Systeme: Active Directory als Appliance betreiben

Die Active Directory Domain Services (ADDS) erfahren zunehmend Aufmerksamkeit in vielen Unternehmen, insbesondere wenn das Active Directory (AD) auf Basis von Windows Server 2003 oder 2008 betrieben wird. Einerseits kommt die Hardware solcher Systeme in die Jahre, andererseits hat Microsoft mit Windows Server 2012 und R2 einige attraktive Neuerungen für das Verzeichnis implementiert, die Virtualisierung und Deployment vereinfachen. Gründe genug für eine AD-Frischekur!

Die Angst vor dem AD-Update

Erschwert wird die Aktualisierung der Domänencontroller jedoch typischerweise durch Entscheidungsträger, die das AD nicht selten als immerwährenden Dienst im Hintergrund sehen, der keine offensichtliche Rolle für das Unternehmen spielt. Die Konsequenzen eines Teil- oder Komplettausfalls des AD sind nur wenigen wirklich bewusst.

Funktioniert das Active Directory überwiegend störungsfrei, ist selten Anlass für eine Änderung gegeben. Oft sind die Zweifel an der Notwendigkeit eines Updates begleitet von Vorschlägen, das Update des Verzeichnisses mit anderen Diensten zu koppeln – etwa Datei- und Druckdienste auf den Domänencontrollern oder Dateiablagen für Softwareverteilung. Das soll Kosten durch Kreuzdeckung mit anderen Projekten senken. Außer Acht gelassen wird hierbei der Sicherheitsaspekt beim Betrieb der DC.

In Sachen Sicherheit der Domänencontroller werden häufig aus Bequemlichkeit Kompromisse eingegangen: DCs werden wie andere Workloads überwacht und verwaltet, eventuell von einem ausgelagerten Team. Software und Werkzeuge für Monitoring und Verwaltung erfordern häufig Agenten mit weitreichenden Berechtigungen im Betriebssystem und lassen sich nicht mit “Least Privilege” betreiben. Mit so einem Account ist die Übernahme des AD und dessen Daten ein Klacks – keine erstrebenswerte Situation.Wir schlagen daher einen Architekturansatz

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.