Active Directory mit PowerShell verwalten

Wenn du als FISI in einer Windows-Domäne arbeitest, ist Active Directory (kurz: AD) das wichtigste System überhaupt. Hier sind alle Benutzer, Gruppen, Computer und Berechtigungen zentral verwaltet. Mit der grafischen Konsole ADUC kannst du klicken bis du graue Haare bekommst – oder PowerShell verwenden. Was per Klick 5 Minuten dauert, ist mit einer PowerShell-Zeile in 2 Sekunden erledigt.

Für 100 neue Auszubildende anlegen, alle Postfächer einer Abteilung deaktivieren, Reports über Logins – alles geht. Diese Lektion ist die wahrscheinlich praktischste des Kurses, weil sie direkt FISI-Alltag abbildet. Voraussetzung: das ActiveDirectory-Modul aus L5, das auf einem Domain Controller schon vorinstalliert ist.

1) AD-Modul laden

Bevor irgendetwas geht: das Modul muss verfügbar sein:

# Prüfen ob Modul da ist Get-Module -ListAvailable ActiveDirectory # Laden Import-Module ActiveDirectory # Verfügbare AD-Cmdlets ansehen Get-Command -Module ActiveDirectory | Measure-Object # Üblicherweise ~150+ Cmdlets # Verbindung zum Domain Controller testen Get-ADDomain

Auf einem normalen Client-PC ist das Modul nicht dabei. Du brauchst die RSAT (Remote Server Administration Tools): in Windows 10/11 als „optional feature" installieren oder via Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0. Auf einem Windows Server mit AD-Rolle ist alles schon da.

2) Die AD-Struktur verstehen

Bevor wir an Cmdlets gehen, kurze Auffrischung der AD-Konzepte (mehr in K28). AD ist hierarchisch aufgebaut wie ein Dateibaum:

Beispiel-AD-Struktur (klickbar)

📁 firma.local ├─ 📂 OU=Büro │ ├─ 👤 Anna Schmidt (anna.schmidt) │ ├─ 👤 Bob Meier (bob.meier) │ └─ 👥 GG-Buero-User ├─ 📂 OU=IT │ ├─ 👤 Carla Roth (carla.roth) │ └─ 👥 GG-IT-Admins ├─ 📂 OU=Azubis │ └─ 👤 Eva Klein (eva.klein) └─ 📂 OU=Computers ├─ 💻 PC-ANNA-01 └─ 💻 LAPTOP-BOB-02

Drei Haupt-Objektarten: OU (Organizational Unit, Ordner zur Strukturierung), User (Benutzer), Group (Gruppen). Computer sind auch dabei, aber als FISI verwaltest du sie meist über die OU-Struktur. Mehr Detail-Konzepte (Forest, Site, GPO) in K28.

3) Distinguished Names (DN) verstehen

AD-Objekte haben einen eindeutigen Distinguished Name (DN). Den brauchst du oft als Parameter:

DN-Anatomie (klick die Teile)

CN=Anna Schmidt , OU=Büro , DC=firma , DC=local

DNs werden von spezifisch zu allgemein aufgebaut – wie eine umgekehrte Mailadresse. CN = Common Name (das konkrete Objekt). OU = Organizational Unit. DC = Domain Component (DNS-Komponente). In Skripten brauchst du DNs meist als SearchBase oder für -Path-Parameter beim Anlegen.

4) AD-Cmdlets nach Verb-Substantiv-Schema

Wie in L2 gelernt: AD-Cmdlets folgen dem Verb-Substantiv-Schema. Das macht sie erratbar:

Die wichtigsten AD-Cmdlets im Überblick

Get-ADUser

User abfragen. Mit -Identity oder -Filter. Properties mit -Properties.

New-ADUser

User neu anlegen. Viele Parameter.

Set-ADUser

User-Properties ändern.

Remove-ADUser

User löschen. Fragt von sich aus nach.

Get-ADGroup

Gruppen abfragen. -Filter * für alle.

New-ADGroup

Gruppe neu erstellen.

Add-ADGroupMember

User zur Gruppe hinzufügen.

Remove-ADGroupMember

User aus Gruppe entfernen.

Get-ADOrganizationalUnit

OUs abfragen. -SearchBase für Teil-Baum.

New-ADOrganizationalUnit

Neue OU erstellen.

Get-ADComputer

Computer-Konten abfragen.

Disable-ADAccount

Konto deaktivieren (nicht löschen!).

Enable-ADAccount

Konto wieder aktivieren.

Unlock-ADAccount

Gesperrtes Konto entsperren.

Set-ADAccountPassword

Passwort setzen oder ändern.

Move-ADObject

Objekt in andere OU verschieben.

Tipp aus L2: Get-Command -Module ActiveDirectory listet ALLE AD-Cmdlets. Mit -Noun ADUser nur User-bezogene. Für detaillierte Doku: Get-Help New-ADUser -Examples.

5) User abfragen (Get-ADUser)

Das Brot-und-Butter-Cmdlet. Zwei Aufruf-Stile:

# Einen bestimmten User – mit -Identity Get-ADUser -Identity anna.schmidt # Mit ALLEN Properties (Standard zeigt nur ein Subset!) Get-ADUser -Identity anna.schmidt -Properties * # Nur bestimmte Properties Get-ADUser -Identity anna.schmidt -Properties EmailAddress, Manager, Department # Viele User – mit -Filter Get-ADUser -Filter * # ALLE User Get-ADUser -Filter "Department -eq 'IT'" # aus IT Get-ADUser -Filter "Enabled -eq $true" # nur aktivierte Get-ADUser -Filter "Surname -like 'S*'" # Nachname mit S # In bestimmter OU suchen Get-ADUser -Filter * -SearchBase "OU=IT,DC=firma,DC=local" # Inaktiv seit 90 Tagen $grenze = (Get-Date).AddDays(-90) Get-ADUser -Filter "LastLogonDate -lt '$grenze'" -Properties LastLogonDate # Tabelle und CSV-Export Get-ADUser -Filter * -Properties EmailAddress, Department | Select-Object Name, SamAccountName, EmailAddress, Department | Export-Csv -Path C:\users.csv -NoTypeInformation -Encoding UTF8

Wichtig: -Filter funktioniert anders als Where-Object! Der Filter wird zum Domain Controller geschickt und dort ausgeführt (effizient bei vielen Usern). Where-Object holt erst alle und filtert lokal (langsam). Bei großen ADs immer -Filter nutzen. Die Syntax in -Filter ist auch leicht anders – ohne $_ und mit Strings in einfachen Anführungszeichen.

6) User anlegen (New-ADUser)

Der Cmdlet mit den meisten Parametern. Hier ein realistisches Beispiel:

# Neuen User anlegen $pass = ConvertTo-SecureString "Start123!" -AsPlainText -Force New-ADUser ` -Name "Lisa Müller" ` -GivenName "Lisa" ` -Surname "Müller" ` -SamAccountName "lisa.mueller" ` -UserPrincipalName "lisa.mueller@firma.local" ` -EmailAddress "lisa.mueller@firma.de" ` -Department "Vertrieb" ` -Title "Account Manager" ` -Path "OU=Vertrieb,DC=firma,DC=local" ` -AccountPassword $pass ` -ChangePasswordAtLogon $true ` -Enabled $true

Erklärung der wichtigsten Parameter: SamAccountName ist der Login-Name (vor dem @, max. 20 Zeichen), UserPrincipalName der moderne Login mit Domain, Path bestimmt in welcher OU der User landet (als DN). AccountPassword braucht einen SecureString – nie plain text! ChangePasswordAtLogon erzwingt Passwort-Wechsel beim ersten Login. Enabled $true aktiviert das Konto sofort. Der Backtick ` erlaubt Zeilenumbruch innerhalb eines Befehls – eleganter geht das mit Splatting (gleich).

7) Splatting – elegant viele Parameter übergeben

Bei New-ADUser mit 15 Parametern wird der Backtick-Stil unleserlich. Eleganter: Splatting. Du baust eine Hashtable und übergibst sie mit @variablename:

# Parameter als Hashtable $params = @{ Name = "Lisa Müller" GivenName = "Lisa" Surname = "Müller" SamAccountName = "lisa.mueller" UserPrincipalName = "lisa.mueller@firma.local" EmailAddress = "lisa.mueller@firma.de" Department = "Vertrieb" Title = "Account Manager" Path = "OU=Vertrieb,DC=firma,DC=local" AccountPassword = ConvertTo-SecureString "Start123!" -AsPlainText -Force ChangePasswordAtLogon = $true Enabled = $true } # Splatting mit @ statt $ vor dem Variablennamen! New-ADUser @params

Das @params (mit @, nicht $) „packt die Hashtable aus" und übergibt jeden Eintrag als benannten Parameter. Viel lesbarer als 12 Zeilen mit Backticks. Splatting ist der Profi-Stil für komplexe Cmdlet-Aufrufe – nicht nur bei AD, sondern überall. Vorteile: man kann die Hashtable einfach manipulieren, Werte in Schleifen ändern, je nach Kontext andere Parameter setzen.

8) User ändern und löschen

# Properties ändern Set-ADUser -Identity lisa.mueller -Title "Senior Account Manager" Set-ADUser -Identity lisa.mueller -Department "Marketing" # Mehrere Properties auf einmal mit -Replace Set-ADUser lisa.mueller -Replace @{ Title = "Senior Manager" Department = "Marketing" Office = "Büro 217" } # Passwort zurücksetzen $neu = ConvertTo-SecureString "Neu2026!" -AsPlainText -Force Set-ADAccountPassword -Identity lisa.mueller -NewPassword $neu -Reset Set-ADUser lisa.mueller -ChangePasswordAtLogon $true # Account deaktivieren – NICHT LÖSCHEN bei Mitarbeiter-Austritt! Disable-ADAccount -Identity lisa.mueller # Verschieben (z.B. von Azubis zu Mitarbeitern nach Ausbildungsende) Get-ADUser lisa.mueller | Move-ADObject -TargetPath "OU=Mitarbeiter,DC=firma,DC=local" # Endgültig löschen – ZUERST mit -WhatIf! Remove-ADUser -Identity lisa.mueller -WhatIf # Trockenlauf Remove-ADUser -Identity lisa.mueller # Fragt nach

Best Practice bei Austritt: NIE direkt löschen! Stattdessen Disable-ADAccount (Konto sperren), dann in eine OU „Disabled" verschieben, eventuelle Mailbox/Daten archivieren, und nach 30/60/90 Tagen Aufbewahrungsfrist erst löschen. Das ist auch DSGVO-konform – Daten dürfen nicht endlos aufbewahrt werden, aber direktes Löschen kann zu Datenverlust bei laufenden Prozessen führen.

9) Gruppen verwalten

# Alle Gruppen einer bestimmten OU Get-ADGroup -Filter * -SearchBase "OU=Gruppen,DC=firma,DC=local" # Mitglieder einer Gruppe Get-ADGroupMember -Identity "GG-IT-Admins" # Rekursiv (auch durch verschachtelte Gruppen) Get-ADGroupMember -Identity "GG-IT-Admins" -Recursive # Gruppen eines Users Get-ADUser anna.schmidt -Properties MemberOf | Select-Object -ExpandProperty MemberOf # Neue Gruppe New-ADGroup -Name "GG-Projekt-Phoenix" ` -GroupScope Global ` -GroupCategory Security ` -Path "OU=Gruppen,DC=firma,DC=local" # User zu Gruppe hinzufügen Add-ADGroupMember -Identity "GG-Projekt-Phoenix" -Members anna.schmidt, bob.meier # Aus Gruppe entfernen Remove-ADGroupMember -Identity "GG-Projekt-Phoenix" -Members bob.meier -Confirm:$false # Alle User einer Gruppe in andere Gruppe kopieren Get-ADGroupMember "GG-Alte-Gruppe" | ForEach-Object { Add-ADGroupMember "GG-Neue-Gruppe" -Members $_ }

Group-Scope verstehen: Global für interne User-Gruppen, DomainLocal für Berechtigungs-Zuweisungen auf Ressourcen, Universal für Multi-Domain-Setups. Mehr in K28. Faustregel „AGDLP": Accounts → Global Groups → Domain Local Groups → Permissions.

10) Bulk-Operationen: 100 User auf einmal

Genau für sowas wurde PowerShell gebaut. Die klassische Aufgabe: aus einer CSV-Liste viele User anlegen. Erstmal die CSV vorbereiten:

# Datei: new-azubis.csv Vorname,Nachname,Abteilung,Standort Lisa,Müller,Vertrieb,München Max,Schmidt,IT,Berlin Sarah,Weber,Marketing,München Tobias,Meier,Vertrieb,Hamburg Anna,Klein,IT,Berlin

Das Skript zum Anlegen:

# bulk-create-users.ps1 Import-Module ActiveDirectory $users = Import-Csv -Path C:\new-azubis.csv foreach ($user in $users) { # Login-Name aus Vor- und Nachname generieren $sam = "$($user.Vorname.ToLower()).$($user.Nachname.ToLower())" $upn = "$sam@firma.local" $mail = "$sam@firma.de" # Initial-Passwort generieren $tempPass = "Start$(Get-Random -Minimum 1000 -Maximum 9999)!" $pass = ConvertTo-SecureString $tempPass -AsPlainText -Force # Existiert User schon? if (Get-ADUser -Filter "SamAccountName -eq '$sam'") { Write-Warning "User $sam existiert bereits - übersprungen" continue } # Splatting $params = @{ Name = "$($user.Vorname) $($user.Nachname)" GivenName = $user.Vorname Surname = $user.Nachname SamAccountName = $sam UserPrincipalName = $upn EmailAddress = $mail Department = $user.Abteilung Office = $user.Standort Path = "OU=Azubis,DC=firma,DC=local" AccountPassword = $pass ChangePasswordAtLogon = $true Enabled = $true } try { New-ADUser @params -ErrorAction Stop Add-ADGroupMember -Identity "GG-Azubis" -Members $sam Write-Host "✓ $sam angelegt, Passwort: $tempPass" -ForegroundColor Green } catch { Write-Host "✗ $sam fehlgeschlagen: $_" -ForegroundColor Red } }

Das ist DAS Skript das in deinem Werkzeugkasten gehört. Aus 5 Minuten manueller Arbeit pro User werden 5 Sekunden Skript-Laufzeit. Bei 50 neuen Azubis spart das ein paar Stunden – plus: jeder User wird identisch konfiguriert, keine vergessenen Felder, kein Tippfehler im Department. Das ist Onboarding-Automation pur. Mehr davon im Praxisprojekt (L10).

11) Reports erstellen

Eine andere häufige Aufgabe: Auswertungen für Audit, Compliance, Manager:

# Alle deaktivierten User Get-ADUser -Filter "Enabled -eq $false" | Select-Object Name, SamAccountName, DistinguishedName | Export-Csv deaktivierte.csv -NoTypeInformation -Encoding UTF8 # Passwort läuft in den nächsten 14 Tagen ab $grenze = (Get-Date).AddDays(14) Get-ADUser -Filter * -Properties PasswordLastSet, PasswordPolicy | Where-Object { $_.PasswordLastSet.AddDays(90) -lt $grenze } | Select-Object Name, SamAccountName, PasswordLastSet # Inaktive User (kein Login seit 180 Tagen) $schwelle = (Get-Date).AddDays(-180) Get-ADUser -Filter * -Properties LastLogonDate | Where-Object { $_.LastLogonDate -lt $schwelle -or -not $_.LastLogonDate } # User-Anzahl pro Abteilung Get-ADUser -Filter * -Properties Department | Group-Object Department | Sort-Object Count -Descending | Select-Object Count, Name # Admin-Gruppen-Audit Get-ADGroupMember "Domain Admins" -Recursive | Get-ADUser -Properties LastLogonDate, PasswordLastSet | Format-Table Name, LastLogonDate, PasswordLastSet

Solche Skripte gehören in den Task Scheduler (L9) und laufen z.B. wöchentlich. Output per Mail an IT-Leitung oder als HTML in eine Sharepoint-Liste. Mit Ergebnissen im JSON-Format kann auch ein CI/CD-Tool wie Power BI oder Grafana Dashboards bauen.

12) Sicherheits-Hinweise

AD-Operationen sind mächtig und potenziell zerstörerisch. Halt dich an diese Regeln:

Immer -WhatIf zuerst bei Set/Remove/Move-Operationen, besonders mit Filtern. Get-ADUser -Filter * | Remove-ADUser -WhatIf zeigt was passieren würde – ohne tatsächlich zu löschen.
Niemals Passwörter im Klartext im Skript. Aus CSV ist auch nicht ideal – besser SecureString-Datei oder PowerShell-Vault. Mehr zu sicherer Passwort-Handhabung in K11 Secure Coding.
Least-Privilege-Account verwenden. Nicht mit Domain-Admin-Rechten arbeiten – delegierter Account mit nur den nötigen Rechten. Siehe K10.
Logging einbauen bei kritischen Skripten. Wer hat wann was geändert? Mit Datei-IO aus L6 in eine Logdatei schreiben.
Backup vorm Massen-Skript: Get-ADUser -Filter * -Properties * | Export-Clixml backup.xml – damit könntest du im Notfall vieles wiederherstellen.
Test in einem Test-AD bevor du auf Produktion losgehst. Microsoft hat dafür kostenlose Eval-Versionen von Windows Server.

Zusammenfassung

AD-Modul laden: Import-Module ActiveDirectory. Struktur: Domäne → OUs → User/Groups. DN: spezifisch nach allgemein, CN=...,OU=...,DC=...,DC=.... Get-ADUser: -Identity für einen, -Filter für viele (LDAP-effizient!), -Properties für Details. -SearchBase für Teilbaum. New-ADUser: viele Parameter, SecureString für Passwort, -Path = Ziel-OU. Splatting mit Hashtable + @params für lesbaren Code. Set-/Disable-/Remove-ADUser: bei Austritt erst deaktivieren + verschieben, nicht direkt löschen (DSGVO!). Gruppen: Add-ADGroupMember, Get-ADGroupMember -Recursive. Bulk-Aktionen: CSV importieren + foreach + Splatting – das ist DER Use-Case für PowerShell-Admin. Reports: Group-Object, Export-Csv. Sicherheit: -WhatIf, kein Plaintext-Passwort, Least-Privilege, Logging, Test-AD.