:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit und einfachere Verwaltung von Benutzerkonten Tipps und Tools für die Benutzer-Verwaltung in Active Directory
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/6c/646ccbe6c1853/microsoft.png "microsoft (Microsoft)")
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Benutzerkonten sind ein zentrales Element in Active Directory. Wir geben in diesem Beitrag Tipps und zeigen Tools, mit denen sich die Verwaltung von Benutzern vereinfachen und verbessern lässt. Dies erhöht nicht nur die Effizienz sondern wirkt sich auch positiv auf die Sicherheit aus.
Geht es um die Verwaltung von Benutzerkonten, setzen viele Unternehmen auf die Standardtools „Active Directory-Benutzer und -Computer“ (dsa.msc) und „Active Directory-Verwaltungscenter“ (dsac.exe). Im Umgang mit Benutzern gibt es jedoch meist einiges an Optimierungspotential. Vor allem wenn es darum geht, Informationen zu Benutzerkonten abzufragen, kann die PowerShell mit schnellen, einfachen Befehlen helfen.
Z-Hire und Z-Term – Active Directory, Exchange, Lync & Office 365 User Creation Tool
Mit den kostenlosen Tools Z-Hire und Z-Term von Microsoft, lassen sich Benutzerkonten in Active Directory, aber auch in Office 365 anlegen, anpassen und konfigurieren. Mit Z-Term können zudem auch Vorlagen für das Erstellen von Benutzerkonten erzeugt, und die meisten Einstellungen für das Anlegen und Steuern von Benutzern automatisiert werden. Wiederkehrende Einstellungen bei Benutzern oder ähnliche Einstellungen bei Benutzerkonten lassen sich dadurch als Vorlagen speichern.
:quality(80)/p7i.vogel.de/wcms/26/e1/26e17e15dea8f3072b13657a4b39d392/89925549.jpeg "Benutzer können mit Z-Hire und Z-Term automatisiert und effektiver angelegt und Vorlagen erstellt werden.")
:quality(80)/p7i.vogel.de/wcms/fd/02/fd02e54325bceb2fe7b0841692d945b5/89925546.jpeg "Automatisierung für das Anlegen von Benutzern.")
:quality(80)/p7i.vogel.de/wcms/80/6f/806f8d9596b01d63b240979884cca3c3/89925553.jpeg "Mit Z-Hire lassen sich auch flexible Einstellungen und Vorgaben für Benutzer vornehmen.")
:quality(80)/p7i.vogel.de/wcms/f2/65/f2655fe31f955a9a9a631dcbd1e87dc8/89925533.jpeg "Die Objektverwaltung kann in Active Directory auch delegiert werden.")
Benutzerverwaltung einfacher delegieren
Das Zurücksetzen von Kennwörtern und die Verwaltung vorhandener Benutzerkonten kann in Active Directory auch delegiert werden. Dadurch können zum Beispiel die Support-Abteilung oder Abteilungsleiter Kennwörter sehr viel einfacher zurücksetzen, oder Konten freigeben, wenn sich Benutzer durch die falsche Eingabe von Kennwörtern ausgesperrt haben.
Die Delegierung erfolgt durch die Auswahl von „Objektverwaltung zulassen“ im Kontextmenü der Organisationseinheiten. Hier lassen sich mit einem Assistenten verschiedene Rechte delegieren. Generell ist es sinnvoll, die Delegierung über eine Gruppe durchzuführen. Sollen Benutzer das Recht erhalten, Benutzerkonten in einer Organisationseinheit zu verwalten, müssen sie nur in der Gruppe aufgenommen werden, ohne die Delegierung erneut ausführen zu müssen. Auf dem gleichen Weg lassen sich Rechte für Benutzer wieder entfernen.
Schnell und einfach inaktive Benutzerkonten und Computer finden
Nicht mehr verwendete Benutzer- und Computerkonten oder Gruppen ohne Mitglieder belasten die Datenbank von Active Directory und die Replikation unnötig. Hinzu kommen Sicherheitsprobleme, die durch verwaiste Objekte entstehen. Es ist daher sinnvoll, solche Objekte aus dem Active Directory zu entfernen. Finden lassen sich solche Objekte problemlos auch mit Bordmitteln.
Mit dem folgenden Befehl lassen sich zum Beispiel Benutzerkonten anzeigen, die eine bestimmte Anzahl an Wochen nicht mehr verwendet wurden:
dsquery user -inactive <Anzahl der Wochen>Dsquery steht auf Domänencontrollern und auf Computern zur Verfügung, auf denen die Verwaltungstools für Active Directory installiert wurden. Deaktivierte Konten lassen sich wiederum in der PowerShell anzeigen:
Search-ADAccount -AccountDisabled -UsersOnly | Select -Property Name,DistinguishedNameNeben Benutzerkonten lassen sich auch inaktive Computerkonten mit dem Tool finden:
dsquery computer -inactive <Anzahl der Wochen>Letzte Anmeldungen in Active Directory überprüfen
Um zu überprüfen, wann sich ein Benutzer das letzte Mal an Active Directory angemeldet hat, kann ebenfalls die PowerShell und der folgende Befehl genutzt werden:
Get-ADUser "joost" -Properties LastLogonDate | FT -Property Name, LastLogonDate -ANeben Dsquery kann die PowerShell auch genutzt werden, um ausführlichere Informationen auszulesen:
Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDateLeere Gruppen in Active Directory finden
In diesem Bereich spielen auch Gruppen eine wichtige Rolle, die keine Mitglieder enthalten. Auch hier sollte regelmäßig überprüft werden, ob es solche Gruppen gibt und ob diese in Zukunft noch benötigt werden. Dafür steht in der PowerShell der folgende Befehl zur Verfügung:
Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select NameDie Mitglieder einer Gruppe können ebenfalls in der PowerShell angezeigt werden:
Get-ADGroupMember -Identity <Gruppenname>Dadurch lassen sich zum Beispiel die Domänen-Admins in Active Directory anzeigen.
Überprüfen des Erstellungsdatums von Benutzerkonten
Um zu überprüfen, wann Benutzerkonten erstellt wurden, kann auf die Standardtools „Active Directory-Benutzer und -Computer“ (dsa.msc) und „Active Directory-Verwaltungscenter“ (dsac.exe) gesetzt werden. In den Eigenschaften von Objekten steht dazu die Registerkarte „Objekt“ zur Verfügung. Wird die Registerkarte nicht angezeigt, kann sie über den Menüpunkt „Ansicht\Erweiterte Features“ eingeblendet werden.
Biometrische Anmeldung mit Gruppenrichtlinien konfigurieren
Moderne PCs und Notebooks verfügen über die Möglichkeit, sich per Fingerabdruck oder Gesichtserkennung anmelden zu können. Diese Funktionen lassen sich auch für Benutzerkonten in Windows 10 und Active Directory nutzen. Damit die Technologien genutzt werden können, müssen die entsprechenden Einstellungen aktiviert werden. Das lässt sich in Windows 10 und Active Directory mit Gruppenrichtlinien erledigen.
Hier sind die wichtigsten Einstellungen bei „Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Biometrie“ zu finden. An dieser Stelle kann zum Beispiel auch festgelegt werden, ob die biometrische Anmeldung in Windows 10 mit Active Directory verknüpft werden soll. Für den Betrieb ist auf den Rechnern auch der Systemdienst „Windows-Biometriedienst“ notwendig. Dieser muss gestartet sein.
:quality(80)/p7i.vogel.de/wcms/87/f8/87f88bec164f78e0e22c9e3dca2db421/0102047170.jpeg)
:quality(80)/p7i.vogel.de/wcms/c8/a1/c8a13338f9b3139c9c316d8a01e5ee2c/0106089557.jpeg)
:quality(80)/p7i.vogel.de/wcms/d6/b1/d6b13471629d8ab4757e5ce5ec163c86/0106089303.jpeg)
:quality(80)/p7i.vogel.de/wcms/9b/3e/9b3e1dbdf8eec58771504f96d4e7c62d/0106089295.jpeg)
(ID:46687253)
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/7e/817eed55ba821c90084f762b4d0ee177/0109859543.jpeg "Mit einigen Cmdlets können Admins die Systemsicherheit von Windows 10/11 und auch Windows Server 2016/2019, sowie Windows Server 2022 zum Teil deutlich verbessern. (Bild: monsitj - stock.adobe.com)")