Active Directory absichern · KMU · von Buzzard AI

Active Directory ist der Schlüsselbund Ihrer Firma — wie viele Generalschlüssel liegen offen?

Über die Jahre wandern zu viele Generalschlüssel in Ihr Verzeichnis: zu viele Domänen-Admins, vergessene Dienstkonten, Rechte, die nie zurückgenommen wurden. TULPAR liest Ihren Schlüsselbund im eigenen Haus aus und zeigt, welches Konto zu viel darf. Keine Cloud.

Läuft im Haus · keine Cloud · Daten bleiben Ihre Nur ansehen — aktiver Test nur mit Ihrer Freigabe Klartext-Report: Schulnote & Ampel
Das Besondere

Wie aus einem kleinen Schlüssel der Generalschlüssel wird.

Ein Angreifer braucht selten eine spektakuläre Lücke. Er nimmt einen kleinen Schlüssel und tauscht ihn Schritt für Schritt gegen einen größeren — bis am Ende der Generalschlüssel zum gesamten Verzeichnis in seiner Hand liegt. Tippen Sie auf einen Schritt, um zu sehen, wie Least Privilege die Kette an dieser Stelle abreißt.

Beispielhafte Schlüssel-Kette · so liest TULPAR Ihren Schlüsselbund

🙋
Normales Benutzer-Konto
m.weber · steht in 14 Gruppen
Mitgliedschaften nie aufgeräumt
✅ Least Privilege: Gruppen-Mitgliedschaften regelmäßig aufräumen, Rechte aus alten Rollen entziehen — ein normaler Login ist dann auch nur ein normaler Schlüssel, kein Sprungbrett.
⚙️
Vergessenes Dienst-Konto
svc_backup · Passwort von 2019
Alt, mächtig, unbeobachtet
✅ Passwort-Hygiene: für Dienstkonten sehr lange, zufällige Passwörter oder verwaltete Dienstkonten — und die Rechte auf das stutzen, was die Anwendung wirklich braucht.
🗝️
Zu weite Verwaltungsrechte
Konto darf Passwörter zurücksetzen
Rechte nie zurückgenommen
✅ Least Privilege: überflüssige Verwaltungs- und Replikationsrechte entziehen, Admin-Ebenen trennen — der Sprung vom Dienstkonto zur Verzeichnis-Verwaltung ist zu.
👑
Der Generalschlüssel
Domänen-Admin · ganzes Verzeichnis
Schlüsselbund offen
✅ Hätte vorher ein Konto nur das gedurft, was es braucht — weniger Admins, frische Dienstkonto-Passwörter, gestutzte Rechte — gäbe es diesen letzten Schritt nicht.
Jeder Schritt ist nur möglich, weil ein Konto zu viel durfte. Konsequentes Least Privilege zieht die Schlüssel ein — TULPAR zeigt, bei welchem Konto Sie anfangen.
Das Problem

Ein Schlüsselbund, an dem niemand je Schlüssel abzieht.

👥

Die Admin-Gruppe wächst nur

Ein Dienstleister von früher, ein Techniker, „der hat das mal gebraucht“: Konten kommen in die Domänen-Admins hinein, aber so gut wie nie wieder heraus. Am Ende hängen zu viele Generalschlüssel am Bund.

⚙️

Dienstkonten sieht keiner

Konten für Backup, Datenbank oder Fachsoftware laufen still im Hintergrund. Niemand meldet sich damit an — also bleibt ihr Passwort jahrelang gleich und ihre überzogenen Rechte unbemerkt.

🔁

Rechte werden vergeben, nie entzogen

Bei jedem Projekt, jedem Abteilungswechsel kommen Berechtigungen dazu. Zurückgenommen werden sie fast nie. So driftet das Verzeichnis Jahr für Jahr weg von Least Privilege.

Was TULPAR ist

Ein Schlüssel-Inventar für Ihr Verzeichnis.

TULPAR geht Ihren Schlüsselbund einmal komplett durch: jedes Konto, jede Admin-Gruppe, jedes Dienstkonto. Es benennt im Klartext, wer einen Generalschlüssel trägt, ohne ihn zu brauchen — die Vorarbeit für ein sauberes Berechtigungskonzept nach Least Privilege.

  • Bleibt im eigenen Haus. Die Auswertung Ihrer Konten und Rechte läuft offline bei Ihnen — keine Cloud, kein Datenabfluss.
  • Liest, ändert nichts. Standard ist read-only; es wird kein Konto angefasst, keine Rolle geändert — ein aktiver Test nur mit Ihrer Freigabe.
  • Reihenfolge statt Rohdaten. Sie bekommen nicht 5.000 Berechtigungen, sondern: welcher Generalschlüssel zuerst eingezogen gehört.
Die fünf Technik-Themen

Vier Hebel — und das Vertiefen.

1

Admins zählen

Wie viele Konten tragen den Generalschlüssel — und welche davon zu Unrecht?

2

Dienstkonten prüfen

Alte Passwörter, überzogene Rechte: die stillen Konten, die niemand sieht.

3

Rechte zurückstutzen

Least Privilege durchsetzen — und in den Technik-Seiten unten vertiefen.

4Ausreichend
Active-Directory-Zeugnis
Beispiel-Auswertung · Schlüsselbund „Musterfirma GmbH"
17 Domänen-Admins — 4 davon zuordenbarkritisch
Dienstkonto svc_backup: Passwort von 2019kritisch
8 Konten dürfen Passwörter zurücksetzenmittel
Gruppen-Mitgliedschaften nie bereinigtmittel
Admin-Konten ohne Alltags-Anmeldung getrenntok
Ihre wichtigste Maßnahme: die Domänen-Admins von 17 auf das Nötige verkleinern — das zieht die meisten offenen Generalschlüssel auf einmal ein. Illustratives Beispiel.
Warum TULPAR

Der Schlüsselbund, endlich lesbar.

Ein Verzeichnis hat schnell Tausende Berechtigungen — das liest niemand freiwillig. TULPAR macht daraus eine Geschäftsführungs-Sicht: Schulnote, Ampel und die Frage, die zählt — welcher Generalschlüssel gehört als Erstes eingezogen.

🔑

Generalschlüssel im Blick

Wer trägt einen Admin-Schlüssel, ohne ihn zu brauchen — auf einen Blick statt in Rollen-Tabellen.

⚖️

Berechtigungskonzept belegt

Technische Belege zum Ist-Stand Ihrer Rechte Richtung NIS2 & BSI — keine Garantie, kein Ersatz für Beratung.

🔒

Verzeichnisdaten bleiben hier

Alle Benutzer und Rechte sind hochsensibel — die Auswertung läuft offline, ohne Cloud, DSGVO-freundlich.

🛡️

Liest, greift nicht an

Kein Konto wird verändert. Wir testen nichts aktiv, was Sie nicht ausdrücklich freigeben.

Die fünf Technik-Themen

Wie ein Generalschlüssel wirklich missbraucht wird.

Diese Seite ist der Überblick. Wer tiefer wissen will, wie aus einem Konto die Kontrolle über den Schlüsselbund wird, findet hier die fünf Technik-Themen im Klartext — jedes mit dem einen Fix, der die Kette an dieser Stelle abreißt.

Preis

Zuerst sehen, welche Schlüssel offen am Bund hängen. Individuell für Ihr Verzeichnis.

TULPAR Sicherheitscheck
Individuell
Erster Sicherheitscheck schnell startklar · Angebot auf Anfrage
  • Vollständige Inventur von Konten, Admin-Gruppen und Dienstkonten
  • Benennt jeden Generalschlüssel, der nicht gebraucht wird (Least Privilege)
  • Active-Directory-Zeugnis: Schulnote, Ampel, Reihenfolge zum Einziehen
  • Läuft offline im eigenen Haus — Verzeichnisdaten verlassen die Firma nicht
  • Liest nur — ändert kein Konto; aktiver Test nur mit Ihrer Freigabe
Sicherheitscheck anfragen →
Häufige Fragen

Häufige Fragen zum Schlüsselbund Active Directory.

Das Active Directory entscheidet in einem Windows-Netz, wer welche Tür öffnen darf — jeder Login, jeder Dateizugriff, jeder Server-Zugang hängt daran. Es ist damit der zentrale Schlüsselbund: Ein Generalschlüssel daraus öffnet nicht ein Schloss, sondern fast alle gleichzeitig. Das ist praktisch im Alltag, aber riskant, wenn die Verwaltung über die Jahre unübersichtlich wird. TULPAR macht sichtbar, wie viele Schlüssel an diesem Bund hängen und welche davon mehr öffnen, als sie sollten.

Least Privilege heißt: Jedes Konto bekommt genau die Rechte, die es für seine konkrete Aufgabe braucht — und keinen einzigen Schlüssel mehr. Die Buchhaltung muss nicht auf die Server-Verwaltung zugreifen, ein Backup-Dienst muss nicht die ganze Domäne administrieren. In der Praxis ist das selten so sauber: Rechte werden vergeben und nie wieder entzogen. TULPAR vergleicht, was jedes Konto darf, mit dem, was es im Alltag wirklich nutzt, und zeigt im Klartext, wo zu weit gegriffen wurde.

Ein Domänen-Administrator ist der Generalschlüssel zum gesamten Schlüsselbund. In vielen Firmen ist diese Gruppe über die Jahre gewachsen: ein ehemaliger Dienstleister, ein Techniker, „der hat das damals mal gebraucht“, dazu zwei, drei Konten, die niemand mehr zuordnen kann. Wird nur eines davon übernommen, steht die ganze Firma offen — egal wie gut der Rest abgesichert ist. Die wirksamste Einzelmaßnahme ist meist, diese Gruppe radikal zu verkleinern. TULPAR listet auf, wer dort drinsteht und wer dort vermutlich nichts mehr verloren hat.

Dienstkonten laufen im Hintergrund für Datenbanken, Backups oder Fachsoftware — niemand meldet sich damit morgens an, also fallen sie nicht auf. Genau deshalb tragen sie oft seit Jahren dasselbe, manchmal kurze Passwort und haben „zur Sicherheit“ mehr Rechte bekommen, als die Anwendung braucht. Ein solches Konto ist ein bequemer Generalschlüssel, der nie rotiert wird. Zur Passwort-Hygiene gehören hier sehr lange, zufällige Passwörter oder verwaltete Dienstkonten und das Zurückstutzen der Rechte. TULPAR findet die Dienstkonten, deren Passwort alt ist oder die zu viel dürfen.

Nein. TULPAR ist eine autorisierte Selbstprüfung Ihres eigenen Verzeichnisses, kein Angriffswerkzeug. Im Standard liest es nur (read-only): Es schaut sich an, welche Konten, Gruppen und Rechte es gibt, ohne etwas zu ändern, zurückzusetzen oder zu löschen. Erst wenn Sie einen Schritt ausdrücklich freigeben, wird ein einzelner Pfad im eigenen Netz nachgestellt. Wir greifen nichts an, was Sie nicht freigeben — und kein Konto wird ohne Ihr Wissen verändert.

Nein. TULPAR arbeitet im eigenen Haus und offline — die Auswertung der Konten, Gruppen und Rechte passiert direkt bei Ihnen im Netz, ohne Cloud. Gerade ein Verzeichnis mit allen Benutzern und Berechtigungen ist mit das Sensibelste, was eine Firma hat; diese Daten bleiben deshalb komplett in Ihrer Hand. Das unterstützt die Datenhoheit, die die DSGVO verlangt — eine Konformitätsgarantie ist es nicht.

Ein nachvollziehbares Berechtigungskonzept — wer darf was und warum — und der Nachweis, dass überzogene Rechte regelmäßig zurückgenommen werden, gehören zu den Risikomanagement-Themen rund um NIS2 und werden 2026 von vielen Cyberversicherern abgefragt. TULPAR dokumentiert den Ist-Zustand Ihres Active Directory technisch: zu viele Admins, alte Dienstkonten, zu weite Rechte. Diese Belege können in Anträge und Nachweise einfließen. TULPAR ist aber keine Zertifizierung und keine Rechtsberatung und macht Sie nicht automatisch konform; ob NIS2 für Sie gilt, hängt von Sektor und Größe ab und klären Sie individuell.

TULPAR wird in Ihrem Netz eingerichtet und ist meist in wenigen Minuten startklar. Es liest im Modus „nur ansehen“ den Schlüsselbund aus: alle Konten, Admin-Gruppen, Dienstkonten und ihre Rechte. Sie bekommen ein Active-Directory-Zeugnis mit Schulnote, Ampel und einer Reihenfolge, welche Generalschlüssel zuerst eingezogen gehören. Ein aktiver Test einzelner Pfade folgt nur nach Ihrer Freigabe. Der Umfang richtet sich nach der Größe Ihres Verzeichnisses; Sie erhalten ein individuelles Angebot und starten mit einem ersten Sicherheitscheck.

TULPAR ist ein autorisiertes Selbstprüfungs-Werkzeug für das eigene Netzwerk und wird von Buzzard AI angeboten. Aktive Tests erfolgen nur im eigenen Netz und ausschließlich mit ausdrücklicher Freigabe. TULPAR liefert technische Belege zur Schwachstellen-Dokumentation, ist aber keine Zertifizierung und keine Rechtsberatung und garantiert keine NIS2-, BSI- oder DSGVO-Konformität. Genannte Marken und CVE-Kennungen gehören ihren Inhabern und dienen der sachlichen Einordnung.
Kostenloses Erstgespräch

Wie viele Generalschlüssel hängen unbemerkt an Ihrem Schlüsselbund?

In einem kurzen Gespräch klären wir Ihr Verzeichnis und zeigen, wie TULPAR Konten, Admin-Gruppen und Dienstkonten durchgeht — im eigenen Haus, nur ansehen als Standard, das Active-Directory-Zeugnis am Ende.

Schritt 1 von 3
Was ist gerade Ihr größtes Thema?
Mustafa Sahinli
Mustafa Sahinli · Buzzard AI
Prozessarchitekt · 06183 / 909 99 92 · WhatsApp