Start/Active Directory & PKI

Identity · AD & PKI

Active Directory modernisieren — mit sauberem Tiering, PKI und klaren Berechtigungen.

Vom Wildwuchs zur sauberen Domäne: Tiering, AGDLP, eine kleine PKI mit Offline-Root, Zertifikate für WLAN, VPN und S/MIME — dokumentiert übergeben.

📅 AD-Check anfragen → Schreib mir

Tiering & PKI

Sauberes Adminmodell und schlanke Zertifizierungsstelle.

AD Tier-Modell

t0 · t1 · t2 — wie im Microsoft-Standard

TIER 0 · DOMAIN CORE

Domain Controller · Schema · KDC

TIER 1 · SERVER

File · Print · App · Database

TIER 2 · CLIENTS

Notebooks · PCs · Helpdesk

PKI Trust Chain

Offline Root + Online Issuing CA

OFFLINE ROOT CA

Air-gapped · 20 Jahre · selbst signiert

ISSUING CA

Online · 10 Jahre · gibt Endcerts aus

ENDPOINT CERTS

EAP-TLS · VPN · S/MIME · Code Signing

Modernisierung

Sauberes Active Directory und PKI Schritt für Schritt.

Bereinigung bestehender AD-Strukturen (OUs, Gruppen, Konten)

Parallele Migration auf Windows Server 2025 mit Schema-Update

FSMO-Rollen schrittweise und kontrolliert übertragen

Namenskonventionen für Konten, Gruppen, OUs und Server

Tier 0/1/2-Adminmodell mit klaren Anmeldebeschränkungen

AGDLP-Berechtigungskonzept — Rechte immer über Gruppen

Offline Root CA und Online Issuing CA (kleine, robuste PKI)

EAP-TLS-WLAN, VPN-Zertifikate, S/MIME-Zertifikate

Group Policy Refresh: Sicherheits-Baseline, Defender, Edge

Dauer typischerweise 4–6 Wochen inkl. Doku und Übergabe

Persönlich von Ali

Warum ich das mache

Active Directory ist das Gehirn deiner Firmen-IT — und in vielen kleinen Unternehmen ist genau dieses Gehirn überfordert. Über Jahre angewachsene Gruppen, Konten ehemaliger Mitarbeitender, Berechtigungen aus historischen Gründen. Mein Job ist es, Ordnung zu schaffen, ohne dass der Betrieb dabei steht — und eine kleine, robuste PKI dazuzustellen, damit dein WLAN, VPN und E-Mail-Signaturen endlich Zertifikate haben.

Für wen lohnt sich das?

Vielleicht erkennst du dich in einer dieser Situationen wieder

🧹

Dein AD ist über Jahre gewachsen

Hunderte Gruppen, Konten ohne klares Konzept, OUs nach Bauchgefühl. Wir bringen Struktur rein.

🔐

Du willst Tier-Modell und AGDLP einführen

Microsoft-Standard — Admin-Konten getrennt von Server- und Workstation-Admins. Sauber dokumentiert.

📜

WLAN, VPN, E-Mail-Zertifikate

Eine eigene PKI kostet weniger als gedacht und löst viele Sicherheitsthemen auf einen Schlag.

🆙

AD soll auf Server 2025 migriert werden

Wir machen die Schemaerweiterung sauber — mit Pilotphase und Rollback-Plan.

So gehen wir vor

Praktische Hinweise zum Ablauf

Wenn du noch keine PKI hast, baue ich dir die kleine Variante: eine Offline-Root-CA (auf einer separaten VM, normalerweise aus) und eine Online-Issuing-CA, die die Endpoint-Zertifikate ausstellt. Das reicht für alle typischen Anwendungen — WLAN, VPN, S/MIME-Mail, Code Signing — und kostet keine Enterprise-Lizenzen.

FAQ

Häufige Fragen

Es trennt strikt zwischen Domänen-Admin (t0), Server-Admin (t1) und Workstation-Admin (t2). Ein kompromittierter Helpdesk-Admin kann dann nicht automatisch die ganze Domäne übernehmen. Standard im Microsoft-Sicherheitsmodell.

Ja, sobald du EAP-TLS-WLAN, VPN-Zertifikate, Code Signing oder S/MIME nutzen willst. Eine kleine, sauber aufgebaute PKI mit Offline-Root und Online-Issuing-CA reicht für viele kleine Unternehmen vollkommen aus.

Account → Global Group → Domain Local Group → Permission. Du legst Berechtigungen nie direkt auf User, sondern auf Gruppen — was Wartung, Audit und Mitarbeiter-Onboarding massiv erleichtert.

Wir migrieren parallel auf Windows Server 2025, übertragen FSMO-Rollen schrittweise und schalten den alten DC erst ab, wenn alles dokumentiert sauber läuft — typischerweise 4–6 Wochen.

Nächster Schritt

Lass uns reden — 60 Minuten kostenloses Erstgespräch.

Persönliche IT-Beratung aus München. Vor Ort nach Vereinbarung oder DACH-weit remote.

📅 Termin buchen → Schreib mir

Top