Active Directory – User & Gruppen verwalten
Benutzer anlegen, Gruppen richtig einsetzen und Konten via GUI oder PowerShell verwalten – das tägliche AD-Handwerk für IT-Allrounder im KMU.
Voraussetzungen und Einstieg
Bevor du loslegen kannst, brauchst du auf deinem Admin-PC die Remote Server Administration Tools (RSAT) mit der AD-DS-Komponente. Auf Windows 10/11 installierst du sie über:
Einstellungen > Apps > Optionale Features > Feature hinzufügen > “RSAT: Active Directory Domain Services”
Oder per PowerShell (als Admin):
Add-WindowsCapability -Online -Name Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Danach erreichst du die wichtigsten Tools per Win+R:
| Befehl | Tool |
|---|---|
dsa.msc | Active Directory-Benutzer und -Computer (ADUC) |
gpmc.msc | Gruppenrichtlinienverwaltung |
adac | Active Directory-Verwaltungscenter (moderner, empfohlen) |
adsiedit.msc | ADSI-Editor (Low-Level, für Spezialfälle) |
Für die meisten Alltagsaufgaben arbeitest du in dsa.msc. Für PowerShell-Aufgaben benötigst du das ActiveDirectory-Modul – es ist nach der RSAT-Installation automatisch verfügbar.
Benutzer anlegen
Schritt-für-Schritt in ADUC
dsa.mscöffnen- In der Domänenstruktur zur richtigen OU (Organizational Unit) navigieren, z.B.
firma.local > Benutzer > Mitarbeiter - Rechtsklick auf die OU > Neu > Benutzer
- Felder ausfüllen:
- Vorname / Nachname – korrekte Schreibweise, denn das ist der Anzeigename
- Benutzeranmeldungsname (UPN):
mmuster@firma.local– das ist das Login-Kürzel - Pre-Windows 2000-Anmeldename:
mmuster– muss eindeutig in der Domäne sein
- Passwort setzen und “Benutzer muss Kennwort bei der nächsten Anmeldung ändern” aktivieren
- Fertigstellen
Per PowerShell anlegen
# Minimales Anlegen eines Benutzers
New-ADUser `
-Name "Max Muster" `
-GivenName "Max" `
-Surname "Muster" `
-SamAccountName "mmuster" `
-UserPrincipalName "mmuster@firma.local" `
-Path "OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local" `
-AccountPassword (ConvertTo-SecureString "Temp@Pass123!" -AsPlainText -Force) `
-ChangePasswordAtLogon $true `
-Enabled $true
# Prüfen ob der User angelegt wurde
Get-ADUser -Identity "mmuster" | Select-Object Name, Enabled, UserPrincipalName
Bulk-Import per CSV
Wenn du mehrere User auf einmal anlegen musst (z.B. Onboarding nach Betriebsübernahme), lohnt sich ein CSV-Import:
# CSV-Datei: Name,Vorname,Nachname,OU
# z.B.: mmuster,Max,Muster,"OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local"
Import-Csv "C:\Temp\neue_user.csv" | ForEach-Object {
New-ADUser `
-SamAccountName $_.Name `
-GivenName $_.Vorname `
-Surname $_.Nachname `
-Name "$($_.Vorname) $($_.Nachname)" `
-UserPrincipalName "$($_.Name)@firma.local" `
-Path $_.OU `
-AccountPassword (ConvertTo-SecureString "Willkommen1!" -AsPlainText -Force) `
-ChangePasswordAtLogon $true `
-Enabled $true
}
Gruppentypen und Gruppenscope verstehen
Das ist der Teil, den viele überspringen – und dann wundern sie sich, warum Berechtigungen nicht wie erwartet funktionieren.
Gruppentypen
| Typ | Zweck |
|---|---|
| Sicherheitsgruppe | Für Berechtigungen auf Ressourcen (Freigaben, Drucker, GPOs) |
| Verteilergruppe | Nur für E-Mail-Verteilerlisten (Exchange/Outlook) |
Im Alltag arbeitest du fast ausschliesslich mit Sicherheitsgruppen.
Gruppenscope (Geltungsbereich)
| Scope | Mitglieder aus | Verwendbar in | Geeignet für |
|---|---|---|---|
| Domain Local | Beliebige Domäne der Forest | Nur eigene Domäne | Berechtigungen auf lokale Ressourcen |
| Global | Nur eigene Domäne | Beliebige Domäne | Benutzer nach Funktion gruppieren |
| Universal | Beliebige Domäne der Forest | Beliebige Domäne | Forest-weite Gruppen, GK-abhängig |
Empfohlenes Muster für KMU mit einer Domäne (AGDLP-Prinzip):
Account → Global Group → Domain Local Group → Permission (Ressource)
Konkret: User mmuster ist in der globalen Gruppe GG-IT-Mitarbeiter. Diese ist Mitglied der domänenlokalen Gruppe DL-Freigabe-Projekte-Lesen. Diese Gruppe bekommt die Leseberechtigung auf \\server\Projekte.
Klingt komplex, macht aber die Verwaltung massiv einfacher, wenn 20 Mitarbeiter kommen und gehen.
Gruppen erstellen und befüllen
In ADUC
- Rechtsklick auf OU > Neu > Gruppe
- Gruppenname, Scope und Typ festlegen
- Gruppe öffnen > Reiter Mitglieder > Hinzufügen
- User-Namen eingeben, Namen überprüfen anklicken, dann OK
Oder andersherum: User-Objekt öffnen > Reiter Mitglied von > Hinzufügen
Per PowerShell
# Gruppe erstellen
New-ADGroup `
-Name "GG-IT-Mitarbeiter" `
-GroupScope Global `
-GroupCategory Security `
-Path "OU=Gruppen,DC=firma,DC=local" `
-Description "Alle IT-Mitarbeiter"
# User zur Gruppe hinzufügen
Add-ADGroupMember -Identity "GG-IT-Mitarbeiter" -Members "mmuster", "jschmidt"
# Mitglieder einer Gruppe anzeigen
Get-ADGroupMember -Identity "GG-IT-Mitarbeiter" | Select-Object Name, SamAccountName
# Alle Gruppen eines Users anzeigen
Get-ADPrincipalGroupMembership -Identity "mmuster" | Select-Object Name
# User aus Gruppe entfernen
Remove-ADGroupMember -Identity "GG-IT-Mitarbeiter" -Members "mmuster" -Confirm:$false
Tägliche Verwaltungsaufgaben
Passwort zurücksetzen
ADUC: Rechtsklick auf User > Kennwort zurücksetzen > neues Passwort eingeben + “Benutzer muss Kennwort bei nächster Anmeldung ändern” setzen.
# Passwort zurücksetzen
Set-ADAccountPassword `
-Identity "mmuster" `
-Reset `
-NewPassword (ConvertTo-SecureString "NeuesTemp@2026!" -AsPlainText -Force)
# Gleichzeitig erzwingen, dass er es beim Login ändern muss
Set-ADUser -Identity "mmuster" -ChangePasswordAtLogon $true
Konto entsperren
Gesperrte Konten entstehen durch fehlgeschlagene Login-Versuche (Passwort vergessen, altes Passwort im Handy hinterlegt, etc.).
ADUC: User > Eigenschaften > Reiter Konto > Haken bei “Konto ist gesperrt” entfernen
# Einzelnes Konto entsperren
Unlock-ADAccount -Identity "mmuster"
# Alle gesperrten Konten auf einmal finden
Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut
# Alle gesperrten Konten entsperren (vorsichtig einsetzen!)
Search-ADAccount -LockedOut | Unlock-ADAccount
Konto deaktivieren und reaktivieren
# Deaktivieren (z.B. beim Offboarding)
Disable-ADAccount -Identity "mmuster"
# Reaktivieren (z.B. nach Rückkehr aus Elternzeit)
Enable-ADAccount -Identity "mmuster"
# Alle deaktivierten Accounts anzeigen
Get-ADUser -Filter {Enabled -eq $false} | Select-Object Name, SamAccountName
Kontoablauf setzen
Nützlich für befristete Anstellungen oder externe Dienstleister:
# Konto läuft am 31.12.2026 ab
Set-ADAccountExpiration -Identity "mmuster" -DateTime "2026-12-31"
# Ablauf entfernen
Clear-ADAccountExpiration -Identity "mmuster"
Offboarding-Checkliste
Wenn ein Mitarbeiter das Unternehmen verlässt, ist eine geordnete Vorgehensweise wichtig:
- AD-Konto deaktivieren (nicht löschen!)
- Passwort zurücksetzen (verhindert, dass die Person weiter einloggen kann, selbst wenn sie das Passwort noch kennt)
- Aus Gruppen entfernen oder Gruppen mit zu viel Zugriff prüfen
- Postfach weiterleiten oder als Shared Mailbox umwandeln (Exchange/M365)
- Home-Verzeichnis sichern und ggf. auf Nachfolger übertragen
- Kontoablauf setzen als Sicherheitsnetz
- Nach 30-60 Tagen: Konto endgültig löschen, Mailbox archivieren
# Schnell-Offboarding per PowerShell
$user = "mmuster"
Disable-ADAccount -Identity $user
Set-ADAccountPassword -Identity $user -Reset `
-NewPassword (ConvertTo-SecureString ([System.Web.Security.Membership]::GeneratePassword(20,4)) -AsPlainText -Force)
# Aus allen Gruppen entfernen (ausser "Domain Users", das geht eh nicht)
Get-ADPrincipalGroupMembership -Identity $user |
Where-Object {$_.Name -ne "Domain Users"} |
ForEach-Object { Remove-ADGroupMember -Identity $_.Name -Members $user -Confirm:$false }
Write-Host "Offboarding $user abgeschlossen." -ForegroundColor Green
Suchen und Filtern in AD
# User mit bestimmtem Attribut suchen
Get-ADUser -Filter {Department -eq "IT"} -Properties Department | Select-Object Name, Department
# User, die sich in den letzten 90 Tagen nicht angemeldet haben
$cutoff = (Get-Date).AddDays(-90)
Get-ADUser -Filter {LastLogonDate -lt $cutoff -and Enabled -eq $true} `
-Properties LastLogonDate | Select-Object Name, LastLogonDate | Sort-Object LastLogonDate
# User in einer bestimmten OU
Get-ADUser -SearchBase "OU=Mitarbeiter,OU=Benutzer,DC=firma,DC=local" -Filter * |
Select-Object Name, SamAccountName
# Alle Mitglieder einer Gruppe inkl. verschachtelter Gruppen
Get-ADGroupMember -Identity "GG-IT-Mitarbeiter" -Recursive | Select-Object Name
Troubleshooting häufiger Probleme
User kann sich nicht anmelden
| Symptom | Mögliche Ursache | Lösung |
|---|---|---|
| ”Ihr Konto ist deaktiviert” | Konto deaktiviert | Enable-ADAccount |
| ”Das Kennwort ist falsch” | Tippfehler oder abgelaufen | Passwort prüfen/zurücksetzen |
| ”Dieses Konto ist gesperrt” | Zu viele Fehlversuche | Unlock-ADAccount |
| ”Kein Anmeldeserver verfügbar” | DC nicht erreichbar | DNS prüfen, DC-Dienste testen |
| Konto läuft ab / abgelaufen | Ablaufdatum erreicht | Clear-ADAccountExpiration |
Berechtigungen wirken nicht
- Gruppenrichtlinien neu einlesen:
gpupdate /forceauf dem Client - Token-Problem: Der Sicherheitstoken eines Benutzers wird bei der Anmeldung erstellt. Wenn du nach dem Gruppenhinzufügen keine Wirkung siehst, muss sich der User ab- und wieder anmelden (neuer Token mit aktuellen Gruppenmitgliedschaften)
- Verschachtelung prüfen:
Get-ADPrincipalGroupMembership -Identity mmuster -Recursive - NTFS vs. Share-Berechtigungen: Beide Ebenen müssen passen (siehe Dateifreigaben & Berechtigungen)
Replikationsprobleme zwischen DCs
# Replikationsstatus prüfen
repadmin /showrepl
# Replikation erzwingen
repadmin /syncall /AdeP
Weiterlernen
- Microsoft Learn: Verwalten von Benutzerkonten in ADUC
- Microsoft Learn: Active Directory-Sicherheitsgruppen
- Microsoft Learn: New-ADUser (PowerShell Referenz)
- Microsoft Learn: Add-ADGroupMember (PowerShell Referenz)
- WindowsPro: Globale, domänenlokale und universale Gruppen erklärt
- Petri: Manage Active Directory Groups Using PowerShell
Passende Wiki-Seiten: AD Grundlagen | GPO Grundlagen | PowerShell IT-Alltag | Dateifreigaben & Berechtigungen
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …