Tipps für schnelleres Nutzer-Onboarding in Active Directory

Manuelles Erstellen eines Benutzerkontos

Wenn Sie einen Benutzer in der Verwaltungskonsole Active Directory-Benutzer und -Computer (ADUC) einrichten, rufen Sie die gewünschte Organisationseinheit (OU) auf und erstellen Sie einen neuen Benutzer. Ein Assistent führt Sie durch ein paar grundlegende Optionen und richtet das Konto ein.

Anschließend öffnen Sie die Eigenschaften des Kontos und füllen die übrigen Felder in einem zweiten Schritt manuell aus. Ein wichtiger Faktor für Sicherheit und Effizienz sind wiederholbare und konsistente Konfigurationen. Beim manuellen Ausfüllen hängt diese Konsistenz nur von Ihrer eigenen Konzentration ab; vielleicht haben Sie eine Checkliste, die Ihnen hilft, Fehler zu vermeiden. Dennoch besteht diese Gefahr – daher der Bedarf an einer Vorlage.

Es gibt mehrere Möglichkeiten, Benutzerkonten in Active Directory zu erstellen. Sie könnten das Active Directory Administrative Center verwenden, das ein Windows PowerShell GUI-Frontend ist, um mehr Optionen im Vergleich zur ADUC-Konsole zu erhalten. Eine andere Möglichkeit ist der direkte Einsatz von PowerShell-Cmdlets direkt in der Befehlszeile. Sie können den Prozess natürlich auch skripten, um ein ähnliches Ergebnis wie mit den ADUC-basierten Vorlagen zu erzielen.

Erstellen einer Active Directory-Benutzervorlage

Die Idee hinter einer Vorlage ist es, einmalig ein perfekt konfiguriertes Konto zu erstellen, und es dann für jeden neuen Benutzer zu kopieren, den Sie zu Active Directory hinzufügen.

Gehen Sie zunächst vor, wie beim Einrichten eines normalen Benutzerkontos. Wählen Sie die OU aus, klicken Sie mit der rechten Maustaste, wählen Sie Neu und dann Benutzer aus. Legen Sie im Assistenten für den Anmeldenamen des Benutzers einen Wert wie _salestemplate und für den ersten Namen des Kontos den Wert _sales fest. Indem Sie den Unterstrich als erstes Zeichen in diese Felder setzen, sorgen Sie dafür, dass das Vorlagenkonto in alphabetischen Listen ganz oben platziert wird, so dass Sie es schnell finden. Schließen Sie den Assistenten ab, indem Sie ein Kennwort festlegen und die Kontrollkästchen Benutzer muss Kennwort bei der nächster Anmeldung ändern und Konto ist deaktiviert aktivieren, damit keiner die Vorlage als richtigen Benutzer verwendet.

Doppelklicken Sie anschließend auf das Konto in der OU, um es zu öffnen. Hier sind einige Beispiele für Felder, die Sie ausfüllen sollten – im Einzelnen ist aber am wichtigsten, was für Ihre Organisation sinnvoll ist:

• Allgemein: Beschreibung
• Adresse: Stadt, Bundesland, Land
• Konto: Anmeldestunden, Anmelden bei
• Profil: Profil, Home-Ordner
• Organisation: Berufsbezeichnung, Abteilung, Unternehmen, Manager
• Mitglied von: Gruppenmitgliedschaften

Einstellungen wie eingeschränkte Anmeldezeiten und die Anmeldung an bestimmten Arbeitsplätzen sind sinnvolle Einstellungen für externe Benutzer und Zeitarbeitskräfte oder reguläre Mitarbeiter, die in besonders sensiblen Bereichen arbeiten.

Die oben aufgeführten Einstellungen sind einfach zu handhaben. Achten Sie jedoch besonders auf die Gruppen- und Stammverzeichniseinstellungen.

Verwalten von Gruppenmitgliedschaften

Einer der Hauptvorteile der Active Directory-Benutzervorlagen besteht darin, dass Sie auch die Gruppenmitgliedschaften gleich mitkopieren. Das trägt zur Konsistenz bei. Da Gruppenmitgliedschaften eine der wichtigsten Methoden zur Verwaltung von Zugriffskontrollen für Ressourcen sind, ist diese Funktion von entscheidender Bedeutung für die Sicherheit. Konfigurieren Sie die Gruppenmitgliedschaften auf der Registerkarte Mitglied von.

Fügen Sie das Vorlagenkonto zu allen richtigen Gruppen hinzu. Ein Beispiel: Sie erstellen eine Vorlage für ein Konto für Benutzer im Vertrieb. Diese benötigen Zugriff auf Vertriebsverzeichnisse und -dateien, die sie durch Mitgliedschaft in der globalen Vertriebsgruppe erhalten. Außerdem greift das Vertriebsteam vielleicht regelmäßig über VPN auf das Netzwerk zu, so dass das Konto in die globale Gruppe vpn_allowed muss.

Schließlich stellt das Unternehmen dem Vertriebsteam Laptops zur Verfügung, so dass Sie das Konto der Gruppe laptop_users hinzufügen sollten. Jede dieser Gruppen hilft bei der Verwaltung des Benutzerkontos und seines Ressourcenzugriffs. Ähnliche Einstellungen gibt es für die Mitglieder der Marketing- oder Finanzabteilung, die möglicherweise keine Laptops erhalten oder sich nicht über das VPN einwählen können. Die Vorlagen für diese Konten enthalten ihre eigenen, eindeutigen Gruppenmitgliedschaften.

Home-Verzeichnisse erstellen

Ein weiterer nützlicher Trick, den manche Administratoren vielleicht nicht kennen, ist das Integrieren der Variable %usernameProzent% in die Vorlage. Normalerweise gibt das Unternehmen den Benutzern ein eigenes Verzeichnis im Netzwerk. Dieses Verzeichnis ist ordnungsgemäß gesichert und erhält regelmäßig Backups, was viel besser ist, als wenn die Benutzer ihre Geschäftsdaten auf ihren lokalen Arbeitsstationen speichern. Sie können diesen Netzwerk-Stammordner manuell erstellen und seine NTFS- und Freigabeberechtigungen festlegen, aber es gibt einen besseren Weg.

Suchen Sie zunächst den freigegebenen Ordner auf einem Netzlaufwerk, auf dem die Home-Verzeichnisse Ihrer Benutzer oder zumindest der Benutzer, für die Sie das Vorlagenkonto erstellen, gespeichert sind. Stellen Sie sicher, dass Sie den Pfad der Universal Naming Convention für diese Freigabe kennen. In dieser Demonstration lautet der Pfad \\DC01\homedirs.

Wählen Sie beim Erstellen der Vorlage die Registerkarte Profil. Geben Sie den folgenden Wert für die Stammverzeichnisfreigabe ein: \\DC01\homedirs\%username%. Sobald Sie das Konto erstellt haben, ersetzt der Assistent die Variable %username% durch den Kontonamen. Aber das ist noch nicht der Clou. Wechseln Sie zur Freigabe \\DC01\homedirs und Sie werden sehen, dass automatisch ein Home-Verzeichnis mit demselben Benutzernamen erstellt wurde. Wenn Sie die Berechtigungen überprüfen, wird der Benutzer als Eigentümer mit den entsprechenden Berechtigungen festgelegt. Diese Variable ist eine echte Zeitersparnis und hilft Ihnen beim Verwalten Ihrer Sicherheitseinstellungen.

In diesem Beispiel haben wir diese Freigabe dem Laufwerk H: für die Benutzer zugewiesen.

Auf der Registerkarte Profile gibt es eine Option zum Speichern von Roaming-Profilen im Netzwerk. Der %username%-Trick funktioniert auch für diese Einstellung.

Erstellen einer Benutzervorlage für einen Zeitarbeiter

In dieser Aufgabe werden Sie eine Vorlage für Auftragnehmer oder Zeitarbeiter in Ihrem Unternehmen erstellen.

Zu diesem Zwecke gehen wir davon aus, dass Sie bereits über eine OU Zeitarbeiter, eine globale Gruppe gg_temps und eine Netzwerkfreigabe unter \\servername\homedirs eingerichtet haben. Wählen Sie die OU Temps aus und beginnen Sie mit dem Erstellen des Vorlagenkontos. Geben Sie dem Konto den Namen _temp-user, legen Sie ein Kennwort fest, das nie abläuft, und deaktivieren Sie das Konto während des Einrichtungsassistenten.

Öffnen Sie dann die Eigenschaften von _temp-user und konfigurieren Sie die folgenden Einstellungen auf den entsprechenden Registerkarten:

• Adresse: 123 Main Street, Anytown, USA 12345
• Kontoeinschränkungen:
  • Anmeldezeiten: Montag-Freitag 8-18 Uhr
  • Anmelde-Workstations: Arbeitsstation06
  • Home-Verzeichnis: Ordnen Sie die Freigabe \\Servername\homedirs\ProzentBenutzernameProzent dem Laufwerksbuchstaben H: zu.
• Organisation: Name des Managers
• Gruppenmitgliedschaft: gg_temps Global Group

Speichern Sie die Änderungen und suchen Sie nach dem Home-Verzeichnis. Sie sollten ein Home-Verzeichnis für das neue _temp-user-Konto sehen.

Erstellen Sie schließlich einen neuen temporären Benutzer auf der Grundlage der Vorlage. Klicken Sie mit der rechten Maustaste auf die Vorlage _temp-user und wählen Sie Kopieren. Gehen Sie durch den Assistenten und verwenden Sie den Namen user01. Legen Sie ein Passwort fest, ändern Sie das Passwort nach der ersten Anmeldung und aktivieren Sie das Konto. Öffnen Sie das neue Konto und überprüfen Sie die Einstellungen für Adresse, Gruppen, Manager, Home und Anmeldebeschränkungen. Überprüfen Sie auch das neue Home-Verzeichnis.

Wurden die Einstellungen wie erwartet übernommen? Überprüfen Sie jede Registerkarte sorgfältig auf die richtigen Werte.

Machen Sie sich mit dem Organigramm vertraut, um Überraschungen zu vermeiden

Bei der Arbeit mit Active Directory-Benutzervorlagen ist es hilfreich, organisiert zu sein und einen Plan zu haben.

Erstellen Sie die Vorlagen für jede Art von Benutzer in Ihrer Organisation. Beginnen Sie mit einem Blick auf das Organigramm, um die Benutzerkategorien zu überprüfen. Prüfen Sie anschließend die Sicherheitsrichtlinien des Unternehmens, um festzustellen, für welche Arten von Benutzern bestimmte Einstellungen erforderlich sind.

Sie könnten beispielsweise feststellen, dass für Standardbenutzer eingeschränkte Anmeldezeiten gelten, während Führungskräfte sich jederzeit anmelden können. Das Ergebnis ist eine Reihe verschiedener Kontenkategorien auf der Grundlage von Einstellungen, die Ihnen eine Liste der Vorlagen liefern, die Sie erstellen müssen, und in welchen OUs sie gespeichert werden sollen.

Priorisieren Sie beim Erstellen der Vorlagenstruktur Sicherheit vor Bequemlichkeit oder Effizienz. Stellen Sie sicher, dass der Rest Ihres Teams mitmacht, damit alle die Vorlagen verwenden, wenn sie Konten erstellen, und niemand den manuellen Prozess verwendet, wenn es nicht notwendig ist.