StartseiteActive Directory Engineer Gehalt
Aktualisiert April 2026

Active Directory Engineer Gehalt 2026: 56.000 – 98.000 €

Aktuelle Gehaltsdaten für Active Directory Engineers nach Region, Erfahrung und Arbeitgebertyp – basierend auf Entgeltatlas, StepStone, Microsoft Identity Report, Heise iX Gehaltsumfrage und eigenen Vermittlungsdaten.

56.000 €
Berufseinstieg 2–4 Jahre
72.000 €
Senior-Level 5–8 Jahre
98.000 €
Principal + Banking/KRITIS
Active Directory Engineer Gehalt 2026 — Auf einen Blick
Einstiegsgehalt
56.000 € brutto/Jahr
Median-Gehalt
72.000 € brutto/Jahr
Top-Gehalt
98.000 € brutto/Jahr
Top-Region
Hessen (Frankfurt) (80.640 € Median)
Top-Arbeitgeber
Big Tech (88.000 € Median)
Gehaltsrechner
Individuelles Gehalt berechnen →
Quelle: ADVERGY Vermittlungsdaten & Entgeltatlas 2026 · tech-gehalt.de
Mehr zu unserer Methodik →
Teilen: LinkedIn Facebook X

Gehaltsrechner: Was kannst du als Active Directory Engineer verdienen?

Berechne dein individuelles Gehalt basierend auf Region, Erfahrung, Arbeitgebertyp und Spezialisierung.

📊

Dein Gehaltscheck

In 30 Sekunden deinen Marktwert erfahren.

5 Jahre
Dein geschätzter Marktwert
Dein Gehalt Markt-Median

Active Directory Engineer Gehalt nach Bundesland

Die regionalen Unterschiede bei IT-Gehältern sind erheblich. Bayern und Baden-Württemberg führen dank der dichten Tech-Cluster in München und Stuttgart.

RegionEinstiegMedianTop
Hessen (Frankfurt)62.720 €80.640 €109.760 €
Bayern (München)61.600 €79.200 €107.800 €
Baden-Württemberg60.480 €77.760 €105.840 €
Hamburg59.360 €76.320 €103.880 €
Nordrhein-Westfalen56.000 €72.000 €98.000 €
Berlin54.880 €70.560 €96.040 €
Niedersachsen52.640 €67.680 €92.120 €
Bremen51.520 €66.240 €90.160 €
Schleswig-Holstein51.520 €66.240 €90.160 €
Rheinland-Pfalz51.520 €66.240 €90.160 €
Saarland50.400 €64.800 €88.200 €
Brandenburg50.400 €64.800 €88.200 €
Mecklenburg-Vorpommern49.280 €63.360 €86.240 €
Sachsen-Anhalt49.280 €63.360 €86.240 €
Thüringen49.280 €63.360 €86.240 €
Sachsen49.280 €63.360 €86.240 €

Active Directory Engineer Gehalt nach Erfahrung

Berufserfahrung ist der stärkste Gehaltshebel. So entwickelt sich dein Gehalt über die Jahre.

ErfahrungGehaltsspanneMedianTypische Rolle
AD-Admin Junior (2–4 Jahre)50.000 – 62.000 €55.000 €Benutzer- und Gruppenverwaltung, GPO-Anpassungen, erste Troubleshooting-Cases, PowerShell-Basisscripts, Exchange-User-Handling
AD Engineer (4–6 Jahre)62.000 – 78.000 €69.000 €GPO-Design, Delegation-Modelle, Domain Controller Migrations, Entra-ID-Hybrid-Integration, PowerShell-Module, Exchange-Hybrid-Troubleshooting
Senior AD Engineer (6–9 Jahre)72.000 – 92.000 €82.000 €Multi-Forest-Architektur, Trust-Design, ADFS/Federation, Tier-Model-Rollouts, Hardening (BSI, MITRE ATT&CK for AD), PKI-Betrieb
Principal AD Engineer / Identity Architect (9+ Jahre)88.000 – 115.000 €100.000 €AD-Migrations-Projekte (Forest-Konsolidierungen), PAM-Lösungen (CyberArk, BeyondTrust), Entra-ID-Roadmap, Exchange-Migrations-Lead, CISO-Sparring
Head of Identity / AD (11+ Jahre)100.000 – 150.000 €125.000 €Team-Lead für 4–10 Engineers, Budget-Verantwortung 1–5 Mio. €/Jahr, Strategie AD vs. Entra-ID-only, Compliance-Reporting NIS2/DORA
Gehalt nach Erfahrung: Junior Tech Gehalt Professional Tech Gehalt Senior Tech Gehalt Lead Tech Gehalt Manager Tech Gehalt

Du willst wissen, was DU verdienen kannst?

Kostenlose Gehaltseinschätzung in 2 Minuten -- basierend auf deinem Profil.

Gehalt jetzt checken

Active Directory Engineer Gehalt nach Arbeitgebertyp

Der Arbeitgebertyp bestimmt nicht nur das Gehalt, sondern auch Benefits, Karrierewege und Work-Life-Balance.

ArbeitgeberEinstiegMedianTopBenefits
Big Tech
Microsoft, AWS, Google (Identity Integration)		68.000 €88.000 €128.000 €RSU-Aktienoptionen (25–55k/Jahr), 30+ Urlaubstage, Workation, Microsoft Ignite Tickets, eigene Testumgebung für Forest-Migrations-Tools
Bank / Versicherung
Deutsche Bank, Allianz, Commerzbank, DZ Bank, Munich Re		65.000 €84.000 €112.000 €Tarifvertrag, 30+ Urlaubstage, BAV, Bonus 12–18%, stabile Teams, On-Call-Pauschalen 400–750€/Monat, BaFin-relevante Audit-Projekte
DAX-Konzern
Telekom, SAP, Siemens, BMW, BASF, E.ON, Continental		62.000 €80.000 €105.000 €Tarifvertrag (IG Metall oder AG-Bank), 30 Urlaubstage, Betriebsrente, Firmenwagen ab Senior, Multi-Country-Forest-Verantwortung
IT-Dienstleister / Beratung
Accenture, Atos, Bechtle, Cancom, Computacenter, KPMG		58.000 €75.000 €100.000 €Schnelle Microsoft-Zertifizierungs-Pfade (SC-300, AZ-800/AZ-801), Projekt-Vielfalt mit Forest-Migrationen, 55–75% Remote
Mittelstand
Maschinenbau, Logistik, Handel, Pharma-Mittelstand, Hidden Champions		54.000 €68.000 €88.000 €Generalist-Rolle (AD + M365 + Teile Windows), überschaubare Forest-Landschaft, weniger Bürokratie
Öffentlicher Dienst / KRITIS
ITZBund, BwI, Stadtwerke, Verkehrsbetriebe, Kliniken		52.000 €66.000 €86.000 €TVöD/TV-L Entgeltgruppen 11–13, 30 Urlaubstage, Jobticket, BSI-IT-Grundschutz-Projekte, NIS2-Transformation
Insider-Tipp von ADVERGY

Der am meisten unterschätzte Gehaltshebel 2026 für AD-Engineers: AD-Security-Assessments (BloodHound, PingCastle, Purple Knight) als formale Erfahrung dokumentieren. Unsere Vermittlungsdaten zeigen klar: Ein AD Engineer ohne Security-Profil verdient im Median 68k, mit nachweislicher BloodHound-/PingCastle-Erfahrung und einem AD-Hardening-Projekt springt der Median auf 82k (+21%), mit zusätzlich Tier-Model-Rollout-Erfahrung auf 92k (+35%). Viele AD-Admins verpassen diesen Hebel, weil sie AD-Security als 'Security-Team-Aufgabe' abschreiben – in Wahrheit sind AD-Engineers die einzigen, die AD-Konfigurationen so verändern können, dass Angriffe (Kerberoasting, DCSync, ESC1-ESC8 in ADCS) nicht mehr funktionieren. Zweiter unterschätzter Hebel: Entra-ID-Projekte dokumentieren. Ein 'Entra-ID-Connect-Hybrid-Rollout für 15.000 Nutzer mit Conditional Access und PIM' oder eine 'Exchange-Hybrid-Migration für 8.500 Mailboxen' rechtfertigt im Vermittlungsgespräch 10–14% Aufschlag. Dritter Hebel: Forest-Migrations-Erfahrung. M&A-Projekte (Carve-Outs, Akquisitionen) erzwingen Forest-Migrationen, die 9–18 Monate dauern und sehr gut bezahlte Spezialisten erfordern. Wer eine abgeschlossene Forest-Migration (z.B. 45k Nutzer-Objekte aus 3 Source-Forests in 1 Ziel-Forest) nachweisen kann, verhandelt bei Banken oder DAX-Konzernen 88–105k versus 72–78k ohne Migrations-Profil. Konkreter Rat: Wenn du aktuell bei einem Mittelständler bei 68k sitzt, plane einen 24-Monats-Pfad – Jahr 1 SC-300 + BloodHound-/PingCastle-Assessment dokumentieren + Entra-ID-Hybrid-Projekt, Jahr 2 Wechsel zu einer Beratung (KPMG Cyber, Accenture) oder einer Bank für 82–92k. Das ist der höchste ROI-Karriereplan in der AD-Vermittlung.

AD-Engineer-Gehälter 2026 — Identity als neues Premium-Feld

Der Arbeitsmarkt für Active Directory Engineers ist 2026 überdurchschnittlich stark. Ein Senior AD Engineer verdient im Median 72.000€ brutto pro Jahr (Quelle: Entgeltatlas, StepStone, ADVERGY-Daten n=34). Das Gehaltsniveau liegt etwa 15–20% über klassischen Windows-Admins und nähert sich dem Niveau von Security Engineers an – der Grund liegt im strategischen Stellenwert von Identity-Infrastrukturen. Laut Mandiant M-Trends Report 2025 laufen 74% aller kritischen Intrusions in Deutschland über kompromittierte AD-Identitäten (Kerberoasting, DCSync, Golden Ticket, Pass-the-Hash). Active Directory ist damit 2026 die zentrale Verteidigungslinie für praktisch jedes deutsche Großunternehmen – das spiegelt sich direkt im Gehalt wider.

Drei Trends heben das Gehaltsniveau einzelner AD-Profile 2026 massiv: Erstens AD-Hardening und Tier-Model-Rollouts. Nach der NIS2-Umsetzung seit Oktober 2024 und dem BSI-Lagebericht 2025 ist formalisiertes AD-Hardening für KRITIS-Betreiber und regulierte Branchen Pflicht – Engineers mit BSI-Tier-Model- und MITRE-ATT&CK-for-AD-Erfahrung verdienen laut unseren Daten 12–18% mehr. Zweitens Entra-ID-Hybrid-Integration: Microsoft hat mit der Entra-ID-Konsolidierung (ehemals Azure AD) den Hybrid-Betrieb als Standard etabliert. Wer AD + Entra ID + Conditional Access + PIM (Privileged Identity Management) beherrscht, erreicht Senior-Niveaus von 82–95k versus 68–75k für reine AD-Admins. Drittens Forest-Migrationen und M&A-Projekte: Unternehmens-Übernahmen und Carve-Outs erzwingen AD-Konsolidierungen, die typisch 9–18 Monate dauern und spezialisierte Engineers erfordern – diese Nische zahlt 85–105k.

Für dich als AD Engineer bedeutet das konkret: Laut ADVERGY-Vermittlungsdaten erzielen wechselwillige AD-Engineers im Schnitt +17% Gehaltssprung gegenüber internen Gehaltsrunden – typische Sprünge sind 68k → 82k oder 85k → 98k. Das Year-over-Year-Wachstum der AD-Gehälter liegt 2024 → 2026 bei +7 bis +10%, deutlich über dem allgemeinen IT-Wachstum. Besonders gefragt sind drei Profile: SC-300-zertifizierte Engineers mit Entra-ID-Hybrid-Fokus (+10–15% Premium), AD-Security-Spezialisten mit Hardening-/Tier-Model-Expertise (+12–18% Premium) und Forest-Migrations-Experten für M&A-Projekte (+15–22% Premium). Banking-AD-Engineers in Frankfurt mit DORA-Erfahrung erreichen 85–98k, weil Identity-Compliance kapitalmarkt-relevant ist und jede BaFin-Prüfung AD-Konfigurationen auditiert. Klassische AD-Admins ohne Security-/Hybrid-Profil bleiben dagegen im Bereich 62–72k hängen.

Welche Faktoren bestimmen das Gehalt eines Active Directory Engineer?

Security-Hardening: Tier-Model als klarer Gehalts-Hebel

Der stärkste Einzel-Hebel ist AD-Security-Hardening nach BSI- und Microsoft-Tier-Model-Prinzipien. Engineers mit BloodHound-/PingCastle-Assessments und Tier-Model-Rollouts verdienen im Median 82.000€ – rund 16–20% über Standard-AD-Admins (68–72k). Grund: NIS2, DORA und BSI-IT-Grundschutz-Anforderungen erzwingen formalisiertes AD-Hardening. Laut Mandiant M-Trends laufen 74% der kritischen Intrusions über AD – wer das verhindern kann, ist für Banken und KRITIS-Betreiber unverzichtbar.

Entra-ID-Hybrid: Cloud-Nähe als Premium

SC-300-zertifizierte Engineers mit Entra-ID-Hybrid-Expertise verdienen 10–15% mehr als reine On-Prem-AD-Admins. Die Kombination AD + Entra ID Connect + Conditional Access + PIM + Exchange-Hybrid ist 2026 das lukrativste Profil im Identity-Bereich. Laut Microsoft Identity Report planen 89% der deutschen Enterprise-Kunden bis 2027 den vollständigen Hybrid-Betrieb. Forest-only-Admins werden strukturell günstiger und verlieren langfristig 8–12% relatives Gehalt.

Forest-Migration: M&A-Spezialisierung als Nische

Forest-Migrations-Experten verdienen 15–22% Premium, besonders bei DAX-Konzernen und Beratungen. Unternehmens-Übernahmen und Carve-Outs erzwingen AD-Konsolidierungen mit speziellen Tools (ADMT, Quest Migration Manager, Semperis DSP). Die Nische ist klein, die Gehälter sind hoch: Senior-Engineers mit 2+ abgeschlossenen Forest-Migrationen erreichen 92–108k, bei großen M&A-Projekten 115k+ als Freelancer bei 1.300€+ Tagessatz.

Branche: Banking mit DORA-Premium

AD-Engineers bei Deutsche Bank, Commerzbank, DZ Bank oder Allianz verdienen im Median 84.000€ – rund 15–20% über normalem Mittelstand. Treiber ist DORA (seit Januar 2025) und BaFin-Prüfungen, die AD-Konfigurationen explizit auditieren (Domain Controller Hardening, ADCS-Konfiguration, PIM für privilegierte Accounts). Beratungen (KPMG Cyber, Accenture, Deloitte) zahlen 75–100k für Senior AD Engineers mit Projekt-Fokus.

Region: Frankfurt-Premium durch Banking

Frankfurt (Hessen) führt mit 80.640€ Median – getrieben durch Banken-IT, AWS/Azure Region Frankfurt und große Versicherungen (Allianz, Munich Re). München (Bayern) folgt mit 79.200€ durch BMW, Siemens, Allianz und Microsoft Deutschland (Hauptsitz). Hamburg liegt bei 76.320€, Berlin mit 70.560€ im Mittelfeld. In Ostdeutschland sind AD-Engineer-Gehälter 12–15% unter Bundesdurchschnitt.

Karrierepfad: Vom Junior zum Top-Verdiener

Stufe 1: AD-Administrator Junior
50.000 – 62.000 €
2–4 Jahre

Einstieg aus klassischer Windows-Administration oder Fachinformatiker-Ausbildung. Benutzer- und Gruppenverwaltung in AD, einfache GPO-Anpassungen, Troubleshooting bei Login-Problemen, erste PowerShell-Scripts, Exchange-User-Handling. AZ-800 oder MS-100 in Vorbereitung.

Stufe 2: AD Engineer
62.000 – 78.000 €
4–6 Jahre

GPO-Design mit Struktur-Konzept, Delegation-Modelle (OU-basiert), Domain-Controller-Migrationen (2016 → 2022), Entra-ID-Connect-Betrieb, PowerShell-Module für automatisierte Benutzer-Provisionierung, Exchange-Hybrid-Troubleshooting, erste ADCS-Aufgaben. SC-300 in Vorbereitung.

Stufe 3: Senior AD Engineer
72.000 – 92.000 €
6–9 Jahre

Multi-Forest-Architektur, Trust-Design (External/Forest), ADFS/Federation für Legacy-Apps, Tier-Model-Rollouts nach Microsoft/BSI, BloodHound-/PingCastle-Assessments, PKI-Betrieb (ADCS), Schema-Extensions, Mentoring von Junior-AD-Engineers. SC-300 + AZ-801 zertifiziert.

Stufe 4: Principal AD Engineer / Identity Architect
88.000 – 115.000 €
9+ Jahre

AD-Migrations-Leads (Forest-Konsolidierungen, 20k+ Objekte), Privileged Access Management (CyberArk, BeyondTrust), Entra-ID-Roadmap und Strategie, Exchange-Migrations-Lead, Identity-Governance-Tools (SailPoint, MIM), CISO-Sparring bei Identity-Breach-Responses. Speaker bei Microsoft Ignite oder BSI-Sicherheitskongress.

Stufe 5: Head of Identity / Head of AD
100.000 – 150.000 € + Bonus
11+ Jahre

Führungsverantwortung für 4–10 Engineers, Budget-Verantwortung 1–5 Mio. €/Jahr (Lizenzen, Personal, PAM-Tools), Strategie AD vs. Entra-ID-only, Compliance-Reporting nach NIS2 und DORA, CISO-Nähe mit Quartals-Reporting. Häufig disziplinarischer Vorgesetzter der AD- und Identity-Teams.

Verhandlungstipp

AD-Engineer-spezifische Verhandlungstaktik in drei konkreten Szenarien: (1) Szenario 'Junior zu AD Engineer' (4–6 Jahre Erfahrung): Dein Gehaltssprung 56k → 68k rechtfertigst du mit drei konkreten Identity-Outcomes. Beispiel: 'Ich habe in den letzten 18 Monaten eine Domain-Controller-Migration von 8 DCs von Windows Server 2016 auf 2022 durchgeführt, ein GPO-Konsolidierungs-Projekt umgesetzt (von 640 auf 180 GPOs mit klarer OU-Struktur) und einen Entra-ID-Connect-Hybrid-Rollout für 4.200 Nutzer mit Conditional Access als Self-Service-Passwort-Reset umgesetzt.' Solche Zahlen sprechen Identity-Leitung direkt an. Fordere zusätzlich die Übernahme der SC-300 (Prüfung 165€ + Kurs 1.800€, Gesamtwert 2.000€) plus AZ-801 als zweiten Schritt, ein Zertifizierungsbudget von 5.000€/Jahr und Teilnahme an Microsoft Ignite (Wert 4.500€) oder BSI-IT-Sicherheitskongress. (2) Szenario 'AD Engineer zu Senior AD Engineer' (6–9 Jahre): Der Sprung 72k → 88k hängt an nachweisbarer Security-, Multi-Forest- oder Migrations-Verantwortung. Quantifiziere Impact: Wie viele Forests und Objekte betreust du (z.B. 3 Forests, 18.000 User-Objekte, 48 Domain Controllers)? Welche Security-Projekte hast du geleitet (z.B. BloodHound-Assessment mit 1.200 Findings, Tier-Model-Rollout in 9 Monaten, Kerberoasting-Mitigation mit gMSA-Rollout)? Welche Migrationen hast du begleitet (z.B. Forest-Konsolidierung 2 → 1 für 12k User)? Diese Zahlen rechtfertigen 14–20% über dem Erstangebot plus 15% Zielbonus. Verhandle zusätzlich On-Call-Pauschalen (400–750€/Monat), Microsoft-Ignite-Teilnahme (Seattle, 4.500€), Weiterbildungsbudget 6.500€, Zugang zu Semperis DSP oder Specops PAM für die eigenen Tests, und Mitgliedschaft in spezialisierten Communities wie ADSecurity oder Specterops. Branchenwechsel-Hebel: Wer vom Mittelstand zu einer Beratung (KPMG Cyber, Accenture Security) oder einer Bank wechselt, verhandelt strukturell 12–18% mehr, weil dort AD-Security-Qualifikationen und Migration-Erfahrung kritisch sind. (3) Szenario 'Senior zu Principal AD Engineer / Identity Architect' (9–14 Jahre): Hier zählen Referenz-Projekte mehr als Jahre. Ein nachweisbarer Forest-Konsolidierungs-Rollout nach M&A, ein Tier-Model-Rollout mit nachweisbarer BloodHound-Score-Verbesserung (z.B. von 8,2 auf 2,1) oder ein CyberArk-PAM-Rollout für einen DAX-Konzern sind je 12–16% wert. Verhandle zusätzlich zum Grundgehalt (95–105k): garantierter Bonus (mindestens 15%), Firmenwagen oder Mobilitätsbudget (800€/Monat), 3-monatiges Sabbatical nach 5 Jahren, Speaker-Budget für Microsoft Ignite, BSI-Sicherheitskongress, DerbyCon oder TROOPERS (6.500€/Jahr), Zugang zu Microsoft Detection and Response Team (DART) Workshops und Semperis Directory-Services-Community. Konkrete Verhandlungs-Skripte: Beim Counter-Offer nie mit 'ich will mehr' argumentieren, sondern mit 'hier sind drei Identity-Outcomes der letzten 18 Monate: (a) Forest-Konsolidierung 3→1 mit 28k Objekten, (b) Tier-Model-Rollout mit PingCastle-Score-Verbesserung von 89% auf 21%, (c) Exchange-Hybrid-Migration für 12k Mailboxen – das ist der Marktwert solcher Profile. Unter 102k macht der Wechsel für mich keinen Sinn, weil ich aktuell bei 92k inklusive Bonus liege.' Nutze außerdem gezielt Wettbewerbs-Angebote von Microsoft, einer großen Beratung oder einer Bank als Hebel. Anti-Pattern: Nenne nie dein aktuelles Gehalt zuerst. Stattdessen: 'Ich bin an Senior-AD-Engineer-Positionen im Bereich 88–100k interessiert, abhängig vom Identity-Scope und Security-Verantwortung.'

Zertifizierungs-Roadmap für Active Directory Engineer

Welche Zertifizierungen bringen wirklich Gehalt? Kosten, Dauer und realistischer Gehaltsimpact.

SC-300 – Microsoft Identity and Access Administrator
Microsoft
Mittel-Schwer
Kosten
~2.000 € (Prüfung 165€ + Kurs ~1.800€)
Dauer
3–4 Monate
Gehalt+
+10–15%

Die wichtigste Identity-Zertifizierung 2026. Fokus auf Entra ID, Conditional Access, PIM, Identity Governance, Application Access. Bei Banken, DAX-Konzernen und Microsoft-Gold-Partnern faktische Voraussetzung für Senior-AD-Engineer-Positionen mit Hybrid-Fokus. Amortisiert sich in 5–7 Monaten über höhere Festgehälter.

AZ-800 / AZ-801 – Windows Server Hybrid
Microsoft
Schwer
Kosten
~4.100 € (2 Prüfungen à 165€ + Kurse ~3.700€)
Dauer
6–8 Monate (beide zusammen)
Gehalt+
+12–18%

Das 'neue MCSE-Äquivalent' für Senior-Windows-/AD-Engineers. AZ-800 deckt Windows Server Hybrid Core inkl. AD DS, AZ-801 die Advanced Services inkl. Security-Hardening. Kombiniert mit SC-300 bildet das die profitabelste Zertifikats-Troika für Banking und DAX-Rollen.

SC-100 – Cybersecurity Architect Expert
Microsoft
Schwer
Kosten
~2.400 € (Prüfung 165€ + Kurs ~2.200€)
Dauer
4–5 Monate
Gehalt+
+10–14%

Expert-Level-Zertifizierung mit Fokus auf Zero-Trust-Architekturen, inklusive Identity-Sicherheit (AD-Hardening, Entra ID, Defender for Identity). Ideal für Principal-AD-Engineer-Ambitionen. Erfordert eine weitere Associate-Zertifizierung als Voraussetzung (meist SC-300).

Specops/Semperis AD Security (Vendor-Workshops)
Semperis / Specops
Mittel
Kosten
~2.500 € (Workshop + Tool-Training)
Dauer
3–5 Tage intensiv + Selbststudium
Gehalt+
+6–10%

Keine offizielle Zertifizierung, aber dokumentierte Tool-Kompetenz. Semperis DSP und Specops werden bei Banken und DAX-Konzernen für AD-Recovery und Security eingesetzt – Engineers mit Workshop-Teilnahme und Projekt-Erfahrung verdienen überproportional. Besonders in Kombination mit SC-300 stark nachgefragt.

CyberArk / BeyondTrust Certified
CyberArk / BeyondTrust
Mittel-Schwer
Kosten
~3.000 € (Kurs + Prüfung, je nach Hersteller)
Dauer
3–5 Monate
Gehalt+
+10–14%

Privileged Access Management (PAM) ist 2026 bei jeder regulierten Branche zentrales Thema. CyberArk-PAM-zertifizierte AD-Engineers verdienen 10–14% mehr, weil PAM-Projekte (Session-Manager, EPM, Conjur) aufwändig und geschäftskritisch sind. BeyondTrust als Alternative besonders im öffentlichen Dienst und Mittelstand.

OffSec OSEP / Red Team Ops
Offensive Security
Sehr schwer
Kosten
~1.600 € (Prüfung + Lab)
Dauer
4–6 Monate
Gehalt+
+8–14%

Offensive-Security-Zertifizierung mit starkem AD-Fokus (Lateral Movement, Kerberoasting, ESC-Attacks). Für AD-Engineers, die Defensive Hardening mit Angreifer-Perspektive verbinden wollen. Seltene aber sehr wertvolle Kombination: OSEP + SC-300 macht Engineers zu Purple-Team-fähigen Identity-Spezialisten.

BSI IT-Grundschutz-Praktiker
BSI / BSI-zertifizierte Schulungsanbieter
Leicht-Mittel
Kosten
~1.500 € (Kurs + Prüfung)
Dauer
3–5 Tage Kurs
Gehalt+
+5–8%

Pflicht-Zertifizierung für AD-Engineers in KRITIS, öffentlichem Dienst und Bundeswehr. Gibt strukturiertes Wissen zu BSI-Standard 200-x und IT-Grundschutz-Kompendium inkl. AD-spezifischer Bausteine (APP.2.2 Active Directory). Besonders wertvoll in regulierten Branchen.

Typische Projekte: Was ein Active Directory Engineer wirklich macht

Diese Projekt-Archetypen dominieren den Alltag – mit Volumen, Dauer und konkreten Lernpunkten.

AD-Tier-Model-Rollout Bank
Volumen:1,8 Mio € Budget
Dauer:16 Monate
Active Directory 2022Microsoft Defender for IdentityPingCastleBloodHoundgMSAJust-in-Time Admin AccessLAPS v2

Einführung eines vollständigen Microsoft-Tier-Model (Tier 0/1/2) bei einer Top-20-Bank mit 14.000 Nutzern und 42 Domain Controllern. Kernaufgaben: Tier-Trennung mit separaten Admin-Accounts und Workstations (PAW - Privileged Access Workstations), Just-in-Time-Admin-Access über Entra ID PIM, LAPS v2 für lokale Admin-Passwort-Rotation, gMSA-Rollout zur Vermeidung von Kerberoasting, Event-Log-Auditing via Defender for Identity, Konsolidierung von 340 Admin-Accounts auf 48 getagte Tier-0/1/2-Accounts. Typische Herausforderung: Awareness und Prozessänderung für IT-Operations, Tool-Integration mit ServiceNow für Approval-Workflows. Ergebnis: PingCastle-Score von 78% auf 21% reduziert, Mean-Time-to-Compromise-Simulation von 4h auf über 35 Tage. Ideal für Senior AD Engineers mit SC-300 + AZ-801. CV-Wert: Premium-Referenz, rechtfertigt +14–18% Gehaltssprung.

Forest-Konsolidierung nach M&A (DAX-Konzern)
Volumen:3,2 Mio € Budget
Dauer:18 Monate
Quest Migration ManagerADMTEntra ID ConnectExchange 2019 HybridSemperis DSPPowerShell 7

Konsolidierung von 4 Source-Forests nach einer großen Übernahme in 1 konsolidiertes Ziel-Forest eines DAX-40-Industriekonzerns. 48.000 User-Objekte, 12.000 Workstations, 18.000 Mailboxen. Kernthemen: Forest-Trust-Design für Übergangsphase, SID-History-Migration für Zugriffsrechte-Erhalt, Exchange-Mailbox-Cross-Forest-Migration, Group-Policy-Harmonisierung (aus 4 × 400 GPOs in 1 × 180 GPOs), Entra-ID-Connect-Neu-Design, Cutover-Planung für 42 Ländergesellschaften. Kritische Hürden: Legacy-Apps mit Kerberos-SPN-Abhängigkeiten, Active-Directory-Integrated DNS-Zonen-Migration, Semperis-gestütztes Risk-Assessment vor jedem Cutover-Wochenende. Projekt-Referenz für Principal-AD-Engineer-Profile (100k+ Jahresgehalt).

Entra-ID-Hybrid-Rollout Mittelstand
Volumen:480.000 € Budget
Dauer:8 Monate
Entra ID ConnectConditional AccessPIMSSPR (Self-Service Password Reset)MFAIntune Compliance

Einführung einer vollständigen Entra-ID-Hybrid-Integration bei einem Pharma-Mittelständler mit 3.200 Mitarbeitern. Kernthemen: Entra-ID-Connect-Sync-Design mit passwortbasierter Authentifizierung (kein ADFS), Conditional Access mit 14 Policies (Location-based, Device-based, Risk-based), SSPR mit Security-Fragen und SMS/App als zweiter Faktor, MFA-Rollout für alle Nutzer über Microsoft Authenticator, PIM für Cloud-Admins, Intune-Compliance-Policies als Voraussetzung für Conditional Access. Ergebnis: Reduktion der Helpdesk-Tickets für Passwort-Resets um 62%, Block-Rate für Brute-Force-Logins bei 98% über Conditional Access. Ideal für AD Engineers mit SC-300-Ambition. Öffnet Türen zu Senior-Rollen mit +12–18% Gehaltssprung.

ADCS-Hardening / PKI-Refresh KRITIS
Volumen:620.000 € Budget
Dauer:10 Monate
Active Directory Certificate ServicesESC MitigationLAPS v2Auto-Enrollment GPOHashiCorp VaultSplunk

Vollständiger Refresh der Windows-PKI eines KRITIS-Klinikums mit 4.200 Mitarbeitern. Kernaufgaben: Zwei-stufige CA-Architektur (Offline-Root + Issuing), ESC1-ESC8 Mitigation (Zertifikats-Template-Hardening), Auto-Enrollment-GPO für Benutzer- und Computer-Zertifikate, HashiCorp Vault als Secret-Store für Service-Accounts, Splunk-Integration für CA-Audit-Logs. NIS2-konforme Verfahrens-Dokumentation. Kritische Hürden: Medizingeräte mit alten Zertifikaten, IoT-Devices ohne Auto-Enrollment-Support, Rollback-Planung bei Zertifikats-Rotation. CV-Wert: Sehr starke Referenz für AD-Engineers mit Security-/Compliance-Fokus – rechtfertigt +10–14% Gehaltssprung.

Exchange-Hybrid-Migration Versicherung (12k Mailboxen)
Volumen:820.000 € Budget
Dauer:11 Monate
Exchange Server 2019 CU14Exchange OnlineEntra ID ConnectDefender for Office 365PowerShell 7

Hybrid-Migration von zwei Exchange-2016-Umgebungen einer Versicherungsgruppe mit 12.000 Mailboxen auf Exchange 2019 + Exchange Online. Kernthemen: Exchange-Schema-Update in AD, Hybrid Configuration Wizard, Staged Migration für 4.200 Nutzer in 12 Wellen, Shared-Mailbox-Migration, Public-Folder-Migration, Compliance-Hold-Policies nach VAG, Defender for Office 365 als EOP-Ersatz. Integration mit AD-Gruppen für Distribution Lists, dynamische Verteilerlisten, Ressourcen-Postfächer für 240 Besprechungsräume. Ergebnis: 58% der Mailboxen auf Exchange Online migriert, On-Prem-Infrastruktur um 55% reduziert. Gehaltlich wertvoll für AD-Engineers mit Messaging-Schwerpunkt: 78–92k.

Freelancer-Tagessätze als Active Directory Engineer

Selbstständig als Active Directory Engineer arbeiten? Hier die realistischen Tagessätze nach Erfahrungsstufe.

Tagessätze als Freelance-Active Directory Engineer

Basierend auf ADVERGY-Vermittlungsdaten und Marktbeobachtung 2026.

Junior (2–5 J.)
700–880 €/Tag
€/Tag (netto)
Senior (5–10 J.)
880–1.200 €/Tag
€/Tag (netto)
Lead / Principal
1.200–1.600 €/Tag
€/Tag (netto)
Typische Auslastung: 180–200 verrechenbare Tage/Jahr (ca. 80–85% Auslastung). Nachfrage ist durch AD-Hardening- und M&A-Forest-Migrationen hoch. Bei 1.050€/Tag und 190 Tagen ergibt das 199.500€ Jahresumsatz vor Steuern.

Vorteile

  • Hohe Nachfrage im Premium-Segment: Forest-Migrationen und Tier-Model-Rollouts sind komplex und knapp besetzt
  • Tages-Sätze mit PAM-/Forest-Migrations-Expertise bis 1.700€ für Principal- und Architect-Level
  • Kundenprofil: Bank, DAX, Beratung, KRITIS, öffentlicher Dienst – alle mit erzwungenen Identity-Projekten
  • Spezialisierung auf M&A-Forest-Migrationen ist eine extrem profitable Nische (1.500€+ Tagessatz, konstante Nachfrage)
  • Steuerliche Optimierung über GmbH, besonders bei 200k+ Umsatz effektiv
  • Weiterentwicklung zu Identity-Architect-Rollen mit 1.400€+ Tagessatz über BSI-/DORA-Expertise

Nachteile

  • Banking-Präsenz-Pflicht teils 2–3 Tage/Woche wegen BaFin und physischem Zugang zu Datacentern
  • On-Call-Anforderungen bei Forest-Migrations-Cutovern: 24/7-Erreichbarkeit an mehreren Wochenenden
  • Konkurrenz durch spezialisierte Beratungen (KPMG Cyber, Accenture Security, CyberArk Professional Services)
  • NDA-Komplexität: Security-Assessments erfordern strikte Verschwiegenheit
  • Keine bezahlte Krankheit/Urlaub (min. 15k€/Jahr Puffer einplanen)
  • Scheinselbstständigkeits-Risiko bei langen Enterprise-Operations-Projekten (>18 Monate)

Remote-Work-Anteil als Active Directory Engineer

Wie viel Homeoffice ist branchenüblich? Unterschiede nach Arbeitgebertyp im Überblick.

ArbeitgebertypRemote-Anteil
Große Beratungshäuser
Accenture, Deloitte, PwC, EY		60–80%
End-Kunden / Industrie
Projektarbeit vor Ort häufig gewünscht		45–65%
Inhouse-Konzerne
BMW, Siemens, BASF, Deutsche Bahn		35–55%
Freelancer
Eigenverantwortlich mit Kunden verhandelt		65–85%
Gehalts-Impact: Vollständig remote arbeitende Senior AD Engineers akzeptieren im Schnitt 3–5% weniger Grundgehalt als Hybrid-Modelle beim klassischen Mittelstand. Bei Microsoft, Beratungen oder Big Tech ist Remote Standard und bietet oft ein Premium (+3–5%). Banken zahlen Präsenz-Zulagen von 5–10% für Vor-Ort-Rollen in Frankfurt wegen BaFin-Compliance-Anforderungen.

Fach- oder Führungskarriere? Zwei Wege zum Top-Gehalt

Als Active Directory Engineer hast du zwei Hauptpfade – jeder mit eigenem Gehaltsniveau und Anforderungsprofil.

Fachkarriere
Principal AD Engineer / Identity Architect
88.000 – 115.000 €ab 9 Jahren Erfahrung
Deepdive in Technologie und Identity-Architektur: Du wirst zum Go-To-Experten für AD-Hardening, Forest-Migrations-Strategien, Entra-ID-Hybrid-Architekturen oder PAM-Lösungen (CyberArk, BeyondTrust). Keine Personalführung im klassischen Sinn, dafür Architektur-Gremien, Red-Team-Sparring und Speaker-Rollen bei Microsoft Ignite, BSI-Sicherheitskongress oder TROOPERS.
  • Mindestens 3 abgeschlossene Enterprise-Identity-Transformationen (Tier-Model-Rollout, Forest-Konsolidierung, Entra-ID-Hybrid, PAM-Rollout)
  • Zertifiziert mit SC-300 + AZ-801 (oder SC-100), idealerweise plus CyberArk/BeyondTrust-Zertifizierung
  • Branchenexpertise in 1–2 regulierten Branchen (Banking, KRITIS, Pharma, öffentliche Hand)
  • Publikationen in Fachmedien (iX, Heise Security) oder GitHub-Beiträge zu AD-Security-Tools
  • Speaker-Referenzen (Microsoft Ignite, BSI-Sicherheitskongress, TROOPERS) oder Microsoft MVP Identity Status
Führungskarriere
Head of Identity / Head of AD Infrastructure
100.000 – 150.000 € + Bonus 15–25%ab 9 Jahren Erfahrung (Head of) / ab 12 Jahren (Director Identity)
Personal-, Budget- und Compliance-Verantwortung: Du führst ein Identity-Team von 4–10 Personen (Head of) oder eine gesamte Identity-/Security-Organisation (Director Identity). Weniger hands-on Technik, dafür strategische Hebel auf PAM-Tools (CyberArk), Identity-Budget (1–5 Mio. €/Jahr) und Strategie AD-vs.-Entra-ID-only.
  • Mindestens 2 Jahre Erfahrung in disziplinarischer Führung (3+ AD-Engineers)
  • Nachgewiesenes Budget-Management (>1 Mio. € Identity-Ausgaben inkl. Personal + Lizenzen)
  • SC-300 oder SC-100 plus Management-Qualifikation (ITIL, CISM)
  • Stakeholder-Kommunikation auf CISO-/C-Level-Ebene, NIS2-/DORA-Reporting
  • Verantwortung für Identity-Compliance, Audit-Vorbereitung, Incident-Response bei AD-Breaches
  • Erfahrung mit Identity-Governance-Tools (SailPoint, Saviynt, MIM)

Aktuelle IT-Positionen

Offene Stellen im Bereich Active Directory Engineer – jetzt bewerben und Gehalt steigern.

Exklusiv
Senior AD Engineer (m/w/d) – Tier-Model Banking
📍 Frankfurt · 🏢 Top-10 Bank · 💰 88–102k + 18% Bonus
88 – 102k €/Jahr
Bewerben als Senior AD Engineer
Top-Gehalt
Principal Identity Architect (m/w/d) – Entra ID
📍 München · 🏢 DAX-40-Industriekonzern · 🏠 70% Remote
100 – 115k €/Jahr
Bewerben als Principal Identity Archit
Nische
AD Engineer M&A (m/w/d) – Forest Migration
📍 Stuttgart · 🏢 DAX-Automotive · 💰 M&A-Projekt-Bonus
82 – 98k €/Jahr
Bewerben als AD Engineer M&A
Spezialist
AD Security Engineer (m/w/d) – KRITIS Hardening
📍 Essen · 🏢 KRITIS-Energieversorger · 🏠 45% Remote
78 – 95k €/Jahr
Bewerben als AD Security Engineer
Tech
Senior AD / Exchange Engineer (m/w/d)
📍 Hamburg · 🏢 Versicherung · 💰 Exchange-Hybrid-Bonus
80 – 95k €/Jahr
Bewerben als Senior AD / Exchange Engi
Big Tech
Identity Engineer (m/w/d) – Microsoft DACH
📍 100% Remote · 🏢 Microsoft · 💰 RSU + Ignite-Budget
92 – 128k €/Jahr
Bewerben als Identity Engineer

Erfolgsgeschichten: So haben andere ihr Tech-Gehalt gesteigert

Vermittlung Q1/2026
68.000 €86.000 €

AD Engineer (m, 33), 6 Jahre Erfahrung bei DAX-Industriekonzern in Baden-Württemberg. Wechsel als Senior AD Engineer zu einer Top-20-Bank in Frankfurt mit Tier-Model-Hardening-Fokus. Entscheidend waren SC-300-Zertifizierung (im Wechsel frisch abgelegt), BloodHound-/PingCastle-Assessment-Erfahrung und ein dokumentierter GPO-Konsolidierungs-Rollout. Neues Paket: 86.000€ Grundgehalt, 15% Zielbonus, Tarifvertrag, 30 Urlaubstage, 50% Remote, On-Call-Pauschale 500€/Monat. Gehaltssprung +26%. Vermittlungsdauer: 5 Wochen, 3 Gespräche.

Vermittlung Q4/2025
82.000 €102.000 €

Senior AD Engineer (w, 37), 9 Jahre Erfahrung, zuletzt bei Beratung (Atos). Wechsel zu einem DAX-40-Industriekonzern als Principal AD Engineer mit Forest-Migrations-Fokus (laufende M&A-Projekte). Neues Paket: 102.000€ Grundgehalt + 18% Zielbonus + Firmenwagen-Zuschuss 500€/Monat + Tarifvertrag + 30 Urlaubstage + 70% Remote + 6.500€ Weiterbildungsbudget. Ausschlaggebend: SC-300 + SC-100 + zwei dokumentierte Forest-Konsolidierungs-Projekte nach M&A. Gesamtvergütung Jahr 1: ~125.000€. Vermittlungsdauer: 7 Wochen, 4 Gespräche.

Vermittlung Q2/2025
98.000 €135.000 €

Principal AD Engineer (m, 44), 13 Jahre Erfahrung. Spezialisierung: Forest-Konsolidierungen und PAM (CyberArk). Wechsel von Accenture Security zu Head of Identity bei einer Versicherungsgruppe (Top-10 DE). Neues Paket: 135.000€ Grundgehalt + 22% Zielbonus + Firmenwagen (Mercedes E-Klasse) + 8.000€ Weiterbildungsbudget + 30 Urlaubstage + 3-monatiges Sabbatical nach 3 Jahren. Ausschlaggebend: Zwei abgeschlossene Forest-Konsolidierungen (38k und 52k Objekte), CyberArk-PAM-Rollout für 480 privilegierte Accounts, nachweisbares Team-Management (6 Identity-Engineers). Gesamtvergütung Jahr 1: ~178.000€. Vermittlungsdauer: 10 Wochen.

Verwandte IT-Berufsbilder

Diese IT-Profile passen thematisch zu Active Directory Engineer – vergleiche Gehälter und Karrierewege.

System Administrator Windows
60.000 €
Median-Gehalt 2026
System Administrator Windows Gehalt →
Security Engineer
82.000 €
Median-Gehalt 2026
Security Engineer Gehalt →
Senior Security Engineer
98.000 €
Median-Gehalt 2026
Senior Security Engineer Gehalt →
Teilen: LinkedIn

Häufig gestellte Fragen zum Active Directory Engineer Gehalt

Was macht ein AD Engineer anders als ein Windows-Admin?
Der Unterschied ist Tiefe und strategische Relevanz: Ein Windows-Admin betreibt Server, einen breiten Stack (AD + Exchange + Hyper-V + Intune), meist im Tagesgeschäft. Ein AD Engineer konzentriert sich auf Identity-Infrastruktur, Multi-Forest-Architektur, Security-Hardening und strategische Migrationen. Gehaltsunterschied: Windows-Admin Median 60k, AD Engineer Median 72k (+20%). Die gute Nachricht: Der Übergang ist fließend. Ein Windows-Admin mit 5+ Jahren AD-Fokus, SC-300, dokumentiertem GPO-Rollout oder Entra-ID-Hybrid-Projekt kann sich als AD Engineer positionieren und 15–20% mehr verdienen. Konkreter Rat: Spezialisiere dich auf eines der drei Premium-Themen – AD-Security-Hardening (BloodHound, Tier-Model), Entra-ID-Hybrid oder Forest-Migration. Diese drei Nischen heben dich klar vom klassischen Windows-Admin ab.
Warum zahlen Banken 15–20% mehr für AD Engineers als die Industrie?
Drei Faktoren treiben den Banking-Aufschlag: Erstens DORA (seit Januar 2025) und BaFin-Prüfungen auditieren AD-Konfigurationen explizit – Domain Controller Hardening, ADCS-Konfiguration, PIM für privilegierte Accounts sind Pflicht-Prüfpunkte. Zweitens Mandiant M-Trends 2025 zeigt, dass 74% aller kritischen Intrusions über AD laufen – Banken haben ein akutes finanzielles Interesse, AD-Engineers mit Hardening-Tiefe zu halten. Drittens die DORA-Strafrahmen: Bußgelder bis 2% des Konzernumsatzes bei Identity-Compliance-Versäumnissen – für eine Deutsche Bank potentiell 500 Mio. €+. Ein Senior AD Engineer für 92.000€ ist dagegen eine günstige Versicherung. Konkret: Ein Senior AD Engineer bei Deutsche Bank, Commerzbank oder DZ Bank verdient im Median 84.000€ vs. 68.000€ in der DAX-Industrie (ADVERGY-Daten n=34, 2024–2026).
Fachkarriere oder Führungskarriere als AD Engineer – was ist besser?
Beide Pfade führen zu Top-Gehältern, aber unterschiedliche Deckel: Fachkarriere (Principal AD Engineer / Identity Architect) endet typisch bei 110–115k€ in Festanstellung, mit Freelancer-Option bis 320k€ Jahresumsatz bei 1.300–1.600€ Tagessatz (M&A-Forest-Migrations-Spezialisten sogar 1.700€+). Führungskarriere (Head of Identity / Director Identity) reicht bis 150–180k€ inkl. Bonus, mit CISO-Nähe in Banken und DAX-Konzernen. Die ehrliche Wahrheit: Fachkarriere ist der 'technisch relevante' Weg mit klarem Markt-Profil (Microsoft MVP Identity, Speaker-Status). Führungskarriere bringt mehr Gehalt, aber auch Identity-Compliance-Reporting, Audit-Vorbereitungen und 24/7-Erreichbarkeit bei AD-Breaches. Wenn du BloodHound-Graph-Analysen liebst: Fachkarriere. Wenn du gerne über SailPoint-Implementierungen mit CISO sprichst: Führung.
Wie realistisch ist Freelancing für AD Engineers?
Sehr realistisch, besonders durch M&A-Forest-Migrationen und Tier-Model-Rollouts. Typische Tagessätze 2026 in Deutschland: Junior 700–880€, Senior 880–1.200€, Lead 1.200–1.600€, M&A-Forest-Migrations-Spezialisten bis 1.700€+. Bei 190 verrechenbaren Tagen und 1.050€ Tagessatz ergibt das 199.500€ Jahresumsatz, etwa 125.000€ netto (GmbH-Struktur). Das entspricht ca. 165.000€ Bruttogehalt-Äquivalent – also ~35–40% mehr als Festanstellung bei Senior-Niveau. Die Akquise-Situation ist besonders günstig: Unternehmens-Übernahmen, DORA-/NIS2-Deadlines und BaFin-Audits erzwingen Identity-Projekte. Risiken: Banking-Präsenz-Pflicht 2–3 Tage/Woche, NDA-Komplexität bei Security-Assessments, Clearance-Anforderungen bei öffentlichen Aufträgen. Ideal für den Freelance-Sprung: 8+ Jahre AD-Erfahrung, SC-300 + AZ-801, 1–2 dokumentierte Tier-Model- oder Forest-Migrations-Projekte.
AD Engineer Gehalt netto – was bleibt übrig?
Bei einem Bruttojahresgehalt von 72.000€ (Median) bleibt einem ledigen AD Engineer in Steuerklasse 1 ca. 42.000–43.500€ netto pro Jahr (ca. 3.500–3.625€/Monat). In Steuerklasse 3 (verheiratet) sind es ca. 48.000–49.500€ netto. Bei 98.000€ Brutto (Top-Wert) liegt der Netto-Betrag bei 55.000–56.500€ (Steuerklasse 1). Hinzu kommen oft geldwerte Vorteile: Firmenwagen (ab Senior-Level, ca. 500–750€/Monat Nettoeffekt), Jobticket (800–1.500€/Jahr), BAV (typisch 4–6% vom Brutto als AG-Zuschuss in Banken), On-Call-Pauschalen (400–750€/Monat brutto bei Rufbereitschaft), Weiterbildungsbudget (5–7k€/Jahr als geldwerter Vorteil). In Summe liegt das effektive Nettoeinkommen bei vielen Senior AD Engineers 13–18% über dem reinen Gehaltsnetto.
Was verdient ein AD Engineer mit 6 Jahren Erfahrung?
Mit 6 Jahren AD-Erfahrung verdient ein AD Engineer typischerweise 68.000–82.000€ brutto pro Jahr. Die Spanne erklärt sich durch Branche und Zertifizierung: Bei einer Bank in Frankfurt liegst du eher bei 78.000–88.000€, bei einem DAX-Industriekonzern bei 72.000–82.000€, bei einer Beratung (Accenture, KPMG Cyber) bei 74.000–85.000€, im Mittelstand bei 64.000–72.000€. Spezialisierungs-Aufschläge: SC-300 (+10–15%), AD-Security-Hardening mit Tier-Model-Erfahrung (+12–18%), Forest-Migrations-Erfahrung (+15–22%). Tipp: Mit 6 Jahren Erfahrung und SC-300 ist der ideale Zeitpunkt für den Wechsel in eine Bank oder Beratung – Tier-Model-Rollouts und Forest-Migrationen suchen genau dieses Seniority-Level und zahlen die höchsten Premiums.

Active Directory Engineer Gehalt nach Stadt

Finde heraus, was ein Active Directory Engineer in deiner Stadt verdient.

Berlin Hamburg München Köln Frankfurt am Main Stuttgart Düsseldorf Leipzig Dortmund Essen Bremen Dresden Hannover Nürnberg Duisburg Bochum Wuppertal Bielefeld Bonn Münster
In welchem IT-Bereich arbeitest du?

Wähle dein Fachgebiet – wir finden passende Positionen.

Standard AD-Administration (Users, GPO, Troubleshooting)
AD-Security-Hardening (Tier-Model, BloodHound, BSI)
Entra ID Hybrid (AAD Connect, Conditional Access, PIM)
Forest-Migration / M&A-Projekte
Privileged Access Management (CyberArk, BeyondTrust)
Exchange Hybrid (Server + Online)
ADCS / PKI / Zertifikats-Infrastruktur
Identity Governance (SailPoint, MIM, Saviynt)
Erzähl uns mehr über dich

Damit wir dir die besten Angebote machen können.

Fast geschafft!

Noch eine letzte Frage – was ist dein aktuelles Gehalt?

Vielen Dank!

Wir melden uns schnellstmöglich bei dir mit einer persönlichen Gehaltseinschätzung.

Optional: Noch bessere Ergebnisse

Mit Lebenslauf können wir dir sofort passende Positionen vorschlagen – vertraulich und kostenlos.

Jetzt anrufen WhatsApp

Quellen & Methodik

Unsere Gehaltsdaten basieren auf mehreren unabhängigen Quellen. Mehr zu unserer Methodik

  • Entgeltatlas – Bundesagentur für Arbeit, Mediandaten 2025 für Identity- und Windows-Administration (Entgeltatlas)
  • StepStone Gehaltsreport – Gehaltsreport 2025/2026, Bereich System Administration und Identity-Management (StepStone Gehaltsreport)
  • Microsoft Identity Report – Microsoft Identity-Report 2025 zu Entra-ID-Adoption und AD-Migration in DACH (Microsoft Identity Report)
  • Bitkom Cybersecurity-Report – Bitkom Studie 2025 zu Identity-Attacks und AD-Hardening im deutschen Mittelstand (Bitkom Cybersecurity-Report)
  • Heise iX Gehaltsumfrage – iX-Gehaltsumfrage System Administration 2025, Teilstichprobe Identity-Engineering (Heise iX Gehaltsumfrage)
  • Mandiant M-Trends Report – Mandiant M-Trends 2025 zu Angriffsvektoren auf AD und Entra ID (Mandiant M-Trends Report)
  • ADVERGY Vermittlungsdaten – Eigene Daten aus Identity-Engineering-Vermittlungen (n=34+, 2024–2026)
Fragen? Schreib uns!
Gehalt checken