OUs, Benutzer und Gruppen verwalten

Die tägliche Arbeit eines AD-Administrators besteht zu einem großen Teil aus drei Aufgaben: neue Mitarbeiter anlegen, Berechtigungen über Gruppen verwalten und OUs so strukturieren dass Gruppenrichtlinien und Delegation sauber funktionieren. Diese Lektion geht tiefer auf diese Kernaufgaben ein als K27 – wir schauen uns die Konzepte genauer an, lernen Fallstricke kennen und üben typische PowerShell-Befehle die du in der Praxis täglich brauchst.

Wichtig zu verstehen: OUs und Gruppen sind zwei völlig verschiedene Dinge, die oft verwechselt werden. Eine OU ist ein Container zur Organisation und für Gruppenrichtlinien. Eine Gruppe ist ein Sicherheitsobjekt für Berechtigungen und E-Mail-Verteilung. Benutzer können Mitglied in hunderten Gruppen sein. Ein Benutzer gehört aber immer zu genau einer OU.

1) OU-Struktur – interaktiv erkunden

Es gibt kein universell richtiges OU-Design – es hängt davon ab wie dein Unternehmen administriert wird. Das häufigste Muster ist die Trennung nach Objekttypen (Benutzer-OUs, Computer-OUs, Gruppen-OUs) kombiniert mit organisatorischen Unterstrukturen. Klicke ein Objekt um zu sehen welche Verwaltungsaufgaben daran hängen:

Typische AD-Struktur – Objekte anklicken

🌐DC=ad,DC=firma,DC=de

└

📁OU=Firma

├

📁OU=Benutzer

├

📁OU=IT

└

👤CN=admin.service (Dienstkonto)

└

📁OU=Verwaltung

└

👤CN=mueller.hans

├

📁OU=Gruppen

└

👥GG_IT-Admins (Global Security)

└

📁OU=Computer

└

💻CN=WKS-IT-001

← Klicke ein Objekt für Details und typische Verwaltungsaufgaben.

Default-Container vs. OUs: Neue Computer landen standardmäßig in CN=Computers, neue Benutzer in CN=Users – das sind keine OUs sondern Container. GPOs können nicht darauf angewendet werden. Deshalb: Redirect-Defaults setzen und neue Objekte sofort in richtige OUs verschieben: redircmp "OU=Computer,DC=ad,DC=firma,DC=de"

2) Benutzerkonto-Lebenszyklus

Ein Benutzerkonto im AD durchläuft einen klaren Lebenszyklus. Besonders wichtig: Was passiert wenn ein Mitarbeiter das Unternehmen verlässt? Sofort deaktivieren, nicht sofort löschen – damit seine Dateien und E-Mails noch zugeordnet werden können. Erst nach einer Sperrfrist (z.B. 90 Tage) löschen. Klicke die Phasen:

Benutzerkonto-Lebenszyklus – Phase anklicken

➕

Anlegen

✅

Aktivieren

🔑

Gruppen

🔄

Pflegen

🚫

Deaktivieren

🗑️

Löschen

← Klicke eine Phase.

Passwort beim ersten Login erzwingen: Beim Anlegen „Benutzer muss Kennwort bei der nächsten Anmeldung ändern" aktivieren. So muss der Mitarbeiter selbst ein Passwort wählen das der Admin nicht kennt. Security-Prinzip: Der Admin sollte nie das Endbenutzer-Passwort kennen.

Zusammenfassung

OUs strukturieren das AD für GPO-Anwendung und Delegation – nicht für Berechtigungen. Gruppen sind für Berechtigungen. Benutzer gehört zu genau einer OU, kann in vielen Gruppen sein. Default-Container (CN=Computers, CN=Users) per redircmp/redirusr umleiten. Benutzerkonto-Lebenszyklus: Anlegen → Aktivieren → Gruppen → Pflegen → Deaktivieren (nicht sofort löschen!) → Löschen nach Frist.

OUs, Benutzer und Gruppen verwalten

1) OU-Struktur – interaktiv erkunden

2) Benutzerkonto-Lebenszyklus

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title