So verwalten Sie Gruppen in AD. Teil 1: Gruppen erstellen und löschen.
In durchschnittlichen AD-Gesamtstrukturen regeln Gruppen die Autorisierung für vertrauliche Daten. Gruppen können Inhalte verteilen oder dabei helfen, Zugriff auf Dateien, Dienste oder sogar AD-Delegierung zu gewähren. Nach der Installation stehen Ihnen mehrere integrierte Gruppen zur Verfügung, z. B. die Gruppe „Domänenadministratoren“ oder „Kontobetreiber“.
Die Active Directory-Benutzer und -Computer (ADUC) und das Active Directory-Verwaltungscenter (ADAC) sind programs, die eine grafische Benutzeroberfläche für die Interaktion mit Gruppen bereitstellen und bei deren Verwaltung helfen. ADAC unterscheidet sich von ADUC dadurch, dass es über einen PowerShell-Verlauf verfügt, der die Möglichkeit bietet, die PowerShell-Cmdlets hinter der GUI anzuzeigen.
Um Gruppen zu verwalten, müssen Sie sich bei einem Domänencontroller, einem in die Domäne eingebundenen Server oder einem Gerät anmelden, auf dem die Remote Server Administration Tools (RSAT) installiert sind.
Wenn Sie über die Zugriffsebene sprechen, müssen Sie über ein Domänenadministratorkonto oder das Kontobetreiberkonto verfügen oder über Rechte zum Erstellen von Gruppen in bestimmten Organisationseinheiten durch Delegation verfügen.
Gruppenbereiche
Es gibt drei Gruppenbereiche:
- Globale Gruppen
- Universelle Gruppen
- Lokale Domänengruppen
Wenn Sie entscheiden, welche Gruppe Sie erstellen möchten, müssen Sie wissen, welche Gruppentypen es gibt und wie sie sich unterscheiden. Globale Gruppen und universelle Gruppen können in domänenlokalen Gruppen verschachtelt werden, und globale Gruppen können in universellen Gruppen verschachtelt werden. Daher ist es sehr beliebt, globale Gruppen für Abteilungen, universelle Gruppen für Verteilergruppen und domänenlokale Gruppen für Zugriffsrechte zu erstellen.
Gruppentypen
Es gibt zwei Gruppentypen:
- Verteilergruppen
- Sicherheitsgruppen
Verteilergruppen verfügen über keine Sicherheitskennung (SID) und können daher nicht verwendet werden, um den Zugriff auf Ressourcen zu ermöglichen, mit Ausnahme von Ressourcen innerhalb von Microsoft Exchange Server. Auf der anderen Seite haben Sicherheitsgruppen SIDs. Es ist möglich, eine Verteilergruppe in eine Sicherheitsgruppe umzuwandeln und umgekehrt.
So erstellen Sie eine Gruppe
Es gibt verschiedene Methoden zum Erstellen einer Gruppe.
Erstellen einer Gruppe mit ADUC
Öffnen Sie ADUC (dsa.msc). Navigieren Sie zu der Organisationseinheit oder dem Container, in der Sie die Gruppe erstellen möchten. RechtscliMarkieren Sie die Organisationseinheit oder den Container, in der Sie eine neue Gruppe erstellen möchten, und wählen Sie Neu -> Gruppe.
Geben Sie im Bildschirm „Neues Objekt – Gruppe“ die folgenden Werte an:
- Geben Sie den Gruppennamen an.
- Geben Sie den Gruppenbereich an oder akzeptieren Sie den standardmäßigen globalen Bereich.
- Geben Sie den Gruppentyp an oder akzeptieren Sie den Standardsicherheitstyp.
CliKlicken Sie auf OK, um die Gruppe zu erstellen.
Erstellen einer Gruppe mit ADAC
Öffnen Sie ADAC (dsac.exe). RechtscliÜberprüfen Sie den Domänennamen und wählen Sie „Neu->Gruppe“ aus dem Menü.
Geben Sie im Bildschirm „Gruppe erstellen“ die folgenden Werte an:
- Geben Sie den Gruppennamen an
- Geben Sie den Gruppenbereich an oder akzeptieren Sie den standardmäßigen globalen Bereich.
- Geben Sie den Gruppentyp an oder akzeptieren Sie den Standardsicherheitstyp.
CliKlicken Sie auf OK, um die Gruppe zu erstellen.
Erstellen einer Gruppe mithilfe der Eingabeaufforderung
Verwenden Sie den folgenden cmd.exe-Befehl, um eine Gruppe in AD zu erstellen:
dsadd.exe group "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"
Erstellen einer Gruppe mit Windows Powershell
Verwenden Sie den folgenden PowerShell-Code:
Import-Module ActiveDirectory
New-ADGroup -GroupCategory Security -GroupScope Global -Name "ITGroup" -Path "OU=OfficeCorp,DC=office,DC=local" -SamAccountName "ITGroup
So löschen Sie eine Gruppe in AD
Hier sind mehrere Methoden, dies zu tun.
Löschen eines Benutzers mit ADAC
Öffnen Sie ADUC (dsa.msc). Führen Sie diese Aktionen aus:
Navigieren Sie zu der Organisationseinheit oder dem Container, in der sich die Gruppe befindet, die Sie löschen möchten.
Wählen Sie im Menü „Aktion“ die Option „Suchen...“ aus. Geben Sie im Feld „Name“ den Namen der Gruppe ein, die Sie löschen möchten, und klicken Sie dann auf „Suchen“. click Jetzt finden. Wählen Sie aus der Liste der Suchergebnisse die Gruppe aus.
RechtscliÜberprüfen Sie die Gruppe und wählen Sie „Löschen“ aus der Liste. CliKlicken Sie im Bestätigungsfenster auf „Ja“.
Löschen einer Gruppe beim ADAC
Öffnen Sie den ADAC (dsac.exe). Führen Sie eine dieser Aktionsreihen aus:
Navigieren Sie zu der Organisationseinheit oder dem Container, in der sich die Gruppe befindet, die Sie löschen möchten. Geben Sie im Hauptmenübereich unter „Globale Suche“ den Namen der Gruppe ein, die Sie löschen möchten, und drücken Sie die Eingabetaste.
Wählen Sie aus der Liste der globalen Suchergebnisse die Gruppe aus. Rechts-cliÜberprüfen Sie die Gruppe dieses Mal und wählen Sie „Löschen“ aus der Liste. CliKlicken Sie im Popup-Fenster zur Löschbestätigung auf „Ja“.
Löschen einer Gruppe über die Eingabeaufforderung
Verwenden Sie den folgenden Befehl, um eine Gruppe in Active Directory zu löschen:
dsrm.exe "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"
Geben Sie „y“ zur Bestätigung ein und drücken Sie die Eingabetaste.
Löschen einer Gruppe mit Windows Powershell
Verwenden Sie den folgenden PowerShell-Code:
Import-Module ActiveDirectory
Remove-ADObject -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"
Geben Sie „y“ zur Bestätigung ein und drücken Sie die Eingabetaste.