Scroll Top

Active Directory

AUFBAU UND MANAGEMENT EINER AD INFRASTRUKTUR
ANALYSE DES IST-ZUSTANDES DES BESTEHENDEN ACTIVE DIRECTORY

  • Analyse und Bereinigung des AD: wesentliches behalten, Altlasten entsorgen.
  • Analyse der bestehenden Rollenmodelle: essentielles betreiben, redundantes auflösen
  • Detaillierte Dokumentation des Ist-Zustandes: sehen und verstehen
  • Analyse von bestehenden Schwachstellen: open minded, nicht open security
  • Ausarbeiten und Unterstützung einer Handlungsempfehlung: wir sorgen mit Ihnen für Sicherheit
  • Vorbereitung der Umsetzung von ESAE (Enhanced Security Administrative Environment): tiering ohne Reue
  • Vorbereitung und Implementierung von Smart Card Logon (On-Premises) und FIDO2 (hybride und native Cloud-Nutzung)
  • Vorbereitung der Umsetzung eines Bastion- / Privileged-Forest: skalierfähig und sicher
Transite - old to new

Active Directory – Der zentrale Verzeichnisdienst von Microsoft

Active Directory zählt heute weltweit zu den am häufigsten eingesetzten Serverdiensten von Microsoft. Unternehmen jeder Größenordnung vertrauen seit Jahrzehnten auf das Domänen- und Vertrauensmodell des Microsoft-Verzeichnisdienstes. Bereitgestellt wird Active Directory über das Serverbetriebssystem Microsoft Windows Server, das aktuell in der Version Windows Server 2025 verfügbar ist.

Mit Active Directory lassen sich Windows-Clients, Benutzer, Gruppen und andere Ressourcen zentral verwalten. Diese Objekte werden in einer hierarchischen Verzeichnisstruktur organisiert, die sich durch sogenannte Organisationseinheiten (OUs) abbilden lässt – ideal, um unternehmensinterne Strukturen, Zuständigkeiten und Berechtigungen präzise zu modellieren. Auch Konzepte wie Gruppenrichtlinien sowie weitere Objekttypen – etwa Drucker oder Server – lassen sich innerhalb der Domäne abbilden. Ergänzend dazu kann Entra ID (vormals Azure AD) in hybriden Szenarien weitere Cloud-basierte Identitätsdienste integrieren.

Das Herzstück jeder Active-Directory-Domäne ist der Domain Controller, der sämtliche Informationen über die Domäne bzw. Gesamtstruktur (Forest) enthält. Durch das Multi-Master-Replikationsmodell bietet AD eine hohe Ausfallsicherheit: Jeder Domain Controller verfügt über eine vollständige Kopie des Verzeichnisses – ein erheblicher Vorteil bei der Wiederherstellung nach Systemausfällen oder Datenverlust.

25 Jahre Active Directory

Die IQunit betreut Active-Directory-Umgebungen seit Windows Server 2000 – von kleinen Netzwerken bis zu komplexen Enterprise-Installationen.
Unsere langjährige Erfahrung aus zahlreichen Projekten garantiert Ihnen eine professionelle, sichere und zukunftsfähige AD-Architektur.

Active Directory 2025

TRANSITION DES BESTEHENDEN AD AUF WINDOWS SERVER 2025

  • Deaktivieren der RC4-Verschlüsselung bei Kerberos und Überführung auf AES-Verschlüsselung
  • Deaktvieren von LM, NTLMv1 und NTLMv2
  • Ermittlung der mindestens notwendigen Anzahl an Domain Controllern; Abwägung von Verfügbarkeit und notwendiger zusätzlich Investition
  • Installation der neuen Domain Controller und Deinstallation der alten Domain Controller (mitten im Regelbetrieb möglich)
  • Implementierung zur Sicherheit bei den Anmeldeprozessen von Clients und Servern ab Server 2008 und Windows Vista (in der Regel ab Server 2019 / Server 2022 und ab Windows 10 / 11)
  • Verbesserung der Domain Controller Redundanz bei Replikation und Anmeldeprozessen
  • Detaillierte Dokumentation des erreichten Transistionszustandes

Active Directory Security

Active Directory Security

Sicherheit für Ihre Active Directory-Umgebung

Active Directory (AD) ist in den meisten Unternehmen das zentrale System zur Verwaltung von Benutzern, Rechten und Computern – entsprechend hat seine Absicherung höchste Priorität. Für die Authentifizierung setzt AD maßgeblich auf das Kerberos-Protokoll, das am MIT für den Einsatz in offenen Netzwerken entwickelt wurde.

Allerdings weisen sowohl Active Directory als auch Kerberos heute zahlreiche bekannte Design-Schwächen auf – bedingt durch das Alter der Technologien (über 30 Jahre) und historisch gewachsene Strukturen. Zudem sind viele AD-Umgebungen nicht mehr vollständig DSGVO-konform.

IQunit unterstützt Sie dabei, die Sicherheit Ihres Active Directory zu analysieren, zu bewerten und gezielt zu verbessern.
Kritische Angriffsvektoren wie Golden und Silver Tickets oder Kerberoasting lassen sich beispielsweise durch das Deaktivieren veralteter RC4-Verschlüsselung sowie den Entzug unnötiger lokaler Administratorrechte und Debug-Privilegien deutlich reduzieren. Wir untersuchen systematisch den Einsatz unsicherer Protokolle wie RC4, LM, NTLMv1 und NTLMv2 und entwickeln konkrete Maßnahmen zur Minimierung der Angriffsfläche.

Auch übermäßig komplexe oder zu weitreichende Berechtigungsstrukturen stellen ein erhebliches Risiko dar – insbesondere in großen AD-Umgebungen. Hier orientieren wir uns an bewährten Microsoft-Empfehlungen wie dem Extended Security Administrative Environment (ESAE) und dessen modernem Nachfolger, dem Rapid Modernization Plan (RaMP).

Multi-Faktor-Authentifizierung als Schlüsselmaßnahme

Aufgrund regulatorischer Anforderungen wie dem BSI-Gesetz, dem IT-Grundschutz-Kompendium, der DSGVO, der KRITIS-Verordnung, den BAIT/VAIT/KAIT/ZAIT, der ISO/IEC 27001 sowie – indirekt – der DORA-Verordnung wird der Einsatz von Multi-Faktor-Authentifizierung (MFA) dringend empfohlen oder sogar vorausgesetzt.

Wir helfen Ihnen, MFA-Lösungen für On-Premises-, hybride oder Cloud-Umgebungen sicher, effizient und nachhaltig zu implementieren und zu betreiben.

Group Policy

AUFBAU UND MANAGEMENT EINER GROUP POLICY INFRASTRUKTUR

Analyse des ist-Zustandes der bestehenden Group Policies (GPO)

  • Analyse der einzelnen Group Policies
  • Analyse der Abarbeitungszeit durch die bestehenden Group Policies
  • Erfassung von Synergieeffekten durch Konsolidierung der bestehenden Group Policies
  • Analyse der Sicherheitsrisiken durch bestehende Group Policies
  • Analyse der Replikationsgeschwindigkeit und von Replikationsproblemen der bestehenden Group Policies

Umsetzung der Analyseergebnisse der bestehenden Gruppenrichtlinien

  • Inhaltlich sinnvolles Konsolidieren der bestehenden Group Policies
  • Fehlerbehebung der bestehenden Group Policies aus der vorausgehenden Analyse
    Group Policy
    • Ermittlung von alternativen Konzepten durch DSC (Desired State Configuration) und/oder Intunes
    • Anpassen der bestehenden Group Policies an Windows 11
    • Anpassen der bestehenden Group Policies an die DSGVO

    Microsoft Exchange

    AUFBAU & MANAGEMENT EINER MICROSOFT EXCHANGE ORGANISATION

    • Transition zu Exchange 2016/2019
    • Planung und Konfiguration einer DAG
    • Archivierung und Compliance
    • Public Folder Management
    • Backup und Restore
    • Troubleshooting
    Exchange On-Premises

    RECOVERY VON DB UND SERVER

    • Recovery DB
    • Move DB new Exchange Organisation
    • Merge Logs/DBs
    • Restore Server Single/DAG + Restore delete Exchange Server AD account
    • Hilfe bei korrupter Datenbank, die nicht mehr gemountet werden kann
    • Single Item Recovery + Litigation Hold Best Practise
    • Abtrennen von Mailboxen ohne Zusatztool bei Unternehmen Spaltungen
    • Tipps und Trick Backup und Restore
    • Support, auch wenn die DB in einer DAG sich nicht mehr bereitstellen lässt
    • Support bei Index Fehler: Ab 2019 ist der Index in der DB, nicht mehr separat
    Microsoft Exchange Server ist eines der am meisten genutzten Microsoft-Server-Produkte und einer der meistgenutzten E-Mail-Server überhaupt. Wie auch Active Directory existiert Microsoft Exchange Server bereits seit vielen Jahren und hatte seinen initialen Release im Jahre 1996. Seitdem hat sich das Produkt Microsoft Exchange stetig weiterentwickelt und liegt mittlerweile in der Version Exchange Server 2019 (15.2) vor.
    Microsoft Exchange Server stellt dabei für Benutzer Postfächer für die gemeinsame Kommunikation über E-Mails bereit sowie Terminmanagement über Kalender und Einladungen, sowie Kontakte- und Aufgabenverwaltung. Exchange Server zeichnet sich vor allem durch Ihre grosse Skalierbarkeit aus, auch mehrere Zehntausende Postfächer sind für Exchange kein Problem. Die Exchange-Infrastruktur kann jederzeit durch das Hinzufügen weiterer Exchange Server oder durch die Erstellung einer DAG (Database Availability Group) erweitert und hochverfügbar gemacht werden.
    Wir von der IQunit arbeiten bereits seit der Version 5.5 mit Exchange Server und haben daher umfassende Erfahrung im Aufbau, Betrieb und Management von Exchange Server. Enterprise-Themen wie Disaster Recovery der Exchange Datenbank, Autoreseed oder Federation mit anderen Organisationen sind uns daher bestens bekannt.