Active Directory Gruppen anlegen und umbenennen – Besonderheiten
Die IT-Abteilungen in Unternehmen nutzen in der Regel den Verzeichnisdienst Active Directory von Microsoft in ihrer Systemlandschaft. Dort werden die Benutzeraccounts, Gruppen und weitere Objekte abgelegt und verwaltet.
Dieser Artikel geht auf die Besonderheiten von Gruppennamen und die verschiedenen Active Directory-Attribute, wie z.B. „name“, „commonName“ (kurz „cn“) oder „displayName“ ein.
Ausgangssituation
Wenn man über die „Active Directory Benutzer- und Computer“-Konsole eine Gruppe anlegt, werden unter anderem die Attribute „cn“, „name“ und „samAccountName“ vergeben. Dieses Verhalten unterscheidet sich an dieser Stelle schon grundlegend von Benutzeraccounts. Bei diesen wird automatisch auch das Attribut „displayName“ mit vergeben, was bei der Anlage von Gruppen nicht geschieht.
Übersicht der AD-Attribute für ein Gruppenobjekt
Holen Sie sich das Whitepaper!
Vertiefen Sie Ihr Wissen mit unserem Whitepaper zum Thema NTFS Best Practices.
Anlage einer Gruppe mit vergebenem „displayName“
Möchte man neue Gruppen auch mit befülltem „displayName“ anlegen, muss man dieses Attribut bei Verwendung der „Active Directory Benutzer- und Computer“-Konsole nach der Anlage manuell ausfüllen.
Eine Alternative stellt die Anlage der Gruppen über die PowerShell dar. Über die PowerShell hat der Administrator eine höhere Flexibilität und kann die Gruppenanlage im Zweifel über Scripte automatisieren.
Folgender Befehl legt ein Gruppenobjekt an und vergibt zusätzlich während der Anlage auch das Attribut „displayName“:
PowerShell Befehl zur Anlage einer Gruppe inkl. „displayName“
Das Ergebnis der Gruppenanlage sieht folgendermaßen aus:
Ergebnis einer über PowerShell angelegten Gruppe
Je nachdem was für eine Gruppe angelegt werden soll, können die Schalter „-GroupScope“ und „-GroupCategory“ angepasst werden. Dabei können die folgenden Werte genutzt werden:
- GroupScope
- Global
- Universal
- Domain Local
- GroupCategory
- Security
- Distribution
Weitere Attribute können auch bei der Neuanlage einer Gruppe über die PowerShell vergeben werden. Weiterführende Informationen finden Sie unter https://docs.microsoft.com/en-us/powershell/module/activedirectory/new-adgroup?view=windowsserver2022-ps.
Kontaktieren Sie uns
Haben Sie Fragen zu unseren Produkten oder unseren Dienstleistungen? Benötigen Sie Unterstützung?
Wir helfen Ihnen gern weiter!
Umbenennen einer Gruppe
Muss eine Gruppe umbenannt werden, hat der Administrator auch wieder verschiedene Möglichkeiten. Der bekannteste Weg ist wieder die Nutzung der „Active Directory Benutzer- und Computer“-Konsole.
Dabei ist wieder zu beachten, dass das Attribut „displayName“ nicht mit geändert wird, falls es bereits vergeben ist.
Attribute einer Gruppe vor Umbenennung
Assistent zur Gruppenumbenennung
Ergebnis nach Umbenennung der Gruppe
JWie zu sehen ist, wurden bei der Umbenennung nur die Attribute „cn“, „name“ und „samAccountName“ mit angepasst. Das Attribut „displayName“ enthält noch den ursprünglichen Wert vor der Umbenennung. Dieses Attribut müsste nun wieder manuell angepasst werden.
Um diesem Problem aus dem Weg zu gehen, ist es wieder empfehlenswert die Gruppe über die PowerShell umzubenennen. Dafür sind die folgenden zwei Befehle notwendig:
Umbenennen einer Gruppe über PowerShell
Ergebnis nach Umbenennung der Gruppe über PowerShell
In diesem Fall werden alle gewünschten Active Directory-Attribute mit umbenannt und man hat einen konsistenten Zustand über die verschiedenen Namens-Attribute von Active Directory-Gruppen.
Über den Autor
Ähnliche Artikel