Active-Directory-Tipp: AD-Benutzerkonto deaktivieren – mit PowerShell oder ADManager Plus

Wenn Mitarbeitende das Unternehmen verlassen oder Zugriffe vorübergehend gesperrt werden sollen, müssen IT-Administratoren Active-Directory-Benutzerkonten schnell deaktivieren. 

Dies lässt sich über PowerShell mit wenigen Befehlen erledigen. Allerdings erfordert die Arbeit mit Skripten entsprechende Berechtigungen sowie Erfahrung im Umgang mit PowerShell. 

Alternativ können Administratoren AD-Benutzerkonten über die grafische Oberfläche von ManageEngine ADManager Plus deaktivieren – auch mehrere Konten gleichzeitig und ohne Skripting

In diesem Tipp zeigen wir zwei Möglichkeiten zur Deaktivierung eines Active-Directory-Benutzerkontos:

ADManager Plus Live-Demo

Wir stellen Ihnen die Funktionen von ADManager Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!

Jetzt anmelden!

So deaktivieren Sie ein AD-Benutzerkonto mit PowerShell

  • Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, um PowerShell-Skripte auszuführen sowie Änderungen an Benutzerkonten im Active Directory vorzunehmen.
  • Ermitteln Sie ein eindeutiges Attribut des Benutzerkontos, das deaktiviert werden soll, z. B. sAMAccountName, Distinguished Name (DN), SID oder GUID.
  • Erstellen Sie das Skript mit dem Disable-ADAccount cmdlet.
  • Öffnen Sie Windows PowerShell mit administrativen Rechten und führen Sie das Skript aus.
  • Wiederholen Sie die Schritte ggf. für jeden weiteren Anwender.

Einfaches Beispiel-Skript: 
Disable-ADAccount -Identity "[sAMAccountName / DN / SID / GUID]" 

Dieses Skript deaktiviert das Benutzerkonto mit dem angegebenen sAMAccountName oder DN bzw. der SID oder GUID.

Einschränkungen bei der Deaktivierung von AD-Benutzerkonten mit PowerShell:

  • Erforderliche Berechtigungen
    Ohne ausreichende Rechte im Active Directory kann ein Benutzerkonto nicht deaktiviert werden.
  • Anpassung von Skripten
    Soll eine größere Anzahl von Konten deaktiviert werden (z. B. per CSV-Datei), muss das PowerShell-Skript entsprechend angepasst werden.
  • Scripting-Kenntnisse erforderlich
    Administratoren müssen wissen, wie PowerShell-Skripte erstellt und ausgeführt werden.
  • Fehleranfälligkeit
    Tippfehler können dazu führen, dass Skripte nicht korrekt ausgeführt werden.
 

Zusatztipp: Mehrere AD-Benutzerkonten gleichzeitig deaktivieren

Wenn Sie eine größere Anzahl von Benutzerkonten deaktivieren möchten, können Sie eine CSV-Datei mit den entsprechenden Benutzerkennungen erstellen und diese in PowerShell importieren. Anschließend lassen sich die Konten automatisiert nacheinander deaktivieren. 

Zur Identifikation der Benutzerkonten können Sie beispielsweise den sAMAccountName (Benutzername) oder den Distinguished Name (DN) verwenden. 

Beispiel für eine CSV-Datei mit Benutzernamen: 
Username 
mmustermann 
jschmidt

Beispiel-Skript (Deaktivierung über Benutzername): 
# Importieren der CSV-Datei mit Benutzernamen 
$users = Import-Csv -Path "C:\Pfad\benutzer-deaktivieren.csv" 

# Deaktivieren jedes Benutzerkontos 
foreach ($user in $users) {
 Disable-ADAccount -Identity $user.Username 
}

Beispiel für eine CSV-Datei mit Distinguished Names: 
DistinguishedName 
CN=Max Mustermann,OU=Users,DC=example,DC=local
CN=Julia Schmidt,OU=Users,DC=example,DC=local

Beispiel-Skript (Deaktivierung über Distinguished Name):
# Importieren der CSV-Datei mit Distinguished Names 
$users = Import-Csv -Path "C:\Pfad\benutzer-deaktivieren.csv" 

# Deaktivieren jedes Benutzerkontos 
foreach ($user in $users) {
 Disable-ADAccount -Identity $user.DistinguishedName 
}

So deaktivieren Sie ein oder mehrere AD-Benutzerkonten mit ADManager Plus

  • Bei ADManager Plus anmelden und auf den Reiter „Management“ gehen.
  • Zu Benutzermanagement > Benutzer aktivieren/deaktivieren navigieren.
  • Deaktivieren“ im Drop-down-Menü auswählen.
  • Gewünschte Domäne auswählen und die Benutzerkonten angeben, die deaktiviert werden sollen. Sie können entweder gezielt nach einzelnen Benutzern suchen oder sich alle Benutzer der ausgewählten Domäne anzeigen lassen und die gewünschten Konten auswählen.
  • Auf „Anwenden“ klicken, um das oder die ausgewählten Konten zu deaktivieren.
Screenshot ADManager Plus: Benutzer deaktivieren
Screenshot ADManager Plus: Über die Funktion „Benutzer aktivieren/deaktivieren“ können Administratoren ein oder mehrere AD-Benutzerkonten mit wenigen Klicks deaktivieren.

Tipp: 
Wenn Sie viele Benutzerkonten auf einmal deaktivieren möchten, können Sie auch eine CSV-Datei mit den entsprechenden Benutzernamen importieren. Klicken Sie dazu bei „Benutzer finden“ auf „CSV-Import“, wählen Sie die CSV-Datei aus und klicken Sie auf „Los“.

Vorteile beim Deaktivieren von Benutzerkonten mit ADManager Plus

  • Keine Skripte erforderlich
    Benutzerkonten und andere AD-Objekte lassen sich über die grafische Oberfläche verwalten – ohne PowerShell-Befehle.
  • Massendeaktivierung möglich
    Einzelne oder mehrere Benutzerkonten können gleichzeitig deaktiviert werden, auch per CSV-Import.
  • Weniger Fehlerquellen
    Da keine Skripte erstellt werden müssen, entfallen typische Fehler wie Tippfehler in Befehlen oder falsche LDAP-Angaben.
  • Automatisiertes Offboarding
    Die Deaktivierung von Benutzerkonten kann Teil automatisierter Offboarding-Prozesse sein, etwa zum Entfernen von Gruppenmitgliedschaften, Entziehen von Microsoft-365-Lizenzen oder Archivieren von Daten.
 

Zusatztipp: Automatisiertes Offboarding mit ADManager Plus

Mit ADManager Plus können Sie die Deaktivierung von Benutzerkonten in einen automatisierten Offboarding-Prozess integrieren. Wird ein Konto deaktiviert oder ein definierter Zeitpunkt erreicht (z. B. der letzte Arbeitstag eines Mitarbeitenden), lassen sich automatisch weitere Schritte ausführen, zum Beispiel: 

  • Entfernen von Gruppenmitgliedschaften
  • Verschieben des Benutzerkontos in eine separate OU
  • Automatisches Löschen des Kontos nach einer definierten Quarantänezeit
  • Entzug von Lizenzen in Cloud-Diensten wie Microsoft 365
  • Weitere Offboarding-Aktionen wie das Deaktivieren von Postfächern oder das Archivieren von Daten 

So können IT-Abteilungen sicherstellen, dass beim Ausscheiden von Mitarbeitenden alle Zugriffsrechte systematisch entzogen werden.

Über ADManager Plus

ManageEngine ADManager Plus ist eine Identity-Governance- & -Administration(IGA)-Lösung, die IT-Administratoren bei der Verwaltung und Berichterstellung für Active Directory, Microsoft 365, Exchange und Google Workspace unterstützt. Sie vereinfacht und automatisiert u. a. zahlreiche AD-Routineaufgaben, wie das Erstellen, Konfigurieren oder Ändern mehrerer Benutzerkonten in einem Arbeitsschritt oder das Management von Gruppen und Computern.

Jetzt ADManager Plus testen!
Demo-Version von ADManager Plus ansehen

Weitere Active-Directory-Tipps:

Passwort von
AD-Benutzern ändern
AD-Benutzer
anlegen
Single Sign-on für
ADManager Plus aktivieren
Alle Benutzer im AD oder in bestimmten OE
anzeigen lassen
Massenänderungen in
Organisationseinheiten
Eindeutige Benutzernamen
im AD herausfinden
mehr Tipps zu
ADManager Plus

ManageEngine – Support & Kontakt

MicroNova AG
Unterfeldring 6
85256 Vierkirchen

Vertrieb
   +49 8139 9300-456
   Sales-ManageEngine@micronova.de

Technische Unterstützung
   Support kontaktieren