Mehr Sicherheit und einfachere Verwaltung von Benutzerkonten Tipps und Tools für die Benutzer-Verwaltung in Active Directory

Von Thomas Joos |

Anbieter zum Thema

Benutzerkonten sind ein zentrales Element in Active Directory. Wir geben in diesem Beitrag Tipps und zeigen Tools, mit denen sich die Verwaltung von Benutzern vereinfachen und verbessern lässt. Dies erhöht nicht nur die Effizienz sondern wirkt sich auch positiv auf die Sicherheit aus.

Mit diesen Tipps geht die Benutzerverwaltung in Active Directory leichter von der Hand.
Mit diesen Tipps geht die Benutzerverwaltung in Active Directory leichter von der Hand.
(Bild: © danijelala - stock.adobe.com)

Geht es um die Verwaltung von Benutzerkonten, setzen viele Unternehmen auf die Standardtools „Active Directory-Benutzer und -Computer“ (dsa.msc) und „Active Directory-Verwaltungscenter“ (dsac.exe). Im Umgang mit Benutzern gibt es jedoch meist einiges an Optimierungspotential. Vor allem wenn es darum geht, Informationen zu Benutzerkonten abzufragen, kann die PowerShell mit schnellen, einfachen Befehlen helfen.

Z-Hire und Z-Term – Active Directory, Exchange, Lync & Office 365 User Creation Tool

Mit den kostenlosen Tools Z-Hire und Z-Term von Microsoft, lassen sich Benutzerkonten in Active Directory, aber auch in Office 365 anlegen, anpassen und konfigurieren. Mit Z-Term können zudem auch Vorlagen für das Erstellen von Benutzerkonten erzeugt, und die meisten Einstellungen für das Anlegen und Steuern von Benutzern automatisiert werden. Wiederkehrende Einstellungen bei Benutzern oder ähnliche Einstellungen bei Benutzerkonten lassen sich dadurch als Vorlagen speichern.

Bildergalerie
Bildergalerie mit 9 Bildern

Benutzerverwaltung einfacher delegieren

Das Zurücksetzen von Kennwörtern und die Verwaltung vorhandener Benutzerkonten kann in Active Directory auch delegiert werden. Dadurch können zum Beispiel die Support-Abteilung oder Abteilungsleiter Kennwörter sehr viel einfacher zurücksetzen, oder Konten freigeben, wenn sich Benutzer durch die falsche Eingabe von Kennwörtern ausgesperrt haben.

Die Delegierung erfolgt durch die Auswahl von „Objektverwaltung zulassen“ im Kontextmenü der Organisationseinheiten. Hier lassen sich mit einem Assistenten verschiedene Rechte delegieren. Generell ist es sinnvoll, die Delegierung über eine Gruppe durchzuführen. Sollen Benutzer das Recht erhalten, Benutzerkonten in einer Organisationseinheit zu verwalten, müssen sie nur in der Gruppe aufgenommen werden, ohne die Delegierung erneut ausführen zu müssen. Auf dem gleichen Weg lassen sich Rechte für Benutzer wieder entfernen.

Schnell und einfach inaktive Benutzerkonten und Computer finden

Nicht mehr verwendete Benutzer- und Computerkonten oder Gruppen ohne Mitglieder belasten die Datenbank von Active Directory und die Replikation unnötig. Hinzu kommen Sicherheitsprobleme, die durch verwaiste Objekte entstehen. Es ist daher sinnvoll, solche Objekte aus dem Active Directory zu entfernen. Finden lassen sich solche Objekte problemlos auch mit Bordmitteln.

Mit dem folgenden Befehl lassen sich zum Beispiel Benutzerkonten anzeigen, die eine bestimmte Anzahl an Wochen nicht mehr verwendet wurden:

dsquery user -inactive <Anzahl der Wochen>

Dsquery steht auf Domänencontrollern und auf Computern zur Verfügung, auf denen die Verwaltungstools für Active Directory installiert wurden. Deaktivierte Konten lassen sich wiederum in der PowerShell anzeigen:

Search-ADAccount -AccountDisabled -UsersOnly | Select -Property Name,DistinguishedName

Neben Benutzerkonten lassen sich auch inaktive Computerkonten mit dem Tool finden:

dsquery computer -inactive <Anzahl der Wochen>

Letzte Anmeldungen in Active Directory überprüfen

Um zu überprüfen, wann sich ein Benutzer das letzte Mal an Active Directory angemeldet hat, kann ebenfalls die PowerShell und der folgende Befehl genutzt werden:

Get-ADUser "joost" -Properties LastLogonDate | FT -Property Name, LastLogonDate -A

Neben Dsquery kann die PowerShell auch genutzt werden, um ausführlichere Informationen auszulesen:

Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDate

Leere Gruppen in Active Directory finden

In diesem Bereich spielen auch Gruppen eine wichtige Rolle, die keine Mitglieder enthalten. Auch hier sollte regelmäßig überprüft werden, ob es solche Gruppen gibt und ob diese in Zukunft noch benötigt werden. Dafür steht in der PowerShell der folgende Befehl zur Verfügung:

Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name

Die Mitglieder einer Gruppe können ebenfalls in der PowerShell angezeigt werden:

Get-ADGroupMember -Identity <Gruppenname>

Dadurch lassen sich zum Beispiel die Domänen-Admins in Active Directory anzeigen.

Bildergalerie
Bildergalerie mit 9 Bildern

Überprüfen des Erstellungsdatums von Benutzerkonten

Um zu überprüfen, wann Benutzerkonten erstellt wurden, kann auf die Standardtools „Active Directory-Benutzer und -Computer“ (dsa.msc) und „Active Directory-Verwaltungscenter“ (dsac.exe) gesetzt werden. In den Eigenschaften von Objekten steht dazu die Registerkarte „Objekt“ zur Verfügung. Wird die Registerkarte nicht angezeigt, kann sie über den Menüpunkt „Ansicht\Erweiterte Features“ eingeblendet werden.

Biometrische Anmeldung mit Gruppenrichtlinien konfigurieren

Moderne PCs und Notebooks verfügen über die Möglichkeit, sich per Fingerabdruck oder Gesichtserkennung anmelden zu können. Diese Funktionen lassen sich auch für Benutzerkonten in Windows 10 und Active Directory nutzen. Damit die Technologien genutzt werden können, müssen die entsprechenden Einstellungen aktiviert werden. Das lässt sich in Windows 10 und Active Directory mit Gruppenrichtlinien erledigen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Hier sind die wichtigsten Einstellungen bei „Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Biometrie“ zu finden. An dieser Stelle kann zum Beispiel auch festgelegt werden, ob die biometrische Anmeldung in Windows 10 mit Active Directory verknüpft werden soll. Für den Betrieb ist auf den Rechnern auch der Systemdienst „Windows-Biometriedienst“ notwendig. Dieser muss gestartet sein.

Active Directory im Fokus
Bildergalerie mit 71 Bildern

(ID:46687253)