Die Active Directory-Verwaltung umfasst eine breite Palette an Aufgaben, darunter das Einrichten von Domänen und Gesamtstrukturen, das Gewährleisten von Ordnung und Integrität in AD, die ordnungsgemäße Verwaltung der Gruppenrichtlinie und die Gewährleistung von Business Continuity mit einem umfassenden Sicherungs- und Wiederherstellungsprozess.
Active Directory-Verwaltung
Best Practices für die erfolgreiche Verwaltung Ihres AD
09:14
Aufbau einer soliden AD-Struktur
Das Aufbauen einer soliden AD-Struktur – oder Bereinigen der bereits vorhandenen – ist für eine effiziente und effektive Active Directory-Verwaltung unerlässlich. Sie sind dadurch nicht nur viel einfacher imstande, Ihre Gruppenrichtlinie zu verwalten, sondern können auch Verwaltungsberechtigungen ordnungsgemäß delegieren, um die Verwaltung ohne Beeinträchtigung der Sicherheit aufzuteilen, und gängige Aufgaben wie die Provisionierung von Benutzerkonten und die Berichterstellung optimieren.
Einrichten von Domänen
Einrichten von Domänen
Die Grundeinheit der AD-Verwaltung ist die Active Directory-Domäne – eine Gruppe zusammenhängender Benutzer, Computer, Drucker und anderer AD-Objekte, die in einer einzigen AD-Datenbank gespeichert werden. Domänen sollten ziemlich stabile Einheiten sein und deshalb mit Bedacht eingerichtet werden. Sie können beispielsweise eine Domäne für Ihre Niederlassung in Chicago einrichten und eine andere für Ihren Standort in San Francisco. Da eine Domäne eine Verwaltungsabgrenzung darstellt, können Ihre Administratoren aus Chicago keine Benutzer aus der Domäne für San Francisco löschen und Ihre Administratoren aus San Francisco können die Berechtigungen von Benutzern in der Chicago-Domäne nicht ändern.
Erstellen von Organisationseinheiten
Erstellen von Organisationseinheiten
Zur Vereinfachung der AD-Verwaltung können Sie die Objekte in den einzelnen Domänen in Organisationseinheiten (Organisational Units, OUs) zusammenfassen. OUs spiegeln oft die Struktur des Unternehmens wider. So können Sie beispielsweise eine OU für jede Abteilung am Standort Chicago einrichten: Vertrieb, Marketing, IT, Rechtsabteilung usw. Manche OUs sind möglicherweise provisorisch, z. B. bei Erstellung von OUs für verschiedene Projekte, die bei Abschluss der Projekte dann aufgelöst werden. Es ist jedoch wichtig, dass diese Änderungen systematisch vorgenommen werden. Das Erlauben von Ad-hoc-Änderungen führt immer zu einer ungeordneten AD-Struktur, die viel schwieriger nachzuvollziehen und zu verwalten ist.
Definition Ihres Schemas
Definition Ihres Schemas
Durchdenken Sie Ihr Datenbankschema. Das Schema enthält formelle Definitionen jeder Objektklasse, die erstellt werden kann, und jedes Attributs, das ein AD-Objekt haben kann. Active Directory umfasst ein Standardschema, das Sie aber wahrscheinlich an Ihre spezifischen Unternehmensanforderungen anpassen müssen. Achten Sie darauf, Ihr Schema in der Planungsphase sorgfältig zu entwerfen. Da AD eine zentrale Rolle für die Authentifizierung und Autorisierung spielt, können spätere Änderungen am Schema Ihren Geschäftsbetrieb beträchtlich stören.
Verwendung von Standardnamen
Verwendung von Standardnamen
Achten Sie darauf, über alle Ebenen hinweg (Domänen, OUs, Schemas) standardisierte Benennungsmethoden festzulegen und zu befolgen. So ist es für jeden einfacher, z. B. den richtigen Benutzer zu kontaktieren oder das Gerät in einem bestimmten Konferenzraum zu identifizieren. Besonders wichtig ist es, bei der Benennung von AD-Sicherheitsgruppen systematisch vorzugehen, sodass Benutzer einfach und präzise provisioniert und erneut provisioniert werden können. Es ist auch klug, eine klare Beschreibung des Zwecks der einzelnen Sicherheitsgruppen hinzuzufügen. Das erfordert nur wenige Sekunden und kann Ihnen helfen, später ernste Probleme zu vermeiden.
Überwachung der AD-Integrität
Eine IT-Umgebung ist ein dynamischer Ort. Sie können Active Directory nicht einfach einrichten und sich dann nicht mehr darum kümmern, ganz gleich, wie perfekt Sie Ihre Domänen, OUs, Schemas usw. planen. Benutzer, Computer, Drucker und andere AD-Objekte verändern sich beständig. Sie benötigen also Verfahren für die Provisionierung und Deprovisionierung, die im Rahmen genehmigungsbasierter Workflows weitestgehend automatisiert sein sollten. Außerdem sollten Sie regelmäßig inaktive Benutzer- und Computerkonten ermitteln, damit Sie sie bereinigen können, bevor es zu einer missbräuchlichen Nutzung dieser Konten kommen kann.
Im Allgemeinen sollten Sie auch die Integrität Ihrer Domänencontroller und die Replikation von Daten zwischen ihnen in Echtzeit überwachen. Ansonsten kann es durchaus passieren, dass Benutzer Probleme beim Anmelden oder beim Zugreifen auf die für ihre Arbeit erforderlichen Ressourcen haben.
Microsoft bietet verschiedene Active Directory-Verwaltungstools, darunter Windows PowerShell, Active Directory Users and Computers (ADUC), Local Users and Groups und die Active Directory Schema-Snap-ins für die Microsoft Management Console (MMC). Die Funktionalität der nativen Tools ist jedoch beschränkt, das ständige Wechseln zwischen Tools ist bestenfalls unangenehm und Aufgaben sind oft manuell, zeitaufwendig und fehleranfällig.
Genaue Nachverfolgung von Dienstkonten
Genaue Nachverfolgung von Dienstkonten
Skripts und Anwendungen erfordern oft mehr Zugriffsrechte als ein typisches Benutzerkonto hat. Sie sollten aber kein Administratorkonto verwenden, da der Anwendung damit oft mehr Rechte als nötig gewährt werden und sich dadurch auch die Gefahr erhöht, dass das Administratorkonto kompromittiert wird. Stattdessen gilt es als Best Practice, ein Dienstkonto für jede Anwendung zu erstellen und diesem Konto nur die erforderlichen Berechtigungen zu gewähren, wie vom Least-Privilege-Prinzip vorgegeben.
Diese Konten dürfen dann aber nicht außer Acht gelassen werden. Da Dienstkonten Zugriff auf wichtige Ressourcen in Ihrer IT-Umgebung haben, ist es unerlässlich, nachzuverfolgen, was die einzelnen Dienstkonten tun. Halten Sie proaktiv Ausschau nach ungewöhnlichen oder unbefugten Aktivitäten, die auf Kompromittierung und missbräuchliche Nutzung des Kontos hindeuten können.
Verwaltung der Gruppenrichtlinie
Verwaltung der Gruppenrichtlinie
Ein weiterer wichtiger Aspekt der Active Directory-Verwaltung ist die Verwaltung derGruppenrichtlinie. Die Gruppenrichtlinie besteht aus einer Reihe von Richtlinien namens Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), die auf eine ganze Domäne oder nur auf bestimme OUs angewendet werden können. Sie können die Gruppenrichtlinie beispielsweise verwenden, um festzulegen, dass alle Benutzer in Ihrer Chicago-Domäne komplexe Kennwörter verwenden müssen, oder um ausschließlich in der Finanz-OU der Chicago-Domäne die Nutzung von Wechseldatenträgern zu verbieten. Microsoft bietet Hunderte von GPOs, die Sie konfigurieren können.
Die Gruppenrichtlinie hat bedeutende Auswirkungen, daher ist es wichtig, sie richtig einzurichten und Änderungen daran sorgfältig zu verwalten. Eine einzige unangemessene Änderung an einem GPO kann zu Ausfallzeiten oder einer Sicherheitsverletzung führen. Leider ist es mit nativen Tools nicht einfach, die Kontrolle über die Gruppenrichtlinie zu behalten.
- Erstellung von PST-Dateien deaktivieren
- Häufig verwendete Sites zu den Browsern von Benutzern hinzufügen
- Nützliche Netzwerklaufwerke erfassen
- Individuelle Registrierungswerte auf allen Computern festlegen
- Standardbetriebssysteme und andere Software auf allen Windows Server-Maschinen und anderen Computern bereitstellen
- Bestimmte Skripte beim Starten bzw. Herunterfahren von Computern oder Anmelden bzw. Abmelden von Benutzern ausführen
Implementierung von Änderungskontrollen
Implementierung von Änderungskontrollen
Eine unangemessene Änderung an Active Directory oder der Gruppenrichtlinie – ganz gleich, ob sie bewusst oder versehentlich vorgenommen wurde – kann wichtige Services stören und den legitimen Benutzerzugriff auf Ressourcen unterbinden, wodurch der Geschäftsbetrieb beeinträchtigt wird. Zur Vermeidung von Problemen sollten Sie sämtliche Änderungen planen, dokumentieren und testen und außerdem sicherstellen, dass ein Rollback jederzeit möglich ist, wenn Änderungen unvorhergesehene Probleme verursachen.
Zudem ist es von unschätzbarem Wert, Änderungen an Ihren wichtigsten AD-Objekten verhindern zu können, beispielsweise an administrativen Sicherheitsgruppen mit umfassenden Berechtigungen und entscheidenden GPOs. Quest Change Auditor und GPOADmin rationalisieren die Änderungskontrolle zur Verbesserung der Active Directory-Verwaltung.
Gewährleistung von Business Continuity
Nicht zuletzt wird durch eine angemessene Active Directory-Verwaltung Business Continuity sichergestellt. Erreicht wird dies durch zuverlässige Sicherungs- und Wiederherstellungsprozesse sowie durch Automatisierung wiederkehrender AD-Aufgaben.
Sicherung und Wiederherstellung
Sicherung und Wiederherstellung
Um Produktivität und Business Continuity sicherstellen zu können, müssen Sie Ihr AD regelmäßig sichern und zu einer schnellen Wiederherstellung imstande sein, falls es über die komplette Gesamtstruktur hinweg zu einem Vorfall oder Notfall auf Objekt- und Attributebene, Verzeichnisebene und Betriebssystemebene kommt. Der AD-Papierkorb ermöglicht zwar die schnelle Wiederherstellung kürzlich gelöschter Objekte, er ist aber keine Enterprise-Sicherungs- und -Wiederherstellungslösung (und war auch nie als solche vorgesehen).
Der Wert umfassender und zuverlässiger Active Directory-Sicherungen wird bei Betrachtung des internationalen Transportgiganten Maersk mehr als deutlich. Das Unternehmen ist 2017 Opfer des NotPetya-Angriffs geworden und war innerhalb von Stunden nach Bereitstellung der Malware im Netzwerk effektiv gelähmt. Praktisch jeder der 150 Dömanencontroller auf der ganzen Welt war ausgefallen – und das Unternehmen hatte keine einzige Active Directory-Sicherung, die es zum Wiederherstellen des Betriebs verwenden konnte. Glücklicherweise stellte sich heraus, dass ein Domänencontroller in Ghana während des Malware-Angriffs offline war, sodass dessen Daten noch intakt waren. Leider war die Bandbreite in der Niederlassung in Ghana aber so gering, dass der Upload der DC-Daten Tage gedauert hätte. Niemand vor Ort hatte ein britisches Visum, daher musste das Wiederherstellungsteam eine Art Staffellauf mit mehrstündigen Flügen veranstalten, um das kostbare Gerät in die britische Unternehmenszentrale zu bringen. Letztlich konnten sie den Computer jedoch verwenden, um die anderen DCs neu aufzusetzen.
Automatisierung von AD-Aufgaben
Automatisierung von AD-Aufgaben
Viele Active Directory-Verwaltungsaufgaben sind ziemlich mühsam und zeitaufwendig, was das Risiko erhöht, dass sie aufgeschoben oder nicht richtig erledigt werden. Durch Automatisierung können die IT entlastet, menschliche Fehler vermieden und die zeitnahe Ausführung wichtiger, aber routinemäßiger Aufgaben sichergestellt werden. Die folgenden Aufgaben bieten sich beispielsweise perfekt für ein gewisses Maß an Automatisierung an:
- Erstellung, Änderung und Entfernen von Benutzerkonten
- Provisionierung und Außerbetriebnahme von Computern
- Bereitstellung und Patching von Software
- Bestandserfassung
- Berichterstellung
- Bereinigung von Verzeichnissen
Wo kann ich mehr über Active Directory erfahren?
Active Directory ist für den Erfolg von Unternehmen heutzutage von entscheidender Bedeutung. Diese zusätzlichen Informationsseiten zeigen Ihnen Best Practices in den Kernbereichen von Active Directory:
Quiz mit sieben Fragen: Wie gut ist Ihre Lösung für die Sicherung und Wiederherstellung von AD?
Blogs
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
8 ways to secure your Active Directory environment
Taking the right steps to secure your Active Directory has never been more critical. Learn 8 Active Directory security best practices to reduce your risk.
Active Directory forest: What it is and best practices for managing it
Active Directory forest is a critical — but often underappreciated — element of the IT infrastructure. Learn what it is and how to manage it.
Active Directory disaster recovery: Creating an airtight strategy
Businesses cannot operate without Active Directory up and running. Learn why and how to develop a comprehensive Active Directory disaster recovery strategy.
5 Active Directory migration best practices
Active Directory delivers key authentication services so it’s critical for migrations to go smoothly. Learn 5 Active Directory migration best practices.
Active Directory security groups: What they are and how they improve security
Active Directory security groups play a critical role in controlling access to your vital systems and data. Learn how they work.