Start/Active Directory & PKI

Identity · AD & PKI

Active Directory modernisieren — mit sauberem Tiering, PKI und klaren Berechtigungen.

Vom Wildwuchs zur sauberen Domäne: Tiering, AGDLP, eine kleine PKI mit Offline-Root, Zertifikate für WLAN, VPN und S/MIME — dokumentiert übergeben.

📅 AD-Check anfragen Schreib mir

Tiering & PKI

Sauberes Adminmodell und schlanke Zertifizierungsstelle.

AD Tier-Modell

t0 · t1 · t2 — wie im Microsoft-Standard

TIER 0 · DOMAIN CORE
Domain Controller · Schema · KDC
TIER 1 · SERVER
File · Print · App · Database
TIER 2 · CLIENTS
Notebooks · PCs · Helpdesk

PKI Trust Chain

Offline Root + Online Issuing CA

OFFLINE ROOT CA
Air-gapped · 20 Jahre · selbst signiert
ISSUING CA
Online · 10 Jahre · gibt Endcerts aus
ENDPOINT CERTS
EAP-TLS · VPN · S/MIME · Code Signing

Modernisierung

Sauberes Active Directory und PKI Schritt für Schritt.

Bereinigung bestehender AD-Strukturen (OUs, Gruppen, Konten)
Parallele Migration auf Windows Server 2025 mit Schema-Update
FSMO-Rollen schrittweise und kontrolliert übertragen
Namenskonventionen für Konten, Gruppen, OUs und Server
Tier 0/1/2-Adminmodell mit klaren Anmeldebeschränkungen
AGDLP-Berechtigungskonzept — Rechte immer über Gruppen
Offline Root CA und Online Issuing CA (kleine, robuste PKI)
EAP-TLS-WLAN, VPN-Zertifikate, S/MIME-Zertifikate
Group Policy Refresh: Sicherheits-Baseline, Defender, Edge
Dauer typischerweise 4–6 Wochen inkl. Doku und Übergabe

Persönlich von Ali

Warum ich das mache

Active Directory ist das Gehirn deiner Firmen-IT — und in vielen kleinen Unternehmen ist genau dieses Gehirn überfordert. Über Jahre angewachsene Gruppen, Konten ehemaliger Mitarbeitender, Berechtigungen aus historischen Gründen. Mein Job ist es, Ordnung zu schaffen, ohne dass der Betrieb dabei steht — und eine kleine, robuste PKI dazuzustellen, damit dein WLAN, VPN und E-Mail-Signaturen endlich Zertifikate haben.

Für wen lohnt sich das?

Vielleicht erkennst du dich in einer dieser Situationen wieder

🧹

Dein AD ist über Jahre gewachsen

Hunderte Gruppen, Konten ohne klares Konzept, OUs nach Bauchgefühl. Wir bringen Struktur rein.

🔐

Du willst Tier-Modell und AGDLP einführen

Microsoft-Standard — Admin-Konten getrennt von Server- und Workstation-Admins. Sauber dokumentiert.

📜

WLAN, VPN, E-Mail-Zertifikate

Eine eigene PKI kostet weniger als gedacht und löst viele Sicherheitsthemen auf einen Schlag.

🆙

AD soll auf Server 2025 migriert werden

Wir machen die Schemaerweiterung sauber — mit Pilotphase und Rollback-Plan.

So gehen wir vor

Praktische Hinweise zum Ablauf

Wenn du noch keine PKI hast, baue ich dir die kleine Variante: eine Offline-Root-CA (auf einer separaten VM, normalerweise aus) und eine Online-Issuing-CA, die die Endpoint-Zertifikate ausstellt. Das reicht für alle typischen Anwendungen — WLAN, VPN, S/MIME-Mail, Code Signing — und kostet keine Enterprise-Lizenzen.

FAQ

Häufige Fragen

Es trennt strikt zwischen Domänen-Admin (t0), Server-Admin (t1) und Workstation-Admin (t2). Ein kompromittierter Helpdesk-Admin kann dann nicht automatisch die ganze Domäne übernehmen. Standard im Microsoft-Sicherheitsmodell.
Ja, sobald du EAP-TLS-WLAN, VPN-Zertifikate, Code Signing oder S/MIME nutzen willst. Eine kleine, sauber aufgebaute PKI mit Offline-Root und Online-Issuing-CA reicht für viele kleine Unternehmen vollkommen aus.
Account → Global Group → Domain Local Group → Permission. Du legst Berechtigungen nie direkt auf User, sondern auf Gruppen — was Wartung, Audit und Mitarbeiter-Onboarding massiv erleichtert.
Wir migrieren parallel auf Windows Server 2025, übertragen FSMO-Rollen schrittweise und schalten den alten DC erst ab, wenn alles dokumentiert sauber läuft — typischerweise 4–6 Wochen.
Eine Active Directory PKI (Public Key Infrastructure) ist die in Active Directory integrierte Zertifikats-Infrastruktur über die Active Directory Certificate Services (AD CS). Sie stellt vertrauenswürdige Zertifikate aus für EAP-TLS Firmen-WLAN, VPN, S/MIME E-Mail-Verschlüsselung, Codesignatur und Geräte-Identitäten.
Für die meisten kleinen und mittleren Umgebungen ja: eine offline Root-CA und eine ausstellende Sub-CA. Das trennt das höchste Vertrauen vom Tagesbetrieb und lässt sich sauber härten. Bei sehr kleinen Setups kann eine einstufige CA reichen. Ich entscheide das nach Größe, Compliance-Anforderung und Wachstum.
Active Directory Härtung bedeutet, die AD-Domäne nach Best-Practices abzusichern: Tier 0/1/2 Modell für Admin-Trennung, AGDLP-Gruppenstrategie für saubere Berechtigungen, eingeschränkte Service-Accounts, gMSA wo möglich, deaktivierte Legacy-Protokolle (LM, NTLMv1, SMBv1), aktivierter LDAP-Signing und Channel-Binding, sowie regelmäßige Audits mit Tools wie BloodHound und PingCastle. HUGETEC führt diese Härtung als IT-Berater München für kleine und mittelständische Unternehmen durch.
Enterprise PKI ist eine Public-Key-Infrastruktur für Unternehmen: meist eine zweistufige Hierarchie mit Offline Root CA und Issuing CA. Sie liefert Zertifikate für EAP-TLS Firmen-WLAN, VPN-Geräte, S/MIME E-Mail-Verschlüsselung, Code-Signing und Webserver. HUGETEC plant und implementiert schlanke Enterprise-PKI auf Windows Server 2022 oder 2025 nach Best-Practices.
Domain Controller (DC) und PKI sind getrennte Rollen. Die Issuing CA wird in der Domäne integriert, damit Zertifikate per Auto-Enrollment (über Gruppenrichtlinien) an Computer und Benutzer ausgerollt werden können. Best-Practice: DC und Issuing CA NICHT auf demselben Server. Die Offline Root CA bleibt offline und ist nicht Teil der Domäne.
Ja. HUGETEC migriert bestehende Active Directory Umgebungen auf Windows Server 2022 oder 2025, modernisiert PKI-Hierarchien, ersetzt SHA-1 Stammzertifikate, baut Auto-Enrollment auf und dokumentiert die Übergabe. Als IT-Berater München persönlich vor Ort oder DACH-weit remote.

Nächster Schritt

Lass uns reden — 60 Minuten kostenloses Erstgespräch.

Persönliche IT-Beratung aus München. Vor Ort nach Vereinbarung oder DACH-weit remote.

📅 Termin buchen Schreib mir
Top