Benutzer, Gruppen & Organisationseinheiten

Objekte in Active Directory

Alles in Active Directory ist ein Objekt – Benutzer, Computer, Gruppen, Drucker, Freigaben. Jedes Objekt hat Attribute die es beschreiben. Ein Benutzerobjekt hat z.B. die Attribute Vorname, Nachname, E-Mail, Abteilung, Telefonnummer und Passwort-Hash.

Jedes Objekt hat einen eindeutigen Distinguished Name (DN) der seinen vollständigen Pfad im AD-Baum beschreibt – ähnlich wie ein Dateipfad:

CN=Max Mustermann,OU=IT-Abteilung,OU=Benutzer,DC=fisipedia,DC=de

Benutzerkonten

Ein Benutzerkonto ist die digitale Identität eines Mitarbeiters in Active Directory. Es ermöglicht die Anmeldung an Domänen-Computern und den Zugriff auf Netzwerkressourcen.

Wichtige Benutzerattribute

  • SAM-Account-Name: Der Anmeldename (logon name) – z.B. mmustermann

  • UPN (User Principal Name): E-Mail-ähnliche Anmeldeadresse – z.B. mmustermann@fisipedia.de

  • SID (Security Identifier): Eine eindeutige Sicherheits-ID die unveränderlich ist – auch wenn der Benutzername geändert wird, bleibt die SID gleich

  • Profilpfad, Anmeldeskript, Heimverzeichnis: Für die Konfiguration von Benutzerumgebungen

Benutzerkonten verwalten – PowerShell

# Neues Benutzerkonto erstellen
New-ADUser -Name "Max Mustermann" `
           -SamAccountName "mmustermann" `
           -UserPrincipalName "mmustermann@fisipedia.de" `
           -Path "OU=IT-Abteilung,OU=Benutzer,DC=fisipedia,DC=de" `
           -AccountPassword (ConvertTo-SecureString "P@ssw0rd!" -AsPlainText -Force) `
           -Enabled $true

# Benutzer deaktivieren
Disable-ADAccount -Identity "mmustermann"

# Benutzer in Gruppe hinzufügen
Add-ADGroupMember -Identity "IT-Admins" -Members "mmustermann"

Integrierte Konten

  • Administrator: Das erste und mächtigste Konto in der Domäne. Sollte umbenannt oder deaktiviert werden (Sicherheit)

  • KRBTGT: Dienstkonto für den Kerberos-Ticketdienst – wird niemals direkt verwendet, aber regelmäßiges Zurücksetzen des Passworts ist eine Sicherheitsmaßnahme

  • Guest: Standardmäßig deaktiviert – sollte deaktiviert bleiben

Gruppen

Gruppen fassen mehrere Benutzer (oder andere Objekte) zusammen um die Berechtigungsvergabe zu vereinfachen. Statt einem einzelnen Benutzer eine Freigabe zu erteilen, erteilt man sie einer Gruppe – und fügt Benutzer zur Gruppe hinzu.

Gruppentypen

Es gibt zwei Gruppentypen:

  • Sicherheitsgruppen: Für die Berechtigungsvergabe auf Ressourcen und für Gruppenrichtlinien. Das ist der Standard in Unternehmensumgebungen.

  • Verteilergruppen: Nur für E-Mail-Verteilung (z.B. in Exchange). Können nicht für Berechtigungen verwendet werden.

Gruppenbereich

Der Gruppenbereich bestimmt wo eine Gruppe verwendet werden darf:

Bereich

Mitglieder aus

Verwendung für Berechtigungen in

Domänenlokal

Beliebiger Domäne (im Forest)

Nur der eigenen Domäne

Global

Nur der eigenen Domäne

Beliebiger Domäne (im Forest)

Universell

Beliebiger Domäne (im Forest)

Beliebiger Domäne (im Forest)

Best Practice: AGDLP-Prinzip

Das AGDLP-Prinzip ist die Microsoft-empfohlene Strategie für Gruppenberechtigungen:

  • Accounts (Benutzerkonten) → werden Mitglieder von

  • Global groups (globale Gruppen) → werden Mitglieder von

  • Domain Local groups (domänenlokale Gruppen) → erhalten

  • Permissions (Berechtigungen auf Ressourcen)

Beispiel AGDLP:

Benutzer Max (A) → Globale Gruppe "GG_IT-Mitarbeiter" (G)
→ Domänenlokale Gruppe "DL_Dateiserver-Lesen" (DL)
→ Leseberechtigung auf \\Server\Freigabe (P)

Vorteil: Wenn ein Mitarbeiter die Abteilung wechselt, wird er nur aus der globalen Gruppe entfernt – die Berechtigungsstruktur (DL-Gruppen) bleibt unverändert.

Organisationseinheiten (OUs)

Organisationseinheiten sind Container innerhalb einer Domäne. Sie strukturieren die AD-Objekte logisch – meist nach der Unternehmensstruktur (Abteilungen oder Standorte).

Wozu OUs?

  • Gruppenrichtlinien anwenden: GPOs werden auf OUs verknüpft und gelten für alle Objekte in dieser OU (und Unter-OUs)

  • Verwaltung delegieren: Ein Helpdesk-Mitarbeiter kann Berechtigungen erhalten um nur die Benutzer in seiner OU zu verwalten – ohne Domain-Admin-Rechte

  • Übersichtlichkeit: Klare Strukturierung statt eines flachen Verzeichnisses

OU-Struktur – Beispiel

fisipedia.de
├── OU: Benutzer
│   ├── OU: IT
│   ├── OU: Buchhaltung
│   └── OU: Vertrieb
├── OU: Computer
│   ├── OU: Laptops
│   └── OU: Desktops
├── OU: Gruppen
└── OU: Dienstkonten

Delegierung von Verwaltungsaufgaben

Über den Delegierungsassistenten im ADUC (Active Directory Users and Computers) können Verwaltungsaufgaben auf bestimmte Benutzer oder Gruppen für eine OU delegiert werden. Beispiel: Der Helpdesk kann Passwörter zurücksetzen aber keine Benutzer löschen.

Zusammenfassung

  • Benutzerkonten identifizieren Mitarbeiter – wichtige Attribute: SAM-Name, UPN, SID

  • Die SID ist unveränderlich – nicht der Name identifiziert ein Konto intern

  • Gruppentypen: Sicherheitsgruppen (für Berechtigungen) und Verteilergruppen (nur E-Mail)

  • Gruppenbereiche: Domänenlokal, Global, Universell

  • AGDLP: Accounts → Globale Gruppen → Domänenlokale Gruppen → Permissions

  • OUs strukturieren Objekte innerhalb der Domäne und sind Ziel von Gruppenrichtlinien

  • Verwaltungsaufgaben können auf OUs delegiert werden