Active Directory Referenz

Häufige PowerShell-Befehle und Troubleshooting für den AD-Alltag.

← Zurück zum Wiki
Benutzer Gruppen Computer OUs & Struktur Troubleshooting

Benutzer verwalten

Die wichtigsten Befehle für das Erstellen, Suchen und Verwalten von AD-Benutzerkonten. Alle Befehle setzen das ActiveDirectory-Modul voraus.

AD-Modul laden

Voraussetzung Muss einmalig pro Sitzung ausgeführt werden.

Import-Module ActiveDirectory

Benutzer suchen

Benutzer Sucht nach einem Benutzer anhand des Anzeigenamens.

Get-ADUser -Filter "Name -like '*Mustermann*'" -Properties *

Alle gesperrten Konten anzeigen

Benutzer Zeigt alle aktuell gesperrten Benutzerkonten.

Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut

Konto entsperren

Benutzer Entsperrt ein gesperrtes Benutzerkonto.

Unlock-ADAccount -Identity "benutzername"

Passwort zurücksetzen

Benutzer Setzt das Passwort und erzwingt eine Änderung beim nächsten Login.

Set-ADAccountPassword -Identity "benutzername" -Reset -NewPassword (ConvertTo-SecureString "NeuesPasswort123!" -AsPlainText -Force) Set-ADUser -Identity "benutzername" -ChangePasswordAtLogon $true

Neuen Benutzer anlegen

Benutzer Erstellt ein neues Benutzerkonto in einer bestimmten OU.

New-ADUser -Name "Max Mustermann" ` -SamAccountName "mmustermann" ` -UserPrincipalName "[email protected]" ` -Path "OU=Benutzer,DC=domain,DC=local" ` -AccountPassword (ConvertTo-SecureString "Passwort123!" -AsPlainText -Force) ` -Enabled $true

Inaktive Benutzer finden

Benutzer Zeigt Konten, die sich seit 90 Tagen nicht angemeldet haben.

$datum = (Get-Date).AddDays(-90) Get-ADUser -Filter {LastLogonDate -lt $datum -and Enabled -eq $true} -Properties LastLogonDate | Select-Object Name, SamAccountName, LastLogonDate | Sort-Object LastLogonDate

Gruppen verwalten

Gruppenmitgliedschaften abfragen, hinzufügen und entfernen.

Mitglieder einer Gruppe anzeigen

Gruppe Listet alle Mitglieder einer AD-Sicherheitsgruppe.

Get-ADGroupMember -Identity "Gruppenname" | Select-Object Name, SamAccountName, objectClass

Gruppen eines Benutzers anzeigen

Benutzer Zeigt alle Gruppen, in denen ein Benutzer Mitglied ist.

Get-ADPrincipalGroupMembership -Identity "benutzername" | Select-Object Name

Benutzer einer Gruppe hinzufügen

Gruppe Fügt einen Benutzer zu einer Sicherheitsgruppe hinzu.

Add-ADGroupMember -Identity "Gruppenname" -Members "benutzername"

Benutzer aus Gruppe entfernen

Gruppe

Remove-ADGroupMember -Identity "Gruppenname" -Members "benutzername" -Confirm:$false

Leere Gruppen finden

Gruppe Findet Sicherheitsgruppen ohne Mitglieder – nützlich zum Aufräumen.

Get-ADGroup -Filter * -Properties Members | Where-Object { $_.Members.Count -eq 0 } | Select-Object Name, GroupScope, GroupCategory

Computerobjekte

Computerkonten suchen, verwalten und bereinigen.

Computer suchen

Computer

Get-ADComputer -Filter "Name -like '*PC*'" -Properties OperatingSystem, LastLogonDate | Select-Object Name, OperatingSystem, LastLogonDate

Inaktive Computer finden

Computer Zeigt Rechner, die sich seit 60 Tagen nicht am AD angemeldet haben.

$datum = (Get-Date).AddDays(-60) Get-ADComputer -Filter {LastLogonDate -lt $datum} -Properties LastLogonDate | Select-Object Name, LastLogonDate | Sort-Object LastLogonDate

Computerkonto deaktivieren

Computer

Disable-ADAccount -Identity "COMPUTERNAME$"

OUs & Struktur

Organisationseinheiten (OUs) abfragen und die AD-Struktur überblicken.

Alle OUs auflisten

OU

Get-ADOrganizationalUnit -Filter * | Select-Object Name, DistinguishedName

Objekte in einer OU anzeigen

OU Listet alle Objekte (Benutzer, Computer, Gruppen) in einer bestimmten OU.

Get-ADObject -Filter * -SearchBase "OU=Benutzer,DC=domain,DC=local" -SearchScope OneLevel | Select-Object Name, ObjectClass

Neue OU erstellen

OU

New-ADOrganizationalUnit -Name "Neue Abteilung" -Path "DC=domain,DC=local" -ProtectedFromAccidentalDeletion $true

Troubleshooting

Wenn etwas nicht funktioniert – die wichtigsten Diagnose-Befehle für AD-Probleme.

Replikationsstatus prüfen

Diagnose Zeigt den aktuellen Replikationsstatus aller Domain Controller.

repadmin /replsummary

Replikation erzwingen

Diagnose Erzwingt eine sofortige Replikation zwischen allen DCs.

repadmin /syncall /AdeP

Domain Controller auflisten

Diagnose

Get-ADDomainController -Filter * | Select-Object Name, IPv4Address, Site, OperatingSystem, IsGlobalCatalog

FSMO-Rollen prüfen

Diagnose Zeigt, welcher DC welche FSMO-Rolle hält.

netdom query fsmo

DNS-Registrierung erneuern

Diagnose Nützlich wenn ein Client nicht per Name aufgelöst werden kann.

# Auf dem betroffenen Client: ipconfig /flushdns ipconfig /registerdns # Auf dem DC – DNS-Cache leeren: Clear-DnsServerCache

Kerberos-Tickets zurücksetzen

Diagnose Hilft bei Authentifizierungsproblemen nach Passwortänderungen.

klist purge

DC-Diagnose ausführen

Diagnose Umfassender Health-Check des Domain Controllers.

dcdiag /v /c /e
💡
Tipp: Alle PowerShell-Befehle benötigen das ActiveDirectory-Modul, das mit den RSAT-Tools oder auf einem Domain Controller verfügbar ist. Installieren mit: Install-WindowsFeature RSAT-AD-PowerShell