In durchschnittlichen AD-Gesamtstrukturen regeln Gruppen die Autorisierung für vertrauliche Daten. Gruppen können Inhalte verteilen oder dabei helfen, Zugriff auf Dateien, Dienste oder sogar AD-Delegierung zu gewähren. Nach der Installation stehen Ihnen mehrere integrierte Gruppen zur Verfügung, z. B. die Gruppe „Domänenadministratoren“ oder „Kontobetreiber“.
Die Active Directory-Benutzer und -Computer (ADUC) und das Active Directory-Verwaltungscenter (ADAC) sind programs, die eine grafische Benutzeroberfläche für die Interaktion mit Gruppen bereitstellen und bei deren Verwaltung helfen. ADAC unterscheidet sich von ADUC dadurch, dass es über einen PowerShell-Verlauf verfügt, der die Möglichkeit bietet, die PowerShell-Cmdlets hinter der GUI anzuzeigen.
Um Gruppen zu verwalten, müssen Sie sich bei einem Domänencontroller, einem in die Domäne eingebundenen Server oder einem Gerät anmelden, auf dem die Remote Server Administration Tools (RSAT) installiert sind.
Wenn Sie über die Zugriffsebene sprechen, müssen Sie über ein Domänenadministratorkonto oder das Kontobetreiberkonto verfügen oder über Rechte zum Erstellen von Gruppen in bestimmten Organisationseinheiten durch Delegation verfügen.
Verwalten auslaufender Gruppenmitgliedschaften
Gruppenmitgliedschaften können so konfiguriert werden, dass sie ablaufen. Um die Option „Ablaufende Gruppenmitgliedschaft“ nutzen zu können, muss die Active Directory FFL mindestens sein Windows Server 2012 R2. Die Privileged Access Management-Funktion muss aktiviert sein. Dies kann mit den folgenden Zeilen von PowerShell auf einem System mit dem Active Directory-Modul für erreicht werden Windows PowerShell installiert:
Geben Sie „y“ ein, um diese Aktion zu bestätigen. Beachten Sie, dass es sich hierbei um eine irreversible Funktion handelt, die nicht deaktiviert werden kann.
Ablaufende Gruppenmitgliedschaften festlegen über Windows Power Shell.
Normalerweise würden Sie zum Hinzufügen eines Benutzerobjekts zu einer Gruppe die folgenden Zeilen von PowerShell verwenden:
Um jedoch einen Benutzer mit einer auslaufenden Gruppenmitgliedschaft zu einer Gruppe hinzuzufügen, müssen Sie die folgenden Zeilen von PowerShell auf einem System mit dem Active Directory-Modul verwenden Windows PowerShell installiert:
Um die Gültigkeitsdauer von Gruppenmitgliedschaften anzuzeigen, verwenden Sie die folgenden Zeilen PowerShell-Code:
Suchen Sie nach der TTL-Option, sie wird in Sekunden angezeigt.
Anzeigen verschachtelter Gruppenmitgliedschaften
Diese Anleitung zeigt Ihnen, wie Sie alle Mitglieder einer Gruppe auflisten, auch Mitglieder in verschachtelten Gruppen.
Mit ADUC
Als Administrator könnten Sie das tun cliMarkieren Sie Gruppen auf der Registerkarte „Mitglieder“ und geben Sie die Eigenschaften verschachtelter Gruppen ein, um deren Mitglieder anzuzeigen. Wenn Gruppen jedoch stark verschachtelt sind, wird es sehr schwierig, eine solche Aktion auszuführen.
Alle Gruppenmitglieder einschließlich verschachtelter Gruppen über PowerShell anzeigen.
Verwenden Sie die folgenden Zeilen PowerShell-Code, um alle Gruppenmitgliedschaften in einer Gruppe aufzulisten:
Leere Gruppen finden
Dieser Leitfaden hilft Ihnen, Gruppen ohne Gruppenmitglieder zu finden. Jedes Objekt im Active Directory beansprucht Ressourcen. Wenn eine Gruppe nicht verwendet wird, können Sie sie löschen, um Platz für andere, wichtigere Objekte zu schaffen.
Leere Gruppen mit PowerShell finden
Verwenden Sie die folgenden Zeilen von PowerShell, um alle Gruppen ohne Mitgliedschaften im Active Directory zu finden: