Active Directory: Domäne einrichten und erste Benutzer/OUs anlegen

Active Directory Domain Services (AD DS) ist das Fundament jeder Windows-basierten Unternehmensumgebung. Diese Anleitung zeigt dir, wie du auf Windows Server 2022 oder 2025 von Grund auf eine neue Gesamtstruktur aufbaust: Vorbereitung des Servers, Installation der AD-DS-Rolle, Heraufstufen zum ersten Domänencontroller, Anlegen sinnvoller Organisationseinheiten (OUs) und erster Benutzerkonten. Wo es sinnvoll ist, bekommst du sowohl den GUI-Weg über Server Manager und ADUC als auch den PowerShell-Weg – so kannst du wählen, was besser in deinen Workflow passt. Der Artikel bildet die Grundlage für den weiterführenden GPO-Artikel.

Kurzfassung: Server vorbereiten (statische IP, Hostname, Zeitzone) → Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools → Install-ADDSForest -DomainName 'corp.firma.com' -InstallDNS → Reboot → OUs mit New-ADOrganizationalUnit und Benutzer mit New-ADUser anlegen.

Voraussetzungen

1. Windows Server 2022 oder 2025 (frische Installation empfohlen), vollständig gepatcht
2. Lokales Administratorkonto für die Installation
3. Statische IPv4-Adresse bereits vergeben (kein DHCP für einen Domänencontroller)
4. Eindeutiger, aussagekräftiger Servername (z. B. DC-01) bereits gesetzt
5. Geplanter Domänenname: registrierte Public-Domain empfohlen, z. B. corp.firma.com (kein .local oder .lan)
6. DSRM-Passwort sicher vorbereitet (komplex, wird bei der Installation abgefragt)
7. Mindestens 4 GB RAM, 40 GB freie Festplatte (Produktiv: mehr)

Schritt 1: Server vorbereiten – IP, Hostname und Zeit

Bevor du die AD-DS-Rolle installierst, muss der Server korrekt konfiguriert sein. AD-Replikation und Kerberos-Authentifizierung reagieren empfindlich auf falsche DNS- oder Zeitkonfiguration.

Statische IP und DNS via GUI setzen

Öffne Netzwerk- und Freigabecenter → Adaptereinstellungen → IPv4-Eigenschaften und trage IP, Subnetzmaske, Gateway ein. Als bevorzugten DNS-Server gibst du zunächst 127.0.0.1 ein – nach der Installation löst der DC seinen eigenen DNS auf.

Statische IP via PowerShell setzen

# Netzwerkadapter-Index ermitteln
Get-NetAdapter

# Statische IP setzen (Index, IP, Präfixlänge, Gateway anpassen)
New-NetIPAddress -InterfaceIndex 4 -IPAddress 192.168.1.10 -PrefixLength 24 -DefaultGateway 192.168.1.1

# DNS-Server auf sich selbst zeigen lassen
Set-DnsClientServerAddress -InterfaceIndex 4 -ServerAddresses 127.0.0.1

Servername setzen

# Servername ändern und direkt neu starten
Rename-Computer -NewName 'DC-01' -Restart

Nach dem Neustart loggst du dich wieder ein und prüfst Hostname und IP mit ipconfig /all. Stelle außerdem sicher, dass Datum, Uhrzeit und Zeitzone korrekt gesetzt sind (Systemsteuerung → Datum/Uhrzeit oder Set-TimeZone -Id 'W. Europe Standard Time').

Schritt 2: AD-DS-Rolle installieren

Die Rolle Active Directory Domain Services bringt alle Binaries, Module und Verwaltungstools mit. Ein Neustart ist nach der Rolleninstallation noch nicht nötig.

Via Server Manager (GUI)

1. Server Manager öffnen → Rollen und Features hinzufügen
2. Installationstyp: Rollenbasierte oder featurebasierte Installation
3. Zielserver: den lokalen Server auswählen
4. Serverrollen: Active Directory Domain Services anhaken → Abhängigkeiten mit Features hinzufügen bestätigen
5. Features: Standard belassen (RSAT-Tools werden automatisch eingeschlossen)
6. Auf Installieren klicken, nach Abschluss nicht neu starten

Via PowerShell

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools

Der Parameter -IncludeManagementTools installiert auch RSAT for AD DS (inkl. dsa.msc, ADAC, PowerShell-Modul ActiveDirectory). Nach erfolgreicher Installation siehst du im Server Manager ein gelbes Warnsymbol – das ist die Aufforderung, den Server zum Domänencontroller heraufzustufen.

Schritt 3: Erste Domäne und Gesamtstruktur erstellen

Jetzt wird der Server zum ersten Domänencontroller in einer neuen Gesamtstruktur (Forest) heraufgestuft. DNS wird dabei automatisch integriert.

Domänennamen-Konventionen

Verwende eine registrierte öffentliche Domain als Basis, z. B. corp.firma.com. Vermeide .local, .lan oder .corp als TLD – ICANN hat einige dieser Namen an Registrare vergeben, was zu Konflikten im internen Netz führen kann. Der NetBIOS-Name wird automatisch aus dem ersten Label des Domänennamens generiert (max. 15 Zeichen), z. B. CORP.

Via Server Manager (GUI)

1. Im Server Manager auf das gelbe Warnsymbol klicken → Server zu einem Domänencontroller heraufstufen
2. Bereitstellungskonfiguration: Neue Gesamtstruktur hinzufügen
3. Stammdomänenname eingeben, z. B. corp.firma.com
4. Optionen für Domänencontroller: Funktionsebene wählen (empfohlen: Windows Server 2016 oder höher), DNS-Server anhaken, DSRM-Passwort vergeben und sicher notieren
5. DNS-Delegierung: Warnung ignorieren, wenn kein übergeordneter DNS vorhanden
6. NetBIOS-Name prüfen (wird automatisch vorgeschlagen)
7. Pfade für NTDS-Datenbank, Protokolle und SYSVOL: Standardpfade unter %SYSTEMROOT%\NTDS und %SYSTEMROOT%\SYSVOL belassen oder auf separate Laufwerke umleiten
8. Voraussetzungsüberprüfung: Warnungen lesen, auf Installieren klicken → Server startet automatisch neu

Via PowerShell – einfache Variante

# DSRM-Passwort sicher abfragen (nie im Klartext im Skript speichern)
$DSRMPassword = Read-Host -AsSecureString 'DSRM-Passwort eingeben'

# Neue Gesamtstruktur erstellen, DNS wird automatisch installiert
Install-ADDSForest `
    -DomainName 'corp.firma.com' `
    -SafeModeAdministratorPassword $DSRMPassword `
    -InstallDNS `
    -Force

Via PowerShell – erweiterte Variante mit benutzerdefinierten Pfaden und Funktionsebenen

$DSRMPassword = Read-Host -AsSecureString 'DSRM-Passwort eingeben'

Install-ADDSForest `
    -DomainName 'corp.firma.com' `
    -SafeModeAdministratorPassword $DSRMPassword `
    -InstallDNS `
    -DomainMode 'WinThreshold' `
    -ForestMode 'Win2025' `
    -DatabasePath 'D:\NTDS' `
    -SysvolPath 'D:\SYSVOL' `
    -LogPath 'E:\Logs' `
    -Force

Hinweis zu Funktionsebenen: DomainMode und ForestMode müssen aufeinander abgestimmt sein – der ForestMode muss mindestens so hoch wie der DomainMode sein. WinThreshold entspricht Windows Server 2016. Windows Server 2025 bringt erstmals seit 2016 einen neuen Funktionsebenen-Level (Win2025) mit Unterstützung für 32-KB-Datenbankseiten.

Nach der Installation startet der Server automatisch neu. Danach loggst du dich mit CORP\Administrator (oder dem lokalen Admin-Konto, das zur Domäne geworden ist) an.

Prerequisite-Check vorab durchführen

# Voraussetzungen prüfen ohne zu installieren
Test-ADDSForestInstallation -DomainName 'corp.firma.com'

Schritt 4: Organisationseinheiten (OUs) anlegen

Eine durchdachte OU-Struktur ist die Grundlage für funktionierende Gruppenrichtlinien. Strukturiere nach Abteilung, Region oder Rolle – je nachdem, wie dein Unternehmen aufgebaut ist.

Empfohlene OU-Hierarchie (Beispiel)

corp.firma.com
├── Firma                    (Top-Level-OU)
│   ├── Users                (Benutzerkonten)
│   ├── Computers            (Workstations)
│   ├── Servers              (Server-Objekte)
│   ├── Groups               (Sicherheits- und Verteilergruppen)
│   └── ServiceAccounts      (Dienstkonten)
└── (Built-in OUs bleiben unberührt)

OUs via ADUC anlegen (GUI)

1. dsa.msc öffnen (Suche oder Server Manager → Tools → Active Directory-Benutzer und -Computer)
2. Auf den Domänennamen rechtsklicken → Neu → Organisationseinheit
3. Name eingeben, z. B. Firma
4. Haken bei Objekt vor versehentlichem Löschen schützen belassen
5. Vorgang für Unterordner (Users, Computers etc.) wiederholen

OUs via PowerShell anlegen

# Top-Level-OU 'Firma'
New-ADOrganizationalUnit -Name 'Firma' -Path 'DC=corp,DC=firma,DC=com'

# Unter-OUs innerhalb von 'Firma'
New-ADOrganizationalUnit -Name 'Users'           -Path 'OU=Firma,DC=corp,DC=firma,DC=com'
New-ADOrganizationalUnit -Name 'Computers'       -Path 'OU=Firma,DC=corp,DC=firma,DC=com'
New-ADOrganizationalUnit -Name 'Servers'         -Path 'OU=Firma,DC=corp,DC=firma,DC=com'
New-ADOrganizationalUnit -Name 'Groups'          -Path 'OU=Firma,DC=corp,DC=firma,DC=com'
New-ADOrganizationalUnit -Name 'ServiceAccounts' -Path 'OU=Firma,DC=corp,DC=firma,DC=com'

Standardmäßig setzt New-ADOrganizationalUnit den Parameter ProtectedFromAccidentalDeletion auf $true. Das ist die empfohlene Einstellung – lass sie aktiviert. Wenn du eine OU später umbenennen oder verschieben musst, hebe den Schutz kurzzeitig auf.

OU-Eigenschaften prüfen

Get-ADOrganizationalUnit -Identity 'OU=Users,OU=Firma,DC=corp,DC=firma,DC=com' `
    | Select-Object Name, ProtectedFromAccidentalDeletion

Schritt 5: Benutzer anlegen

Benutzerkonten legst du in der OU Users an, nicht im Standard-Container CN=Users. So greifen später GPOs zuverlässig.

Benutzer via ADUC anlegen (GUI)

1. In dsa.msc zur OU Firma\Users navigieren
2. Rechtsklick → Neu → Benutzer
3. Vorname, Nachname und Anmeldename (SamAccountName, z. B. mmusters) eingeben
4. Passwort vergeben, Benutzer muss Kennwort bei nächster Anmeldung ändern empfohlen
5. Konto ist nach dem Anlegen aktiv

Benutzer via PowerShell anlegen

# Passwort als SecureString (nie im Klartext im Skript – nur für Demo)
$SecurePassword = ConvertTo-SecureString 'P@ssw0rd!' -AsPlainText -Force

# Benutzer anlegen und direkt aktivieren
New-ADUser `
    -Name 'Max Mustermann' `
    -GivenName 'Max' `
    -Surname 'Mustermann' `
    -SamAccountName 'mmusters' `
    -UserPrincipalName 'mmusters@corp.firma.com' `
    -Path 'OU=Users,OU=Firma,DC=corp,DC=firma,DC=com' `
    -AccountPassword $SecurePassword `
    -Enabled $true `
    -ChangePasswordAtLogon $true

Wichtig: Ohne -AccountPassword und -Enabled $true wird der Benutzer deaktiviert angelegt und kann sich nicht anmelden. -SamAccountName ist ein Pflichtparameter – fehlt er, schlägt der Befehl fehl.

Mehrere Benutzer per Schleife anlegen

$Users = @(
    @{ Name='Anna Schmidt';    Sam='aschmidt'; UPN='aschmidt@corp.firma.com' },
    @{ Name='Tom Berger';      Sam='tberger';  UPN='tberger@corp.firma.com'  }
)

$DefaultPW = Read-Host -AsSecureString 'Standard-Passwort fuer neue Benutzer'

foreach ($u in $Users) {
    New-ADUser `
        -Name $u.Name `
        -SamAccountName $u.Sam `
        -UserPrincipalName $u.UPN `
        -Path 'OU=Users,OU=Firma,DC=corp,DC=firma,DC=com' `
        -AccountPassword $DefaultPW `
        -Enabled $true `
        -ChangePasswordAtLogon $true
    Write-Host "Angelegt: $($u.Name)"
}

Schritt 6: Gruppen anlegen und Benutzer zuweisen

Gruppen strukturierst du in der OU Firma\Groups. Für den Alltag empfiehlt sich das AGDLP-Prinzip (Account → Global Group → Domain Local Group → Permission). Für den Start reicht eine einfache globale Sicherheitsgruppe.

# Globale Sicherheitsgruppe anlegen
New-ADGroup `
    -Name 'GRP-IT-Admins' `
    -SamAccountName 'GRP-IT-Admins' `
    -GroupCategory Security `
    -GroupScope Global `
    -Path 'OU=Groups,OU=Firma,DC=corp,DC=firma,DC=com' `
    -Description 'IT-Administratoren'

# Benutzer zur Gruppe hinzufügen
Add-ADGroupMember -Identity 'GRP-IT-Admins' -Members 'mmusters'

Best Practices für Konten und Gruppen

1. Kein Arbeiten mit dem Domain-Admin-Konto im Alltag – lege für administrative Aufgaben ein separates Admin-Konto an (z. B. adm-mmusters) und nutze Run as administrator oder Enter-PSSession
2. Einheitliche Naming-Konventionen: VORNAME.NACHNAME oder INITIALEN+NACHNAME für Benutzer, GRP-ABTEILUNG-ZWECK für Gruppen
3. ServiceAccounts niemals als reguläre Benutzer anlegen – dafür Managed Service Accounts (MSA) oder Group MSA (gMSA) verwenden
4. Das DSRM-Passwort sicher in einem Passwort-Manager speichern – es wird nie automatisch aktualisiert

Troubleshooting

1. Problem: Install-ADDSForest schlägt mit DNS-Fehler fehl. Stelle sicher, dass die statische IP gesetzt ist und der bevorzugte DNS-Server auf 127.0.0.1 zeigt. Führe Test-ADDSForestInstallation -DomainName 'corp.firma.com' vorab aus.
2. Problem: New-ADUser meldet Fehler wegen fehlendem SamAccountName. -SamAccountName ist Pflichtparameter – immer angeben.
3. Problem: Benutzer kann sich nicht anmelden nach dem Anlegen. Ohne -Enabled $true und -AccountPassword ist das Konto deaktiviert. Nachträglich aktivieren mit Enable-ADAccount -Identity 'mmusters' und Passwort setzen mit Set-ADAccountPassword.
4. Problem: OU kann nicht gelöscht oder verschoben werden. ProtectedFromAccidentalDeletion ist aktiv. Kurzzeitig deaktivieren: Set-ADOrganizationalUnit -Identity 'OU=...' -ProtectedFromAccidentalDeletion $false, danach wieder aktivieren.
5. Problem: Server startet nach Install-ADDSForest nicht automatisch neu. Führe Restart-Computer manuell aus – ohne Neustart ist der DC nicht funktionsfähig.
6. Problem: ForestMode/DomainMode-Fehler bei der Installation. Der ForestMode-Wert muss mindestens so hoch wie DomainMode sein. Überprüfe die Kombinationen und passe den niedrigeren Wert an.
7. Problem: NetBIOS-Name-Fehler. Der NetBIOS-Name darf maximal 15 Zeichen haben. Falls der automatisch generierte Name zu lang ist, gib ihn explizit mit -DomainNetbiosName 'CORP' an.

Häufige Fragen

Warum soll ich keine .local-Domäne verwenden?

ICANN hat bestimmte TLD-Endungen wie .local, .lan und .corp an Registrare vergeben oder reserviert. Interne Domänen mit diesen Endungen können zu Konflikten mit dem öffentlichen DNS führen, Zertifikatsprobleme verursachen und den Zugriff auf externe Dienste stören. Verwende stattdessen eine registrierte öffentliche Domain als Basis, z. B. corp.deinefirma.com.

Was ist das DSRM-Passwort und warum ist es so wichtig?

Das Directory Services Restore Mode (DSRM)-Passwort ist ein lokales Administrator-Passwort, mit dem du dich am DC anmelden kannst, wenn Active Directory nicht läuft – z. B. für Wiederherstellungsarbeiten. Es wird bei der Installation einmalig gesetzt, nie automatisch aktualisiert und sollte sicher (z. B. in einem Passwort-Manager) aufbewahrt werden. Wer dieses Passwort kennt, kann den DC übernehmen.

Welche Funktionsebene soll ich wählen?

Für neue Umgebungen empfiehlt sich mindestens Windows Server 2016 (WinThreshold), da ältere Ebenen kaum noch Vorteile bieten und neuere Funktionen sperren. Windows Server 2025 führt mit Win2025 erstmals seit 2016 eine neue Ebene ein, die u. a. 32-KB-Datenbankseiten unterstützt. Wähle nur dann eine niedrigere Ebene, wenn du noch ältere Domänencontroller in der Umgebung hast.

Muss ich die Standard-Container (CN=Users, CN=Computers) nutzen?

Nein. Die Standard-Container sind keine OUs und unterstützen keine GPO-Verknüpfungen. Lege eigene OUs an und verschiebe neue Objekte dorthin – oder konfiguriere mit redircmp und redirusr die Standardziele für neue Computer- und Benutzerobjekte auf deine OUs.

Kann ich die AD-DS-Rolle auch auf einem Server Core installieren?

Ja. Server Core (ohne GUI) wird von Microsoft für Domänencontroller sogar empfohlen, da die Angriffsfläche kleiner ist. Alle hier gezeigten PowerShell-Befehle funktionieren identisch auf Server Core. Die GUI-Tools (dsa.msc, Server Manager) kannst du von einem anderen Windows-Server oder einer Windows-10/11-Workstation mit installiertem RSAT aus nutzen.

Was ist der nächste sinnvolle Schritt nach dem Aufsetzen der Domäne?

Mit einer laufenden Domäne und ersten OUs bist du bereit, Gruppenrichtlinien (GPOs) einzusetzen. GPOs ermöglichen die zentrale Konfiguration von Sicherheitseinstellungen, Software-Deployment und Desktop-Richtlinien. Wie das funktioniert, zeigt die weiterführende Anleitung zu Gruppenrichtlinien.

Fazit

Du hast jetzt eine funktionierende Active-Directory-Umgebung: einen Domänencontroller mit integriertem DNS, eine sinnvolle OU-Struktur und erste Benutzerkonten. Das Fundament steht. Achte im laufenden Betrieb darauf, niemals den Domain-Admin-Account für alltägliche Aufgaben zu verwenden, das DSRM-Passwort sicher aufzubewahren und OUs konsequent mit ProtectedFromAccidentalDeletion zu schützen. Der nächste logische Schritt ist die Konfiguration von Gruppenrichtlinien, um Sicherheits- und Konfigurationseinstellungen zentral zu verteilen.

Weiterführende Anleitungen und Quellen

1. Gruppenrichtlinien (GPO): Grundlagen und Praxis – der nächste Schritt nach dieser Anleitung
2. Alle Windows-Server-Anleitungen von Schönfelder EDV

Offizielle Microsoft-Dokumentation: Install Active Directory Domain Services (Microsoft Learn) · Install-ADDSForest PowerShell-Referenz · AD-Funktionsebenen