Active Directory Benutzer anlegen

Der große Vorteil eines Active Directory ist die zentrale Verwaltung. Das gilt für Computer, Gruppenrichtlinien und natürlich die Benutzer. Im folgenden Artikel zeige ich Dir zwei Wege, wie Du Active Directory Benutzer anlegen kannst. Einerseits über die grafische Konsole (Active Directory Benutzer und Computer) sowie über die Powershell.

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

AD-User anlegen über Benutzerverwaltung

Der klassische und immer noch der am häufigsten genutzte Weg, ist die Erstellung eines Users über die Management Console „Active Directory Benutzer und Computer„. Diese startest Du entweder über den Windows Server Manager (->Tools) oder durch Ausführen des Befehls „dsa.msc„. Ich gehe in diesem Artikel davon aus, dass das Anlegen der Benutzerkonten auf dem Domänencontroller durchgeführt wird. Natürlich funktioniert das auch auf einem anderen Windows Server der Domäne, wenn die entsprechenden Rollen installiert sind.

Das Benutzer sind in der Regel innerhalb bestimmter Organisationseinheiten (OU) abgelegt. Oft ist hierbei eine grobe Struktur des Unternehmen abgebildet (z.B. Standorte oder Abteilungen). In diesem Beispiel habe ich einfach eine Organisationseinheit „Benutzerkonten“ angelegt. Hier soll unser Benutzer erstellt werden.

Alles was Du zunächst tun musst, ist ein Rechtsklick auf die gewünschte Organisationseinheit und anschließend unter „Neu“ die Option „Benutzer“ auswählen. Alternativ kannst Du die Organisationseinheit auch zunächst mit der linken Maustaste markieren und dann das Symbol für den neuen Benutzer in der Symbolleiste anklicken.

Active Directory Benutzer anlegen per GUI
Erstellen eines neuen Active Directory Users über die Management Console.

Konto für neuen Domänenbenutzer konfigurieren

In diesem und im anschließenden Beispiel für die Powershell möchte ich einen AD-User mit den folgenden Eigenschaften einrichten:

  • Vor- /Nachname: Monika Kinolta
  • Organisationseinheit: Benutzerkonten
  • Abteilung: Buchhaltung
  • Anmeldename: m.kinolta

Nach dem Klick auf „Neu„, bzw. auf das Symbol für den neuen Benutzer öffnet sich das Fenster „Neues Objekt – Benutzer“. Im ersten Schritt gibst Du hier den Vornamen und den Nachnamen des neuen Domänenbenutzers ein. Das Feld „Vollständiger Name“ wird automatisch ausgefüllt – manuelle Änderungen sind aber möglich. Der Benutzeranmeldename muss ebenso eingegeben werden. Die Domain ist bereits ausgewählt und enthält in diesem einfachen Beispiel auch nur einen Domänennamen.

Neues AD-Benutzerkonto anlegen
Eingabe des Benutzernamens für den neuen AD-User.

Klicke nun auf „Weiter„. Im nachfolgenden Schritt musst Du ein Kennwort für den neuen Active Directory Benutzer vergeben. Dieser muss bereits den festgelegten Richtlinien der Domäne entsprechen. Optional kannst Du noch auswählen, ob der Benutzer sein Kennwort nach der ersten Anmeldung ändern muss (empfohlen), ob er sein Kennwort nicht ändern kann (nicht empfohlen), ob das Kennwort nie abläuft (auch nicht empfohlen) oder ob das Konto deaktiviert sein soll.

Kennwort für neuen Domänenbenutzer eingeben
Vergabe des Kennworts für den neuen Benutzer.

Bestätige die Eingabe und die Auswahl mit einem Klick auf „Weiter“ und schließe die Erstellung des neuen Benutzers anschließend mit „Fertig stellen“ ab. Der neue Benutzer erscheint daraufhin als neuer Eintrag in der Organisationseinheit.

Neu angelegter AD-User in der Management Console
Der neue AD-User ist angelegt.

Der Benutzer ist nun im Active Directory eingerichtet und der Mitarbeiter somit in der Lage, sich mit dem gewählten Benutzernamen und dem Passwort an einem Domänencomputer anzumelden. Klicke den Benutzernamen nun per Doppelklick an, um noch weitere Konfigurationen vorzunehmen.

Benutzereigenschaften festlegen

In den Benutzereigenschaften hast Du nun unzählige Möglichkeiten, das Benutzerkonto anzupassen. Ich möchte im folgenden nur auf grundlegende Einträge eingehen (tiefergehende Konfigurationen findest Du in weiteren Artikeln dieser Seite).

Benutzereigenschaften von Domänen Benutzern
Für einen Domänenbenutzer können viele Eigenschaften bearbeitet werden.

Wie oben angesprochen, möchten wir den neuen Domänenbenutzer der Abteilung „Buchhaltung“ zuordnen. Hierfür wechseln wir in den Reiter „Organisation“ und tragen die Abteilung in das gleichnamige Feld ein.

Zuweisen von Eigenschaften bei Domänenbenutzern
Zuordnung der Abteilung im Active Directory.

Weitere wichtige Eigenschaften, die häufig für die Active Directory Benutzerverwaltung verwendet werden sind:

  • Allgemein: Beschreibung, Rufnummer, E-Mail (wird bei Verwendung eines Exchange Servers automatisch ausgefüllt)
  • Profil: Anmeldeskript, Basisordner (persönliches Laufwerk)
  • Rufnummern werden z.B. bei softwarebasierter Signaturverteilung ausgelesen, ansonsten nicht wichtig.
  • Mitglied von: Hier kann der Benutzer verschiedenen Gruppen im Active Directory zugeordnet werden, mit denen sich Laufwerke oder Berechtigungen steuern lassen.

Active Directory User per Powershell erstellen

Die oben durchgeführten Schritte lassen sich aber auch per Powershell durchführen. Das ist natürlich viel schneller, benötigt aber das entsprechende Wissen, da man nicht per Assistent durch die Konfiguration geführt wird. Glücklicherweise lässt sich ein neuer Active Directory Benutzer aber mit einem Einzeiler in der Powershell anlegen. Wie oben, setze ich auch hier voraus, dass sämtliche Befehle auf einem Domänencontroller ausgeführt werden.

Das Cmdlet, welches für das Erstellen eines neuen Domänenbenutzers im Active Directory benötigt wird, ist „New-ADuser„. Die weiteren, hier benötigten Parameter sind:

  • Name: Vollständiger Name
  • GivenName: Vorname
  • Surname: Nachname
  • SamAccountName: Benutzeranmeldename (Prä-2000)
  • UserPrincipalName: Benutzeranmeldename
  • Path: Pfad zur Organisationseinheit
  • AccountPassword: Kennwort des Benutzerkontos
  • Enabled: Benutzerkonto aktiviert oder deaktiviert
  • ChangePasswordAtLogon: Kennwort bei nächster Anmeldung ändern

Die Powershell muss als Administrator ausgeführt werden. Der vollständige Befehlt für das obige Beispiel lautet damit:

New-ADUser -Name "Monika Kinolta" -GivenName "Monika" -Surname "Kinolta" `
-SamAccountName "m.kinolta" -UserPrincipalName "m.kinolta@tech-faq.net" `
-Path "OU=Benutzerkonten,DC=tech-faq,DC=net"-AccountPassword(Read-Host -AsSecureString "Input Password") `
-Enabled $true -Department "Buchhaltung" -ChangePasswordAtLogon $true

Weitere mögliche Parameter können mit dem Befehl „Get-Command New-ADUser -Syntax“ abgefragt werden.

Das Benutzerkennwort wird nach dem Absetzen des Befehls in der Powershell Konsole eingegeben („Input Password„, siehe Bild). Auch hier muss natürlich die Kennwortrichtlinie der Domäne eingehalten werden, sonst erhält man eine Fehlermeldung. Sobald das Passwort akzeptiert wurde, wird der Benutzer im Active Directory angelegt.

AD Benutzer per Powershell anlegen

Der Benutzer ist sofort einsatzbereit. Änderungen können anschließend jederzeit mit dem Cmdlet „Set-ADUser“ durchgeführt werden. Gelöscht werden Active Directory Benutzer mit „Remove-ADUser„.

Eigenschaften der AD-Benutzer mit der Powershell abfragen

Benutzerkonten können in der Powershell mit dem Cmdlet „Get-ADUser“ abgefragt werden. Mit dem Zusatz „-properties *“ werden alle Parameter des Benutzers ausgegeben.

Get-ADUser m.kinolta -Properties *
AD-User Eigenschaften per Powershell abrufen
Ausgabe sämtlicher Eigenschaften des Active Directory Benutzers.

Das Anlegen von neuen Active Directory Benutzern ist mit der Powershell kein Hexenwerk und lässt sich auch sehr gut in Skripte integrieren. Damit können administrative Aufgaben unter Windows Server stark verkürzt und können bis zu einem gewissen Maß sogar automatisiert werden.

Ebenfalls interessant:

Dieser Artikel ist wie alle anderen auf dieser Seite kostenlos für Dich und ich hoffe, ich konnte Dir weiterhelfen. Wer möchte, kann diesem Blog eine kleine Aufmerksamkeit in Form einer kleinen Spende (PayPal) oder über die Amazon Wunschliste zukommen lassen.

Schreibe einen Kommentar