Wenn du Active Directory zum ersten Mal installiert hast, kannst du im Grunde direkt loslegen. Doch bevor du einfach drauflos arbeitest, solltest du einige wichtige Grundlagen kennen. Diese Unterschiede und Zusammenhänge sind entscheidend, wenn du deine AD-Umgebung von Anfang an zukunftssicher gestalten möchtest – zum Beispiel, um später automatisch Richtlinien für neue Benutzer anzuwenden und Verwaltungsprozesse deutlich zu vereinfachen.
Inhaltsverzeichnis
- Active Directory Start – Benutzer & Computer einfach erklärt
- Organisationseinheit anlegen – Wichtige Regeln & Schutz vor versehentlichem Löschen
- Neue, übersichtliche AD-Struktur Schritt für Schritt erstellen
- Container „Computers“ und „Users“ in OUs umleiten
Nach der Installation von Active Directory erhält dein Windows Server automatisch zusätzliche Verwaltungswerkzeuge. Eines der wichtigsten davon ist „Active Directory Benutzer & Computer“ – das zentrale Tool, mit dem du Benutzer, Computer und weitere Objekte in deiner AD-Umgebung anlegen, organisieren und verwalten kannst. In diesem Beitrag schauen wir uns genau an, wie es funktioniert, welche Möglichkeiten es bietet und worauf du besonders achten solltest.
Wenn man das Tool „Active Directory Benutzer & Computer“ zum ersten Mal öffnet, fällt sofort die Vielzahl an Funktionen, Symbolen und Buttons ins Auge. In der linken Spalte sieht man die eigene Domain, neben der ein kleiner Pfeil nach unten erscheint – klickt man diesen an, öffnet sich eine Baumstruktur mit verschiedenen Objekten, die wie Ordner aussehen. Diese „Ordner“ werden in Active Directory als Container bezeichnet.
Standardmäßig gibt es zudem eine Organisationseinheit (OU) mit dem Namen Domain Controllers. Alle anderen angezeigten Objekte sind zunächst Container. Wichtig ist zu wissen, dass Container und Organisationseinheiten nicht dasselbe sind.
Der erste große Unterschied: Container werden automatisch bei der Installation von Active Directory erstellt, lassen sich aber nicht manuell anlegen. Sie dienen eher als feste Standardstruktur – und ja, optisch machen sie sich gut, aber viel mehr können sie nichts.
Wenn man hingegen die Struktur der AD-Umgebung selbst gestalten möchte, kommt man an Organisationseinheiten (OUs) nicht vorbei. Diese lassen sich frei anlegen, organisieren und vor allem weiterverwenden. In OUs kann man beispielsweise Gruppenrichtlinien verknüpfen, die dann automatisch auf alle enthaltenen Objekte angewendet werden – etwas, das mit Containern nicht möglich ist.
Bei der Installation von Active Directory werden automatisch Standard-Container wie „Users“ und „Computers“ angelegt. In der Praxis werden diese jedoch selten direkt genutzt. Stattdessen empfiehlt es sich, eine eigene, saubere Struktur mit Organisationseinheiten (OUs) zu erstellen.
So erstellst du eine neue Organisationseinheit:
Domain auswählen: Klicke im linken Bereich auf deine Domain (In meinem Beispiel AydinDNS.de) und öffne mit einem Rechtsklick das Kontextmenü.
Neue OU anlegen: Wähle Neu → Organisationseinheit.
Name vergeben: Trage einen aussagekräftigen Namen ein, z. B. AydinOU.
Schutz aktivieren: Setze den Haken bei „Container vor zufälliger Löschung schützen“, um versehentliche Löschungen zu vermeiden.
Fertigstellen: Klicke auf OK.
Mit dieser Vorgehensweise legst du den Grundstein für eine übersichtliche und zukunftssichere AD-Struktur, in der später gezielt Gruppenrichtlinien angewendet werden können.
Die Option aktiviert lediglich den Schutz vor versehentlichem Löschen für dieses Objekt.
Standardmäßig wird bei einer neu erstellten Organisationseinheit (OU) der Schutz vor zufälligem Löschen aktiviert.
Möchte man diesen Schutz entfernen – zum Beispiel, um eine OU bewusst zu löschen – geht man wie folgt vor:
Erweiterte Features aktivieren
Öffne in Active Directory Benutzer und Computer oben das Menü Ansicht und setze den Haken bei Erweiterte Features.OU zum Löschen auswählen
Klicke in der Baumstruktur mit der rechten Maustaste auf die gewünschte OU (im Beispiel AydinOU) und wähle Eigenschaften.Schutz deaktivieren
Wechsle in den Reiter Objekt, entferne den Haken bei Objekt vor zufälligem Löschen schützen und bestätige mit OK.OU löschen
Nun kannst du erneut mit der rechten Maustaste auf die OU klicken und Löschen auswählen.
Standardmäßig sollte der Haken „Container vor zufälliger Löschung schützen“ beim Anlegen einer OU nicht entfernt werden. Er verhindert, dass wichtige Strukturen versehentlich gelöscht werden.
Um eine eigene, saubere Active-Directory-Struktur mit Organisationseinheiten aufzubauen, geht man wie folgt vor:
Haupt-OU anlegen
Erstelle zunächst eine übergeordnete OU, z. B. AydinOU, in der später alle weiteren Untereinheiten liegen.Unter-OUs für Benutzer und Computer erstellen
Innerhalb der Haupt-OU legst du weitere OUs an, z. B. Alle-Benutzer und Alle-Computer.
Am Ende entsteht eine klare, übersichtliche Struktur, in der Benutzer- und Computerobjekte getrennt verwaltet werden können.
Vorteile einer eigenen Struktur:
Diese Struktur sorgt nicht nur für mehr Übersichtlichkeit in deiner Active-Directory-Umgebung, sondern ermöglicht auch eine gezielte Verknüpfung von Gruppenrichtlinien (GPOs) mit den entsprechenden OUs. Dadurch entsteht eine Art Automatismus: Nach einem AD-Join werden die Objekte automatisch der richtigen OU zugeordnet und die dort hinterlegten Richtlinien direkt angewendet. So entfällt das manuelle Verschieben von Objekten, und Richtlinien greifen vom ersten Moment an – effizient, sauber und zeitsparend.
Damit deine eigene OU-Struktur auch tatsächlich so funktioniert, wie geplant, ist noch ein wichtiger Schritt notwendig.
Zwar kennt Active Directory jetzt unsere erstellten OUs, jedoch weiß es noch nicht, wie neue Benutzer- und Computerobjekte dorthin gelangen sollen. Standardmäßig landen diese nämlich automatisch in den vordefinierten Containern „Computers“ und „Users“.
Damit das System künftig direkt mit unserer eigenen Struktur arbeitet, müssen wir diese Standard-Container umstellen und eine Weiterleitung einrichten. So werden neu hinzugefügte Computer und Benutzer automatisch in die passenden OUs verschoben – und die verknüpften Gruppenrichtlinien greifen sofort, ohne dass wir manuell eingreifen müssen.
Nachdem wir unsere eigene AD-Struktur mit den OUs Alle-Benutzer und Alle-Computer erstellt haben, müssen wir Active Directory noch mitteilen, dass neue Benutzer- und Computerobjekte nicht mehr in die Standard-Container Users und Computers gespeichert werden, sondern direkt in unsere neuen OUs.
Dazu benötigen wir den sogenannten Distinguished Name (DN) der jeweiligen OU.
Diesen findest du im Attribut-Editor der OU unter dem Eintrag distinguishedName.
Kopiere diesen vollständigen DN, da er für den nächsten Schritt benötigt wird.
Um zu überprüfen, wo aktuell neue Objekte landen, kannst du in PowerShell den Befehl ausführen:
Get-ADDomain
✔ Kopiert
Wenn wir den Befehl Get-ADDomain eingegeben haben, sehen wir, dass es zwei Container gibt – ComputersContainer und UsersContainer – und dass es aktuell noch keine Weiterleitung zu unseren eigenen OUs gibt. Beide Einträge enthalten den Distinguished Name (DN) der jeweiligen Standard-Container.
Um dies zu ändern, leiten wir die Standardcontainer auf unsere erstellten OUs Alle-Benutzer und Alle-Computer um. Dazu führen wir in PowerShell die folgenden Befehle aus:
redirusr "<Distinguished Name Wert>"
redircmp "<Distinguished Name Wert>"
✔ Kopiert
