logo ntadmins

Active-Directory-Verwaltung leichtgemacht

8. März 2019
Microsoft Active Directory Logo

Selbst bei vermeintlich gutbekannten Systemen wie dem Active Directory (AD) kommt es immer wieder zu Problemen, Fehlern oder „komischen Eigenheiten“. Dabei zeigt sich die Komplexität des AD-Managements. Allerdings lassen sich die meisten Fallstricke umgehen, wenn die Systembetreuer einige Tricks und Kniffe anwenden. Auf diese Weise lässt sich Datenverlust vermeiden und eine möglichst hohe Betriebssicherheit erreichen.

Eine wichtige Grundfunktion im AD stellt der Papierkorb dar. Dieser lässt sich für das Wiederherstellen von gelöschten Objekten bequem und effizient einsetzen. Sobald der AD-Papierkorb aktiviert ist, können gelöschte Objekte über die OU „Deleted Objects wiederhergestellt werden. Damit das möglich wird, müssen die Systembetreuer den Papierkorb zunächst aktivieren. In diesem Zusammenhang ist es sinnvoll, von Zeit zu Zeit zu checken, ob der Papierkorb noch verfügbar ist (beziehungsweise ob überhaupt Objekte im Papierkorb gesammelt werden. Der Papierkorb kann etwa über das Kontextmenü Active Directory-Verwaltungscenter (bei der Gesamtstruktur) aktiviert werden.

Wichtige Punkte vor dem Löschen schützen

Damit wichtige Objekte erst gar nicht im Papierkorb „landen“, sollten die Systembetreuer sicherstellen, dass bestimmte Objekte wie OUs, AD-Standorte, spezielle Gruppen und Benutzer vor erst gar nicht gelöscht werden können. Diese Möglichkeit kann für unterschiedliche Objekte aktiviert werden. Ein Beispiels dafür wäre die Verwaltung der Active Directory-Standorte und Dienste. Natürlich lassen sich auf diesem Weg auch andere Objekte schützen, wie zum Beispiel Gruppen und Benutzerkonten. Es lohnt sich, diese Einstellung für besonders heikle Objekte zu setzen. Standardmäßig werden die meisten Organisationseinheiten vor dem versehentlichen Löschen geschützt. Dazu wird auf der Registerkarte „Objekt“ in den Eigenschaften der OU die Option „Objekt vor dem zufälligen Löschen“ aktiviert. Wird der Haken entfernt, lässt sich die Organisationseinheit wieder löschen. Damit die Registerkarte angezeigt wird, muss in der Konsole Active Directory-Benutzer und -Computer über „Ansicht“ die Option „Erweiterte Features“ aktiviert sein.

Alten Krempel „ausmisten“

Ältere – beziehungsweise inaktive Konten von AD-Benutzern – sollten aus Gründen der Sicherheit entweder deaktiviert oder komplett gelöscht werden. Auf diese Weise werden Sicherheitslücken vermieden. Ansonsten könnten Hacker diese (oftmals kaum überwachten Konten) nutzen, um in das System einzudringen. Alternativ können die AD-Konten beim Erstellen auch mit einem „Ablaufdatum“ versehen werden, etwa mit Drittanbietersoftware von Dell (früher: Quest). So sammeln sich sich weniger „Altkonten“ an, die später manuell gelöscht werden müssen.

Zeitsynchronisierung checken

Um sicherzustellen, dass das Active Directory „sauber läuft“, darf die eingestellte Systemzeit auf den unterschiedlichen Clients und Servern nicht allzu weit voneinander abweichen. Das gilt vor allem für die Domänencontroller (DCs). Somit sollten die Administratoren regelmäßig die Zeiteinstellungen auf den DCs kontrollieren. Die Zeiteinstellungen lassen sich etwa in der grafischen Benutzeroberfläche (GUI) checken. Alternativ prüfen die Systembetreuer die Uhrzeit in der Kommandozeile (CMD) mit dem Befehl „net time“. Das ist auch remote möglich, dazu setzen die Administratoren auf das folgende Cmdlet:

net time\\<Computer>

Diagnosen im Fokus

Auch wenn das Active Directory vermeintlich stabil läuft, ist es sinnvoll ab und zu mit den passenden Bordmittels oder Drittanbieter-Tools „nach dem Rechten zu sehen“. Dafür eignen sich beispielsweise folgende Cmdlets:

dcdiag /v

repadmin /showreps

Mit „dcdiag /v“ führen die Administratoren etwa detaillierte Analysen durch. Auf diese Weise lassen sich Probleme oder Fehler in der Domäne zügig identifizieren. Die Ausführungsgeschwindigkeit spielt dabei auch eine Rolle, denn welcher Systembetreuer möchte schon Stundenlang auf die Ergebnisse einer Analyse warten. Glücklicherweise ist die Abfrage meist nach einigen Sekunden abgeschlossen, und die Administratoren können das Ergebnis in Augenschein nehmen.

Standorte und Subnetze im Blick behalten

Unterschiedliche Standorte und Subnetze des ADs sind über das Snap-In „Active Directory-Standorte- und -Dienste“ zu finden. Auch an dieser Stelle sollten die Systembetreuer von Zeit zu Zeit „nach dem Rechten sehen“ – etwa ob die Subnetze den korrekten Standorten zugewiesen sind. Auch lohnt sich in der Regel ein Blick auf den Status der einzelnen DCs und deren Standortzuweisung. Das ist etwa mit folgenden Cmdlet möglich:

nltest /dsgetsite

Datenbank aufräumen

Im Active Directory spielt auch die Namensauflösung eine entscheidende Rolle. Daher prüfen die Administratoren auf den Servern ab und zu die Erreichbarkeit von DNS-Servern, Domänencontrollern und Gateways. Hier kommt das Cmdlet „nslookup“ zum Einsatz. Veraltete Einträge entfernen die Systembetreuer aus den DNS-Zonen, und überprüfen in regelmäßigen Abständen die Einstellungen der DNS-Server.

Administratoren-Gruppenmitgliedschaften überprüfen

Administratoren sollten regelmäßig überprüfen, über welche Berechtigungen einzelne Benutzer oder Gruppen im Ad verfügen. Dazu werden am besten die Gruppen kontrolliert, die in Active Directory-Benutzer und -Computer in der OU „Users“ zu finden sind.

Florian Huttenloher

Lesen Sie auch

AdobeStock NT Gorodenkoff

Versteckte Gefahr durch Schatten-Administratoren

attivo networks adsecure

Domain Controller vor Angriffen über ungesicherte Endpunkte absichern

cyber security Darwin Laganzon auf Pixabay

Erste Erkenntnisse zu HermeticWiper