Die Benutzer- und Gruppenverwaltung gehört zu den wichtigsten Aufgaben eines Systemadministrators in einer Windows-Server-Umgebung. Mit Windows Server 2025 bietet das Active Directory (AD) leistungsstarke Funktionen, um Benutzerkonten anzulegen, Gruppen zu erstellen und Berechtigungen effizient zu steuern. In diesem Beitrag lernst du Schritt für Schritt, wie du neue Benutzer erstellst, Gruppen anlegst und verwaltest sowie die unterschiedlichen Gruppenarten und -typen richtig einsetzt. Außerdem zeige ich dir, welche Standardgruppen direkt nach der Installation verfügbar sind und wie du diese sinnvoll nutzen kannst. Abschließend gibt es einen Praxistest mit einem Windows 11 Client, um die erstellten Benutzer- und Gruppenkonfigurationen in der Realität zu überprüfen.
Die Verwaltung von Benutzern ist eine der zentralen Aufgaben in einer Active Directory Umgebung. Stellen wir uns einmal vor: Du hast einen neuen Mitarbeiter in deinem Unternehmen, und dieser benötigt Zugang zum Netzwerk, zu Dateien und zu Anwendungen. Genau dafür musst du im Active Directory ein Benutzerkonto anlegen.
Der Weg dahin ist ganz einfach:
Zuerst öffnest du die Active Directory-Benutzer und -Computer Konsole. Navigiere in die Organisationseinheit (OU), in der der neue Benutzer angelegt werden soll – in meinem Beispiel die OU Alle-Benutzer. Mit einem Rechtsklick auf die OU öffnet sich ein Menü. Wähle dort den Punkt Neu → Benutzer aus.
Im nächsten Schritt erscheint ein Dialogfeld, in dem du die persönlichen Daten des Benutzers einträgst. Typischerweise gibst du Vorname, Nachname und den vollständigen Namen an. Besonders wichtig ist hier der Benutzeranmeldename, denn dieser wird später vom Benutzer beim Einloggen in die Domäne verwendet. Achte darauf, ein einheitliches Schema zu verwenden, zum Beispiel vorname.nachname.
Danach geht es weiter mit der Passwortvergabe. Hier solltest du ein sicheres Kennwort festlegen
Zusätzlich werden vier Checkboxen angezeigt, die du zur die Verwaltung des Benutzerkontos aktivieren kannst:
Benutzer muss Kennwort bei der nächsten Anmeldung ändern
Mit dieser Option stellst du sicher, dass der Benutzer beim ersten Login ein eigenes Passwort festlegt. Das ist praktisch, wenn du ein Standardkennwort vergibst, das nur einmalig genutzt werden soll.Benutzer kann Kennwort nicht ändern
Diese Einstellung verhindert, dass der Benutzer sein Passwort selbst ändert. Typischerweise wird das in speziellen Szenarien genutzt, etwa für Service- oder Gastkonten.Kennwort läuft nie ab
Normalerweise erzwingt Windows nach einer bestimmten Zeit eine Passwortänderung. Mit dieser Option hebst du das auf – sinnvoll für Konten, die dauerhaft gleich bleiben sollen, zum Beispiel Dienstkonten.Konto ist deaktiviert
Mit dieser Checkbox kannst du ein Benutzerkonto anlegen, das zunächst nicht aktiv ist. Das ist zum Beispiel nützlich, wenn ein Mitarbeiter erst später anfängt oder wenn ein Konto temporär nicht genutzt werden soll.
Hast du alles eingetragen, siehst du noch einmal eine Zusammenfassung. Ein Klick auf Fertig stellen – und der Benutzer ist erstellt.
Benutzer und Gruppen sind im Active Directory Objekte – und wie jedes Objekt besitzen auch sie Eigenschaften. In diesen Eigenschaften lassen sich alle wichtigen Einstellungen einsehen und bei Bedarf anpassen, zum Beispiel Name, Anmeldename, E-Mail-Adresse oder weitere Attribute. Um die Eigenschaften eines Benutzers oder einer Gruppe zu öffnen, klickst du mit der rechten Maustaste auf das gewünschte Objekt und wählst im Menü den Punkt Eigenschaften. Dort kannst du sämtliche Details komfortabel verwalten und ändern.
Anschließend öffnet sich ein neues Fenster mit den Eigenschaften des Objekts bzw. Benutzers. Hier kannst du – wie bereits erwähnt – alle Benutzerdaten bearbeiten und bei Bedarf anpassen. Darüber hinaus lassen sich an dieser Stelle auch wichtige Richtlinien setzen, zum Beispiel Anmeldezeiten, um zu definieren, wann sich ein Benutzer anmelden darf, oder Ordnerumleitungen, um Arbeitsverzeichnisse zentral auf dem Server bereitzustellen.
Besonders relevant sind jedoch drei zentrale Registerkarten, mit denen du in der Praxis am häufigsten arbeitest:
Allgemein – Hier findest du die Basisdaten des Benutzers, wie Name, Beschreibung, Telefonnummer oder E-Mail-Adresse.
Konto – In diesem Bereich werden Anmeldeeinstellungen wie Benutzername, Passwortoptionen, Anmeldezeiten oder auch die Domänenzugriffsrechte konfiguriert.
Mitglied von – Unter diesem Reiter verwaltest du die Gruppenmitgliedschaften des Benutzers. Dadurch bestimmst du, welche Berechtigungen und Ressourcen der Benutzer im Netzwerk erhält
Wie man in diesem Bild sehen kann, befinden wir uns im Reiter Allgemein. Hier kannst du die grundlegenden Daten des Benutzers einsehen und bearbeiten. Dieser Bereich eignet sich vor allem, um Stammdaten aktuell zu halten oder zusätzliche Informationen zum Benutzer zu hinterlegen.
Folgende Optionen stehen dir hier zur Verfügung:
Vorname, Nachname, Initialen – grundlegende Personendaten, die auch für die Anzeige im Netzwerk genutzt werden.
Anzeigename – so wird der Benutzer in Verzeichnissen, Adresslisten oder im Outlook-Adressbuch dargestellt.
Beschreibung – ein Freitextfeld, das oft genutzt wird, um z. B. Abteilung, Position oder Hinweise zu hinterlegen.
Büro – hier kann die Büro- oder Raumangabe des Benutzers eingetragen werden.
Rufnummer, E-Mail, Webseite – zusätzliche Kontaktdaten, die zentral gespeichert werden und somit für alle verfügbar sind.
Auf dem nächsten Reiter der Eigenschaften Konto sehen wir viele Möglichkeiten, um das Benutzerobjekt anzupassen und zu konfigurieren. Dieser Bereich ist einer der wichtigsten, da hier die zentralen Einstellungen für die Anmeldung und die Sicherheit des Kontos vorgenommen werden.
Die wichtigsten Optionen im Überblick:
Benutzeranmeldename – hier legst du den Anmeldenamen fest, mit dem sich der Benutzer in der Domäne anmeldet. Zusätzlich wird auch der ältere Prä-Windows 2000-Name angezeigt, der für Kompatibilität mit älteren Systemen dient.
Anmeldezeiten – über diesen Button kannst du festlegen, an welchen Tagen und zu welchen Uhrzeiten sich der Benutzer anmelden darf. So lassen sich Zugriffe auf Arbeitszeiten beschränken.
Anmelden an… – hier bestimmst du, an welchen Computern in der Domäne sich der Benutzer anmelden darf. Diese Einschränkung wird oft für sicherheitskritische Benutzerkonten genutzt.
Kontosperrung aufheben – falls ein Konto aufgrund mehrerer falscher Passwortversuche gesperrt wurde, kannst du es hier wieder freischalten.
Kontoptionen – in diesem Bereich konfigurierst du wichtige Regeln:
Benutzer muss Kennwort bei der nächsten Anmeldung ändern
Benutzer kann Kennwort nicht ändern
Kennwort läuft nie ab
Kennwort mit umkehrbarer Verschlüsselung speichern (wird aus Sicherheitsgründen fast nie empfohlen).
Konto läuft ab – hier kannst du bestimmen, ob ein Konto zeitlich befristet aktiv ist. Praktisch zum Beispiel für Praktikanten, Werkstudenten oder temporäre Mitarbeiter.
Dieser Reiter gibt dir also die volle Kontrolle darüber, wie und wann ein Benutzerkonto verwendet werden darf
Beim Klick auf Anmeldezeiten öffnet sich dieses Fenster. Hier kannst du exakt steuern, an welchen Tagen und zu welchen Uhrzeiten sich der Benutzer am System anmelden darf.
Die Darstellung ist in einer Art Zeitplan aufgebaut:
Blaue Felder stehen für Anmeldung gestattet.
Weiße Felder bedeuten Anmeldung verweigert.
Mit einem einfachen Mausklick kannst du Zeitfenster markieren oder wieder entfernen. So ist es beispielsweise möglich, dass sich ein Benutzer nur während der regulären Arbeitszeiten einloggen darf – etwa Montag bis Freitag von 8:00 bis 17:00 Uhr. Außerhalb dieser Zeiten verhindert das Active Directory eine Anmeldung automatisch.
Über den Button Anmelden an… öffnet sich dieses Fenster. Hier kannst du genau festlegen, auf welchen Computern sich ein Benutzer innerhalb der Domäne anmelden darf.
Standardmäßig ist die Option Allen Computern aktiviert – das bedeutet, der Benutzer kann sich an jedem Computer, der Mitglied der Domäne ist, anmelden.
Wenn du jedoch die zweite Option Folgenden Computern auswählst, kannst du eine Liste mit bestimmten Rechnern eintragen (über ihren NetBIOS- oder DNS-Namen). Dadurch ist die Anmeldung des Benutzers ausschließlich auf diese Computer beschränkt.
Im Reiter Mitglied von kannst du die Gruppenzugehörigkeiten eines Benutzers verwalten. Hier entscheidest du, zu welchen Gruppen ein Benutzer gehört – und damit indirekt auch, welche Rechte und Berechtigungen er im Netzwerk erhält.
Wenn du den Button Hinzufügen auswählst, öffnet sich ein Dialogfeld, in dem du eine oder mehrere Gruppen angeben kannst. Nach der Bestätigung wird der Benutzer Mitglied dieser Gruppe und erhält automatisch alle damit verbundenen Berechtigungen.
Nach dem Klick auf Hinzufügen öffnet sich ein neues Fenster. Dort findest du ein Eingabefeld, in das du den Namen der gewünschten Gruppe eintragen kannst.
Über den Button Namen überprüfen gleicht Active Directory deine Eingabe mit den vorhandenen Gruppen ab und schlägt passende Ergebnisse vor. Praktisch ist, dass du nicht immer den vollständigen Gruppennamen kennen musst – oft reicht schon ein Teil des Namens, zum Beispiel ‚Remote‘, um die Gruppe Remotedesktopbenutzer zu finden.
Nachdem die gewünschte Gruppe – in diesem Beispiel Remotedesktopbenutzer – ausgewählt wurde, wird sie automatisch in der Liste der Gruppenzugehörigkeiten des Benutzers angezeigt. Mit einem Klick auf Übernehmen speicherst du die Änderung und der Benutzer ist ab sofort Mitglied dieser Gruppe. Dadurch erhält er sofort alle Rechte und Berechtigungen, die mit der Gruppe verbunden sind.
Um eine neue Gruppe zu erstellen, klickst du in der gewünschten Organisationseinheit (OU) mit der rechten Maustaste und wählst anschließend Neu → Gruppe. Daraufhin öffnet sich dieses Fenster, in dem du die wichtigsten Eigenschaften der Gruppe festlegst.
Zuerst vergibst du einen Gruppennamen. Dieser Name sollte aussagekräftig gewählt werden, damit sofort klar ist, welche Funktion oder Abteilung die Gruppe repräsentiert – zum Beispiel Vertrieb, IT-Support oder Remotedesktopbenutzer.
Im nächsten Bereich bestimmst du den Gruppenbereich und den Gruppentyp:
Gruppenbereich: Lokal, Global oder Universal – je nachdem, wie weit die Gruppe innerhalb der Domäne oder des Gesamtforest wirken soll.
Gruppentyp: Sicherheit oder Verteiler – Sicherheitsgruppen dienen der Zuweisung von Berechtigungen, Verteilergruppen hingegen der E-Mail-Kommunikation.
Neben dem Gruppentyp muss bei der Erstellung auch der Gruppenbereich gewählt werden. Dieser definiert, wo und wie weit eine Gruppe innerhalb der Active-Directory-Struktur gültig ist. Es gibt drei Arten: Lokal, Global und Universal.
Lokale Gruppen (Domain Local)
Lokale Gruppen werden innerhalb einer Domäne verwendet. Sie eignen sich vor allem, um Ressourcenrechte zu vergeben – beispielsweise für Freigaben, Drucker oder Ordner innerhalb dieser Domäne.
Beispiel: Eine Gruppe „Drucker-Verwaltung“ in der Domäne firma.local kann Rechte auf Drucker in dieser Domäne vergeben, ist aber außerhalb nicht relevant.Globale Gruppen
Globale Gruppen beinhalten in der Regel Benutzerkonten aus derselben Domäne. Diese Gruppen können aber auch in anderen Domänen verwendet werden, zum Beispiel, wenn mehrere Domänen in einem Forest existieren. Globale Gruppen sind damit sehr praktisch für Berechtigungsstrukturen über mehrere Domänen hinweg.
Beispiel: Die Gruppe „Vertrieb“ aus der Domäne firma.local kann in einer anderen Domäne genutzt werden, um Zugriff auf deren Ressourcen zu steuern.Universale Gruppen
Universale Gruppen sind die mächtigsten, da sie Mitglieder aus allen Domänen eines Forests enthalten können. Sie sind ideal für große, standortübergreifende Strukturen, in denen Benutzer aus verschiedenen Domänen gemeinsam auf Ressourcen zugreifen sollen.
Beispiel: Eine universale Gruppe „Alle-IT-Admins“ bündelt Administratoren aus allen Domänen im Forest und ermöglicht ihnen Zugriff auf globale Ressourcen.
Auch Gruppen im Active Directory besitzen Eigenschaften, die du bei Bedarf anpassen kannst. Diese Eigenschaften sind ähnlich wie bei Benutzern aufgebaut, unterscheiden sich aber inhaltlich. Besonders wichtig sind dabei drei Registerkarten, mit denen man in der Praxis am häufigsten arbeitet.
- Allgemein – Hier findest du die grundlegenden Angaben zur Gruppe, wie den Gruppennamen, die Beschreibung oder den Gruppentyp (Sicherheit oder Verteiler). Diese Informationen helfen dabei, die Gruppe eindeutig zu identifizieren und ihren Zweck zu dokumentieren.
Mitglieder – In diesem Reiter siehst du alle Benutzer und ggf. auch andere Gruppen, die Mitglied dieser Gruppe sind. Über die Buttons Hinzufügen oder Entfernen kannst du die Gruppenzugehörigkeit flexibel anpassen. Damit steuerst du, wer die Berechtigungen oder Funktionen dieser Gruppe erhält.
Im Reiter Mitglied von kannst du festlegen, in welchen anderen Gruppen die aktuelle Gruppe Mitglied sein soll. Das ist besonders praktisch, wenn du Gruppen miteinander verschachteln möchtest, um Berechtigungen effizient zu bündeln.
Klicke im Eigenschaftenfenster auf den Reiter Mitglied von und wähle anschließend den Button Hinzufügen.
Im neuen Fenster trägst du den Namen der gewünschten Gruppe ein – hier zum Beispiel Remotedesktopbenutzer. Über den Button Namen überprüfen kannst du sicherstellen, dass der Gruppenname im Active Directory existiert.
Bestätige die Auswahl mit OK.
Nun erscheint die neue Gruppenzugehörigkeit in der Liste (siehe Screenshot unten). Mit einem Klick auf OK wird die Einstellung gespeichert.
Ab sofort ist die Gruppe Mitglied der angegebenen übergeordneten Gruppe und erbt automatisch deren Berechtigungen. So lassen sich komplexe Rechte- und Zugriffsstrukturen deutlich einfacher verwalten.
