Active Directory Audit unter Windows 11 — Schritt-für-Schritt

12. Mai 2026 · Sat-iTec Systemhaus GmbH · 8 Min. Lesezeit

Windows 11 hat RSAT als optionales Feature versteckt — die Installation per Settings-App schlägt oft fehl. Hier zeigen wir, wie Sie ein vollständiges AD-Audit aufsetzen, ohne RSAT zu brauchen und ohne Domain-Admin-Rechte.

Warum RSAT unter Windows 11 problematisch ist

Microsoft hat mit Windows 10 1809 RSAT auf „Features on Demand" umgestellt. Unter Windows 11 hat sich das Problem verschärft:

Settings-App-Installation schlägt regelmäßig fehl mit Fehler 0x800f0954 wenn die Domain einen WSUS-Server konfiguriert hat.
DISM-Installation funktioniert oft nur mit Internet-Zugriff auf Microsoft-Update-Catalog — bei strengen Proxy-Setups schwierig.
Auch nach RSAT-Install: Das PowerShell-Modul ActiveDirectory verlangt oft .NET-Framework-Updates, die zusätzlich installiert werden müssen.

Die gute Nachricht: Sie brauchen RSAT für ein AD-Audit gar nicht. Native LDAP-Abfragen funktionieren mit Bordmitteln + jedem modernen IT-Audit-Tool.

Voraussetzungen — was Sie wirklich brauchen

Audit-Workstation

Eine Windows-11- oder Windows-10-Workstation im Domain-Netz. Lokaler Admin-Zugang reicht. Es muss kein Domain-Admin sein.

Service-Account für AD-Bind

Ein dedizierter Service-Account, der nur Lese-Rechte auf das AD hat:

# Auf einem DC mit AD-Admin-Konsole:
New-ADUser -Name "audit-readonly" `
    -SamAccountName "audit-readonly" `
    -UserPrincipalName "audit-readonly@example.local" `
    -AccountPassword (ConvertTo-SecureString "STARKES-PASSWORT" -AsPlainText -Force) `
    -Enabled $true `
    -Description "Read-only Service-Account fuer AD-Audit"

# Optional: in eine eigene OU verschieben, GPO mit "Logon as Service deny" zuweisen
# Optional: Account-PW auf nicht-ablaufend setzen wenn das Tool keinen Rotation-Support hat
Get-ADUser -Identity audit-readonly | Set-ADUser -PasswordNeverExpires $true

Read-only ist hier wörtlich: keine Schreibrechte, keine OU-Manipulation, keine Gruppen-Veränderung. Das verhindert, dass Audit-Tools versehentlich Schaden anrichten.

Schritt 1: ITscanner installieren

Setup-Installer für Windows herunterladen, als Admin ausführen. Das Setup richtet:

Den Server-Dienst auf Port 8585
Den Scanner-Dienst (separater Prozess für Scan-Jobs)
Den Tray-Icon-Autostart
Die Firewall-Regel

Nach der Installation öffnet sich das Dashboard automatisch unter http://localhost:8585.

Schritt 2: AD-Verbindung konfigurieren

Im Tab „Einstellungen → AD-Verbindung" tragen Sie ein:

Domain-Controller: dc01.example.local (FQDN!)
Bind-DN: audit-readonly@example.local (UPN-Format)
Passwort: das Passwort aus dem PowerShell-Befehl
Base-DN: DC=example,DC=local (Domain-Namen)
Port: 389 (LDAP) oder 636 (LDAPS, empfohlen)

Klicken Sie „Verbindung testen". Wenn grün, weiter zum Scan. Wenn rot, prüfen Sie:

Service-Account-Passwort korrekt?
Firewall öffnet Port 389/636 zwischen Workstation und DC?
FQDN auflösbar? (nslookup dc01.example.local)

Schritt 3: AD-Scan starten

Im Tab „Scan-Ziele → AD-Scan" klicken Sie auf „Vollständigen AD-Scan starten". Das Tool zieht:

Alle Benutzerkonten mit Attributen (Name, UPN, OU, LastLogon, PasswordLastSet, AccountEnabled, AdminCount)
Alle Gruppen mit Typ (Sicherheit/Verteilung) und Mitgliedern
Alle OUs (Organisationseinheiten) mit Inhalt
Alle GPOs (Group Policy Objects) mit Verknüpfungen und Status
Alle Computer-Objekte mit OS-Version und letztem Anmelde-Datum
Vertrauensstellungen zu anderen Domains/Forests

Typische Laufzeit: 30 Sekunden bei kleinen Domains (50 User), 5-10 Minuten bei größeren (5.000+ User).

Schritt 4: Findings durchgehen

Nach Abschluss zeigt das Dashboard automatisch:

Inaktive Konten: User, die seit >90 / >180 / >365 Tagen nicht angemeldet waren.
Konten ohne Ablauf: PasswordNeverExpires=true (BSI-Verstoß, wenn keine Begründung dokumentiert).
Konten mit hohen Rechten: Mitglieder von Domain Admins, Enterprise Admins, Schema Admins, Account Operators.
Verwaiste GPOs: GPOs, die mit keiner OU verknüpft sind.
OUs ohne Inhalt: leere Container, die seit Migrationen übrig blieben.

Diese Listen sind das Kerngerüst eines AD-Audits. Drucken Sie sie als PDF und legen Sie sie der nächsten Versicherungs-Anfrage bei.

Schritt 5: Maßnahmen ableiten

Typische Befunde + Maßnahmen:

Befund	Maßnahme	BSI-Bezug
12 inaktive User > 365 Tage	Deaktivieren oder löschen	ORP.4.A1
3 User mit PasswordNeverExpires	Begründung + Genehmigung dokumentieren	ORP.4.A19
4 User in Domain Admins	Auf separate Tier-0-Accounts umstellen	ORP.4.A22
2 verwaiste GPOs	Aufräumen, Doku aktualisieren	SYS.1.2.x
1 Vertrauensstellung zu altem Domain	Prüfen, ggf. aufheben	ORP.4.A20

Häufige Fehler beim AD-Audit

1. Audit mit dem eigenen Admin-Account

Wenn Sie als Domain-Admin scannen, hat jeder Audit-Eintrag den falschen Verursacher und es gibt einen ORP.4-Verstoß. Immer mit einem dedizierten Service-Account scannen.

2. LDAP statt LDAPS

LDAP-Klartext-Übertragung ist seit Server 2019 mit LDAP-Signing eigentlich blockiert, aber wenn das deaktiviert ist (manche Legacy-Umgebungen), übertragen Sie das Service-Account-Passwort im Klartext. Immer LDAPS auf Port 636 nutzen.

3. Audit nur 1x pro Jahr

BSI verlangt mindestens jährlich, besser quartalsweise. ITscanner unterstützt Scheduled-Scans — einmal einrichten, läuft automatisch.

ITscanner jetzt 7 Tage testen — Flat-Rate 49,50 €/Jahr

Vollständige Funktionen, keine Asset-Limits, keine Cloud, keine Kreditkarte. Aktivieren in 5 Minuten.

Kostenlos herunterladen Vergleich mit Docusnap & Lansweeper →