(0) exportieren Drucken
Alle erweitern

Schritt 4: Verwalten von Organisationseinheiten, Gruppen und Benutzern in AD LDS (Übungen)

Letzte Aktualisierung: September 2007

Betrifft: Windows Server 2008

Sie verwenden Active Directory Lightweight Directory Services (AD LDS) am häufigsten zum Speichern von Informationen zu Benutzern und Organisationen sowie zu den Gruppen, denen diese angehören. Die Verwaltung von Organisationseinheiten (Organizational Units, OU), Gruppen und Benutzern in AD LDS umfasst folgende Aufgaben:

Erstellen einer Organisationseinheit

Zum Organisieren von AD LDS-Benutzern und -Gruppen können Sie Benutzer und Gruppen in Organisationseinheiten aufnehmen. In den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) und AD LDS sowie in anderen LDAP-basierten Verzeichnissen (Lightweight Directory Access-Protokoll) werden Organisationseinheiten zum Organisieren von Benutzern und Gruppen am häufigsten verwendet.

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um dieses Verfahren ausführen zu können. Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So erstellen Sie eine Organisationseinheit

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

  2. Stellen Sie eine Verbindung und eine Bindung mit der AD LDS-Instanz her, der Sie eine Organisationseinheit hinzufügen möchten.

    Stellen Sie für diese Übung eine Verbindung und eine Bindung mit der Anwendungsverzeichnispartition o=Microsoft,c=US her. Dieser Vorgang wird in der Anleitung zum Verwalten von AD LDS-Instanzen mit ADSI-Editor unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen) beschrieben.

  3. Doppelklicken Sie in der Konsolenstruktur auf die Verzeichnispartition o=Microsoft,c=US, klicken Sie mit der rechten Maustaste auf den Container, dem Sie die Organisationseinheit hinzufügen möchten, zeigen Sie auf Neu, und klicken Sie dann auf Objekt.

  4. Klicken Sie unter Wählen Sie eine Klasse aus auf organizationalUnit, und klicken Sie dann auf Weiter.

  5. Geben Sie unter Wert einen Namen für die neue Organisationseinheit ein, und klicken Sie dann auf Weiter.

    Geben Sie für diese Übung AD LDS Users im Feld Wert ein.

  6. Klicken Sie auf Weitere Attribute, falls Sie Werte für weitere Attribute festlegen möchten.

    Klicken Sie in dieser Übung einfach auf Fertig stellen.

Erstellen einer AD LDS-Gruppe

Sie können Benutzer und Gruppen in AD LDS über das ADSI-Editor-Snap-In oder über AD-fähige Anwendungen verwalten. Zum Erstellen von Benutzern in AD LDS müssen Sie zunächst die mit AD LDS bereitgestellten optionalen Benutzerklassen in das AD LDS-Schema importieren. Diese Benutzerklassen werden in importierbaren LDF-Dateien bereitgestellt, die Sie im Verzeichnis %windir%\ADAM auf dem Computer finden, auf dem AD LDS installiert ist. Weitere Informationen finden Sie in der Anleitung zum Erstellen einer neuen AD LDS-Instanz mit dem Setup-Assistenten für Active Directory Lightweight Directory Services unter Schritt 2: Verwenden von AD LDS-Instanzen (Übungen).

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So erstellen Sie eine AD LDS-Gruppe

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

  2. Stellen Sie eine Verbindung und eine Bindung mit der AD LDS-Instanz her, der Sie eine Organisationseinheit hinzufügen möchten.

    Stellen Sie für diese Übung eine Verbindung und eine Bindung mit der Anwendungsverzeichnispartition o=Microsoft,c=US her. Dieser Vorgang wird in der Anleitung zum Verwalten von AD LDS-Instanzen mit ADSI-Editor unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen) beschrieben.

  3. Doppelklicken Sie in der Konsolenstruktur auf die Verzeichnispartition o=Microsoft,c=US, klicken Sie mit der rechten Maustaste auf OU=AD LDS Users, zeigen Sie auf Neu, und klicken Sie dann auf Objekt.

  4. Klicken Sie unter Wählen Sie eine Klasse aus auf Gruppe, und klicken Sie dann auf Weiter.

  5. Geben Sie unter Wert einen gemeinsamen Namen (Common Name, CN) für die neue Gruppe ein, und klicken Sie dann auf Weiter.

    Geben Sie für diese Übung AD LDS Testers im Feld Wert ein.

    noteHinweis
    Standardmäßig ist das Attribut für groupType auf 0x80000002 (hexadezimal) festgelegt. Damit wird eine Kontogruppe dargestellt. Klicken Sie auf Weitere Attribute, wenn Sie das Attribut ändern möchten. Wählen Sie unter Anzuzeigende Eigenschaften die Option Beide aus (erforderlich und optional). Wählen Sie im Dropdownmenü Anzuzeigende Eigenschaft die Option groupType aus und bearbeiten Sie diese gemäß dem Entwurf mit der Eingabe des entsprechenden Werts im Feld Attribut bearbeiten.

  6. Klicken Sie auf Weitere Attribute, falls Sie Werte für weitere Attribute festlegen möchten.

  7. Klicken Sie auf Fertig stellen, nachdem Sie die gewünschten Attribute für die neue Gruppe festgelegt haben.

Erstellen eines AD LDS-Benutzers

Sie können Benutzer und Gruppen in AD LDS mit dem ADSI-Editor-Snap-In mit AD-fähigen Anwendungen verwalten. Zum Erstellen von Benutzern in AD LDS müssen Sie zunächst die mit AD LDS bereitgestellten optionalen Benutzerklassen in das AD LDS-Schema importieren. Diese Benutzerklassen werden in importierbaren LDF-Dateien bereitgestellt, die Sie im Verzeichnis %windir%\ADAM auf dem Computer finden, auf dem AD LDS installiert ist. Weitere Informationen finden Sie in der Anleitung zum Erstellen einer neuen AD LDS-Instanz mit dem Setup-Assistenten für Active Directory Lightweight Directory Services unter Schritt 2: Verwenden von AD LDS-Instanzen (Übungen).

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So erstellen Sie einen AD LDS-Benutzer

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

  2. Stellen Sie eine Verbindung und eine Bindung mit der AD LDS-Instanz her, der Sie eine Organisationseinheit hinzufügen möchten.

    Stellen Sie für diese Übung eine Verbindung und eine Bindung mit der Anwendungsverzeichnispartition o=Microsoft,c=US her. Dieser Vorgang wird in der Anleitung zum Verwalten von AD LDS-Instanzen mit ADSI-Editor unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen) beschrieben.

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf OU=AD LDS Users, zeigen Sie auf Neu, und klicken Sie dann auf Objekt.

  4. Klicken Sie unter Wählen Sie eine Klasse aus auf die Klasse, die Sie verwenden möchten (user, inetOrgPerson, person oder OrganizationalPerson), und klicken Sie dann auf Weiter.

  5. Geben Sie unter Wert einen Wert für das CN-Attribut (Common Name, gemeinsamer Name) des neuen Benutzers ein, und klicken Sie dann auf Weiter.

    Geben Sie für diese Übung Mary North als CN des neuen Benutzers ein.

  6. Klicken Sie auf Weitere Attribute, falls Sie Werte für weitere Attribute festlegen möchten.

  7. Klicken Sie auf Fertig stellen, nachdem Sie die gewünschten weiteren Attribute für den neuen Benutzer festgelegt haben.

    noteHinweis
    Wenn ein AD LDS-Benutzer mit einem leeren Kennwort erstellt wird, wird dieses Benutzerkonto automatisch deaktiviert. Folgen Sie zur erfolgreichen Ausführung der weiteren Übungen in dieser Anleitung den Schritten unter "So deaktivieren oder aktivieren Sie einen AD LDS-Benutzer" weiter unten, um das gerade erstellte Benutzerkonto CN=Mary North,OU=AD LDS Users,O=Microsoft,C=US zu aktivieren.

Hinzufügen oder Entfernen von Mitgliedern zu bzw. aus einer AD LDS-Gruppe

In AD LDS wird der Zugriff auf Verzeichnisdaten über Benutzer und Gruppen bereitgestellt und gesteuert. AD LDS unterstützt die gleichzeitige Verwendung von Windows-Benutzern und AD LDS-Benutzern. Sowohl Windows-Benutzer als auch AD LDS-Benutzer können Mitglieder von AD LDS-Gruppen sein.

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So fügen Sie Mitglieder zu einer AD LDS-Gruppe hinzu oder entfernen Mitglieder aus dieser

  1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf ADSI-Editor.

  2. Stellen Sie eine Verbindung und eine Bindung mit der AD LDS-Instanz her, der Sie eine Organisationseinheit hinzufügen möchten.

    Stellen Sie für diese Übung eine Verbindung und eine Bindung mit der Anwendungsverzeichnispartition o=Microsoft,c=US her. Dieser Vorgang wird in der Anleitung zum Verwalten von AD LDS-Instanzen mit ADSI-Editor unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen) beschrieben.

  3. Doppelklicken Sie in der Konsolenstruktur auf die Verzeichnispartition mit der Gruppe, die Sie ändern möchten.

  4. Klicken Sie mit der rechten Maustaste auf die zu ändernde Gruppe, und klicken Sie dann auf Eigenschaften.

    Wählen Sie für diese Übung CN=AD LDS Testers aus.

  5. Klicken Sie unter Attribute auf Mitglied, und klicken Sie dann auf Bearbeiten.

  6. Klicken Sie unter Editor für mehrwertige definierte Namen mit Sicherheitsprinzipal für jeden AD LDS-Sicherheitsprinzipal, den Sie der Gruppe hinzufügen möchten, auf DN hinzufügen, geben Sie den definierten Namen des neuen Mitglieds ein, und klicken Sie dann auf OK.

    Geben Sie für diese Übung Folgendes ein: CN=Mary North,OU=AD LDS Users,o=Microsoft,c=US.

  7. Klicken Sie unter Editor für mehrwertige definierte Namen mit Sicherheitsprinzipal für jeden Windows-Sicherheitsprinzipal, den Sie der Gruppe hinzufügen möchten, auf Windows-Konto hinzufügen, geben Sie den Kontonamen des neuen Mitglieds ein, und klicken Sie dann auf OK.

  8. Klicken Sie unter Editor für mehrwertige definierte Namen mit Sicherheitsprinzipal für jedes aus der Gruppe zu entfernende Mitglied auf das zu entfernende Mitglied, und klicken Sie dann auf Entfernen.

  9. Klicken Sie nach dem Ausführen der Änderungen, die Sie an der Gruppe vornehmen möchten, zweimal auf OK.

Deaktivieren oder Aktivieren eines AD LDS-Benutzerkontos

Wenn Sie einen AD LDS-Benutzer deaktivieren oder aktivieren, steuern Sie, ob dieser Benutzer eine Bindung an das AD LDS-Verzeichnis herstellen kann. Zum Deaktivieren und Aktivieren von AD LDS-Benutzern verwenden Sie das ADSI-Editor-Snap-In.

Sie müssen mindestens Mitglied der Gruppe Administratoren der AD LDS-Instanz sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter Lokale und Domänenstandardgruppen (http://go.microsoft.com/fwlink/?LinkId=83477). Der Sicherheitsprinzipal, den Sie beim AD LDS-Setup als AD LDS-Administrator angeben, wird standardmäßig Mitglied der Gruppe Administratoren in der Konfigurationspartition.

So deaktivieren oder aktivieren Sie einen AD LDS-Benutzer

  1. Öffnen Sie den ADSI-Editor.

  2. Stellen Sie eine Verbindung und eine Bindung mit der AD LDS-Instanz her, der Sie eine Organisationseinheit hinzufügen möchten.

    Stellen Sie für diese Übung eine Verbindung und eine Bindung mit der Anwendungsverzeichnispartition o=Microsoft,c=US her. Dieser Vorgang wird in der Anleitung zum Verwalten von AD LDS-Instanzen mit ADSI-Editor unter Schritt 3: Verwenden von AD LDS-Verwaltungsprogrammen (Übungen) beschrieben.

  3. Suchen Sie den AD LDS-Benutzer, den Sie deaktivieren oder aktivieren möchten. Klicken Sie mit der rechten Maustaste auf den Benutzer, und klicken Sie dann auf Eigenschaften.

    Wählen Sie für diese Übung CN=Mary North aus.

  4. Klicken Sie in der Liste Attribute auf msDS-UserAccountDisabled, und klicken Sie dann auf Bearbeiten.

  5. Führen Sie unter Editor für boolesche Attribute eine der folgenden Aktionen aus, und klicken Sie dann auf OK:

    • Klicken Sie auf Wahr, um den AD LDS-Benutzer zu deaktivieren.

    • Klicken Sie auf Falsch oder auf Nicht gesetzt, um den AD LDS-Benutzer zu aktivieren.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft