Jedes Active Directory wächst mit der Zeit – und mit ihm die Zahl an Konten, die niemand mehr braucht. Ausgetretene Mitarbeitende, alte Testkonten, vergessene Service-Accounts: Jeder dieser Einträge vergrössert die Angriffsfläche. Eine regelmässige Bereinigung ist deshalb kein Aufräum-Luxus, sondern aktive Sicherheitsarbeit. Diese Checkliste führt Sie durch die wichtigsten Punkte.
Warum ein sauberes AD wichtig ist
- Sicherheit: Inaktive Konten mit gültigem Passwort sind ein beliebtes Einfallstor – sie fallen niemandem auf.
- Compliance: Bei Audits (ISO 27001, revidiertes DSG) müssen Sie nachweisen, wer Zugriff hat und warum.
- Übersicht: Ein verschlanktes AD lässt sich schneller verwalten und sicherer absichern.
Die Checkliste – Schritt für Schritt
- Inaktive Benutzerkonten finden. Konten ohne Anmeldung in den letzten 90 Tagen sind verdächtig. Per PowerShell schnell ermittelt – siehe Snippet unten.
- Konten ehemaliger Mitarbeitender prüfen. Gleichen Sie das AD mit der HR-Liste ab. Jedes Konto ohne aktiven Beschäftigten gehört deaktiviert.
- „Password never expires" aufspüren. Konten mit nie ablaufendem Passwort sind ein Dauerrisiko – besonders bei Service-Accounts.
- Privilegierte Gruppen kontrollieren. Wer ist in „Domain Admins", „Enterprise Admins", „Schema Admins"? Diese Listen sollten kurz und begründbar sein.
- Verwaiste Computerkonten entfernen. Geräte, die sich seit Monaten nicht mehr angemeldet haben, existieren meist physisch gar nicht mehr.
- Leere und ungenutzte Gruppen bereinigen. Sicherheitsgruppen ohne Mitglieder oder ohne Zuweisung stiften nur Verwirrung.
- Service-Konten dokumentieren. Jedes Service-Konto braucht einen klaren Zweck und Verantwortlichen – sonst traut sich niemand, es anzufassen.
- OU-Struktur überprüfen. Eine logische OU-Struktur ist die Basis für saubere Gruppenrichtlinien und Delegation.
Nützliche PowerShell-Befehle
Die meisten Punkte lassen sich mit dem ActiveDirectory-Modul schnell prüfen. Zwei Beispiele:
Goldene Regel: Erst deaktivieren, dann (nach einer Karenzzeit) löschen. Verschieben Sie deaktivierte Konten in eine dedizierte OU und entfernen Sie sie erst nach 30–60 Tagen endgültig. So vermeiden Sie, dass ein versehentlich deaktiviertes Konto Schaden anrichtet.
Aus der Einmalaktion eine Routine machen
Eine grosse Aufräumaktion fühlt sich gut an – aber nach sechs Monaten ist das AD wieder zugewachsen. Entscheidend ist ein fester Rhythmus: ein monatlicher Kurzcheck der inaktiven Konten, ein quartalsweiser Blick auf die privilegierten Gruppen. Wer das dokumentiert, hat bei jedem Audit die passenden Nachweise parat.
Das Problem an der Routine: Sie erfordert jedes Mal dieselben PowerShell-Abfragen, das Zusammentragen der Ergebnisse und die Aufbereitung in eine nachvollziehbare Übersicht. Genau diese wiederkehrende Fleissarbeit lässt sich automatisieren.