Verwaltungstools & PowerShell
1. Überblick
In einer Active-Directory-Umgebung gibt es verschiedene Werkzeuge,
um Benutzer, Gruppen, Computer, Gruppenrichtlinien und DNS-Einträge zu verwalten.
Die wichtigsten sind:
| Werkzeug | Beschreibung | Einsatzgebiet |
|---|---|---|
| Active Directory-Benutzer und -Computer (ADUC) | Grafisches Tool für Objekte in der Domäne | Benutzer, Gruppen, OUs |
| Active Directory-Verwaltungscenter (ADAC) | Modernere MMC mit erweiterten Funktionen | Feingranulare Rechte, Papierkorb |
| Active Directory-Standorte und -Dienste | Verwaltung der Replikation zwischen Standorten | Sites, Subnetze, Replikationslinks |
| Gruppenrichtlinienverwaltung (GPMC) | Verwaltung von GPOs und deren Verknüpfung | Richtlinienplanung, Backup, Delegation |
| DNS-Verwaltung (dnsmgmt.msc) | Verwaltung der Zonen und Einträge | Forward-, Reverse-, SRV-Einträge |
| PowerShell (RSAT-Modul) | Skriptbasierte Verwaltung, Automatisierung | Benutzerverwaltung, Reports, Massenoperationen |
2. Grafische Verwaltung (MMC-Snap-Ins)
In vielen Fällen nutzt man zur schnellen Konfiguration die grafischen Werkzeuge,
die über die Microsoft Management Console (MMC) laufen.
Beispiele:
dsa.msc→ Active Directory-Benutzer und -Computerdsac.msc→ Active Directory-Verwaltungscentergpmc.msc→ Gruppenrichtlinienverwaltungdnsmgmt.msc→ DNS-Verwaltungadsiedit.msc→ Erweiterte Objekte und Attribute
Vorteile:
Übersichtliche Darstellung
Geringe Fehlergefahr
Ideal für gelegentliche Änderungen
Nachteile:
Nicht automatisierbar
Bei vielen Änderungen sehr zeitaufwändig
3. PowerShell – das zentrale Verwaltungswerkzeug
Die PowerShell ist in modernen Umgebungen das wichtigste Werkzeug
für Systemadministratoren und Ausbilder,
weil sie wiederholbare, dokumentierte Änderungen ermöglicht.
Um AD-Befehle zu nutzen, benötigst du das Modul:
Import-Module ActiveDirectory
4. Häufige PowerShell-Befehle
| Aufgabe | Befehl | Beschreibung |
|---|---|---|
| Benutzer anzeigen | Get-ADUser -Filter * | Listet alle Benutzer in der Domäne |
| Einzelnen Benutzer anzeigen | Get-ADUser Max.Mustermann -Properties * | Zeigt alle Attribute |
| Neuen Benutzer anlegen | New-ADUser -Name "Max Mustermann" -Path "OU=Azubis,DC=firma,DC=local" -AccountPassword (Read-Host -AsSecureString) -Enabled $true | Erstellt Benutzer |
| Passwort zurücksetzen | Set-ADAccountPassword Max.Mustermann | Setzt Passwort neu |
| Benutzer deaktivieren | Disable-ADAccount Max.Mustermann | Sperrt Account |
| Gruppe anzeigen | Get-ADGroup -Filter * | Listet alle Gruppen |
| Benutzer zu Gruppe hinzufügen | Add-ADGroupMember "IT-Team" "Max.Mustermann" | Fügt Benutzer hinzu |
| OU anzeigen | Get-ADOrganizationalUnit -Filter * | Zeigt alle Organisationseinheiten |
5. Kombination aus GUI & PowerShell
Ein häufiger Ansatz in der Praxis:
OUs und Strukturen werden einmalig über die MMC angelegt.
Benutzer, Gruppen und Rechte werden per PowerShell-Skript gepflegt.
So lassen sich neue Azubi-Jahrgänge, Abteilungen oder Testumgebungen
in wenigen Sekunden anlegen.
Beispiel:
# Neuen Azubi anlegen und in Gruppen aufnehmen
New-ADUser -Name "Lukas Becker" -GivenName "Lukas" -Surname "Becker" `
-SamAccountName "lbecker" -UserPrincipalName "lbecker@firma.local" `
-Path "OU=Azubis,DC=firma,DC=local" -AccountPassword (ConvertTo-SecureString "Azubi2025!" -AsPlainText -Force) -Enabled $true
Add-ADGroupMember "Azubis" "lbecker"
Add-ADGroupMember "VPN-Zugang" "lbecker"
Das obige Beispiel ersetzt ein paar Minuten Klickarbeit in ADUC.
6. Erweiterte Werkzeuge
| Tool | Funktion | Beispiel |
|---|---|---|
| ADSIEdit | Direkter Zugriff auf alle Attribute in AD | Erweiterte Fehleranalyse |
| LDP.exe | LDAP-Browser, um Suchanfragen direkt zu testen | Verbindungsprobleme analysieren |
| Active Directory-Replikationsmonitor (repadmin) | Replikationsstatus prüfen | repadmin /replsummary |
| RSAT (Remote Server Administration Tools) | Enthält alle AD-Tools für Windows-Clients | Installation per „Optionale Features“ |
7. Beispiel: Benutzer-Report mit PowerShell
Ein klassischer Administrationsauftrag:
„Liste alle Benutzer, deren Konten deaktiviert sind.“
Get-ADUser -Filter {Enabled -eq $false} -Properties Name,LastLogonDate |
Select-Object Name,LastLogonDate |
Export-Csv "C:\Reports\deaktivierte_user.csv" -NoTypeInformation
8. Zusammenfassung
| Thema | Kernaussage |
|---|---|
| MMC-Tools | Klassische grafische Verwaltung über Snap-Ins (ADUC, GPMC, DNS). |
| PowerShell | Mächtiges Werkzeug zur Automatisierung, Dokumentation und Serienänderung. |
| AD-Modul | Import-Module ActiveDirectory aktiviert AD-Cmdlets. |
| Vorteil PowerShell | Schnell, skriptbar, auditfähig. |
| Empfohlener Ansatz | Strukturelle Arbeiten mit GUI, wiederkehrende Aufgaben mit PowerShell. |