Lifecycle-Management für AD-Gruppen
Zeitgesteuerte Mitgliedschaft, automatische Deprovisioning-Regeln, manipulationssicherer Audit-Trail mit Hash-Chain, Attestierungs-Workflows für Gruppenverantwortliche und vollständige Drift-Erkennung. Entwickelt für Windows-Administratoren, die Compliance-Anforderungen ohne manuellen Aufwand erfüllen müssen.
„Wer hat Zugriff auf was? Wenn Sie es nicht sofort beantworten können – haben Sie ein Problem.”
Zielgruppe
• IT-Abteilungen ab 50 AD-Benutzern, die AD-Governance ohne große IAM-Infrastruktur professionell umsetzen möchten
• Behörden, Kanzleien und Industriebetriebe mit DSGVO-, ISO-27001- oder BSI-Compliance-Anforderungen
• Managed Service Provider, die mehrere AD-Umgebungen zentral administrieren
• Unternehmen, die von nativen Windows-Tools (ADUC, PowerShell) auf eine auditierbare, automatisierte Lösung migrieren möchten
Lizenzierung
Gute Software muss nicht teuer sein.
Einmalig 699,00 € (inkl. 19% MwSt.)
- Standortlizenz ohne Benutzerbegrenzung
- Keine Folgekosten, keine Abonnements
- Kostenlose Updates innerhalb der Hauptversion
Was macht den AD Group Lifecycle Manager aus?
| Alleinstellungsmerkmal | Beschreibung |
|---|---|
| Einmallizenz ohne Jahresgebühren | Keine laufenden Lizenzkosten, keine Cloud-Subscription. Einmalerwerb, dauerhafter Betrieb. Ideal für Mittelstand und öffentliche Einrichtungen mit festem IT-Budget. |
| Single-File-Deployment | Eine einzige EXE-Datei, eine license.dat – fertig. Kein Installer, kein IIS, kein Agent. Sofort einsatzbereit auf jedem Windows-System ab 2012 R2. |
| Vollständig On-Premises / Air-Gap-fähig | Keinerlei Cloud-Abhängigkeit, keine Telemetrie, keine externen API-Aufrufe. Geeignet für Behörden, Kanzleien, Industrieanlagen und Umgebungen mit strikten Netzwerkrichtlinien. |
| gMSA-native Architektur | Das Tool betreibt sich selbst unter einem Group Managed Service Account. Alle Scheduled Tasks, AD-Abfragen und CLI-Operationen nutzen das Dienstkonto – kein hinterlegtes Passwort, keine Credential-Exposition. |
| Manipulationssicheres Audit-Log (Hash-Kette) | Jeder Eintrag ist kryptographisch mit dem Vorgänger verkettet (SHA-256). Einzelne Manipulationen werden sofort erkannt und gemeldet. Entspricht den Anforderungen von ISO 27001, BSI-Grundschutz und internen Compliance-Audits. |
| gMSA-Installationsprüfung mit PowerShell-Anleitung | Das Tool prüft nicht nur ob ein gMSA-Konto existiert, sondern ob es auf dem lokalen Server installiert ist – und gibt bei Bedarf den exakten PowerShell-Befehl (Set-ADServiceAccount / Install-ADServiceAccount) mit dem konkreten Servernamen aus. |
| 15 konfigurierbare Echtzeit-Alarmregeln | Trigger für privilegierte Gruppen, Deprovisioning, Inaktivität, Attestierung, Manipulation und mehr. Eigene E-Mail-Empfänger und Gruppenfilter pro Regel – ohne Scripting konfigurierbar. |
| Automatisches Deprovisioning nach Inaktivität | Inaktive AD-Benutzer werden anhand von lastLogonTimestamp erkannt und automatisch aus Gruppen entfernt, deaktiviert oder in Ziel-OUs verschoben. Dry-Run-Modus für risikofreie Vorabtests. |
| Dynamische Gruppen (On-Premises) | AD-Gruppen werden nach frei definierbaren LDAP-Regeln automatisch befüllt – vergleichbar mit Azure AD Dynamic Groups, jedoch vollständig lokal ohne Azure-Abhängigkeit. |
| Bulk Owner-Import per CSV | Massenimport von Gruppenverantwortlichen mit zweistufiger Validierung (CSV-Syntax + AD-Abfrage). Nützlich bei Übernahmen, Umstrukturierungen und größeren Migrationen. |
| SQLite integriert – kein Datenbankserver nötig | Für kleine und mittlere Umgebungen reicht die integrierte SQLite-Datenbank. Für Enterprise-Szenarien steht SQL Server als Alternative zur Verfügung – beides ohne Neuinstallation umschaltbar. |
| CLI-Modus für Windows Task Scheduler | Alle zeitgesteuerten Aktionen (Mitglied hinzufügen/entfernen, DSGVO-Bereinigung, Revalidierung) laufen als eigenständige CLI-Prozesse unter dem gMSA – ohne WPF, ohne Fenster, vollständig im Hintergrund. |
Warum ISW AD Group Lifecycle Manager?
Viele IT-Abteilungen kämpfen mit unkontrolliertem Gruppenwachstum, fehlenden Owners, nie genutzten Gruppen und mangelhafter Audit-Dokumentation. Der ISW AD Group Lifecycle Manager löst genau diese Probleme – vollständig automatisiert und revisionssicher nach ISO 27001 und DSGVO-Anforderungen.
Lifecycle & Governance
⏱ Zeitgesteuerte Mitgliedschaft
Mitglieder mit Ablaufdatum hinzufügen – automatische Entfernung per Scheduled Task unter gMSA.
✅ Attestierungs-Workflows
Gruppenverantwortliche bestätigen regelmäßig die Mitgliederliste – mit E-Mail-Erinnerung und Fälligkeitsdatum.
🔄 Automatisches Deprovisioning
Inaktive Benutzer werden anhand von lastLogonTimestamp erkannt und automatisch aus Gruppen entfernt oder deaktiviert.
⚡ Dynamische Gruppen (On-Premises)
Gruppen nach LDAP-Regeln automatisch befüllen – vergleichbar mit Azure AD Dynamic Groups, vollständig lokal.
👤 Owner-Verwaltung
Jede Gruppe erhält einen definierten Verantwortlichen. Bulk-Import per CSV mit zweistufiger AD-Validierung.
📋 User-Revalidation
Manager erhalten automatisch einen AES-256-verschlüsselten PDF-Bericht mit allen AD-Gruppen ihrer Mitarbeiter zur periodischen Bestätigung.
Sicherheit & Compliance
🔐 Hash-Chain Audit-Log
Jeder Eintrag kryptographisch mit SHA-256 verkettet – Manipulationen sofort erkennbar. ISO 27001 & BSI-konform.
🚨 15 Echtzeit-Alarmregeln
Trigger für privilegierte Gruppen, Manipulation, Inaktivität und mehr – eigene E-Mail-Empfänger pro Regel.
🔍 Drift-Erkennung
Unerwartete Gruppenänderungen werden erkannt und gemeldet – auch außerhalb des Tools vorgenommene AD-Änderungen.
🛡 Geschützte Gruppen
Privilegierte Gruppen (Domain Admins, Schema Admins etc.) werden automatisch erkannt und mit Warnhinweis geschützt.
📊 Stale-Group-Analyse
Ungenutzte und schlecht verwaltete Gruppen nach Score-Modell bewerten – mit Schweregrad und Bereinigungsempfehlung.
🔎 Verschachtelte Mitglieder
Alle transitiven Mitglieder einer Gruppe sichtbar – effektiver Geltungsbereich auf einen Blick für die Sicherheitsanalyse.
Architektur & Betrieb
📦 Single-File-Deployment
Eine EXE, eine license.dat – kein Installer, kein IIS, kein Agent. Sofort einsatzbereit ab Windows Server 2012 R2.
🏢 gMSA-native Architektur
Alle Hintergrundprozesse laufen unter Group Managed Service Account – kein hinterlegtes Passwort, keine Credential-Exposition.
🗄 SQLite & SQL Server
Integrierte SQLite-Datenbank für KMU – oder SQL Server für Enterprise-Umgebungen. Beides ohne Neuinstallation umschaltbar.
☁ Vollständig On-Premises
Keine Cloud-Abhängigkeit, keine Telemetrie, keine externen API-Aufrufe. Air-Gap-fähig für Behörden und Industrieanlagen.
Hauptnavigation
Die Hauptnavigation befindet sich als Tab-Leiste unterhalb der Titelleiste. Jeder Tab repräsentiert einen Funktionsbereich des Tools:
| Tab | Funktion |
| Dashboard | Übersicht aller KPIs, Trend-Diagramm und Warnliste |
| Gruppen & Mitglieder | AD-Gruppen verwalten, Mitglieder hinzufügen/entfernen |
| Zeitplanung | Geplante Aktionen (Add/Remove) mit Zeitpunkt erstellen |
| Governance | Owner-Verwaltung, Lifecycle, Attestierung, Quarantäne |
| Deprovisioning | Inaktive Benutzer erkennen und automatisch bereinigen |
| Berichte | Audit-Log, Stale-Group-Analyse, Alarm-Protokoll, User-Revalidation, PDF-Export |
| Logbuch | Kalenderansicht aller protokollierten Aktionen |
| Einstellungen | Alle Konfigurationseinstellungen des Tools |
Mitglied hinzufügen
Über die Schaltfläche “+ Mitglied hinzufügen” öffnet sich ein Suchdialog:
- Suchbegriff eingeben (Name, sAMAccountName oder CN).
- Die Suche startet automatisch ab 2 Zeichen oder manuell über “Suchen”.
- Mehrfachauswahl möglich: Strg+Klick oder Shift+Klick für mehrere Objekte.
- Mitgliedschaftsdauer wählen: Permanent oder Befristet bis Datum.
- Bei befristeter Mitgliedschaft wird automatisch ein Windows Scheduled Task erstellt der das Mitglied zum angegebenen Zeitpunkt entfernt.
- “Hinzufügen” bestätigt die Aktion.
Verschachtelte Mitglieder
Der Tab “Verschachtelte Mitglieder” zeigt alle transitiven Mitglieder der Gruppe – also auch Mitglieder von Untergruppen. Diese Ansicht ist besonders wichtig für die Sicherheitsanalyse da hier der effektive Geltungsbereich einer Gruppe sichtbar wird.
Geplante Aktionen
Im unteren Bereich der Gruppendetailansicht werden alle geplanten Aktionen für diese Gruppe angezeigt. Jede Aktion zeigt das Zielobjekt, den Aktionstyp (ADD/REMOVE), den geplanten Zeitpunkt, den Status und den Ersteller.
Governance
Der Governance-Tab stellt umfangreiche Werkzeuge für die langfristige Verwaltung und Überwachung von AD-Gruppen bereit. Er kombiniert Owner-Verwaltung, Lifecycle-Management, Attestierung und Quarantäne in einem zentralen Bereich.
Owner-Verwaltung
Jede AD-Gruppe sollte einen definierten Owner (Verantwortlichen) haben. Der Owner ist für die Aktualität der Gruppenmitgliedschaft verantwortlich und erhält regelmäßige Attestierungs-E-Mails.
Attestierung
Die Attestierung ist der formale Prozess bei dem der Owner der Gruppe bestätigt dass alle Mitglieder weiterhin Zugriff benötigen. Sie läuft automatisch nach dem konfigurierten Intervall ab.
- Der Owner erhält eine E-Mail mit einer Liste der aktuellen Mitglieder.
- Im Tool kann die Attestierung manuell gestartet oder zurückgesetzt werden.
- Überfällige Attestierungen erscheinen rot im Dashboard und in der Warnliste.
- Alle Attestierungs-Aktionen werden revisionssicher im Audit-Log protokolliert.
Dynamische Gruppen
Dynamische Gruppen werden automatisch synchronisiert basierend auf konfigurierbaren AD-Abfragen (LDAP-Filter). Mitglieder werden automatisch hinzugefügt oder entfernt wenn sie die Kriterien erfüllen.
- Regelname und Beschreibung
- Zielgruppe (die zu befüllende AD-Gruppe)
- LDAP-Filter für Quellobjekte
- Synchronisationsintervall
- Aktiv/Inaktiv-Schalter
Deprovisioning
Das Deprovisioning-Modul ist eine der leistungsstärksten Funktionen des ISW AD Group Lifecycle Managers. Es erkennt inaktive Benutzerkonten automatisch und kann konfigurierte Bereinigungsaktionen durchführen.
Berichte
Der Berichte-Tab gliedert sich in vier Bereiche: Audit-Log-Bericht, Stale-Group-Analyse, Alarm-Protokoll und User-Revalidation.
Audit-Log-Bericht
Der Audit-Log-Bericht erzeugt einen vollständigen, revisionssicheren Bericht über alle protokollierten Aktionen in einem konfigurierbaren Zeitraum.
Export-Formate
- HTML: Vollständiger Bericht mit Statistik-Kacheln und farbiger Kategorisierung
- PDF: Druckbarer Bericht im Landscape-Format mit Header und Footer
- E-Mail: Direktversand als PDF-Anhang über konfigurierten SMTP-Server
- ZIP (AES-256): Verschlüsseltes Archiv mit PDF und HTML
Hash-Kette validieren
Die Schaltfläche “Hash-Kette validieren” prüft die Integrität aller Audit-Einträge. Jeder Eintrag enthält einen SHA-256-Hash der den vorherigen Eintrag einschließt. Eine Manipulation eines einzelnen Eintrags würde sofort erkannt werden.
Revisionssicherheit
Die Hash-Kette des ISW AD Group Lifecycle Managers erfüllt die Anforderungen revisionssicherer Protokollierung nach BSI-Grundschutz und ISO 27001. Bei positivem Validierungsergebnis ist die Unversehrtheit aller Einträge garantiert.
Stale-Group-Analyse
Die Stale-Group-Analyse identifiziert inaktive, ungenutzte oder schlecht verwaltete AD-Gruppen. Sie bewertet jede Gruppe nach einem Score-Modell und weist einen Schweregrad zu.
User-Revalidation
Die User-Revalidation ist ein periodisches Verfahren bei dem Manager ihre direkt zugeordneten Mitarbeiter und deren Berechtigungen bestätigen. Das Tool liest Manager automatisch aus dem AD (Attribut ‘manager’), erstellt einen PDF-Bericht mit allen AD-Gruppen je Mitarbeiter und versendet diesen AES-256-verschlüsselt per E-Mail.
Blacklist
Die Blacklist verhindert dass bestimmte Objekte in Suchergebnissen oder Analysen erscheinen. Sie ist in vier Bereiche aufgeteilt:
Drift-Erkennung
Die Drift-Erkennung ist ein Sicherheitsfeature das Änderungen an AD-Gruppen erkennt, die außerhalb des ISW AD Group Lifecycle Managers vorgenommen wurden – z. B. direkt in der ADUC-Konsole, per PowerShell oder durch andere Administrationswerkzeuge.
AD Group Lifecycle Manager – „Volle Kontrolle über AD-Gruppen – ohne Cloud, ohne Kompromisse.”
Teil der ISW-Tools Suite von IT-Service Walter
© 2026 IT-Service Walter | Alle Rechte vorbehalten