Sicherheit für die Active-Directory-Modernisierung und MigrationBest Practices für eine sichere AD-Migration
Ein Gastbeitrag von
Oliver Keizers
6 min Lesedauer
Als Verzeichnisdienst für Netzwerkbenutzer und -ressourcen ist Active Directory eng in die meisten Organisationen integriert. In jüngster Zeit jedoch gerät es zunehmend ins Visier von Cyberkriminellen. Seit durch die Verbreitung von Cloud-Systemen die Idee eines Netzwerkperimeters praktisch überholt ist, konzentrieren sich die Angriffsstrategien dieser Akteure auf die Kompromittierung von Identitäten, beispielsweise über Phishing-E-Mails.
Mit der Modernisierung ihres Active Directory sind Unternehmen nicht mehr ausschließlich auf dessen native Sicherheitsfunktionen angewiesen.
(Bild: wladimir1804 - stock.adobe.com)
Solche neuen Angriffsformen machen die Identitätssysteme Active Directory und Entra ID für Unternehmen zwangsläufig zu bedeutenden und äußerst schützenswerten Bereichen. Gelingt Angreifern der privilegierte Zugriff auf das AD, wird dies den Stillstand des Geschäftsbetriebs bedeuten. Dementsprechend konzentrieren sich Sicherheitsstrategien in Unternehmens-Umgebungen verstärkt auf Identitätsmanagement und Identitätskontrolle.
Vergrößerte Angriffsfläche durch mehrere AD-Domänen
Allerdings ist die ursprüngliche AD-Architektur in den meisten Unternehmen nicht für den Umgang mit Cloud-Infrastrukturen ausgelegt, weshalb die herkömmlichen Sicherheits- und Architekturempfehlungen für derartig erhöhte Anforderungen nicht ausreichen. Als Active Directory Ende des vergangenen Jahrtausends mit Windows Server 2000 eingeführt wurde, übten Faktoren wie Bandbreitenbeschränkungen in Netzwerkumgebungen sowie Schwierigkeiten mit der NT-Replikation bedeutenden Einfluss auf die Gestaltung von AD-Domänen aus. Diese Beschränkungen in Kombination mit Objekteinschränkungen und Migrationsherausforderungen von Windows NT 4-Legacydomänen führten zur Einführung mehrerer AD-Domänen innerhalb der Gesamtstruktur. Diese komplizierten Designs, zusammen mit jahrzehntelangen Konfigurationsabweichungen, haben zu übermäßig komplexen Designs und Fehlkonfigurationen geführt, die die Angriffsfläche der AD-Gesamtstrukturen signifikant vergrößern. Mitunter konzentrieren sich Angreifer bei ihren Attacken von vornherein auf bestimmte typische AD-Schwachstellen.
Herausforderungen einer AD-Modernisierung
Wollen Unternehmen robuste Autorisierungsmechanismen für ihr Identitätsmanagement einführen und die Kontrolle über ihre Netzwerke vollständig zentralisieren, ist die Modernisierung ihres AD unerlässlich. Dieser Prozess kann jedoch zahlreiche individuelle Herausforderungen mit sich bringen: In den meisten Fällen geht es technisch darum, Benutzer, Gruppen, Anwendungen und Computer in eine neue Gesamtstruktur zu migrieren. Dabei besteht das Risiko, dass bislang unentdeckte Schwachstellen aus der alten in die neue Umgebung übernommen werden. Während des Migrationsprozesses können außerdem neue Schwachstellen entstehen, die möglicherweise nicht erkannt werden, sofern währenddessen keine kontinuierliche Überwachung und Bewertung stattfindet.
In der Regel lässt sich der gesamte Vorgang nur schrittweise realisieren. Da die Migration von Ressourcen wie Anwendungen, Dateiservern und Datenbanken komplexer ist als das Verschieben von Benutzern und Gruppen, können diese vorübergehend in der alten Umgebung zurückbleiben. Oberste Priorität hat die Gewährleistung von Sicherheit während der Übergangsphase, da Angreifer eine unruhige Umgebung womöglich leichter kompromittieren könnten.
Best Practices für eine sichere AD-Migration
Für eine möglichst unterbrechungsfreie Migration benötigen Unternehmen einen detaillierten Migrationsplan, der sicherstellt, dass die Zieldomäne nach bewährten Sicherheitsmethoden gestaltet wird. Idealerweise sollten sie darin die folgenden Schritte berücksichtigen:
1. Bewertung der aktuellen Umgebung: Die bestehende Umgebung sollte zunächst einem Assessment unterzogen werden, um Sicherheitslücken wie kompromittierte Accounts und riskante Systemfehlkonfigurationen zu identifizieren. Ein AD-Analysetool kann dabei helfen, Schwachstellen und potenzielle Angriffswege schnell zu erfassen.
2. Einrichten einer Testumgebung: An zweiter Stelle steht das Einrichten einer Umgebung, die das Produktions-AD widerspiegelt und das Testen des Migrationsprozesses ermöglicht. Wichtige Voraussetzung dafür ist es, zu gewährleisten, dass Benutzerberechtigungen und Zugriffsrechte in Übereinstimmung mit der allgemeinen Richtlinie verschoben werden, dass Kennwörter synchronisiert werden und dass Konten, Authentifizierungsprotokolle und Verschlüsselungsalgorithmen mit der neuen Umgebung kompatibel sind. Dieselben Vorsichtsmaßnahmen gelten für die komplexere Aufgabe der Migration von Anwendungen, Ressourcen und mehrschichtigen Architekturen, welche häufig spezielle Konfigurationen erfordern.
3. Benutzer- und Servernamen abgleichen: IT-Verantwortliche müssen dafür Sorge tragen, dass hartkodierte Benutzernamen, definierte Namen und Servernamen in den beiden Umgebungen übereinstimmen und diese gegebenenfalls aktualisieren. Denn falls in der AD-Zielumgebung Benutzer- oder Servernamen abweichen, werden Benutzer möglicherweise nicht authentifiziert oder können auf bestimmte Ressourcen nicht zugreifen.
4. Testen und Validieren: Vor Aktivierung der AD-Zielumgebung steht eingehendes Testen und Validieren, um sicherzustellen, dass sie ordnungsgemäß funktioniert. Auch nach erfolgreicher Migration ist eine kontinuierliche Überwachung – auf unbefugten Zugriff, Berechtigungsänderungen und anomales Verhalten – wichtig. Zudem sollten Administratoren regelmäßige Sicherheitsaudits und Penetrationstests durchführen.
5. Migrieren von Benutzern und Gruppen: Damit die neuen Benutzer und Gruppen auf die ursprünglichen Ressourcen in der Quellgesamtstruktur zugreifen können, müssen die Sicherheits-IDs (SIDs) ursprünglicher Benutzer und Gruppen jeweils dem SID-History-Attribut des neuen, migrierten Objekts in der AD-Zielgesamtstruktur hinzugefügt werden. Damit bleiben die SIDs der ursprünglichen Objekte sowie der Zugriff auf die Quellgesamtstruktur erhalten. Die Alternative besteht darin, den ursprünglichen Ressourcen neue Zugriffssteuerungseinträge (Access Control Entries, ACEs) für die neuen Benutzer und Gruppen hinzuzufügen. Beide Ansätze setzen eine Vertrauensstellung zwischen der Quell- und der Zielgesamtstruktur voraus.
6. Für Benutzerprofile und Computerkonten sollte vorab ein Plan erstellt werden, damit benutzerspezifische Einstellungen, Konfigurationen, Daten und Netzwerkeinstellungen weiterhin zur Verfügung stehen. Anhand dessen lässt sich anschließend in der Zielumgebung nachvollziehen, ob alles ordnungsgemäß migriert wurde.
7. Aktivieren der Passwortsynchronisierung: Die Passwortsynchronisierung ermöglicht es Benutzern, ihre vorhandenen Anmeldeinformationen für den Zugriff auf Ressourcen in der Zielumgebung zu verwenden, ohne ihre Kennwörter zurücksetzen zu müssen. Für Unternehmen mit Remote-Mitarbeitern kann diese Synchronisierung entscheidend sein, sofern Remote-Verbindungen von den Kennwörtern abhängen, um einen VPN-Tunnel zu öffnen. Unternehmen sollten daher sicherstellen, dass die Kennwortsynchronisierung zwischen beiden Umgebungen aktiviert und entsprechend konfiguriert ist. Zudem sollten sie alle Remote-Konnektivitätsszenarien sowohl vor als auch nach der Migration testen.
8. Migrieren von Ressourcen: Auch Drucker, Dateifreigaben, Anwendungen und andere IT-Ressourcen sind von AD abhängig. Während des Migrationsprozesses müssen Unternehmen sicherstellen, dass alle Ressourcen ordnungsgemäß migriert werden und ihre Berechtigungen und Zugriffsrechte beibehalten werden. Achten Sie auf einige potenzielle Probleme bei der Ressourcenmigration.
9. Migrieren einer mehrschichtigen Architektur: Mehrschichtige Architekturen sind meist hochgradig angepasst und erfordern spezielle Konfigurationen. Sie können auch Abhängigkeiten von bestimmten Versionen des Betriebssystems, der Hardware oder der Middleware aufweisen, was zu Kompatibilitätsproblemen führen kann, insbesondere, wenn die Migration eine Umstellung auf ein Zero-Trust- oder Least-Privilege-Sicherheitsmodell umfasst. Derartige Ansätze erhöhen die Komplexität des Migrationsprozesses und können Kompatibilitätsprobleme hervorrufen. Unternehmen sollten berücksichtigen, dass einige Anwendungen, um in einer Zero-Trust-Umgebung ordnungsgemäß zu funktionieren, möglicherweise Änderungen an der Konfiguration des Cloud-Diensts vornehmen müssen oder in Least-Privilege-Umgebungen erhöhte Berechtigungen verlangen.
10. Migrieren von Anwendungen: Während einer AD-Domänenmigration müssen alle Anwendungen und Systeme, die von AD abhängig sind, ebenfalls in die Zielumgebung migriert werden. Bleibt eine Anwendung oder ein System in der alten Gesamtstruktur zurück, entsteht eine Sicherheitslücke, die von Angreifern ausgenutzt werden kann. Um dies zu verhindern, muss vorab eine Bestandsaufnahme aller Anwendungen und Dienste, die von AD abhängig sind, durchgeführt werden. Außerdem müssen die Sicherheitskontrollen in der Zielumgebung mindestens so streng sein wie in der alten Umgebung. Nach Überprüfung der ordnungsgemäßen Migration sollte die alte Forest-Struktur stillgelegt werden, um die Angriffsfläche möglichst gering zu halten.
11. Schulung und Dokumentation: Haben Unternehmen die AD-Migration erfolgreich vollzogen, sollten sie Endanwender, IT-Mitarbeiter und das Management mit der neuen Umgebung vertraut machen. Um Fehlkonfigurationen künftig vorzubeugen, sollten sie eine detaillierte Dokumentation über die neue Domänenstruktur, die Benutzer- und Gruppenverfahren sowie alle Sicherheitsrichtlinien anlegen.
AD-Modernisierung erhöht die Cyber-Resilienz
Mit der Modernisierung ihres Active Directory sind Unternehmen nicht länger ausschließlich auf dessen native Sicherheitsfunktionen angewiesen. Stattdessen erhöhen sie ihre Resilienz gegen moderne Cyberbedrohungen, indem sie potenzielle Angriffswege schließen und geeignete Ausgangsbedingungen für robustes Identitäts- und Autorisierungsmanagement schaffen. Darüber hinaus kann die Vereinfachung der Umgebung dazu beitragen, langfristig Verwaltungskosten zu senken und durch verbesserte, zentrale Kontrolle das Einhalten regulatorischer Anforderungen einfacher zu gestalten.
Über den Autor: Oliver Keizers ist Area Vice President EMEA Central bei Semperis.
(ID:49948487)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/98/c29852ca70a005b2d5efe5a94f01cc75/0129257897v2.jpeg "Sophos Workspace Protection soll eine einfache Alternative zu herkömmlichen SASE-Ansätzen sein und hybrides Arbeiten absichern. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/12/721208d0cf7c674ebbd3ea17d71c8caa/0129122390v1.jpeg "2026 zeigen sich technologische wie geopolitische Veränderungen auch in der Cloud-Sicherheit: Der Fokus liegt auf neuen Herausforderungen wie KI oder digitale Souveränität. (Bild: © ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/5b/e95b18cce433513d0cfe49102fcad807/0129175753v2.jpeg "Wie viele Teams in Unternehmen müssen auch Datenschutzteams jeden Cent umdrehen und die Budgets werden wohl weiter sinken. (Bild: mrmohock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/94/b6/94b6eabbf39e00f7ce256b86aaab40c5/0124877086v1.jpeg "Das Active Directory ist ein Verzeichnisdienst von Microsoft für Windows-Netzwerke und dient der Verwaltung von Netzressourcen und -objekten. (Bild: © Weissblick - stock.adobe.com / Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/ec/2a/ec2ad76ab4e804ea6906fb941e06aed5/0122201339v1.jpeg "Entra Cloud Sync ermöglicht die Synchronisierung von Gruppen aus der Cloud in lokale AD-Umgebungen. (Bild: Joos - Microsoft)")