So verwalten Sie Benutzer und Gruppen in Active Directory: Eine vollständige Anleitung

Active Directory (AD) Es ist eines der wichtigsten Werkzeuge für die Verwaltung von Geschäftsumgebungen in Systemen Windows. Dieser Dienst ermöglicht die zentrale Steuerung von Benutzern, Gruppen, Computern und anderen Netzwerkressourcen.

Verstehen, wie Benutzer und Gruppen in AD verwaltet werden Es ist für jeden Systemadministrator unverzichtbar. Von grundlegenden Aufgaben wie dem Erstellen von Benutzerkonten bis hin zur erweiterten Konfiguration mit PowerShell oder der Befehlszeile deckt dieses Handbuch alles ab, was Sie für eine sichere und effiziente Verwaltung wissen müssen.

Organisationsstruktur im Active Directory

Bevor Sie Benutzer oder Gruppen manipulieren, müssen Sie eine Struktur der Organisationseinheit (OU). Diese Einheiten fungieren als logische Container, die dabei helfen, Domänenobjekte wie Benutzerkonten, Computer oder Gruppen hierarchisch zu organisieren und zu verwalten.

Die UOs spiegeln die tatsächliche Organisation wider des Unternehmens, sei es nach Abteilung, geografischem Standort oder bestimmten Funktionen. Dank ihnen können auch spezifischere Gruppenrichtlinien angewendet werden. Darüber hinaus ist es möglich Delegierte Verwaltung von einer Organisationseinheit zu einem Benutzer oder einer Gruppe, sodass nur bestimmte Administratoren diese Teilmenge der Ressourcen verwalten können. Weitere Informationen zur GPO-Verwaltung finden Sie unter So verwalten Sie GPOs in PowerShell.

Typen und Bereiche von Gruppen in Active Directory

In AD gibt es mehrere Arten von Gruppen und Bereichsdefinitionen, die bestimmen, wie sie verwendet werden können:

• Globale Gruppen: Sie werden normalerweise verwendet, um Benutzer zu gruppieren, die innerhalb einer Organisation (z. B. einer Abteilung) eine ähnliche Funktion ausüben.
• Domänenlokale Gruppen: Sie werden verwendet, um Ressourcen innerhalb der Domäne Berechtigungen zuzuweisen.
• Universelle Gruppen: Sie können Benutzer und Gruppen aus jeder Domäne innerhalb des Forests gruppieren, ideal für Umgebungen mit mehreren Controllern oder mehreren Forests.

Neben dem Umfang muss auch unterschieden werden zwischen:

• Sicherheitsgruppen: Sie ermöglichen die Zuweisung von Berechtigungen zu Ressourcen und enthalten eine SID (Security Identifier).
• Verteilergruppen: Sie verfügen über keine SIDs und sind auf die E-Mail-Verteilung ausgerichtet, typischerweise in Exchange-Umgebungen.

Erstellen und Verwalten von Benutzerkonten

Die Verwaltung von Benutzerkonten ist eine der häufigsten und kritischsten Aufgaben in AD. Sie können mit grafischen Werkzeugen wie Active Directory-Benutzer und -Computer (ADUC) oder AD-Verwaltungszentrum (ADAC), sowie über die Befehlszeile oder PowerShell. Um tiefer in die Installation dieser Tools einzusteigen, können Sie folgen Diese Anleitung zur Installation von Active Directory-Benutzern und -Computern unter Windows 10.

So erstellen Sie ein Benutzerkonto über die grafische Benutzeroberfläche:

1. Öffnen Sie das ADUC-Tool.
2. Wählen Sie die entsprechende UO aus.
3. Rechtsklick > Neu > Benutzer.
4. Füllen Sie die erforderlichen Felder wie Name, Passwort und Kontoeinstellungen aus.

Einschränkungen können auch festgelegt werden Anmelden, zulässige Zeiten definieren, bestimmte Computer, bei denen Sie sich anmelden können, und sogar mobile Profile einrichten.

Eine nützliche Funktion ist die Möglichkeit, ein bestehendes Konto zu kopieren, wodurch die Erstellung mehrerer Konten mit ähnlichen Einstellungen (Gruppenmitglieder, Richtlinien, Zeitpläne usw.) beschleunigt wird.

Benutzerkonten ändern

Das Ändern eines bestehenden Kontos ist über die grafische Benutzeroberfläche ganz einfach:

• Namen oder Passwort ändern.
• Gruppen zuweisen oder entfernen.
• Legen Sie spezielle Berechtigungen fest.
• Aktivieren oder deaktivieren Sie Konten nach Bedarf.

Von der Kommandozeile aus können Sie Tools wie dsmod Um Passwörter zu ändern, erzwingen Sie die Änderung bei der nächsten Anmeldung (dsmod user <user_dn> -mustchpwd yes) oder ein Konto vorübergehend deaktivieren. Weitere Informationen zur Verwaltung von Datenträgern und anderen Objekten über die Befehlszeile finden Sie unter Diese vollständige Anleitung zur Datenträgerverwaltung in CMD.

Um ein Konto zu löschen, können Sie verwenden dsrm <user_dn>Wichtig zu wissen ist, dass beim Löschen eines Accounts die damit verbundenen Berechtigungen verloren gehen, da der neue Benutzer, auch bei gleichem Namen, eine andere SID hat.

Computer zur Domäne hinzufügen

Damit ein Computer Teil einer Domäne sein kann, muss er:

1. Konfigurieren Sie den Netzwerkadapter so, dass er das DNS des Domänencontrollers verwendet.
2. Stellen Sie eine Verbindung zum DNS-Server der Domäne her.
3. Überprüfen Sie die Konnektivität, indem Sie den FQDN des Controllers anpingen.

Ist dies erledigt, einfach in die Systemkonfiguration gehen (Win + Pause), die Eigenschaften des Computernamens ändern und diesen in die Domäne aufnehmen. Wir werden nach den Anmeldeinformationen eines Kontos mit Berechtigungen gefragt, normalerweise des Domänenadministrators.

Verwalten von Computerkonten in AD

Computer sind auch Objekte innerhalb von AD und können manuell oder automatisch erstellt werden, wenn ein PC der Domäne hinzugefügt wird. Sie können wie Benutzerkonten zu Gruppen hinzugefügt werden.

In der Befehlszeile können Sie Folgendes verwenden:

• dsadd computer <computer_dn> um ein Team hinzuzufügen.
• dsmod computer <computer_dn> -disabled yes/no zum Aktivieren oder Deaktivieren.
• dsmod computer <computer_dn> -reset um ein Computerkonto zurückzusetzen.

Erstellen und Verwalten von Gruppen

Gruppen sind für die Verwaltung von Berechtigungen und Richtlinien unerlässlich. Die korrekte Erstellung verbessert die Sicherheit und reduziert die Komplexität.

Die Erstellung über ADUC oder ADAC ist ganz einfach: Wählen Sie den Namen, den Umfang (global, domänenlokal oder universell) und den Typ (Sicherheit oder Verteilung). Weitere Informationen zur Integration von Sicherheits- und Verteilergruppen finden Sie unter Der Grund, warum lokale Gruppen nicht in Windows 10 enthalten sind.

Werkzeuge wie dsadd group, dsmod group und PowerShell mit New-ADGroup ermöglichen die Automatisierung dieser Aufgaben in größeren Umgebungen.

Nach der Erstellung können Sie:

• Mitglieder hinzufügen oder entfernen: Benutzer, Computer oder sogar andere Gruppen.
• Ändern Sie den Typ oder Umfang, allerdings mit Einschränkungen in gemischten Domänen.
• Weisen Sie freigegebenen Ressourcen, GPO-Richtlinien usw. Berechtigungen zu.

Gruppenmitgliedschaften verwalten

Von der Registerkarte Mitglied von Sie können alle Gruppen sehen, zu denen ein Benutzer gehört. Diese Option ist nützlich, um den Zugriff zu prüfen oder zu verifizieren.

Außerdem können Sie von einer Gruppe aus in den Abschnitt Mitglieder und fügen Sie mit der rechten Schaltfläche und der entsprechenden Option mehrere Benutzer, Teams oder Untergruppen hinzu. Sie können beispielsweise dsmod group -addmbr um Mitglieder in großen Mengen hinzuzufügen.

In großen Mengen, PowerShell und Befehle wie dsmod group -addmbr ermöglichen Ihnen das automatische Hinzufügen mehrerer Mitglieder.

Mehrere Objekte gleichzeitig verwalten

Bei ADUC können Sie mehrere Benutzer auswählen und wenden Sie auf alle gemeinsame Änderungen an (z. B. Ändern einer Beschreibung oder Hinzufügen zu einer Gruppe). Dies reduziert die Benutzererstellungs- und Wartungszeiten in Unternehmen mit hoher Fluktuation oder saisonaler Einstellung.

Verwenden der Befehlszeile und PowerShell

Für fortgeschrittene Administratoren oder in Umgebungen mit Hunderten von Objekten, PowerShell und Kommandozeilen-Tools sind unerlässlich. Zu den üblichen Aktionen gehören:

• dsquery: Suche nach Objekten (Benutzer, Gruppen, Computer, Organisationseinheiten usw.).
• dsadd: Objekte erstellen.
• dsmod: Vorhandene Objekte ändern.
• dsrm: Objekte aus AD löschen.

PowerShell bietet seinerseits Cmdlets wie:

• New-ADUser, Set-ADUser, Remove-ADUser
• Get-ADGroupMember, Add-ADGroupMember

Ein Vorteil von PowerShell ist, dass ermöglicht Ihnen die Aufzeichnung wiederverwendbarer Skripte und den Befehlsverlauf bei Verwendung der ADAC-Konsole anzeigen. Es ermöglicht auch Fernverwaltung Verwenden von RSAT von einem Clientcomputer aus, ohne direkt auf den Domänencontroller zugreifen zu müssen.

Bewährte Verfahren und Empfehlungen

Beim Verwalten von Benutzern und Gruppen in AD wird Folgendes empfohlen:

• Erstellen Sie nicht mehr Gruppen als nötig, um eine Überlastung des Autorisierungssystems zu vermeiden.
• Verwenden Gruppen als primäre Methode zur Zuweisung von Berechtigungen, anstatt einzelnen Benutzern direkt Berechtigungen zu erteilen.
• Erstellen Sie Konten Schablone für Neuzugänge mit Standardkonfigurationen.
• Verwenden beschreibende und konsistente Namen über Konten, Gruppen und Organisationseinheiten hinweg.

Eine geordnete und systematische Verwaltung verhindert Sicherheitsfehler, verbessert die Leistung und reduziert den Verwaltungsaufwand. In diesem Sinne lohnt es sich, zu erkunden SYS-Dateien in Windows, die weitere Informationen zur Systemadministration bereitstellen können.

Die Verwaltung von Benutzern und Gruppen im Active Directory ist nicht nur eine grundlegende Aufgabe, sondern auch die Grundlage einer sicheren und gut organisierten Infrastruktur. Von der Kontoerstellung und -löschung bis hin zur Automatisierung mit Befehlen oder Skripten sorgen ein klarer Plan und die Einhaltung bewährter Methoden für eine effizientere und robustere IT-Umgebung.

Verwandte Artikel:

Fünf der besten iPad-Dateiverwaltungsprogramme für Windows-Computer

Holger

Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.