Definieren von Benutzern, Gruppen und Computern

10 Minuten

In AD DS müssen Sie allen Benutzer*innen, die Zugriff auf Netzwerkressourcen benötigen, ein Benutzerkonto bereitstellen. Mit diesem Benutzerkonto können sich Benutzer bei der AD DS-Domäne authentifizieren und auf Netzwerkressourcen zugreifen.

Unter Windows Server ist ein Benutzerkonto ein Objekt, das alle Informationen enthält, die einen Benutzer beschreiben. Ein Benutzerkonto umfasst Folgendes:

Benutzername
Benutzerkennwort
Gruppenmitgliedschaften

Ein Benutzerkonto enthält auch Einstellungen, die Sie entsprechend den Anforderungen Ihrer Organisation konfigurieren können.

Screenshot: Benutzerkonto von Jane Dow im Active Directory-Verwaltungscenter

Benutzername und Kennwort eines Benutzerkontos dienen als Anmeldeinformationen für den Benutzer. Ein Benutzerobjekt enthält auch verschiedene andere Attribute, die zur Beschreibung und Verwaltung des Benutzer dienen. Sie können die folgenden Tools verwenden, um Benutzerobjekte in AD DS zu erstellen und verwalten:

Active Directory-Verwaltungscenter
Active Directory-Benutzer und -Computer
Windows Admin Center
Windows PowerShell
Das Befehlszeilentool „dsadd“.

Was sind verwaltete Dienstkonten?

Viele Apps enthalten Dienste, die Sie auf dem Server installieren, der das Programm hostet. Diese Dienste werden in der Regel beim Start des Servers ausgeführt oder durch andere Ereignisse ausgelöst. Dienste werden häufig im Hintergrund ausgeführt und erfordern keine Benutzerinteraktion. Damit ein Dienst gestartet und authentifiziert werden kann, verwenden Sie ein Dienstkonto. Ein Dienstkonto kann ein lokales Konto auf dem Computer sein (z. B. das lokale Dienstkonto, das Netzwerkdienstkonto oder das lokale Systemkonto, die alle bereits integriert sind). Sie können ein Dienstkonto auch so konfigurieren, dass ein domänenbasiertes Konto in AD DS verwendet wird.

Um eine zentrale Verwaltung zu unterstützen und die Programmanforderungen zu erfüllen, entscheiden sich viele Organisationen zum Ausführen von Programmdiensten für ein domänenbasiertes Konto. Auch wenn dies einen gewissen Vorteil gegenüber lokalen Konten bietet, gibt es eine Reihe von Problemen. Dazu zählen:

Für die sichere Verwaltung des Dienstkontokennworts kann zusätzlicher Verwaltungsaufwand erforderlich sein.
Die Bestimmung, an welcher Stelle ein domänenbasiertes Konto als Dienstkonto verwendet wird, kann schwierig sein.
Zum Verwalten dies Dienstprinzipalnamens (Service Principal Name, SPN) kann zusätzlicher Verwaltungsaufwand erforderlich sein.

Windows Server unterstützt ein AD DS-Objekt namens „Verwaltetes Dienstkonto“, das zur Vereinfachung der Dienstkontoverwaltung verwendet wird. Ein verwaltetes Dienstkonto ist eine AD DS-Objektklasse, die Folgendes ermöglicht:

Einfache Kennwortverwaltung
Einfache Verwaltung des Dienstprinzipalnamens (SPN)

Was sind gruppenverwaltete Dienstkonten?

Gruppenverwaltete Dienstkonten bieten die Möglichkeit, die Funktionen von standardmäßigen verwalteten Dienstkonten auf mehrere Server in Ihrer Domäne auszuweiten. Bei Szenarien mit Serverfarmen und NLB-Clustern (Network Load Balancing, Netzwerklastenausgleich) oder IIS-Servern ist es häufig erforderlich, System- oder Programmdienste mit demselben Dienstkonto auszuführen. Standardmäßige verwaltete Dienstkonten können Diensten, die auf mehr als einem Server ausgeführt werden, die Funktion „Verwaltetes Dienstkonto“ nicht bereitstellen. Durch die Verwendung von gruppenverwalteten Dienstkonten können Sie mehrere Server so konfigurieren, dass sie dasselbe verwaltete Dienstkonto verwenden, und so weiterhin von den Vorteilen profitieren, die verwaltete Dienstkonten bieten (z. B. automatische Kennwortpflege und die vereinfachte SPN-Verwaltung).

Zur Unterstützung der Funktionalität des gruppenverwalteten Dienstkontos muss Ihre Umgebung die folgenden Anforderungen erfüllen:

Sie müssen auf einem Domänencontroller in der Domäne einen KDS-Stammschlüssel erstellen.

Führen Sie zum Erstellen des KDS-Stammschlüssels auf einem Windows Server-Domänencontroller den folgenden Befehl aus dem Active Directory-Modul für Windows PowerShell aus:

Add-KdsRootKey –EffectiveImmediately

Gruppenverwaltete Dienstkonten werden mithilfe des Windows PowerShell-Cmdlets New-ADServiceAccount und dem Parameter –PrinicipalsAllowedToRetrieveManagedPassword erstellt.

Beispiel:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

Was sind Gruppenobjekte?

Auch wenn es in kleinen Netzwerken praktisch erscheint, Berechtigungen und Rechte einzelnen Benutzerkonten zuzuweisen, ist dies in großen Unternehmensnetzwerken nicht mehr praktikabel und ineffizient.

Wenn beispielsweise mehrere Benutzer die gleiche Zugriffsebene für einen Ordner benötigen, ist es effizienter, eine Gruppe zu erstellen, welche die entsprechenden Benutzerkonten enthält, und dann der Gruppe die erforderlichen Berechtigungen zuzuweisen.

Tipp

Außerdem ist es ein weiterer Vorteil, dass Sie Dateiberechtigungen von Benutzern durch Hinzufügen des jeweiligen Benutzers zur Gruppe oder Entfernen des Benutzers aus der Gruppe ändern können und sie nicht direkt bearbeiten müssen.

Bevor Sie Gruppen in Ihrer Organisation implementieren, müssen Sie den Geltungsbereich verschiedener AD DS-Gruppentypen verstehen. Außerdem müssen Sie wissen, wie Sie Gruppentypen zum Verwalten des Zugriffs auf Ressourcen oder zum Zuweisen von Verwaltungsrechten und Zuständigkeiten verwenden.

Screenshot: Dialogfeld „Gruppe erstellen > Vertriebsleiter“ im Windows Admin Center

Gruppentypen

In einem Windows Server-Unternehmensnetzwerk gibt es zwei Arten von Gruppen, die in der folgenden Tabelle beschrieben werden.

Gruppentyp	Beschreibung
Sicherheit	Sicherheitsgruppen sind Gruppen mit aktivierter Sicherheit und werden zum Zuweisen von Berechtigungen für verschiedene Ressourcen verwendet. Sie können Sicherheitsgruppen für Berechtigungseinträge in Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Sicherheit beim Zugriff auf Ressourcen besser steuern zu können. Wenn Sie eine Gruppe zum Verwalten der Sicherheit verwenden möchten, muss es sich um eine Sicherheitsgruppe handeln.
Vertrieb	Für E-Mail-Anwendungen werden normalerweise Verteilergruppen ohne aktivierte Sicherheit verwendet. Sie können aber auch Sicherheitsgruppen für die Verteilung von E-Mail-Anwendungen verwenden.

Gruppentyp

Beschreibung

Sicherheit

Sicherheitsgruppen sind Gruppen mit aktivierter Sicherheit und werden zum Zuweisen von Berechtigungen für verschiedene Ressourcen verwendet. Sie können Sicherheitsgruppen für Berechtigungseinträge in Zugriffssteuerungslisten (Access Control Lists, ACLs) verwenden, um die Sicherheit beim Zugriff auf Ressourcen besser steuern zu können. Wenn Sie eine Gruppe zum Verwalten der Sicherheit verwenden möchten, muss es sich um eine Sicherheitsgruppe handeln.

Vertrieb

Für E-Mail-Anwendungen werden normalerweise Verteilergruppen ohne aktivierte Sicherheit verwendet. Sie können aber auch Sicherheitsgruppen für die Verteilung von E-Mail-Anwendungen verwenden.

Geltungsbereiche von Gruppen

Windows Server unterstützt die Bereichsdefinition von Gruppen. Der Geltungsbereich einer Gruppe bestimmt sowohl den Umfang der Funktionen der Gruppe als auch die Berechtigungen und die Gruppenmitgliedschaft. Es gibt vier Gruppengeltungsbereiche.

Lokal Dieser Gruppentyp wird für eigenständige Server oder Arbeitsstationen, für Server, die Domänenmitglied, aber keine Domänencontroller sind, oder für Arbeitsstationen, die Domänenmitglied sind, verwendet. Lokale Gruppen sind nur auf den Computern verfügbar, auf denen sie vorhanden sind. Die wichtigsten Merkmale einer lokalen Gruppe:
- Sie können Funktionen und Berechtigungen nur lokalen Ressourcen (d. h. auf dem lokalen Computer) zuweisen.
- Mitglieder können von jeder Stelle der AD DS-Gesamtstruktur stammen.
Lokal (in Domäne) Dieser Gruppentyp wird primär zum Verwalten des Zugriffs auf Ressourcen oder zum Zuweisen von Verwaltungsrechten und Zuständigkeiten verwendet. Lokale Domänengruppen befinden sich auf Domänencontrollern in einer AD DS-Domäne. Daher handelt es sich bei dem Geltungsbereich der Gruppe für die Domäne, in der sie sich befindet, um einen lokalen Bereich. Die wichtigsten Merkmale von lokalen Domänengruppen:
- Sie können Funktionen und Berechtigungen nur lokalen Domänenressourcen (d. h. auf allen Computern in der lokalen Domäne) zuweisen.
- Mitglieder können von jeder Stelle der AD DS-Gesamtstruktur stammen.
Global. Dieser Gruppentyp wird hauptsächlich verwendet, um Benutzer mit ähnlichen Merkmalen zu konsolidieren. Beispielsweise können Sie globale Gruppen zum Einbinden von Benutzern verwenden, die zu einer Abteilung oder einem geografischen Standort gehören. Die wichtigsten Merkmale von globalen Gruppen:
- Sie können überall in der Gesamtstruktur Funktionen und Berechtigungen zuweisen.
- Mitglieder können nur aus der lokalen Domäne stammen und Benutzer, Computer und globale Gruppen aus der lokalen Domäne beinhalten.
Universal Dieser Gruppentyp wird am häufigsten in Netzwerken mit mehreren Domänen verwendet, da er die Merkmale von lokalen Domänengruppen und globalen Gruppen vereint. Zu den wichtigen Merkmalen universeller Gruppen zählen ganz besonders folgende:
- Sie können überall im Wald Fähigkeiten und Berechtigungen zuweisen, ähnlich wie bei globalen Gruppen.
- Mitglieder können von jeder Stelle der AD DS-Gesamtstruktur stammen.

Was sind Computerobjekte?

Computer sind (wie Benutzer) Sicherheitsprinzipale, da sie folgende Merkmale aufweisen:

Sie verfügen über ein Konto mit einem Anmeldenamen und einem Kennwort, das von Windows regelmäßig und automatisch geändert wird.
Sie authentifizieren sich bei der Domäne.
Sie können zu Gruppen gehören, auf Ressourcen zugreifen und mithilfe von Gruppenrichtlinien konfiguriert werden.

Der Lebenszyklus eines Computerkontos beginnt, wenn Sie das Computerobjekt erstellen und in die Domäne einbinden. Nach dem Einbinden des Computerkontos in Ihre Domäne zählen folgende Aufgaben zu den alltäglichen Verwaltungsaufgaben:

Konfigurieren von Computereigenschaften
Verschieben des Computers zwischen Organisationseinheiten
Verwalten des Computers selbst
Umbenennen, Zurücksetzen, Deaktivieren, Aktivieren und schließlich Löschen des Computerobjekts

Screenshot: Dialogfeld „Computer erstellen > SEA-CL5“ im Active Directory-Verwaltungscenter

Computer-Container

Bevor Sie in AD DS ein Computerobjekt erstellen, müssen Sie wissen, wo es gespeichert werden soll. Der Container „Computer“ ist ein integrierter Container in einer AD DS-Domäne. Dieser Container ist der Standardspeicherort für die Computerkonten, wenn ein Computer der Domäne beitritt.

Dieser Container ist keine Organisationseinheit. Stattdessen handelt es sich um ein Objekt der Container-Klasse. Der allgemeine Name lautet „CN=Computers“. Es gibt feine, aber wichtige Unterschiede zwischen einem Container und einer Organisationseinheit. Sie können in einem Container keine OU erstellen, also können Sie den Container „Computer“ nicht unterteilen. Sie können mit einem Container auch kein Gruppenrichtlinienobjekt verknüpfen. Daher empfiehlt es sich, benutzerdefinierte Organisationseinheiten zum Hosten von Computerobjekten zu erstellen und nicht den Container „Computer“ zu verwenden.

Feedback

War diese Seite hilfreich?