Met een Active Directory (AD) beheer je wie er toegang hebben tot bepaalde bronnen binnen het domein van een Windows-netwerk, bijvoorbeeld tot gedeelde mappen of Remote Desktop servers. In deze handleiding kijken we naar de basis van AD gebruikers- en groepsbeheer en behandelen we de volgende onderwerpen:
- De Active Directory Users and Computers (ADUC) tool installeren
- AD gebruikers aanmaken
- Een AD groep aanmaken
- AD gebruikers, een mailadres en beheerder toevoegen aan een groep
- Computers of servers aan een groep toevoegen
- AD gebruikers of groepen verwijderen
- Een gebruiker of groep toegang tot een gedeelde map geven/afnemen
Tip: We raden aan om zo veel mogelijk met groepen te werken en niet rechten per individuele gebruiker te beheren. Stel dat je bijvoorbeeld een groep 'helpdesk' gebruikt en er nieuwe helpdeskmedewerkers bijkomen of er iemand weg gaat. Je hoeft dan enkel een account voor die medewerkers aan te maken en toe te voegen aan de relevante groepen, of te verwijderen uit de groepen en het betreffende gebruikersaccount te verwijderen. Dit vereenvoudigt het beheer van gebruikersaccounts en de bijbehorende rechten aanzienlijk.
Voor de stappen in deze handleiding moet de Active Directory Domain Services role zijn geïnstalleerd en een server aangewezen zijn als Domain Controller. In onze Active Directorie-installatiehandleiding begeleiden we je door dit proces.
De ADUC tool installeren
Via de Active Directory Users and Computers (ADUC) tool voer je het gebruikers- en computerbeheer uit binnen een AD. ADUC is standaard geïnstalleerd op de Domain Controller, maar als beheerder zul je het beheer van gebruikers en computers een Active Directory meestal op een computer of laptop van het werk uitvoeren en niet vanaf de Domain Controller rechtstreeks.
De ADUC tool installeer je als volgt in Windows:
Stap 1
De installatie verschilt per versie van Windows. Controleer eerst je versie door op de Windows Start-knop te klikken, 'About' te typen en het bovenste resultaat te selecteren.
Onderaan onder 'Windows specifications' zie je de geïnstalleerde versie terug. Is dit 2004 of nieuwer? Ga dan verder met stap 2 - Windows 10 - 2004. Gebruik je een oudere versie dan 2004? Update dan eerst Windows, of ga naar stap 2 - Windows 10 < 2004. Let wel dat het vanuit een veiligheidsoogpunt altijd beter is om je Windows-installatie up-to-date te houden.
ADUC kan enkel via Powershell geïnstalleerd worden in Windows 10 versie 2004.
Klik op de Windows Start-knop, type 'Powershell' en klik op de optie 'Run as Administrator'.
Stap 3
Voer het volgende commando uit:
DISM /online /add-capability /capabilityname:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0
Krijg je een foutmelding 'Windows 10 RSAT Install Error 0x800f0954.'? Gebruik dan de commando's:
$currentWU = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "UseWUServer" | select -ExpandProperty UseWUServer
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "UseWUServer" -Value 0
Restart-Service wuauserv
Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "UseWUServer" -Value $currentWU
Restart-Service wuauserv
Klik op de Windows-startknop en vervolgens op het tandwiel 'Settings'.
Stap 3
Klik op 'Apps' > 'Optional features'.
Stap 4
Klik op 'Add a feature' en klik bij de optie 'RSAT: Active Directory Domain Services and Lightweight Directory Tools' op 'Install'.
AD gebruikers aanmaken
Stap 1
Klik op de Windows Start-knop, type 'Active Directory Users and Computers' en klik op het resultaat.
Stap 2
Klik op de naam van je domein en vervolgens op 'Users'.
In dit voorbeeld hebben we één domein binnen het AD toegevoegd. Een AD kan echter meerdere domeinen omvatten. Een dergelijke verzameling van domeinen binnen één AD noemt men een forest.
Stap 3
Klik in de lijst met gebruikers met de rechtermuisknop op een lege plek en selecteer 'New' > 'User', of gebruik het snelkoppelingsicoon bovenaan het venster.
Stap 4
Geef de voor-, achter- en gebruikersnaam van de gebruiker op en klik op 'Next'.
Let op: Microsoft gaat er automatisch vanuit dat de gebruiker ook een e-mailadres heeft/krijgt met de aangegeven naam. Het is belangrijk dat dit e-mailadres daadwerkelijk eigendom is van deze gebruiker en niet van iemand anders, ongeacht of deze persoon wel of geen e-mail gaat gebruiken.
Stap 5
Geef een wachtwoord op voor de nieuwe gebruiker en klik opnieuw op 'Next'. Het is uit veiligheidsoverweging best practise om een tijdelijk wachtwoord op te geven en de optie 'User must change password at next logon' aangevinkt te laten.
Stap 6
Je krijgt een bevestiging te zien van de gebruiker die je aanmaakt. Als de gegevens kloppen, klik je op 'Finish' om de gebruiker daadwerkelijk aan te maken.
AD groepen aanmaken
Groepen maken het eenvoudiger om met rechten en permissies te werken binnen een organisatie met een groeiend aantal medewerkers. Hoe groter je bedrijf, hoe onoverzichtelijker het is om gebruikers binnen je Active Directory individueel rechten toe te wijzen. Een handigere manier om in bulk rechten te beheren, is door met groepen te werken.
Je kan bijvoorbeeld een groep toegang geven tot een gedeelde netwerkmap en vervolgens gebruikers lid maken van die groep. Stel dat je in de toekomst aan die groep rechten geeft tot nog een netwerkmap, dan hebben alle gebruikers binnen die groep daar toegang toe.
Stap 1
Klik op de Windows Start-knop, type 'Active Directory Users and Computers' en klik op het resultaat.
Stap 2
Klik op de naam van je domein en vervolgens op 'Users'.
Let op: In dit voorbeeld hebben we één domein binnen het AD toegevoegd. Een AD kan echter meerdere domeinen omvatten. Een dergelijke verzameling van domeinen binnen één AD noemt men een forest.
Stap 3
Klik in de lijst met gebruikers met de rechtermuisknop op een lege plek en selecteer 'New' > 'Group', of gebruik het snelkoppelingsicoontje bovenaan het venster.
Stap 4
Geef de groep een naam en klik op 'OK'. Optioneel kun je ook de 'Scope' en het 'Type' aanpassen:
- De scope heeft met name betrekking op de rechten binnen één of meerdere domeinen in een AD. Op deze pagina van Microsoft vind je een overzicht met meer informatie over de verschillende scopes.
- De 'group type' geeft aan waar de groep voor dient. Meestal zul je hier voor 'Security groups' kiezen:
- Distribution groups: voor het aanmaken van maillijsten (icm een Exchange-omgeving).
- Security groups voor het toekennen van permissies tot gedeelde bronnen, zoals een netwerkschijf, of voor het toekennen van rechten tot het uitvoeren van handelingen, bijvoorbeeld administratieve handelingen zoals het aanmaken van gebruikers.
Een gebruiker, beheerder en mailadres aan een groep toevoegen
Het toevoegen van gebruikers aan een AD groep is, na het aanmaken van die groep, een eenvoudige handeling. Ervan uitgaande dat je de vorige paragraaf hebt doorlopen om een AD groep aan te maken, voeg je gebruikers als volgt toe:
Stap 1
Dubbelklik op de naam van de groep waar je gebruikers aan wil toevoegen.
Stap 2 - Mailadres toevoegen
Het venster dat opent geeft je direct een aantal handige opties om aanpassingen te maken:
- Group name: Pas desgewenst de naam van de groep aan
- Group description: Geef de groep een omschrijving zodat het doel van de groep duidelijk te zien is
- E-mail: Geef de groep een e-mailadres. Leden van de groep kunnen mail ontvangen en versturen vanaf dit adres (dit vereist uiteraard wel dat het e-mailadres bestaat en er een mailserver is die de mail daarvoor verwerkt).
- Scope: Past de scope van de groep aan, zie de paragraaf 'Een AD groep aanmaken'
- Type: Past het type groep aan, zie de paragraaf 'Een AD groep aanmaken'
Maak desgewenst aanpassingen op deze pagina en klik op 'Apply'. Ga vervolgens naar het tabblad 'Members'.
Stap 3 - Gebruikers toevoegen
Klik op 'Add' om een gebruiker toe te voegen. De eenvoudigste manier om vervolgens gebruikers toe te voegen is door de naam, of een deel van de naam in te typen en vervolgens op 'Check Names' te klikken. Selecteer de gewenste gebruiker in de zoekresultaten en klik achtereenvolgens op 'OK' > 'Apply' om deze toe te voegen aan de groep.
Stap 4 - Beheerders toevoegen
Ga nu naar het tabblad 'Managed by' en klik op 'Change' om een beheerder toe te wijzen aan de groep. Geef hier opnieuw de naam, of een deel van de naam in van de beheerder en klik vervolgens op 'Check Names'. Selecteer de gewenste gebruiker en klik achtereenvolgens op 'OK' > 'Apply' > 'OK' om deze toe te voegen aan de groep.
Computers of servers aan een groep toevoegen
Net als gebruikers kun je eenvoudig computers aan groepen toevoegen. Na het aanmaken van een groep voeg je computers als volgt toe:
Stap 1
Klik in de ADUC-tool op 'Computers' en dubbelklik daarna op de gewenste server/computer.
Stap 2
Ga naar het tabblad 'Member of' en klik op 'Add'.
Stap 3
Zoek in het vertrouwde zoekscherm op de naam van de groep waar je de server aan wil toevoegen en klik op 'OK'.
Stap 4
Klik tot slot op 'Apply' en 'OK' om respectievelijk de wijzigingen toe te passen en het venster te sluiten.
AD gebruikers of groepen verwijderen
Active Directory gebruikers en groepen verwijder je even eenvoudig als dat je ze toevoegt. Open hiervoor de ADUC-tool en klik op 'User'. Klik vervolgens met de rechtermuisknop op de naam van de gebruiker of groep die je wil verwijderen en klik op 'Delete'.
Een gebruiker of groep toegang tot een gedeelde map geven/verwijderen
Je kunt binnen een Windows-domein gebruikers en groepen op dezelfde manier toegang geven tot mappen, bijvoorbeeld van een SMB-share.
Stap 1
Ga als administrator in Windows-verkenner naar de map waar je een gebruiker of groep toegang wil geven en klik met de rechtermuisknop op de map en selecteer 'Properties'.
Stap 2
Klik op het tabblad 'Security' en vervolgens op 'Edit'.
Stap 3
Klik op 'Add' om een gebruiker of groep toe te voegen.
Wil je een gebruiker of groep verwijderen in plaats van toevoegen? Selecteer dan de naam van de gebruiker of groep en klik op 'Remove' > 'Apply' > 'OK'. Je hoeft dan niet verder te gaan met stap 4.
Stap 4
Zoek in de inmiddels vertrouwde tool op de naam, of een deel van de naam in van de gebruiker of groep en klik vervolgens op 'Check Names'. Selecteer de gewenste gebruiker/groep en klik op 'OK'.
Dit voorbeeld laat de naam 'transip' zien. In de praktijk raden we aan hier met groepen te werken.
Stap 5
Pas de permissies naar wens aan van de toegevoegde gebruiker of groep en klik op 'Apply' > 'OK' > 'Close' om de wijzigingen op te slaan en alle open vensters te sluiten.
Daarmee zijn we aan het eind gekomen van deze handleiding over het beheren van gebruikers- en groepen binnen een AD-omgeving.
Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.