Active-Directory-Benutzer und -Computer (Active Directory Users and Computers, ADUC): Installation und Verwendung

Active Directory Users and Computers (ADUC) ist ein Snap-In für die Microsoft Management-Konsole, mit dem Sie Active Directory (AD) verwalten können. Sie können Objekte (Benutzer, Computer), Organisationseinheiten (OE) und deren jeweilige Attribute verwalten.

Neben ADUC gibt es viele weitere Tools, mit denen Sie AD verwalten können. Weil es schon seit Windows 2000 existiert, gehört es zu den beliebtesten. Wie Sie ADUC ausführen und zur Verwaltung von AD verwenden, lesen Sie in diesem Text.

Wie füge ich Active Directory Users and Computers hinzu?

Einige von Ihnen haben vielleicht bereits auf Ihrem Laptop nach ADUC gesucht und festgestellt, dass es nicht vorhanden ist. Es ist kein Bestandteil der Standardinstallation, und wie es zu installieren ist, hängt von Ihrer Windows-Version ab.

In aktuellen Versionen von Windows gehört ADUC zu einer Suite von Administrations-Tools namens Remote Server Administration Tools (RSAT).

Remote Server Administration Tools (RSAT)

Im Update vom Oktober 2018 hat Microsoft alle Active Directory-Verwaltungstools in ein bei Bedarf installierbares Feature namens Remoteserver-Verwaltungstools (RSAT) verschoben. Angreifer nutzen jede verfügbare Möglichkeit für die Berechtigungseskalation und Exfiltration von Daten. Sie sind nicht auf RSAT angewiesen, um großen Schaden anzurichten. Mit RSat wird es aber einfacher! Sollte ein Angreifer einen Computer mit installiertem ADUC unter seine Kontrolle bringen, könnte er Passwörter und Zugriffsrechte einfach nach Belieben ändern. Das könnte sehr übel ausgehen.

Wie auch immer, wenn Sie auf Ihrem Computer auf ADUC zugreifen möchten, müssen Sie RSAT installieren. ADUC gehört bei keiner Windows-Version zum Standardinstallationsumfang. Befolgen Sie zum Installieren die folgenden Anweisungen:

Installation von ADUC bei Windows 10, Version 1809 und höher

1. 1. Wählen Sie im Startmenü Einstellungen > Apps aus.
   2. Klicken Sie rechts auf den Hyperlink mit der Bezeichnung „Optionale Funktionen verwalten“ und klicken auf „Funktion hinzufügen“.
   3. Gehen Sie auf „RSAT: Active Directory Domain Services und Lightweight Directory Tools“.
   4. Klicken Sie auf „Installieren“.
   5. Nach Abschluss der Installation wird im Startmenü ein neuer Menüpunkt namens „Windows-Verwaltungstools“ angezeigt.

Installation von ADUC bei Windows 8 und Windows 10, Version 1803 und niedriger

1. 1. Laden Sie die entsprechenden Remoteserver-Verwaltungstools für Ihre Windows-Version herunter und installieren Sie diese. Der Link ist für Windows 10, andere Versionen sind im Download-Center von Microsoft verfügbar.
   2. Klicken Sie auf „Start“ und gehen Sie auf Systemsteuerung > Programme > Programme und Funktionen > Windows-Funktionen aktivieren oder deaktivieren.
   3. Scrollen Sie durch die Liste und erweitern Sie den Eintrag Remoteserver-Verwaltungtools.
   4. Erweitern Sie die Rollenverwaltungstools.
   5. Erweitern Sie AD-DS und AD-LDS-Tools.
   6. Setzen Sie ein Häkchen bei „AD-DS-Tools“ und gehen Sie dann auf „OK“.
   7. Nach Abschluss der Installation wird im Startmenü ein neuer Ordner für „Verwaltungstools“ angezeigt. ADUC sollte in dieser Liste enthalten sein.

Fehlerbehebung bei der RSAT-Installation

Es gibt zwei übliche Installationsprobleme, die geprüft werden sollten, wenn etwas schief geht und die Installation von RSAT nicht gelingt. Überprüfen Sie zunächst, ob Sie Windows Firewall aktiviert haben. RSAT nutzt das Windows-Update-Backend und ist deshalb darauf angewiesen, dass Windows Firewall aktiviert ist.

Manchmal werden Ihnen nach der Installation eigene Registerkarten und ähnliches nicht angezeigt. Deinstallieren und erneut installieren. Sie hatten möglicherweise eine ältere Version und das Update war nicht komplett kompatibel. Sie können auch mit der rechten Maustaste im Start-Menü auf ADUC klicken und überprüfen, dass die Verknüpfung auf %SystemRoot%\system32\dsa.msc verweist. Wenn er nicht auf dieses Ziel verweist, dann müssen Sie es auf jeden Fall deinstallieren und neu installieren.

Wofür wird Active Directory Users and Computers verwendet?

ADUC kann die meisten Ihrer AD-Administrationsaufgaben abdecken. Die wichtigste Funktion, die fehlt, ist wahrscheinlich die Verwaltung von GPOs. Alles andere können Sie eigentlich mit ADUC erledigen.

Mit ADUC können Sie die FSMO-Serverrollen verwalten, Passwörter zurücksetzen, Benutzer entsperren, Gruppenmitgliedschaften ändern und vieles mehr, was den hier verfügbaren Raum sprengen würde. Es gibt andere Tools in RSAT, die Sie auch zur Verwaltung von AD nutzen können.

• Active Directory Administrative Center: Ermöglicht die Verwaltung des AD-Papierkorbs (unbeabsichtigte Löschvorgänge) und von Passwortrichtlinien und zeigt den PowerShell-Verlauf an.
• Active Directory Domains and Trusts: Ermöglicht Ihnen die Verwaltung mehrerer Domänen für das Management der Funktionsebene, der Funktions-Forests, der User Principle Names (UPN) und von Trust-Beziehungen zwischen Domänen und Forests.
• Active-Directory-Modul für Windows PowerShell: Ermöglicht die Verwaltung von AD mit PowerShell-Cmdlets.
• Active Directory Sites and Services: Ermöglicht Ihnen, Sites und Dienste anzuzeigen und zu verwalten. Sie können die Topologie von AD definieren und die Replikation planen.
• ADSI Edit: ADSI Edit ist ein einfaches Tool für die Verwaltung von AD-Objekten. AD-Experten raten von der Verwendung von ADSI Edit ab und stattdessen zu ADUC.

Lassen Sie uns nun einen Blick auf die unterschiedlichen Einsatzszenarien für ADUC werfen.

ADUC zum Delegieren der Kontrolle

Szenario: Sie möchten die Verantwortung des Sysadmin-Teams für die Verwaltung bestimmter Domänen in Ihrem Netzwerk einschränken. Sie möchten zwei Sysadmins pro Domäne zuweisen, ein Hauptverantwortlichen und einen Vertreter. Das würden Sie so tun:

1. Öffnen Sie ADUC als Admin.
2. Klicken Sie mit der rechten Maustaste auf die Domäne und wählen Sie Kontrolle delegieren.

3. Klicken Sie sich durch den Assistenten, bis Ihnen dieser Bildschirm angezeigt wird. Fügen Sie die Benutzer, denen Sie administrative Verantwortung zuteilen möchten, hier hinzu.

4. Wählen Sie den Benutzer aus und klicken auf Weiter.

5. Wählen Sie die Aufgaben, die Sie diesem Benutzer zuteilen, im nächsten Fenster aus.

6. Im nächsten Fenster erhalten Sie eine Zusammenfassung. Klicken Sie auf Beenden, wenn alles richtig aussieht.

ADUC zum Hinzufügen neuer Benutzer zu einer Domäne

Als nächstes sehen wir uns an, wie man einen neuen Benutzer zur Domäne hinzufügt.

1. Erweitern Sie die Baumstruktur der Domäne, der Sie den neuen Benutzer hinzufügen möchten, klicken Sie mit der rechten Maustaste auf den Benutzercontainer und wählen Sie Neu -> Benutzer.

2. Füllen Sie die Felder aus und klicken Sie auf Weiter.

3. Legen Sie ein Passwort fest, kreuzen Sie die gewünschten Kästchen an und klicken Sie auf Weiter.

4. Vergewissern Sie sich im nächsten Bildschirm, dass der Benutzer korrekt eingerichtet ist, und klicken Sie auf Beenden.

ADUC zum Hinzufügen einer neuen Gruppe

Und um eine neue Gruppe zu erstellen, führen Sie diese Schritte aus:

1. Erweitern Sie wie oben die Domäne und klicken Sie mit der rechten Maustaste auf den Container, in dem die neue Gruppe eingerichtet werden soll, und wählen Sie Neu -> Gruppe.
2. Füllen Sie die Felder im Assistenten aus und wählen Sie die gewünschte Schaltfläche „Sicherheit“ oder „Verteilung“.

3. Klicken Sie auf OK, suchen Sie dann Ihre neue Gruppe und öffnen Sie diese, wählen Sie die Registerkarte Mitglieder und fügen Sie die richtigen Benutzer zu dieser Gruppe hinzu.

Je mehr Sie über die Feinheiten von AD wissen, desto besser sind Sie darauf vorbereitet, es zu verteidigen.

Varonis überwacht und automatisiert die Aufgaben, die Benutzer mit ADUC durchführen. Varonis liefert ein vollständiges Auditprotokoll aller AD-Ereignisse (hinzugefügte Benutzer, angemeldete Benutzer, Änderungen an Gruppen, GPO-Änderungen usw.) und gleicht die aktuelle Aktivität mit einem Basisszenario mit normalisiertem Verhalten im Zeitverlauf ab. Jede neue Aktivität, die wie ein Cyberangriff wirkt (Brute-Force, Ticket-Harvesting, Berechtigungseskalation und andere), löst Alarme aus, die Ihr Netzwerk vor Kompromittierung und Datenverlust schützen.

Darüber hinaus verschafft Varonis Ihren Data Ownern die Möglichkeit zu kontrollieren, wer auf ihre Daten zugreifen kann. Varonis automatisiert das Verfahren zur Beantragung, Genehmigung und Überprüfung von Datenzugriffen. Es ist eine einfache aber elegante Lösung für ein enormes und zunehmend wichtiges Problem.

Möchten Sie sehen, wie Varonis Sie bei der Verwaltung und Absicherung von AD unterstützen kann? Schauen Sie sich den folgenden On-Demand-Kurs an: 25 Key Risk Indicators to Help You Secure Active Directory (25 wichtige Risikoindikatoren, die bei der Absicherung des Active Directory helfen).