Avatar von Christoph Schulze

Active Directory Gruppen anlegen und umbenennen – Besonderheiten

Die IT-Abteilungen in Unternehmen nutzen in der Regel den Verzeichnisdienst Active Directory von Microsoft in ihrer Systemlandschaft. Dort werden die Benutzeraccounts, Gruppen und weitere Objekte abgelegt und verwaltet.

Dieser Artikel geht auf die Besonderheiten von Gruppennamen und die verschiedenen Active Directory-Attribute, wie z.B. „name“, „commonName“ (kurz „cn“) oder „displayName“ ein.

Ausgangssituation

Wenn man über die „Active Directory Benutzer- und Computer“-Konsole eine Gruppe anlegt, werden unter anderem die Attribute „cn“, „name“ und „samAccountName“ vergeben. Dieses Verhalten unterscheidet sich an dieser Stelle schon grundlegend von Benutzeraccounts. Bei diesen wird automatisch auch das Attribut „displayName“ mit vergeben, was bei der Anlage von Gruppen nicht geschieht.

Übersicht der AD-Attribute für ein Gruppenobjekt

Anlage einer Gruppe mit vergebenem „displayName“

Möchte man neue Gruppen auch mit befülltem „displayName“ anlegen, muss man dieses Attribut bei Verwendung der „Active Directory Benutzer- und Computer“-Konsole nach der Anlage manuell ausfüllen.

Eine Alternative stellt die Anlage der Gruppen über die PowerShell dar. Über die PowerShell hat der Administrator eine höhere Flexibilität und kann die Gruppenanlage im Zweifel über Scripte automatisieren.

Folgender Befehl legt ein Gruppenobjekt an und vergibt zusätzlich während der Anlage auch das Attribut „displayName“:

PowerShell Befehl zur Anlage einer Gruppe inkl. "displayName"

Das Ergebnis der Gruppenanlage sieht folgendermaßen aus:

Ergebnis einer über PowerShell angelegten Gruppe

Je nachdem was für eine Gruppe angelegt werden soll, können die Schalter „-GroupScope“ und „-GroupCategory“ angepasst werden. Dabei können die folgenden Werte genutzt werden:

  • GroupScope
    • Global
    • Universal
    • Domain Local
  • GroupCategory
    • Security
    • Distribution

Weitere Attribute können auch bei der Neuanlage einer Gruppe über die PowerShell vergeben werden. Weiterführende Informationen finden Sie unter https://docs.microsoft.com/en-us/powershell/module/activedirectory/new-adgroup?view=windowsserver2022-ps.

Umbenennen einer Gruppe

Muss eine Gruppe umbenannt werden, hat der Administrator auch wieder verschiedene Möglichkeiten. Der bekannteste Weg ist wieder die Nutzung der „Active Directory Benutzer- und Computer“-Konsole.

Dabei ist wieder zu beachten, dass das Attribut „displayName“ nicht mit geändert wird, falls es bereits vergeben ist.

Attribute einer Gruppe vor Umbenennung

Assistent zur Gruppenumbenennung

Ergebnis nach Umbenennung der Gruppe

JWie zu sehen ist, wurden bei der Umbenennung nur die Attribute „cn“, „name“ und „samAccountName“ mit angepasst. Das Attribut „displayName“ enthält noch den ursprünglichen Wert vor der Umbenennung. Dieses Attribut müsste nun wieder manuell angepasst werden.

Um diesem Problem aus dem Weg zu gehen, ist es wieder empfehlenswert die Gruppe über die PowerShell umzubenennen. Dafür sind die folgenden zwei Befehle notwendig:

Umbenennen einer Gruppe über PowerShell

Ergebnis nach Umbenennung der Gruppe über PowerShell

In diesem Fall werden alle gewünschten Active Directory-Attribute mit umbenannt und man hat einen konsistenten Zustand über die verschiedenen Namens-Attribute von Active Directory-Gruppen.

Avatar von Christoph Schulze

Über den Autor

Ähnliche Artikel

  • Windows File Shares einrichten – Best Practice

    Windows File Shares einrichten – Best Practice

    Um Daten in Unternehmen auszutauschen, werden immer wieder verschiedene File Shares durch die IT erstellt und für die Anwender veröffentlicht. In dem folgenden Artikel erklären wir die Anlage von File Shares, geben Hinweise welche Besonderheiten zu beachten sind und geben verschiedene Tipps bei der…

    Zum Artikel

    Avatar von Christoph Schulze
  • Active Directory: Benutzer gesperrt oder deaktiviert – Was ist der Unterschied?

    Active Directory: Benutzer gesperrt oder deaktiviert – Was ist der Unterschied?

    Für Active Directory Benutzer Objekte gibt es verschiedene Zustände. Man unterscheidet z.B. zwischen aktivierten, gesperrten oder deaktivierten Accounts. Häufig stellt sich dabei die Frage, was eigentlich der Unterschied zwischen einem gesperrten und einem deaktivierten AD-Benutzerkonto ist. In diesem Artikel gehen wir auf die einzelnen Zustände von Benutzeraccounts im…

    Zum Artikel

    Avatar von Christoph Schulze
  • Principle of Least Privilege (PoLP): Sicherheit durch limitierte Zugriffsrechte

    Principle of Least Privilege (PoLP): Sicherheit durch limitierte Zugriffsrechte

    Die Datenschutz-Grundverordnung der Europäischen Union (EU-DGSVO) ist seit Mai 2018 in Kraft und stellt jedes Unternehmen vor neue und erhöhte Anforderungen an den Datenschutz. Das Verarbeiten personenbezogener Daten, sei es von Kunden, Geschäftspartner und auch der eigenen Mitarbeiter, ist durch geeignete Maßnahmen zu schützen, um Missbrauch derer zu unterbinden. Bei…

    Zum Artikel

    Avatar von Bartosz Grodzicki