:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/09/8109e93cabadea27e80753ea82d09216/0114074983.jpeg "Microsoft-Systeme dominieren die Netzwerke. Aber es finden sich zunehmend auch Geräte mit macOS, Linux und Unix in Unternehmensnetzen. Auch solche Fremdsysteme können an Active Directory angebunden werden. (Bild: Joos - Apple)")
:quality(80)/p7i.vogel.de/wcms/78/04/7804ac1082f1590953620d451043048a/0114052817.jpeg "Database Availability Groups (DAG) sind ein Kernelement für die Hochverfügbarkeit von Exchange-Servern im lokalen Rechenzentrum. Wir zeigen, wie man Datenbanken umgeht. (Bild: © Kanlaya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/60/43/6043da56782bdfd9be6b6ba240e90543/0113232231.jpeg "Die Powershell ist ein mächtiges Werkzeug in Windows. (Bild: Thomas Joos)")
:quality(80)/p7i.vogel.de/wcms/e8/b5/e8b543b88343e80c6c0059829d97626c/0114061802.jpeg "„Campus-Netz Smart“ biete auf Grundlage von Microsoft Azure eine standardisierte Lösung für private 5G-Netze. (Bild: Deutsche Telekom / GettyImages / Traitov; Montage: Evelyn Ebert Meneses)")
:quality(80)/p7i.vogel.de/wcms/a9/2a/a92a4f1de57a46d19f848402fff48785/0114005747.jpeg "Wird das Bild noch rund? Was hat ein Donut mit Konnektivität zu tun? (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/2f/82/2f828f5b7dd0f3a70118207ba9f86c55/0114017629.jpeg "Daniel Leimbach, Head of Customer Unit Western Europe von Ericsson: „Wir hoffen, dass die Tests in Dresden dazu beitragen, den künftigen 5G-Ausbau zu stärken und dass das Vertrauen in die Technologie weiter wächst.“ (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/70/c6/70c6d758eb0048f37eaea7997018042e/0114039013.jpeg "Die Mobile Autonomous Prospecting Platform (MAPP), ein Rover von Lunar Outpost, mit ausgefahrenen Nokia-Antennen. (Bild: Intuitive Machines / Lunar Outpost / Nokia Bell Labs)")
:quality(80)/p7i.vogel.de/wcms/bd/6c/bd6c9611b5e9b2e648e931cb9daae8c7/0114061503.jpeg "Das U-Bahn-Projekt Grand Paris Express wird federführend von der Société du Grand Paris realisiert. (Bild: Société du Grand Paris / Sébastien d’Halloy)")
:quality(80)/p7i.vogel.de/wcms/5a/14/5a14b2c569bdd336f9611e72c8cd3861/0114061768.jpeg "Der Aruba Instant On 1960 ist ein stapelbarer Switch mit einer Portkapazität von 2,5 GB. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/b5/02/b502640f99473c567569a0604f606ed8/0114146630.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/17/0b/170ba091381c42120c88d4de2a652605/0114061782.jpeg "Fluke Networks bietet ausgewählte Kupfer- und Glasfasertester mit Rabatt, Gold-Support und Kalibrierungsservice an. (Bild: Fluke Networks)")
:quality(80)/p7i.vogel.de/wcms/f8/a3/f8a3dc7ea5c753432fb9d0ebe5d68789/0114073000.jpeg "Wer wann über welches Gerät und von wo aus Zugriff auf Unternehmensressourcen hat, ist heute wichtiger denn je. Diese Steuerung übernehmen in der Regel IAM-Lösungen, die aber meist extrem komplex sind. Einfacher in allen Punkten sind hochintegrierten IAM-Lösungen. (Bild: © blacksalmon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/02/33029cdcb203a459272fc9b9a9bb675d/0114039192.jpeg "APM-Systeme laufen auf Anwendungsebene und sammeln Daten und Metriken, die sie dann mit vordefinierten Richtwerten abgleichen. (Bild: © – lhphotos – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/da/00da659829ffb1a7f68bfe1b1f541243/0114039171.jpeg "Matrix42-CFO Marc Breitfeld: „Mit Enterprise Service Management lassen sich Ausgaben besser verwalten, Software wird effizient genutzt und Lizenzbestimmungen können mühelos eingehalten werden.“ (Bild: Matrix42)")
:quality(80)/p7i.vogel.de/wcms/65/ba/65bad184555f299f286830308a516b95/0113988463.jpeg "Positionen bestimmen: Für die exakte Bestimmung von Positionen in vernetzten Gebäuden gibt es verschiedene Möglichkeiten. Etabliert hat sich Visible Light Communication. Wie der Name sagt, wird bei dem Verfahren für Menschen sichtbares Licht verwendet. (Bild: © Tech Hendra – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/15/9b/159b50dbe2821cce5b9d18196e0ffa09/0114057323.jpeg "Erwin Breneis, Sales and Solution Specialist bei Juniper Networks, erläutert, warum sich Network-as-a-Service lohnt. (Bild: Alex Schelbert - Juniper Networks)")
:quality(80)/p7i.vogel.de/wcms/ab/4f/ab4f6d6d1977ccdfe30ae52cf8f975c4/0114002340.jpeg "Becom.one unterstützt den parallelen Einsatz von DSL, Kabel, Glasfaser, LTE, 5G und Starlink. (Bild: Becom)")
:quality(80)/p7i.vogel.de/wcms/77/25/7725113895e0c0e995800ee3e603c08a/0113257803.jpeg "Fazit des Palo Alto Networks IoT Security Benchmark Reports für Unternehmen: Ohne sichere, vernetzte Endgeräte kann Zero Trust nicht erfolgreich umgesetzt werden! (Bild: j-mel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/63/69639e2fdae5e80be62b86785dcea352/0113383474.jpeg "Die Experten von CyberRatings.org empfehlen die ZTNA-Lösung von Versa Networks. (Bild: © – abcmedia – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/24/a2/24a2db265aff80feafc976e5f0db95fd/0113367719.jpeg "Für die 1800er-Serie hat Lancom das neue „Blackline“-Gehäuse entwickelt. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/24/a4/24a4afe677c8595c650c214584a3817e/0114061470.jpeg "Mitels neue 700d-DECT-Handset-Serie umfasst vier Modelle. (Bild: Mitel)")
:quality(80)/p7i.vogel.de/wcms/50/c5/50c5a853408eb76c9685288f136f1b00/0114147274.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9e/259ea95526af2984c66b1709ad1f7860/0114014778.jpeg "Die EU-Kommission hat Bedenken wegen der Kopplung von Teams an Microsoft 365 – der Tech-Konzern reagiert mit einer Entkopplung der Produkte. (Bild: yavdat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/fa/25fa4bb5e61fd700bda4fddb3bb2da7d/0113939282.jpeg "Handelt es sich beim Unternehmen weder um eine Tierhandlung noch um ein auf Vierbeiner spezialisiertes Fotostudio, haben Katzenbilder nichts in den Speichersystemen verloren. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/af/56/af5630795c1483b0949a3bcea2ec1f63/0114038437.jpeg "Sanjay Macwan, Chief Information Officer und Chief Information Security Officer von Vonage, nennt acht Gründe, die für einen Einsatz von SD-WAN in Unternehmen sprechen. (Bild: Vonage)")
:quality(80)/p7i.vogel.de/wcms/b8/0d/b80d634cf6737163ba0eb4cc02e50050/0113368287.jpeg "Meißen hat das Ziel, sein LoRaWAN auf das ganze Stadtgebiet auszudehnen. (Bild: Basemap.de / BKG 03 2023)")
:quality(80)/p7i.vogel.de/wcms/0f/4c/0f4ccfe5a478a41e5f331bf5722f93e7/0112967090.jpeg "Das Ultra Ethernet Consortium verfolgt das Ziel einer vollständig auf Ethernet basierten Kommunikations-Stack-Architektur für Hochleistungsnetzwerke. (Bild: Ultra Ethernet Consortium)")
Tipps und Best Practices für das Active Directory Cleanup Aufräumen im Active Directory
Das Active Directory sollte regelmäßig bereinigt werden, um Sicherheit und Stabilität zu gewährleisten. Dazu gehört auch das Entfernen von nicht mehr benötigten Computer- und Benutzerkonten. Denn diese stellen Einfallstore für Angreifer dar und sind gleichzeitig Ballast für Domänencontroller.
Anbieter zum Thema
Mindestens einmal im Monat sollten sich Administratoren das Active Directory ihrer Infrastrukturumgebung genauer anschauen und nicht mehr benötigte Benutzer- und Computerkonten deaktivieren oder löschen. Neben diesen Objekten sollten aber auch andere Objekte aus Active Directory entfernt werden, wenn diese nicht mehr benötigt werden. Dazu gehören auch Domänencontroller, Gruppenrichtlinien und ungenutzte Gruppen.
:quality(80)/images.vogel.de/vogelonline/bdb/1417100/1417127/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848868/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848869/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848870/original.jpg)
Erster Überblick in Sachen AD-Sicherheit
Mit dem Tool PingCastle lassen sich Sicherheitslücken in Active Directory finden. Dazu wird das Archiv entpackt und eine Befehlszeile geöffnet. Um einen ersten Check der Umgebung durchzuführen, wird der folgende Befehl eingegeben:
PingCastle --healthcheck --server joos.intZum Starten reicht es aus, die Datei „Pingcastle.exe“ doppelzuklicken. Das Tool läuft in der Befehlszeile. Die Ausführung kann auf Windows-Arbeitsstationen genauso erfolgen, wie auf Domänencontrollern. In diesem Beispiel wird die Domäne „joos.int“ getestet. Anschließend erstellt das Tool eine HTML-Datei, die mit einem Browser geöffnet werden kann. Hier wird dann ersichtlich, wo Sicherheitsgefahren lauern und behoben werden sollten.
Bestandteil des Tools ist eine PDF-Datei, die weitere Informationen zu den Optionen bietet. Auch diese Informationen helfen beim Bereinigen von Active Directory enorm. Wir haben PingCastle und andere Tools aus diesem Bereich umfassend im Beitrag "Diese Tools sorgen für mehr AD-Sicherheit" beleuchtet.
Ungenutzte Konten: Sicherheitsgefahr und Ballast für Domänencontroller
Bereits deaktivierte Konten, die schon länger nicht mehr im Einsatz sind, sollten unbedingt gelöscht werden. Solche Konten stellen eine große Gefahr für die Sicherheit dar, weil sie von Angreifern unbemerkt übernommen werden können. Darüber hinaus sind nicht mehr benötigte Objekte eine Belastung für Domänencontroller und Datensicherung. Aus diesen Gründen ist eine Bereinigung mehr als sinnvoll.
Wir haben uns bereits im Beitrag "10 Tipps für die Verwaltung von Active Directory mit der PowerShell" mit dem Thema auseinandergesetzt und gezeigt, wie inaktive Benutzer und Computer mit Bordmitteln der PowerShell schnell identifiziert werden können.
Nicht aktive Benutzerkonten lassen sich aber auch in der Befehlszeile mit "dsquery" finden. Wie das geht, beschreiben wir im Beitrag "Tipps und Tools für die Benutzer-Verwaltung in Active Directory" https://www.ip-insider.de/tipps-und-tools-fuer-die-benutzer-verwaltung-in-active-directory-a-941390/.
Last Logon Finder erkennt kostenlos nicht mehr aktive Konten
Im Beitrag "10 Tools für Active-Directory-Admins" zeigen wir verschiedene Tools, die Admins das Leben erleichtern. Dazu gehört auch das Tool "Last Logon Finder", mit dem sich die Anmeldedaten der Benutzer auslesen lassen. Dadurch wird schnell ersichtlich, welche Konten nicht mehr aktiv im Einsatz sind.
Tools, wie ManageEngine ADManager Plus sind eine weitere Hilfe, um Active Directory von nicht mehr benötigten Objekten zu befreien. Das Tool kann Active Directory auch automatisiert bereinigen. Eine Testversion kann bei den Entwicklern heruntergeladen werden.
Neben den Benutzer- und Computerkonten sollten auch leere Gruppen möglichst entfernt werden. Sind diese Gruppen nicht mehr im Einsatz, stellen sie ebenfalls nur ein Sicherheitsrisiko und einen Ballast für Domänencontroller dar. Leere Gruppen können zum Beispiel in der PowerShell mit dem folgenden Befehl gefunden werden:
Get-ADGroup -Filter * -Properties Members | where { -not $_.Members}Übersichtlicher wird die Darstellung mit:
Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select NameNicht mehr benötigte Gruppenrichtlinien entfernen
Neben den nicht mehr benötigten Benutzer- und Computerkonten sollten auch die nicht mehr benötigten Gruppenrichtlinien aus dem AD entfernt werden, wenn sie keinen Einsatz mehr finden. Ob Gruppenrichtlinien noch mit einer OU oder der Domäne verknüpft sind, lässt sich in der Gruppenrichtlinienverwaltung mit "gpmc.msc" schnell in Erfahrung bringen. Bei "Gruppenrichtlinienobjekte" sind die vorhandenen Richtlinien zu sehen. Nicht mehr benötigte Richtlinien können über das Kontextmenü gesichert und danach aus dem AD entfernt werden.
Bereinigung von Active Directory und Entfernen von Domänencontrollern
In manchen Fällen ist der Aufwand einer Fehlerbehebung viel größer, als einfach den betroffenen Domänencontroller neu zu installieren und wieder in Active Directory zu integrieren. Durch die erneute Integration erhält der Domänencontroller wieder die Daten von den anderen Domänencontrollern der Domäne. Häufig passiert es auch, dass Domänencontroller zwar entfernt werden, aber sich noch Restdaten in Active Directory befinden. Auch diese Daten sollten aus Gründen der Sicherheit und Stabilität aus dem Netzwerk entfernt werden.
Die Metadaten von Active Directory enthalten alle Einträge und Servernamen, die zu Active Directory gehören. Wenn ein Domänencontroller ausfällt oder erzwungen aus dem Active Directory entfernt wird, sollten die Metadaten nachträglich bereinigt werden. Für diese Bereinigung kann das Befehlszeilentool "Ntdsutil" zum Einsatz kommen. Um die Metadaten von Active Directory zu bereinigen, werden folgende Aufgaben durchgeführt:
- Geben Sie nach dem Start von "Ntdsutil" den Befehl "metadata cleanup" ein.
- Geben Sie "connections" ein.
- Geben Sie den Befehl "connect to server <Domänencontroller>" ein.
- Geben Sie den Befehl "quit" ein, um wieder zum Menü "metadata cleanup" zurückzukehren.
- Geben Sie "select operation target" ein.
- Es folgt der Befehl "list domains". Damit werden alle Domänen der Gesamtstruktur angezeigt.
- Geben Sie danach den Befehl "select domain <Nummer der Domäne>" ein. Wählen Sie als Nummer die Domäne aus, aus der Sie den Domänencontroller entfernen wollen.
- Geben Sie als Nächstes "list sites" ein. Daraufhin werden alle Standorte der Gesamtstruktur angezeigt.
- Wählen Sie den Standort aus, von dem Sie einen Domänencontroller entfernen wollen. Verwenden Sie dazu den Befehl "select site <Nummer des Standorts>".
- Nachdem Sie den Standort ausgewählt haben, geben Sie den Befehl "list servers in site" ein. Es werden alle Server in diesem Standort angezeigt.
- Dann müssen Sie mit "select server <Nummer des Servers>" den Server angeben, den Sie aus dem Active Directory entfernen wollen.
- Nachdem Sie den Server ausgewählt haben, geben Sie "quit" ein, damit Sie wieder zum Menü "metadata cleanup" gelangen.
- Geben Sie den Befehl "remove selected server" ein. Es folgt eine Warnmeldung, in der Sie das Entfernen des Servers bestätigen müssen. Nach der Bestätigung dieser Meldung wird der Server aus dem Active Directory entfernt.
- In Ntdsutil werden die einzelnen Vorgänge beim Entfernen des Servers angezeigt.
- Im Anschluss können Sie Ntdsutil mit "quit" beenden. Die Active Directory-Metadaten sind bereinigt.
Nachdem die Metadaten von Active Directory bereinigt wurden, sollten Sie noch die Einträge im DNS bereinigen. Entfernen Sie alle SRV-Records, in denen noch der alte Server steht, aus der DNS-Zone der Domäne. Entfernen Sie auch alle Hosteinträge des Servers. Wenn alle DNS-Einträge gelöscht sind, kann auch das Computerkonto des Servers gelöscht werden, falls dies noch nicht geschehen ist.
:quality(80)/images.vogel.de/vogelonline/bdb/1420600/1420653/original.jpg "Zahlreiche kostenfreie Tools erleichtern den Umgang mit Active Directory – eine große Sammlung bietet MicroNova mit den ManageEngine-Tools an. (MicroNova / Joos)")
Domänencontroller verwalten, Fehler finden, Benutzerkonten konfigurieren
10 Tools für Active-Directory-Admins
:quality(80)/images.vogel.de/vogelonline/bdb/1488600/1488603/original.jpg "Für das Sicherheits-Management in Active-Directory-Umgebungen stehen auch kostenfreie Werkzeuge zur Verfügung. (Joos / PingCastle)")
Sicherheitslücken in Active Directory finden
Diese Tools sorgen für mehr AD-Sicherheit
:quality(80)/images.vogel.de/vogelonline/bdb/1716500/1716587/original.jpg "Mit diesen Tipps geht die Benutzerverwaltung in Active Directory leichter von der Hand. (© danijelala - stock.adobe.com)")
Mehr Sicherheit und einfachere Verwaltung von Benutzerkonten
Tipps und Tools für die Benutzer-Verwaltung in Active Directory
:quality(80)/images.vogel.de/vogelonline/bdb/1930500/1930533/original.jpg "Auch das Active Directory lässt sich mit der PowerShell verwalten. Oft bringt dieser Weg deutliche Erleichterungen mit sich. (© Alexander - stock.adobe.com)")
Daten auslesen, Domänen verwalten, Fehler beheben
10 Tipps für die Verwaltung von Active Directory mit der PowerShell
(ID:48342220)
:quality(80)/p7i.vogel.de/wcms/21/15/21159a46f653b95382814d09539fbbe7/0113073150.jpeg "Auch im Active Directory sollte man hin und wieder Ordnung schaffen – wobei es aus Sicherheitsgründen besser ist, wenn man hier kontinuierlich am Ball bleibt! (Bild: © M. Johannsen - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1964600/1964667/original.jpg "Wartung und Pflege sind besonders in Active-Directory-Umgebungen wichtig – und mit diesen Tipps einfacher umzusetzen. (© Tatjana Balzer - stock.adobe.com)")