Introduction to Active Directory Administrative Center Enhancements (Level 100)

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Das Active Directory-Verwaltungscenter in Windows Server enthält Verwaltungsfunktionen für folgende Elemente:

Active Directory-Papierkorb

Versehentliches Löschen von Active Directory-Objekten kommt bei Benutzern von AD DS (Active Directory Domain Services) und AD LDS (Active Directory Lightweight Directory Services) häufig vor. In Windows Server-Versionen vor Windows Server 2008 R2 konnten versehentlich gelöschte Objekte in Active Directory wiederhergestellt werden. Allerdings hatten die verschiedenen Ansätze Vor- und Nachteile.

In Windows Server 2008 konnten Sie mit der Windows Server-Sicherung und dem autorisierenden Wiederherstellungsbefehl ntdsutil Objekte als autorisierend kennzeichnen, um sicherzustellen, dass die wiederhergestellten Daten innerhalb der gesamten Domäne repliziert werden. Der Nachteil des Ansatzes zur autorisierenden Wiederherstellung lag darin, dass dieser im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) ausgeführt werden musste. Während des Verzeichnisdienst-Wiederherstellungsmodus musste der wiederherzustellende Domänencontroller offline bleiben. Deshalb war er nicht in der Lage, Clientanforderungen zu verarbeiten.

In Windows Server 2003 Active Directory und Windows Server 2008 AD DS konnten Sie gelöschte Active Directory-Objekte mittels Wiederbelebung veralteter Objekte (Tombstone-Wiederbelebung) wiederherstellen. Attribute mit verknüpften Werten von wiederbelebten Objekten (beispielsweise Gruppenmitgliedschaften von Benutzerkonten), die physisch entfernt wurden, sowie Attribute mit nicht verknüpften Werten, die gelöscht wurden, wurden jedoch nicht wiederhergestellt. Deshalb konnten sich Administratoren bei versehentlich gelöschten Objekten nicht auf die Wiederbelebung von veralteten Objekten als ultimative Lösung verlassen. Weitere Informationen zur Wiederbelebung veralteter Objekte finden Sie unter Reanimating Active Directory Tombstone Objects.

Der Active Directory-Papierkorb baut ab Windows Server 2008 R2 auf der vorhandenen Infrastruktur zur Wiederbelebung veralteter Objekte auf und räumt Ihnen mehr Möglichkeiten ein, versehentlich gelöschte Active Directory-Objekte zu erhalten und wiederherzustellen.

Wenn Sie den Active Directory-Papierkorb aktivieren, bleiben alle Attribute mit verknüpften Werten und mit nicht verknüpften Werten der gelöschten Active Directory-Objekte erhalten, und die Objekte werden vollständig in ihrem durchgängig logischen Zustand, den sie vor dem Löschen aufwiesen, wiederhergestellt. So erhalten beispielsweise wiederhergestellte Benutzerkonten automatisch alle Gruppenmitgliedschaften und entsprechenden Zugriffsrechte zurück, die sie unmittelbar vor dem Löschen sowohl innerhalb als auch zwischen den Domänen innehatten. Der Active Directory-Papierkorb kann in AD DS- und in AD LDS-Umgebungen verwendet werden. Eine ausführliche Beschreibung des Active Directory-Papierkorbs finden Sie unter What's New in AD DS: Active Directory Recycle Bin.

Neuigkeiten In Windows Server 2012 und höher wurde der Active Directory-Papierkorb mit einer neuen grafischen Benutzeroberfläche versehen, in der gelöschte Objekte verwaltet und wiederhergestellt werden können. Benutzer können gelöschte Objekte jetzt in einer Liste anzeigen und an ihren ursprünglichen oder an neuen Standorten wiederherstellen.

Wenn Sie beabsichtigen, den Active Directory-Papierkorb in Windows Server zu aktivieren, sollten Sie Folgendes beachten:

  • In der Standardeinstellung ist der Active Directory-Papierkorb deaktiviert. Zum Aktivieren müssen Sie die Funktionsebene der Gesamtstruktur Ihrer AD DS- oder AD LDS-Umgebung zunächst auf Windows Server 2008 R2 oder höher heraufstufen. Dazu ist es wiederum erforderlich, dass alle Domänencontroller in der Gesamtstruktur oder alle Server, die Instanzen von AD LDS-Konfigurationssätzen hosten, Windows Server 2008 R2 oder höher ausführen.

  • Das Aktivieren des Active Directory-Papierkorbs kann nicht mehr rückgängig gemacht werden. Nachdem Sie den Active Directory-Papierkorb in Ihrer Umgebung aktiviert haben, können Sie ihn nicht mehr deaktivieren.

  • Zum Verwalten des Papierkorbs über eine Benutzeroberfläche müssen Sie die Version des Active Directory-Verwaltungscenters in Windows Server 2012 installieren.

    Hinweis

    Sie können den Server-Manager verwenden, um die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) zu installieren, damit der Papierkorb mit der richtigen Version des Active Directory-Verwaltungscenters über eine Benutzeroberfläche verwaltet werden kann.

    Informationen zum Installieren von RSAT finden Sie im Artikel Remoteserver-Verwaltungstools.

Schrittweise Anleitung für den Active Directory-Papierkorb

In den folgenden Schritten verwenden Sie das Active Directory-Verwaltungscenter (ADAC), um die folgenden Aufgaben für den Active Directory-Papierkorb in Windows Server 2012 durchzuführen:

Hinweis

Um die folgenden Schritte durchführen zu können, müssen Sie Mitglied in der Gruppe der Unternehmensadministratoren sein oder über gleichwertige Berechtigungen verfügen.

Schritt 1: Heraufstufen der Gesamtstrukturfunktionsebene

In diesem Schritt werden Sie die Funktionsebene der Gesamtstruktur heraufstufen. Bevor Sie den Active Directory-Papierkorb aktivieren, müssen Sie die Funktionsebene für die Zielgesamtstruktur mindestens auf Windows Server 2008 R2 erhöhen.

So stufen Sie die Funktionsebene für die Zielgesamtstruktur herauf

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie auf die Zieldomäne im linken Navigationsbereich, und klicken Sie im Bereich Aufgaben auf Gesamtstrukturfunktionsebene heraufstufen. Wählen Sie eine Funktionsebene für die Gesamtstruktur aus, die mindestens Windows Server 2008 R2 oder höher entspricht, und klicken Sie dann auf OK.

PowerShell logo, Shows the PowerShell equivalent commands for raising the forest functional level.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest -Confirm:$false

Geben Sie für das -Identity-Argument den vollqualifizierten DNS-Namen an.

Schritt 2: Papierkorb aktivieren

In diesem Schritt aktivieren Sie den Papierkorb zum Wiederherstellen gelöschter Objekte in AD DS.

So aktivieren Sie den Active Directory-Papierkorb in ADAC für die Zieldomäne

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie im Bereich Aufgaben auf Papierkorb aktivieren..., klicken Sie im Warnhinweisfeld auf OK, und klicken Sie dann auf OK, um die ADAC-Meldung zu aktualisieren.

  4. Drücken Sie auf F5, um ADAC zu aktualisieren.

PowerShell logo, Shows the PowerShell equivalent commands for enabling the recycle bin.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Wenn ein Fehler auftritt, können Sie versuchen, sowohl den Schemamaster als auch die Domänenbenennungsmasterrollen auf denselben Domänencontroller in der Stammdomäne zu verschieben. Führen Sie dann das Cmdlet von diesem Domänencontroller aus.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'

„Schritt 3: Erstellen von Testbenutzern, Gruppe und Organisationseinheit

Mit den folgenden Schritten erstellen Sie zwei Testbenutzer. Anschließend werden Sie eine Testgruppe erstellen und ihr die Testbenutzer zuweisen. Außerdem erstellen Sie eine Organisationseinheit.

So erstellen Sie Testbenutzer

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie im Bereich Aufgaben auf Neu und dann auf Benutzer.

    Screenshot that shows how to create a new test user.

  4. Geben Sie unter Konto die folgenden Informationen ein, und klicken Sie anschließend auf %%amp;quot;OK%%amp;quot;:

    • Vollständiger Name: test1
    • SamAccountName-Benutzeranmeldung: test1
    • Kennwort: p@ssword1
    • Kennwort bestätigen: p@ssword1

  5. Wiederholen Sie diese Schritte, um den Benutzer %%amp;quot;test2%%amp;quot; zu erstellen.

So erstellen Sie eine Testgruppe und fügen ihr Benutzer hinzu

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Gruppe.

  4. Geben Sie unter Gruppe die folgenden Informationen ein, und klicken Sie anschließend auf OK:

    • Gruppenname: group1

  5. Klicken Sie auf group1, und klicken Sie dann unter dem Bereich Aufgaben auf Eigenschaften.

  6. Klicken Sie auf Mitglieder, klicken Sie auf Hinzufügen, geben Sie test1;test2 ein, und klicken Sie dann auf OK.

PowerShell logo, Shows the PowerShell equivalent commands for adding users to the group.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Add-ADGroupMember -Identity group1 -Member test1

So erstellen Sie eine Organisationseinheit

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten und auf Navigationsknoten hinzufügen, und wählen Sie die geeignete Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf **„OK“.

  3. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Organisationseinheit.

  4. Geben Sie unter Organisationseinheit die folgenden Informationen ein, und klicken Sie anschließend auf OK:

    • NameOU1

PowerShell logo, Shows the PowerShell equivalent commands for creating an organizational unit.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" -Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

Schritt 4: Wiederherstellen gelöschter Objekte

In den folgenden Anleitungen stellen Sie gelöschte Objekte aus dem Container Deleted Objects an ihrem ursprünglichen Speicherort und an einem anderen Speicherort wieder her.

So stellen Sie gelöschte Objekte an ihrem ursprünglichen Speicherort wieder her

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Wählen Sie die Benutzer test1 und test2 aus, klicken Sie auf Löschen im Bereich Aufgaben, und klicken Sie dann auf Ja, um den Löschvorgang zu bestätigen.

    PowerShell logo, Shows the PowerShell equivalent commands for removing users.Gleichwertige Windows PowerShell-Befehle

    Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

    Get-ADUser -Filter 'Name -Like "*test*"'|Remove-ADUser -Confirm:$false

  4. Navigieren Sie zu dem Container Deleted Objects, wählen Sie test2 und test1 aus, und klicken Sie dann auf Wiederherstellen im Bereich Aufgaben.

  5. Wenn Sie sich davon überzeugen möchten, dass die Objekte an ihrem ursprünglichen Speicherort wiederhergestellt wurden, navigieren Sie zu der Zieldomäne und überprüfen Sie, dass die Benutzerkonten dort aufgeführt sind.

    Hinweis

    Wenn Sie zu den Eigenschaften der Benutzerkonten test1 und test2 navigieren und dann auf Mitglied von klicken, können Sie sehen, dass auch deren Gruppenmitgliedschaft wiederhergestellt wurde.

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

PowerShell logo, Shows the PowerShell equivalent commands for restoring objects to their original location.Äquivalente Windows PowerShell-Befehle

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject

So stellen Sie gelöschte Objekte an einem anderen Speicherort wieder her

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Wählen Sie die Benutzer test1 und test2 aus, klicken Sie auf Löschen im Bereich Aufgaben, und klicken Sie dann auf Ja, um den Löschvorgang zu bestätigen.

  4. Navigieren Sie zu dem Container Deleted Objects, wählen Sie test2 und test1 aus, und klicken Sie dann auf Wiederherstellen in im Bereich Aufgaben.

  5. Wählen Sie OU1 aus, und klicken Sie dann auf OK.

  6. Wenn Sie sich davon überzeugen möchten, dass die Objekte in OU1 wiederhergestellt wurden, navigieren Sie zu der Zieldomäne, doppelklicken Sie auf OU1 und überprüfen Sie, dass die Benutzerkonten dort aufgeführt sind.

PowerShell logo, Shows the PowerShell equivalent commands for restoring deleted objects to a different location.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Get-ADObject -Filter 'Name -Like "*test*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=OU1,DC=contoso,DC=com"

Differenzierte Kennwortrichtlinie

Windows Server 2008 bietet Organisationen die Möglichkeit, für verschiedene Gruppen von Benutzern in einer Domäne unterschiedliche Kennwort- und Kontosperrungsrichtlinien festzulegen. In Active Directory-Domänen vor Windows Server 2008 konnten auf alle Benutzer in der Domäne nur eine Kennwortrichtlinie und nur eine Kontosperrungsrichtlinie angewendet werden. Diese Richtlinien wurden in der Standarddomänenrichtlinie für die Domäne angegeben. Daher mussten Organisationen, die mehrere Kennwort- und Kontosperrungseinstellungen für verschiedene Gruppen von Benutzern haben wollten, entweder einen Kennwortfilter erstellen oder mehrere Domänen bereitstellen. Beide Optionen sind aufwändig.

Mithilfe differenzierter Kennwortrichtlinien können mehrere Kennwortrichtlinien innerhalb einer einzigen Domäne festgelegt und für verschiedene Gruppen von Benutzern in einer Domäne unterschiedliche Einschränkungen bei Kennwort- und Kontosperrungsrichtlinien angewendet werden. So könnten zum Beispiel für privilegierte Konten strengere Einstellungen und für die Konten der anderen Benutzer weniger strenge Einstellungen gelten. In anderen Fällen könnte es für Konten, deren Kennwörter mit anderen Datenquellen synchronisiert werden, eine spezielle Kennwortrichtlinie geben. Eine ausführliche Beschreibung differenzierter Kennwortrichtlinien finden Sie unter AD DS: Differenzierte Kennwortrichtlinien

Neuigkeiten

In Windows Server 2012 und höher wurde die Verwaltung differenzierter Kennwortrichtlinien einfacher und anschaulicher, indem für AD DS-Administratoren eine Benutzeroberfläche bereitgestellt wurde, in der sie die Richtlinien im ADAC verwalten können. Administratoren können jetzt die Richtlinie anzeigen, die sich für einen bestimmten Benutzer ergibt, alle Kennwortrichtlinien innerhalb einer bestimmten Domäne anzeigen und sortieren sowie einzelne Kennwortrichtlinien visuell verwalten.

Wenn Sie beabsichtigen, differenzierte Kennwortrichtlinien in Windows Server 2012 zu verwenden, sollten Sie Folgendes beachten:

  • Differenzierte Kennwortrichtlinien gelten nur für globale Sicherheitsgruppen und Benutzerobjekte (oder inetOrgPerson-Objekte, wenn diese anstatt von Benutzerobjekten verwendet werden). In der Standardeinstellung können differenzierte Kennwortrichtlinien nur von Mitgliedern der Gruppe der Domänenadministratoren festgelegt werden. Sie können die Fähigkeit zum Festlegen dieser Richtlinien jedoch auch an andere Benutzer delegieren. Die Domänenfunktionsebene muss Windows Server 2008 (oder höher) sein.

  • Zur Verwaltung differenzierter Kennwortrichtlinien mithilfe einer grafischen Benutzeroberfläche müssen Sie das Active Directory-Verwaltungscenter in Windows Server 2012 oder einer höheren Version verwenden.

    Hinweis

    Sie können den Server-Manager verwenden, um die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) zu installieren, damit der Papierkorb mit der richtigen Version des Active Directory-Verwaltungscenters über eine Benutzeroberfläche verwaltet werden kann.

    Informationen zum Installieren von RSAT finden Sie im Artikel Remoteserver-Verwaltungstools.

Schrittweise Anleitung für differenzierte Kennwortrichtlinien

In den folgenden Schritten werden Sie mithilfe des Active Directory-Verwaltungscenters (ADAC) die folgenden Aufgaben bezüglich der differenzierten Kennwortrichtlinie durchführen:

Hinweis

Um die folgenden Schritte durchführen zu können, müssen Sie Mitglied in der Gruppe der Domänenadministratoren sein oder über gleichwertige Berechtigungen verfügen.

Schritt 1: Heraufstufen der Domänenfunktionsebene

In den nachfolgenden Schritten stufen Sie die Domänenfunktionsebene der Zieldomäne auf Windows Server 2008 oder höher herauf. Damit differenzierte Kennwortrichtlinien aktiviert werden können, muss die Domänenfunktionsebene mindestens Windows Server 2008 entsprechen.

So stufen Sie die Domänenfunktionsebene herauf

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie auf die Zieldomäne im linken Navigationsbereich, und klicken Sie im Aufgabenbereich auf Domänenfunktionsebene heraufstufen. Wählen Sie eine Funktionsebene für die Gesamtstruktur aus, die mindestens Windows Server 2008 entspricht, und klicken Sie dann auf OK.

PowerShell logo, Shows the PowerShell equivalent commands for raising the domain functional level.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Schritt 2: Erstellen von Testbenutzern, Gruppe und Organisationseinheit

Zum Erstellen der für diesen Schritt benötigten Testbenutzer und -gruppe gehen Sie wie in Schritt 3: Erstellen von Testbenutzern, Gruppe und Organisationseinheit beschrieben vor (die Erstellung einer Organisationseinheit ist für die Veranschaulichung der differenzierten Kennwortrichtlinie nicht erforderlich).

„Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie

In der folgenden Anleitung erstellen Sie mithilfe der grafischen Benutzeroberfläche der Active Directory-Verwaltungstools (ADAC) eine neue differenzierte Kennwortrichtlinie.

So erstellen Sie eine neue differenzierte Kennwortrichtlinie

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Öffnen Sie im ADAC-Navigationsbereich den Container System, und klicken Sie dann auf Password Settings Container.

  4. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Kennworteinstellungen.

    Nehmen Sie in den Feldern auf der Eigenschaftenseite die gewünschten Eintragungen oder Änderungen vor, ein neues Objekt für Kennworteinstellungen zu erstellen. Die Felder Name und Rangfolge sind erforderlich.

    Screenshot that shows how to create or edit password settings.

  5. Klicken Sie unter Direkt anwendbar auf, klicken Sie auf Hinzufügen, geben Sie group1ein, und klicken Sie dann auf OK.

    Dadurch wird das Kennworteinstellungsobjekt mit den Mitgliedern der globalen Gruppe verknüpft, die Sie für die Testumgebung erstellt haben.

  6. Klicken Sie auf OK, um die Erstellung zu übermitteln.

PowerShell logo, Shows the PowerShell equivalent commands for creating a new fine grained password policy.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

Schritt 4: Anzeigen eines Richtlinienergebnissatzes für einen Benutzer

In dem folgenden Verfahren zeigen Sie die Kennworteinstellungen an, die sich für einen Benutzer ergeben, der Mitglied der Gruppe ist, der Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie eine differenzierte Kennwortrichtlinie zugewiesen haben.

So zeigen Sie einen Richtlinienergebnissatz für einen Benutzer an

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Wählen Sie einen Benutzer (test1) aus, der zu der Gruppe group1 gehört, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie mit einer differenzierten Kennwortrichtlinie verknüpft haben.

  4. Klicken Sie auf Resultierende Kennworteinstellungen anzeigen im Bereich Aufgaben.

  5. Überprüfen Sie die Kennworteinstellungsrichtlinie, und klicken Sie dann auf Abbrechen.

PowerShell logo, Shows the PowerShell equivalent commands for viewing a resultant set of policies for a user.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Get-ADUserResultantPasswordPolicy test1

Schritt 5: Bearbeiten einer differenzierten Kennwortrichtlinie

In dem folgenden Verfahren bearbeiten Sie die differenzierte Kennwortrichtlinie, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie erstellt haben.

So bearbeiten Sie eine differenzierte Kennwortrichtlinie

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Erweitern Sie im ADAC-Navigationsbereich das Element System, und klicken Sie dann auf Kennworteinstellungscontainer.

  4. Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie erstellt haben, und klicken Sie dann auf Eigenschaften im Bereich Aufgaben.

  5. Ändern Sie unter Kennwortchronik erzwingen den Wert von Anzahl der gespeicherten Kennwörter auf 30.

  6. Klicken Sie auf OK.

PowerShell logo, Shows the PowerShell equivalent commands for editing a fine-grained password policy.Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

Schritt 6: Löschen einer differenzierten Kennwortrichtlinie

So löschen Sie eine differenzierte Kennwortrichtlinie

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Erweitern Sie im ADAC-Navigationsbereich das Element System, und klicken Sie dann auf Kennworteinstellungscontainer.

  4. Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie erstellt haben, und klicken Sie dann im Bereich Aufgaben auf Eigenschaften.

  5. Deaktivieren Sie das Kontrollkästchen Vor versehentlichem Löschen schützen, und klicken Sie auf OK.

  6. Wählen Sie die differenzierte Kennwortrichtlinie aus, und klicken Sie im Bereich Aufgaben auf Löschen.

  7. Klicken Sie im Bestätigungsdialogfeld auf OK.

Intro to AD Admin centerGleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADFineGrainedPasswordPolicy -Identity TestPswd -ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

Windows PowerShell-Verlaufsanzeige

ADAC ist ein Benutzeroberflächentool, das auf Windows PowerShell basiert. In Windows Server 2012 und höher können IT-Administratoren das ADAC nutzen, um Windows PowerShell für Active Directory-Cmdlets mithilfe von Windows PowerShell History Viewer kennenzulernen. Beim Ausführen von Aktionen in der Benutzeroberfläche werden dem Benutzer die entsprechenden Windows PowerShell-Befehle in Windows PowerShell History Viewer angezeigt. Dies ermöglicht es Administratoren, automatisierte Skripte zu erstellen und sich wiederholende Aufgaben zu reduzieren, wodurch sich die IT-Produktivität verbessert. Außerdem können sich Benutzer auf diese Weise schneller mit Windows PowerShell für Active Directory vertraut machen und darauf vertrauen, dass ihre Automatisierungsskripte ordnungsgemäß funktionieren.

Bei Verwendung des Windows PowerShell History Viewer in Windows Server 2012 oder höher sollten Sie Folgendes beachten:

  • Um Windows PowerShell Script Viewer nutzen zu können, müssen Sie das Windows Server 2012-ADAC oder eine höhere Version verwenden.

    Hinweis

    Sie können den Server-Manager verwenden, um die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) zu installieren, damit der Papierkorb mit der richtigen Version des Active Directory-Verwaltungscenters über eine Benutzeroberfläche verwaltet werden kann.

    Informationen zum Installieren von RSAT finden Sie im Artikel Remoteserver-Verwaltungstools.

  • Sie verfügen über grundlegende Kenntnisse von Windows PowerShell. So müssen Sie zum Beispiel wissen, wie das Piping in Windows PowerShell funktioniert. Weitere Informationen über Piping in Windows PowerShell finden Sie unter Piping and the Pipeline in Windows PowerShell.

Schrittweise Anleitung zu Windows PowerShell History Viewer

In der folgenden Anleitung verwenden Sie Windows PowerShell History Viewer in ADAC, um ein Windows PowerShell-Skript zu erstellen. Bevor Sie damit beginnen, müssen Sie den Benutzer test1 aus der Gruppe group1 entfernen.

So erstellen Sie ein Skript mithilfe von PowerShell History Viewer

  1. Klicken Sie mit der rechten Maustaste auf das Windows PowerShell-Symbol, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um das ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Erweitern Sie unten im ADAC-Bildschirm den Bereich Windows PowerShell-Verlauf.

  4. Wählen Sie den Benutzer test1 aus.

  5. Klicken Sie im Bereich Aufgaben auf Zu Gruppe hinzufügen.

  6. Navigieren Sie zu group1, und klicken Sie im Dialogfeld auf OK.

  7. Wechseln Sie zu dem Bereich Windows PowerShell-Verlauf, und suchen Sie den Befehl, der gerade generiert wurde.

  8. Kopieren Sie den Befehl und fügen Sie ihn in einen Editor Ihrer Wahl ein, um Ihr Skript zu erstellen.

    So könnten Sie zum Beispiel den Befehl so ändern, dass ein anderer Benutzer zur Gruppe group1 oder der Benutzer test1 zu einer anderen Gruppe hinzugefügt wird.

Weitere Informationen

Advanced AD DS Management Using Active Directory Administrative Center (Level 200)