Active Directory & Benutzerverwaltung: Strukturiert, sicher, wartbar

Es gibt eine Sache, die ich bei fast jedem neuen Kunden als Erstes aufräume: das Active Directory. Typisches Bild, wenn ich die Umgebung übernehme: Flache OU-Struktur, Benutzer wild verteilt, Berechtigungen direkt auf Einzelaccounts statt auf Gruppen, alte Mitarbeiter-Konten noch aktiv, Service-Accounts mit schwachen Passwörtern, Gruppenrichtlinien, die niemand mehr nachvollziehen kann.

Das ist kein Versagen des Vorgängers – das ist die natürliche Entwicklung, wenn über Jahre hinweg immer wieder „nur schnell" ein Konto angelegt, eine Berechtigung vergeben, eine Gruppe erweitert wurde. Ohne System endet das immer gleich.

Dieser Artikel beschreibt, wie ich Active Directory aufsetze, wenn ich von Null starten darf – und worauf es ankommt, wenn man eine bestehende Umgebung bereinigt.

Die OU-Struktur: Organisation, nicht Technik

Der wichtigste Grundsatz bei Organizational Units: Die Struktur folgt der Organisation des Unternehmens, nicht der Technik. Also nicht „Alle Fileserver", „Alle Notebooks", „Alle User" – sondern Standorte und Abteilungen.

Ein Beispiel für ein mittelständisches Unternehmen mit zwei Standorten:

firma.local
├── Lehrte
│   ├── Benutzer
│   │   ├── Geschäftsführung
│   │   ├── Vertrieb
│   │   ├── Buchhaltung
│   │   ├── Produktion
│   │   └── IT
│   ├── Computer
│   │   ├── Clients
│   │   └── Server
│   └── Gruppen
│       ├── Security
│       └── Verteiler
├── Hannover
│   └── ...
├── Service-Accounts
├── Admin-Accounts
└── Deaktiviert

Die OU Deaktiviert ist der Ort, an dem ausgeschiedene Mitarbeiter landen – aber erst mal nicht gelöscht werden. Dazu später mehr.

Das AGDLP-Prinzip: Berechtigungen, die wartbar bleiben

AGDLP ist das vielleicht wichtigste Kürzel in der Microsoft-Welt. Es steht für:

Account – das Benutzerkonto
Global Group – eine globale Sicherheitsgruppe (z.B. „G_Vertrieb")
Domain Local Group – eine domänenlokale Gruppe (z.B. „DL_Vertrieb_Lesen")
Permission – die eigentliche Berechtigung auf einer Ressource

In der Praxis heißt das: Ein Benutzer kommt in eine globale Gruppe (nach Abteilung), die globale Gruppe wird Mitglied einer domänenlokalen Gruppe (nach Berechtigung), und die domänenlokale Gruppe bekommt die Rechte auf der Dateifreigabe oder dem Verzeichnis.

Das klingt umständlich, spart aber über die Jahre unendlich viel Zeit. Kommt ein neuer Vertriebsmitarbeiter dazu? Einfach in die Gruppe „G_Vertrieb" aufnehmen – alle Rechte stimmen automatisch. Kein Einzel-NTFS-Tuning, keine Ausnahmen, keine Lücken.

Gruppenrichtlinien: Weniger ist mehr

Gruppenrichtlinien (GPOs) sind mächtig. Und genau deshalb missbraucht. Ich habe Umgebungen gesehen, in denen über 150 GPOs parallel existierten – davon waren zwei Drittel nicht mehr verknüpft, aber niemand traute sich, sie zu löschen, „weil man ja nie weiß".

Meine Regeln:

Sprechende Namen. Nicht „GPO1", sondern „GPO_User_Desktop_Lehrte". Aus dem Namen sollte sofort hervorgehen, wen die Richtlinie betrifft und was sie tut.
Granulare Richtlinien statt Super-GPO. Lieber zehn kleine GPOs für unterschiedliche Zwecke als eine riesige, die alles macht.
Dokumentation pflichten. Jede GPO bekommt im Kommentarfeld eine kurze Beschreibung: Wofür ist sie da, wer hat sie angelegt, wann wurde sie zuletzt geändert.
Versionsverwaltung per Advanced Group Policy Management oder regelmäßige Backups per PowerShell – damit man Änderungen nachvollziehen und zurückrollen kann.
Keine Ausnahmen direkt am Objekt. Wenn eine GPO für einen einzelnen User nicht gelten soll, läuft das über Security-Filtering, nicht über „Block Inheritance".

Das Onboarding-Template: Neue Mitarbeiter in fünf Minuten

Wenn ich bei einem Kunden die Benutzerverwaltung übernehme, ist das erste, was ich einführe, ein standardisiertes Onboarding. Ziel: Ein neuer Mitarbeiter ist in fünf Minuten arbeitsfähig.

Der Ablauf:

Rollen-Templates im AD. Für jede Abteilung gibt es einen Muster-Benutzer mit allen richtigen Gruppenmitgliedschaften. Neuen User anlegen heißt: Template kopieren, Namen anpassen, fertig.
PowerShell-Script für die Standardaufgaben (Home-Verzeichnis anlegen, Exchange-Postfach aktivieren, Microsoft-365-Lizenz zuweisen, Onboarding-E-Mail verschicken).
Checkliste für die Personalabteilung. Was braucht der neue Kollege? Hardware, Zugriffe auf Branchen-Software, Schlüssel, Parkplatz – alles auf einem Blatt.
Klar definierter Startzeitpunkt. Das Konto ist erst ab dem ersten Arbeitstag aktiv, nicht vorher.

Das Offboarding: Der Teil, der am häufigsten vergessen wird

Was beim Onboarding eingeführt wird, muss beim Offboarding auch sauber wieder rausgenommen werden. In vielen Unternehmen, die ich übernehme, sind ehemalige Mitarbeiter-Konten noch aktiv – manche seit Jahren. Jedes davon ist ein potenzielles Einfallstor.

Mein Standard-Offboarding-Prozess:

Tag 0 (letzter Arbeitstag): Konto wird deaktiviert (nicht gelöscht), Passwort geändert, alle Sitzungen beendet, Laufzeitkonto in die OU „Deaktiviert" verschoben.
Tag 1: Postfach-Weiterleitung oder Abwesenheitsnotiz eingerichtet, damit externe Kontakte weiter bedient werden.
Woche 1: Home-Verzeichnis archiviert, wichtige Dokumente dem Nachfolger oder der Abteilungsleitung übergeben.
Nach 90 Tagen: Konto vollständig gelöscht, Postfach archiviert, Microsoft-365-Lizenz freigegeben.

Die 90-Tage-Frist gibt der Firma Zeit, falls doch noch etwas aus dem Postfach gebraucht wird. Länger sollte man Konten aber auf keinen Fall aktiv halten.

Passwort-Richtlinien: Länge schlägt Komplexität

Die klassischen Passwort-Regeln („8 Zeichen, Großbuchstabe, Zahl, Sonderzeichen, alle 90 Tage wechseln") sind seit Jahren überholt. NIST und BSI empfehlen inzwischen:

Mindestens 12 Zeichen, besser 14 oder mehr.
Kein erzwungener Wechsel mehr, außer bei Verdacht auf Kompromittierung.
Blacklist gegen bekannte Passwörter (z.B. per Azure AD Password Protection oder einem On-Premise-Äquivalent).
MFA als Pflicht für alle administrativen Konten, idealerweise auch für normale User.

Für Administrator-Accounts gelten nochmal strengere Regeln: Lange, zufällige Passwörter, gespeichert in einem Passwort-Manager wie Keeper, Bitwarden oder KeePass, MFA zwingend, und keine Wiederverwendung für andere Systeme.

Der Admin-Account: Niemals im Alltag

Ein Fehler, den ich immer noch viel zu oft sehe: Der Systemadministrator nutzt seinen Domain-Admin-Account auch für die tägliche Arbeit – Mails lesen, im Web surfen, Office-Dokumente öffnen. Das ist, als würde man mit dem Generalschlüssel ins Café gehen.

Die saubere Trennung:

Tages-Account ohne administrative Rechte, für E-Mail, Web, Office, alles Normale.
Server-Admin-Account für administrative Aufgaben an Servern – nur per runas oder separater RDP-Sitzung genutzt.
Domain-Admin-Account ausschließlich für AD-Änderungen, nur von dedizierten Admin-Workstations aus, idealerweise per Tiered-Admin-Modell.

Monitoring und regelmäßige Audits

Einmal sauber aufgesetzt reicht nicht. Ein gut gepflegtes AD braucht regelmäßige Kontrolle:

Quartalsweises Konto-Audit: Welche Konten sind länger als 90 Tage nicht genutzt worden? Welche Gruppenmitgliedschaften haben sich geändert, ohne dass es einen Ticket-Vorgang gab?
Jährlicher GPO-Review: Welche Richtlinien sind noch aktiv? Welche können gelöscht werden?
Login-Anomalien: Administrative Logins außerhalb der Arbeitszeit, Logins aus dem Ausland, fehlgeschlagene Anmeldeversuche – alles, was auffällig ist, wird geprüft.
Replikation der Domain Controller monatlich mit repadmin /replsummary und dcdiag prüfen.

Fazit

Active Directory ist nicht kompliziert, wenn man es von Anfang an richtig aufsetzt. Und es ist nicht hoffnungslos, wenn eine gewachsene Umgebung aus den Fugen geraten ist – sie lässt sich mit einem strukturierten Bereinigungs-Projekt in zwei bis vier Wochen wieder in einen sauberen Zustand bringen.

Wichtig sind in beiden Fällen die gleichen Prinzipien: Struktur folgt der Organisation, Berechtigungen laufen über Gruppen, nicht über Einzelkonten, jede Änderung wird dokumentiert, und administrative Rechte werden streng getrennt vom Tagesgeschäft.

Wenn Sie Unterstützung bei der Bereinigung Ihrer bestehenden Umgebung oder beim Neuaufbau eines sauberen AD brauchen: Ich komme vorbei, schaue mir das an und sage ehrlich, was zu tun ist.

Häufige Fragen

Was ist das AGDLP-Prinzip genau?

AGDLP steht für Account → Global Group → Domain Local Group → Permission. Der Benutzer kommt in eine globale Gruppe, die globale Gruppe wird Mitglied einer domänenlokalen Gruppe, und die domänenlokale Gruppe bekommt die Berechtigung auf der Ressource. Das macht Rechteverwaltung langfristig wartbar.

Wie viele Gruppenrichtlinien sind normal?

Für ein mittelständisches Unternehmen sind 15 bis 30 aktive Gruppenrichtlinien meist vollkommen ausreichend. Wenn deutlich mehr im Einsatz sind, lohnt sich ein Aufräumen – meistens lassen sich zwei Drittel zusammenfassen oder ganz entfernen.

Wie oft sollte man ein AD-Audit durchführen?

Quartalsweise für das Benutzer- und Gruppen-Audit, jährlich für den vollen GPO-Review. Dazu laufend automatisches Monitoring von Login-Anomalien und Replikationsproblemen.

Lohnt sich der Umstieg auf Microsoft Entra ID (Azure AD) komplett?

Für Firmen, die fast ausschließlich Cloud-Anwendungen nutzen, ja. In den meisten mittelständischen Unternehmen sehe ich aber weiterhin Hybrid-Setups: On-Premise AD für lokale Logins, Dateiserver und Branchenanwendungen, Microsoft Entra ID für Microsoft 365 und SaaS-Anbindungen. Die Kombination läuft in der Praxis sehr stabil.

Wie schnell lässt sich eine chaotische AD-Umgebung sanieren?

Eine typische Bereinigung dauert zwei bis vier Wochen, oft mit Arbeiten außerhalb der Kernzeiten. Benutzerkonten und Gruppen werden bereinigt, Berechtigungen neu über AGDLP aufgesetzt, Gruppenrichtlinien konsolidiert. Am Ende steht eine dokumentierte, saubere Umgebung.

CV

Über den Autor

Christian Voß ist IT-Systemadministrator mit über 20 Jahren Erfahrung und Inhaber von Netzking in Lehrte bei Hannover. Er plant, baut und betreibt Microsoft-Server-Landschaften und Netzwerke für Unternehmen in Niedersachsen.

IT-Service anfragen → Weitere Artikel →

Klingt das nach Ihrem Thema?

Sprechen wir darüber, wie ich Ihre Server-Landschaft fit machen kann.

Unverbindliche Anfrage