Mehr Sicherheit, Stabilität und Schutz

10 Tipps für Active-Directory-Administratoren

| Autor / Redakteur: Thomas Joos / Andreas Donner

Man sollte die Administration von Active Directory nicht auf die leichte Schulter nehmen – diese 10 Tipps helfen.
Man sollte die Administration von Active Directory nicht auf die leichte Schulter nehmen – diese 10 Tipps helfen. (Bild: Joos / Microsoft)

Die Verwaltung eines „Active Directory“ ist keine einfache Angelegenheit. Mit diesen 10 Schritten lassen sich Probleme aber bereits im Vorfeld vermeiden, Datenverlust verhindern und Betriebssicherheit herstellen.

1. Active Directory Papierkorb aktivieren und überprüfen

Mit dem Papierkorb in Active Directory können gelöschte Objekte wiederhergestellt werden, wenn andere Möglichkeiten nicht mehr zur Verfügung stehen. Damit das möglich wird, muss der AD-Papierkorb aktiviert werden. Außerdem sollte ab und zu überprüft werden, ob er noch verfügbar ist oder ob Objekte im Papierkorb gesammelt werden. Zwar lässt sich der Papierkorb nicht deaktivieren, dennoch sollte seine Funktion hin und wieder überprüft werden.

Der Papierkorb kann zum Beispiel über das Kontextmenü der Gesamtstruktur im Active Directory-Verwaltungscenter aktiviert werden (siehe: Abbildung 1). Ist der Papierkorb aktiv, ist die Option zum Deaktivieren ausgegraut. Gelöschte Objekte sammelt das Active-Directory-Verwaltungscenter in der OU „Deleted Objects“ (siehe: Abbildung 2).

2. Wichtige Organisationseinheiten vor dem Löschen schützen

Standardmäßig werden die meisten Organisationseinheiten vor dem versehentlichen Löschen geschützt. Dazu ist auf der Registerkarte „Objekt“ in den Eigenschaften der OU die Option „Objekt vor dem zufälligen Löschen“ aktiviert (siehe: Abbildung 3). Wird der Haken entfernt, lässt sich die OU wieder löschen.

Damit die Registerkarte angezeigt wird, muss in der Konsole Active Directory-Benutzer und -Computer über „Ansicht“ die Option „Erweiterte Features“ aktiviert sein (siehe: Abbildung 4).

3. AD-Standorte, wichtige Gruppen und Benutzer vor dem Löschen schützen

Die Option zum Verhindern von versehentlichem Löschen kann auch für andere Objekte aktiviert werden – auch in der Verwaltung der Active Directory-Standorte und Dienste (siehe Abbildung 5). Natürlich lassen sich auf diesem Weg auch andere Objekte schützen, wie zum Beispiel Gruppen und Benutzerkonten. Es lohnt sich, diese Einstellung für besonders heikle Objekte zu setzen.

4. Regelmäßige Diagnose der Domänencontroller und Replikation

Auch wenn das Active Directory vermeintlich stabil läuft, ist es sinnvoll ab und zu mit „dcdiag“ und „repadmin /showreps“ den Zustand der Domänencontroller zu testen. Mit „dcdiag /v“ lässt sich eine umfassende Analyse durchführen. So werden Probleme in der Domäne sehr schnell erkannt. Die Ausführung dauert nur wenige Sekunden. Fehler können in einer Suchmaschine eingegeben werden, um das Problem zu beheben.

5. Nicht mehr notwendige Konten löschen oder deaktivieren

Benutzerkonten, die schon eine Weile nicht mehr genutzt werden, sollten aus Sicherheitsgründen deaktiviert oder sogar gelöscht werden. Dadurch werden Sicherheitslücken vermieden, in dem Angreifer nicht mehr benötigte Konten für Angriffe auf die Domäne nutzen. Beim Auslesen helfen Tools wie „Lumax“ (siehe: Abbildung 6).

6. Zeitsynchronisierung konfigurieren und überprüfen

Damit Active Directory funktioniert, darf die Uhrzeit auf den verschiedenen Servern nicht zu weit auseinanderlaufen, vor allem auf den Domänencontrollern. Es lohnt sich also, regelmäßig die Uhrzeit auf den Domänencontrollern zu überprüfen, und die Zeitsynchronisierung zu kontrollieren. Auch der PDC-Master der Umgebung muss dazu fehlerfrei funktionieren (siehe: folgenderTipp).

Am einfachsten wird die Uhrzeit in der Eingabeaufforderung mit dem Befehl „net time“ überprüft. Mit „net time\\<Computer>“ kann die Uhrzeit über das Netzwerk abgefragt werden. So lässt sich schnell feststellen, ob alle Server und Domänen-Controller noch synchron laufen (siehe: Abbildung 7).

7. Betriebsmaster überprüfen

Die Betriebsmaster haben eine wichtige Aufgabe in Active Directory. Die Funktion der Betriebsmaster sollte regelmäßig überprüft werden. Wichtig ist, dass der Domänen-Controller, der als Betriebsmaster konfiguriert ist, auch funktioniert und noch im Netzwerk vorhanden ist.

8. Administratoren-Gruppenmitgliedschaften überprüfen

Administratoren sollten regelmäßig überprüfen, welche Benutzerkonten in Ihrer Gesamtstruktur über Administratorrechte verfügen. Dazu werden am besten die Gruppen kontrolliert, die in Active Directory-Benutzer und -Computer (dsa.msc) in der OU „Users“ zu finden sind. (siehe Abbildung 8).

9. Active Directory-Standorte und Subnetze überprüfen

Die verschiedenen Standorte und Subnetze sind im Snap-In „Active Directory-Standorte- und -Dienste“ zu finden. Es sollte regelmäßig überprüft werden, ob die Subnetze noch den korrekten Standorten zugewiesen sind, und ob die Domänencontroller noch abrufbar sind. In der Befehlszeile kann mit „nltest /dsgetsite“ getestet werden, ob ein Domänencontroller seinem richtigen Standort zugewiesen ist. Unterhalb der einzelnen Standorte sollte überprüft werden, ob die Replikationsverbindungen zwischen den Domänencontrollern noch vorhanden sind und funktionieren.

10. DNS-Datenbanken überprüfen und aufräumen

Die Namensauflösung spielt in Active Directory eine wichtige Rolle. Auf wichtigen Servern sollte ab und zu mit „nslookup“ überprüft werden, ob die Domänencontroller und andere Server noch erreicht werden können. Auch die DNS-Server sollten überprüft werden. Veraltete Einträge sollten aus den DNS-Zonen entfernt werden. Außerdem sollten regelmäßig die Einstellungen der DNS-Server überprüft werden.

AD für Einsteiger – Wozu dient der Verzeichnisdienst

Active Directory Workshop, Teil 1

AD für Einsteiger – Wozu dient der Verzeichnisdienst

09.05.18 - Unternehmen, die ein Netzwerk mit mehreren Client-Computern betreiben und ihren Anwendern individuell angepassten Zugriff auf diese Computer und auf Freigaben im Netzwerk geben wollen, kommen kaum um einen Verzeichnisdienst herum. Active Directory (AD) hat sich zum De-facto Standard entwickelt. Hier ein Einstieg. lesen

Server-Rollen im Überblick

Active Directory Workshop, Teil 2

Server-Rollen im Überblick

11.05.18 - Active Directory (AD) besteht nicht nur aus Domänen-Controller, sondern aus einer Vielzahl weiterer Server-Dienste, die ein gemeines Verzeichnis nutzen, aber jeweils eigene Funktionen zur Verfügung stellen. Hier ein Überblick: lesen

Administration von Domänen und AD-Strukturen

Active Directory Workshop, Teil 5

Administration von Domänen und AD-Strukturen

22.05.18 - Damit ein Active Directory fehlerfrei funktioniert, müssen die Domänen-Controller regelmäßig gewartet werden. Eine Überprüfung der Funktionsfähigkeit sollte regelmäßig auch für die Replikation der Domänen-Controller, die richtige Namensauflösung und anderer Problemstellen erfolgen. Wir geben Tipps. lesen

*Thomas Joos ist freier Autor, schreibt IT-Fachbücher und -Artikel sowie seinen eigenen Blog auf Datacenter-Insider „Toms Admin-Blog“.

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45400873 / Anwendungen)