Brauche ich noch Active Directory mit Microsoft 365?

Bei reinen Cloud-Diensten Wechsel zu Entra ID möglich. Mit lokalen Servern und Datei-Shares bleibt AD unverzichtbar. Hybrid-Setups sind aktuell häufigster Fall.

Was kostet AD-Hardening für ein KMU?

Für ein KMU mit einem AD-Forest, 2-3 DCs und 50-100 Mitarbeitenden 5-10 Beratertage für vollständiges Hardening. Quick-Wins in 1-2 Tagen.

Windows Server & Active Directory

Server, die einfach laufen — sauber geplant, gehärtet, dokumentiert

Active Directory ist das Rückgrat fast jeder Firmen-IT — und gleichzeitig das beliebteste Angriffsziel von Cyber-Kriminellen. Ein schlecht eingerichtetes AD ist wie ein Haus mit offener Tür: Wenn ein Angreifer einmal drin ist, hat er Zugriff auf alles.

Ich plane, baue und betreibe deine Windows-Server-Umgebung so, dass sie sicher ist, nachvollziehbar, und im Notfall in 4 Stunden wiederherstellbar. Mit klarer Trennung von Admin-Konten (Tier-Modell), gehärteten Gruppenrichtlinien und Backups, die wirklich funktionieren.

Erstgespräch buchen Tier-Modell ansehen

🖧

Was du am Ende hast

✓Saubere AD-Struktur (OU, Gruppen)
✓Tier-Modell (Tier 0/1/2)
✓Gehärtete GPOs nach BSI
✓LAPS für lokale Admin-Passwörter
✓Backup mit getestetem Restore
✓Hybrid-Anbindung an Entra ID
✓Komplette Doku als PDF

Was ich für dich mache

Server-Themen im Überblick

Ob du einen neuen Server aufbaust, eine bestehende Umgebung übernehmen lässt oder dein AD nach einem Audit härten musst — diese Bausteine setze ich für dich um.

🏗️

AD-Design & Aufbau

OU-Struktur, Gruppen-Modell (Rollen + Ressourcen), Sites & Services, DNS, Service-Accounts.

🛡️

GPO-Härtung

Sicherheits-Baselines, BitLocker, Firewall-Regeln, Lockout-Policies, Anmeldebeschränkungen.

🔑

Tier-Modell

Strikte Trennung von Admin-Konten und Workstations — verhindert Lateral Movement.

🔐

LAPS

Lokales Admin-Passwort pro Gerät, automatisch rotiert. Nie wieder das gleiche Passwort überall.

📂

DFS & Fileservices

Namensraum für Dateifreigaben, Replikation zwischen Standorten, Quotas, NTFS-Berechtigungen.

💾

Backup & Recovery

3-2-1-Strategie: 3 Kopien, 2 Medien, 1 offsite. Inklusive getestetem Wiederherstellungs-Plan.

🌉

Hybrid mit Entra Connect

AD und Entra ID synchronisieren — Single-Sign-On für Cloud-Apps mit lokalen Identitäten.

🔍

Defender for Identity

Erkennt Angriffe auf dein AD in Echtzeit — Pass-the-Hash, Golden Ticket, ungewöhnliche Logins.

📊

Monitoring

Health-Checks, AD Replikation, DC-Performance, Alerts bei Auffälligkeiten.

Sicherheits-Konzept

Das Tier-Modell — warum Admin-Trennung deinen Tag rettet

Stell dir vor: Ein Mitarbeiter klickt auf einen Phishing-Link. Sein Konto wird übernommen. In einem schlecht aufgesetzten AD ist alles offen, weil Admin-Konten oft gleichzeitig auf Servern und Arbeitsplätzen verwendet werden. Im Tier-Modell ist das strikt getrennt — und ein einzelner Klick kann die Firma nicht mehr lahmlegen.

Tier 0

Domain Controller & PKI

Die kritischsten Systeme — wer hier rein kommt, kontrolliert alles. Schutz auf höchster Stufe.

Eigene Admin-Konten (keine Mehrfachverwendung)
Keine Anmeldung an Workstations
Privileged Access Workstations (PAW)
Nur über sichere Bastion erreichbar

Tier 1

Server & Anwendungen

File-Server, Datenbanken, Anwendungsserver — wichtig, aber weniger kritisch als Domain Controller.

Eigene Server-Admin-Konten
Keine Anmeldung an Workstations
Keine Anmeldung an DCs
Verwaltung über sichere Jumphosts

Tier 2

Workstations & Helpdesk

Laptops und PCs der Mitarbeitenden. Helpdesk-Mitarbeiter dürfen hier administrieren — aber nur hier.

Eigene Helpdesk-Admin-Konten
LAPS für lokale Admins
Keine Domain-Admin-Anmeldung
Standardanwender ohne lokale Admin-Rechte

Praxis-Beispiele

PowerShell-Snippets aus echten Projekten

Hier ein paar typische PowerShell-Befehle, mit denen ich AD-Umgebungen automatisiere. Alles, was wiederholt wird, sollte automatisiert sein — sonst schleichen sich Fehler ein.

Beispiel 1: Neue OU-Struktur erstellen

# Standard-OUs für eine saubere AD-Struktur anlegen
$baseDN = "DC=hugetec,DC=local"

$ous = @(
    "OU=Tier0,$baseDN",
    "OU=Tier1,$baseDN",
    "OU=Tier2,$baseDN",
    "OU=Users,OU=Tier2,$baseDN",
    "OU=Workstations,OU=Tier2,$baseDN",
    "OU=Servers,OU=Tier1,$baseDN",
    "OU=ServiceAccounts,OU=Tier1,$baseDN"
)

foreach ($ou in $ous) {
    $name = ($ou -split ",")[0] -replace "OU=",""
    $path = $ou -replace "^OU=[^,]+,",""
    New-ADOrganizationalUnit -Name $name -Path $path `
        -ProtectedFromAccidentalDeletion $true
}

Beispiel 2: AD Health-Check

# Prüft Replikation, FSMO-Rollen, DC-Status
Import-Module ActiveDirectory

# Replikations-Status aller DCs
repadmin /replsummary

# DCdiag - umfassender DC-Health-Check
dcdiag /v /e /q

# FSMO-Rollen anzeigen
netdom query fsmo

# Letzte Anmeldung aller Domain-Admins
Get-ADGroupMember "Domain Admins" | ForEach-Object {
    Get-ADUser $_ -Properties LastLogonDate, Enabled |
    Select-Object Name, LastLogonDate, Enabled
}

Ablauf

In 5 Schritten zur sauberen Server-Umgebung

1

IST-Analyse

Was ist da? Domain Controller, Server, GPOs, Backup-Konzept, Schwachstellen.

2

Konzept

Zielbild mit OU-Plan, GPO-Baseline, Tier-Modell, Migrationspfad.

3

Umsetzung

Domain Controller, GPOs, PKI, NPS, Backup, Monitoring — schrittweise.

4

Hardening

BSI-Empfehlungen, Microsoft-Baselines, LAPS, Defender for Identity.

5

Übergabe

Komplette Doku, Schulung deiner Admins, optional Managed Service.

Was Kunden sagen

Stimmen aus der Praxis

Hinweis: Bitte echte Kundenstimmen einsetzen.

„[Hier echtes Zitat zur Server-/AD-Einrichtung einsetzen.]"

— [Kundenname], [Position], [Firma]

Ali Sasanipour, IT-Berater aus München

Active Directory ist eines meiner Kernthemen seit über 10 Jahren. Ich habe AD-Umgebungen neu aufgebaut, übernommen, gehärtet und in die Cloud gebracht — von 20 Benutzern bis mehrere hundert. Was mich antreibt: AD-Sicherheit ist die unsichtbare Versicherung, die niemand bemerkt, bis es zu spät ist. Lass uns deine Umgebung gemeinsam fit für 2026 machen — schreib mir kurz.

Was gut dazu passt

🔑

Active Directory PKI

Eigene Zertifizierungsstelle für sicheres WLAN, VPN und S/MIME.

📱

Microsoft Intune & Entra

Cloud-Identität neben dem lokalen AD — Hybrid-Setup.

⚙️

PowerShell Automation

Wiederkehrende AD-Aufgaben automatisieren — Onboarding, Reports.

Häufige Fragen

Was Kunden zu Windows Server fragen

Wie viele Domain Controller brauche ich wirklich?

Mindestens zwei pro Standort — niemals nur einen. Wenn ein DC ausfällt, muss ein zweiter da sein, sonst kann sich keiner mehr anmelden. Bei mehreren Standorten kommen Sites & Services dazu, damit jeder Standort einen lokalen DC hat. Konkrete Anzahl hängt von Nutzern und Anwendungen ab — kläre ich gerne im Erstgespräch.

Was ist mit dem alten Windows Server 2012 / 2016?

Windows Server 2012 R2 hat Mainstream-Support seit 2018 verloren, Extended Support endete 2023. Windows Server 2016 ist noch in Extended Support bis Januar 2027. Ich empfehle dringend einen Upgrade-Pfad zu Windows Server 2022 oder 2025 — bei der Gelegenheit räumen wir AD-Altlasten gleich mit auf.

Brauche ich noch Active Directory in Zeiten von Microsoft 365?

Kommt drauf an. Wenn du nur Cloud-Dienste nutzt (M365, Teams, SharePoint) und keine internen Server, kannst du komplett zu Entra ID wechseln. Wenn du lokale Server, Datei-Shares oder Windows-Anwendungen hast, bleibt AD erstmal unverzichtbar. Hybrid-Setups (lokales AD + Entra ID) sind aktuell der häufigste Fall.

Wie sichere ich Domain Controller gegen Angriffe?

Mehrschichtig: Tier-Modell für Admin-Konten, LAPS für lokale Admin-Passwörter, Microsoft Security Baselines via GPO, Defender for Identity zur Angriffserkennung, regelmäßige Patches, getestete Backups und ein dokumentierter Wiederherstellungs-Plan. Klingt viel — ist es auch. Aber jeder einzelne Baustein erhöht deine Sicherheit erheblich.

Was ist ein typischer Aufwand für die Härtung eines bestehenden AD?

Für ein KMU mit einem AD-Forest, 2-3 DCs und 50-100 Mitarbeitenden rechne mit 5-10 Beratertagen für ein vollständiges Hardening — IST-Analyse, Konzept, GPO-Anpassungen, LAPS-Rollout, Tier-Trennung, Doku. Quick-Wins (z.B. SMBv1 deaktivieren, NTLMv1 abschalten) gehen in 1-2 Tagen.

Bietest du auch laufenden Betrieb (Managed Service)?

Ja, optional. Monatliche Pakete mit regelmäßigen Health-Checks, Patch-Management, Reporting, Notfall-Reaktion. Wir vereinbaren konkrete SLAs für Reaktionszeit und Verfügbarkeit. Mehr dazu auf der Support-Seite.

Fachbegriffe

Glossar — Windows Server & AD verständlich

Domain Controller (DC)

Server, der Active Directory hostet — verwaltet Benutzer, Geräte, Anmeldungen.

OU (Organizational Unit)

Logischer Container in AD, in dem Objekte (Benutzer, Computer) organisiert werden.

GPO (Group Policy Object)

Gruppenrichtlinie — zentrale Konfiguration für Geräte und Benutzer (z.B. Bildschirmsperre nach 5 Min).

FSMO-Rollen

Spezielle AD-Rollen (Schema Master, RID Master usw.), die nur ein DC gleichzeitig haben darf.

LAPS

Local Administrator Password Solution — automatisch rotierende lokale Admin-Passwörter pro Gerät.

DFS-N / DFS-R

Distributed File System Namespaces (logische Pfade) und Replication (Datei-Replikation zwischen Servern).

Kerberos

Authentifizierungs-Protokoll von AD — sicherer und schneller als das alte NTLM.

Entra Connect

Tool, das lokales AD mit Microsoft Entra ID synchronisiert — Voraussetzung für Hybrid-Identitäten.

Dein nächster Schritt

Lass uns deine Server-Umgebung sichern

15 Minuten kostenlos. Wir besprechen deinen Status und ich nenne dir die wichtigsten Quick-Wins, die du sofort umsetzen kannst — auch ohne mich zu beauftragen.

Termin buchen Lieber schreiben