Die Active Directory-Verwaltung umfasst eine breite Palette an Aufgaben, darunter das Einrichten von Domänen und Gesamtstrukturen, das Gewährleisten von Ordnung und Integrität in AD, die ordnungsgemäße Verwaltung der Gruppenrichtlinie und die Gewährleistung von Business Continuity mit einem umfassenden Sicherungs- und Wiederherstellungsprozess.
Aufbau einer soliden AD-Struktur
Das Aufbauen einer soliden AD-Struktur – oder Bereinigen der bereits vorhandenen – ist für eine effiziente und effektive Active Directory-Verwaltung unerlässlich. Sie sind dadurch nicht nur viel einfacher imstande, Ihre Gruppenrichtlinie zu verwalten, sondern können auch Verwaltungsberechtigungen ordnungsgemäß delegieren, um die Verwaltung ohne Beeinträchtigung der Sicherheit aufzuteilen, und gängige Aufgaben wie die Provisionierung von Benutzerkonten und die Berichterstellung optimieren.
Die Grundeinheit der AD-Verwaltung ist die Active Directory-Domäne – eine Gruppe zusammenhängender Benutzer, Computer, Drucker und anderer AD-Objekte, die in einer einzigen AD-Datenbank gespeichert werden. Domänen sollten ziemlich stabile Einheiten sein und deshalb mit Bedacht eingerichtet werden. Sie können beispielsweise eine Domäne für Ihre Niederlassung in Chicago einrichten und eine andere für Ihren Standort in San Francisco. Da eine Domäne eine Verwaltungsabgrenzung darstellt, können Ihre Administratoren aus Chicago keine Benutzer aus der Domäne für San Francisco löschen und Ihre Administratoren aus San Francisco können die Berechtigungen von Benutzern in der Chicago-Domäne nicht ändern.
Erstellen von Organisationseinheiten
Erstellen von Organisationseinheiten
Zur Vereinfachung der AD-Verwaltung können Sie die Objekte in den einzelnen Domänen in Organisationseinheiten (Organisational Units, OUs) zusammenfassen. OUs spiegeln oft die Struktur des Unternehmens wider. So können Sie beispielsweise eine OU für jede Abteilung am Standort Chicago einrichten: Vertrieb, Marketing, IT, Rechtsabteilung usw. Manche OUs sind möglicherweise provisorisch, z. B. bei Erstellung von OUs für verschiedene Projekte, die bei Abschluss der Projekte dann aufgelöst werden. Es ist jedoch wichtig, dass diese Änderungen systematisch vorgenommen werden. Das Erlauben von Ad-hoc-Änderungen führt immer zu einer ungeordneten AD-Struktur, die viel schwieriger nachzuvollziehen und zu verwalten ist.
Definition Ihres Schemas
Definition Ihres Schemas
Durchdenken Sie Ihr Datenbankschema. Das Schema enthält formelle Definitionen jeder Objektklasse, die erstellt werden kann, und jedes Attributs, das ein AD-Objekt haben kann. Active Directory umfasst ein Standardschema, das Sie aber wahrscheinlich an Ihre spezifischen Unternehmensanforderungen anpassen müssen. Achten Sie darauf, Ihr Schema in der Planungsphase sorgfältig zu entwerfen. Da AD eine zentrale Rolle für die Authentifizierung und Autorisierung spielt, können spätere Änderungen am Schema Ihren Geschäftsbetrieb beträchtlich stören.
Verwendung von Standardnamen
Verwendung von Standardnamen
Achten Sie darauf, über alle Ebenen hinweg (Domänen, OUs, Schemas) standardisierte Benennungsmethoden festzulegen und zu befolgen. So ist es für jeden einfacher, z. B. den richtigen Benutzer zu kontaktieren oder das Gerät in einem bestimmten Konferenzraum zu identifizieren. Besonders wichtig ist es, bei der Benennung von AD-Sicherheitsgruppen systematisch vorzugehen, sodass Benutzer einfach und präzise provisioniert und erneut provisioniert werden können. Es ist auch klug, eine klare Beschreibung des Zwecks der einzelnen Sicherheitsgruppen hinzuzufügen. Das erfordert nur wenige Sekunden und kann Ihnen helfen, später ernste Probleme zu vermeiden.
Überwachung der AD-Integrität
Eine IT-Umgebung ist ein dynamischer Ort. Sie können Active Directory nicht einfach einrichten und sich dann nicht mehr darum kümmern, ganz gleich, wie perfekt Sie Ihre Domänen, OUs, Schemas usw. planen. Benutzer, Computer, Drucker und andere AD-Objekte verändern sich beständig. Sie benötigen also Verfahren für die Provisionierung und Deprovisionierung, die im Rahmen genehmigungsbasierter Workflows weitestgehend automatisiert sein sollten. Außerdem sollten Sie regelmäßig inaktive Benutzer- und Computerkonten ermitteln, damit Sie sie bereinigen können, bevor es zu einer missbräuchlichen Nutzung dieser Konten kommen kann.
Im Allgemeinen sollten Sie auch die Integrität Ihrer Domänencontroller und die Replikation von Daten zwischen ihnen in Echtzeit überwachen. Ansonsten kann es durchaus passieren, dass Benutzer Probleme beim Anmelden oder beim Zugreifen auf die für ihre Arbeit erforderlichen Ressourcen haben.
Microsoft bietet verschiedene Active Directory-Verwaltungstools, darunter Windows PowerShell, Active Directory Users and Computers (ADUC), Local Users and Groups und die Active Directory Schema-Snap-ins für die Microsoft Management Console (MMC). Die Funktionalität der nativen Tools ist jedoch beschränkt, das ständige Wechseln zwischen Tools ist bestenfalls unangenehm und Aufgaben sind oft manuell, zeitaufwendig und fehleranfällig.
Skripts und Anwendungen erfordern oft mehr Zugriffsrechte als ein typisches Benutzerkonto hat. Sie sollten aber kein Administratorkonto verwenden, da der Anwendung damit oft mehr Rechte als nötig gewährt werden und sich dadurch auch die Gefahr erhöht, dass das Administratorkonto kompromittiert wird. Stattdessen gilt es als Best Practice, ein Dienstkonto für jede Anwendung zu erstellen und diesem Konto nur die erforderlichen Berechtigungen zu gewähren, wie vom Least-Privilege-Prinzip vorgegeben.
Diese Konten dürfen dann aber nicht außer Acht gelassen werden. Da Dienstkonten Zugriff auf wichtige Ressourcen in Ihrer IT-Umgebung haben, ist es unerlässlich, nachzuverfolgen, was die einzelnen Dienstkonten tun. Halten Sie proaktiv Ausschau nach ungewöhnlichen oder unbefugten Aktivitäten, die auf Kompromittierung und missbräuchliche Nutzung des Kontos hindeuten können.
Verwaltung der Gruppenrichtlinie
Verwaltung der Gruppenrichtlinie
Ein weiterer wichtiger Aspekt der Active Directory-Verwaltung ist die
Verwaltung derGruppenrichtlinie. Die Gruppenrichtlinie
besteht aus einer Reihe von Richtlinien namens Gruppenrichtlinienobjekte (Group Policy Objects,
GPOs), die auf eine ganze Domäne oder nur auf bestimme OUs
angewendet werden können. Sie können die Gruppenrichtlinie
beispielsweise verwenden, um festzulegen, dass alle Benutzer in Ihrer
Chicago-Domäne komplexe Kennwörter verwenden müssen, oder um
ausschließlich in der Finanz-OU der Chicago-Domäne die Nutzung von
Wechseldatenträgern zu verbieten. Microsoft bietet Hunderte von GPOs, die
Sie konfigurieren können.
Die Gruppenrichtlinie hat bedeutende Auswirkungen, daher ist es wichtig, sie
richtig einzurichten und Änderungen daran sorgfältig zu verwalten.
Eine einzige unangemessene Änderung an einem GPO kann zu Ausfallzeiten
oder einer Sicherheitsverletzung führen. Leider ist es mit nativen Tools
nicht einfach, die Kontrolle über die Gruppenrichtlinie zu behalten.
Erstellung von PST-Dateien deaktivieren
Häufig verwendete Sites zu den Browsern von Benutzern hinzufügen
Nützliche Netzwerklaufwerke erfassen
Individuelle Registrierungswerte auf allen Computern festlegen
Standardbetriebssysteme und andere Software auf allen Windows
Server-Maschinen und anderen Computern bereitstellen
Bestimmte Skripte beim Starten bzw. Herunterfahren von Computern oder
Anmelden bzw. Abmelden von Benutzern ausführen
Implementierung von Änderungskontrollen
Implementierung von Änderungskontrollen
Eine unangemessene Änderung an Active Directory oder der
Gruppenrichtlinie – ganz gleich, ob sie bewusst oder versehentlich
vorgenommen wurde – kann wichtige Services stören und den
legitimen Benutzerzugriff auf Ressourcen unterbinden, wodurch der
Geschäftsbetrieb beeinträchtigt wird. Zur Vermeidung von Problemen
sollten Sie sämtliche Änderungen planen, dokumentieren und testen
und außerdem sicherstellen, dass ein Rollback jederzeit möglich
ist, wenn Änderungen unvorhergesehene Probleme verursachen.
Zudem ist es von unschätzbarem Wert, Änderungen an Ihren
wichtigsten AD-Objekten verhindern zu können, beispielsweise an
administrativen Sicherheitsgruppen mit umfassenden Berechtigungen und
entscheidenden GPOs. Quest Change Auditor und
GPOADmin rationalisieren die
Änderungskontrolle zur Verbesserung der Active Directory-Verwaltung.
Gewährleistung von Business Continuity
Nicht zuletzt wird durch eine angemessene Active Directory-Verwaltung Business Continuity sichergestellt. Erreicht wird dies durch zuverlässige Sicherungs- und Wiederherstellungsprozesse sowie durch Automatisierung wiederkehrender AD-Aufgaben.
Um Produktivität und Business Continuity sicherstellen zu können, müssen Sie Ihr AD regelmäßig sichern und zu einer schnellen Wiederherstellung imstande sein, falls es über die komplette Gesamtstruktur hinweg zu einem Vorfall oder Notfall auf Objekt- und Attributebene, Verzeichnisebene und Betriebssystemebene kommt. Der AD-Papierkorb ermöglicht zwar die schnelle Wiederherstellung kürzlich gelöschter Objekte, er ist aber keine Enterprise-Sicherungs- und -Wiederherstellungslösung (und war auch nie als solche vorgesehen).
Der Wert umfassender und zuverlässiger Active Directory-Sicherungen wird bei Betrachtung des internationalen Transportgiganten Maersk mehr als deutlich. Das Unternehmen ist 2017 Opfer des NotPetya-Angriffs geworden und war innerhalb von Stunden nach Bereitstellung der Malware im Netzwerk effektiv gelähmt. Praktisch jeder der 150 Dömanencontroller auf der ganzen Welt war ausgefallen – und das Unternehmen hatte keine einzige Active Directory-Sicherung, die es zum Wiederherstellen des Betriebs verwenden konnte. Glücklicherweise stellte sich heraus, dass ein Domänencontroller in Ghana während des Malware-Angriffs offline war, sodass dessen Daten noch intakt waren. Leider war die Bandbreite in der Niederlassung in Ghana aber so gering, dass der Upload der DC-Daten Tage gedauert hätte. Niemand vor Ort hatte ein britisches Visum, daher musste das Wiederherstellungsteam eine Art Staffellauf mit mehrstündigen Flügen veranstalten, um das kostbare Gerät in die britische Unternehmenszentrale zu bringen. Letztlich konnten sie den Computer jedoch verwenden, um die anderen DCs neu aufzusetzen.
Automatisierung von AD-Aufgaben
Automatisierung von AD-Aufgaben
Viele Active Directory-Verwaltungsaufgaben sind ziemlich mühsam und zeitaufwendig, was das Risiko erhöht, dass sie aufgeschoben oder nicht richtig erledigt werden. Durch Automatisierung können die IT entlastet, menschliche Fehler vermieden und die zeitnahe Ausführung wichtiger, aber routinemäßiger Aufgaben sichergestellt werden. Die folgenden Aufgaben bieten sich beispielsweise perfekt für ein gewisses Maß an Automatisierung an:
Erstellung, Änderung und Entfernen von Benutzerkonten
Provisionierung und Außerbetriebnahme von Computern
Bereitstellung und Patching von Software
Bestandserfassung
Berichterstellung
Bereinigung von Verzeichnissen
Wo kann ich mehr über Active Directory erfahren?
Active Directory ist für den Erfolg von Unternehmen heutzutage von
entscheidender Bedeutung. Diese zusätzlichen Informationsseiten zeigen
Ihnen Best Practices in den Kernbereichen von Active Directory:
Taking the right steps to secure your Active Directory has never been more critical. Learn 8 Active Directory security best practices to reduce your risk.
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.