:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Mehr Sicherheit und einfachere Verwaltung von Benutzerkonten Tipps und Tools für die Benutzer-Verwaltung in Active Directory
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Benutzerkonten sind ein zentrales Element in Active Directory. Wir geben in diesem Beitrag Tipps und zeigen Tools, mit denen sich die Verwaltung von Benutzern vereinfachen und verbessern lässt. Dies erhöht nicht nur die Effizienz sondern wirkt sich auch positiv auf die Sicherheit aus.
Geht es um die Verwaltung von Benutzerkonten, setzen viele Unternehmen auf die Standardtools „Active Directory-Benutzer und -Computer“ (dsa.msc) und „Active Directory-Verwaltungscenter“ (dsac.exe). Im Umgang mit Benutzern gibt es jedoch meist einiges an Optimierungspotential. Vor allem wenn es darum geht, Informationen zu Benutzerkonten abzufragen, kann die PowerShell mit schnellen, einfachen Befehlen helfen.
Z-Hire und Z-Term – Active Directory, Exchange, Lync & Office 365 User Creation Tool
Mit den kostenlosen Tools Z-Hire und Z-Term von Microsoft, lassen sich Benutzerkonten in Active Directory, aber auch in Office 365 anlegen, anpassen und konfigurieren. Mit Z-Term können zudem auch Vorlagen für das Erstellen von Benutzerkonten erzeugt, und die meisten Einstellungen für das Anlegen und Steuern von Benutzern automatisiert werden. Wiederkehrende Einstellungen bei Benutzern oder ähnliche Einstellungen bei Benutzerkonten lassen sich dadurch als Vorlagen speichern.
:quality(80)/p7i.vogel.de/wcms/26/e1/26e17e15dea8f3072b13657a4b39d392/89925549.jpeg "Benutzer können mit Z-Hire und Z-Term automatisiert und effektiver angelegt und Vorlagen erstellt werden.")
:quality(80)/p7i.vogel.de/wcms/fd/02/fd02e54325bceb2fe7b0841692d945b5/89925546.jpeg "Automatisierung für das Anlegen von Benutzern.")
:quality(80)/p7i.vogel.de/wcms/80/6f/806f8d9596b01d63b240979884cca3c3/89925553.jpeg "Mit Z-Hire lassen sich auch flexible Einstellungen und Vorgaben für Benutzer vornehmen.")
:quality(80)/p7i.vogel.de/wcms/f2/65/f2655fe31f955a9a9a631dcbd1e87dc8/89925533.jpeg "Die Objektverwaltung kann in Active Directory auch delegiert werden.")
Benutzerverwaltung einfacher delegieren
Das Zurücksetzen von Kennwörtern und die Verwaltung vorhandener Benutzerkonten kann in Active Directory auch delegiert werden. Dadurch können zum Beispiel die Support-Abteilung oder Abteilungsleiter Kennwörter sehr viel einfacher zurücksetzen, oder Konten freigeben, wenn sich Benutzer durch die falsche Eingabe von Kennwörtern ausgesperrt haben.
Die Delegierung erfolgt durch die Auswahl von „Objektverwaltung zulassen“ im Kontextmenü der Organisationseinheiten. Hier lassen sich mit einem Assistenten verschiedene Rechte delegieren. Generell ist es sinnvoll, die Delegierung über eine Gruppe durchzuführen. Sollen Benutzer das Recht erhalten, Benutzerkonten in einer Organisationseinheit zu verwalten, müssen sie nur in der Gruppe aufgenommen werden, ohne die Delegierung erneut ausführen zu müssen. Auf dem gleichen Weg lassen sich Rechte für Benutzer wieder entfernen.
Schnell und einfach inaktive Benutzerkonten und Computer finden
Nicht mehr verwendete Benutzer- und Computerkonten oder Gruppen ohne Mitglieder belasten die Datenbank von Active Directory und die Replikation unnötig. Hinzu kommen Sicherheitsprobleme, die durch verwaiste Objekte entstehen. Es ist daher sinnvoll, solche Objekte aus dem Active Directory zu entfernen. Finden lassen sich solche Objekte problemlos auch mit Bordmitteln.
Mit dem folgenden Befehl lassen sich zum Beispiel Benutzerkonten anzeigen, die eine bestimmte Anzahl an Wochen nicht mehr verwendet wurden:
dsquery user -inactive <Anzahl der Wochen>Dsquery steht auf Domänencontrollern und auf Computern zur Verfügung, auf denen die Verwaltungstools für Active Directory installiert wurden. Deaktivierte Konten lassen sich wiederum in der PowerShell anzeigen:
Search-ADAccount -AccountDisabled -UsersOnly | Select -Property Name,DistinguishedNameNeben Benutzerkonten lassen sich auch inaktive Computerkonten mit dem Tool finden:
dsquery computer -inactive <Anzahl der Wochen>Letzte Anmeldungen in Active Directory überprüfen
Um zu überprüfen, wann sich ein Benutzer das letzte Mal an Active Directory angemeldet hat, kann ebenfalls die PowerShell und der folgende Befehl genutzt werden:
Get-ADUser "joost" -Properties LastLogonDate | FT -Property Name, LastLogonDate -ANeben Dsquery kann die PowerShell auch genutzt werden, um ausführlichere Informationen auszulesen:
Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDateLeere Gruppen in Active Directory finden
In diesem Bereich spielen auch Gruppen eine wichtige Rolle, die keine Mitglieder enthalten. Auch hier sollte regelmäßig überprüft werden, ob es solche Gruppen gibt und ob diese in Zukunft noch benötigt werden. Dafür steht in der PowerShell der folgende Befehl zur Verfügung:
Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select NameDie Mitglieder einer Gruppe können ebenfalls in der PowerShell angezeigt werden:
Get-ADGroupMember -Identity <Gruppenname>Dadurch lassen sich zum Beispiel die Domänen-Admins in Active Directory anzeigen.
Überprüfen des Erstellungsdatums von Benutzerkonten
Um zu überprüfen, wann Benutzerkonten erstellt wurden, kann auf die Standardtools „Active Directory-Benutzer und -Computer“ (dsa.msc) und „Active Directory-Verwaltungscenter“ (dsac.exe) gesetzt werden. In den Eigenschaften von Objekten steht dazu die Registerkarte „Objekt“ zur Verfügung. Wird die Registerkarte nicht angezeigt, kann sie über den Menüpunkt „Ansicht\Erweiterte Features“ eingeblendet werden.
Biometrische Anmeldung mit Gruppenrichtlinien konfigurieren
Moderne PCs und Notebooks verfügen über die Möglichkeit, sich per Fingerabdruck oder Gesichtserkennung anmelden zu können. Diese Funktionen lassen sich auch für Benutzerkonten in Windows 10 und Active Directory nutzen. Damit die Technologien genutzt werden können, müssen die entsprechenden Einstellungen aktiviert werden. Das lässt sich in Windows 10 und Active Directory mit Gruppenrichtlinien erledigen.
Hier sind die wichtigsten Einstellungen bei „Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Biometrie“ zu finden. An dieser Stelle kann zum Beispiel auch festgelegt werden, ob die biometrische Anmeldung in Windows 10 mit Active Directory verknüpft werden soll. Für den Betrieb ist auf den Rechnern auch der Systemdienst „Windows-Biometriedienst“ notwendig. Dieser muss gestartet sein.
:quality(80)/images.vogel.de/vogelonline/bdb/1417100/1417127/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848868/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848869/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848870/original.jpg)
(ID:46687253)
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904510/original.jpg "Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. (NicoElNino - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")