Verwaltung von AD
Ein installiertes Active Directory ist nur die Basis. Der eigentliche Mehrwert entsteht durch die Verwaltung von Benutzern, Gruppen, Computern und Richtlinien.
1) Benutzerverwaltung
Benutzerkonto = digitale Identität einer Person.
Ein Benutzerkonto enthält:
Anmeldename (UPN:
vorname.nachname@firma.local)Kennwort (mit Richtlinien)
Gruppenmitgliedschaften (steuern Rechte)
Attribute (Telefon, Abteilung, E-Mail, Home-Verzeichnis)
Beispiele für Namenskonventionen (wichtig für Ordnung):
max.mustermannm.mustermannazubi23(für Azubis im Eintrittsjahr)
Praxisaufgaben:
Benutzer anlegen, Passwort setzen, „Benutzer muss Passwort bei der nächsten Anmeldung ändern“.
Abteilungswechsel: Benutzer in neue Gruppen aufnehmen, alte entfernen.
Austritt: Konto deaktivieren oder löschen, Daten archivieren.
2) Gruppenverwaltung
Gruppen sind das Herzstück der Rechtevergabe. Man unterscheidet:
| Gruppentyp | Zweck | Beispiel |
|---|---|---|
| Sicherheitsgruppe | Für Rechtevergabe auf Ressourcen. | GG_Vertrieb |
| Verteilergruppe | Nur für E-Mail-Verteiler. | DL_MarketingMail |
Geltungsbereich (Scope):
Global (GG): Für Benutzer innerhalb der Domäne. Typisch für Abteilungen.
Domain Local (DL): Für Ressourcen innerhalb einer Domäne.
Universal: Für multi-domain- oder forestweite Szenarien (nur wenn nötig).
Best Practice: AGDLP
Accounts → Global Groups → Domain Local Groups → Permissions.
Benutzer sind Mitglied in Global Groups („Abteilung“).
Diese Global Groups sind in Domain Local Groups für Ressourcenmitgliedschaften.
DL-Gruppen erhalten die Rechte auf Freigaben, Drucker etc.
3) Computerverwaltung
Computerobjekte stehen für PCs oder Server in der Domäne.
Warum wichtig?
Computer können wie Benutzer verwaltet werden.
Sie können in OUs einsortiert werden (z. B. „PCs“, „Server“, „Azubi-Notebooks“).
GPOs können gezielt auf Computer angewendet werden.
Praxis:
PC
PC-23wird in Domäne aufgenommen.Er landet automatisch in der OU „Computer“.
Admin verschiebt ihn in „OU=Azubis“, damit die Azubi-GPOs greifen.
4) OU-Struktur (Organizational Units)
OUs helfen, Ordnung ins AD zu bringen und Verwaltung zu delegieren.
OU=Abteilungen
│
├─ OU=Vertrieb
│ ├─ User: vertrieb1
│ ├─ User: vertrieb2
│ └─ Gruppe: GG_Vertrieb
│
└─ OU=IT
├─ User: admin1
└─ Gruppe: GG_ITAdmins
Best Practices:
OUs nach Standorten oder Abteilungen aufbauen.
Separate OUs für Server, Clients, Servicekonten.
Keine Benutzer direkt in „Users“ oder „Computers“ lassen → unübersichtlich.
5) Gruppenrichtlinien (GPOs)
Mit Gruppenrichtlinien lassen sich Konfigurationen und Regeln automatisiert anwenden.
Sie sind eines der wichtigsten Werkzeuge in AD.Anwendungsbereiche:
Sicherheit: Passwortlänge, Sperrzeit nach Fehlversuchen, Bildschirmsperre.
Benutzerumgebung: Netzlaufwerke, Drucker, Desktop-Hintergrund.
Softwareverteilung: Programme automatisch installieren.
Windows-Einstellungen: Updates, Firewall, USB-Sperre.
Vererbungslogik:
GPOs wirken auf Site → Domäne → OU.
Reihenfolge kann durch Verknüpfung und „Erzwingen“ gesteuert werden.
Praxisbeispiel:
OU „Azubis“ → GPO:
Netzlaufwerk
H:verbinden →\\srv-fs01\azubi$Bildschirmsperre nach 10 Minuten
Zugriff auf Systemsteuerung sperren
6) Delegation von Rechten
Nicht jeder Admin braucht Vollzugriff auf die Domäne.
Mit OUs kann man Teilaufgaben delegieren:Helpdesk darf nur Passwörter für Benutzer in „OU=Azubis“ zurücksetzen.
Abteilungs-Admins dürfen Benutzer in ihrer OU anlegen und verwalten.
Praxis:
Delegationsassistent in ADUC: „Darf Benutzer in OU=Vertrieb erstellen“.
So wird vermieden, dass jeder ein Domänen-Admin sein muss.
7) Alltagsszenarien
Neuer Mitarbeiter
Konto in OU „Benutzer\Vertrieb“ anlegen.
Mitglied in
GG_Vertrieb.Automatisch Zugriff auf Netzlaufwerk „V:“ und Drucker.
Abteilungswechsel
Benutzer aus
GG_Azubisentfernen.In
GG_ITaufnehmen.Alte GPOs gelten nicht mehr, neue greifen automatisch.
Mitarbeiter verlässt Firma
Konto deaktivieren.
Inaktive Benutzer nach 90 Tagen löschen.
Home-Laufwerk sichern/archivieren.
8) Häufige Fehler in der Verwaltung
Benutzerkonten nicht deaktivieren/löschen → „Leichen“ im AD.
Rechte direkt auf Benutzer vergeben → unübersichtlich.
GPOs auf Domänenebene setzen → wirkt auf alle, auch ungewollt.
Keine klare OU-Struktur → Chaos wächst mit der Firma.
Merksätze
Benutzer → Gruppen → Rechte (nie direkt berechtigen).
OUs planen = saubere Struktur, klare Verantwortlichkeiten.
GPOs gezielt verknüpfen, nicht global alles erzwingen.
Delegation statt Domänen-Admins → Sicherheit und Übersicht.