Die IT-Abteilungen in Unternehmen nutzen in der Regel den Verzeichnisdienst Active Directory von Microsoft in ihrer Systemlandschaft. Dort werden die Benutzeraccounts, Gruppen und weitere Objekte abgelegt und verwaltet.
Dieser Artikel geht auf die Besonderheiten von Gruppennamen und die verschiedenen Active Directory-Attribute, wie z.B. „name“, „commonName“ (kurz „cn“) oder „displayName“ ein.
Ausgangssituation
Wenn man über die „Active Directory Benutzer- und Computer“-Konsole eine Gruppe anlegt, werden unter anderem die Attribute „cn“, „name“ und „samAccountName“ vergeben. Dieses Verhalten unterscheidet sich an dieser Stelle schon grundlegend von Benutzeraccounts. Bei diesen wird automatisch auch das Attribut „displayName“ mit vergeben, was bei der Anlage von Gruppen nicht geschieht.
Besonders dann, wenn Gruppen auch über andere Tools angelegt werden, die gleichzeitig das Attribut „displayName“ mit vergeben, kann es zu Verwirrungen unter den Administratoren kommen. Da der „displayName“ für ein Gruppenobjekt kein Pflichtattribut ist, hat man anschließend vermutlich Gruppen mit und ohne vergebenem „displayName“.
Laden Sie unser Whitepaper herunter!
Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.
Anlage einer Gruppe mit vergebenem „displayName“
Möchte man neue Gruppen auch mit befülltem „displayName“ anlegen, muss man dieses Attribut bei Verwendung der „Active Directory Benutzer- und Computer“-Konsole nach der Anlage manuell ausfüllen.
Eine Alternative stellt die Anlage der Gruppen über die PowerShell dar. Über die PowerShell hat der Administrator eine höhere Flexibilität und kann die Gruppenanlage im Zweifel über Scripte automatisieren.
Folgender Befehl legt ein Gruppenobjekt an und vergibt zusätzlich während der Anlage auch das Attribut „displayName“:
Das Ergebnis der Gruppenanlage sieht folgendermaßen aus:
Je nachdem was für eine Gruppe angelegt werden soll, können die Schalter „-GroupScope“ und „-GroupCategory“ angepasst werden. Dabei können die folgenden Werte genutzt werden:
- GroupScope
- Global
- Universal
- Domain Local
- GroupCategory
- Security
- Distribution
Weitere Attribute können auch bei der Neuanlage einer Gruppe über die PowerShell vergeben werden. Weiterführende Informationen finden Sie unter https://docs.microsoft.com/en-us/powershell/module/activedirectory/new-adgroup?view=windowsserver2022-ps.
Suchen Sie eine professionelle Beratung?
Benötigen Sie Unterstützung bei der Optimierung Ihrer File Server? Sprechen Sie uns gerne an!
Umbenennen einer Gruppe
Muss eine Gruppe umbenannt werden, hat der Administrator auch wieder verschiedene Möglichkeiten. Der bekannteste Weg ist wieder die Nutzung der „Active Directory Benutzer- und Computer“-Konsole.
Dabei ist wieder zu beachten, dass das Attribut „displayName“ nicht mit geändert wird, falls es bereits vergeben ist.
Wie zu sehen ist, wurden bei der Umbenennung nur die Attribute „cn“, „name“ und „samAccountName“ mit angepasst. Das Attribut „displayName“ enthält noch den ursprünglichen Wert vor der Umbenennung. Dieses Attribut müsste nun wieder manuell angepasst werden.
Um diesem Problem aus dem Weg zu gehen, ist es wieder empfehlenswert die Gruppe über die PowerShell umzubenennen. Dafür sind die folgenden zwei Befehle notwendig:
In diesem Fall werden alle gewünschten Active Directory-Attribute mit umbenannt und man hat einen konsistenten Zustand über die verschiedenen Namens-Attribute von Active Directory-Gruppen.
