Microsoft Exchange and Active Directory Blog
In an Active Directory domain, the problem occurred that no new computers could be added to the Active Directory. The error message when adding the client was as follows: In the domain, an Identity Manager was able to create the computer before it was added to the Active Directory (pre-staged) and not only when it was added ... Read more
Windows Server 2025 offers new features for Active Directory (AD DS) and Active Directory Lightweight Domain Services (AD LDS) for the first time in a long time. With the new features, Active Directory scales better even in very large environments and brings additional improvements for security and stability. Optional feature for 32k database page size Since the introduction of Active Directory ... Read more
Some Active Directory features cannot be defined for organizational units but only for AD groups. One example of this is Fine Grained Password Policies. If you still want to apply such features to all users of an organizational unit, simply create a group with all users who are stored in the OU. This group is also called a shadow group. ... Read more
Service accounts for starting Windows services or scheduled tasks are often configured with the "password never expires" attribute and then used for years. Often such service accounts are also alienated for a specific purpose and used on many servers for a wide variety of tasks. Service accounts with far-reaching authorizations and passwords that never expire then make it easier for ... Read more
Some readers of this blog have requested an article on delegating admin authorizations. Most requests revolve around the fact that certain administrative tasks, such as creating user accounts or resetting passwords, should be carried out by users. Of course, these users should not have Domain Admin authorizations, but only the authorizations required for their activities. Read more
Sometimes it may be necessary to subsequently change the IP and host name of a domain controller, for example if a new domain controller replaces an old one and is to be accessible under the same IP and name. Changing the IP address of a domain controller is normally possible without any problems, changing the host name of a domain controller ... Read more
Häufig werden Benutzer zur lokalen Gruppe “Administratoren” auf Servern oder PCs hinzugefügt, damit Benutzer Admin Rechte auf entsprechenden Rechnern erhalten. Zwar ist dies die einfachste Möglichkeit um einem Benutzerkonto Admin Rechte zu konfigurieren, aber leider verliert man hier schnell die Übersicht. Hier mal ein Beispiel der Mitglieder der lokalen Administrator Gruppe eines Servers: Die Benutzer … Read more
In diesem dritten Teil der Artikelreihe “Einfache Maßnahmen für mehr Sicherheit im AD” geht es um die Passwörter der lokalen Administrator Konten. In vielen Umgebungen sind die lokalen Administrator Passwörter immer gleich, dies öffnet Malware mitunter aber Tür und Tor und macht das Lateral Movement erst möglich oder vereinfacht es zumindest. Unterschiedliche Passwörter für den … Read more
Die grundlegende Funktionsweise der Admin Tiers hatte ich bereits in Teil 1 dieser Artikelserie beschrieben, in diesem Artikel geht es nun um die Einrichtung von Admin Tiers in einer bestehenden Umgebung. Grundsätzlich ist es sinnvoll, wenn bereits mindestens ein Admin Host installiert wurde. Im Großen und Ganzen geht es in diesem Artikel erst einmal darum … Read more
In Teil 1 dieser Artikelserie wurden bereits Maßnahmen vorgestellt um die Sicherheit des Active Directory zu verbessern. Die nächsten Artikel widmen sich nun der Umsetzung der genannten Maßnahmen innerhalb eines bestehenden Active Directory anhand einer Beispielumgebung. In diesem Artikel geht es zunächst um den Admin Host. Einleitung Als Beispiel kann hier das fiktive Unternehmen “FrankysWebLab” … Read more
