Active Directory Organisationseinheiten – OUs richtig verwalten!

Organisationseinheiten bzw. Organizational Units (OUs) spielen eine zentrale Rolle in der erfolgreichen Verwaltung von Benutzern und Computern im Active Directory. Doch was gilt es bei der Verwendung von Organisationseinheiten zu beachten? In unserem Ratgeber finden Sie die wichtigsten Hintergründe und Best Practices rund um das Thema AD Organisationseinheit!

Was ist eine Organisationseinheit in Active Directory?

Active Directory, Microsofts Verzeichnisdienst für die Verwaltung von Windows Umgebungen, gliedert Netzwerke in eine hierarchische Struktur. Computer und Benutzer sind Teil einer Domäne, die über mehrere Domain Controller gesteuert wird. Domains wiederum können in einer Baumstruktur angeordnet oder mit mehreren Bäumen (Trees) zu einem Forest verbunden werden. Während Trees und Forests oberhalb der Domain-Ebene liegen, liegen Organisationseinheiten darunter.

Eine Organisationseinheit oder Organizational Unit (OE bzw. OU) ist ein Teilbereich innerhalb einer Active Directory Domäne, für den Administratoren abweichende Richtlinien und Adminrechte festlegen können. Organisationseinheiten können Benutzer, Computer, Gruppen und andere OUs enthalten. Im Wesentlichen erfüllen Organisationseinheiten in Active Directory zwei Aufgaben:

  • 1

    Delegierte Verwaltung: OUs erlauben es Organisationen, Adminrechte an Benutzer zu vergeben, die nur innerhalb der jeweiligen Organisationeinheit gelten. So lässt sich der Bereich der Domäne, den ein Administrator verwalten kann, im Sinne des Least Privilege Prinzips einschränken. Außerdem können IT-Teams bestimmte Aufgaben wie das Zurücksetzen von Passwörtern an Verantwortliche in den Fachabteilungen auslagern.

  • 2

    Steuern von Gruppenrichtlinien: Über Gruppenrichtlinienobjekte (Group Policy Objects bzw. GPOs) können Administratoren in Windows eine Vielzahl an Einstellungen für Benutzer und Geräte verwalten. Organisationseinheiten erlauben das Zuweisen von Gruppenrichtlinien für bestimmte Teilbereiche des AD.

Wie erstelle ich Organisationseinheiten?

Um eine neue Organisationseinheit anzulegen, gibt es in Active Directory mehrere Möglichkeiten:

  • Über das Active Directory Verwaltungscenter

  • Über den Windows Server Manager bzw. die Remoteserver-Verwaltungstools (RSAT), genauer das Snap-In Active Directory Users & Computers (ADUC)

  • Mithilfe des PowerShell cmdlet New-ADOrganizationalUnit

Generell empfiehlt sich für OUs allerdings die Verwaltung über eine grafische Benutzeroberfläche, da sich so die Einhaltung der richtigen Struktur leichter sicherstellen lässt.

Unterschied Organisationseinheit vs. AD-Gruppen

Auf den ersten Blick haben Organisationseinheiten und Active Directory Gruppen viel gemeinsam: Beide dienen dazu, das AD zu strukturieren, indem sie unterschiedliche Objekte wie Benutzerkonten oder Geräte zu einer Einheit zusammenfassen.

Tatsächlich werden die beiden Active Directory Elemente jedoch für unterschiedliche Zwecke eingesetzt. Organisationseinheiten dienen der Steuerung von Gruppenrichtlinien sowie delegierten Adminrechten, während AD-Gruppen für die Verwaltung von Berechtigungen eingesetzt werden – beispielsweise NTFS Berechtigungen und Freigabeberechtigungen auf dem Fileserver oder Postfach Berechtigungen in Exchange. Auch der Zugang zu Drittsystemen kann an Active Directory Gruppen geknüpft werden

Unterschiede zwischen AD-Gruppen und Organisationseinheiten:

  • Organisationseinheiten können Gruppenrichtlinienobjekte (GPOs) enthalten, AD-Gruppen nicht

  • Organisationseinheiten ermöglichen die Delegierung von Adminrechten, AD-Gruppen nicht

  • AD-Gruppen können Berechtigungen steuern, Organisationseinheiten nicht

  • AD-Gruppen haben eine eigene SID, Organisationseinheiten nicht

Unterschied Organisationseinheit vs. Container

Beim Aufsetzen des Active Directory legt Windows automatisch Container wie Computer oder Benutzer an, in denen alle entsprechenden Objekte abgelegt werden. Damit erfüllen Container zwar eine ähnliche Rolle wie Organisationseinheiten, aber mit einem wichtigen Unterschied: Auf Container können keine Gruppenrichtlinienobjekte angewandt werden.

Daher ist es empfehlenswert, anstelle der Standardcontainer eigene Organisationseinheiten für alle Computer- bzw. Benutzerkonten anzulegen, um über diese globale Gruppenrichtlinien zu steuern. Damit neue Objekte statt der Default-Container in den jeweiligen OUs landen, können Admins die Erstellung mittels redirusr bzw. redircmp umleiten. Näheres zum Umleiten von Containern in Windows Server.

Organisationseinheiten in Azure AD?

In Azure Active Directory, dem cloud-basierten Verzeichnisdienst von Microsoft, gibt es keine Organisationseinheiten. Stattdessen verwendet Azure AD Verwaltungseinheiten (Administrative Units bzw. AUs). Verwaltungseinheiten können Benutzer, Gruppen und Geräte enthalten und für die delegierte Verwaltung genutzt werden, also der Zuweisung von Administratorrechten (z.B. Benutzer-Admin oder Helpdesk-Admin), die nur innerhalb der Verwaltungseinheit gelten.

Anders als Organisationseinheiten unterstützen Verwaltungseinheiten aber keine Gruppenrichtlinienobjekte, denn in Azure gibt es keine GPOs.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Best Practices für Organisationseinheiten

1

Geeignete Struktur festlegen

Organisationseinheiten erlauben es Admins, Computer und Benutzer innerhalb einer Domain logisch zu gruppieren. Welche und wie viele Organisationseinheiten es in einem Windows-Netzwerk braucht, das hängt von den spezifischen Anforderungen und Gegebenheiten innerhalb der Organisation ab. Wichtig ist aber, den Aufbau der OUs frühzeitig zu planen und ein passendes Konzept zu etablieren.

Viele Firmen orientieren sich bei der Struktur ihrer Organisationseinheiten, ähnlich der rollenbasierten Berechtigungsvergabe, am Aufbau der Organisation, gliedern diese also in unterschiedliche Standorte und Abteilungen. Die Struktur der OUs muss sich aber nicht zwangsläufig nach dem Organigramm des Unternehmens richten. Wichtiger ist die Frage, für welche Bereiche in der Praxis unterschiedliche Adminrechte und Gruppenrichtlinien verwendet werden. Sinnvoll ist z.B. häufig eine Trennung je nach Art des Geräts bei Computerkonten, also z.B. Laptop vs. PC.

2

Benutzer und Computer trennen

Da die meisten Organisationen unterschiedliche Gruppenrichtlinien für Benutzerkonten und Computerkonten festlegen, ist es sinnvoll für diesen Zweck getrennte Organisationseinheiten zu erstellen und anstatt der Standard-Container in Active Directory zu verwenden. Diese OUs können für globale Einstellungen für Computer und User genutzt werden, während eigene Richtlinien über Organisationseinheiten innerhalb der Benutzer-OU bzw. Computer-OU gesteuert werden.

3

Eindeutige Bezeichnungen verwenden

Um Unklarheiten bei der späteren Wartung zu verhindern, müssen alle Administratoren Organisationseinheiten mit klaren Bezeichnungen (und optionalen Beschreibungen) versehen, die den Zweck und Anwendungsbereich der OU eindeutig machen. Dabei ist es ebenso wichtig, dass das gesamte IT-Team das gleiche Schema verwendet: Benennt ein Admin OUs nach der Abteilung (Design) und ein anderer nach dem Job-Titel (Grafiker), kommt es schnell zu Verwirrung.

4

Vererbung von Gruppenrichtlinien verwenden

Mithilfe von Organisationseinheiten können Admins unterschiedliche Richtlinien für bestimmte Teile des AD (z.B. alle Benutzer in einer bestimmten Abteilung) festlegen. In den meisten Domains gibt es aber eine Vielzahl an Policies, die für alle User bzw. Geräte gelten sollen.

Der einfachste Weg diesen Anwendungsfall umzusetzen ist es, ein GPO mit allgemeinen Richtlinien in eine übergeordnete Organisationseinheit zu legen, so dass alle darin enthalten OUs diese Einstellungen über Vererbung erhalten. Die Gruppenrichtlinien innerhalb der einzelnen OUs steuern hingegen nur abweichende Richtlinien. Das erleichtert spätere Anpassungen.

5

Ausnahmen durch Verschachtelung steuern

Ineinander verschachtelte Organisationseinheiten können nicht nur verwendet werden, um vererbte Richtlinien zu erweitern, sondern auch um Ausnahmen zu definieren, die für bestimmte Konten und Geräte gelten sollen. Ein Beispiel: Mittels GPO ist für alle PCs einer Organisation eine Bildschirmsperre nach 10 Minuten Inaktivität festgelegt. Allerdings sorgt diese in Konferenzräumen immer wieder für Probleme bei Präsentationen und Video-Calls.

Die Lösung: die betreffenden Computer-Konten in eine eigene Organisationseinheit innerhalb der übergeordneten OU verschieben und dort über ein Gruppenrichtlinienobjekt eine neue Bildschirmsperre festlegen. Die Geräte erben weiterhin alle vorgesehenen Einstellungen, nur das gewünschte Setting wird durch die neue GPO überschrieben.

Automatische AD-Verwaltung mit tenfold

Sie möchten den Überblick über Ihr AD behalten und dabei Zeit sparen, indem Sie die Verwaltung von Konten, Gruppen und Rechten nach neuesten Standards automatisieren? Identity und Access Management mit tenfold machts möglich!

Das User Lifecycle Management von tenfold legt neue Benutzer an, weist diese den richtigen AD-Gruppen und Organisationseinheiten zu und passt die Mitgliedschaft automatisch an, wenn sich die Rolle oder Abteilung eines Mitarbeiters ändert. Über das zentrale Berechtigungsreporting haben Admins die effektiven Rechte im AD und allen verknüpften Systemen jederzeit im Blick. Das Self-Service-Interface entlastet die IT durch das Bereitstellen häufiger Services wie Passwort-Resets und Zugriffsanfragen. Und automatisierte Access Reviews erleichtern die regelmäßige Kontrolle des Zugriffs.

Das Beste? Neben der automatischen Verwaltung sorgt tenfold auch für die optimale Struktur Ihres AD unter Einhaltung aller gängigen Best Practices!

Active Directory Best Practices umsetzen mit tenfold:

Jetzt selbst überzeugen!

Sie möchten sich selbst von den Vorteilen des zentralen und automatischen Benutzer- und Berechtigungsmanagements mit tenfold überzeugen? Bei einem kostenlosen Test können Sie unsere IAM-Lösung in Ihrer eigenen IT-Umgebung auf Herz und Nieren testen – einschließlich der Installation und Demonstration durch unsere Experten.

Unverbindlich testen

Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!

Verfasst von: Joe Köller

Als tenfolds Content Manager verantwortet Joe Köller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitäten tiefgehend beleuchtet. Komplexe Materie verständlich zu erklären ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergründe der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre über Games und digitale Medien berichtet.