logo ntadmins

Active Directory sauber organisieren

3. April 2019
Azure Active Directory

Neue Benutzer erstellen, Funktionen für bestimmte Gruppen aktivieren, oder den Zugriff auf bestimmte Dateien und Ordner reglementieren: Diese alltäglichen Aufgaben erledigen die Administratoren schnell und effektiv, wenn bestimmte Voraussetzungen im Active Directory vorhanden sind.

Effizientes Arbeiten im Active Directory (AD) ist keine Kunst – vorausgesetzt die Systembetreuer sorgen für eine passende Grundstruktur. Denn falls Benutzer- und Computerkonten im gleichen Ad-Ordner angelegt werden, oder die Bezeichnungen der einzelnen Server, Clients, Drucket oder virtuellen Maschinen nicht standardisiert werden, leider die Übersicht. Bestenfalls werden diese Überlegungen direkt beim Anlegen des ADs, respektive der einzelnen Organisationseinheiten (OUs) angestellt, und entsprechend dokumentiert und festgeschrieben.

Falls im AD keine saubere Struktur zu erkennen ist, sollten die Systembetreuer zu einem geeigneten Zeitpunkt (etwa der Urlaubszeit) eine Neustrukturierung der einzelnen AD-Objekte finden, und den aktuellen Standard anpassen. Dazu sollten die Administratoren das Augenmerk auf ein passendes Design der OUs legen.

OUs für Benutzer und Computer separieren

Anstatt die Benutzer- und Computer-Konten im selben AD-Ordner abzulegen, sollten die Systembetreuer darauf achten, diese in zwei unterschiedliche Kategorien einzuordnen. Beispielsweise könnten die Administratoren dazu die Folder „ADFirma User“ Und „ADFirma Computer“ anlegen. Weiterhin macht es Sinn, innerhab dieser Order weitere Unterpunkte anzulegen. Hier empfielt es sich, etwa für jede Abteilung einen entsprechenden Eintrag vorzusehen. Beispielsweise „Entwicklung“, „IT“, „Marketing“, „Buchhaltung“, „Management“ oder „Produktion“.

Falls vorhanden, können die Systembetreuer weitere OUs anlegen, etwa für virtuelle Maschinen oder Testsysteme:

  • Kiosk-Systeme
  • Konferenzraum
  • VDI (virtuelle Desktops)
  • Testsysteme
  • Generelle Konten
  • Service Accounts

Der Vorteil bei dieser Art der Sortierung: Das Admin-Team profitiert von den „sprechenden Namen“, und kann bestimmte Gruppen schnell identifizieren. Das ist sowohl für „alte Hasen“ als auch für neue Mitarbeiter eine große Hilfestellung. Auch lässt sich das AD auf diese Art und Weise bequem und zielführend durchsuchen.

Sicherheits-Gruppen im Blick

Auch für die Security-Groups sollten die Systembetreuer entsprechende OUs erzeugen. Zwar ist es ebenfalls möglich diese Gruppen in die jeweiligen Abteilungs-OUs einzusortieren, aber falls bestimmte Security-Gruppen nicht einer Abteilung zuzuordnen sind, kommen die Administratoren „in die Bredouille“. Denn in diesen Fällen landen die Gruppen in anderen OUs, und es ist keine Kontinuität mehr gegeben. Folglich legen die Administratoren für alle Sicherheits-Gruppen eine übergeordnete OU an.

Server-OUs

Für die unterschiedlichen Server erzeugen die Systembetreuer ebenfalls eine eignen Organisationseinheit, und erzeugen weitere Ordner für die unterschiedlichen Servertypen (falls vorhanden). So landen etwa Datei-, Druck- oder Citrix-Server in eigenen Ordnern der Server-OU.

Namenskonvention

Für die Mitarbeiter erstellen die Administratoren passende AD-Benutzernamen. Damit es an dieser Stelle nicht zum „Wildwuchs“ kommt, ist eine passende Namenskonvention notwendig. Oftmals nutzen die Unternehmen an dieser Stelle den ersten Buchstaben des Vornamens, und setzen im Anschluss daran den kompletten Nachnamen ein. Aus Florian Huttenloher wird dabei beispielsweise „fhuttenloher“. Was aber, wenn es sich nicht um relativ seltene Namen handelt, sondern beispielsweise um „David Schmid“ – und es auch eine „Daniela Schmid“ im Unternehmen gibt? Zwei Konten mit der identischen Bezeichnung „dschmid“ sind im AD nicht zulässig. In diesem Fall können die Systembetreuer zwar die ersten zwei oder drei Buchstaben des Vornamens mit dem Nachnamen kombinieren (beispielsweise erhält David Schmid „dschmid“ und Daniela Schmid den Benutzernamen „daschmid“). Alternativ nutzt man die Kombination „Vorname.Nachname“. Aufgrund der besseren Lesbarkeit nehmen die Systembetreuer Abstand von allzu komplizierten Kombinationen mit Sonderzeichen oder Ziffern.

Auch bei den AD-Gruppen nutzen vorausschauende Systembetreuer eine passenden Namenskonvention. Auch an dieser Stelle erhöhen sprechende Namen die Lesbarkeit der Gruppen, idealerweise wird durch die Gruppenbezeichnung klar, welche Funktion abgedeckt werden soll. So ist eine Bezeichnung „Gruppe019-Ress22-adm“ wenig Sinn, besser sind Namen wie „FirstLevelSupport-ResetPasswort-G“. Letztgenanntes Beispiel wäre eine sprechende Gruppenbezeichnung für den unternehmensinternen Helpdesk (First Level Support), bei dem die Helpdesk-Mitarbeiter über die passenden Berechtigungen verfügen, um die Kennwörter der Mitarbeiter zurückzusetzen (ResetPasswort). Zudem wird durch den Endbuchstaben „G“ klar, dass es sich um eine globale Gruppe handelt. Dabei können sich die Systembetreuer an diesen Vorgaben orientieren:

Der erste Teil der Gruppenbezeichnung enthält die jeweilige Abteilung, sprich „Management“, „Marketing“ oder „Buchhaltung“. Soll die Gruppe abteilungsübergreifend Anwendung finden, könnten die Systembetreuer auch „Alle“ oder ähnliches für den ersten Teil der Gruppenbezeichnung einsetzen. Im zweiten Teil nennen die Systembetreuer die jeweilige Ressource oder Funktion, sprich etwa „ResetPasswort“, „Unternehmenskalender“ oder „FreigabeArchiv“. Im dritten Teil der Gruppenbezeichnung ist Platz für entsprechende Kürzel, etwa ob es sich um lokale oder globale Gruppen handelt, zudem lassen sich noch entsprechende Berechtigungen (read-only: „R“ oder Schreib-Lese-Rechte „RW“) einbinden:

  • Domain local = L
  • Global = G
  • Universal = U

Folglich könnte eine lokale Gruppe für die Freigabe des Ordners „Archiv2000“ in der Buchhaltung folgende Bezeichnung tragen: Buchhaltung-Archiv2000-L-RW

Computer, Server, Drucker und sonstige AD-Objekte

Auch für die restlichen AD-Objekte nutzen die Administratoren entsprechende Namenskonventionen. Hier bietet es sich an, mit dem Typ des Objekts zu beginnen (etwa „L“ für Laptop, „P“ für Printer (Drucker) oder „S“ für Server:

  • S => Server
  • W => Workstation
  • C => Client
  • F => Firewall
  • P => Printer (Drucker)
  • L => Laptop
  • M => Mobilgerät (Tablet, Smartphone)
  • V => virtuelle Maschine / VDI-System
  • T => VOIP-Telefon

Diese Liste lässt sich je nach vorhandenen Systemen erweitern, auch kann es sinnvoll sein, virtuelle Server und Clients zu unterscheiden (etwa „vS“ für virtuelle Server oder „vC“ für virtuelle Clients). Im Anschluss daran setzen die Systembetreiber noch eine passende Buchstaben-Kombination für die jeweilige Abteilung, in der das System steht beziehungsweise eingesetzt wird. So könnte man beispielsweise „Bu“ für Buchhaltung nutzen, oder „Ma“ für Management. Danach setzen die Systembetreuer noch eine passende Nummerierung ein, hierbei könnte man einfach alle Geräte „durchnummerieren“, oder auf eine Kombination aus Stockwerk (etwa 01), Zimmernummer (beispielsweise 23) und fortlaufender Gerätenummer (etwa 01 für das erste Gerät im Zimmer) setzen. Somit lautet die passende Bezeichnung für den ersten Desktop-Client in der Buchhaltung im ersten Stock Zimmer 23 wie folgt: C-Bu-01-23-01

Natürlich können die Systembetreuer auch einfach alle Geräte „durchnummerieren“. Auch wenn ein System mit dem Mitarbeiter umzieht muss klar definiert werden, ob das Gerät danach umbenannt wird (zum Beispiel wenn sich die Zimmernummer ändert), oder ob sowieso alle Geräte-IDs in einer separaten Datenbank den jeweiligen Abteilungen, Stockwerken, Zimmernummern zugewiesen werden. Die vorgestellten Beispiele können den jeweiligen Unternehmensrichtlinien angepasst werden. Das ist etwa nötig, falls sich das Unternehmen auf mehrere Standorte verteilt.

Florian Huttenloher

Lesen Sie auch

AdobeStock NT Gorodenkoff

Versteckte Gefahr durch Schatten-Administratoren

attivo networks adsecure

Domain Controller vor Angriffen über ungesicherte Endpunkte absichern

cyber security Darwin Laganzon auf Pixabay

Erste Erkenntnisse zu HermeticWiper