Windows Server & Active Directory – sicher geplant, sauber betrieben
Active Directory (AD DS) ist das Rückgrat deiner Benutzer-, Geräte- und Rechteverwaltung. Wir entwerfen und betreiben AD/Windows-Server so, dass Anmeldung, Gruppenrichtlinien, Fileservices, WLAN (EAP-TLS) und Backups stabil & sicher funktionieren – mit klarer Dokumentation. Grundlagen & Best Practices orientieren sich an Microsoft AD-DS und Empfehlungen des BSI.
🧭 Active Directory kurz erklärt
- Zentrale Identitäten: Benutzer, Gruppen, Computer
- Anmeldung & SSO über Kerberos/NTLM
- Steuerung per Gruppenrichtlinien (GPO) für Sicherheit & Gerätestandards (Security Baselines)
- Namensauflösung mit DNS, Zeitdienst (W32Time)
✅ Was wir konkret liefern
- AD-Design (Forest/Domain, Sites & Services, OUs, Gruppen-/Namenskonzept)
- GPO-Härtung: Passwort-/Lockout-Richtlinien, BitLocker, Firewall, Windows LAPS
- PKI/AD CS, Zertifizierungsstelle, NDES/SCEP für Geräte
- WLAN via NPS/RADIUS – EAP-TLS (EAP-TLS)
- Fileservices: DFS-Namespaces/Replication (DFS-N/DFS-R), NTFS/ACL-Modell
- Monitoring/Backup (z. B. Windows Server Backup)
🔐 Zertifikate & PKI
AD CS mit Enterprise-CA, Zertifikatstemplates und NDES/SCEP stellt Zertifikate für Geräte, Benutzer, VPN/WLAN und Webserver bereit – Basis für Zero-Trust-Szenarien und unsere AD-Zertifikate Suite.
📶 WLAN per RADIUS (EAP-TLS)
Mit NPS und Zertifikaten ermöglichen wir sicheres WLAN/VPN per EAP-TLS. Geräte-Zertifikate verteilen wir auf Wunsch automatisiert über Microsoft Intune.
🗂️ Dateien & Rechte
Durchdachte Freigabestruktur (Abteilungen/Projekte), Rechtematrix (Rollen-basiert), Wiederherstellung, Quotas, DFS-R – alles nachvollziehbar dokumentiert.
- Microsoft Entra Connect (PHS/PTA, Seamless SSO)
- Gruppen/Attribute für SaaS-Apps, M365-Security (MFA, CA, Conditional Access)
- Integration mit Intune/Endpoint Management
- Optional: Defender for Identity zur Angriffsdetektion
- Security Baselines & GPO-Vorlagen (Microsoft Security Baselines)
- BSI-Empfehlungen/Grundschutz-Bausteine (bsi.bund.de)
- Privileged Access, Admin-Tiering, Break-Glass-Konten
- Patch-/Update-Prozess, Protokollierung, Wiederherstellungsplan
Vorgehen in Projekten
1) Analyse & Konzept
IST-Stand (Domänen, DNS, GPO, File-Shares), Pain-Points, Ziele. Ergebnis: AD-Zielbild mit OU-/Gruppenkonzept, GPO-Baseline & Migrationspfad.
2) Umsetzung & Härtung
Domänencontroller, Sites, GPO-Baseline, PKI/NDES, NPS, DFS, Backups. Dokumentation, Notfall-Runbooks, Schulung der Admins.
3) Hybrid & Modern Management
Entra-Connect, Sign-in-Strategie (PHS/PTA), Intune-Onboarding (Autopilot), Schrittweise Ablösung alter GPO-Settings durch MDM-Policies.
- AD-Konzept, GPO-Baseline, Hardening-Checkliste
- PKI/NDES & NPS/RADIUS inkl. Testprotokoll
- Freigaben & Rechtematrix, DFS-Plan
- Monitoring/Backup-Plan & vollständige Doku (Runbooks)
Häufige Fragen
Wie viele Domänencontroller brauche ich?
Für kleine/mittlere Umgebungen bewährt sich mindestens 2 DCs pro Domain und Standort-Redundanz über Sites & Services. Größe/Last entscheiden wir anhand Nutzerzahl, Standorte, Applikationen.
Passwort Hash Sync (PHS) oder Pass-through Authentication (PTA)?
PHS ist einfach & robust, PTA bietet strengere Kontrolle über Sign-ins. Wir richten die passende Sign-in-Methode ein – oft PHS + Seamless SSO.
Kann ich GPOs und Intune parallel nutzen?
Ja. In der Übergangsphase laufen beide. Wir dokumentieren, welche Einstellungen künftig als MDM-Policies in Intune abgebildet werden.
Wie sichere ich Domaincontroller richtig?
Admin-Tiering, LAPS, Härtung nach Baselines, eingeschränkte Anmelderechte, Monitoring und getestete Wiederherstellung. Optional Defender for Identity für Erkennung.
Nächster Schritt
Kostenloser Kurztermin – wir schauen uns Status & Ziele an und priorisieren Maßnahmen.