Active Directory Organisationseinheiten โ€“ OUs richtig verwalten!

Organisationseinheiten bzw. Organizational Units (OUs) spielen eine zentrale Rolle in der erfolgreichen Verwaltung von Benutzern und Computern im Active Directory. Doch was gilt es bei der Verwendung von Organisationseinheiten zu beachten? In unserem Ratgeber finden Sie die wichtigsten Hintergrรผnde und Best Practices rund um das Thema AD Organisationseinheit!

Was ist eine Organisationseinheit in Active Directory?

Active Directory, Microsofts Verzeichnisdienst fรผr die Verwaltung von Windows Umgebungen, gliedert Netzwerke in eine hierarchische Struktur. Computer und Benutzer sind Teil einer Domรคne, die รผber mehrere Domain Controller gesteuert wird. Domains wiederum kรถnnen in einer Baumstruktur angeordnet oder mit mehreren Bรคumen (Trees) zu einem Forest verbunden werden. Wรคhrend Trees und Forests oberhalb der Domain-Ebene liegen, liegen Organisationseinheiten darunter.

Eine Organisationseinheit oder Organizational Unit (OE bzw. OU) ist ein Teilbereich innerhalb einer Active Directory Domรคne, fรผr den Administratoren abweichende Richtlinien und Adminrechte festlegen kรถnnen. Organisationseinheiten kรถnnen Benutzer, Computer, Gruppen und andere OUs enthalten. Im Wesentlichen erfรผllen Organisationseinheiten in Active Directory zwei Aufgaben:

  • 1

    Delegierte Verwaltung: OUs erlauben es Organisationen, Adminrechte an Benutzer zu vergeben, die nur innerhalb der jeweiligen Organisationeinheit gelten. So lรคsst sich der Bereich der Domรคne, den ein Administrator verwalten kann, im Sinne des Least Privilege Prinzips einschrรคnken. AuรŸerdem kรถnnen IT-Teams bestimmte Aufgaben wie das Zurรผcksetzen von Passwรถrtern an Verantwortliche in den Fachabteilungen auslagern.

  • 2

    Steuern von Gruppenrichtlinien: รœber Gruppenrichtlinienobjekte (Group Policy Objects bzw. GPOs) kรถnnen Administratoren in Windows eine Vielzahl an Einstellungen fรผr Benutzer und Gerรคte verwalten. Organisationseinheiten erlauben das Zuweisen von Gruppenrichtlinien fรผr bestimmte Teilbereiche des AD.

Wie erstelle ich Organisationseinheiten?

Um eine neue Organisationseinheit anzulegen, gibt es in Active Directory mehrere Mรถglichkeiten:

  • รœber das Active Directory Verwaltungscenter

  • รœber den Windows Server Manager bzw. die Remoteserver-Verwaltungstools (RSAT), genauer das Snap-In Active Directory Users & Computers (ADUC)

  • Mithilfe des PowerShell cmdlet New-ADOrganizationalUnit

Generell empfiehlt sich fรผr OUs allerdings die Verwaltung รผber eine grafische Benutzeroberflรคche, da sich so die Einhaltung der richtigen Struktur leichter sicherstellen lรคsst.

Unterschied Organisationseinheit vs. AD-Gruppen

Auf den ersten Blick haben Organisationseinheiten und Active Directory Gruppen viel gemeinsam: Beide dienen dazu, das AD zu strukturieren, indem sie unterschiedliche Objekte wie Benutzerkonten oder Gerรคte zu einer Einheit zusammenfassen.

Tatsรคchlich werden die beiden Active Directory Elemente jedoch fรผr unterschiedliche Zwecke eingesetzt. Organisationseinheiten dienen der Steuerung von Gruppenrichtlinien sowie delegierten Adminrechten, wรคhrend AD-Gruppen fรผr die Verwaltung von Berechtigungen eingesetzt werden โ€“ beispielsweise NTFS Berechtigungen und Freigabeberechtigungen auf dem Fileserver oder Postfach Berechtigungen in Exchange. Auch der Zugang zu Drittsystemen kann an Active Directory Gruppen geknรผpft werden

Unterschiede zwischen AD-Gruppen und Organisationseinheiten:

  • Organisationseinheiten kรถnnen Gruppenrichtlinienobjekte (GPOs) enthalten, AD-Gruppen nicht

  • Organisationseinheiten ermรถglichen die Delegierung von Adminrechten, AD-Gruppen nicht

  • AD-Gruppen kรถnnen Berechtigungen steuern, Organisationseinheiten nicht

  • AD-Gruppen haben eine eigene SID, Organisationseinheiten nicht

Unterschied Organisationseinheit vs. Container

Beim Aufsetzen des Active Directory legt Windows automatisch Container wie Computer oder Benutzer an, in denen alle entsprechenden Objekte abgelegt werden. Damit erfรผllen Container zwar eine รคhnliche Rolle wie Organisationseinheiten, aber mit einem wichtigen Unterschied: Auf Container kรถnnen keine Gruppenrichtlinienobjekte angewandt werden.

Daher ist es empfehlenswert, anstelle der Standardcontainer eigene Organisationseinheiten fรผr alle Computer- bzw. Benutzerkonten anzulegen, um รผber diese globale Gruppenrichtlinien zu steuern. Damit neue Objekte statt der Default-Container in den jeweiligen OUs landen, kรถnnen Admins die Erstellung mittels redirusr bzw. redircmp umleiten. Nรคheres zum Umleiten von Containern in Windows Server.

Organisationseinheiten in Azure AD?

In Azure Active Directory, dem cloud-basierten Verzeichnisdienst von Microsoft, gibt es keine Organisationseinheiten. Stattdessen verwendet Azure AD Verwaltungseinheiten (Administrative Units bzw. AUs). Verwaltungseinheiten kรถnnen Benutzer, Gruppen und Gerรคte enthalten und fรผr die delegierte Verwaltung genutzt werden, also der Zuweisung von Administratorrechten (z.B. Benutzer-Admin oder Helpdesk-Admin), die nur innerhalb der Verwaltungseinheit gelten.

Anders als Organisationseinheiten unterstรผtzen Verwaltungseinheiten aber keine Gruppenrichtlinienobjekte, denn in Azure gibt es keine GPOs.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Best Practices fรผr Organisationseinheiten

1

Geeignete Struktur festlegen

Organisationseinheiten erlauben es Admins, Computer und Benutzer innerhalb einer Domain logisch zu gruppieren. Welche und wie viele Organisationseinheiten es in einem Windows-Netzwerk braucht, das hรคngt von den spezifischen Anforderungen und Gegebenheiten innerhalb der Organisation ab. Wichtig ist aber, den Aufbau der OUs frรผhzeitig zu planen und ein passendes Konzept zu etablieren.

Viele Firmen orientieren sich bei der Struktur ihrer Organisationseinheiten, รคhnlich der rollenbasierten Berechtigungsvergabe, am Aufbau der Organisation, gliedern diese also in unterschiedliche Standorte und Abteilungen. Die Struktur der OUs muss sich aber nicht zwangslรคufig nach dem Organigramm des Unternehmens richten. Wichtiger ist die Frage, fรผr welche Bereiche in der Praxis unterschiedliche Adminrechte und Gruppenrichtlinien verwendet werden. Sinnvoll ist z.B. hรคufig eine Trennung je nach Art des Gerรคts bei Computerkonten, also z.B. Laptop vs. PC.

2

Benutzer und Computer trennen

Da die meisten Organisationen unterschiedliche Gruppenrichtlinien fรผr Benutzerkonten und Computerkonten festlegen, ist es sinnvoll fรผr diesen Zweck getrennte Organisationseinheiten zu erstellen und anstatt der Standard-Container in Active Directory zu verwenden. Diese OUs kรถnnen fรผr globale Einstellungen fรผr Computer und User genutzt werden, wรคhrend eigene Richtlinien รผber Organisationseinheiten innerhalb der Benutzer-OU bzw. Computer-OU gesteuert werden.

3

Eindeutige Bezeichnungen verwenden

Um Unklarheiten bei der spรคteren Wartung zu verhindern, mรผssen alle Administratoren Organisationseinheiten mit klaren Bezeichnungen (und optionalen Beschreibungen) versehen, die den Zweck und Anwendungsbereich der OU eindeutig machen. Dabei ist es ebenso wichtig, dass das gesamte IT-Team das gleiche Schema verwendet: Benennt ein Admin OUs nach der Abteilung (Design) und ein anderer nach dem Job-Titel (Grafiker), kommt es schnell zu Verwirrung.

4

Vererbung von Gruppenrichtlinien verwenden

Mithilfe von Organisationseinheiten kรถnnen Admins unterschiedliche Richtlinien fรผr bestimmte Teile des AD (z.B. alle Benutzer in einer bestimmten Abteilung) festlegen. In den meisten Domains gibt es aber eine Vielzahl an Policies, die fรผr alle User bzw. Gerรคte gelten sollen.

Der einfachste Weg diesen Anwendungsfall umzusetzen ist es, ein GPO mit allgemeinen Richtlinien in eine รผbergeordnete Organisationseinheit zu legen, so dass alle darin enthalten OUs diese Einstellungen รผber Vererbung erhalten. Die Gruppenrichtlinien innerhalb der einzelnen OUs steuern hingegen nur abweichende Richtlinien. Das erleichtert spรคtere Anpassungen.

5

Ausnahmen durch Verschachtelung steuern

Ineinander verschachtelte Organisationseinheiten kรถnnen nicht nur verwendet werden, um vererbte Richtlinien zu erweitern, sondern auch um Ausnahmen zu definieren, die fรผr bestimmte Konten und Gerรคte gelten sollen. Ein Beispiel: Mittels GPO ist fรผr alle PCs einer Organisation eine Bildschirmsperre nach 10 Minuten Inaktivitรคt festgelegt. Allerdings sorgt diese in Konferenzrรคumen immer wieder fรผr Probleme bei Prรคsentationen und Video-Calls.

Die Lรถsung: die betreffenden Computer-Konten in eine eigene Organisationseinheit innerhalb der รผbergeordneten OU verschieben und dort รผber ein Gruppenrichtlinienobjekt eine neue Bildschirmsperre festlegen. Die Gerรคte erben weiterhin alle vorgesehenen Einstellungen, nur das gewรผnschte Setting wird durch die neue GPO รผberschrieben.

Automatische AD-Verwaltung mit tenfold

Sie mรถchten den รœberblick รผber Ihr AD behalten und dabei Zeit sparen, indem Sie die Verwaltung von Konten, Gruppen und Rechten nach neuesten Standards automatisieren? Identity und Access Management mit tenfold machts mรถglich!

Das User Lifecycle Management von tenfold legt neue Benutzer an, weist diese den richtigen AD-Gruppen und Organisationseinheiten zu und passt die Mitgliedschaft automatisch an, wenn sich die Rolle oder Abteilung eines Mitarbeiters รคndert. รœber das zentrale Berechtigungsreporting haben Admins die effektiven Rechte im AD und allen verknรผpften Systemen jederzeit im Blick. Das Self-Service-Interface entlastet die IT durch das Bereitstellen hรคufiger Services wie Passwort-Resets und Zugriffsanfragen. Und automatisierte Access Reviews erleichtern die regelmรครŸige Kontrolle des Zugriffs.

Das Beste? Neben der automatischen Verwaltung sorgt tenfold auch fรผr die optimale Struktur Ihres AD unter Einhaltung aller gรคngigen Best Practices!

Active Directory Best Practices umsetzen mit tenfold:

Jetzt selbst รผberzeugen!

Sie mรถchten sich selbst von den Vorteilen des zentralen und automatischen Benutzer- und Berechtigungsmanagements mit tenfold รผberzeugen? Bei einem kostenlosen Test kรถnnen Sie unsere IAM-Lรถsung in Ihrer eigenen IT-Umgebung auf Herz und Nieren testen โ€“ einschlieรŸlich der Installation und Demonstration durch unsere Experten.

Unverbindlich testen

รœberzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.