb/1808100/1808118/original.jpg "Die PowerShell kann gerade bei der Fehlersuche in Active-Directory-Umgebungen oft eine große Hilfe sein. (© pla2na - stock.adobe.com)")
Fehlerbehebung mit Bordmitteln
Active-Directory-Troubleshooting mit der PowerShell
:quality(80)/images.vogel.de/vogelonline/bdb/1417100/1417127/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848868/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848869/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848870/original.jpg)
(ID:48330444)
:quality(80)/images.vogel.de/vogelonline/bdb/1930500/1930533/original.jpg "Auch das Active Directory lässt sich mit der PowerShell verwalten. Oft bringt dieser Weg deutliche Erleichterungen mit sich. (© Alexander - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1948800/1948810/original.jpg "Das Active Directory lässt sich auch über das Windows Admin Center (WAC) verwalten. Microsoft erweitert die dafür verfügbaren Möglichkeiten zudem ständig. (© wladimir1804 - stock.adobe.com)")