• Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch
FirstWare IDM-PortalFirstWare IDM-Portal
FirstWare IDM-PortalFirstWare IDM-Portal
User Driven
Identity Management
  • Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch

11 Tipps für Gruppen und Benutzerkonten in Active Directory

Jan 3, 2022 (Letztes Update) | Allgemeines, Authorization Management, Identity Management |

 

Active Directory kann umfassend mit der PowerShell verwaltet werden. Im nachfolgenden Beitrag zeigen wir 11 Tipps, wie Sie die Gruppen- und Benutzerverwaltung im Active Directory mit Powershell-Skripten einfach automatisieren. Auch die Vorteile der Cmdlets, Aufgaben in Skripten und Massen-Aktionen durchzuführen, sind in diesem Beitrag zu finden.

Index

  • Tipp 1: Mehrere Benutzer auf einmal mit der PowerShell anlegen
  • Tipp 2: Benutzerkonten verschieben
  • Tipp 3: Benutzerkonten löschen
    • Alternative zu Tipp 2 und Tipp 3
  • Tipp 4: Inaktive Benutzer- und Computerkonten suchen
    • FirstWare AD-Inspector
  • Tipp 5: Benutzerkonten in Gruppen aufnehmen
  • Tipp 6: Mehrere Benutzerkonten auf einmal in Gruppen aufnehmen
    • PowerShell IAM außerhalb der IT
  • Tipp 7: Objekte in Active Directory zählen
  • Tipp 8: Alle nicht deaktivieren Benutzerkonten anzeigen
  • Tipp 9: Alle deaktivierten Benutzerkonten anzeigen
  • Tipp 10: Leere Gruppen in Active Directory anzeigen
  • Tipp 11: Inaktive Computerkonten in der PowerShell anzeigen

Tipp 1: Mehrere Benutzer auf einmal mit der PowerShell anlegen

Neben der Möglichkeit Benutzer über den Import einer CSV-Datei anzulegen, können mit der PowerShell auch mehrere Benutzer auf einmal angelegt werden. Sinnvoll ist das vor allem dann, wenn Benutzerkonten nicht umfassend personalisiert werden sollen, oder wenn Benutzerkonten für Schulungsräume angelegt werden sollen. In einem Skript werden dazu zunächst verschiedene Variablen angelegt:

$pass= "kennw0rt" | ConvertTo-SecureString -AsPlainText -Force
$Nummer=1..20
Foreach ($z in $Nummer) {New-AdUser -Name Schulung$z -Path „OU=Schulung, DC=Joos, DC=int“ -enabled $True -ChangePasswordAtLogon $true -AccountPassword $pass}

Mit dem sehr einfachen Skript können in kurzer Zeit sehr viele Benutzerkonten erstellt werden.

Mehrere Benutzer auf einmal mit der PowerShell anlegen - 11 Tipps für AD und PowerShell

Tipp 2: Benutzerkonten verschieben

Mit dem Cmdlet „Move-ADObject“ können mehrere Objekte, auch Benutzerkonten, gleichzeitig verschoben werden. Dazu können zum Beispiel zunächst die Benutzerkonten mit „Get-ADUser“ gefiltert werden. Passt der Filter, besteht der nächste Schritt darin die gefundenen Benutzer in die gewünschte OU zu verschieben, in dem das Ergebnis von „Get-ADUser“ an „Move-ADObject“ weitergegeben wird.
Um zum Beispiel die in Tipp 1 angelegten Benutzerkonten in eine andere OU zu verschieben, werden zunächst die Benutzerkonten angezeigt:

Get-ADUser -Filter * -SearchBase "OU=Schulung,DC=Joos,DC=int"

Stimmt die Anzeige, kann das Ergebnis mit Pipe („|“) an „Move-ADObject“ übertragen werden. Hier ist dann auch die neue OU notwendig:

Get-ADUser -Filter * -SearchBase "OU=Schulung,DC=Joos,DC=int" | Move-ADObject -TargetPath "OU=Schulung-berlin,OU=Schulung, DC=Joos, DC=int"

Tipp 3: Benutzerkonten löschen

Auf dem gleichen Weg wie das Verschieben von Benutzerkonten, können Benutzer auch entfernt werden. Dazu wird das Cmdlet „Remove-ADUser“ verwendet. Zum Löschen der Benutzerkonten, die in Tipp 1 angelegt und in Tipp 2 verschoben wurden, besteht auch hier wieder die Möglichkeit mit Pipe („|) zu arbeiten. Das Ergebnis der Suche mit „Get-ADUser“ übergeben Sie in diesem Fall an „Remove-ADUser“:

Get-ADUser -SearchBase "OU=Schulung-Berlin, OU=Schulung, DC=Joos,DC=int" -Filter * | Remove-ADUser -Confirm:$false -Verbose

 

Alternative zu Tipp 2 und Tipp 3

Die Fachabteilung führt die AD Benutzerverwaltung durch (IAM Delegation). Mit dem IDM-Portal ist es möglich ein entsprechendes PS-Skript einzubinden. Deaktiviert der zuständige Mitarbeiter einen Benutzer mit dem IDM-Portal, verschiebt dieses das Benutzerkonto auch in eine andere OU. Es lassen sich auch Aktionen nach dem Löschen von Benutzer-, Gruppen- oder Computerobjekten durchführen.

Tipp 4: Inaktive Benutzer- und Computerkonten suchen

Um in der PowerShell alle nicht aktiven Benutzerkonten anzuzeigen, kann der folgende Befehl verwendet werden:
Search-ADAccount -UsersOnly -AccountInactive
Wollen Sie Benutzerkonten, die in einer bestimmten Zeitspanne inaktiv waren anzeigen, verwenden Sie das Cmdlet „New-Timespan“. Die Zeitspanne können Sie auch in einer Variablen speichern:

$time = New-Timespan -Days 120

Danach suchen Sie nach inaktiven Benutzerkonten innerhalb dieser Zeitspanne:

Search-ADAccount -UsersOnly -AccountInactive -TimeSpan $time

Auch hier kann das Ergebnis an ein anderes Cmdlet weitergegeben werden, um die Anzeige zu verbessern:

Search-ADAccount -UsersOnly -AccountInactive | Get-ADuser | Sort LastLogOnDate | Select Name,Department,Title,DistinguishedName

An diesem Beispiel ist zu sehen, dass die Ergebnisse von Cmdlets mehrmals mit Pipe („|“) an andere Cmdlets weitergegeben werden. In der PowerShell können auch alle Benutzerkonten angezeigt werden, die sich noch nie angemeldet haben:

Get-ADUser -Filter {(lastlogontimestamp -notlike "*")} | Select Name,DistinguishedName

FirstWare AD-Inspector

Unser kostenloses AD-Analyse-Tool bietet Ihnen 17 Reports, darunter 3 für das suchen von inaktiven Accounts. Allerdings ganz ohne PowerShell.

Tipp 5: Benutzerkonten in Gruppen aufnehmen

Mit dem Cmdlet „Add-AdGroupMember” können Benutzer in Active Directory-Gruppen aufgenommen werden. Ein Beispiel dafür ist:

Add-AdGroupMember -Identity Schulung -Members joost, joose, muellert

Die Mitglieder der Gruppe können Sie anschließend mit Get-ADGroupMember -Identity Schulung anzeigen.

Um eine neue Gruppe mit der Bezeichnung „Schulung“ anzulegen, in der später alle Benutzerkonten aufgenommen werden, die in Tipp 1 und Tipp 2 angelegt wurden, verwenden Sie:

New-ADGroup "Schulung" -Path "OU=Schulung,DC=Joos,dc=int" -GroupCategory Security -GroupScope Global -PassThru -Verbose

Tipp 6: Mehrere Benutzerkonten auf einmal in Gruppen aufnehmen

Um die Benutzerkonten aus Tipp 1 und Tipp 2 auf einmal in einer Gruppe aufzunehmen, werden die Benutzerkonten zunächst angezeigt und danach an das Cmdlet „Add-AdGroupMember“ übergeben:

$User = Get-ADUser -SearchBase "OU=Schulung-Berlin, OU=Schulung, DC=Joos,DC=int" -Filter * 
Add-AdGroupMember -Identity Schulung -Members $User

PowerShell IAM außerhalb der IT

Datenverantwortliche außerhalb der IT können PowerShell Skripte unbewußt anwenden. Dafür erhalten Sie eine einfache GUI, deren Funktionalität durch Admins vorbereitet wird. Mehr zu PowerShell IAM. Viele der 11 Tipps können per PowerShell eingebaut werden.

Tipp 7: Objekte in Active Directory zählen

Nummer 7 unserer 11 Tipps in der PowerShell ist das Zählen von Objekten im Active Directory. Am Beispiel der in dieser Tippreihe angelegten Benutzer und -Gruppen in der OU „Schulung-Berlin“ ist der Befehl dazu:

(Get-ADUser -Filter * -SearchBase "OU=Schulung-Berlin, OU=Schulung, DC=Joos,DC=int").count

Auch Gruppenmitglieder können auf diesem Weg gezählt werden, zum Beispiel für die Gruppe, die in den Tipps 5 und 6 angelegt wurde.

(Get-ADGroupMember -Identity "Schulung").count

Um alle Benutzerkonten in Active Directory zu zählen verwenden Sie:

(Get-ADUser -Filter "Name -like '*'").count

Alle Computerkonten zählen Sie mit:

(Get-ADComputer -Filter "Name -like '*'").count

Um alle Windows Server-Systeme anzuzeigen, verwenden Sie:

(Get-ADComputer -Filter "OperatingSystem -like '*Server*'").count

Tipp 8: Alle nicht deaktivieren Benutzerkonten anzeigen

Um sich alle Benutzerkonten anzeigen zu lassen, die in Active Directory vorhanden und nicht deaktiviert sind kann folgender Befehl verwendet werden:

get-aduser -ldapfilter "(&(&(objectCategory=user)(userAccountControl=512)))" | where-object -property enabled -eq true | fl name

Mit userAccountControl und dem Wert 512 wird das Flag „NORMAL_ACCOUNT“ weitergegeben (siehe Microsoft).

Tipp 9: Alle deaktivierten Benutzerkonten anzeigen

Um sich alle deaktivierten Benutzerkonten anzeigen zu lassen, können Sie den folgenden Befehl verwenden:

Search-ADAccount –AccountDisabled -UsersOnly | Select -Property Name,DistinguishedName

Tipp 10: Leere Gruppen in Active Directory anzeigen

Um sich leere Gruppen in Active Directory anzeigen zu lassen, verwenden Sie den folgenden Befehl:

Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name

Tipp 11: Inaktive Computerkonten in der PowerShell anzeigen

In der PowerShell können auch schnell und einfach Computerkonten angezeigt werden, die schon lange nicht mehr aktiv genutzt wurden:

Get-ADComputer -Filter * -Properties * | Sort LastLogonDate | FT Name, LastLogonDate
Anzeigen von inaktiven Computerkonten - 11 Tipps für AD und PowerShell

Anzeigen von inaktiven Computerkonten

Im Beitrag „AD PowerShell Basics“ auf Active Directory FAQ gehen wir auf die grundlegenden Möglichkeiten ein, mit den wichtigsten Cmdlets Benutzer und Gruppen in Active Directory anzulegen, zu verwalten und anzuzeigen.

Neben den 11 Tipps hilft Ihnen das FirstWare IDM-Portal in der Praxis, Gruppen und Benutzerkonten zu verwalten. Statt PowerShell-Skripte durch Admins auszuführen, können dies auch Ihre Anwender via benutzerfreundlicher Eingabemasken. Sicher und ohne Kenntnisse – die technischen Aktionen laufen einfach im Hintergrund und im Echtzeit ab. Für Informationen dazu stehen wir Ihnen gern zur Verfügung.

Artikel erstellt am: 22.03.2021
Tags: AbwesenheitsassistentActive DirectoryAD AutomatisierungIAM AutomationPowerShell
Teilen

Folgendes könnte Sie ebenfalls interessieren

Optimierung von Telefonnummern im AD

Sep 3, 2019

Telefonnummern sind oft ein leidiges Thema in der AD-Verwaltung und[...]

Computerkonten in Active Directory verwalten und reparieren

Mai 19, 2021

Computerkonten spielen in Active Directory eine wesentliche Rolle. Wie Benutzerkonten[...]

Postfach deaktivieren mit Powershell (1/3)

Jan 18, 2021

Wie Sie ein Postfach mit Powershell deaktivieren, verschieben oder neu[...]

Suche

Neueste Beiträge

  • Red-Forest-Benutzerverwaltung mit dem IDM-Portal
  • CSV Connector verbindet HR-Daten und Active Directory
  • Attribute-Based Access Control (ABAC) – Zugriffsrechte basierend auf Attributen
  • Red Forest und IAM in Active Directory Umgebungen einsetzen
  • Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory

Kategorien

  • Allgemeines
  • Authorization Management
  • Compliance
  • Identity Management
  • Projekte
  • Systeme


FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • AGBs und EULA
  • Datenschutzerklärung
  • Impressum
  • Kontakt

News

  • Red-Forest-Benutzerverwaltung mit dem IDM-Portal
  • CSV Connector verbindet HR-Daten und Active Directory
  • Attribute-Based Access Control (ABAC) – Zugriffsrechte basierend auf Attributen
  • Red Forest und IAM in Active Directory Umgebungen einsetzen
  • Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory
  • IT-Administrator bewertet FirstWare IDM-Portal

© 2023 · FirstAttribute AG.

Prev Next