Dem globalen Katalog kommt in einer Active Directory-Domäne eine besondere Bedeutung zu. Er enthält einen Index aller Domänen einer Gesamtstruktur. Aus diesem Grund wird er von Serverdiensten wie Exchange Server und Suchanfragen verwendet, wenn Objekte aus anderen Domänen Zugriff auf eine Ressource der lokalen Domäne enthalten. Der globale Katalog spielt darüber hinaus eine wesentliche Rolle bei der Anmeldung von Benutzern. Steht der globale Katalog in einer Domäne nicht mehr zur Verfügung, können sich langsamer anmelden, wenn keine speziellen Vorbereitungen getroffen worden sind.

Ein Domänencontroller mit der Funktion des globalen Katalogs repliziert sich nicht nur mit den Domänencontrollern seiner Domäne, sondern enthält eine Teilmenge aller Domänen in der Gesamtstruktur. Der erste installierte Domänencontroller einer Gesamtstruktur ist automatisch ein globaler Katalog. Alle weiteren globalen Kataloge müssen hingegen manuell hinzugefügt werden. Der globale Katalog dient auch zur Auflösung von universalen Gruppen. Sie sollten aber nicht alle Domänencontroller zu globalen Katalogen machen, da dadurch der Replikationsverkehr zu diesen Domänencontrollern stark zunimmt.

In jedem Standort sollten zwei bis drei Domänencontroller diese Aufgabe übernehmen. Während der Heraufstufung zum Domänencontroller können Sie diese Auswahl bereits treffen. Aber auch nachträglich können Sie einen Domänencontroller zum globalen Katalog konfigurieren:

1. Um einen Domänencontroller als globalen Katalog zu konfigurieren, benötigen Sie das Snap-In Active Directory-Standorte und -Dienste aus dem Menü Tools im Server-Manager.
2. Öffnen Sie dieses Snap-In und rufen Sie die Eigenschaften der Option NTDS-Settingsüber Sites/<Name des Standortes>/Servers/<Servername>
3. Auf der Registerkarte Allgemein aktivieren Sie das Kontrollkästchen Globaler Katalog.

Haben Sie diese Konfiguration vorgenommen, repliziert sich der Server zukünftig mit weiteren Domänencontrollern und enthält nicht nur Informationen seiner Domäne, sondern einen Index der Gesamtstruktur.

. Visual Studio 2015 Community Express (https://www.visualstudio.com/de-de/products/visual-studio-community-vs.aspx) steht kostenlos zur Verfügung, und reicht für viele Administrationsaufgaben aus. Mit der Umgebung können Sie außerdem eigene Programme für Windows 8/8.1/10 schreiben sowie Erweiterungen für Microsoft Office. In diesem Zusammenhang sind auch die „PowerShell Tools for Visual Studio 2015“ (https://visualstudiogallery.msdn.microsoft.com/c9eb3ba8-0c59-4944-9a62-6eee37294597) interessant. Diese verbinden das Visual Studio mit der PowerShell und erlauben das Erstellen und Debuggen von PowerShell-Skripts.

Wie Sie Skripte erstellen können, erfahren Sie in der MSDN (https://msdn.microsoft.com/de-de/library/ms165079.aspx). Für Administratoren ist vor allem die Seite https://msdn.microsoft.com/de-DE/library/8hb2a397.aspx interessant, da Sie hier einen Einstieg in Visual Studio 2015 erhalten.

Hier geht Microsoft auch auf die verschiedenen Programmier-Sprachen ein, die Visual Studio 2015 unterstützt. Generell müssen Sie in der Oberfläche immer zuerst über Datei\Neues Projekt ein Programmier-Projekt beginnen, in dem Sie den Programmcode integrieren. Sie haben im Fenster die Möglichkeit Vorlagen und Beispiel zu öffnen, die auf dem Rechner installiert sind, oder Sie wählen durch die Option Online zahlreiche Beispiele und Vorlagen aus der Visual Studio Gallery aus. Am einfachsten eignet sich Visual Basic für den Einstieg.

DLP-Richtlinien sind Regeln mit verschiedenen Bedingungen. Diese bestehen aus Transportregeln, Aktionen und Ausnahmen. DLP soll verhindern, dass Anwendern absichtlich oder versehentlich wichtige Daten per E-Mail an externe Empfänger senden. DLP-Richtlinien können die Funktionen vorhandener Transportregeln nutzen. Sie können die DLP-Richtlinien über Cmdlets in der Exchange Management Shell verwalten, aber auch im Exchange Admin Center. Verhinderung von Datenverlust ist ein Premium-Feature, für das eine Enterprise-Clientzugriffslizenz (Client Access License, CAL) erforderlich ist. Diese müssen Sie für Postfächer erwerben, welche diese Funktion nutzen wollen.
Neu seit Exchange 2013 SP1 ist in diesem Bereich „Dokumentfingerabdrücke verwalten“ im Bereich Verwaltung der „Compliance\Verhinderung von Datenverlust“. Die Funktion erkennt interne Formulare und kann verhindern, dass Daten aus den Formularen nach extern gesendet werden. Diese Technik ist auch in Exchange 2016 integriert. Sie müssen keine eigenen Regeln erstellen, sondern können vorgefertigte Regeln verwenden. Dazu bietet Exchange Vorlagen auf deren Basis Sie die Einrichtung starten.
Sie können alle standardmäßig installierten DLP-Vorlagen anpassen oder ohne Änderung in Ihrer Organisation einsetzen. DLP-Richtlinienvorlagen verwenden vor allem Transportregeln, die Bedingungen und Aktionen enthalten. Am schnellsten erstellen Sie eine DLP-Richtlinie im Exchange Admin Center: Navigieren Sie im Exchange Admin Center zu „Verwaltung der Compliance/Verhinderung von Datenverlust“, und klicken Sie auf „Hinzufügen“. Wählen Sie über „Weitere Optionen“ die von Ihnen gewünschten Einstellungen aus. Der Standardmodus für eine Richtlinie besteht aus einem Test ohne Aktionen. Das heißt, Exchange kann DLP einführen, ohne tatsächlich die E-Mails zu beeinflussen. Auf diese Weise lassen sich besser Tests durchführen.
Einige Richtlinien ermöglichen das Hinzufügen von Regeln, welche die Rechteverwaltung (RMS) für E-Mails verwenden. Sie müssen RMS in Exchange konfigurieren, bevor Sie die Aktionen nutzen können. Die Rechteverwaltung ist eine eigenständige Funktion, die sich aber mit DLP verbinden lässt.

Für jede DLP-Richtlinie können Sie einen von drei Modi auswählen:

• Erzwingen — Regeln in der Richtlinie gelten für alle E-Mails. Exchange kann E-Mails blockieren, wenn DLP Daten findet, welche die Bedingungen der Richtlinie erfüllen. Alle in der Richtlinie festglegeten Aktionen werden aktiv ausgeführt.
• DLP-Richtlinie mit Richtlinientipps testen — Regeln in der Richtlinie werden für alle E-Mails ausgewertet. E-Mails werden nicht blockiert. Wenn Sie Richtlinientipps konfiguriert haben, werden sie den Benutzern angezeigt. Anwender erhalten also eine Information, wenn Sie geheime Daten versenden wollen.
• DLP-Richtlinie ohne Richtlinientipps testen — Regeln in der Richtlinie werden ausgewertet, wie bei den anderen Modi. Exchange blockiert außerdem keine E-Mails und zeigt Anwendern auch keine Informationen an.