Was macht ein Active Directory System Engineer?

Was macht ein Active Directory System Engineer?

Warum Active-Directory-Expertise heute zählt

In vielen Unternehmen steht und fällt der Zugriff auf Anwendungen, Dateien und Geräte mit einem einzigen Dienst: dem Verzeichnis. Active Directory Domain Services (AD DS) speichert Identitäten, Gruppen, Richtlinien und Ressourcenverweise – und sorgt dafür, dass Mitarbeitende sicher authentifizieren und autorisiert auf alles Nötige zugreifen können. Wenn AD wackelt, wackelt das Geschäft: Logins scheitern, Drucker und Dateifreigaben sind weg, Dienste stehen. Genau hier kommt die Rolle des Active Directory System Engineers ins Spiel.

Kurz gefasst: AD-Engineers betreiben, sichern und entwickeln die Identitätsinfrastruktur on‑premises und in hybriden Szenarien mit Microsoft Entra ID (ehemals Azure AD) weiter. Sie sind damit ein zentraler Hebel für Verfügbarkeit, Sicherheit und Compliance.

Zur Einordnung der Technik lohnt der Blick in die offizielle Dokumentation: Microsoft beschreibt AD DS als Verzeichnisdienst mit Schema, globalem Katalog, Replikation und integrierter Authentifizierung/Zugriffssteuerung (Microsoft Learn: Überblick AD DS).

Kernaufgaben im Alltag eines AD-Engineers

Betrieb und Betriebssicherheit

  • Domänencontroller bereitstellen, härten, patchen und überwachen (Leistung, Replikation, AD-integriertes DNS).
  • Gruppenrichtlinien (GPOs) entwerfen und pflegen, um Konfigurationen und Sicherheitsvorgaben konsistent durchzusetzen.
  • Health-Checks automatisieren und Metriken bewerten, bevor Störungen entstehen.

Architektur und Replikation

  • Domänen- und Forest-Design, Standorte/Standortverknüpfungen (Sites & Services) sowie Trusts verwalten.
  • Replikationskonzepte prüfen, Engpässe erkennen und Topologien an geänderte Geschäfts- oder Standortanforderungen anpassen.

Authentifizierung, Autorisierung, Privilegien

  • Kerberos/NTLM-Flows und SPNs verstehen, Tickets/Token-Probleme analysieren.
  • Rollenbasierte Delegationen definieren und das Least-Privilege-Prinzip im Tagesbetrieb umsetzen, inklusive sicherer Prozesse für Break‑Glass‑Szenarien.
  • Umgang mit hochprivilegierten Gruppen wie Domain Admins, Enterprise Admins, Built‑in Administrators oder Schema Admins nach Microsoft-Guidance gestalten (Microsoft Learn: Privilegierte Konten/Gruppen).

Backup, Recovery und Incident Response

  • Regelmäßige, getestete Backups der AD-Datenbank und des System State sicherstellen.
  • Autoritative/nicht-autoritative Wiederherstellung beherrschen und in Notfallübungen verifizieren.
  • In Sicherheitsvorfällen (z. B. DC-Kompromittierung) nach Runbooks handeln und Forensik/Containment mit Security-Teams koordinieren.

Support, Troubleshooting und Change-Management

  • 2nd/3rd-Level-Support für Identitäts- und Zugriffsprobleme, DNS-/GPO-/Replikationsstörungen und Entra-Integrationen.
  • Änderungen risikobewusst planen (ITIL-orientiert), sauber dokumentieren und nach der Umsetzung validieren.
  • Runbooks und SOPs aktuell halten.

Viele dieser Aufgaben finden sich so auch in aktuellen Marktanforderungen; siehe etwa die Beispiel-Stellenbeschreibung: AD/Entra ID Engineer (SmartRecruiters).

Technische Skills und Werkzeuge, die Arbeitgeber erwarten

On-Premises-Kerntechnologien

  • Windows Server/AD DS, Domänencontroller, FSMO-Rollen, AD-integriertes DNS, Sites & Services, globaler Katalog.
  • Gruppenrichtlinien-Design inkl. Sicherheitsvorgaben und WMI-/Item-Level-Targeting, wo sinnvoll.
  • Schemaverständnis für Applikationsintegrationen.

PowerShell und Automatisierung

PowerShell ist das Rückgrat effizienter AD-Administration: für Massenvorgänge, Health-Checks und Reporting. Beispiel: aktive Benutzer finden, die seit 90+ Tagen inaktiv sind, und Servicekonten ausschließen:

# 90+ Tage inaktiv, aktive Benutzer; exkludiere Servicekonten (Kennung enthält 'svc_')
$cutoff = (Get-Date).AddDays(-90)
Get-ADUser -Filter * -Properties LastLogonDate,Enabled,SamAccountName |
  Where-Object { $_.Enabled -eq $true -and $_.LastLogonDate -lt $cutoff -and $_.SamAccountName -notlike 'svc_*' } |
  Select-Object SamAccountName, LastLogonDate |
  Export-Csv .\inactive-users.csv -NoTypeInformation

Weitere Praxisfälle:

  • GPO-Baselines ausrollen, „Just-enough-Administration“-Delegationen setzen.
  • Replikations- und DNS-Gesundheit prüfen (z. B. Repadmin/Get-ADReplication* via PowerShell skripten).
  • Regelmäßige Reports zu privilegierten Gruppen, Ablaufdaten, SPN-Konflikten.

Hybrid Identity: Microsoft Entra ID

Der Trend ist hybrid: In vielen Umgebungen ist On-Prem-AD das System of Record, Entra ID ergänzt um Cloud-basierte Authentifizierung, Conditional Access und App-Integrationen. Erwartet werden:

  • Verstehen von Directory-Sync-Konzepten und Filterung.
  • Single Sign-On-Integrationen und Rollen-/Gruppenmapping zwischen AD und Entra.
  • Grundlegende Sicherheit in Entra ID (MFA/Phishing-Resilienz, Conditional Access) im Zusammenspiel mit On-Prem-Richtlinien.

Monitoring, Security und IAM-Anbindung

  • Ereignisprotokolle, Auditing und SIEM-Weiterleitung.
  • Härtung von Domänencontrollern (z. B. minimierte Angriffsfläche, Netzwerksegmentierung) und saubere Admin-Tier-Modelle.
  • Schnittstellen zu IAM/ITSM: saubere Übergaben, nachvollziehbare Genehmigungen, geschlossene Schleife bis zur Dokumentation.

Sicherheitsverantwortung und Governance – worauf Hiring Manager achten

AD ist Kronjuwel und Risiko zugleich. Personalverantwortliche prüfen, ob Kandidat:innen Sicherheit nicht als Add-on, sondern als Betriebsprinzip verstehen.

  • Privilegierte Gruppen: Minimalmitgliedschaften, strikte Prozesskontrollen, kein Tagesgeschäft mit Enterprise-/Domain-Admin-Konten.
  • Delegation und Rollen: Klare Verantwortungszonen, nachvollziehbare ACLs und regelmäßige Reviews.
  • Compliance: Protokollierung sicherheitsrelevanter Ereignisse, belastbare Change- und Backup-Policies, getestete Restore-Pfade.
  • Trennung von Aufgaben: Vier-Augen-Prinzip für Schema-/Forest-Änderungen, Notfallkonten versiegelt dokumentiert und regelmäßig getestet.

Die Microsoft-Guidance zu privilegierten Konten und Gruppen macht deutlich, wie weitreichend deren Befugnisse sind und warum sauberer Schutz und kontrollierte Nutzung Pflicht sind (siehe oben verlinkter Leitfaden).

Typische Fehler im Vorstellungsgespräch – und wie du sie vermeidest

  • Nur On-Prem oder nur Cloud: Viele Rollen sind hybrid. Bereite eine Story vor, in der du AD DS mit Entra ID zusammenbringst (z. B. Sync-Filterung, GPO vs. Conditional Access, App-SSO).
  • Oberflächliche Security: „Wir nutzen MFA“ reicht nicht. Erkläre, wie du privilegierte Gruppen minimierst, DCs härtest und Restore-Übungen planst.
  • GPO-Wildwuchs: Ohne Lifecycle und Test-OU kommen Regressionen. Erkläre dein GPO-Release-Verfahren und Rollback-Optionen.
  • Keine Wiederherstellungskompetenz: Beschreibe autoritative vs. nicht-autoritative Restores und wann welches Verfahren greift.
  • Fehlende Automatisierung: Nenne zwei, drei konkrete PowerShell-Skripte mit Nutzen, Input/Output und Sicherheitsvorkehrungen (z. B. -WhatIf, Staging).

Beispielfragen, die häufig kommen:

  • Wie diagnostizierst du Replikationsprobleme zwischen Standorten?
  • Woran erkennst du ein Kerberos-/SPN-Problem und wie behebst du es?
  • Wie gehst du mit Domain-Admin-Mitgliedschaften um – dauerhaft vs. zeitlich begrenzt?
  • Was unterscheidet autoritative von nicht-autoritativer Wiederherstellung?
  • Wie integrierst du eine neue Anwendung in AD (Schema, Servicekonto, SPNs, Gruppen)?

Kurze Hinweise zur Vorbereitung:

  • Baue ein Mini-Lab: Zwei DCs, Sites, ein Member-Server, einfache GPO-Kette, ein Restore-Test.
  • Formuliere eine Troubleshooting-Story: Ausgangslage, Hypothesen, Messpunkte, Fix, Prävention.
  • Bereite zwei Snippets vor: 1) Bulk-User-Update mit Validierung; 2) Health-Report (Replikation/DNS).

Karrierepfade und Marktperspektive in Deutschland

In Deutschland sind AD-Engineers in großen Mittelständlern und Konzernen ebenso gefragt wie in Behörden und regulierten Branchen. Viele Organisationen bewegen sich zu hybriden Identitäten: On-Prem-AD bleibt zentral, Entra ID ergänzt moderne Zugriffskontrollen. Das öffnet Entwicklungspfade:

  • AD/System Engineer: Fokus Betrieb/Architektur on‑prem mit solider Cloud-Anbindung.
  • Identity Engineer: Stärkerer Schwerpunkt auf IAM-Prozessen, App-SSO, Lifecycle und Automatisierung.
  • Security Engineer (Identity Security): Rot-/Purple-Team-Übungen, Härtung, Monitoring, Response auf Identitätsangriffe.
  • Architektur/Lead: Forest-/Domain-Designs, Migrationsprojekte, Cloud-Strategie, Governance.

Für deine Positionierung hilfreich sind sichtbare Praxisprojekte (z. B. GPO-Baseline-Redesign, DC-Härtung, Restore-Übungen) und Zertifikate aus dem Microsoft-Umfeld. Entscheidend bleibt jedoch nachweisbare Handlungsfähigkeit in kritischen Szenarien.

Entscheidungsorientierte Checkliste für Bewerber:innen

  • Verstehe das System: Kannst du Schema, globalen Katalog, Replikation und Trusts erklären – und deren Relevanz für Betrieb und Sicherheit?
  • Lebe Least Privilege: Hast du ein klares Delegationsmodell und Review-Routinen für privilegierte Gruppen?
  • Automatisiere: Hast du produktionsreife Skripte mit Logging, Idempotenz und Rollback?
  • Teste Recovery: Existiert ein geübtes, dokumentiertes Restore-Verfahren – autoritativ/nicht‑autoritativ?
  • Baue Hybrid-Kompetenz auf: Wie orchestrierst du AD DS und Entra ID sinnvoll?
  • Dokumentiere: Sind Runbooks, GPO-Matrizen und Change-Records aktuell und nachvollziehbar?

Konkrete nächste Schritte zur Vorbereitung

1) Baue ein kompaktes Lab und übe Kernroutinen

  • Zwei DCs, getrennte Sites, Replikationsprüfung, ein Member-Server, Beispiel-OUs.
  • Übe GPO-Deployment mit Test-/Pilot-/Produktion-OU und definiertem Rollback.
  • Führe einen autoritativen Restore eines OUs durch und dokumentiere das Vorgehen.

2) Erstelle zwei Automatisierungsskripte

  • Health-Report: Replikation, DC-Services, DNS-Zustand, Export als CSV/HTML.
  • Lifecycle: Anlage/Deprovisionierung von Konten mit Genehmigungsnachweis und Gruppenmapping.

3) Dokumente für das Interview vorbereiten

  • Kurze Architekturskizze deines letzten AD-/Hybrid-Setups.
  • GPO-/Sicherheitsbaseline als Übersichtsmatrix.
  • Troubleshooting-Case mit klarer Lessons-Learned-Liste.

4) Lerne selektiv nach

  • Offizielle Grundlagen zu AD DS (siehe Microsoft-Überblick oben).
  • Umgang mit privilegierten Gruppen und Konten nach Microsoft-Guidance (Link oben).
  • Entra ID Basics: Directory-Sync-Konzepte, Conditional Access, App-SSO.

Fazit

Active Directory System Engineers halten die Identitätsinfrastruktur am Laufen – zuverlässig, sicher und prüfbar. Wer Betriebssicherheit, Security-by-Design und Automatisierung verbindet und Hybrid-Identity beherrscht, ist am deutschen Markt hervorragend aufgestellt. Nutze die Checkliste und die nächsten Schritte, um gezielt Lücken zu schließen und im Interview mit Substanz zu überzeugen.

IT & Entwickler Jobs in Deutschland

Das könnte dich auch interessieren