SERVER 2012R2

BenutzerverwaltungGruppenverwaltungKennwortrichtlinienOrganisationseinheitRechte & FreigabenAnmeldemethoden

Die Organisationseinheit

Was eine Organisationseinheit (OU) ist und wofür man die auf einem Server-System benötigt, und wie sieht der Aufbau einer Organisationseinheit aus, kann man hier in einer kurzen Zusammenfassung nachlesen.

Die Organisationseinheit (OU) ist ein Objekt innerhalb einer Domäne und dient zu folgenden Zwecken.

Zweck einer OU

  • Überschaubares Anlegen von Objekten. Ähnlich wie das Speichern von Dateien im Windows-Explorer.
  • Ein Grundgerüst als hierarchische Form einer Organisation. Mit der OU können die jeweiligen Aufgabenbereiche eines Unternehmens nachgebildet werden. z.B Gruppen oder Projektteams, Personalbezirke, Rechnungswesen, Geschäftsführerbereiche usw.
  • Zuweisen von Gruppenrichtlinien.

Die Vorbereitung

Beim Aufbau einer OU müssen detaillierte Überlegungen vorgenommen werden.

  • Entwurf eines Schemas, das konsequent eingehalten wird.
  • Sinnvolle Benennung der Organisationseinheit.
  • Einheitliche Benennung der einzelnen OU's. Standort und Funktion muss erkennbar sein.
    Je nach den Bedürfnissen kann auch die nachfolgende Abbildung anders aussehen.
  • Bei einer zentralen Verwaltung könnte es sinnvoll sein, dass die Standort OU's erst auf der zweiten Ebene angelegt werden. Dann könnten auf der ersten Ebene die Abteilungen oder auch die Funktionen gegliedert werden.
WinServ2012 Active-Directory Eine Organisationseinheit
Beispiel einer OU

OU anlegen

Server-Manager -> Tools -> Active Directory-Benutzer und -Computer

Vorgehensweise

  1. Klicke mit der rechten Maustaste auf die Domäne, um die erste Ebene der OU zu erstellen. Andernfalls in die jeweilige OU.
    > Das Kontextmenü öffnet sich.
  2. Klicke auf Neu -> Organisationseinheit.
    > Das Fenster Neues Objekt - Organisationseinheit öffnet sich.
  3. Gebe in das Eingabefeld Name einen aussagekräftigen Namen ein.
  4. Aktiviere das Kontrollkästchen Container vor zufälliger Löschung schützen.
  5. Klicke auf die Schaltfläche OK.
    > Die Organisationseinheit ist angelegt.
    > Das Fenster Neues Objekt - Organisationseinheit schließt sich.

OU löschen

Bei der Löschung einer OU sollte sehr vorsichtig vorangegangen werden, denn es könnten sich noch weitere Objekte in der OU befinden. Diese Objekte werden dann schlicht und einfach mitgelöscht.

Wurde beim Erstellen dieser OU (siehe OU anlegen Pkt. 4) das Kontrollkästchen aktiviert, erscheint beim Löschen folgendes Hinweisfenster.

WinServ2012 Den Active-Directory - Domänendienst Organisationseinheit löschen
Schutz vor unberechtigeten Löschen einer OU

Damit die OU dennoch gelöscht werden kann, muss die Ansicht der OU auf Erweiterte Features eingestellt werden.

Vorgehensweise

  1. Klicke oben im Menü auf Ansicht.
    > Das Menü öffnet sich.
  2. Klicke auf Erweiterte Features.
  3. Klicke dann anschließend in der OU-Struktur mit der rechten Maustaste auf die OU die gelöscht werden soll.
    > Das Kontextmenü öffnet sich.
  4. Klicke auf Eigenschaften.
    > Das Fenster Eigenschaften von {Bezeichnung der OU} öffnet sich.
  5. Klicke im Reiter Objekt auf das Kontrollkästchen Objekt vor zufälligem Löschen schützen, so dass es nicht mehr aktiv ist.
  6. Klicke auf die Schaltfläche OK.
  7. Klicke wieder mit der rechten Maustaste auf die OU die gelöscht werden soll.
    > Das Kontextmenü öffnet sich.
  8. Klicke auf Löschen.
    > Ein Hinweisfenster erscheint und frägt nochmals nach, ob die OU gelöscht werden soll.
  9. Klicke auf die Schaltfläche Ja.
    > Enthält die OU weitere Unter-OUs erscheint ein weiteres Hinweisfenster, indem Du darauf hingewiesen wirst, dass das Löschen der Unterstruktur ebenfalls mit gelöscht wird.
  10. Klicke auf Ja, wenn Du Dir absolut sicher bist.
    Einen Rückwärtsschritt gibt es dann nicht mehr. Das Einspielen eines Backups wäre dann noch die einzige Lösung.

Die Benutzer

In diesem Abschnitt werde ich nur grundsätzliche Schritte dokumentieren, wie ein Benutzer angelegt, bearbeitet und gelöscht wird. Unteranderem findest Du hier ein paar erwähnenswerte Merkmale, was man beim Benutzeranmeldenamen und zur Namenskonvention bedenken sollte.

Anlegen eines Benutzers

Server-Manager -> Tools -> Active Directory-Benutzer und -Computer

Nachdem die Organisationseinheit (OU) nach den organisatorischen Gegebenheiten erstellt/angepasst wurde, können die Benutzerkonten in den jeweiligen OUs (z.B. Lager, Geschäftsleitung, Außendienst usw.) angelegt werden.

Vorgehensweise

  1. Klicke mit der rechten Maustaste auf die Organisationseinheit in der das Benutzerkonto angelegt werden soll.
    > Das Kontextmenü öffnet sich.
  2. Klicke auf Neu -> Benutzer.
    > Das Dialogfenster Neues Objekt - Benutzer öffnet sich.
  3. Gebe die Benutzerinformationen ein.

    Bei den beiden Eingabefeldern Benutzeranmeldename und Benutzeranmeldename (Prä-Windows 2000) beachte bitte die nachfolgenden Punkte.

    Benutzeranmeldename
    (Fenster: Neues Objekt - Benutzer)
    Durch die Festlegung des Benutzeranmeldenamen (UPN, User Principal Name) wird der NetBIOS-Benutzeranmeldename (Prä-Windows 2000) generiert.
    Benutzeranmeldename UPN und der NetBIOS-Benutzeranmeldename (Prä-Windows 2000) sollten gleich bleiben, um den Benutzer bei seinen Anmeldeprozessen nicht zu verwirren.

    Beispiel:
    Benutzeranmeldename UPN: KreidtN@{domäne.dom}
    Benutzeranmeldename (Prä-Windows 2000): {DOMÄNE}\KreidtN
    max. Zeichenlänge: 20

    Um einen Benutzernamen zu vergeben sind folgende Zeichen erlaubt:
    Buchstaben: A-Z, a-z
    Zahlen: 0-9
    Nicht erlaubt sind: ? < > [ ] + = / \ , ; : * |

    Namenskonvention für Anmeldenamen
    Benutzernamen sollten verständlich sein.
    Eines der am meisten angewendeten Varianten.

    NachnameVorname: KreidtNorbert, Kreidt.Norbert, KreidtN
    Die nachfolgende Variante ist in Deutschland eher nicht bevorzugt und kommt meist in internationalen Unternehmen vor.

    VornameNachname
    : NorbertKreidt, Norbert.Kreidt, NorbertK

    Besondere Ausnahmen gibt es in höher gestuften Sicherheitsunternehmen oder wenn ein Unternehmen überwiegend Praktikanten, Zeitarbeiter bzw. Mitarbeiter die nur auf eine bestimmte Zeit im Unternehmen tätig sind.

    Hier werden eindeutige Benutzernamen für die Benutzer festgelegt, die keinen Bezug auf deren eigentlichen Namen haben.

    Beispiel:
    Anwender01 bis Anwender99, Fachberater01 bis Fachberater99, Agent001 bis Agent007
    evtl. auch auf Gebäude und Raum verteilt
    G02-R01-01 bis G02-R01-01 (Gebäude-Raum-Nutzer)
    Im letzten Beispiel sollte aber darauf geachtet werden, wenn die Person dann doch in ein anderes Gebäude umzieht und für eine andere Abteilung tätig wird.
  1. Klicke auf die Schaltfläche Weiter.
  2. Vergebe ein Passwort für den Benutzer.
    Durch die Kontrollkästchen kannst Du noch selbsterklärende Einstellungen vornehmen, die ich hier nicht weiter erklären werde.
  3. Klicke auf die Schaltfläche Weiter.
    > Es folgt eine Zusammenfassung der gemachten Angaben.
  4. Klicke auf Fertig stellen.
    > Das Dialogfenster Neues Objekt - Benutzer schließt sich

Benutzer verschieben

Ein Benutzer der nur in einer einzigen OU existieren kann, kann jederzeit in eine andere OU verschoben werden. Ein Benutzerkonto kann nicht mehreren OUs zugeordnet werden.

Vorgehensweise

  1. Klicke hierzu mit der rechten Maustaste auf das Benutzerkonto und wähle im Kontextmenü Verschieben.
    > Das Dialogfenster Verschieben öffnet sich.
  2. Wähle die neue OU in der das Benutzerkonto zugeordnet werden soll.
  3. Klicke auf die Schaltfläche OK, um das Dialogfenster Verschieben zu schließen

Benutzer umbenennen

Ein Benutzer kann auch jederzeit, aufgrund einer Namensänderung, umbenannt werden. Änderungen an den Rechten werden durch eine Namensänderung nicht vorgenommen, da jedes Benutzerkonto einer eigenen festen SID Nummer zugeordnet ist.

Vorgehensweise

  1. Klicke hierzu mit der rechten Maustaste auf das Benutzerkonto und wähle im Kontextmenü Umbenennen.
    > Der Name lässt sich in der Spalte editieren.
  2. Ändere den Namen und bestätige die Eingabe mit der Taste Enter.
    > Das Dialogfenster Benutzer umbenennen öffnet sich.
  3. Nehme hierzu nur Änderungen an den folgenden 2 Eingabefeldern vor
    (Die anderen Eingabefelder Anzeigename u. Benutzeranmeldename (Prä…) werden automatisch angepasst):
    1: Nachname,
    2: Benutzeranmeldename;
  4. Klicke auf die Schaltfläche OK, um das Dialogfenster Benutzer umbenennen zu schließen.

Benutzer löschen

Ein Benutzer kann auch jederzeit, gelöscht werden, wenn ein Benutzer das Unternehmen verlässt. Vorzugsweise wird das Benutzer erstmal deaktiviert (Kontextmenü), denn für einen neuen Mitarbeiter kann dieses Benutzerkonto in wenigen Schritten übernommen werden.

Wird ein Benutzerkonto entfernt, kann es NUR durch eine Sicherung wieder hergestellt werden, da die SID ebenfalls gelöscht wird.
Wenn unter Ansicht die Ansicht auf Erweiterte Features aktiviert ist, kann die SID (objectSid) in den Eigenschaften/Reiter Attribut-Editor entnommen werden.

Vorgehensweise

  1. Klicke hierzu mit der rechten Maustaste auf das Benutzerkonto und wähle im Kontextmenü Löschen.
    > Das Dialogfenster Active Directory-Domänendienste öffnet sich.
  2. Klicke auf die Schaltfläche Ja, wenn Du Dir sicher bist, dass das Benutzerkonto gelöscht werden soll.
    > Das Benutzerkonto ist gelöscht.
    > Das Dialogfenster Active Directory-Domänendienste schließt sich.

Wird im Anschluss das gleiche Konto wieder angelegt, erhält das neue Konto eine neue SID, da es sich für die Active Directory um ein völlig neues Konto handelt, als das soeben gelöschte mit den gleichen Informationen.


Die Gruppen

In diesem Abschnitt werde ich nur grundsätzliche Schritte dokumentieren, wie eine Gruppe angelegt, bearbeitet und gelöscht wird. Zusätzlich werde ich wichtige Stichpunkte erwähnen, was man rund um die Gruppe wissen sollte.

Wichtige Punkte

  • Eine Gruppe ist wie der Benutzer auch ein Blattobjekt.
  • Einer Gruppe können mehrere Benutzer hinzugefügt werden.
  • Ein Benutzer kann in mehreren Gruppen ein Mitglied sein.

Gruppe anlegen

Vorgehensweise

  1. Klicke mit der rechten Maustaste in die Organisationseinheit in der die Gruppe angelegt werden soll.
    > Das Kontextmenü öffnet sich.
  2. Wähle im Kontextmenü Neu/Gruppe.
    > Das Dialogfenster Neues Objekt - Gruppe öffnet sich.
  3. Vergebe der Gruppe in dem Eingabefeld Gruppenname einen aussagekräftigen Namen.
    In dem Eingabefeld Gruppenname (Prä-Windows 2000) machen wir keine Angaben, wenn kein andere Grund vorliegt. Es wird automatisch durch die Eingabe des Gruppennamen gefüllt.
  4. Gebe die jeweiligen Gruppenbereiche und den Gruppentyp an.
  5. Klicke anschließend auf die Schaltfläche OK.
    > Das Dialogfenster Neues Objekt - Gruppe schließt sich.

Mitglieder der Gruppe zuordnen

Vorgehensweise

  1. Mit einem Doppelklick auf die Gruppe, öffnet sich das Dialogfenster Eigenschaften von {Gruppenname}.
  2. Klicke auf die Registerkarte Mitglieder.
  3. Klicke auf die Schaltfläche Hinzufügen.
    > Das Dialogfenster Benutzer, Kontakte, Computer, Dienstkonten oder Gruppen auswählen öffnet sich.
  4. Notiere den Namen des Benutzers in das Eingabefeld Geben Sie die zu verwendenden Objektnamen ein.
  5. Klicke auf die Schaltfläche Pfade…, um die Suche einzugrenzen, damit nicht die ganze Domäne durchsucht werden muss.
  6. Klicke auf die Schaltfläche Namen überprüfen.
    > Der Benutzer wird angezeigt, wenn dieser in der Datenbank angelegt wurde.
  7. Klicke auf die Schaltfläche OK, um das Dialogfenster zu schließen.

Gruppe verschieben

Eine Gruppe die nur in einer einzigen OU existieren kann, kann jederzeit in eine andere OU verschoben werden. Ein Gruppenkonto kann nicht mehreren OUs zugeordnet werden.

Vorgehensweise

  1. Klicke hierzu mit der rechten Maustaste auf das Gruppenkonto und wähle im Kontextmenü Verschieben.
    > Das Dialogfenster Verschieben öffnet sich.
  2. Wähle die neue OU in der das Gruppenkonto zugeordnet werden soll.
  3. Klicke auf die Schaltfläche OK, um das Dialogfenster Verschieben zu schließen.

Gruppe umbenennen

Eine Gruppe kann auch jederzeit, aufgrund einer Namensänderung, umbenannt werden. Änderungen an den Rechten werden durch eine Namensänderung nicht vorgenommen.

Vorgehensweise

  1. Klicke hierzu mit der rechten Maustaste auf das Gruppenkonto und wähle im Kontextmenü Umbenennen.
    > Der Name lässt sich in der Spalte editieren.
  2. Ändere den Gruppennamen und bestätige die Eingabe mit der Taste Enter.
    > Das Dialogfenster Gruppe umbenennen öffnet sich.
  3. Nehme die Änderungen vor.
  4. Klicke auf die Schaltfläche OK, um die Änderungen zu übernehmen.
    > Das Dialogfenster Gruppe umbenennen schließt sich.

Gruppe löschen

Eine Gruppe kann jederzeit, gelöscht werden. Die zur Gruppe zugeordneten Mitglieder werden nicht gelöscht, da die Benutzerkonten ebenfalls Blattobjekte sind.

Vorgehensweise

  1. Klicke hierzu mit der rechten Maustaste auf das Benutzerkonto und wähle im Kontextmenü Löschen.
    > Das Dialogfenster Active Directory-Domänendienste öffnet sich.
  2. Klicke auf die Schaltfläche Ja, wenn Du Dir sicher bist, dass das Gruppenkonto gelöscht werden soll.
    > Das Gruppenkonto ist gelöscht.
    > Das Dialogfenster Active Directory-Domänendienste schließt sich.

Die Computer

Wichtige Punkte

  • Jeder Computer der Mitglied in der Domäne ist, hat ein Computerkonto.
  • Jeder Computer kann nur einmal in der OU angelegt werden.
  • Computer die einer Domäne beitreten, erhält autom. ein Computerkonto.
  • Computerkonten (DCs) werden in der Organisationseinheit Domain Controller angezeigt.
  • Computerkonten befinden sich in der Organisationseinheit Computer.
  • Der Name des Computer in der Active Directory ist auch der Name des Computers.

Computerkonto anlegen

Server-Manager -> Tools -> Active Directory-Benutzer und -Computer

Vorgehensweise

  1. Klicke mit der rechten Maustaste in der OU Computers.
    > Das Kontextmenü öffnet sich.
  2. Wähle Neu -> Computer.
    > Das Dialogfenster Neues Objekt - Computer öffnet sich.
  3. Gebe die Informationen des Computers ein.

    Unter Benutzer oder Gruppe (Standard: Domänen-Admins) kann bestimmt werden, wer diesen Computer in die Domäne einbinden darf.
    Soll es erwünscht sein, dass der Anwender seinen Arbeitscomputer selbst in die Domäne einbinden darf, dann wähle den gewünschten Benutzer über die Schaltfläche Ändern…
  4. Klicke auf die Schaltfläche OK, um das Dialogfenster Neues Objekt - Computer zu schließen.

Computerkonten verschieben

Computerkonten lassen sich genauso verschieben wie die Benutzerobjekte oder Gruppenobjekte. Es ist nicht zwingend erforderlich, dass die Computer in der OU unter Computers vereinigt werden müssen. Es kann ebenso eine eigene OU zusammengestellt werden, wo diese gemeinsam gesammelt werden. Ebenso kann auch ein Computerkonto in eine andere OU, per Drag & Drop, verschoben werden.

Computerkonten zurücksetzen

Computerkonten besitzen im Hintergrund ein Kennwort, dass von Active Directory in regulären Abständen geändert wird. Ist z.B. ein Computer eine gewisse Zeit (ca. 60 Tage) nicht an der Domäne angemeldet kommt es zur Widersprüchlichkeit zwischen dem Kennwort des Computers, und dem Kennwort das Active Directory bereits für den Computer abgeändert hat. Eine Domänen-Anmeldung von diesem Host aus ist leider nicht möglich.

Tipp

Computer zurücksetzen.
Server-Manager -> Tools -> Active Directory-Benutzer und -Computer.

Vorgehensweise

  1. Klicke mit der rechten Maustaste auf den Computer.
    > Das Kontextmenü öffnet sich.
  2. Wähle Konto zurücksetzen.
    > Das Dialogfenster Active Directory-Domänendienste öffnet sich mit der Meldung:
    Sind Sie sicher, dass dieses Computerkonto zurückgesetzt werden soll?
  3. Klicke auf die Schaltfläche Ja.
    > Das Dialogfenster Active Directory-Domänendienste öffnet sich mit der Bestätigung:
    Das Konto { Computername } wurde ordnungsgemäß zurückgesetzt.
  4. Klicke auf die Schaltfläche OK, um das Dialogfenster Active Directory-Domänendienste zu schließen.

Objekte suchen

Um Informationen wie z.B. Telefonnummern eines Mitarbeiters zu finden, ist auch das Active Directory mit seiner Datenbank Dein bester Freund.

Der Anwender verrichtet aber seine Arbeit nicht direkt auf einem Windowsserver, sondern eher auf einem Host mit dem Betriebssystem WIN XP, WIN 7/8.

Leider fehlt hier der direkte Zugriff für die Suchfunktion nach Benutzer, Kontakte, Gruppen und Computer suchen. Um die Funktionalität dennoch zu nutzen, gehe wie folgt vor.

Benutzer, Kontakte, Gruppen suchen

Vorgehensweise

  1. Tastenkombination: WIN + R
    > Das Dialogfenster Ausführen öffnet sich.
  2. Gebe in das Eingabefeld folgenden Eintrag: rundll32 dsquery,OpenQueryWindow.
    Ausführen Befehl rundll32 dsquery,OpenQueryWindow
    Das Fenster "Benutzer, Kontakte, Gruppen suchen" anders öffnen
  3. Klicke auf die Schaltfläche OK.
    > Das Fenster Benutzer, Kontakte, Gruppen suchen öffnet sich.
    Alle Eingabefelder sind selbsterklärend und müssen nicht separat beschrieben werden.
    Ausführen Benutzer, Kontakte, Gruppen suchen
    Das Fenster "Benutzer, Kontakte, Gruppen suchen".

Computer suchen

Vorgehensweise

  1. Drücke die Tastenkombination: STRG + WIN + F
    >Das Dialogfenster Computer suchen öffnet sich.
    Alle Eingabefelder sind selbsterklärend und müssen nicht separat beschrieben werden.
Ausführen Benutzer, Kontakte, Gruppen suchen
Das Fenster "Computer suchen" öffnen mit STRG + WIN + F