Hvad er Active Directory?
Active Directory (AD) er Microsofts katalogtjeneste til Windows-netværk og har siden Windows 2000 været fundamentet for identitet og adgangsstyring i virksomheder verden over. Active Directory holder styr på alle brugere, computere, grupper og rettigheder i et domæne: når en medarbejder logger ind om morgenen, er det AD, der tjekker adgangskoden, og AD, der afgør, hvilke drev, printere og systemer vedkommende kan nå. Tjenesten kører på servere kaldet domænecontrollere, typisk placeret i virksomhedens eget serverrum eller datacenter.
AD on-premises vs. Entra ID i skyen
Active Directory og Microsoft Entra ID (tidligere Azure AD) forveksles ofte, men de er to forskellige tjenester:
- Active Directory er on-premises: det styrer login til lokale maskiner, filservere og klassiske applikationer via protokoller som Kerberos og LDAP.
- Entra ID er cloud-baseret: det styrer login til Microsoft 365, SaaS-apps og understøtter moderne sikkerhed som MFA, Conditional Access og Zero Trust.
Entra ID er ikke bare "AD i skyen", og Microsoft beskriver selv forskellene grundigt i dokumentationen på Microsoft Learn. Nye virksomheder uden lokale servere kan ofte nøjes med Entra ID alene, mens virksomheder med lokal IT-infrastruktur typisk har brug for begge.
Hybrid AD: det typiske SMV-setup
De fleste danske SMV'er kører i praksis hybrid: et lokalt AD til filservere og ældre systemer, synkroniseret til Entra ID, så de samme konti og adgangskoder virker i Microsoft 365. Synkroniseringen håndteres af Microsoft Entra Connect, som løbende skubber brugere, grupper og password-hashes til skyen.
Setuppet fungerer godt, men det betyder også, at det lokale AD forbliver "master": oprettes eller ændres en bruger, skal det ske lokalt. Driller synkroniseringen af adgangskoder, har vores Tech Corner en praktisk guide til at tvinge password-sync i Entra Connect.
AD-sikkerhed: de klassiske fejl
Fordi AD styrer al adgang, er det et yndet mål ved ransomware-angreb: får angriberen kontrol over AD, har vedkommende reelt kontrol over hele netværket. De klassiske fejl, vi ser igen og igen:
- Gamle konti: tidligere medarbejdere og glemte servicekonti, der aldrig blev deaktiveret, er åbne døre ind i miljøet.
- For mange domain admins: rettigheder, der blev givet "midlertidigt" for år siden, giver angribere en kort vej til fuld kontrol.
- Manglende tiering: når samme administratorkonto bruges på både domænecontrollere og almindelige arbejdsstationer, kan ét inficeret klik eskalere til hele domænet.
En årlig oprydning i konti og rettigheder er noget af den billigste cybersikkerhed, I kan investere i.
Sådan hjælper MI Support IT
Vi drifter og sikrer Active Directory for danske virksomheder: oprydning i konti og rettigheder, sund hybrid-synkronisering til Entra ID og en plan for, hvor meget der med fordel kan flyttes til skyen. Det sker typisk som en del af Microsoft 365-drift eller et samlet IT-outsourcing-samarbejde. Kontakt os, hvis jeres AD trænger til et serviceeftersyn.