Winkelwagen

/ VPS-Infrastructuur

Alles over de zelfontwikkelde VPS-infrastructuur

Register now

/ Up to date

/ Nieuws

Lancering PerformanceVPS

Meer info
Hulp nodig?

    Sorry, we konden geen resultaten vinden voor jouw zoekopdracht.

    Active Directory gebruiker- en groepbeheer

    Met een Active Directory (AD) beheer je wie er toegang hebben tot bepaalde bronnen binnen het domein van een Windows-netwerk, bijvoorbeeld tot gedeelde mappen of Remote Desktop servers. In deze handleiding kijken we naar de basis van AD gebruikers- en groepsbeheer en behandelen we de volgende onderwerpen:

    Tip: We raden aan om zo veel mogelijk met groepen te werken en niet rechten per individuele gebruiker te beheren. Stel dat je bijvoorbeeld een groep 'helpdesk' gebruikt en er nieuwe helpdeskmedewerkers bijkomen of er iemand weg gaat. Je hoeft dan enkel een account voor die medewerkers aan te maken en toe te voegen aan de relevante groepen, of te verwijderen uit de groepen en het betreffende gebruikersaccount te verwijderen. Dit vereenvoudigt het beheer van gebruikersaccounts en de bijbehorende rechten aanzienlijk.

    Voor de stappen in deze handleiding moet de Active Directory Domain Services role zijn geïnstalleerd en een server aangewezen zijn als Domain Controller. In onze Active Directorie-installatiehandleiding begeleiden we je door dit proces.


    De ADUC tool installeren

     

    Via de Active Directory Users and Computers (ADUC) tool voer je het gebruikers- en computerbeheer uit binnen een AD. ADUC is standaard geïnstalleerd op de Domain Controller, maar als beheerder zul je het beheer van gebruikers en computers een Active Directory meestal op een computer of laptop van het werk uitvoeren en niet vanaf de Domain Controller rechtstreeks.

    De ADUC tool installeer je als volgt in Windows:

     

    Stap 1

    De installatie verschilt per versie van Windows. Controleer eerst je versie door op de Windows Start-knop te klikken, 'About' te typen en het bovenste resultaat te selecteren.

    windows start about

    Onderaan onder 'Windows specifications' zie je de geïnstalleerde versie terug. Is dit 2004 of nieuwer? Ga dan verder met stap 2 - Windows 10 - 2004. Gebruik je een oudere versie dan 2004? Update dan eerst Windows, of ga naar stap 2 - Windows 10 < 2004. Let wel dat het vanuit een veiligheidsoogpunt altijd beter is om je Windows-installatie up-to-date te houden.

    windows about specifications


    Stap 2 - Windows 10 2004

    ADUC kan enkel via Powershell geïnstalleerd worden in Windows 10 versie 2004.

    Klik op de Windows Start-knop, type 'Powershell' en klik op de optie 'Run as Administrator'.

    windows start powershell admin


     

    Stap 3

    Voer het volgende commando uit:

    DISM /online /add-capability /capabilityname:Rsat.ActiveDirectory.DS-LDS.Tools~~~~0.0.1.0 

    Krijg je een foutmelding 'Windows 10 RSAT Install Error 0x800f0954.'? Gebruik dan de commando's:

    $currentWU = Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "UseWUServer" | select -ExpandProperty UseWUServer
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "UseWUServer" -Value 0
    Restart-Service wuauserv
    Get-WindowsCapability -Name RSAT* -Online | Add-WindowsCapability –Online
    Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "UseWUServer" -Value $currentWU
    Restart-Service wuauserv

    Stap 2 Windows 10 < 2004

     

    Klik op de Windows-startknop en vervolgens op het tandwiel 'Settings'.

    windows start settings


     

    Stap 3

    Klik op 'Apps' > 'Optional features'.

    settings apps optional features in windows 10


     

    Stap 4

    Klik op 'Add a feature' en klik bij de optie 'RSAT: Active Directory Domain Services and Lightweight Directory Tools' op 'Install'.

    windows add feature rsat add adlds


    AD gebruikers aanmaken

     

    Stap 1

    Klik op de Windows Start-knop, type 'Active Directory Users and Computers' en klik op het resultaat.

    windows start ad users and computers


     

    Stap 2

    Klik op de naam van je domein en vervolgens op 'Users'.

    windows aduc domain users

    In dit voorbeeld hebben we één domein binnen het AD toegevoegd. Een AD kan echter meerdere domeinen omvatten. Een dergelijke verzameling van domeinen binnen één AD noemt men een forest.


     

    Stap 3

    Klik in de lijst met gebruikers met de rechtermuisknop op een lege plek en selecteer 'New' > 'User', of gebruik het snelkoppelingsicoon bovenaan het venster.

    windows aduc new user


     

    Stap 4

    Geef de voor-, achter- en gebruikersnaam van de gebruiker op en klik op 'Next'.

    Let op: Microsoft gaat er automatisch vanuit dat de gebruiker ook een e-mailadres heeft/krijgt met de aangegeven naam. Het is belangrijk dat dit e-mailadres daadwerkelijk eigendom is van deze gebruiker en niet van iemand anders, ongeacht of deze persoon wel of geen e-mail gaat gebruiken.

    windows aduc new user name


     

    Stap 5

    Geef een wachtwoord op voor de nieuwe gebruiker en klik opnieuw op 'Next'. Het is uit veiligheidsoverweging best practise om een tijdelijk wachtwoord op te geven en de optie 'User must change password at next logon' aangevinkt te laten.

    windows aduc new user password


     

    Stap 6

    Je krijgt een bevestiging te zien van de gebruiker die je aanmaakt. Als de gegevens kloppen, klik je op 'Finish' om de gebruiker daadwerkelijk aan te maken.

    finish adding new user in aduc


    AD groepen aanmaken

     

    Groepen maken het eenvoudiger om met rechten en permissies te werken binnen een organisatie met een groeiend aantal medewerkers. Hoe groter je bedrijf, hoe onoverzichtelijker het is om gebruikers binnen je Active Directory individueel rechten toe te wijzen. Een handigere manier om in bulk rechten te beheren, is door met groepen te werken.

    Je kan bijvoorbeeld een groep toegang geven tot een gedeelde netwerkmap en vervolgens gebruikers lid maken van die groep. Stel dat je in de toekomst aan die groep rechten geeft tot nog een netwerkmap, dan hebben alle gebruikers binnen die groep daar toegang toe.

     

    Stap 1

    Klik op de Windows Start-knop, type 'Active Directory Users and Computers' en klik op het resultaat.

    windows start ad users and computers


     

    Stap 2

    Klik op de naam van je domein en vervolgens op 'Users'.

    windows aduc domain users

    Let op: In dit voorbeeld hebben we één domein binnen het AD toegevoegd. Een AD kan echter meerdere domeinen omvatten. Een dergelijke verzameling van domeinen binnen één AD noemt men een forest.


     

    Stap 3

    Klik in de lijst met gebruikers met de rechtermuisknop op een lege plek en selecteer 'New' > 'Group', of gebruik het snelkoppelingsicoontje bovenaan het venster.

    windows aduc add new group


     

    Stap 4

    Geef de groep een naam en klik op 'OK'. Optioneel kun je ook de 'Scope' en het 'Type' aanpassen:

    • De scope heeft met name betrekking op de rechten binnen één of meerdere domeinen in een AD. Op deze pagina van Microsoft vind je een overzicht met meer informatie over de verschillende scopes.
       
    • De 'group type' geeft aan waar de groep voor dient. Meestal zul je hier voor 'Security groups' kiezen:
       
      • Distribution groups: voor het aanmaken van maillijsten (icm een Exchange-omgeving).
      • Security groups voor het toekennen van permissies tot gedeelde bronnen, zoals een netwerkschijf, of voor het toekennen van rechten tot het uitvoeren van handelingen, bijvoorbeeld administratieve handelingen zoals het aanmaken van gebruikers.

    windows aduc new group options


    Een gebruiker, beheerder en mailadres aan een groep toevoegen

     

    Het toevoegen van gebruikers aan een AD groep is, na het aanmaken van die groep, een eenvoudige handeling. Ervan uitgaande dat je de vorige paragraaf hebt doorlopen om een AD groep aan te maken, voeg je gebruikers als volgt toe:

     

    Stap 1

    Dubbelklik op de naam van de groep waar je gebruikers aan wil toevoegen.

    windows aduc select group


     

    Stap 2 - Mailadres toevoegen

    Het venster dat opent geeft je direct een aantal handige opties om aanpassingen te maken:

    • Group name: Pas desgewenst de naam van de groep aan
    • Group description: Geef de groep een omschrijving zodat het doel van de groep duidelijk te zien is
    • E-mail: Geef de groep een e-mailadres. Leden van de groep kunnen mail ontvangen en versturen vanaf dit adres (dit vereist uiteraard wel dat het e-mailadres bestaat en er een mailserver is die de mail daarvoor verwerkt).
    • Scope: Past de scope van de groep aan, zie de paragraaf 'Een AD groep aanmaken'
    • Type: Past het type groep aan, zie de paragraaf 'Een AD groep aanmaken'

    Maak desgewenst aanpassingen op deze pagina en klik op 'Apply'. Ga vervolgens naar het tabblad 'Members'.

    windows aduc group properties


     

    Stap 3 - Gebruikers toevoegen

    Klik op 'Add' om een gebruiker toe te voegen. De eenvoudigste manier om vervolgens gebruikers toe te voegen is door de naam, of een deel van de naam in te typen en vervolgens op 'Check Names' te klikken. Selecteer de gewenste gebruiker in de zoekresultaten en klik achtereenvolgens op 'OK' > 'Apply' om deze toe te voegen aan de groep.

    windows aduc add group member


     

    Stap 4 - Beheerders toevoegen

    Ga nu naar het tabblad 'Managed by' en klik op 'Change' om een beheerder toe te wijzen aan de groep. Geef hier opnieuw de naam, of een deel van de naam in van de beheerder en klik vervolgens op 'Check Names'. Selecteer de gewenste gebruiker en klik achtereenvolgens op 'OK' > 'Apply' > 'OK' om deze toe te voegen aan de groep.

    windows aduc add group manager


    Computers of servers aan een groep toevoegen

     

    Net als gebruikers kun je eenvoudig computers aan groepen toevoegen. Na het aanmaken van een groep voeg je computers als volgt toe:

     

    Stap 1

    Klik in de ADUC-tool op 'Computers' en dubbelklik daarna op de gewenste server/computer.

    aduc computers


     

    Stap 2

    Ga naar het tabblad 'Member of' en klik op 'Add'.

    server properties member of add


     

    Stap 3

    Zoek in het vertrouwde zoekscherm op de naam van de groep waar je de server aan wil toevoegen en klik op 'OK'.

    select groups


     

    Stap 4

    Klik tot slot op 'Apply' en 'OK' om respectievelijk de wijzigingen toe te passen en het venster te sluiten.

    server properties member of apply


    AD gebruikers of groepen verwijderen

     

    Active Directory gebruikers en groepen verwijder je even eenvoudig als dat je ze toevoegt. Open hiervoor de ADUC-tool en klik op 'User'. Klik vervolgens met de rechtermuisknop op de naam van de gebruiker of groep die je wil verwijderen en klik op 'Delete'.

    windows aduc remove user group


    Een gebruiker of groep toegang tot een gedeelde map geven/verwijderen

     

    Je kunt binnen een Windows-domein gebruikers en groepen op dezelfde manier toegang geven tot mappen, bijvoorbeeld van een SMB-share.

     

    Stap 1

    Ga als administrator in Windows-verkenner naar de map waar je een gebruiker of groep toegang wil geven en klik met de rechtermuisknop op de map en selecteer 'Properties'.

    windows explorer folder properties


     

    Stap 2

    Klik op het tabblad 'Security' en vervolgens op 'Edit'.

    windows explorer folder properties security tab


     

    Stap 3

    Klik op 'Add' om een gebruiker of groep toe te voegen.

    Wil je een gebruiker of groep verwijderen in plaats van toevoegen? Selecteer dan de naam van de gebruiker of groep en klik op 'Remove' > 'Apply' > 'OK'. Je hoeft dan niet verder te gaan met stap 4.

    windows explorer folder permissions add or remove user


     

    Stap 4

    Zoek in de inmiddels vertrouwde tool op de naam, of een deel van de naam in van de gebruiker of groep en klik vervolgens op 'Check Names'. Selecteer de gewenste gebruiker/groep en klik op 'OK'.

    windows select users computers accounts groups

    Dit voorbeeld laat de naam 'transip' zien. In de praktijk raden we aan hier met groepen te werken.


     

    Stap 5

    Pas de permissies naar wens aan van de toegevoegde gebruiker of groep en klik op 'Apply' > 'OK' > 'Close' om de wijzigingen op te slaan en alle open vensters te sluiten.

    windows explorer change folder permissions


     

    Daarmee zijn we aan het eind gekomen van deze handleiding over het beheren van gebruikers- en groepen binnen een AD-omgeving.

    Mocht je aan de hand van dit artikel nog vragen hebben, aarzel dan niet om onze supportafdeling te benaderen. Je kunt hen bereiken via de knop 'Neem contact op' onderaan deze pagina.

    Kom je er niet uit?

    Ontvang persoonlijke hulp van onze supporters

    Neem contact op