Wichtige Objekte der Active Directory-Domänendienste
In diesem Artikel gebe ich einen Überblick über die wichtigen Objekte der Active Directory-Domänendienste (AD DS). AD DS ist eine wesentliche Komponente für die Verwaltung von Benutzern, Computern und anderen Ressourcen in einem Netzwerk. Wir werden uns die grundlegenden Objekte wie Container und Organisationseinheiten ansehen, die zur strukturellen Verwaltung und Organisation innerhalb einer Domäne dienen. Außerdem erkläre ich, wie Gruppenrichtlinien verwendet werden können, um spezifische Konfigurationen und Berechtigungen für verschiedene Benutzergruppen und Organisationseinheiten festzulegen.
Unter Servermanager -> Tools -> Active Directory Benutzer und Computer finden wir die Konsole für die Benutzer- und Computerkonten. In dieser Konsole wird unter anderem der Domänenname, z.B. firmaxyz.inet, angezeigt, den man erweitern kann. Wenn man den Punkt Domänenname erweitert, werden die Container und Organisationseinheiten angezeigt. Dies sind nach einer neuen Installation folgende:
Container werden mit einem kleinen Ordnersymbol angezeigt, und Organisationseinheiten haben in diesem Ordner noch ein kleines Symbol. Nach einer neuen Installation sehen wir, dass Domain Controllers ein kleines Symbol im Ordner hat. Domain Controllers ist demnach eine Organisationseinheit.
Container sind vordefinierte Active Directory Objekte, die nicht gelöscht werden können.
Als Besonderheit ist noch zu erwähnen, dass Container nicht gelöscht werden können. Organisationseinheiten (OUs) wiederum können gelöscht werden, außer die OU "Domain Controllers", da sie für die Grundfunktionalität des Active Directory benötigt wird.
Information:
Sagen wir mal wir befinden uns in der Firma XYZ und diese Firma hat eine Versandabteilung, eine Büroabteilung, den Einkauf, und die Chefetage - dann mancht es total Sinn diese Firma mit Ihren Abteilungen, Etagen, eventuell sogar mit den Zimmernummern im Active Directory nachzubilden.
Kostenlose IT-Sicherheits-Bücher - Information via Newsletter
Bleiben Sie informiert, wann es meine Bücher kostenlos in einer Aktion gibt: Mit meinem Newsletter erfahren Sie viermal im Jahr von Aktionen auf Amazon und anderen Plattformen, bei denen meine IT-Sicherheits-Bücher gratis erhältlich sind. Sie verpassen keine Gelegenheit und erhalten zusätzlich hilfreiche Tipps zur IT-Sicherheit. Der Newsletter ist kostenlos und unverbindlich – einfach abonnieren und profitieren!
Hinweis: Wenn Sie auf den Button klicken, werden Sie zu MailerLite weitergeleitet. Dort werden essentielle Cookies zur Sicherung der Funktion des Newsletterformulares gespeichert. Mit Ihrem Klick erteilen Sie das Einverständnis zur Verwendung dieser Cookies.
Zur Anmeldung Um eine Organisationseinheit (OU) zu erstellen, macht man einen Rechtsklick auf den Domänennamen (firmaxyz.inet) -> Neu -> Organisationseinheit. Es öffnet sich ein Fenster "Neues Objekt - Organisationseinheit". Hier gibt man der OU einen Namen, z.B. "Versand". Man kann das Häkchen bei "Container vor zufälliger Löschung schützen" setzen oder es belassen, wenn es angehäkelt ist und klickt anschließend auf OK. Nun wird die neue Organisationseinheit erstellt. Das Häkchen "Container vor zufälliger Löschung schützen" sollte immer angehäkelt sein. Stellen Sie sich vor, Sie haben in der OU Mitarbeiter, 520 Mitarbeiter als Benutzer und löschen ausversehen diese Organisationseinheit. Das könnte unternehmenskritische Auswirkungen haben.
Jetzt haben wir eine OU für den Versand und können dieser bestimmte Rechte zuordnen, feste Anmeldezeiten festlegen oder einen Drucker zuweisen. Wir können dieser OU alles zuordnen oder verbieten, was Active Directory unterstützt. Jeder Benutzer, den wir in diese OU einordnen, erbt dann die zugewiesenen Rechte und Erlaubnisse oder Verbote.
Dies können wir für alle Abteilungen machen, für Außendienstmitarbeiter, CEOs, Auszubildende und so weiter. Es sind keine Grenzen gesetzt. Wir sind somit in der Lage, Benutzer, Computer und andere Objekte logisch zu gruppieren, ähnlich wie Schüler einer Klasse zugeordnet werden.
Man kann nun Richtlinien anlegen oder vordefinierte Richtlinien verwenden und diese auf Organisationseinheiten anwenden. Auf Container können hingegen keine Richtlinien angewendet werden.
Wie kann ich einer angelegten OU (Organisationseinheit) eine Richtlinie zuweisen? Wie kann ich steuern, was die OU Versand darf und was sie nicht darf, sowie wie Active Directory diese Organisationseinheit behandeln soll?
Gehen Sie in den Servermanager -> Tools -> Gruppenrichtlinienverwaltung. Es öffnet sich der Gruppenrichtlinienverwaltungs-Editor. Hier können Sie die Gesamtstruktur erweitern, darunter die Domänen und schließlich unsere Domäne (firmaxyz.inet).
Wenn wir unsere Domäne erweitern, sehen wir im Grunde den gleichen Baum wie in Active Directory Benutzer und Computer, mit der Besonderheit, dass nur OUs (Organisationseinheiten) und keine Container angezeigt werden. Richtlinien können nur auf OUs angewandt werden, nicht auf Container.
Um eine neue Gruppenrichtlinie zu erstellen, machen Sie einen Rechtsklick auf Gruppenrichtlinienobjekte und wählen Neu. Benennen Sie die Gruppenrichtlinie entsprechend. Beim Anlegen ist diese Gruppenrichtlinie noch nicht konfiguriert, aber sie kann schon zugewiesen werden. Ziehen Sie die Gruppenrichtlinie einfach in die OU Versand.
Sie können der Gruppenrichtlinie Versand zum Beispiel als Konfiguration mitgeben, dass beim Anmelden eine Begrüßung "Hallo Versandmitarbeiter" angezeigt wird, welche Netzlaufwerke verbunden werden sollen, wie der Desktop aussieht, wo der Benutzerordner liegt und vieles mehr. Sobald diese Richtlinie auf die Organisationseinheit Versand angewendet wurde, gelten diese Einstellungen für alle Benutzer in der OU Versand. Der technischen und organisatorischen Fantasie sind hier keine Grenzen gesetzt.
Jetzt kann ich Benutzer in Active Directory Benutzer und Computer unter Users einfach nehmen, und in die Organisationseinheit Versand verschieben.
1. Schutz vor zufälliger Löschung: Wenn das Häkchen "Container vor zufälliger Löschung schützen" aktiviert ist, kann man diesen Container, in unserem Fall die OU, nur löschen, wenn man einen Umweg nimmt. Um das Häkchen zu entfernen, gehen Sie in die Eigenschaften der Organisationseinheit. Dies ist jedoch nur möglich, wenn Sie zuvor in Active Directory-Benutzer und -Computer unter Ansicht -> Erweiterte Features aktiviert haben.
2. Erweiterte Features aktivieren: Aktivieren Sie in allen relevanten Fenstern unter Ansicht -> Erweiterte Features. Dadurch erhalten Sie Zugriff auf zusätzliche Optionen und Verwaltungsfunktionen in Active Directory. Das sollte auf jedem Domänen Controller gemacht werden.
3. Warn- und Informationsfenster beachten: Beim Löschen von Objekten in Active Directory werden Info- und Warnfenster von Windows angezeigt. Lesen Sie diese Fenster in jedem Fall gründlich durch. Unüberlegtes Löschen, Verschieben oder andere wichtige Änderungen können das Active Directory-System beeinträchtigen oder gefährden und schnell zu ernsthaften Problemen führen.
In Active Directory (AD) gibt es grundlegende Objekte wie Container und Organisationseinheiten (OUs), die zur strukturellen Verwaltung einer Domäne dienen. Container sind vordefinierte Objekte, die nicht gelöscht werden können, wie Builtin, Computers, Domain Controllers, ForeignSecurityPrincipals, Managed Service Accounts und Users. OUs sind benutzerdefinierte Container, die erstellt werden, um Objekte logisch zu gruppieren und ihnen spezifische Richtlinien zuzuweisen. Im Gegensatz zu Containern können OUs gelöscht werden, was eine flexible Verwaltung ermöglicht.
Domänenadministratoren und Domänenbenutzer sind wichtige Gruppen in AD. Domänenadministratoren haben umfassende Rechte innerhalb der Domäne, können alle Objekte verwalten und sich bei Netzwerkausfall lokal anmelden. Domänenbenutzer haben Zugriff auf festgelegte Domänendienste und können sich auch bei Netzwerkausfall an einem Client anmelden, wenn sie sich zuvor bereits angemeldet haben. Domänencomputer erhalten automatisch Domänenrichtlinien und die entsprechenden Benutzer- und Administratorgruppen werden in lokale Gruppen eingefügt.
Gruppenrichtlinien sind ein weiteres zentrales Element in AD. Sie werden über die Gruppenrichtlinienverwaltung erstellt und verwaltet, um spezifische Konfigurationen und Berechtigungen für OUs festzulegen. Eine neue Richtlinie kann erstellt und auf eine OU angewendet werden, um zum Beispiel Anmeldebegrüßungen, Netzlaufwerke oder Desktop-Einstellungen festzulegen. Es ist wichtig, bei Änderungen in AD vorsichtig zu sein und immer Info- und Warnfenster zu lesen, um unbeabsichtigte Auswirkungen zu vermeiden. Erweiterte Funktionen in AD können helfen, Änderungen sicher und effizient durchzuführen.
Über den Autor: Ralf-Peter Kleinert
Über 30 Jahre Erfahrung in der IT legen meinen Fokus auf die Computer- und IT-Sicherheit. Auf meiner Website biete ich detaillierte Informationen zu aktuellen IT-Themen. Mein Ziel ist es, komplexe Konzepte verständlich zu vermitteln und meine Leserinnen und Leser für die Herausforderungen und Lösungen in der IT-Sicherheit zu sensibilisieren.
Aktualisiert: Ralf-Peter Kleinert 29.05.2024
