Zum Inhalt springen
sw
en

Tippe um zu suchen

Server & Active Directory

Active Directory – User & Gruppen verwalten

Benutzer anlegen, Gruppen richtig einsetzen und Konten via GUI oder PowerShell verwalten – das tägliche AD-Handwerk für IT-Allrounder im KMU.

7 Min Lesezeit Fortgeschritten Zuletzt aktualisiert:

Voraussetzungen und Einstieg

Bevor du loslegen kannst, brauchst du auf deinem Admin-PC die Remote Server Administration Tools (RSAT) mit der AD-DS-Komponente. Auf Windows 10/11 installierst du sie über:

Einstellungen > Apps > Optionale Features > Feature hinzufügen > “RSAT: Active Directory Domain Services”

Oder per PowerShell (als Admin):

Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0

Danach erreichst du die wichtigsten Tools per Win+R:

BefehlTool
dsa.mscActive Directory-Benutzer und -Computer (ADUC)
gpmc.mscGruppenrichtlinienverwaltung
adacActive Directory-Verwaltungscenter (moderner, empfohlen)
adsiedit.mscADSI-Editor (Low-Level, für Spezialfälle)

Für die meisten Alltagsaufgaben arbeitest du in dsa.msc. Für PowerShell-Aufgaben benötigst du das ActiveDirectory-Modul – es ist nach der RSAT-Installation automatisch verfügbar.


Benutzer anlegen

Schritt-für-Schritt in ADUC

  1. dsa.msc öffnen
  2. In der Domänenstruktur zur richtigen OU (Organizational Unit) navigieren, z.B. firma.local > Benutzer > Mitarbeiter
  3. Rechtsklick auf die OU > Neu > Benutzer
  4. Felder ausfüllen:
    • Vorname / Nachname – korrekte Schreibweise, denn das ist der Anzeigename
    • Benutzeranmeldungsname (UPN): mmuster@firma.local – das ist das Login-Kürzel
    • Pre-Windows 2000-Anmeldename: mmuster – muss eindeutig in der Domäne sein
  5. Passwort setzen und “Benutzer muss Kennwort bei der nächsten Anmeldung ändern” aktivieren
  6. Fertigstellen

Per PowerShell anlegen

# Minimales Anlegen eines Benutzers
New-ADUser `
  -Name "Max Muster" `
  -GivenName "Max" `
  -Surname "Muster" `
  -SamAccountName "mmuster" `
  -UserPrincipalName "mmuster@firma.local" `
  -Path "OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local" `
  -AccountPassword (ConvertTo-SecureString "Temp@Pass123!" -AsPlainText -Force) `
  -ChangePasswordAtLogon $true `
  -Enabled $true

# Prüfen ob der User angelegt wurde
Get-ADUser -Identity "mmuster" | Select-Object Name, Enabled, UserPrincipalName

Bulk-Import per CSV

Wenn du mehrere User auf einmal anlegen musst (z.B. Onboarding nach Betriebsübernahme), lohnt sich ein CSV-Import:

# CSV-Datei: Name,Vorname,Nachname,OU
# z.B.: mmuster,Max,Muster,"OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local"

Import-Csv "C:\Temp\neue_user.csv" | ForEach-Object {
    New-ADUser `
        -SamAccountName $_.Name `
        -GivenName $_.Vorname `
        -Surname $_.Nachname `
        -Name "$($_.Vorname) $($_.Nachname)" `
        -UserPrincipalName "$($_.Name)@firma.local" `
        -Path $_.OU `
        -AccountPassword (ConvertTo-SecureString "Willkommen1!" -AsPlainText -Force) `
        -ChangePasswordAtLogon $true `
        -Enabled $true
}

Gruppentypen und Gruppenscope verstehen

Das ist der Teil, den viele überspringen – und dann wundern sie sich, warum Berechtigungen nicht wie erwartet funktionieren.

Gruppentypen

TypZweck
SicherheitsgruppeFür Berechtigungen auf Ressourcen (Freigaben, Drucker, GPOs)
VerteilergruppeNur für E-Mail-Verteilerlisten (Exchange/Outlook)

Im Alltag arbeitest du fast ausschliesslich mit Sicherheitsgruppen.

Gruppenscope (Geltungsbereich)

ScopeMitglieder ausVerwendbar inGeeignet für
Domain LocalBeliebige Domäne der ForestNur eigene DomäneBerechtigungen auf lokale Ressourcen
GlobalNur eigene DomäneBeliebige DomäneBenutzer nach Funktion gruppieren
UniversalBeliebige Domäne der ForestBeliebige DomäneForest-weite Gruppen, GK-abhängig

Empfohlenes Muster für KMU mit einer Domäne (AGDLP-Prinzip):

Account → Global Group → Domain Local Group → Permission (Ressource)

Konkret: User mmuster ist in der globalen Gruppe GG-IT-Mitarbeiter. Diese ist Mitglied der domänenlokalen Gruppe DL-Freigabe-Projekte-Lesen. Diese Gruppe bekommt die Leseberechtigung auf \\server\Projekte.

Klingt komplex, macht aber die Verwaltung massiv einfacher, wenn 20 Mitarbeiter kommen und gehen.


Gruppen erstellen und befüllen

In ADUC

  1. Rechtsklick auf OU > Neu > Gruppe
  2. Gruppenname, Scope und Typ festlegen
  3. Gruppe öffnen > Reiter Mitglieder > Hinzufügen
  4. User-Namen eingeben, Namen überprüfen anklicken, dann OK

Oder andersherum: User-Objekt öffnen > Reiter Mitglied von > Hinzufügen

Per PowerShell

# Gruppe erstellen
New-ADGroup `
  -Name "GG-IT-Mitarbeiter" `
  -GroupScope Global `
  -GroupCategory Security `
  -Path "OU=Gruppen,DC=firma,DC=local" `
  -Description "Alle IT-Mitarbeiter"

# User zur Gruppe hinzufügen
Add-ADGroupMember -Identity "GG-IT-Mitarbeiter" -Members "mmuster", "jschmidt"

# Mitglieder einer Gruppe anzeigen
Get-ADGroupMember -Identity "GG-IT-Mitarbeiter" | Select-Object Name, SamAccountName

# Alle Gruppen eines Users anzeigen
Get-ADPrincipalGroupMembership -Identity "mmuster" | Select-Object Name

# User aus Gruppe entfernen
Remove-ADGroupMember -Identity "GG-IT-Mitarbeiter" -Members "mmuster" -Confirm:$false

Tägliche Verwaltungsaufgaben

Passwort zurücksetzen

ADUC: Rechtsklick auf User > Kennwort zurücksetzen > neues Passwort eingeben + “Benutzer muss Kennwort bei nächster Anmeldung ändern” setzen.

# Passwort zurücksetzen
Set-ADAccountPassword `
  -Identity "mmuster" `
  -Reset `
  -NewPassword (ConvertTo-SecureString "NeuesTemp@2026!" -AsPlainText -Force)

# Gleichzeitig erzwingen, dass er es beim Login ändern muss
Set-ADUser -Identity "mmuster" -ChangePasswordAtLogon $true

Konto entsperren

Gesperrte Konten entstehen durch fehlgeschlagene Login-Versuche (Passwort vergessen, altes Passwort im Handy hinterlegt, etc.).

ADUC: User > Eigenschaften > Reiter Konto > Haken bei “Konto ist gesperrt” entfernen

# Einzelnes Konto entsperren
Unlock-ADAccount -Identity "mmuster"

# Alle gesperrten Konten auf einmal finden
Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut

# Alle gesperrten Konten entsperren (vorsichtig einsetzen!)
Search-ADAccount -LockedOut | Unlock-ADAccount

Konto deaktivieren und reaktivieren

# Deaktivieren (z.B. beim Offboarding)
Disable-ADAccount -Identity "mmuster"

# Reaktivieren (z.B. nach Rückkehr aus Elternzeit)
Enable-ADAccount -Identity "mmuster"

# Alle deaktivierten Accounts anzeigen
Get-ADUser -Filter {Enabled -eq $false} | Select-Object Name, SamAccountName

Kontoablauf setzen

Nützlich für befristete Anstellungen oder externe Dienstleister:

# Konto läuft am 31.12.2026 ab
Set-ADAccountExpiration -Identity "mmuster" -DateTime "2026-12-31"

# Ablauf entfernen
Clear-ADAccountExpiration -Identity "mmuster"

Offboarding-Checkliste

Wenn ein Mitarbeiter das Unternehmen verlässt, ist eine geordnete Vorgehensweise wichtig:

  1. AD-Konto deaktivieren (nicht löschen!)
  2. Passwort zurücksetzen (verhindert, dass die Person weiter einloggen kann, selbst wenn sie das Passwort noch kennt)
  3. Aus Gruppen entfernen oder Gruppen mit zu viel Zugriff prüfen
  4. Postfach weiterleiten oder als Shared Mailbox umwandeln (Exchange/M365)
  5. Home-Verzeichnis sichern und ggf. auf Nachfolger übertragen
  6. Kontoablauf setzen als Sicherheitsnetz
  7. Nach 30-60 Tagen: Konto endgültig löschen, Mailbox archivieren
# Schnell-Offboarding per PowerShell
$user = "mmuster"

Disable-ADAccount -Identity $user
Set-ADAccountPassword -Identity $user -Reset `
    -NewPassword (ConvertTo-SecureString ([System.Web.Security.Membership]::GeneratePassword(20,4)) -AsPlainText -Force)

# Aus allen Gruppen entfernen (ausser "Domain Users", das geht eh nicht)
Get-ADPrincipalGroupMembership -Identity $user |
    Where-Object {$_.Name -ne "Domain Users"} |
    ForEach-Object { Remove-ADGroupMember -Identity $_.Name -Members $user -Confirm:$false }

Write-Host "Offboarding $user abgeschlossen." -ForegroundColor Green

Suchen und Filtern in AD

# User mit bestimmtem Attribut suchen
Get-ADUser -Filter {Department -eq "IT"} -Properties Department | Select-Object Name, Department

# User, die sich in den letzten 90 Tagen nicht angemeldet haben
$cutoff = (Get-Date).AddDays(-90)
Get-ADUser -Filter {LastLogonDate -lt $cutoff -and Enabled -eq $true} `
    -Properties LastLogonDate | Select-Object Name, LastLogonDate | Sort-Object LastLogonDate

# User in einer bestimmten OU
Get-ADUser -SearchBase "OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local" -Filter * |
    Select-Object Name, SamAccountName

# Alle Mitglieder einer Gruppe inkl. verschachtelter Gruppen
Get-ADGroupMember -Identity "GG-IT-Mitarbeiter" -Recursive | Select-Object Name

Troubleshooting häufiger Probleme

User kann sich nicht anmelden

SymptomMögliche UrsacheLösung
”Ihr Konto ist deaktiviert”Konto deaktiviertEnable-ADAccount
”Das Kennwort ist falsch”Tippfehler oder abgelaufenPasswort prüfen/zurücksetzen
”Dieses Konto ist gesperrt”Zu viele FehlversucheUnlock-ADAccount
”Kein Anmeldeserver verfügbar”DC nicht erreichbarDNS prüfen, DC-Dienste testen
Konto läuft ab / abgelaufenAblaufdatum erreichtClear-ADAccountExpiration

Berechtigungen wirken nicht

  1. Gruppenrichtlinien neu einlesen: gpupdate /force auf dem Client
  2. Token-Problem: Der Sicherheitstoken eines Benutzers wird bei der Anmeldung erstellt. Wenn du nach dem Gruppenhinzufügen keine Wirkung siehst, muss sich der User ab- und wieder anmelden (neuer Token mit aktuellen Gruppenmitgliedschaften)
  3. Verschachtelung prüfen: Get-ADPrincipalGroupMembership -Identity mmuster -Recursive
  4. NTFS vs. Share-Berechtigungen: Beide Ebenen müssen passen (siehe Dateifreigaben & Berechtigungen)

Replikationsprobleme zwischen DCs

# Replikationsstatus prüfen
repadmin /showrepl

# Replikation erzwingen
repadmin /syncall /AdeP

Weiterlernen

Passende Wiki-Seiten: AD Grundlagen | GPO Grundlagen | PowerShell IT-Alltag | Dateifreigaben & Berechtigungen

Kommentare

Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.

  • Lade Kommentare …
Kommentar schreiben