# AD Organizational Units: Strukturierung & Delegation für Profis

TL;DR / Management Summary Organisationseinheiten (OUs) sind das wichtigste Werkzeug zur Strukturierung von Active Directory Objekten. Entgegen der landläufigen Meinung sollten OUs nicht die Firmenhierarchie (Abteilungen) abbilden, sondern primär nach Verwaltungs- und Richtlinien-Bedürfnissen (GPOs) erstellt werden. Ein Senior Admin nutzt OUs, um granulare Berechtigungen an den Helpdesk zu delegieren, ohne Domain-Admin-Rechte vergeben zu müssen.

# 1. Einführung & Design-Konzepte

Struktur mit Sinn.

# Regel Nr. 1: OUs sind keine Abteilungen

Wenn das Marketing und der Vertrieb die gleichen IT-Richtlinien haben, brauchen sie keine getrennten OUs auf oberster Ebene.

• Ziel: Minimierung der GPO-Komplexität (Artikel 490).

# Die ‘Geographische vs. Funktionale’ Struktur

• Geographisch: OU=Berlin -> OU=Users. Sinnvoll, wenn lokale Admins nur ihre eigenen User verwalten dürfen.
• Funktional (Empfohlen): OU=Production -> OU=Workstations. Sinnvoll für die zentrale Verwaltung via GPO.

# 2. OU Design-Muster

Der Goldstandard.

Ein bewährtes Enterprise-Layout (Tiers):

1. Tier 0: Domain Controller & sensitive Admin-Accounts.
2. Tier 1: Server & Applikations-Accounts.
3. Tier 2: Standard-Workstations & normale User.

# Architektur-Diagramm (Mermaid)

graph TD
    ROOT[Domain Root] --> T0[OU: Tier 0 - Core]
    ROOT --> T1[OU: Tier 1 - Servers]
    ROOT --> T2[OU: Tier 2 - Clients]
    
    T2 --> T2_U[OU: Users]
    T2 --> T2_C[OU: Computers]
    
    subgraph "Delegation Zone"
    T2_U
    T2_C
    end

# 3. Deep Dive: Administrative Delegation

Macht abgeben, Sicherheit behalten.

Das Ziel: Der Helpdesk soll Passwörter zurücksetzen können, darf aber keine neuen OUs löschen oder GPOs verlinken.

# Der ‘Objektverwaltung zuweisen’ Wizard

1. Rechtsklick auf OU -> Objektverwaltung zuweisen.
2. Benutzer oder Gruppe auswählen (z.B. G-Helpdesk).
3. Aufgaben wählen: “Kennwort für Benutzerkonten zurücksetzen”, “Benutzerkonten erstellen/löschen”.

# Fortgeschrittene Delegation (ACEs)

Für Profis: Manuelle Anpassung der ACLs (Access Control Lists) im Tab “Sicherheit” (erfordert ‘Erweiterte Features’ in der Ansicht).

• Tipp: Delegieren Sie das Recht Write Property für das Attribut lockoutTime, damit der Helpdesk Konten entsperren kann.

# 4. Day-2 Operations: Schutz vor versehentlichem Löschen

Der Rettungsschirm.

Jede wichtige OU sollte den Haken “Objekt vor zufälligem Löschen schützen” aktiv haben.

• Effekt: Setzt einen Deny Eintrag für Delete auf dem Objekt.
• PowerShell Fix:

  Get-ADOrganizationalUnit -Filter 'Name -like "*"' | Set-ADObject -ProtectedFromAccidentalDeletion $true

# 5. Troubleshooting & “War Stories”

Wenn die Vererbung zuschlägt.

# Top 3 Fehlerbilder

1. Symptom: GPO zieht nicht in einer Sub-OU.

   • Ursache: “Vererbung blockieren” (Block Inheritance) ist auf einer übergeordneten OU aktiv.
   • Lösung: GPO auf “Erzwungen” (Enforced) stellen oder Blockade entfernen.

2. Symptom: Admin kann User nicht verschieben (“Zugriff verweigert”).

   • Ursache: Das Ziel-OU-Objekt ist vor versehentlichem Löschen geschützt (was auch das Hinzufügen/Verschieben blockieren kann, wenn Rechte fehlen).

3. Symptom: Helpdesk sieht keine User in der Konsole.

   • Ursache: Fehlende Read Berechtigungen auf der Root-OU der Domäne. Der Helpdesk braucht “List Contents” Rechte auf dem gesamten Pfad.

# “War Story”: Die “Abteilungs-Umzug” Hölle

Ein Unternehmen strukturierte sein AD exakt nach dem Organigramm. Das Problem: Bei einer Firmenumstrukturierung wurden 500 User in neue Abteilungen verschoben. Da die GPOs (Drucker, Software) an den Abteilungs-OUs hingen, verloren alle User über Nacht ihre Drucker und installierte Software. Lehre: Nutzen Sie für Ressourcen (Drucker/Shares) Sicherheitsgruppen (Artikel 489) und Item-Level Targeting, nicht die OU-Zugehörigkeit. OUs sind für OS-Settings, Gruppen für Berechtigungen.

# 6. Monitoring & Reporting

Audit der Struktur.

# Wer hat was delegiert?

Das Tool LDP.exe oder PowerShell hilft, die ACLs zu prüfen:

(Get-Acl "AD:OU=Marketing,DC=firma,DC=local").Access

# 7. Fazit & Empfehlung

OUs sind das Skelett Ihres AD.

• Empfehlung: Halten Sie die Struktur flach (max. 3-4 Ebenen tief).
• Sicherheit: Delegieren Sie Aufgaben nach dem Least Privilege Prinzip. Ein Helpdesk-Mitarbeiter braucht niemals Domain-Admin Rechte!

# Anhang: Cheatsheet

# Referenzen

• Microsoft Learn: Delegate Administration of OUs
• Active Directory Design: The Clean Source Principle
• Best Practices for OU Design (TechNet)