Benutzer, Gruppen, OUs verwalten
Wenn das Active Directory die Stadt ist, dann sind Benutzer die Einwohner, Gruppen die Vereine und Abteilungen, und OUs (Organizational Units) die Stadtteile. Als Administrator verwaltest du täglich alle drei. Ein neuer Mitarbeiter kommt? Du legst ein Benutzerkonto an und fügst ihn den richtigen Gruppen hinzu. Eine Abteilung zieht in ein neues Gebäude? Die Computer wandern in eine andere OU und bekommen automatisch neue Gruppenrichtlinien. Das Zusammenspiel dieser drei Konzepte ist das tägliche Brot jedes Windows-Administrators.
1) Organizational Units – die Ordnerstruktur des AD
OUs sind Container im Active Directory – vergleichbar mit Ordnern im Explorer. Aber sie sind viel mächtiger: Auf eine OU kannst du Gruppenrichtlinien anwenden, die für alle Objekte in der OU gelten. Du kannst einer Person die Verwaltung einer OU delegieren (z.B. der Standortverantwortliche darf nur die OU seines Standorts verwalten). OUs können verschachtelt werden – eine OU enthält OUs enthält Benutzer, Computer und Gruppen.
Eine gut strukturierte OU-Hierarchie macht Administration einfacher, Gruppenrichtlinien übersichtlicher und Berechtigungen delegierbar. Die goldene Regel: OUs nach Verwaltungsbedarf strukturieren, nicht nach Organigramm. Wenn die Rechtsabteilung und die Buchhaltung dieselben GPOs brauchen, können sie in dieselbe OU. Wenn zwei Teams in verschiedenen Ländern sind und deshalb unterschiedliche Länder-Policies brauchen, müssen sie in getrennte OUs.
2) Gruppentypen und Gruppenbereiche – AGDLP
Gruppen im Active Directory sind nicht alle gleich. Es gibt zwei Typen: Sicherheitsgruppen (für Berechtigungen) und Verteilergruppen (nur für E-Mail-Listen, keine Berechtigungen). Und es gibt drei Bereiche, die bestimmen wo eine Gruppe genutzt werden kann. Das klingt erst kompliziert, hat aber eine bewährte Best-Practice-Regel: AGDLP.
AGDLP steht für Account → Global Group → Domain Local Group → Permission. Das bedeutet: Benutzer kommen in globale Gruppen (nach Rolle oder Abteilung). Diese globalen Gruppen kommen in domänenlokale Gruppen (nach Ressource). Die domänenlokalen Gruppen bekommen die tatsächliche Berechtigung auf eine Ressource. Warum dieser Umweg? Weil globale Gruppen domänenübergreifend verwendet werden können – wenn morgen eine zweite Domäne hinzukommt, änderst du nur die globale Gruppe, nicht hunderte Berechtigungen.
3) Benutzer und Gruppen mit PowerShell verwalten
In der Praxis verwaltest du Benutzer entweder über das grafische Tool ADUC (dsa.msc) oder per PowerShell. PowerShell ist für Massenvorgänge (z.B. 50 neue Benutzer anlegen) unersetzlich. Die wichtigsten Befehle:
| Aufgabe | PowerShell-Befehl |
|---|---|
| Benutzer anlegen | New-ADUser -Name "Hans Mueller" -SamAccountName "mueller.hans" -Path "OU=Verwaltung,OU=Benutzer,DC=ad,DC=firma,DC=de" -Enabled $true |
| Passwort setzen | Set-ADAccountPassword -Identity "mueller.hans" -NewPassword (Read-Host -AsSecureString) |
| Benutzer zu Gruppe hinzufügen | Add-ADGroupMember -Identity "GG_Verwaltung" -Members "mueller.hans" |
| OU erstellen | New-ADOrganizationalUnit -Name "Verwaltung" -Path "OU=Benutzer,DC=ad,DC=firma,DC=de" |
| Benutzer deaktivieren (z.B. Austritt) | Disable-ADAccount -Identity "mueller.hans" |
| Gruppenmitglieder auflisten | Get-ADGroupMember -Identity "GG_IT-Admins" |
Zusammenfassung
OUs strukturieren das AD nach Verwaltungsbedarf, nicht nach Organigramm – ermöglichen GPO-Anwendung und Delegation. AGDLP: Benutzer → Globale Gruppe → Domänenlokale Gruppe → Berechtigung. Sicherheitsgruppen für Berechtigungen, Verteilergruppen nur für E-Mail. PowerShell für Massenvorgänge, ADUC (dsa.msc) für einzelne Objekte.