MCSE Windows Server 2003 Active Directory Infrastruktur

MCSE Windows Server 2003 Active Directory-Infrastruktur Examen 70-294 Frank Castro Lieberwirth MCSE Windows Server 20...

Author: Frank Castro-Lieberwirth

30 downloads 1973 Views 16MB Size Report

This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form

DOWNLOAD PDF

MCSE Windows Server 2003 Active Directory-Infrastruktur Examen 70-294

Frank Castro Lieberwirth

MCSE Windows Server 2003 Active Directory-Infrastruktur

Die komplette Vorbereitung für das Examen 70-294

eBook Die nicht autorisierte Weitergabe dieses eBooks ist eine Verletzung des Urheberrechts!

ADDISON-WESLEY An imprint of Pearson Education München • Boston • San Francisco • Harlow, England Don Mills, Ontario • Sydney • Mexico City Madrid • Amsterdam

Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.

Die Informationen in diesem Produkt werden ohne Rücksicht auf einen eventuellen Patentschutz veröffentlicht. Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt. Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter Sorgfalt vorgegangen. Trotzdem können Fehler nicht vollständig ausgeschlossen werden. Verlag, Herausgeber und Autoren können für fehlerhafte Angaben und deren Folgen weder eine juristische Verantwortung noch irgendeine Haftung übernehmen. Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und Herausgeber dankbar. Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der Speicherung in elektronischen Medien. Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten ist nicht zulässig. Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden, sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden. Umwelthinweis: Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt. Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus umweltverträglichem und recyclingfähigen PE-Material.

10 9 8 7 6 5 4 3 2 1 07 06 05 04 ISBN 3-8273-2146-8

© 2004 by Addison-Wesley Verlag, ein Imprint der Pearson Education Deutschland GmbH Martin-Kollar-Straße 10–12, D-81829 München/Germany Alle Rechte vorbehalten Einbandgestaltung: Marco Lindenbeck, webwo GmbH, [email protected] Lektorat: Sylvia Hasselbach, [email protected] Fachlektorat: Stephanie Knecht-Thurmann, [email protected] Korrektorat: Friederike Daenecke, [email protected] Herstellung: Philipp Burkart, [email protected] Satz und Layout: mediaService, Siegen (www.media-service.tv) Druck und Verarbeitung: Kösel Buch, Krugzell (www.koeselbuch.de) Printed in Germany

I Inhaltsverzeichnis Vorwort

15

Einleitung

17

E.1

Konzeption ........................................................................................... 17

E.2

Was Sie in der MCSE-Prüfung erwartet ............................................. 18

Teil 1

Prüfungsstoff

Kapitel 1

Einführung in die Active Directory Services 1.1

21 23

Grundlagen von Domänen und Arbeitsgruppen............................... 24 1.1.1 Von den Anfängen an............................................................... 24 1.1.2 Verzeichnisdienste.................................................................... 27

1.2

Die Grundzüge einer Active Directory-Infrastruktur........................ 32 1.2.1 Prinzip einer Infrastruktur ...................................................... 32 1.2.2 Active Directory-Dienste ......................................................... 35

1.3

Planungsvorbereitungen...................................................................... 40 1.3.1 Werkzeuge zur Planung ........................................................... 40 1.3.2 Erfassen der Netzwerkinfrastruktur........................................ 44 1.3.3 Kostenmanagement ................................................................. 46 5

MCSE Examen 70-294

1.4

Lernzielkontrolle ..................................................................................52 1.4.1 Wiederholungsfragen ...............................................................52 1.4.2 Antworten zu den Wiederholungsfragen ................................52

Kapitel 2

Bereitstellen des DNS-Servers für das Active Directory 2.1

55

Planen einer DNS-Infrastruktur..........................................................56 2.1.1 Begriffe und Definitionen ........................................................56 2.1.2 Grundlegende Arbeitsweise von DNS .....................................58 2.1.3 BIND-Server .............................................................................70 2.1.4 DNS-Server-Rollen...................................................................72

2.2

Der Windows Server 2003-DNS-Bereitstellungsprozess ....................73 2.2.1 Überprüfen der Netzwerkinfrastruktur...................................74 2.2.2 Design eines DNS-Namensraums ...........................................75 2.2.3 Design von DNS-Servern und Zonen......................................89 2.2.4 Design von DNS-Zonen ...........................................................91 2.2.5 Konfigurieren und Verwalten der DNS-Clients ......................92 2.2.6 Sichern der DNS-Infrastruktur................................................92 2.2.7 Arbeitsweise von DNS mit Active Directory ...........................95 2.2.8 Integration von Windows Server System-Applikationen .....101

2.3

Einrichten eines DNS-Servers............................................................103 2.3.1 Installation ..............................................................................103 2.3.2 Werkzeuge zur Konfiguration ................................................104 2.3.3 Wichtige Verwaltungsarbeiten ...............................................107

2.4

Lernzielkontrolle ................................................................................115 2.4.1 Wiederholungsfragen .............................................................115 2.4.2 Allgemeine Computereinstellungen in den Übungen ..........115 2.4.3 Übungen für Einsteiger ..........................................................117 2.4.4 Übungen für Fortgeschrittene................................................121 2.4.5 Antworten zu den Wiederholungsfragen ..............................126 2.4.6 Antworten zu den Übungen...................................................127

6

Inhaltsverzeichnis

Inhaltsverzeichnis

Kapitel 3

Planung und Einrichtung einer Active Directory-Infrastruktur

131

3.1

Einführung in die Projektierung der Infrastruktur.......................... 133

3.2

Logische Strukturen........................................................................... 134 3.2.1 Organisationseinheit (OU).................................................... 135 3.2.2 Domäne .................................................................................. 137 3.2.3 Struktur .................................................................................. 138 3.2.4 Gesamtstruktur ...................................................................... 140

3.3

Physische Strukturen ......................................................................... 142 3.3.1 Active Directory-Objekte....................................................... 142 3.3.2 Das Active Directory-Schema................................................ 143 3.3.3 Domänencontroller ............................................................... 144 3.3.4 Vertrauensstellungen ............................................................. 145 3.3.5 Active Directory-Partitionen und Replikation ..................... 153 3.3.6 Standorte ................................................................................ 156 3.3.7 Globale Katalogserver ............................................................ 160 3.3.8 Betriebsmasterrollen .............................................................. 160

3.4

Designprozesse................................................................................... 162 3.4.1 Bestimmen des Designs und der Entwicklungsstrategie...... 163 3.4.2 Gesamtstruktur-Design ......................................................... 165 3.4.3 Struktur-Design ..................................................................... 167 3.4.4 Domänendesign ..................................................................... 167 3.4.5 DNS-Infrastruktur-Design .................................................... 172 3.4.6 OU-Design für Delegation und Administration.................. 174 3.4.7 Standorttopologie-Design ..................................................... 182

3.5

Installation ......................................................................................... 190 3.5.1 Kapazitätsplanung Domänencontroller................................ 190 3.5.2 Installationsvorgang............................................................... 196 3.5.3 Problembehandlung .............................................................. 200

3.6

Lernzielkontrolle................................................................................ 214 3.6.1 Wiederholungsfragen............................................................. 214 3.6.2 Übungen ................................................................................. 215 3.6.3 Antworten zu den Übungen .................................................. 226 3.6.4 Antworten zu den Wiederholungsfragen.............................. 230

Inhaltsverzeichnis

7

MCSE Examen 70-294

Kapitel 4

Einrichten und Warten einer Active Directory-Infrastruktur 4.1

233

Verwalten von Servern........................................................................234 4.1.1 Allgemeine Active Directory-Verwaltungskonsolen .............235 4.1.2 Verwaltungskonsolen auf einem Clientcomputer.................236 4.1.3 Support-Tools .........................................................................238

4.2

Funktionen von Gesamtstrukturen und Domänen..........................244 4.2.1 Domänenfunktionsebenenen ................................................245 4.2.2 Gesamtstrukturfunktionsebenen...........................................250 4.2.3 Benutzerprinzipalnamen-Suffixe...........................................253 4.2.4 Erstellen von Vertrauensstellungen........................................254 4.2.5 Verwalten von Vertrauensstellungen .....................................266

4.3

Betriebsmasterrollen ..........................................................................275 4.3.1 Schemamaster .........................................................................276 4.3.2 Domänennamenmaster..........................................................277 4.3.3 RID-Master .............................................................................278 4.3.4 Infrastrukturmaster ................................................................280 4.3.5 PDC-Emulator........................................................................281 4.3.6 Verwaltungsdienstprogramme...............................................282

4.4

Standorte und Replikation.................................................................283 4.4.1 Funktion..................................................................................283 4.4.2 Verbindungsobjekte und Standortverknüpfungen ...............285 4.4.3 Standortverknüpfungsbrücke ................................................288 4.4.4 Replikation ..............................................................................289 4.4.5 Bridgeheadserver ....................................................................294 4.4.6 Lizenzserver.............................................................................295 4.4.7 Globaler Katalogserver und Zwischenspeicherung der universellen Gruppenmitgliedschaften ...........................296 4.4.8 Standorterstellung ..................................................................300 4.4.9 Fehlersuche bei Replikation und Konfiguration ...................302 4.4.10 Replikation und Netzwerk-Ports ...........................................317

8

Inhaltsverzeichnis

Inhaltsverzeichnis

4.5

Lernzielkontrolle................................................................................ 323 4.5.1 Wiederholungsfragen............................................................. 323 4.5.2 Übungen ................................................................................. 323 4.5.3 Antworten zu den Übungen .................................................. 346 4.5.4 Antworten zu den Wiederholungsfragen.............................. 349

Kapitel 5

Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten 5.1

351

Organisationseinheiten...................................................................... 352 5.1.1 Modelle ................................................................................... 353 5.1.2 Einrichten und Warten .......................................................... 354

5.2

Benutzerkonten.................................................................................. 358 5.2.1 Lokale Anmeldung................................................................. 359 5.2.2 Anmeldung an Active Directory............................................ 359 5.2.3 Vordefinierte Benutzerkonten ............................................... 361 5.2.4 Kennwörter............................................................................. 363 5.2.5 Smartcards.............................................................................. 364 5.2.6 Erstellen von Benutzern......................................................... 365 5.2.7 Verwalten von Benutzern....................................................... 372

5.3

Benutzergruppen ............................................................................... 384 5.3.1 Allgemeines und Planung...................................................... 385 5.3.2 Verwenden von Domänengruppen....................................... 391 5.3.3 Standardgruppen ................................................................... 394 5.3.4 Erstellen und Verwalten von Gruppen.................................. 402 5.3.5 Erstellen und Verwalten über Befehlszeilenprogramme ...... 404

5.4

Computerkonten................................................................................ 406 5.4.1 Computerkonten vom Client aus zur Domäne hinzufügen .. 406 5.4.2 Computerkonten vom Domänencontroller aus zur Domäne hinzufügen......................................................... 408

5.5

Veröffentlichen von Ressourcen........................................................ 410 5.5.1 Ordner veröffentlichen .......................................................... 410 5.5.2 Drucker veröffentlichen......................................................... 411 5.5.3 Drucker in Standorten über eine GPO veröffentlichen ....... 413

Inhaltsverzeichnis

9

MCSE Examen 70-294

5.6

Lernzielkontrolle ................................................................................416 5.6.1 Wiederholungsfragen .............................................................416 5.6.2 Übungen..................................................................................417 5.6.3 Antworten zu den Übungen...................................................420 5.6.4 Antworten zu den Wiederholungsfragen ..............................423

Kapitel 6

Verwalten und Warten einer Active Directory-Datenbank 6.1

427

Objekte im Active Directory ..............................................................428 6.1.1 Namensgebungen und Objektkennungen.............................428 6.1.2 Active Directory-Sicherheitskomponenten...........................432 6.1.3 Garbage Collection und Defragmentierung .........................444 6.1.4 Kontingente.............................................................................447 6.1.5 Das Active Directory Diagnose-Programm Ntdsutil............448

6.2

Berechtigungen ...................................................................................461 6.2.1 Setzen von Berechtigungen ....................................................462 6.2.2 Assistent zum Zuweisen von Berechtigungen .......................465 6.2.3 Tool zum Bestimmen der effektiven Berechtigungen...........466 6.2.4 Übernehmen des Objektbesitzes............................................468 6.2.5 Überwachen von Objektzugriffen .........................................469

6.3

Active Directory-Abfragen .................................................................471 6.3.1 Suchen von Objekten..............................................................471

6.4

Sichern der Active Directory-Datenbank..........................................474 6.4.1 Windows Systemstatus ...........................................................474 6.4.2 Hinweise zur Sicherung..........................................................476

6.5

Wiederherstellen einer Active Directory-Datenbank .......................477 6.5.1 Nicht autorisierende Wiederherstellung ...............................478 6.5.2 Autorisierende Wiederherstellung .........................................479

6.6


10

Inhaltsverzeichnis

Inhaltsverzeichnis

Kapitel 7

Installieren und Verwalten von Gruppenrichtlinien 7.1

495

Einführung in Gruppenrichtlinien ................................................... 496 7.1.1 Konzept................................................................................... 497 7.1.2 Auswählen der richtigen Gruppenrichtlinien....................... 497 7.1.3 Gruppenrichtlinieneinstellungen für die Computerkonfiguration ........................................................ 500 7.1.4 Gruppenrichtlinieneinstellungen für die Benutzerkonfiguration........................................................... 505 7.1.5 Filtern von Gruppenrichtlinieneinstellungen....................... 507 7.1.6 Auswirkungen auf den Clientcomputer beim Booten und Anmelden........................................................... 509

7.2

Planen von Gruppenrichtlinien ........................................................ 511 7.2.1 Verarbeitung der Gruppenrichtlinieneinstellungen............. 511 7.2.2 Planen von Einsatzmöglichkeiten ......................................... 518 7.2.3 Regeln und empfohlene Vorgehensweisen ........................... 521

7.3

Einrichten von Gruppenrichtlinien .................................................. 522 7.3.1 Das Register Gruppenrichtlinie............................................. 522 7.3.2 Hinzufügen von GPOs........................................................... 524 7.3.3 Bearbeiten von GPOs............................................................. 524 7.3.4 Optionen ................................................................................ 525 7.3.5 Eigenschaften von GPOs........................................................ 526 7.3.6 Sicherheitsvorlagen ................................................................ 529

7.4

Richtlinienergebnissatz-Assistent ..................................................... 536 7.4.1 RSoP im Protokolliermodus.................................................. 537 7.4.2 RSoP im Planungsmodus ...................................................... 540

7.5

Beispiele für den Einsatz von Gruppenrichtlinien ........................... 551 7.5.1 Kontorichtlinien..................................................................... 552 7.5.2 Softwareverteilung ................................................................. 554 7.5.3 Softwareeinschränkung ......................................................... 561 7.5.4 Überwachungsrichtlinien ...................................................... 568 7.5.5 Umleiten von Ordnern .......................................................... 572 7.5.6 Einsatz von Gruppenrichtlinieneinstellungen in einer Richtlinie................................................................... 579

Inhaltsverzeichnis

11

MCSE Examen 70-294

7.6


Teil 2

Kapitel 8

Zusammenfassung des Prüfungsstoffs Schnellwiederholung 70-294 8.1

609 611

Planen und Implementieren einer Active Directory-Infrastruktur ..........................................................612 8.1.1 Planung im Überblick ............................................................612 8.1.2 Implementieren von Active Directory...................................620

8.2

Verwalten und Warten einer Active Directory-Infrastruktur...........621 8.2.1 Verwalten und Warten von Domänen...................................621 8.2.2 Standorte und Replikation .....................................................625 8.2.3 Objekte in Active Directory ...................................................629 8.2.4 Verwalten von Objekten .........................................................631 8.2.5 Veröffentlichen von Ressourcen.............................................632 8.2.6 Wartung einer Active Directory-Datenbank .........................633

8.3

Planen und Implementieren von Benutzer-, Computer- und Gruppen-Richtlinien...............................................636 8.3.1 Planung und Einrichtung von Benutzerkonten ....................636 8.3.2 Planung und Einrichtung von Benutzergruppen .................638 8.3.3 Planung und Einrichtung von Computerkonten..................641

8.4

Planen und Implementieren von Gruppenrichtlinien .....................642 8.4.1 Grundlegendes........................................................................642 8.4.2 Planen von Gruppenrichtlinien .............................................643

8.5

12

Verwalten und Warten von Gruppenrichtlinien...............................645

Inhaltsverzeichnis

Inhaltsverzeichnis

Kapitel 9

Testprüfung

647

9.1

Prüfungsfragen................................................................................... 648

9.2

Antworten auf die Prüfungsfragen ................................................... 668

Teil 3

Anhang

A

Objektklassen A.1

679 681

Attribute der Objektklasse User ........................................................ 681 A.1.1 Quellklasse: User .................................................................... 682 A.1.2 Erweiterungsklasse: securityPrincipal................................... 685 A.1.3 Erweiterungsklasse: mailRecipient........................................ 686 A.1.4 Übergeordnete Klasse: organizationalPerson ....................... 686 A.1.5 Quellklasse: person ................................................................ 688 A.1.6 Quellklasse: top ...................................................................... 689

A.2

Attribute der Objektklasse Group..................................................... 692 A.2.1 Quellklasse: group.................................................................. 692 A.2.2 Erweiterungsklasse: mailRecipient........................................ 692 A.2.3 Erweiterungsklasse: securityPrincipal................................... 693 A.2.4 Übergeordnete Klasse: top..................................................... 694

B

C

Inhaltsverzeichnis

Der Weg zur Zertifizierung

697

B.1

Microsoft-Zertifizierungen ............................................................... 697

B.2

Prüfungen zum MCSE....................................................................... 698

B.3

Anmeldung zur Prüfung.................................................................... 699

Glossar

701

13

MCSE Examen 70-294

D

Die Testsoftware auf der CD-ROM D.1

719

Wie ist die Software aufgebaut? .........................................................719 D.1.1 Prüfungsmodus.......................................................................720 D.1.2 Lernmodus ..............................................................................721 D.1.3 Die Auswertung ......................................................................722 D.1.4 Die Einstellungen....................................................................722 D.1.5 Fehler ... ...................................................................................722

E

14

Über den Autor

723

Stichwortverzeichnis

725

Inhaltsverzeichnis

V Vorwort Lieber Leser, willkommen bei MCSE Windows Server 2003 Active Directory-Infrastruktur! Dieses Buch bietet Ihnen die ideale Kombination aus Nachschlagewerk und Vorbereitungsbuch zur MCSE-Prüfung »Planen, Implementieren und Warten einer Active DirectoryInfrastruktur unter Microsoft Windows Server 2003« mit der Prüfungsnummer 70-294.

Wozu dieses Buch? Dieses Buch bietet Ihnen eine Einführung in Windows Server 2003 Active Directory. Sie erhalten Informationen über Planung, Einrichtung und Wartung einer Active Directory-Infrastruktur. Sie können hiermit Ihr Active Directory-Projekt in Ihrer Firma durchführen und sich gleichzeitig auf die MCSE-Prüfung vorbereiten. Damit Sie das Buch optimal nutzen können, finden Sie in diesem Werk neben der Theorie auch Übungen und Prüfungsfragen. Folglich ist dieses Buch auch zum Selbststudium geeignet.

15

MCSE Examen 70-294

Vielen Dank Zuallererst danke ich meiner Frau Petra, die mein Manuskript als erste begutachtet und mir wertvolle Anregungen gegeben hat. Vielen Dank auch für die viele Geduld, die Du an den vielen Abenden hattest, die ich im Büro verbracht habe. Vielen Dank, Petra! Danken möchte ich auch meiner Fachlektorin Frau Knecht-Thurmann für Ihre aufmerksame Durchsicht der Unterlagen. Ein Dank geht an das Team von Addison-Wesley für die unkomplizierte und erfolgreiche Zusammenarbeit. Erwähnen möchte ich auch unseren Kater Marlowe, der mir an den langen Abenden neben dem Computer auf dem Schreibtisch Gesellschaft geleistet hat.

Viel Erfolg bei Ihrer Prüfung, wünscht das Team von Addison-Wesley und Ihr Autor Frank Castro Lieberwirth

16

Pronstorf, im April 2004

E Einleitung Hier finden Sie Informationen zur Konzeption und zum Inhalt der Prüfung 70-294.

E.1

Konzeption

Alle Themen, die Sie für die Prüfung 70-294 beherrschen müssen, werden in diesem Buch behandelt. Die Themen werden nach Möglichkeit in einer besonderen Reihenfolge präsentiert, um Ihnen ein Lernen im Selbststudium zu erleichtern. Um dies zu erreichen, ist dieses Buch in drei Teile gegliedert: 1. Grundlagen – Ihr Prüfungsstoff! 2. Zusammenfassung des Prüfungsstoffs – Hier finden Sie die wichtigsten Fakten! 3. Originalgetreue Fragen und Tipps zum Bestehen der MCSE-Prüfung. Sie finden im ersten Teil eine theoretische und praktische Anleitung, die Sie befähigt, das Projekt »Active Directory-Infrastruktur« einzurichten. Die Kapitel sind in der folgenden Weise aufgeteilt: 1. Jedes Kapitel beginnt mit einer Liste der behandelten Themen. 2. Der theoretische Stoff wird anhand von Fakten und Fallbeispielen aufbereitet. 3. Anhand von praktischen Übungen führen Sie eine Lernzielkontrolle durch. 4. Am Ende des Kapitels überprüfen Sie Ihr Wissen anhand von Fragen, die die Inhalte des Kapitels widerspiegeln und auf die Prüfung vorbereiten.

E.1 Konzeption

17

TIPP

MCSE Examen 70-294

Darüber hinaus geben wir Ihnen Informationen, wie Sie eine Active Directory-Infrastruktur sinnvoll für Ihr Unternehmen einsetzen können.

E.2

Was Sie in der MCSE-Prüfung erwartet

Die MCSE-Prüfung 70-294 besteht zur Zeit aus folgenden Kernthemen: T Planen und Implementieren einer Active Directory-Infrastruktur T Verwalten und Warten einer Active Directory-Infrastruktur T Planen und Implementieren von Benutzer-, Computer- und Gruppenstrategien T Planen und Implementieren von Gruppenrichtlinien

HIN WEIS

T Verwalten und Warten von Gruppenrichtlinien

Wir möchten Sie aber darauf hinweisen, dass sich die Auswahl und die Gewichtung der Prüfungsthemen jederzeit und ohne Ankündigung ändern können! Wir empfehlen Ihnen daher, alle Aspekte von »Planung einer Infrastruktur« bis hin zur »Wartung von Gruppenrichtlinien« gleichermaßen ausführlich zu behandeln.

Planen und Implementieren einer Active Directory-Infrastruktur Sie erhalten mit diesem Werk alle Informationen von der Planung von Domänen und Standorten bis zur Installation einer Gesamtstruktur. Darunter fallen folgende Themen: T Planen von Gesamtstrukturen und Domänen T Planen von Vertrauensstellungen T Erstellen von Domänencontrollern T Planung und Einsatz von globalen Katalogservern T Planen von Betriebsmasterrollen T Planen und Einrichten von Active Directory-Standorten T Planen einer Strategie für Organisationseinheiten

Verwalten und Warten einer Active Directory-Infrastruktur Sie erhalten alle Informationen, die Sie befähigen, vordefinierte Active Directory-Objekte zu verwalten. Es erwarten Sie folgende Themen: T Verwalten der Domänen- und Gesamtstruktur (Verwalten von Vertrauensstellungen, UPN-Suffixen etc.) T Verwalten von Domänen hinsichtlich Vertrauensstellungen und UPN-Suffixen T Verwalten von Active Directory-Standorten 18

E.2 Was Sie in der MCSE-Prüfung erwartet

E – Einleitung

T Verwalten von standortinterner und standortübergreifender Replikation T Warten der Betriebsmasterrollen T Warten der Active Directory-Datenbank T Sichern und Wiederherstellen von Active Directory

Planen und Implementieren von Benutzer-, Computer- und Gruppenstrategien Sie planen Sicherheitsgruppen und wenden sie in Strukturen von Organisationseinheiten an. In der englischen Prüfung wird dieser Teil als Planning and Implementing User, Computer, and Group Strategies bezeichnet. Die leicht fehlerhafte Übersetzung lautet indes Planen und Implementieren von Benutzer-, Computer- und Gruppenrichtlinien. Folgende Themen hat Microsoft hier vorgesehen: T Planen einer Strategie mit Sicherheitsgruppen T Planen einer Strategie zur Benutzerauthentifizierung T Planen einer Struktur von Organisationseinheiten (OU) anhand diverser Modelle T Einrichten von Organisationseinheiten anhand von OU-Modellen

Planen und Implementieren von Gruppenrichtlinien Sie planen und richten Gruppenrichtlinien anhand von Standorten, Domänen und Organisationseinheiten ein. In diesem Teil erwarten Sie folgende Themen: T Planen einer Gruppenrichtlinienstrategie anhand der logischen und physikalischen Struktur des Netzwerks bzw. der Domäne. T Einrichten von Gruppenrichtlinien für Computer- und Benutzerkonten: T Planen und Einrichten von Gruppenrichtlinien in Abhängigkeit einiger ausgewählter Aufgaben:

Kontorichtlinien Überwachungsrichtlinien Softwareverteilung Softwareeinschränkung Umleitung von Ordnern

Verwalten und Warten von Gruppenrichtlinien Sie führen einen Richtlinienergebnissatz durch und warten eine bestehende Infrastruktur, die Gruppenrichtlinien verwendet. T Überprüfen von Gruppenrichtlinien anhand des Richtlinienergebnissatzes T Überprüfen von Gruppenrichtlinien mit Gpresult.exe T Warten von Gruppenrichtlinien

E.2 Was Sie in der MCSE-Prüfung erwartet

19

Teil 1 Prüfungsstoff Kapitel 1

Einführung in die Active Directory Services

23

Kapitel 2

Bereitstellen des DNS-Servers für das Active Directory

55

Kapitel 3

Planung und Einrichtung einer Active Directory-Infrastruktur

131

Kapitel 4

Einrichten und Warten einer Active Directory-Infrastruktur

233

Kapitel 5

Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten 351

Kapitel 6

Verwalten und Warten einer Active Directory-Datenbank

427

Kapitel 7

Installieren und Verwalten von Gruppenrichtlinien

495

1 Einführung in die Active Directory Services Lernziele Stellen Sie sich vor, jemand fragt Sie: »Was ist Active Directory, und rentiert sich eine Umstellung auf Windows Server 2003, wo doch mein altes System noch läuft?« Dann können Sie nach der Lektüre dieses Kapitels nicht nur die Frage beantworten, sondern auch gleich eine Strategie mitliefern, um die Verzeichnisdienste erfolgreich aufzubauen. Das Kapitel ist eine Einführung in die Active Directory-Verzeichnisdienste (Active Directory Services, ADS) und spricht in erster Linie diejenigen Leser an, die neu in die Thematik einsteigen. Dem versierten Leser hilft es, das vorhandene Fachwissen bestätigt und ggf. ergänzt zu wissen. Für Sie, liebe Fortgeschrittenen, eignet sich das Kapitel 1.4 über Planungsvorbereitungen besonders, da Sie hier Tipps für die Abwicklung von Projekten finden. Folgende Aspekte werden Sie in diesem Kapitel kennen lernen: T Geschichtliche Entwicklung von einer Arbeitsgruppe bis zur Domäne T Prinzip einer Arbeitsgruppe und ihre Vor- und Nachteile T Prinzip einer Windows-Domäne und ihre Vor- und Nachteile T Sinn und Zweck von Verzeichnisdiensten T Hierarchische Firmenstrukturen können in einer Active Directory-Domäne abgebildet werden T Active Directory-Verzeichnisdienste (ADS) steuern nicht nur die Active Directory-Datenbank, sondern eine Vielzahl weiterer Dienste wie: Remote Installations-Dienste (RIS), Terminaldienste, Softwareverteilung; Verteiltes Dateisystem, Zertifikatsdienste, DNS und DHCP. T Planungsvorbereitungen für Ihre Vor-Projektierungsphase mit Erfassen von Netzwerkinfrastruktur und Kostenmanagement. 23

MCSE Examen 70-294

Lernstrategien Am effektivsten nutzen Sie dieses Kapitel auf folgende Weise: Kapitel

Zielgruppe/Zweck

Kapitel 1.2 bis 1.3

Einsteiger/Vertiefen der Grundlagen

Kapitel 1.4 bis Ende

Fortgeschrittene/Vorgehensweise und Tipps für ein Projektmanagement

Tabelle 1.1: Kapitelunterteilung

Sie finden in diesem Kapitel Basiswissen, das Sie für die Installation der Active DirectoryVerzeichnisdienste benötigen. In der Prüfung wird dieses Wissen allerdings vorausgesetzt und daher nicht gesondert abgefragt.

1.1

Grundlagen von Domänen und Arbeitsgruppen

1.1.1

Von den Anfängen an

Das folgende Kapitel ist eine Einführung in die verschiedenen Konzepte, Computer in Netzwerke zu integrieren und zu verwalten. Da der Sinn und Zweck von Netzwerken die gemeinsame Nutzung teurer Ressourcen und die Zusammenarbeit von »Human Ressources« ist, werden die verschiedenen Konzepte unter diesem Gesichtspunkt beschrieben.

Hostbasierende Systeme Der Sinn und Zweck eines Netzwerks liegt in der gemeinsamen Nutzung von teuren Ressourcen, wie zum Beispiel Druckern oder großen Festplatten, auf denen sich Datenbanken befinden.

Abbildung 1.1: Gemeinsame Nutzung von Ressourcen bei hostbasierenden Systemen

24

1.1 Grundlagen von Domänen und Arbeitsgruppen

1 – Einführung in die Active Directory Services

Die Terminals haben bei einem solchen System eine beschränkte Funktionsfähigkeit. Sie dienen lediglich zur Ein- und Ausgabe von Daten. Die Clientcomputer haben demnach eine »geringe Intelligenz«. Der Server (hier mit der alten Bezeichnung »Host«) ist ein Mehrbenutzersystem, das mehrere parallele Arbeitsprozesse erlaubt. Er ist auch die Instanz, die eine Authentifizierung der Benutzer anhand ihrer Anmeldenamen und ihres Kennworts vornimmt.

Arbeitsgruppen Zu den ersten Versuchen von Microsoft, Computer in einem Netzwerk zu verbinden, gehörte die Entwicklung von Windows für Workgroups (WfW) 3.1x. Hierfür wurde Windows 3.1 im Oktober 1992 mit wenigen elementaren Netzwerkgrundfunktionen aus dem »LAN-ManagerBereich« ergänzt. Der Begriff der Arbeitsgruppe wurde eingeführt. In einer Arbeitsgruppe sind alle Computer unter einem gemeinsamen Namen zusammengefasst. Eine Kontrolle über die Mitgliedschaft in der Arbeitsgruppe gibt es nicht. Eine Arbeitsgruppe arbeitet in einem »Peer-to-Peer-Netzwerk«, d.h., alle Computer können alle Ressourcen in einem Netzwerk gleichberechtigt nutzen. Der Mangel an Netzwerkfähigkeit wurde von Microsoft schon sehr früh erkannt, kann man doch die zahlungskräftige Industriekundschaft nicht nur mit Office-Paketen, sondern auch mit Netzwerkbetriebssystemen beliefern. Microsoft schöpfte aus einem reichhaltigen Pool an Erfahrungen, da auch andere Hersteller, wie IBM und Apple mit Entwicklungen beliefert wurden. Parallel mit der Entwicklung von WfW beschäftigte sich eine Projektgruppe mit dem Windows NT (NT = New Technology). Ihr Ziel war es, ein sicheres und vor allen Dingen stabiles Betriebssystem für 32-Bit Prozessoren zu schaffen. Dieses erste Ziel wurde im Juni 1993 mit der Veröffentlichung von Windows NT 3.1 erreicht. Mehrere Versionen von Windows NT Server/Workstation sind seitdem entwickelt worden. Aktuell ist die Produktreihe bei Windows Server 2003 und Windows XP Professional angekommen. Das Ziel der Vernetzung ist wiederum die gemeinsame Nutzung von Netzwerkressourcen. Die Netzwerktopologie soll in dieser Betrachtung ausgeschlossen werden. Heutzutage können Computer mit den Betriebssystemen Microsoft Windows NT, Windows 2000/XP und Windows Server 2003 in einer Arbeitsgruppe sinnvoll zusammenarbeiten. Es gibt in diesem Peer-to-Peer-Netzwerk keine Instanz, die entscheidet, welche Computer Mitglied werden können bzw. dürfen. Eine Sicherheit über die angeschlossenen Computer gibt es daher nicht. Wie sieht es mit der Anmeldung aus? Eine lokale Anmeldung am WfW-Computer ist jederzeit möglich, denn mit der (Esc)-Taste lässt sie sich überspringen, um zur Bildschirmoberfläche, nicht aber auf die Ressourcen des Servers zu gelangen. Die Anmeldung ist nur für den Zugriff auf eine freigegebene Ressource (shared resource) auf einem Windows Server oder einem Novell-Server sinnvoll und möglich. Kennwörter werden hier unverschlüsselt über das Netzwerk übertragen.


25

MCSE Examen 70-294

Abbildung 1.2: Windows-Arbeitsgruppen mit Windows 2000 Server oder/und Windows Server 2003

Mit der Einführung von Windows 2000 Server hat sich Microsoft von der unsicheren Zugriffsart auf Freigaben verabschiedet. Liegt ein Novell-basierendes Netzwerk vor, kann mit einem speziellen Novell-Client (nicht zu verwechseln mit dem Novell-Client von Microsoft) eine verbindliche Sicherheit gewährleistet werden.

Abbildung 1.3: Prinzipieller Zugriff auf Ressourcen

Im Gegensatz zu dem anfangs beschriebenen WfW besitzen Computer ab Windows NT 3.5x (die Version 3.1 zählen wir »nur« mal als ersten Versuch) eine lokale Sicherheitsdatenbank, die überprüft, wer sich interaktiv bzw. lokal am jeweiligen Computer anmelden darf.

26



Ein solches Netzwerk bietet mehr Sicherheit, wie z.B. verschlüsselte Kennwörter im Gegensatz zu den alten Windows-Versionen. Allerdings ist die Verwaltung eine mühselige Angelegenheit. Bedenken Sie, dass jede Arbeitsstation, die eine lokale Sicherheitsdatenbank besitzt, separat verwaltet werden muss. Möchte ein Benutzer von einer Arbeitsstation aus einen Zugriff auf eine Ressource wie Datenbank oder Drucker ausführen, muss er das Kennwort der Ressource kennen und angeben. Auch sind Methoden der Datenverschlüsselung sehr aufwändig einzurichten, da auf jedem Computer der gleiche digitale Schlüssel vorhanden sein muss. Um es abschießend zu verdeutlichen: Ein Administrator müsste sich auf jeder Arbeitsstation interaktiv anmelden, um alle Kennwörter und anderen Einstellungen zu verwalten. Falls allerdings alle Benutzer über administrative Fähigkeiten verfügen, ist ein solches Modell durchaus durchführbar (aber wohl nicht mehr sicher). Welche Daseinsberechtigung haben also Arbeitsgruppen heutzutage? Die wenigen Vorteile von Arbeitsgruppen sind nachfolgend aufgelistet: T Eine Arbeitsgruppe benötigt keinen Windows-Server zum Speichern von Informationen. T Eine Planung der Arbeitsgruppe ist nicht notwendig, denn sie ist sehr einfach einzurichten. T Eine Arbeitsgruppe eignet sich für den Fall, dass auf jedem Computer wichtige Daten gespeichert werden müssen. Diese müssen dann von einem kompetenten Mitarbeiter gepflegt und verwaltet werden. Dem stehen die folgenden Nachteile gegenüber: T Die Verwaltung der Sicherheitsdatenbanken ist unübersichtlich. T Werden Arbeitsstationen als Server verwendet, liegt die maximale Anzahl der konkurrierenden Verbindungen bei 10. Bei einem allein stehenden Server ist sie hingegen »theoretisch unbegrenzt«.

ACH TUNG

T Auch funktionieren einige Serverapplikationen, wie beispielsweise der Exchange Server 2003, nur in Verbindung mit einer Windows Server 2003-Domäne.

Eine Arbeitsgruppe enthält keinen Windows-Domänencontroller.

1.1.2

Verzeichnisdienste

Moderne Verzeichnisdienste dienen der zentralen Verwaltung von Computern, Benutzern und anderen Elementen. Die Elemente werden auch Ressourcen genannt und als Objekte in einer Datenbank abgelegt. Dieser Vorgang hat den Vorteil, dass man die Informationen schnell und geordnet für eine weitere Verarbeitung aus der Datenbank auslesen kann. Mit Hilfe eines Verzeichnisdienstes können Benutzer sich mit nur einem Anmeldevorgang auf Ressourcen innerhalb des gesamten Netzwerks authentifizieren. Kriterien für gut gelungene Verzeichnisdienste sind übersichtliche hierarchische Strukturen und Schnittstellen zur vereinfachten Administration. Moderne Verzeichnisdienste sind beliebig erweiterbar und bieten diversen Applikationen die Möglichkeit, ihre Dienste zu integrieren.


27

MCSE Examen 70-294

Zentrale Verwaltung Die zentrale Verwaltung von Diensten bzw. Ressourcen ist der Kernpunkt der Verzeichnisdienste. Der administrative Stab oder ein einzelner Administrator kann über die Verwaltung der Active Directory-Datenbank alle für ihn relevanten Applikationen, Netzwerkdienste oder Benutzer- und Computereigenschaften verwalten. Er benötigt nicht mehr eine Reihe von Tools wie bei Windows NT, sondern verwendet eine Schnittstelle (Windows Management Instrumentation, WMI) für den Zugriff auf die Active Directory Datenbank.

Abbildung 1.4: Zentrale Verwaltung der Dienste über die Active Directory-Datenbank

Sie können die zentrale Verwaltung über die Managementkonsole herstellen. Der Aufruf erfolgt über die Kommandozeile mmc.exe. Diese zunächst leere Konsole kann beliebig mit Snap-Ins aufgefüllt werden. Jeder Administrator kann sich daher seine eigene Konsole »zusammenstricken«.

Windows 2003-Domänen Hinsichtlich des Begriffs »Domäne« geht Microsoft einen eigenen Weg. Eine Domäne mit Windows Server 2003 stellt eine logische Gruppierung von Netzwerkcomputern dar, die gemeinsam eine zentrale Verzeichnisdatenbank nutzen. Die Verzeichnisdatenbank enthält wichtige Informationen, u. a. über die Benutzerkonten und alle Sicherheitsinformationen der Domäne. Sie wird in der Literatur auch oft nur Verzeichnis genannt und ist die Datenbankkomponente der Windows Active Directory Services. Sie können für den Begriff Active Directory Services auch Active Directory-Verzeichnisdienste verwenden. Demnach hat eine Windows-Domäne – außer dem Namen – nichts mit einer Internet-Domäne gemein.

28


Das Prinzip von Microsoft Windows 2003-Domänen hat sich gegenüber dem Vorgänger Windows 2000 Server nicht geändert. Betrachtet man die Domäne etwas genauer, stellt man fest, dass sie aus mindestens einem Domänencontroller besteht. Der Domänencontroller ist ein Server, der die Verzeichnisdatenbank verwaltet. Insofern verwaltet er auch die Active Directory Services. Existieren mehrere Computergeräte, die als Domänencontroller konfiguriert sind, in einer Domäne, replizieren sie die Verzeichnisdienste untereinander vollständig. Das bedeutet, dass im Idealfall alle Datenbanken auf allen Domänecontrollern einer Domäne über denselben Inhalt verfügen (Anmerkung: Die Größe der DB kann auch bei gleichen Inhalten variieren). Dies hat den Vorteil, dass beim Ausfall eines Domänencontrollers ein anderer die gleichen Verzeichnisdienst-Aufgaben wahrnehmen kann. Der Ausfall eines Computers oder Diensts wird auch als Einzelpunktversagen (Single Point of Failure) bezeichnet. Ein Windows-Domänencontroller kann genauso wie ein herkömmlicher Server andere Aufgaben, zum Beispiel als Druck- und Dateiserver erledigen. Dieser wird – um sich vom Domänencontroller namentlich abzugrenzen – auch als Mitgliedsserver (Memberserver) bezeichnet. Der Mitgliedsserver unterscheidet sich von einem allein stehenden Server aus einer Arbeitsgruppe durch seine Mitgliedschaft in einer Domäne. Durch die Mitgliedschaft in einer Domäne erhalten alle Computer ein sog. Computerkonto, das in den Verzeichnisdiensten gespeichert wird. Über ein Kennwort wird die Mitgliedschaft an der Domäne eingerichtet. Es besteht also hier eine Sicherheit.

Abbildung 1.5: Eine Windows Server 2003-Domäne (auch mit Windows 2000 Server möglich)


29

ACH TUNG


MCSE Examen 70-294

Mitglieder einer Domäne können leider nur auf Microsoft-Betriebssystemen basierende Computer werden, die mit Windows NT 4 (ggf. auch Version 3.51), Windows 2000 (alle Versionen), Windows XP Professional oder Windows Server 2003 (alle Versionen) ausgestattet sind. Je nach Version sind allerdings einige Leistungsmerkmale der Verzeichnisdienste nicht verfügbar, wie in den folgenden Kapiteln noch genauer erläutert werden wird. Möchten Sie alle aktuellen Features nutzen, die Ihnen Windows Server 2003 bietet, müssen Sie auf die neueste Produktversion zurückgreifen. Das bedeutet für Ihren Betrieb den Zukauf von Lizenzen und eventuell auch neuer Hardware. Die derzeit aktuellen Versionen sind: T Windows Server 2003 T Windows XP Professional Eine Domäne bezieht sich nicht auf einen Standort oder einen bestimmten Typ von Netzwerktopologie. Die Verkabelung kann mit einem beliebigen lokalen Netzwerk (Funk, ATM, Ethernet usw.) erfolgen. Im Gegensatz zu Arbeitsgruppen besitzen Domänen viele Vorteile: T Eine Domäne ermöglicht eine zentrale Verwaltung. T Durch eine einzige Anmeldung an der Domäne erhält ein Benutzer Zugriff auf Netzwerkressourcen. T Die Möglichkeiten bzw. der Leistungsumfang sind gegenüber Windows NT 4.0 wesentlich gestiegen. Der Windows Server 2003 ist wiederum etwas leistungsfähiger als der Windows 2000 Server. T Eine Wartung der lokalen Sicherheitsdatenbanken ist nicht mehr notwendig. Eine Anmeldung erfolgt ausschließlich am Verzeichnis. T Durch die Domänenmitgliedschaft erhalten die Computer eine erhöhte Sicherheit gegenüber einer Arbeitsgruppe. T Serverapplikationen wie Exchange Server sind verfügbar. T Domänen unterstützen eine gewisse Skalierbarkeit, d.h., sie können »beliebig« vergrößert werden (ob das Sinn macht, wird in einem späteren Kapitel erläutert). Bei so vielen Vorteilen gibt es auch einige Nachteile: T In Interoperabilität mit anderen Betriebssystemen wie UNIX, Linux und Novell ist eingeschränkt. T Serverapplikationen, die unter Windows 2000 Server oder einem anderen Vorgänger laufen, sind unter Umständen nicht mit Windows Server 2003 kompatibel. T Entgegen der Werbung von Microsoft wird nicht alles einfacher. Der Aufwand an Administration ist nicht zu unterschätzen, da mit einem »starken« Betriebssystem auch die Anwendungsmöglichkeiten gestiegen sind. Schulungen des administrativen Stabs sind notwendig. Dies spiegelt sich auch im Stoff der verschiedenen Microsoft-Prüfungen wider.

30



Planung und Organigramme Der Begriff Verzeichnisdienste lehnt sich an »Verzeichnisse« an, wie sie beispielsweise in Telefon- und Adressverzeichnissen oder in Firmenorganigrammen zu finden sind. Hier finden Sie eine hierarchische Struktur vor, an deren Spitze die Geschäftsführung (Vorstand, Geschäftsführer usw.) steht und an deren Ende die Zuarbeiter angeordnet sind.

Abbildung 1.6: Organigramm einer Beispielfirma

Die Planung des Active Directory ist ein wichtiger und wesentlicher Teil der Prüfung. Daher wird dieser Aspekt noch gesondert betrachtet werden.


31

HIN WEIS

Je nach Aufgabengebiet haben alle Mitarbeiter, einschließlich der Geschäftsführung, gemeinsame Merkmale, die Sie für die Strukturierung der Active Directory-Datenbank nutzen können. Denkbar wäre in diesem Zusammenhang die Bildung einer Gruppe »Marketing«, in der alle Mitarbeiter der entsprechenden Abteilung zusammengefasst werden. Später bekommen sie eine Freigabe zugewiesen und erhalten alle die gleichen Berechtigungen auf ihre Ressourcen.

MCSE Examen 70-294

1.2

Die Grundzüge einer Active DirectoryInfrastruktur

Die Active Directory-Dienste sind das zentrale Element zur Verwaltung von Ressourcen, wie Computern, Benutzern usw. Sie werden in Form von Objekten in der Active DirectoryDatenbank gespeichert. Dieser Aspekt ist mittlerweile nicht mehr neu, sondern etabliert, denn schon in Windows 2000 Server wurde dies eingeführt. Gegenüber seinem Vorgänger ist Windows Server 2003 jedoch in puncto Skalierbarkeit und Management verbessert worden.

1.2.1

Prinzip einer Infrastruktur

Moderne Verzeichnisdienste speichern ihre Informationen – wie bereits erwähnt – in Objekten ab. Ein Benutzer kann zum Beispiel ein Objekt sein, das Attribute wie den Benutzernamen und sein Kennwort hat. Zudem hat das Objekt in der Regel noch Eigenschaften, wie zum Beispiel RAS-Einwahlberechtigungen oder eine Beschreibung des Kontos. Damit bei der Vielzahl der Objekte noch eine Struktur erkennbar wird, sind diese noch zusätzlich in Objektklassen unterteilt. Den Objekten und Objektklassen ist gemein, dass es für sie sog. Methoden gibt. Mit einer Methode kann zum Beispiel ein Objekt kopiert oder gelöscht werden. Methoden sind somit Aktionen, die man auf ein Objekt anwenden kann. Neben der klassischen Verwaltung von Benutzern, Gruppen und Computern fließen auch Informationen über die Struktur des Netzwerks in die Datenbank ein. Hierzu gehören Informationen über das Subnetz oder zur Namensauflösung.

Strategie Der Begriff des Verzeichnisses ist, wie bereits erwähnt von simplen Verzeichnissen wie Buchindices oder von Adressbüchern abgeleitet. Hierzu stelle man sich eine Liste vor, die aus Benutzern und Computern und deren Adresse besteht. Streng genommen kann man sich auch eine Excel-Tabelle als Datenbank vorstellen. Damit diese Liste verwaltbar bleibt, muss sie zwingend hierarchisch mit einer klar definierten Grenze (Größe) sein. So kann man eine Firmenstruktur, die zum Beispiel in Form eines Organigramms vorliegt, in ein Verzeichnis transferieren, ohne dass die Hierarchie und Übersichtlichkeit verloren geht. Betrachtet man die Firmenstruktur als Ganzes, haben wir somit ein abgeschlossenes Gebilde mit einem definierten Namen. Somit sind alle Voraussetzungen für eine Active Directory-Struktur gegeben: 1. Name der Struktur – in der Regel der Firmenname 2. Firmenstrukturen (Organigramme) können übernommen werden: 3. Eine Größe der Struktur kann bestimmt werden (wobei immer die Option der Erweiterung bleibt).

32

1.2 Die Grundzüge einer Active Directory-Infrastruktur


Was ist jedoch, wenn es sich um eine sehr große Struktur handelt? Betrachtet man einen multinationalen Konzern, so stellt man fest, dass dieser aus einer Reihe von Einzelunternehmen in einem Verbund besteht. Diese Einzelunternehmen unterhalten wiederum in vielen Ländern eigenständige Unternehmen. Um hier eine Gesamtlösung zu schaffen, muss man die Struktur in kleinere Einheiten unterteilen und diese in Beziehung zueinander setzen. Genau diese Aufgaben erfüllt eine Active Directory-Infrastruktur. Für das Arbeiten mit den Objekten hat Microsoft folgende Definitionen geschaffen: T Eine Gesamtstruktur (Forest) ist eine maximale Zusammenfassung. Alle Mitglieder der Gesamtstruktur firmieren unter einem gemeinsamen Nenner. T Eine Struktur (Tree) ist ein Element aus einer Gesamtstruktur. T Eine Domäne ist ein Element aus einer Struktur. T Eine Organisationseinheit (Organizational Unit, OU) ist ein Element aus einer Domäne. T Objekte, wie Benutzerobjekte oder Drucker, sind Teil einer Domäne oder einer Organisationseinheit. Weitere Informationen zu Strukturen finden Sie in Kapitel 3. An dieser Stelle soll der Fokus auf das Verständnis einer Domäne gelegt werden. Microsoft verwendet ein Dreieck als Symbol für eine Domäne.

Abbildung 1.7: Symbol für eine Domäne

Innerhalb einer Domäne kann eine Unterteilung in Organisationseinheiten vollzogen werden. Diese kann man beliebig untereinander setzen. Somit lässt sich ein Organigramm mit Abteilungen und Unterabteilungen bequem in Organisationseinheiten (OU) unterteilen. Für eine OU wurde ein Ordner als Symbol gewählt. In einigen Fällen wird auch ein Kreis angegeben.

Abbildung 1.8: Symbol für eine Organisationseinheit (Organizational Unit, OU)

Innerhalb der OU können die bereits besprochenen Benutzer eingeordnet werden, die zu dieser OU gehören. Gleiches gilt für alle Ressourcen, wie beispielsweise Drucker, Freigaben, Kontakte für E-Mail, Computer usw. Selbstverständlich sind alle Mitglieder der OU auch Teil des Ganzen, der Domäne bzw. der Gesamtstruktur.


33

MCSE Examen 70-294

Prinzip der Vererbung Hat man erst einmal eine hierarchische Struktur aufgebaut, sei es in der eigenen Firma, sei es in der IT-Infrastruktur, liegt es nahe, sich eine geeignete Befehlsstruktur zu konstruieren. Typischerweise hat sich Microsoft für eine Top-Down-Vererbungsstruktur entschieden. Entscheidungen auf höchster Ebene werden auf untere Ebenen projiziert bzw. vererbt. Welchen Sinn macht das? Es ist nun möglich, Berechtigungen auf Objekte zu setzen. Mit der voreingestellten Vererbung bekommen Benutzerkonten, die auf übergeordneten Objekten Rechte besitzen, auch die Rechte auf untergeordnete. Der andere wesentliche Zweck ist die Verwendung von Gruppenrichtlinien, um allen Mitgliedern des »OU-Strangs« eine einheitliche Registrierung zu geben. Auf das wichtige Thema der Gruppenrichtlinien wird zu einem späteren Zeitpunkt noch eingegangen werden. (siehe Kapitel 7).

Fallstudie: Verwendung von Organisationseinheiten Szenario: Die Firma Import-Und-Export GmbH hat ca. 1000 Mitarbeiter. Die Mitarbeiter sind in Abteilungen wie Verkauf, Vertrieb, Marketing, Transport, Personal und Geschäftsleitung zusammenzufassen. Der Verkauf ist wiederum untereilt in Controlling Verkauf, Verkauf Weltweit, Verkauf Europa, Verkauf USA, Verkauf Mittelamerika und Verkauf Nordamerika. Die Abteilung Verkauf Weltweit koordiniert den Einsatz der übrigen Verkaufsabteilungen. Sie arbeiten selbstständig und unabhängig voneinander. Es wird zudem angenommen, dass die Abteilung Controlling-Verkauf übergeordnete Privilegien hat. Eine ähnliche Unterteilung existiert auch in den anderen Abteilungen. An dem oben genannten Beispiel des Vertriebs wird hier eine mögliche Strukturierung vorgenommen. Wichtig: Die Netzwerktopologie wird in diesem Beispiel nicht berücksichtigt.

Analyse:

Abbildung 1.9: Darstellung von Organisationseinheiten in Active Directory.

Mit dieser Top-Down-Strategie werden die Eigenschaften der Objekte immer nach unten weitervererbt. So kann man Berechtigungen auf diese Objekte delegieren. Hat ein Benutzer Berechtigungen auf das oberste Objekt, vererben sich seine Rechte (es sei denn, Sie sperren die voreingestellte Vererbung).

Es soll eine geeignete hierarchische Struktur entworfen werden. Benutzer und Computer sollen idealerweise ihren Platz innerhalb der Hierarchie einnehmen.

34



Innerhalb der Organisationseinheiten können Sie Benutzer, Computer und andere Ressourcen zusammenfassen. Man erkennt hier sehr schnell, dass die Mengenlehre Einzug hält. Alle Mitglieder in der OU erben die Eigenschaften der OU.

Beachten Sie bitte, dass sich alle Mitglieder in den OUs auch an der Domäne anmelden können (sonst macht der Vorgang keinen Sinn).

ds

Abbildung 1.10: Zusammenfassen von drei Mitarbeitern mit ihren Computern in eine OU mit dem Namen »Vertrieb Weltweit«. Alle Mitarbeiter sind noch zusätzlich Mitglied der Gruppe »Vertriebsmitarbeiter«.

1.2.2

Active Directory-Dienste

Active Directory-Dienste sind die Zusammenfassung der Dienste von Windows Server 2003, die die Active Directory-Datenbank verwenden und sich in diese integrieren. Streng genommen sind einige Applikationen aus der Microsoft Windows Server System- Produktreihe auch Active Directory-Dienste. Aus marketingtechnischen Gründen werden diese jedoch extra verkauft, wie zum Beispiel der Exchange Server 2003.

Replikationsdienste Windows Server 2003 enthält gegenüber seinem Vorgänger einen verbesserten Replikationsdienst. Es handelt sich hierbei um einen Dienst, der Verzeichnisdaten der Active Directory im Netzwerk verteilt. Alle Domänencontroller in einer Domäne sind an der Replikation beteiligt. Im Idealfall enthalten sie eine vollständige und identische Kopie sämtlicher Verzeichnisinformationen. Da jede Änderung erst auf die Domänencontroller verteilt werden muss, kann es in der Praxis zu unterschiedlichen Versionsständen kommen. Weitere Informationen über die Replikation finden Sie in den folgenden Kapiteln.


35

MCSE Examen 70-294

Remote-Installationsdienste Software zum automatischen Installieren einer großen Zahl von Computern ist in den letzten zehn Jahren zu einem heiß umkämpften Marktsegment geworden. Es verwundert daher nicht, dass es eine Vielzahl von Produkten gibt. Zur Realisierung der Aufgabe sind zwei Grundprinzipien gefunden worden: T Mittels eines Klonverfahrens ist der neue Computer mit seinem Original identisch. Der Klon bekommt nach dem Klonen eine neue SID-Nummer und einen neuen Namen, damit er im Netzwerk eindeutig identifiziert werden kann. Hierfür wird ein Installationsserver benötigt, der ein vollständiges Image enthält, das zum Klonen verwendet werden kann.

HIN WEIS

T Über ein Programm (Script) wird eine automatisierte Installation initiiert. Es liegt hier eine echte Installation vor, die sich nur dadurch unterscheidet, dass alle Eingaben, die der Anwender ansonsten vornehmen müsste, vom Script gestellt werden,. Hat der Computer Plug&Play-Hardware, kann sich ein Script auf wenige Einträge reduzieren.

Denkbar wäre auch eine Kombination aus beiden Prinzipien.

Betrachtet man beide Verfahren etwas genauer, findet man sowohl Vor- als auch Nachteile. Bei dem ersten Verfahren muss die Hardware auf dem Klon mit dem Original übereinstimmen. Änderungen an der Hardware können sich negativ auf das Ergebnis auswirken. Sehr positiv hingegen ist, dass ein Klonen gerade bei komplexen Installationen eine sehr hohe Geschwindigkeit hat. Es ist kein Problem, einen Client mit Windows 2000/XP und diversen Office- und Grafik-Programmen in »einem Stück« herzustellen. Jedoch muss die Software in der Lage sein, nach dem Klonvorgang den Computer wieder als eindeutig identifizierbares Mitglied der Domäne/Arbeitsgruppe herzustellen. Weist die Software diese Merkmale nicht auf, können unabsehbare Probleme auftreten. Fazit: Das Klonverfahren eignet sich besonders für Standard-PCs bei einer standardisierten und erprobten Software. Beim zweiten Verfahren können Sie verschiedene Hardwarestandards einsetzen. Da das Script in Verbindung mit Plug&Play verschiedenste Hardware erkennen kann, ist jede Installation wie »handgemacht«. Falls Sie besondere Hardware einsetzen, müssen Sie Ihr Script entsprechend anpassen. Jeder Fehler, den Sie hierbei verursachen, kann die Installation stoppen. Bestenfalls wird der fehlerhafte Eintrag im Script übersprungen. Sie müssen daher Ihr Script immer genau testen. Die Geschwindigkeit bei der Installation ist in der Regel etwas langsamer als bei dem Klonen. Nachteilig bei einer scriptbasierenden Installation ist auch, dass für jede Installation ein Script bzw. eine Script-Engine existieren muss. Bei der Installation des Betriebssystems von Windows NT/2000/XP/2003 ist dies der Fall. Für andere Installationen ist der Systems Management Server (SMS) vorgesehen. Fazit: Das scriptbasierte Installieren lohnt sich besonders für die Grundinstallation von PCs. Mit einem guten Script ist es die sicherste Methode.

36



TIPP

Microsoft unterstützt – wie bereits erwähnt – die unbeaufsichtigte Installation über ein Script. Dieses kann beim Aufruf des Setup-Programms mit angegeben werden. Das Script ist in seiner Form sehr primitiv, denn alle Eingaben sind textbasiert aufgelistet. Das Script hat eine ähnliche Form wie die bereits *.inf-Dateien. Die komfortablere Lösung, Clientcomputer zu erstellen, nutzt die Remote-Installationsdienste (RIS). Hierfür benötigen Sie die Active Directory-Dienste. Über spezielle Hardware in den Netzwerkkarten (Boot-PROM) ist es möglich, fabrikneue Computer anzusprechen, ihnen eine IP-Adresse über DHCP zu erteilen und sie anschließend frisch zu installieren. Nach Abschluss der Installation ist der Computer Mitglied der Domäne und kann sofort benutzt werden.

Remote-Installationsdienste sind nicht Inhalt der Prüfung.

Terminaldienste Bei Terminaldiensten handelt es sich um einen Dienst, der Clientcomputern Applikationen oder gar das gesamte Betriebssystem zur Verfügung stellt. Dieses Verfahren ähnelt dem Verhalten früherer hostbasierter Systeme, hat jedoch den Vorteil der besseren grafischen Arbeitsoberfläche von Windows. Dieser Client-Server Dienst belastet den Server, während der Client weitgehend von Aufgaben befreit ist. Die Hardwareanforderungen an den Client sind somit gering. Ein- und Ausgaben, die ein Anwender über eine Maus oder eine Tastatur macht, werden über das Netzwerk gesendet. Die eigentliche Applikation und auch das Betriebssystem laufen auf dem Terminalserver. Administratoren schätzen die Verwaltung von Terminaldiensten, da sie nur den Server administrieren müssen und nicht die Clients. Terminals sind besonders gut für öffentliche Einrichtungen geeignet, wo lediglich Ein- und Ausgaben getätigt werden müssen. Ähnlich wie bei Windows 2000 Server gibt es auch bei Windows Server 2003 Terminaldienste. Die Terminalserver-Komponenten des Windows Server 2003 wurden früher als Terminaldienste im Anwendungsservermodus bezeichnet. Die Terminaldienste im Remoteverwaltungsmodus gibt es nun in anderer Form. Windows Server 2003-Terminaldienste können die Windows Oberfläche mit den Windowsbasierten Applikationen auf einen (theoretisch) beliebigen Client liefern. Jeder Benutzer erhält seine individuelle Sitzung, genau so, wie er es bei einem allein stehenden Gerät gewohnt ist. Hierfür verwendet der Terminalserver für die Kommunikation zwischen Client und Server das Remote Desktop Protocol (RDP). Clients können über ein lokales Netzwerk (Intranet) oder über ein Internet auf den Terminalserver zugreifen. Der Windows-Terminaldienst benötigt nicht zwingend die Active Directory Services. Werden sie verwendet, integriert sich der Dienst ins Active Directory. Mit Hilfe von Gruppenrichtlinien können Anwender innerhalb einer Organisationseinheit (OU) verwaltet werden.


37

MCSE Examen 70-294

Softwareverteilung Bei der Verteilung von Software fährt Microsoft zweigleisig. Die Installation des Betriebssystems obliegt dem Remote Installation Service (RIS), und die Wartung der Domäne und die Installation von weiteren Applikationen kann über den Systems Management Server 2003 durchgeführt werden. Da macht die Softwareverteilung über das Active Directory auf den ersten Blick dem SMS-Produkt aus dem eigenen Hause Konkurrenz. Auf den zweiten Blick erkennen Sie, dass die Softwareverteilung über eine Gruppenrichtlinie in dem Active Directory nur eine kleine Lösung ist, Programme auf Domänenmitgliedern zu installieren. Es werden weder Softwareverteilungspunkte verwaltet, noch detaillierte Meldungen über den Status der Installation. Auch ist die Installation auf die Verwendung des Microsoft Installer beschränkt. Sie dürfen daher nur Installationsscripten mit der Endung *.msi verwenden.

TIPP

Fazit: Die Softwareverteilung über Active Directory ist für kleine Umgebungen geeignet.

Die Softwareverteilung über Active Directory ist offensichtlich für Microsoft ein wichtiges Thema (was Sie an der Häufigkeit der Fragen in der Prüfung sehen können).

Verteiltes Dateisystem Mit dem verteilten Dateisystem können freigegebene Ordner auf verschiedenen Servern zu einer einzigen Freigabe zusammengesetzt werden. Für den verbundenen Benutzer sieht diese Freigabe wie eine normale Freigabe auf einem einzelnen Computer aus.

TIPP

Ähnlich wie die Terminaldienste kann das verteilte Dateisystem (Distributed File System, DFS) auch ohne die Active Directory Services (ADS) arbeiten. Falls Sie das DFS in das Active Directory integrieren, kann der DFS-Dienst die Replikationsmechanismen der ADS verwenden.

Verteilte Dateisysteme sind kein Prüfungsthema.

Zertifikatsdienste Ein Zertifikat ist eine von einer Instanz herausgegebene digitale Erklärung. Es ist mit einem Personalausweis vergleichbar. In diesem Fall ist die Bundesregierung bzw. der deutsche Staat die herausgebende Instanz. Genau wie bei einem Personalausweis ist es bei einem Zertifikat wichtig, dass es fälschungssicher ist. Die herausgebende Instanz bürgt somit auch für die Richtigkeit der (hier digitalen) Erklärung. Ein Zertifikat wird in der Regel zur Authentifizierung und zum Sichern von Informationen in offenen Netzwerken verwendet. Es stellt eine sichere Kommunikation zwischen dem öffentlichen Schlüssel und der Anwendung oder Person her, die den entsprechenden zum öffentlichen Schlüssel passenden privaten Schlüssel besitzt. Zertifikate sind von sog. Zertifizierungsstellen (Certification Authority, CA) digital signiert und können für Anwender, Dienste, Institutionen usw. ausgestellt werden. Möchten 38



Sie zum Beispiel eine Anwendung über das Internet installieren, bekommen Sie bei einigen Firmen vorab ein Zertifikat angeboten, das die Echtheit der Anwendung garantiert. Wichtig für die Kommunikation ist das Vertrauen zwischen Empfänger und Sender. Der Empfänger muss die Zertifizierungsstelle (bzw. das Zertifikat) für vertrauenswürdig halten. Ist dies der Fall, können Sie eigene Zertifizierungsstellen einrichten. Windows Server 2003 bietet Ihnen die Möglichkeit, Zertifizierungsstellen mit und ohne die Active Directory-Integration einzurichten. Wenn Sie die Integration wählen, werden alle Informationen über Zertifikate in Active Directory gespeichert. Zudem können Sie sich über die Benutzereigenschaften die Liste der veröffentlichten X.509-Zertifikate anzeigen lassen, sowie diese nach ihren Bedürfnissen anpassen.

Domain Name System (DNS) Das Domain Name System (DNS) dient zur Namensauflösung in TCP/IP basierten Netzwerken. Die Grundfunktion des DNS-Serverdienstes ist das Hosten einer Zuordnung von IPAdressen zu DNS-Namen und umgekehrt. Es liegt somit eine Art Datenbank vor. Ein anfragender Client kann, wenn er die IP-Adresse des Partners kennt, den DNS-Namen von ihm erfahren. Umgekehrt kann auch die IP-Adresse erfragt werden, wenn der DNSName bekannt ist. Die Trennung von Namen und IP-Adresse hat viele Vorteile: T Hierarchische Namensstrukturen von Domänen lassen sich aufbauen. Somit kann die Zugehörigkeit des Hosts, der sich in einer Domäne befindet, besser bestimmt werden. T Eine IP-Adresse kann mehrere Namen haben. Diese werden dann als Aliasnamen bezeichnet. T Wechselt der Besitzer eines Internetcomputers mit einer bestimmten IP-Adresse, muss lediglich der Name und nicht die IP-Adresse geändert werden. Moderne DNS-Server liefern erweiterte Informationen an anfragende Clients, die es diesen ermöglichen, auch andere Netzwerkdienste, wie E-Mail-Server zu identifizieren. Das Domain Name System (DNS) wurde 1987 im Internet eingeführt. Mit den Request for Comments (RFC) legt die Internet Engineering Task Force (IETF) Eigenschaften des IP-Protokolls und des DNS fest. Windows Server 2003 benötigt wie Windows 2000 Server das DNS zwingend für seine Namensauflösung. Wenn Sie den Microsoft DNS-Serverdienst verwenden, ist dieser mit oder ohne Active Directory lauffähig. Umgehrt können Sie ohne einen DNS-Server kein Active Directory einrichten. Viele Fehler, die bei der Installation oder im Betrieb auftreten können, liegen ursächlich bei dem DNS-Server.

Dynamic Host Configuration Protocol (DHCP) Der DHCP-Dienst stellt eine Methode zur Verwaltung von dynamischen Zuordnungen von IP-Adressen und weiteren Konfigurationsdetails dar. Einfach gesagt: Der DHCP-Dienst verteilt IP-Adressen an Netzwerkadapter und stellt sicher, dass diese Adressen nicht mehrfach vergeben werden.


39

MCSE Examen 70-294

Der Microsoft DHCP-Dienst ist, wie viele andere Netzwerkdienste, auch ohne ein Active Directory lauffähig. Wird jedoch eine Active Directory-Struktur eingesetzt, muss ein DHCPServer aus Sicherheitsgründen von einem Domänencontroller autorisiert werden, IP-Adressen zu verteilen. Auch existieren in Active Directory spezielle Gruppen, die die Verwendung des DHCP-Servers regeln. Eine spezielle Gruppe zur Verwaltung sind die DHCP-Administratoren. Anwender des DHCPs sind hingegen in der Gruppe DHCP-Benutzer integriert.

TIPP

Verwenden Sie DHCP in Ihrer Domäne, muss das DHCP so konfiguriert sein, dass es mit dem DNS-Server zusammenarbeitet. Alle DHCP-Clients müssen Informationen über den DNS-Server vom DHCP-Server erhalten.

Die Netzwerkdienste DNS und DHCP sind kein Thema in der MCSE-Prüfung. Gleichwohl kann es aber vorkommen, dass sie am Rande erwähnt werden.

1.3

Planungsvorbereitungen

Planungsvorbereitungen dienen zur Sicherung des Projekts. Das folgende Unterkapitel soll Ihnen bei der praktischen Anwendung von Windows Server 2003-Active Directory-Verzeichnisdiensten in Ihrer Firma helfen.

1.3.1

Werkzeuge zur Planung

Zur Planung Ihrer Active Directory-Infrastruktur stellen wir Ihnen einige Applikationen vor, die Sie als Hilfe und/oder als Informationsquelle verwenden können.

Microsoft Visio als Planungswerkzeug Die Planung einer komplexen Netzwerkinfrastruktur ist ein aufwändiger Prozess und kann nicht in wenigen Tagen durchgeführt werden. Sei es eine Migration von Windows NT 4.0 auf Windows 2003 oder nur eine gewisse Koexistenz mit Windows Server 2003-Domänen, alle möglichen Szenarien benötigen eine Planungsphase. In der Praxis kann man oft sehen, dass einige Entscheider meinen, Windows sei so einfach, dass es wohl in drei Tagen installiert und lauffähig ist. Es ist – oder es kann sein. Aber was ist, wenn Sie plötzlich mehr wollen? Eine nachträge Umstrukturierung dauert dann meistens länger und ist wesentlich teurer als eine sorgfältige Planung unter Berücksichtigung aller Wünsche, Applikationen, technischen und menschlichen Parameter usw. In der Vorprojektphase sollten Sie daher Ihren Werkzeugkasten überprüfen. Auf welche Ressourcen können Sie zurückgreifen? Es gibt auf dem Markt einige Planungs- und Projektierungsprogramme, so auch aus dem Hause Microsoft. Das klassische Planungsprodukt ist Microsoft Project. Es ist sehr komplex (das hat leider auch seinen Preis) und lässt fast keine Wünsche hinsichtlich der Aufgabe »Planung eines Projekts« offen. Ein anderes Werkzeug

40

1.3 Planungsvorbereitungen


haben Sie vielleicht schon erworben: Mit Microsoft Visio 2003 lassen sich Organigramme, Active Directory-Strukturen und Zeitpläne visuell gestalten. Auch in diesem Buch werden Sie viele Grafiken finden, die mit Visio erstellt wurden.

Abbildung 1.11: Eintragen von Aufgaben in Microsoft Visio 2003. Dargestellt ist hier ein Gantt-Diagramm.

Mit Hilfe von Visio (hier Version 2003) können Sie folgende Diagramme darstellen: Diagrammart

Beschreibung

Gantt-Diagramm

Gantt-Diagramme sind Balkendiagramme, die Aktivitäten und ihre Dauer anzeigen. Sie sind für Projektmanagement, Aufgabensteuerung, Terminpläne, Stunden- und Tagespläne, Projektlebenszyklen und Zielsetzungen geeignet. Ein Export von und nach Excel ist ebenfalls möglich.

Kalender

Hier kann ein kommentierter Kalender – ähnlich wie bei Outlook – eingerichtet werden.

PERT-Diagramm

Mit Hilfe von Program Evaluation and Review Technique-Diagrammen (oder kurz PERT-Diagrammen) können Sie Projekte planen, analysieren und überwachen. Diese Art von Diagrammen ist dann sinnvoll, wenn Sie bestimmte Aufgaben organisieren und einen Zeitrahmen festlegen müssen. Sie können auch Aufgaben darstellen, die von anderen Aufgaben abhängig sind.

Zeitplan

Mit dieser Vorlage können Sie schnell lineare Zeitpläne erstellen. In diesem Zeitstrahl können Meilensteine und Zeitintervalle hervorgehoben werden, um den zeitlichen Ablauf des Projekts darzustellen.

Tabelle 1.2: Beschreibung der Diagrammtypen in Microsoft Visio


41

MCSE Examen 70-294

Microsoft Technet als Wissensdatenbank Besonders gut für die Planung ist die technische Referenz, das Microsoft Deployment Kit oder, wenn Sie alles zusammen haben wollen, Microsoft Technet zu empfehlen. Das Abonnement lohnt sich auch deswegen, da automatisch monatlich die aktuellsten Treiber und Service Packs per Post geliefert werden.

Abbildung 1.12: Microsoft International Technical Information bietet Ihnen eine Vielzahl von Texten zu den verschiedensten Aspekten.

Technische Trainings Microsoft bietet Schulungskonzepte und Unterlagen an, die von Partnerfirmen verwendet werden können. Eine eigene Schulungsabteilung besitzt Microsoft nicht. Stattdessen vergibt Microsoft an seine Partner Firmenzertifizierungen. Firmen, die diesen Statuten gerecht werden wollen, müssen die Voraussetzungen von Microsoft erfüllen. Für den Schulungsbereich vergibt Microsoft folgende Zertifizierungen: T Microsoft CTEC: Microsoft Certified Technical Education Center T Microsoft CTEC Gold Partner: CTECs mit einem hohen Schulungsvolumen und einer bestimmten Anzahl von Microsoft Certified Trainern (MCT) Es gibt auf dem deutschen Markt eine Vielzahl von Schulungsunternehmen, die technische Trainings für Windows Server anbieten. Aus der Vielzahl der Anbieter hat der Kunde die Qual der Wahl: Entscheidet er sich für eine offizielle Schulung oder für ein freies Training? Wählt er ein von Microsoft zertifiziertes Unternehmen oder legt er keinen Wert darauf?

42



Die folgende Tabelle vergleicht die Vorgehensweise der Schulungsunternehmen mit ihren Lehrmethoden. Microsoft CTEC

Nicht-CTEC

Unterlagen

Microsoft Official Curriculum (MOC)

Jede, nur nicht MOC-Unterlagen

Schulungsdauer

Von Microsoft vorgeschrieben

Variabel

Inhalte

Von Microsoft vorgeschrieben

Variabel

Trainer

Von Microsoft zertifiziert als Microsoft Certified Trainer (MCT, muss auch ein MCSE sein)

Kann jeder versierte Experte sein

Zertifikat

Microsoft-Zertifikat

Diverse

Unterstützung von Microsoft

Ja. Unternehmen können auf der Microsoft-Website werben und werden offiziell von Microsoft empfohlen.

Nein

Qualität

Abhängig vom Trainer

Abhängig vom Trainer und den Unterlagen

Kosten

Unternehmen haben hohe Kosten durch eigene Zertifizierungsmaßnahmen des Trainerstabs und Gebühren an Microsoft. Es muss eine gewisse Anzahl an Trainern nachgewiesen werden. Alternativ werden externe MCTs beschäftigt. Eventuell müssen auch Gebühren an Microsoft entrichtet werden.

Unternehmen haben Kosten durch normale Weiterbildungsmaßnahmen der Trainer. Alternativ werden für jeden Kurs externe Trainer beschäftigt. Die Kosten fallen geringer aus als bei CTECs.

Tabelle 1.3: Vergleich von Schulungsunternehmen

Es stellt sich abschließend für jeden die Gretchenfrage, wo er sich am besten aufgehoben fühlt? Pauschal kann man diese Frage nicht beantworten. Sie können sich in einem MOCKurs besser aufgehoben fühlen, wenn Sie die Microsoft-Prüfung bestehen wollen. Andererseits können Sie in einem individuell angepassten Nicht-MOC-Kurs ihre Probleme in Ihrer Firma besser ansprechen. Es kann dann individuell auf Themen eingegangen werden. Bestes Beispiel hierfür sind die Remote-Installations-Dienste (RIS). Diese werden in den Prüfungen angesprochen, jedoch in vielen Firmen gar nicht eingesetzt. Wie Sie sich entscheiden, bleibt Ihnen überlassen. Informationen über das Microsoft-Trainingsangebot erhalten Sie unter: http://www.microsoft.com/germany/ms/trainingkurse/


43

MCSE Examen 70-294

1.3.2

Erfassen der Netzwerkinfrastruktur

Die genaue Kenntnis der bestehenden Netzwerktopologie trägt wesentlich zu einer erfolgreichen Migration bzw. Einführung einer Windows Server 2003-Domänenstruktur bei. Unterteilen kann man die Aufgabenstellung in drei Bereiche: 1. Inventur der Hardware 2. Inventur der Software 3. Dokumentation der Ergebnisse

Hardwareinventur Zur detaillierten Inventur der Hardware, müssen folgende Informationen gesammelt werden: T Die Beschaffenheit des physischen Netzwerks, wie Glasfaser- oder Ethernet-Netze T Die Beschaffenheit des Standorts der Netzwerkkomponenten T Eine Analyse des Datendurchsatzes/der Geschwindigkeit der Netze. Das gilt auch für ISDN/ xDSL-Verbindungen. T Die Qualität der Netzwerkkomponenten, wie die der Router, Switches, Bridges oder HUBs T Die Hardware der Servergeräte T Die Hardware der Clientcomputer Besteht das Netzwerk nur aus einem Netz mit nur fünf Clients, ist die Analyse einfach und schnell gemacht. Die vorhergehend gezeigten Schritte sind quasi in Windeseile in Gedanken abgehakt. Netzwerke wachsen aber oft mit dem Anspruch und dem Fortschritt der Technologie. In der Regel wird aus Kostengründen keine völlige Restrukturierung vorgenommen, sondern es wird nur ein Teil erneuert. So ist es nicht verwunderlich, dass mit der Zeit die verschiedensten Technologien nebeneinander existieren. Sie sind mit Switches oder Routern verbunden, die Daten in die verschiedenen Netzwerke leiten. Man kann davon ausgehen, dass schon bei einem exportorientierten mittelständischen Unternehmen mit einem Firmensitz, einem oder mehreren Entwicklungs- und Fertigungsstandorten und vielen Verkaufsfilialen weltweit ein oder mehrere Netzwerke noch auf einem alten Stand sind. Sie werden oft Ethernet-Netze mit 10 und 100 MBit, Glasfaser-FDDI bis hin zu modernen ATM-Netzen finden. Im Einzelfall muss später entschieden werden, welche Technologie noch überleben soll und welche nicht. Die Beschaffenheit des Standorts ist wichtig, wenn Sie später entscheiden sollten, Ihr Netzwerk zu erweitern oder zu verändern. Platzieren Sie Ihre Server- und Schaltschränke so, dass eine spätere Wartung einfach ist. Reicht der Platz schon jetzt kaum aus, ist über einen Umzug in einen größeren Raum oder über einen weiteren Server-Technikraum nachzudenken. Beachten Sie bitte, dass die verschiedenen Technologien auch verschiedene Umgebungen verlangen. Angenommen, Sie haben einen Firmensitz neben einer Sendeanlage, müssen Sie mit elektromagnetischer Störung vom Sendemast rechnen. Folglich müssen Sie Ihre Ethernet-Leitungen extra abschirmen. Beachten Sie auch, dass Sie die vorgeschriebenen Kabellän-

44



gen einhalten. Bei Netzwerken in Fabrikhallen ist auch auf die Feuchtigkeit und Temperatur zu achten, und ggf. sind die Leitungen extra zu schützen. In manchen Fällen müssen Sie auch auf Glasfasertechnologie umstellen, um einen sicheren Datentransfer zu gewährleisten. Falls Sie bereits ein Funknetz betreiben, müssen Sie diese Daten auch in Ihre Analyse einfließen lassen. Die Analyse der Netzwerkkomponenten in der Backplane liefert Informationen über die tatsächliche Auslastung bzw. über die generelle Leistungsfähigkeit. Setzen Sie managebare Netzwerkkomponenten ein, liefern diese über die Firmsoftware messbare Ergebnisse. Gerade bei WAN-Verbindungen kann über einen Technologiewechsel u.U. viel Performance gewonnen und die Kosten gesenkt werden. Ein Beispiel hierzu ist eine ISDN-Wählleitung im Vergleich zu einer xDSL-Flatrate. Überprüfen Sie auch die Qualität der Netzwerkkomponenten und ihre Skalierbarkeit. Mit Netzwerkkomponenten sind alle Geräte gemeint, die am Netzwerk angeschlossen sind, mit Ausnahme von Server- und Client-Computergeräten. Netzwerkkomponenten sind Router-, Switches-, Bridges-, Druckserver- oder Patchfelder. Falls das Netz später wachsen sollte, müssen genügend Ports, Bandbreite usw. zur Verfügung stehen. Analysieren Sie auch, welche Leistungsmerkmale die Komponenten besitzen. Wenn Sie zum Beispiel Quality of Service (QoS) einsetzen, müssen die Geräte auch diesen Standard unterstützen. Analysieren Sie die Computerhardware der Server. Hierbei sind nicht nur Informationen über Prozessor, Festplatte, Netzwerkkarte(n) und RAM wichtig, sondern sie müssen auch prüfen inwieweit diese Komponenten ausgelastet sind. Vergleichen Sie die Leistungsdaten mit den Hardwarevoraussetzungen der Windows Server 2003-Familie. Überprüfen Sie auch die Anzahl der Server. Falls Sie nicht nur die Server auf den neuesten Stand bringen wollen, sondern auch die Clientsoftware, müssen Sie die Hardware auf den Clients kennen, die Sie mit Windows XP Professional aktualisieren möchten. Kalkulieren Sie bei verbesserter Hardware auch einen Anstieg der Netzwerklast ein. Dies passiert sehr schnell, denn in modernen PCs ist oft Multimedia-Hardware integriert. So kann beispielsweise schon ein elektronischer Geburtstagsgruß mit vielen GByte, der hin- und hergemailt wird, das Netz und den Speicherplatz auf dem Exchange Server strapazieren. Überprüfen Sie auch die Anzahl der Clientgeräte, und vergessen Sie die mobilen Benutzer nicht.

Softwareinventur Die Softwareinventur hilft Ihnen, einen Überblick über die eingesetzte Software zu bekommen. Hinsichtlich der Umstellung auf ein neues Betriebssystem ist es wichtig abzuklären, ob die bestehenden Applikationen später genauso laufen wie vorher. Falls auch kein HerstellerUpdate in Sicht ist, muss das alte Betriebssystem passend in die neue Umgebung integriert werden. Manchmal funktioniert dies leider nicht, so dass Sie sich dann erneut die Frage nach der Einführung von Windows Server 2003 stellen müssen.


45

MCSE Examen 70-294

Dokumentation Auf dem Markt gibt es eine Reihe von Werkzeugen, die eine Hard- und Software-Inventur vornehmen. Auch Microsoft hält in diesem Zusammenhang ein Produkt für Sie bereit, den Systems Management Server (SMS). In seiner aktuellen Version SMS 2003 funktioniert er auch im Zusammenhang mit Windows Server 2003. Falls Sie diesen Server einsetzen, können Sie folgende Aufgaben durchführen: T Hard- und Softwareinventur T Dokumentation der Inventurdaten T Speichern der Inventurdaten in einer SQL-Datenbank T Professionelle Softwareverteilung in Abhängigkeit von der Netzwerktopologie T Lizenzüberwachung

HIN WEIS

Leider ist der Aufwand für einen SMS-Server nicht gering. Sie benötigen mindestens einen dedizierten Server mit dem Systems Management Server und einem SQL-Server. Dazu kommen die Server, durch die später die Software verteilt werden soll. Auch ist es ratsam, bei großen Umgebungen die Lizenzüberwachung auf einen eigenen Server auszulagern.

Der Systems Management Server lohnt für Unternehmen mit einer großen Infrastruktur. Besitzt Ihre Firma bereits einen Systems Management Server, sollten Sie diesen zur Inventur verwenden. Falls Sie keine Software zur Dokumentation besitzen und auch keine verwenden wollen, bleibt Ihnen nichts anderes übrig, als mit einem Notizblock durch Ihren Serverraum zu gehen und alle Informationen aufzuschreiben. Diese Vorgehensweise funktioniert durchaus, Sie sollten jedoch eine gewisse Bearbeitungszeit hierfür einkalkulieren. Bei der Auswertung der Informationen kann Ihnen wiederum Microsoft Visio helfen. Es liefert Ihnen viele Netzwerkpläne, die Ihnen eine übersichtliche Darstellung Ihres Firmennetzes gestatten. Bedenken Sie, dass eine gute Präsentation des Projekts Ihnen bei Ihrem beruflichen Werdegang sehr helfen kann.

1.3.3

Kostenmanagement

Der Einsatz von Windows Server 2003 stellt für eine Firma meist eine hohe Investition dar. Da Investitionen sich in der Regel immer amortisieren sollten, stellt sich die Frage nach den besonderen Merkmalen, die Windows Server 2003 haben muss, damit sich die Umstellung auf dieses Betriebssystem lohnt. Das Investitionsgut »Software« kann nach heutigen Lizenzmodellen gekauft, geleast oder auch gemietet werden. Der Kunde kann nach Bedarf und Geldbeutel wählen.

46


Microsoft legt auf das Kostenmanagement in der MCSE-Prüfung 70-294 leider keinen besonderen Wert.

Investitionen im Allgemeinen Wenn Techniker und Kaufleute zusammentreffen, dann prallen gelegentlich zwei Welten aufeinander. Die einen wollen eine gute technische Lösung, d.h. schnelle und wartungsfreundliche Server. Die anderen fragen nach dem Aufwand und den Kosten. Beide Personengruppen haben recht: Es muss preiswert (nicht billig!) und technisch einwandfrei sein. Doch was ist preiswert? Was ist das Optimale? Sie müssen die Anschaffung von Hard- und/oder Software zunächst als Investition ansehen. Unter einer Investition wird die autonome Beschaffung eines Gutes (Objekts) verstanden. Daher wird die Bezeichnung Investitionsobjekt eingeführt. Sie wird durch einen Investitionsbetrag sowie durch Ein- und Auszahlungen beschrieben, die mit der Verwendung bzw. dem Besitz des Investitionsobjekts verbunden sind. Mit anderen Worten: Nach dem Kauf von Windows Server 2003 hören die Kosten nicht auf. Es soll auch schon Kaufleute gegeben haben, die den Unterschied zwischen Aufwand und Kosten nicht (mehr) gekannt haben. Zur Klärung: Aufwendungen zahlen Sie nur einmal, zum Beispiel wenn Sie den Computer aus dem Geschäft tragen. Kosten sind dagegen ein laufender Vorgang, daher spaltet man diese oft in fixe Kosten (darunter fällt zum Beispiel die Miete) und in variable Kosten (zum Beispiel Personalkosten) auf. Betrachtet man die Investition Betriebssystem als Investitionsgut, muss es irgendeiner Weise eine Ertragsseite geben. Gegenüber der Ertragsseite stehen Ausgaben in Form von Aufwendungen und Kosten. Der Erfolg (oder auch Ergebnis genannt)1 Ihres Unternehmens besteht aus der Formel »Ertrag minus Aufwand«, wobei hierbei immer ein positiver Betrag herauskommen sollte. Ist das Ergebnis ein positiver Betrag, wird er als Gewinn, ist er ein negativer wird er als Verlust bezeichnet. Wollen Sie den Gewinn steigern, können Sie entweder den Ertrag steigern oder den Posten Aufwand/Kosten senken. Eine Investition in ein neues Betriebssystem lohnt, wenn Sie damit die Produktion steigern können. Idealerweise können Sie auch die Kosten durch Wartung und Administration senken.

Investition in Windows Server 2003 Microsoft wirbt offiziell mit der erhöhten Sicherheit, Verfügbarkeit, Performance und Verwaltbarkeit. So mancher Kunde stellt sich sicherlich die Frage, warum er denn das alte Betriebssystem gekauft hat. Die Erklärung ist, dass Betriebssysteme heute laufend verbessert und an neue Hardware angepasst werden. Dieser Vorgang hat auch mit Windows Server 2003 stattgefunden. Das Ergebnis wird vielleicht in zwei bis drei Jahren überholt sein, und es stellt sich »wie immer« die Frage ob mit der Anschaffung gewartet werden soll oder nicht. 1. Busse von Colbe, Lassmann, »Betriebswirtschaftstheorie Band 1, Grundlagen, Produktions- und Kostentheorie« , 5. Auflage, Verlang Springer


47

HIN WEIS


MCSE Examen 70-294

Da Windows Active Directory prinzipiell nichts Neues darstellt, muss nach dem wirtschaftlichen Nutzen geschaut werden. Tatsächlich liegt hier die Leistung im Detail. Sie werden eine verbesserte Verwaltung und eine Verbesserung im Design (.NET-Strategie) finden. Steigen Sie auf 64-Bit-Hardware um, können Sie von einer Leistungssteigerung profitieren. Fazit: Ein neues, ideales Betriebssystem muss folgende Leistungen erbringen: 1. Die Erhöhung der Ausbringungsmenge 2. Die Senkung der Produktionszeiten 3. Die Senkung der Wartungskosten 4. Geringe Anschaffungskosten 5. Hohe Zuverlässigkeit

Kernpunkte von Windows Server 2003, die einen Umstieg rechtfertigen Windows Server 2003 zeigt vom Konzept zunächst nicht viel Neues. Die Active Directory Services, NTFS und die Unterstützung von RAID und Multiprozessorsystemen bietet auch der Vorgänger, Windows 2000 Server. Auch andere Betriebssysteme bieten dies an. Dennoch weist der neue Windows Server 2003 einige wesentliche Verbesserungen auf: Die neue 64-Bit-Architektur wird unterstützt. Sie wird voraussichtlich in den nächsten ein bis zwei Jahren ebenfalls Einzug in die kleinen Server halten, sodass sich der Kundenkreis von einigen wenigen zum jetzigen Zeitpunkt auf eine breite Masse ausdehnt. Mit neuer Architektur steigt dann auch die Performance eines Domänencontrollers unter Windows Server 2003. Neue Schnittstellen und Tools wie der Resultant Set of Policy (RSoP) Planning-Modus helfen bei der Konzeption und beim Einsatz von Gruppenrichtlinien. Gruppenrichtlinien helfen bei der Sicherung der Clients von einem zentralen Programm (Snap-In) aus. Die Wartungskosten können also bei einer konsequenten Durchführung der Wartung bei gleichzeitiger Steigerung der Zuverlässigkeit (durch Sicherung) gesenkt werden. Hinsichtlich der Anschaffungskosten liegt der Windows Server 2003 Standard etwas unter dem seines Vorgängers. Betrachtet man die Leistungsmerkmale des Windows Server 2003, kann durch den Einsatz von Clustersystemen eine Leistungssteigerung erzielt und Sicherheit gewonnen werden. Die höchste Leistungssteigerung in Form von erhöhter Ausbringungsmenge und Senkung der Produktionszeiten kann aller Wahrscheinlichkeit nach erst mit der auf .NET basierten Technologie erfolgen. Das erste zu Windows Server 2003 passende Produkt ist der Exchange Server 2003, der sich nahtlos in Windows Server Active Directory integriert. Alle Überlegungen, die Sie über den Aufbau eines Standorts oder einer Domäne anstellen werden, gelten dann auch für Ihr Messaging- und Collaboration-System.

48



Lizenzmodelle für Windows Server 2003 Mit der Erkenntnis, dass Software ein Investitionsgut darstellt, hat Microsoft seine Lizenzpolitik geändert. Es wird zwar nicht alles billiger, es lässt sich jedoch anders bilanzieren. Prinzipiell haben Sie die Möglichkeit, Microsoft-Produkte zu kaufen, zu mieten oder zu leasen. Zudem werden Ihnen je nach Größe Ihres Unternehmens eine Preisstaffelung und diverse Serviceangebote unterbreitet. Gemeinnützige Unternehmen, wie öffentliche Schulen und Stiftungen, erhalten einen besonderen Rabatt. Grundsätzlich teilt Microsoft seine Lizenzmodelle den Lizenzprogrammen zu. Innerhalb dieser Modelle können Sie zwischen den Lizenzformen wählen. Lizenzprogramme

Lizenzformen

Lizenzmodelle

Mieten

Normaler Vertrag Wartungsvertrag (optional)

OPEN Subscription mit 3 Preisgruppen A, B und C Campus Agreement Microsoft Application Service Provider (ASP) Enterprise Agreement mit 4 Preisleveln, je nach Geschäftsvolumen

Leasen (Ratenkauf)

Normaler Vertrag

Multi Year OPEN License (MYO): T MYO Volume T MYO Enterprise Enterprise Agreement mit 4 Preisleveln, je nach Geschäftsvolumen

Kaufen

Normaler Vertrag Softwareversicherung (Software Assurance, SA) (optional)

OPEN SELECT License mit 4 Preisleveln, je nach Geschäftsvolumen

Tabelle 1.4: Lizenzmodelle bei Microsoft (Stand Frühjahr 2003)

Aus der Vielzahl von Modellen können Sie nun das passende für Ihre Firma heraussuchen. Fragen Sie auch einen versierten Microsoft-Händler nach den aktuellen Preisen, oder wenden Sie sich direkt an Microsoft. Sie werden dann an einen zertifizierten Microsoft-Händler verwiesen. Für welches Modell Sie sich auch entscheiden, Sie müssen jeweils Ihre Serversoftware, die Arbeitsstationssoftware und den Zugriff auf den Server lizenzieren lassen. Der Zugriff auf die Serversoftware wird als Client Access License (CAL) bezeichnet. Beachten Sie, dass es nur erlaubt ist, die Serversoftware in Verbindung mit CALs gleicher Versionsnummern zu verwenden. Daher verlieren die Windows 2000-CALs ihre Gültigkeit, wenn Sie Windows Server 2003 einsetzen. Das Clientbetriebssystem ist von dieser Regelung nicht betroffen.


49

MCSE Examen 70-294

Sie haben zwei verschiedene Möglichkeiten, Ihre Clientzugriffe zu lizenzieren: 1. Pro-Server: Sie lizenzieren die Anzahl der gleichzeitigen (konkurrierenden) Verbindungen zu einem Server. Diese Option ist seit Windows NT Standard. 2. Pro-Gerät (Device-CAL) oder Pro-Benutzer (User-CAL)

Abbildung 1.13: Auswählen des Lizenzierungsmodus in der Systemsteuerung

Die User-CAL ist die Erweiterung der Pro-Server-Lizenzierung von Windows NT. Das wirklich Neue daran ist, dass nunmehr Geräte-Lizenzen und Benutzer-Lizenzen kombiniert werden können. Bei der User-CAL ist das Benutzerkonto maßgebend und nicht das Computerkonto. Wenn Sie eine User-CAL erwerben möchten, ist also die Anzahl Ihrer Benutzerkonten ausschlaggebend und nicht die Anzahl der Computergeräte. Die alte Pro-Server-Option ist aus Kompatibilitätsgründen noch im Windows Server 2003-Programm vorhanden, doch soll diese Lizenzierungsart laut derzeitigen Aussagen von Microsoft künftig nicht mehr angeboten werden.

Abbildung 1.14: Vergleich von Device CAL und User CAL: Sie benötigen für jeden Zugriff auf den Server eine CAL.

Beachten Sie, dass Sie neben den CALs auch Serversoftware und Clientsoftware lizenzieren müssen.

50



Fallstudie: Lizenzieren des Windows Server 2003 Situationsbeschreibung Eine mittelständische Firma stellt ihre Infrastruktur komplett auf Windows Server 2003 um. Gleichzeitig soll auf allen Clients Windows XP Professional eingesetzt werden. Jeder Mitarbeiter hat seinen eigenen Computer. Die Firma besitzt folgende Computergeräte: T 10 Servergeräte mit Windows 2000 T 100 Computer (Clients) mit Windows 2000 Professional T 10 Computer (Clients) mit Windows NT 4.0 Für die Migration benötigt die Firma also: T 10 x Windows Server 2003-Serversoftwarelizenzen T 110 x Windows XP ProfessionalSoftwarelizenzen T 110 x Device-CAL für den Zugriff auf die Server

Die mittelständische Firma besitzt genügend Eigenkapital und kann die Investition sofort gut abschreiben. Sie entscheidet sich, Windows Server und XP zu kaufen, und wählt nach einem guten Angebot von ihrem Microsoft-Händler das OPEN B-Modell.

Situationsanalyse Ein Modell mit konkurrierenden Verbindungen lohnt nicht, da diese Verbindungen nur jeweils für einen Server gelten. Bei 10 Servern müssten u.U. zehnmal mehr CALs als notwendig erworben werden. Ein Modell mit User-CAL würde sich ebenfalls nicht lohnen, da die Anzahl der Anwender nicht kleiner ist als die Anzahl der Clientcomputer. Beim Kauf der Softwarelizenzen für Windows Server 2003 und Windows XP Professional gibt es keine Variationsmöglichkeiten, d.h., es muss für jedes Gerät eine Lizenz erworben werden.

Zusammenfassung In der Lernzielkontrolle werden Sie neben Übungen zur Prüfung auch Fragen und Antworten zu Prüfungsfragen finden. Beim Aufbau eines Netzwerks mit Microsoft-Computern müssen Sie sich entscheiden: Arbeitsgruppe oder Domäne? Empfehlenswert ist die Domäne, denn diese bietet Ihnen nicht nur die Integration mit Applikationen wie Exchange Server, sondern eine zentrale Verwaltung aller Ressourcen, Computer, Benutzer usw. Bauen Sie Ihre Domäne nach Ihrem Firmen-Organigramm. Planen Sie Organisationseinheiten, um delegieren zu können, oder auch nur, um Ihre Anwender sinnvoll zu gliedern. Um Ihre Ziele (die Einrichtung einer Domäne bzw. eines Namensraums) zu verwirklichen, bedarf es einer umfangreichen Planung. Machen Sie sich die Mühe und nehmen Sie sich die Zeit für eine Vor-Projektphase, in der Sie Ihren bestehenden Computerbestand und Ihre Erwartungen analysieren. Vergessen Sie auch nicht, eine Kosten-Nutzen-Analyse zu erstellen, sonst dürfen Sie vielleicht Ihre Firma schneller verlassen, als Ihnen lieb ist.


51

MCSE Examen 70-294

1.4

Lernzielkontrolle

1.4.1

Wiederholungsfragen

Die folgenden Fragen dienen dazu, die wichtigsten Lerninhalte dieses Kapitels zu vertiefen. Die Antworten auf diese Fragen finden Sie am Ende des Kapitels. 1. Welchen Zweck haben die Verzeichnisdienste? 2. Worin besteht der Unterschied zwischen einer Arbeitsgruppe und einer Domäne? 3. Was ist eine lokale Sicherheitsdatenbank? 4. Was sind Organisationseinheiten und welche Aufgabe haben sie? 5. Welche Aspekte rechtfertigen eine Investition in ein neues Betriebssystem? 6. Welche Aufgaben müssen Sie bei einer Projektierung beachten? (Wo ist die Antwort?)

1.4.2

Antworten zu den Wiederholungsfragen

1. Welchen Zweck haben die Verzeichnisdienste? Antwort: Kernpunkt der Verzeichnisdienste ist die zentrale Verwaltung von Diensten bzw. Ressourcen in einem Netzwerk. Sie werden in Form von Objekten in einer Datenbank abgelegt. Dies hat den Vorteil, dass Dienste Informationen schnell und effizient aus der Datenbank auslesen können. Das gilt auch für den Anmeldedienst. Benutzer können Sie mit nur einem Anmeldevorgang an den Verzeichnisdiensten anmelden. Moderne Verzeichnisdienste sind beliebig erweiterbar und bieten diversen Applikationen die Möglichkeit, ihre Dienste mit zu integrieren. 2. Worin besteht der Unterschied zwischen einer Arbeitsgruppe und einer Domäne? Antwort: Arbeitsgruppen und Microsoft-Domänen haben eine Gemeinsamkeit: Sie stellen eine logische Zusammenfassung von Computern dar. Der wesentliche Unterschied besteht jedoch darin, dass es bei Arbeitsgruppen keine autorisierende Instanz gibt. Diese Instanz in Form eines Microsoft-Domänencontrollers bestimmt nicht nur, welcher Benutzer sich an das Gebilde »Domäne« anmelden darf, sondern auch, welcher Computer zu dieser gehört. 3. Was ist eine lokale Sicherheitsdatenbank? Antwort: Man versteht darunter eine Datenbank auf einem Windows NT-, Windows 2000oder Windows 2003 Server-basierten Computergerät, das sich nicht auf einem Domänencontroller befindet. Diese Datenbank hostet Konten, die sich auf dem Computergerät lokal anmelden dürfen. 4. Was sind Organisationseinheiten, und welche Aufgabe haben sie? Antwort: Eine Organisationseinheit (OU) fungiert als Container. Sie beinhaltet alle möglichen Objekte wie Benutzer, Gruppen, Computer usw. und ist Teil einer Microsoft Active DirectoryDomäne. Der Hauptgrund für die Definition einer OU ist das Delegieren von Verwaltungsaufgaben, auch an Konten, die nicht Mitglied einer der administrativen Gruppen sind. 52

1.4 Lernzielkontrolle


5. Welche Aspekte rechtfertigen eine Investition in ein neues Betriebssystem? Antwort: Diese Frage ist nicht unbedingt prüfungsrelevant. Sie gibt Ihnen bei der Realisierung eines Projekts Argumente, die einen Umstieg auf ein neues Betriebssystem rechtfertigen können. Eine ideale Umstellung bringt Ihnen folgende Vorteile: T Die Erhöhung der Ausbringungsmenge T Die Senkung der Produktionszeiten T Die Senkung der Wartungskosten T Geringe Anschaffungskosten T Hohe Zuverlässigkeit Führen Sie nach Möglichkeit bei der Anschaffung eine Break-Even-Analyse1 durch. Als Gewinnschwelle oder Break-Even-Point wird der erste Schnittpunkt zwischen einer Gesamterlösund einer Gesamtkostenfunktion bezeichnet. Der Schnittpunkt kennzeichnet die Absatz- und Produktionsmenge, bei der der Preis die Kosten je Mengeneinheit gerade deckt und daher weder Gewinn noch Verlust entsteht. Je schneller der Break-Even-Point erreicht ist, desto eher hat sich die Investition gelohnt.

1. Busse von Colbe, Hammann, Lassmann, »Betriebswirtschaftstheorie Band 2, Absatztheorie«, 4. Auflage, Verlag Springer


53

2 Bereitstellen des DNS-Servers für das Active Directory Lernziele In diesem Kapitel lernen Sie alle Aspekte eines DNS-Servers kennen, die die Planung und Ausführung eines Active Directory betreffen. Es beginnt mit allgemeinen Grundlagen und endet mit der Darstellung von speziellen Einstellungen für das und mit dem Active Directory. Informationen über den DNS-Server im Allgemeinen finden Sie auch im MSCE-Kursbuch »Windows Server 2003-Netzwerkinfrastruktur«, der ebenfalls im Addison-Wesley-Verlag erschienen ist. Dieses Kapitel richtet sich nicht nur an den Anfänger, sondern auch an Fortgeschrittene, die bereits Kenntnisse in der Planung und Wartung der Active Directory Services besitzen. Blättern Sie daher später immer einmal zu diesem Kapitel zurück. Es lohnt sich! Folgende Themen werden behandelt: T Planung einer DNS-Infrastruktur mit DNS-Servern von Microsoft und anderen Herstellern T Aufgaben und Rollen eines DNS-Servers T Der Zusammenhang zwischen dem Namensraum und Active Directory-Domänen T Verfahren zur Integration von DNS-Zonen in das Active Directory und Konsequenzen dieses Vorgangs.

55

MCSE Examen 70-294

Lernstrategien Kapitel 2 ist so gestaltet, dass es beim erneuten Durchlesen »aus einem Guss« ist. Für den Anfang, wenn das Thema noch völlig neu sein sollte, sind folgende Schritte empfehlenswert: T Falls das Thema Domain Name System (DNS) für Sie neu ist, beginnen Sie mit Kapitel 2.1 und lesen Sie bis zum Endes dieses Kapitels. Falls Sie noch Fragen zum DNS haben, empfehlen wir Ihnen weiterführende Literatur. T Anschließend installieren Sie einen Domänencontroller (siehe Kapitel 3) und rekonstruieren die Rolle des DNS. Dies wird in den Kapiteln 2.2 bis 2.2.5 beschrieben. Sie sind anschließend in der Lage, die nachfolgend gezeigten Übungen auszuführen. T Es kann durchaus sein – und das ist bewusst so eingerichtet –, dass Sie nach dem Durcharbeiten der Kapitel 3 und 4 nochmals zu Kapitel 2 zurückkehren, in der Absicht, die verschiedenen Dienste und Rollen eines Domänencontrollers in der DNS-Zonendatenbank zu reflektieren. Sie sollten dann die Kapitel 2.2.6 bis Ende 2.3 wiederholend behandeln. Kapitel

Zielgruppe/Zweck

Kapitel 2.1

Einsteiger/Vertiefen des Stoffs

Kapitel 2.2 bis Kapitel 2.2.5

Für Fortgeschrittene, die schon einmal einen Domänencontroller mit DNS-Server installiert haben

Kapitel 2.2.6 bis Ende

Für Fortgeschrittene, die Kenntnisse in der Funktionsweise des Active Directory besitzen

TIPP


Die Planung und Einrichtung der DNS-Infrastruktur ist in der Prüfung 70-294 kein primäres Thema. Es kann allerdings sein, dass Sie im Rahmen des Themenblocks Planen und Implementieren einer Active Directory-Infrastruktur die eine oder andere Frage erhalten, die dieses Thema streift.

2.1

Planen einer DNS-Infrastruktur

Das Planen der DNS-Namensauflösung legt den Grundstock für die Einrichtung des Active Directory. Da dem Domain Name System eine große Bedeutung zukommt (denn ohne würde kein Active Directory laufen), werden nachfolgend nicht nur spezielle Einstellungen, sondern auch Grundlagen vermittelt.

2.1.1

Begriffe und Definitionen

Die folgenden Begriffe und Definitionen spielen bei der Verwendung von DNS eine Rolle. Viele Begriffe kommen aus dem Englischen und eine schlüssige Übersetzungsstrategie manchmal nicht erkennbar. Da Begriffe und Definitionen für die MCSE-Prüfungen wichtig sind, sind die Microsoft-Bezeichnungen für Sie aufgelistet. 56

2.1 Planen einer DNS-Infrastruktur

2 – Bereitstellen des DNS-Servers für das Active Directory Begriff

Definition

Autorisierender Namenserver

Ein DNS-Server, der Abfragen nach DNS-Namen beantworten kann. Er hat somit die Autorität, DNS-Abfragen für eine bestimmte Zone aufzulösen. Ein autorisierender Namenserver hostet eine lokale Zonendatei oder ist in Active Directory integriert.

Bedingte Weiterleitung

Kann ein autorisierender Namenserver die DNS-Anfrage eines DNS-Clients nicht beantworten, wird eine Weiterleitung initiiert. Bei der bedingten Weiterleitung wird mit der Weiterleitung eine Bedingung an die Weiterleitung verknüpft. Die Weiterleitung übergibt die Abfrage nun an einen DNS-Server in der angegebenen Domäne. DNS-Server, die für die bedingte Weiterleitung konfiguriert sind, müssen zur Namensauflösung nicht auf die Rekursion zurückgreifen.

BIND-Server

Ein leistungsfähiger DNS-Namenserver, der auf einem Linux- oder UNIXServer ausgeführt wird. BIND ist die Abkürzung für Berkeley Internet Name Domain.

Delegierung

DNS-Namensräume können in zusätzliche Zonen aufgesplittet werden. Beim DNS ist die Delegierung die Zuweisung der Verantwortung für eine DNSZone. Sie findet statt, wenn ein Ressourceneintrag eines Namenservers in der übergeordneten Zone denjenigen DNS-Server auflistet, der für die untergeordnete Zone autorisierend ist. Der gleiche Vorgang kann auch verwendet werden, um die Verantwortung für Domänennamen zwischen den DNSServern im Netzwerk zu verteilen.

DNS-Namensraum

Der DNS-Namensraum ist eine hierarchische baumartige Struktur von Namen. Jeder Name bezeichnet eine Domäne bzw. Zone. Die Schreibweise hierfür ist ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN). Der DNS-Namensraum wird auch als DNS-Namespace bezeichnet.

DNS-Resolver

Der DNS-Resolver ist ein Dienst, der auf DNS-Clients ausgeführt wird. Er ist für die DNS-Abfragen an den DNS-Server zuständig.

DNS-Server

Hiermit ist ein Computergerät gemeint, das den DNS-Server-Dienst ausführt. FQDNs werden in IP-Adressen aufgelöst. Als Betriebssysteme kommen Windows NT, Windows 2000 Server oder Windows Server 2003, aber auch andere Betriebssysteme in Betracht.

Externer Namensraum

Ein öffentlicher Namensraum (Namespace) wie das Internet. Der Namensraum wird von der Internet Corporation for Assigned Names and Numbers (ICANN) und anderen, wie zum Beispiel DENIC, verwaltet.

Vollqualifizerter Domänenname

Ist die deutsche Übersetzung von Fully Qualified Domain Name (FQDN). Es ist ein Standard, nach dem Zonen, Domänen und Hosts benannt werden. Der FQDN eines Hosts im Internet ist zum Beispiel www.microsoft.com.

Interner Namensraum

Der Namensraum (Namespace), der von einer Organisation (Firma, Privatleuten, etc.) genutzt werden kann. Interne Namensräume schirmen den Zugriff vom Internet ab. Eine öffentliche Vergabe existiert nicht.

Tabelle 2.2: Wichtige Begriffe für die Verwendung von DNS (alphabetisch geordnet)


57

MCSE Examen 70-294 Begriff

Definition

Nameserver/ Namenserver

Ein DNS-Server, der auf DNS-Auflösungsanforderungen von Clients innerhalb einer vordefinierten Zone antwortet. Anmerkung: Bei der Übersetzung des Begriffs ist sich Microsoft selbst nicht schlüssig. In anderen Büchern können Sie auch die Übersetzung Namensserver finden. In diesem Werk wird die Übersetzung Namenserver verwendet.

Masternamenserver

Ein DNS-Server, der die Kopie seiner Zonendatei anderen sog. sekundären Namenservern (DNS-Servern) zur Verfügung stellt. Ein Masternamenserver kann seinerseits auch ein sekundärer Namenserver sein.

Primärer Namenserver

Der primäre Namenserver hostet die Masterkopie der Ressourcendatenbank. Er ist für die Namensauflösung in derjenigen Zone verantwortlich, für die er die Autorität besitzt. Die Ressourcendatenbank ist in einer lokalen Zonendatei gespeichert, jedoch nicht in einer Active Directory-Datenbank.

Sekundärer Namenserver

Ist ein Server, der eine Kopie der primären Zone von einem primären Namenserver erhält. Die Zonendatei ist nur lesbar, d.h., sie kann nicht beschrieben werden. Sekundäre Namenserver können zur Redundanz und zum Lastenausgleich, aber auch als Masternamenserver verwendet werden.

Ressourceneintrag (Resource Record, RR)

RR-Typen werden in der DNS-Datenbankstruktur verwendet. Ein A-Record enthält beispielsweise einen Hostnamen und eine IP-Adresse.

Stubzone

Eine Teilkopie einer Zone. Mit einer Stubzone und bedingter Weiterleitung lässt sich das Routing des DNS-Datenverkehrs in einem Netz kontrollieren. Eine Stubzone erlaubt einem DNS-Server, Namen und Adressen von zuständigen DNS-Servern zu erkennen, ohne dass der Server mit der Stubzone selbst eine vollständige Kopie der Zone besitzen muss.

Zone

Ein zusammengehöriger Bereich eines Namensraums in einer Ressourcendatenbankdatei. Die Zone enthält die Ressourceneinträge für alle Namen und Dienste innerhalb der Zone. Die Zone kann noch in weitere Domänen unterteilt sein.

Zonenübertragung

Wird eine Zonendatei von einem primären Namenserver auf einen sekundären Namenserver übertragen, heißt der Prozess Zonenübertragung. Die Zonenübertragung findet im Zusammenhang mit der Synchronisation von dem primären- auf sekundäre Namenserver statt.

Tabelle 2.2: Wichtige Begriffe für die Verwendung von DNS (alphabetisch geordnet) (Forts.)

2.1.2

Grundlegende Arbeitsweise von DNS

Das Domain Name System (DNS) ist ein Standardnamensdienst für IP-basierte Netzwerke, wie das Internet. Das Domain Name System dient zur Benennung von Computern und Netzwerkdiensten (zum Beispiel Mail-Exchanger) in einer hierarchischen Domänenstruktur. Statt den Computern »komplizierte« Internetadressen zu geben, verwendet man einen benutzerfreundlichen DNS-Namen. Dieser Name soll einprägsam sein und gleichzeitig den Standort des Computers (Hosts) anzeigen. Da jedoch die Computer nicht mit ihren Namen über das Netzwerk miteinander kommunizieren, benötigen diese die IP-Adresse des jeweili-

58


2 – Bereitstellen des DNS-Servers für das Active Directory

gen Kommunikationspartners. Es muss also immer eine Zuordnung des Namens zu seiner IP-Adresse existieren. Dies kann in einer Datenbank erfolgen. Für die Auflösung der Namen existieren zwei Lösungen: 1. Einsatz einer statischen Datenbank in Form einer Tabelle: Namensauflösung über die Hosts-Datei. Die Pflege der Datenbank erfolgt manuell. 2. Einsatz eines Dienstes, der die Informationen der Datenbank dynamisch pflegt. Hier existiert für Microsoft-Netzwerke der DNS-Dienst und für UNIX/Linux-Systeme der BIND-Server(dienst). Mit dem DNS-Dienst kann ein Clientcomputer im Netzwerk DNS-Domänennamen registrieren und auflösen. Diese Namen werden für die Suche und für den Zugriff auf Netzwerkressourcen benötigt. In den folgenden Abschnitten finden Sie weitere Informationen zur Namensauflösung.

Abbildung 2.1: Prinzipielle Arbeitsweise eines DNS-Servers: hier die lokale Auflösung einer Adresse

Domänennamen Das Domain Name System (DNS) ist ursprünglich in den RFCs (Requests for Comments) 1034 und 1035 definiert worden. RFCs werden bei der IETF (Internet Engineering Task Force) eingereicht, die anschließend den Inhalt überprüft, weiterentwickelt und genehmigt. In den o.g. Richtlinien ist die Arbeitsweise von DNS beschrieben. Dort wird ein Domänennamensraum (Namespace) für eine strukturierte Domänenhierarchie vorgeschrieben, nach dem sich zum Beispiel jeder Internetanwender richten muss. In Ressourceneinträgen werden im DNS die DNS-Domänennamen den Ressourceninformationen zugeordnet. Die Ressourceneinträge dienen letztendlich zum Registrieren oder Auflösen im zugehörigen Namensraum. Die Domänennamen werden von Organisationen wie DENIC (Deutschland) oder INTERNIC verwaltet.


59

HIN WEIS

MCSE Examen 70-294

Wenn in diesem Zusammenhang von einer Domäne gesprochen wird, ist immer eine Internet-, aber keine Microsoft-Domäne gemeint. Microsoft Domänen haben in Anlehnung an das Internet gleiche Namen und auch eine gleiche Namensstruktur, sie haben aber mit einer Internetdomäne sonst nichts gemeinsam. Eine Domäne fasst hier Computer (Hosts), Aliasnamen und Dienste mit ihren Namen zusammen.

Namensräume Wie kann man sich in der Praxis einen Namensraum (Namespace) vorstellen? Eine Anlehnung können Sie in dem Organigramm-Prinzip finden. An der Spitze steht ein Stamm, der Stammdomäne (Root) genannt wird. Per Definition wird der Stamm mit zwei leeren Anführungszeichen ("") bezeichnet. Bei der Verwendung in einem DNS-Domänennamen wird er durch einen nachgestellten Punkt (.) dargestellt. Die Stammdomäne ist die höchste Domäne in der Hierarchie.

Abbildung 2.2: Hierarchisch angeordnete Namensräume im Internet

Die der Stammdomäne direkt untergeordneten Domänen, wie .com (ausgesprochen dot-com), .de usw. sind die sog. Topleveldomänen. Idealerweise repräsentieren sie die Länder (.de wie Deutschland, .it wie Italien etc.), es gibt jedoch auch Topleveldomänen, die Zusammenfassungen von Domänen mit einem öffentlichen Auftrag darstellen. Das ist zum Beispiel bei der Domäne .org der Fall. Einige Domänen wurden früher nur innerhalb der USA verwendet, wie beispielsweise .com oder .edu. Heute kann jedoch jeder Nutzer seine Domäne unter .com registrieren lassen. In der Ebene unter den Topleveldomänen folgen die Secondleveldomänen. Hier dürfen beliebige Namen stehen. Lediglich die Syntax ist vorgegeben. So dürfen nach RFC 1123 nur Ziffern von 0 bis 9, Bindestriche und Buchstaben von A bis Z und a bis z (ohne Umlaute) in den Namen vorkommen. Es wird allerdings nicht zwischen Groß- und Kleinschreibung unterschieden. Länderspezifische Buchstaben sind immer ausgenommen. Der Domänenname muss wenigstens einen Buchstaben enthalten. Er darf mit keinem Bindestrich beginnen oder enden. Der Bindestrich darf auch nicht an der dritten oder vierten Stelle eingefügt werden. Die Mindestlänge einer Domain beträgt drei, die Höchstlänge 63 Zeichen. Die DENIC schreibt weiterhin vor, 60



dass die Namen der anderen Topleveldomänen nicht als Secondleveldomänen verwendet werden dürfen. Auch ist die Verwendung von deutschen Kfz-Kennzeichen unzulässig. Je nach Gesetzeslage können die Bestimmungen in den verschiedenen Ländern unterschiedlich sein. Beachten Sie, dass für Windows Server 2003 erweiterte Namensregeln, wie vergleichsweise im Internet (RFC 1123), gelten. Windows-Server ab der Version 2000 haben diesen erweiterten Standard, der wiederum nicht mit dem Standard im Internet kompatibel ist. Zeichensatzeinschränkung

Standardmäßiges DNS (einschließlich Windows NT 4.0)

DNS unter Windows 2000 und Windows Server 2003

Zulässige Zeichen

Unterstützt RFC 1123. Der Name darf enthalten: Buchstaben A-Z Buchstaben a-z Ziffern 0-9 Bindestrich -

Unterstützt RFC 1123 und UTF-8 (RFC 2044). UTF-8 ist eine Obermenge von ASCII und eine Übersetzung der UCS-2-(oder Unicode-)Zeichencodierung. Der UTF-8-Zeichensatz kann nur in Windows 2000- oder Windows Server 2003Umgebungen eingesetzt werden.

Maximale Länge für Hostname und FQDN

63 Zeichen (1 Zeichen = 1 Oktett) pro Bezeichnung. 255 Byte pro FQDN (254 Byte für den FQDN plus ein Byte für den abschließenden Punkt).

Entspricht dem standardmäßigen DNS (63 Zeichen) plus der UTF-8-Unterstützung Einige UTF-8-Zeichen überschreiten die Länge von einem Oktett. Domänencontroller sind auf 155 Byte für einen FQDN beschränkt.

Tabelle 2.3: Vergleich von DNS unter Windows NT und unter Windows 2000/2003

Sie können den DNS-Namen aus Ihrem Internetauftritt auch für Ihre Microsoft-Domäne verwenden. Besser ist es jedoch, wenn Sie beide Namensräume voneinander trennen: einen Namensraum für den Internetauftritt und einen für den internen Gebrauch. Achten Sie bei der Planung der Active Directory-Struktur auf diese Konformität des DNS-Namens zum Active Directory-Domänennamen.

Vollqualifizierte Domänennamen DNS-Domänennamen werden auch oft als vollqualifizierte Domänennamen bezeichnet. Auch das englische Kürzel für Fully Qualified Domain Name (FQDN) ist gebräuchlich. Wie in dem vorangegangenen Unterkapitel schon erläutert wurde, bestehen Namensräume aus hierarchisch angeordneten Domänennamen. Platziert man nun einen Computer (Host) mit seiner Netzwerkkarte in diesen Namensraum, bekommt die Netzwerkkarte eine IP-Adresse und einen FQDN. Dieser FQDN ist von der IP-Adresse und deren Klassifizierung in einem der Netze völlig unabhängig. Der Name richtet sich ausschließlich nach dem Namensraum.


61

TIPP

Beispiele für Secondleveldomänennamen sind pearson.de oder microsoft.de. Jeder Domänenname darf genau einmal im Internet vorkommen. Seine Eindeutigkeit muss immer gewahrt werden.

MCSE Examen 70-294

Der resultierende Domänenname besteht aus dem Namen der Topleveldomäne (erste Ebene), dem Namen der Secondleveldomäne (zweite Ebene) und weiteren untergeordneten Domänennamen. Die Namen sind jeweils durch einen Punkt getrennt. Der fortlaufende Name ist von rechts nach links angeordnet. Formal gesehen ist die Regel mit (Domäne N).(Domäne N-1).

...

(Domäne 1)

zu beschreiben. Für einen Hostnamen, d.h. einen Computernamen, oder einen Aliasnamen gilt, dass dieser immer ein Präfix vor dem letzten (untergeordneten) Domänenbezeichner ist. Hostname.(Domäne N).(Domäne N-1).

...

(Domäne 1)

In dem oben genannten Beispiel ist der FQDN für Microsoft: microsoft.de

Ein Computer, der sich in dieser Domäne befindet, hat den folgenden Namen: hostname.microsoft.de

Aliasnamen Aliasnamen sind zusätzliche Namenseinträge für einen Host. So kann man einem Host, d.h. einer IP-Adresse, mehrere Aliasnamen zuweisen. Fragt ein DNS-Client nach den Aliasnamen, bekommt er von seinem DNS-Server die zugehörige IP-Adresse geliefert. Anschließend kann er über die IP-Adresse auf den gewünschten Host zugreifen. Aliasnamen werden im Internet gerne mit »WWW« gekennzeichnet. Andere Aliasnamen sind jedoch auch zulässig. Sie müssen den Bestimmungen des jeweiligen Landes und den allgemeinen Bestimmungen zur Namensvergabe genügen. Ein Beispiel für einen FQDN ist www.pearson.de. Von einem DNS-Client aus, ist es nicht ersichtlich, welcher der eigentliche Name und welcher der Aliasname eines Hosts ist.

Zonen Das Domain Name System erlaubt eine Unterteilung des Namensraums in Zonen. In einer Zone sind eine oder mehrere Namensinformationen zusammengefasst. Die Zone ist die autorisierende Quelle aller Informationen für alle in ihr enthaltenen DNS-Domänennamen. Jede Zone muss einen zusammenhängenden DNS-Namensraum haben. Die Verknüpfungen zwischen den Host-Namen und den IP-Adressen werden normalerweise für jede Zone in einer Zonendatenbankdatei gespeichert. Die Zone beginnt mit der Speicherung der ersten Domäne (siehe auch Abbildung 2.3). Wo liegt nun der Unterschied zwischen Zone und Domäne? In den meisten Fällen ist der Name der Zone mit dem der Domäne identisch. Eine Zone benötigt jedoch immer eine Zonendatei, um Ihre Domänennamen und andere Informationen abzuspeichern. Falls Sie Microsoft Active Directory verwenden, können Sie anstelle der Zonendatenbankdatei das Active Directory derjenigen Domäne verwenden, in der Ihr DNS-Server Mitglied ist.

62



Für jede Zone gibt es eine fest verbundene Domäne, die als Stammdomäne der Zone bezeichnet wird. In der Stammdomäne befinden sich nur die Informationen zu ihren Subdomänen. Die Namen werden nach folgender Regel zusammengefasst: Hostname.(Zone Z).(Zone Z-1). ... (Zone 1)

Eine Mischung aus Zonen- und Domänenbezeichnern ist ebenfalls möglich. Hostname.(Domänenname N).(Zone Z).(Zone Z-1). ... (Zone 1).(Domänenname 1)

Hierbei sind N und Z ganze natürliche Zahlen. Wie Sie aus den beiden Definitionen ersehen können, gibt es im Ergebnis keinen Unterschied zwischen Zonen und Domänen. Es gibt zwei Arten von DNS-Zonen: T Forward-Lookupzonen und die

Wenn Sie den Microsoft DNS-Server verwenden, müssen Sie zuerst eine Forward-Lookupzone einrichten. Anschließend können Sie innerhalb der Zone untergeordnete Domänen einrichten.

Zusammenfassung zweier Domänen zu einer Zone In der nebenstehenden Zeichnung erkennen Sie, dass die Domänen T pearson-zentrale.de T addison-wesley.pearson-zentrale.de T muenchen.addison-wesley.pearsonzentrale.de zu einer Zone mit dem Namen pearson.de zusammengefasst werden.

Abbildung 2.3: Zusammenfassen von drei Domänen zu einer Zone


63

HIN WEIS

T Reverse-Lookupzonen.

MCSE Examen 70-294

Forward- und Reverse-Lookupzonen Bei den meisten DNS-Vorgängen handelt es sich um Forward-Lookups. Ein DNS-Client erwartet von einem DNS-Server die IP-Adresse eines Hosts, die der Host zwecks Kommunikation erreichen will. Für diesen Vorgang hat der DNS-Server in einer Forward-Lookupzone einen Eintrag gespeichert. Darin ist der DNS-Name der IP-Adresse zugeordnet. Alle Einträge sind in der Zonendatenbankdatei abgelegt. Der Eintrag des Hosts in diese Datei wird als Adressressourceneintrag (A) bezeichnet und ist in dem RFC 1035 definiert. Asterix Idefix Obelix

A A A

192.168.1.10 192.168.1.11 192.168.9.200

Listing 2.1: Auszug aus der Zonendatei (Beispiel) eines DNS-Servers im lokalen Netzwerk

Aus dem oben gezeigten Listing ist zu ersehen, dass die Abfrage nach einer IP-Adresse einfach ist, zumal es sich um einen Computer im lokalen Netzwerk handelt. Möchte der DNS-Client einen Internethost erreichen, kann sein DNS-Server so eingestellt werden, dass dieser an seiner Stelle einen DNS-Server im Internet anfragt. Bei ca. 3,7 Mrd. möglichen Internethosts würde eine Abfrage lange dauern, wenn es nicht leistungsstarke DNS-Server im Internet gäbe, die möglichst alle Internetadressen »cachen«. In einigen Fällen benötigt der DNS-Client den DNS-Namen eines Kommunikationspartners. Da er die IP-Adresse von diesem kennt, kann er über eine Reverse-Lookupzone den gewünschten Namen geliefert bekommen. Diese Abfrage können Sie sich vereinfacht als folgende Anfrage des Clients vorstellen: »Wie lautet der DNS-Name von dem Computer mit der IP-Adresse 194.128.11.34?« Da das DNS ursprünglich nicht für die Unterstützung dieses Abfragetyps konzipiert wurde, musste dieser Typ der Abfrage noch in den DNS-Server integriert werden. Das Problem bei der Unterstützung liegt in der umgekehrten Abfrage. Daher wurde hierfür eine spezielle Domäne eingerichtet: die in-addr.arpa. Wird nun ein umgekehrter Namensraum abgebildet, werden in der in-addr.arpa-Domäne IP-Adress-Oktettzahlen in umgekehrter Reihenfolge der normalen dezimalen Notation verwendet. Diese neue Schreibweise ist erforderlich, weil IPAdressen von links nach rechts gelesen werden. Für die in-addr.arpa-Domänenstruktur ist ein neuer Ressourceneintragstyp erforderlich, der Ressourceneintrag PTR (Pointer Ressource).

HIN WEIS

Für das Subnetz 192.168.0.0/24 soll beispielsweise eine Reverse-Lookupzone eingerichtet werden. Die Zone bekommt nach o.g. Definition den Namen 0.168.192.in-addr.arpa.dns. Die erste Null, die eigentlich am Anfang stehen müsste, wird nicht angezeigt, da die Subnetzmaske 255.255.255.0 ist. Würde man die Subnetzmaske umdrehen, käme hier 0.255.255.255 heraus. Ein Host in dieser Zone hätte dann den FQDN 168.0.11.0.168.192.in-addr.arpa. Lautet das Subnetz dagegen 10.0.0.0/8, so heißt die Zone 0.0.10.in-addr.arpa.dns.

Reverse-Lookupzonen werden im RFC 2317 (»klassenlose« Reverse-Lookupzone) ausführlich erläutert. Zusätzliche Informationen zu IPv6 und DNS finden Sie im RFC 1886.

64



Stubzonen Eine Stubzone erlaubt einem DNS-Server, Namen und Adressen von zuständigen DNS-Servern zu erkennen, ohne dass der Server mit der Stubzone selbst eine vollständige Kopie der Zone eines übergeordneten Namenservers besitzen muss. Eine Stubzone ist nur auf Windows Server 2003-basierten DNS-Servern verfügbar. Eine Stubzone ist die Kopie einer Zone, die nur folgende Einträge enthält: T Autoritätsursprungs-Ressourceneintrag (Start-of-Authority, SOA) T Namenserver-Ressourceneinträge (NS) T Ressourceneinträge des Typs A (auch Glue-A-Ressourceneinträge genannt) für die delegierte Zone Derjenige DNS-Server, der die Stubzone hostet, wird mit der IP-Adresse des autorisierenden DNS-Servers konfiguriert. Von diesem wird die Zone geladen bzw. kopiert. Wenn der DNSServer mit der Stubzone eine Abfrage nach einem Computernamen derjenigen Zone erhält, auf die die Stubzone verweist, verwendet der DNS-Server die IP-Adresse zum Abfragen des autorisierenden Servers. Andernfalls gibt er bei iterativen Abfragen einen Verweis auf die DNS-Server zurück, die in der Stubzone aufgelistet werden. Genau wie eine normale Zone kann eine Stubzone für rekursive und iterative Abfragen verwendet werden. Aktualisierungen können Sie in den Einstellungen der jeweiligen Stubzone vornehmen. Sie verwenden die Stubzone für die Weitergabe von Informationen über untergeordnete Zonen, die eine übergeordnete Zone automatisch erhalten soll. Fügen Sie hierzu die Stubzone dem DNSServer hinzu, der die übergeordnete Zone hostet. Sie können eine Stubzone auch für die Weitergabe von Namensräumen verwenden, obwohl die bedingte Weiterleitung die bevorzugte Methode für diesen Vorgang ist. Sie können Stubzonen entweder auf die herkömmliche Art dateibasiert speichern oder in das Active Directory integrieren. In diesem Fall muss der DNS-Server auf einem Domänencontroller sein.

Fallstudie: Stubzone Situationsbeschreibung Ein DNS-Server1 hostet die Zone itconsult.de, und ein DNS-Server2 hostet die Zone berlin.it-consult.de. Die Zone itconsult.de ist die übergeordnete Zone mit dem autorisierenden DNS-Server1. Dieser soll die untergeordnete Domäne berlin.itconsult.de an verschiedene DNS-Server delegieren. Als die Delegierung für die


Domäne berlin.it-consult.de ursprünglich vorgenommen wurde, enthielt die übergeordnete Zone lediglich Einträge für Namenserver (NS-Einträge) für die autorisierenden DNS-Server der untergeordneten Zone. Später hat man für die untergeordnete Zone weitere autorisierende DNS-Server konfiguriert, jedoch ohne Wissen der Administratoren der übergeordneten Zone.

65

MCSE Examen 70-294

Folglich kann der DNS-Server, der die übergeordnete Zone hostet die neuen, in der untergeordneten Zone befindlichen autorisierenden Server nicht kennen. Er fragt weiterhin seine bereits bekannten DNS-Server in dieser Zone ab. Wie können Sie erreichen, dass auch diese Namenserver abgefragt werden können?

Situationsanalyse Eine Lösung des Problems kann darin bestehen, dass Sie den für die übergeordnete Zone autorisierenden DNS-Server so konfigurieren, dass er die Stubzone für die delegierte Domäne hostet. Mit anderen Worten: Der DNS-Server von it-consult.de hostet zusätzlich eine Teilkopie von berlin.it-consult.de. Die Stubzone bietet den Vorteil, dass der für die Delegierung

»unnütze Ballast« von Service Ressource Records, Mail-Exchanger, usw. nicht auf den DNS-Server1 überspielt wird. Wenn Sie als Administrator von DNSServer1 ihre Stubzone aktualisieren, fragt der DNS-Server1 den DNS-Server2 nach Ressourceneinträgen des autorisierenden DNS-Servers für berlin.it-consult.de ab (siehe Abbildung 2.4). Nachdem die Informationen übertragen worden sind bzw. die Stubzone aufgefüllt worden ist, kann der für die übergeordnete Zone autorisierende DNS-Server über die neuen, für die untergeordnete Zone autorisierenden DNS-Server informiert werden. Die Folge ist, dass alle Namenserver von berlin.it-consult.de bei rekursiven Anfragen fremder (übergeordneter) Server eine Namenauflösung leisten können.

Abbildung 2.4: Anwenden einer Stubzone

66



Zonenübertragungen Es wurde in diesem Kapitel bereits erwähnt, dass das Domain Name System das Unterteilen des Namensraums in Zonen ermöglicht, in denen die Namensinformationen zu mindestens einer DNS-Domäne gespeichert werden. Für jeden in einer Zone vorhandenen DNS-Namen bzw. DNS-Client wird die Zone zur autorisierenden Quelle für die Informationen über diese Domäne. Wegen der wichtigen Rolle der DNS-Server sollten Sie nach Möglichkeit Zonen fehlertolerant auf mehreren DNS-Servern gleichzeitig ausführen. Bei Fehlfunktionen können Abfragen für Namen und Dienste in der Zone fehlschlagen, wenn nur ein einzelner Server verwendet wird und dieser nicht antwortet. Verwenden Sie die Active Directory Services, dann ist die Verfügbarkeit von DNS Ihr oberstes Gebot. Zu der Rolle von DNS in Active Directory finden Sie weitere Informationen im Kapitel 2.2.3. Bei mehreren DNS-Servern, die für eine Zone zuständig sind, müssen alle Informationen der Zone aktualisiert auf den jeweiligen Servern vorliegen. Für die Replikation und Synchronisation der Zonen ist eine sog. Zonenübertragung notwendig. Um die Fehlertoleranz zu erreichen, gibt es bei Windows-Servern mehrere Möglichkeiten: 1. Replikation und Synchronisation einer sekundären Zone. Die sekundäre Zone ist lediglich lesbar, das heißt, es können keine Ressourceneinträge hinzugefügt werden. 2. Fehlertoleranz durch Abspeichern der Zoneninformationen in ein Active Directory. Hierbei muss der DNS-Server auch gleichzeitig ein Windows-Domänencontroller sein. 3. Zonenübertragungen an fremde DNS-Server. Mit dieser Methode können auch NichtMicrosoft-DNS-Server, wie BIND-Server, Ressourceneinträge repliziert bekommen. Damit bei Änderungen in der Zone nicht der vollständige Inhalt der Zone repliziert wird, unterstützt der DNS-Dienst eine inkrementelle Zonenübertragung (IXFR) und einen gegenüber Windows 2000 Server überarbeiteten Zonenübertragungsvorgang für vorläufige Änderungen. Die inkrementellen Zonenübertragungen sind aus dem RFC 1995 entnommen. Sie dienen als zusätzlicher Standard für die Replikation für DNS-Zonen. Es liegt somit auf der Hand, dass Zonenänderungen wesentlich effizienter übertragen werden können. Inkrementelle Zonenübertragungen werden nur von Windows 2000 Server und Windows Server 2003 unterstützt. Zonenübertragungen können in folgenden Fällen auftreten: T Die Inhalte der Zone haben sich verändert. T Nach dem Start des DNS-Serverdienstes auf einem sekundären DNS-Servers (für die entsprechende Zone) T Nach Ablauf des Aktualisierungsintervalls für die Zone T Durch manuelles Initiieren einer Übertragung von dem DNS-Server aus, der die sekundäre Zone hostet Zonenübertragungen auf Windows Server 2003-basierenden Computern werden immer auf einem DNS-Server mit einer sekundären Zone gestartet. Die Anforderung wird von dort aus


67

MCSE Examen 70-294

zum DNS-Server mit der Masterkopie der Zone gesendet. Windows-DNS-Server unterstützen nach RFC 1996 eine Benachrichtigung sekundärer Server bei Zonenänderungen. Aus Sicherheitsgründen lässt der DNS-Server nur Zonenübertragungen an autorisierende DNS-Server zu, die in den Namenserver-Ressourceneinträgen für die Zone aufgelistet sind.

Auflösen eines FQDN SCHRITT FÜR SCHRITT

DNS-Clients besitzen in den Netzwerkkarteneinstellungen Informationen über ihre DNSServer. Wenn Sie eine Adresse zum Auflösen eingeben, dann sendet der DNS-Client eine rekursive Anforderung zu seinem bevorzugten DNS-Server. Rekursive Anforderungen verlangen, dass der Remote-Server entweder eine autoritative Antwort oder eine »Nicht gefunden«-Meldung zu dem DNS-Client zurückliefert. Der Rekursionsprozess wird dann aktiviert, wenn keine lokal zwischengespeicherten Daten zum Auflösen der Namensabfrage zur Verfügung stehen. Der DNS-Server überprüft, ob er die rekursive Anforderung autorisierend beantworten kann. Dies geschieht anhand der Ressourceneinträge in seiner lokal konfigurierten Zone. Entspricht der Name einem Ressourceneintrag (A-Record), antwortet der Server immer autorisierend, indem er seine eigenen Daten zum Auflösen des abgefragten Namens verwendet. Stehen für den abgefragten Namen keine Informationen zur Verfügung, überprüft der DNSServer, ob er den Namen mit Hilfe seines Caches auflösen kann. Im Cache sind die zwischengespeicherten Ressourceneinträge aus vorherigen Abfragen abgelegt. Wird eine Entsprechung gefunden, beendet der Server seine Suche und gibt diese Informationen an den DNS-Client weiter. Wird weder im Cache noch in den Zonendateien des DNS-Servers eine Antwort auf die DNSAnfrage gefunden, kann der Abfragevorgang nur dann fortgesetzt werden, wenn weitere DNSServer zur Abfrage bereitstehen. Auch jetzt wird der Rekursionsprozess noch weitergeführt. Für eine Rekursion benötigt der DNS-Server unterstützende Kontaktinformationen von anderen DNS-Servern. Diese Informationen stehen in Form von Stammhinweisen zur Verfügung. Mit diesen Ressourceneinträgen ist er nun in der Lage, Stammserver zu finden. Die Stammserver sind autorisierend für den Domänenstamm und die Domänen der obersten Ebene des gesamten Namensraums. Einer Abfrage eines Stammservers steht nun nichts im Wege.

1

Der DNS-Client sendet eine rekursive Anforderung an seinen bevorzugten DNS-Server. Die Anfrage bezieht sich auf einen Host in einer fremden Domäne, hier in der Domäne pearson.de.

2

Zunächst analysiert der bevorzugte DNS-Server den FQDN. Er stellt fest, wie in Abbildung 2.5 zu sehen ist, dass für die Domäne der obersten gesuchten Ebene (hier de) der Standort, bzw. die Adresse des autorisierenden Servers benötigt wird. Hierfür wird eine iterative Anforderung an einen DNS-Server der Stammdomäne gesendet.

3

Der DNS-Server der Stammdomäne antwortet mit der IP-Adresse eines Namenservers der de-Domäne.

4

Der DNS-Server wiederholt seine Anfrage (wer ist ...?) an den DNS-Server der deDomäne.

68



5

Der DNS-Server sendet die Adresse eines DNS-Servers der gesuchten Domäne.

6

Die Anfrage wird schließlich an den DNS-Server gesendet, der den gesuchten Host als Ressourceneintrag in seiner Zonendatenbankdatei enthält.

7

Der suchende DNS-Server bekommt eine autorisierende Antwort vom DNS-Server der Domäne pearson.de.

8

Wenn die autorisierende Antwort vorliegt, sendet der DNS-Server diese an den anfordernden Client weiter und speichert sie gleichzeitig in seinem Cache. Der rekursive Abfrageprozess ist hiermit abgeschlossen.

.

Abbildung 2.5: Rekursive und iterative Namensauflösung über DNS

Zur Abfrage der DNS-Informationen stehen also zwei Anfragetypen zur Verfügung: T Rekursive Anforderungen: Diese Anforderungen stellt der DNS-Client dem DNS-Server.

Beachten Sie, dass ein autorisierender Namenserver ein Server ist, der über die Autorität zum Auflösen von DNS-Abfragen für eine bestimmte Zone verfügt. Dieser DNS-Server enthält die lokale Zonendatei, die auch Active Directory integriert sein kann, mit den Ressourceneinträgen für die Computer und Dienste innerhalb der Zone. Jede Zone verfügt mindestens über einen autorisierenden Namenserver.


69

ACH TUNG

T Iterative Anforderungen: Diese Anforderungen werden von Ihrem DNS-Server an fremde DNS-Server gesendet. Es können mehrere iterative Anforderungen notwendig sein, um eine autoritative Antwort zu erhalten.

MCSE Examen 70-294

2.1.3

BIND-Server

Microsoft richtet sich nach den meisten RFC-Spezifikationen, und zwar so weit, wie es in das Windows Server- bzw. Active Directory-Betriebssystem hineinpasst. Falls Sie eine UNIX/Windows-Netzwerkumgebung haben, sollten Sie die bestehenden BIND-Server (Berkeley Internet Name Domain Server) unter UNIX oder Linux mit in den Namensraum integrieren. Die meistgestellte Frage ist die, ob auch BIND-Server als DNS-Server für Microsoft-Domänen verwendet werden können. Die Antwort ist: Sie können. Wenn Sie sich für eine solche Lösung entscheiden, müssen Sie jedoch einige »Kleinigkeiten« beachten...

Vorüberlegungen Die Namensauflösung über ein Domain Name System und das Ablegen der dienstspezifischen Eigenschaften des Active Directory in eine Zonendatei sind die grundlegendsten Leistungsmerkmale, die ein Namenserver erbringen muss. Bei der Installation von Active Directory können Sie wählen, ob der DNS-Serverdienst als Teil der Installation eingerichtet und konfiguriert werden soll oder nicht. Bei der manuellen Einrichtung des DNS-Servers verzichten Sie auf die einfachere automatische Methode, auf einem Domänencontroller einen DNS-Server auszuführen. Optimal ist es, wenn Sie zwecks Redundanz in jedem Subnetz zwei DNS-Server laufen haben. Voreingestellt verwenden Windows Server 2003-DNS-Server bei der Zonenübertragung immer eine schnelle Übertragungsmethode nach dem Prinzip der Datenkomprimierung. Für eine Interoperabilität mit DNS-Servern, die diese Methode nicht unterstützen (wie bei Servern, die mit einer früheren Version als BIND 4.9.4 ausgestattet sind) kann das schnelle Übertragungsformat bei Zonenübertragungen deaktiviert werden. Da mittlerweile BINDServer mit einer Versionsnummer von 9.x.x (Stand Februar 2004) den aktuellen Stand der Technik darstellen, brauchen Sie diese Übertragungsmethode nicht zu verändern.

Kompatible Server Folgende BIND-Server können für das Hosten von Active Directory-Zonen verwendet werden: T BIND Server Version 8.1.2 oder höher T Empfohlen: DNS-Server, die nicht auf Windows Server 2003 oder Windows 2000 Server basieren, müssen dynamische Updates nach RFC 2136 unterstützen. Die sichere dynamische Aktualisierung basierend auf dem GSS-TSIG-Algorithmus (Transaction Signature oder Transaktionssignatur) geht dagegen noch einen Schritt weiter: Nur Computer, die Mitglied einer Active Directory-Domäne sind, können eine Aktualisierung durchführen. T Obligatorisch: DNS-Server, die nicht auf Windows Server 2003 oder Windows 2000 Server basieren, müssen SRV-Records (Service Location, SRV) unterstützen. Dieser Ressourceneintrag für die Dienstidentifizierung ist im Internetentwurf »A DNS RR for specifying the location of services (DNS SRV)« beschrieben. T Windows NT Server stellt ebenfalls einen DNS-Server. Dieser ist bedingt »tauglich«, da er keine dynamischen Aktualisierungen zulässt. Dieser DNS-Servertyp muss manuell verwaltet werden! 70


Obwohl es möglich ist, eine manuelle Zonenerstellung zu verwenden, sollten Sie die Zone nach Möglichkeit mit dem Installationsassistenten von Active Directory einrichten. Dabei wird ein DNS-Server auf einem Microsoft Windows Server 2003-Domänencontroller installiert. Dieses Vorgehen ist nicht nur einfacher, es verhindert auch sicher Konfigurationsfehler. Die folgende Tabelle zeigt Ihnen die unterschiedlichen Leistungsmerkmale von Windows DNS- und BIND-Servern: Funktion

Windows Windows Windows BIND Server 2000 NT 4.0 9 2003

BIND 8.2

BIND 8.1.2

BIND 4.9.7

x

x

x

x

x

x

x

x

x

x

x

x

Unterstützt SRV-Einträge

x

X

Dynamische Aktualisierung

x

X

Sichere dynamische Aktualisierung

x

x

Schnelle Zonenübertragung

x

x

Inkrementelle Zonenübertragung

x

x

WINS-, WINS-R-Einträge

x

x

Stubzone

x

x


x

x

Erweiterungsmechanismus für DNS (EDNS0)

x

x

UTF-8-Zeichencodierung

x

x

Active Directoryintegrierte Zonen

x

x

Speicherung von Zonen in der Anwendungspartition von Active Directory

x

Ablaufzeit und Aufräumvorgänge bei veralteten Einträgen

x

x

x

x

x

x

Tabelle 2.4: Vergleich von Microsoft DNS-Servern und BIND-Servern


71

HIN WEIS


MCSE Examen 70-294

Microsoft DNS-Server und die Zusammenarbeit mit anderen Servern Bei einer gemischten DNS-Server-Umgebung empfehlen sich folgende Einstellungen: T Vorhandene DNS-Server für Stammzonen werden nicht auf andere, neue DNS-Lösungen aktualisiert oder migriert. T Sie stellen den DNS-Server auf allen notwendigen Windows Server 2003-Systemen zur Verfügung. Idealerweise liegt der DNS-Server auf einem Domänencontroller, damit die Zone Active Directory-integriert eingerichtet werden kann. Wenn Sie bereits einen DNS-Namensraum (Namespace) besitzen, können Sie eine neue Subdomäne als Stamm der ersten Active Directory-Domäne einsetzen. Der DNS-Serverdienst wird automatisch für die Unterstützung von Active Directory konfiguriert. Die übergeordnete Domäne bekommt die neue Subdomäne zugewiesen.

Abbildung 2.6: BIND-Sekundärzonen und UTF8 werden standardmäßig unterstützt. Diese Einstellungen sind in den Servereigenschaften zu tätigen.

2.1.4

DNS-Server-Rollen

DNS-Server können verschiedene Rollen einnehmen, um bei großem Anfragevolumen die Leistungsfähigkeit zu vergrößern oder die Ausfallsicherheit zu gewährleisten. Je nachdem, welche Zonendateien der Server hostet, kann man ihm unterschiedliche Rollen zuweisen. Manche DNS-Server teilen sich verschiedene Rollen.

72



Cache-only-Server und Forwarder Für einen Cache-only-Server müssen Sie lediglich den DNS-Dienst installieren und andere Namenserver angeben, mit denen der Cache-only-Server kommunizieren soll. Wie der Name schon treffend beschreibt, lädt dieser Servertyp nur die Records in seinen Cache. Er hostet keine Zonendatei. Er muss für die rekursiven Anfragen der Clients andere Namenserver (ansonsten macht der Vorgang keinen Sinn) mit einer iterativen Anfrage nach den gesuchten Informationen befragen. Ist der DNS-Server als Forwarder konfiguriert, kann er andere Server rekursiv befragen. Diese Konstellation ist gerade in großen Netzen bzw. Organisationen sehr sinnvoll, da dort einige wenige DNS-Server die Zonendateien hosten müssen. Die Cache-only-Server dienen hier zum Lastenausgleich.

Primärer Namenserver Der Begriff primärer Namenserver verwirrt ein wenig. Es handelt sich um einen DNS-Server, der eine Zonendatei hostet. Dieser Namenserver ist der Standard. Die Zonendatei liegt im Original vor, d.h., es ist keine schreibgeschützte Kopie. Ein DNS-Server, der eine Zonendatei hostet, ist in der Lage, schreibgeschützte Kopien an DNS-Server zu senden, die sekundäre Zonen hosten. Bei den primären Namenservern gibt es zwei Untergruppen: T DNS-Server, die Forward-Lookupzonen hosten T DNS-Server, die Reverse-Lookupzonen hosten

Sekundärer Namenserver Hiermit ist ein DNS-Server gemeint, der eine sekundäre Zone hostet. Die sekundäre Zone ist lediglich die Kopie einer primären Zone. Im Gegensatz zu Cache-only-Servern, kann bei sekundären Zonen eine Ausfallsicherheit gewährleistet werden. Ebenso können sie dem Lastenausgleich dienen. Sekundäre Zonen können nicht in Active Directory gespeichert werden, da Active Directory solch einen Typ nicht vorsieht.

2.2

Der Windows Server 2003-DNSBereitstellungsprozess

Um Ihnen den Bereitstellungsprozess zu erleichtern, finden Sie nachfolgend eine Auflistung mit den wichtigsten Designschritten.

1

Überprüfen der Netzwerkinfrastruktur (Netzwerktopologie, Internetanbindung, etc.)

2

Design eines DNS-Namensraums

2.2 Der Windows Server 2003-DNS-Bereitstellungsprozess

73

MCSE Examen 70-294

3

Bestimmen der DNS-Namenserver

4

Design der DNS-Zonen

5

Konfigurieren und Verwalten der DNS-Clients

6

Sichern der DNS-Infrastruktur

7

Integrieren in andere Windows Server System-Applikationen

2.2.1

Überprüfen der Netzwerkinfrastruktur

Eine Überprüfung der Netzwerkinfrastruktur beinhaltet nicht nur die Frage, wer die DNSServer verwalten darf und wo sie stehen, sondern auch, wie bestehende Domänen in eine Microsoft Windows-Domäne eingebaut werden können.

Der Internetauftritt Einige wenige Firmen (IBM, General Electrics usw.) sind seit Beginn des Internets dabei und haben ihr Netzwerk für ihre Zwecke auch im Internet registrieren und damit reservieren lassen. Alle anderen Nutzer können nur einzelne IP-Adressen oder Subnetze registrieren lassen. Für diese IP-Adressen, die ja über den Bereich des lokalen internen Netzwerks hinaus gehen, benötigen Sie für die Namensauflösung einen DNS-Domänennamen und IP-Adressen in Zonendateien auf DNS-Servern im Internet. Als DNS-Server sind zurzeit überwiegend BIND-Server im Einsatz. Die Internetregistrierungsstellen, die Ihren Internetauftritt verwalten, stellen Ihnen folgende Dienstleistung zur Verfügung: T Zuweisen von IP-Adressen T Registrieren von DNS-Domänennamen T Anlegen von öffentlichen Einträgen mit registrierten IP-Adressen und Domänennamen Haben Sie ein lokales Netzwerk, das nicht mit dem Internet verbunden ist, können Sie theoretisch jeden möglichen IP-Adressbereich selbst auswählen. Beachten Sie jedoch, dass es beim Anschluss zum Internet große Probleme geben kann, wenn Sie intern auch öffentliche IP-Adressen verwenden. Router können somit jeden Punkt in und aus dem Netz anwählen. Wenn Sie für Ihr internes Netz einen privaten IP-Adressbereich verwenden, vermeiden Sie Sicherheitslücken. Ein wesentlicher Planungsaspekt stellt sich mit der Frage, wer die DNS-Daten hosten soll. Wollen Sie diese selbst hosten, oder beauftragen Sie Ihren Internetdienstleister (Internet Service Provider, ISP)? Beide Aspekte haben Vor- und Nachteile, und Sie müssen entscheiden, worauf Sie mehr Gewicht legen: Beim »Selberhosten« steuern Sie selbst alle Einträge und haben eine bessere Bandbreitenausnutzung Ihrer Internetleitung. Geben Sie dagegen das Hosten an Ihren ISP ab, sparen Sie Arbeit und müssen keinen extra DNS-Server (Lizenzund Hardwarekosten) vorhalten. Haben Sie das Know-how, dann können Sie auch einen BIND-Server neuerer Version unter Linux kostengünstig einrichten. Diese Konstellation ist gängige Praxis in vielen Firmen.

74



Der DNS-Name Seltsamerweise sind es bei vielen Projekten – sei eine Migration, sei es eine Neukonzeptionierung – gerade die einfachen Themen, die zu kontroversen Debatten innerhalb der Führungsetage und allen Beteiligten führen. Finden Sie einen Namensraum für alle Domänen, mit dem die eigene Belegschaft und auch internationale Partner etwas anfangen können. Schön ist es immer, wenn sich die Firma und deren Philosophie im DNS-Domänennamensraum widerspiegelt. Hat man den Namen gefunden, kann dieser für Microsoft Active Directory-Domänen verwendet werden. Folgende Richtlinien helfen Ihnen bei der Namensgebung: T Wählen Sie leicht einprägsame und eindeutige Computernamen aus. T Clientcomputer können den Namen des Anwenders bekommen. T Servergeräte können Namen bekommen, die den Zweck beschreiben. T Unterscheiden Sie nicht zwischen Groß- und Kleinschreibung. T Verwenden Sie den Active Directory-Domänennamen für das primäre DNS-Suffix des Computernamens. T Verwenden Sie die Internetrichtlinien nach RFC 1123, indem Sie nur ASCII-Zeichen verwenden, sofern Sie nicht Windows 2000 Server oder Windows Server 2003 verwenden.

Die Dokumentation Zeichnen Sie den Ist-Stand vor der Aktualisierung auf Windows Server 2003 auf. Dokumentieren Sie alle Änderungen im Migrationsprojekt. Haben Sie nur eine Domäne, ist dies schnell erledigt; bei 30 Domänen beispielsweise ist die Dokumentation etwas aufwändiger und allein wegen der Größe schon ein Muss.

2.2.2

Design eines DNS-Namensraums

Vor der Bereitstellung einer DNS-Infrastruktur müssen Sie einen DNS-Namensraum entwerfen. Die folgenden Aspekte sollten Sie beachten: T Anforderungen an den DNS-Namensraum T Interne und externe Domänen? T Entscheiden Sie, ob Sie einen internen DNS-Root benötigen. T Namensauflösung für mehrere Topleveldomänen notwendig? T Integrieren Sie Windows Server 2003-DNS in eine bestehende DNS-Struktur? T Erstellen Sie Subdomänen? T Konsolidieren Sie DNS-Namensräume?


75

MCSE Examen 70-294

Anforderungen an den DNS-Namensraum: Der Zusammenhang zwischen DNS und Active Directory Der erste Schritt bei der Planung des DNS-Namensraums ist die Entscheidung, ob ein neuer Namensraum notwendig ist oder nicht. Im letzteren Fall behalten Sie den vorhandenen Namensraum. Ein Namensraum ist eine hierarchisch gegliederte Namensstruktur, in der Namen in einer Art von Bereichen so zusammengefasst sind, dass die Zugehörigkeit eines benannten Objekts zu dem Bereich einfach herausgefunden werden kann. DNS-Domänen und Active Directory-Namensräume können die gleiche Namenskonvention (Erweiterung durch UTF-8) und eine identische Namensstruktur verwenden. Die Folge ist, dass DNS-Knoten und Active Directory-Domänen gleichermaßen präsentiert werden können. In einem DNS-Namensraum speichern Zonen alle Informationen über Namen und Dienste von einer oder mehreren Domänen. Die Zone ist ein zusammengehöriger Bereich eines Namensraums in einer Ressourcendatenbankdatei in einem DNS-Namenserver. Anhand der Zoneninformationen kann der DNS-Server Abfragen, wie die nach DNS-Namen, beantworten. Er hat somit die Autorität, diese DNS-Abfragen für die bestimmte Zone aufzulösen. Ein autorisierender Namenserver hostet immer eine lokale Zonendatei oder ist Active Directory-integriert. Beachten Sie, dass sich zwar Active Directory und Internet die gleiche Namenskonvention teilen, dass jedoch eine Internetdomäne nichts mit einer Active Directory-Domäne zu tun hat.

Abbildung 2.7: Zusammenhang zwischen DNS- und Active Directory-Namensraum (Jedes Dreieck stellt eine Active Directory-Domäne dar.)

76


Ihre Active Directory-Infrastruktur richtet sich nach dem DNS-Namensraum!

Die folgende Tabelle zeigt Ihnen mögliche Szenarien und eine entsprechende DNS-Lösung: Szenario

DNS-Lösung

Sie besitzen eine DNS-Infrastruktur für Windows NT oder Windows 2000 Server mit einem Microsoft Exchange Server.

Eine Änderung des DNS-Namensraums ist für Windows Server 20003 Active Directory nicht erforderlich.

Sie besitzen eine korrekt eingerichtete DNS-Infrastruktur für UNIX/Linux. Es wird ein BIND-Server 8.1.2 oder eine aktuellere Version eingesetzt.

Eine Änderung des DNS-Namensraums ist für Windows Server 20003 Active Directory nicht erforderlich. Eine Integration in Windows Server 2003 ist möglich.

Ihre vorhandene DNS-Software entspricht nicht den standardisierten Richtlinien für DNS-Domänennamen.

Aktualisieren Sie Ihre DNS-Infrastruktur. Wenn Sie vollständig auf eine homogene Windows-Struktur wechseln wollen, können alte DNS-Server später entfernt werden. Richten Sie eine DNS-Infrastruktur nach den Richtlinien für eine Windows Active Directory-Domäne ein.

Sie haben noch kein Netzwerk und wollen eins neu einrichten.

Entwerfen Sie eine logische Namenskonvention für den DNS-Namensraum, die auf den Namenskonventionen für DNS-Domänen beruht.

Sie möchten einen bestehenden Namensraum verändern.

Überprüfen Sie jede Domäne daraufhin, ob der Nutzen den Aufwand rechtfertigt. Eine Konsolidierung ist ein sehr arbeitsaufwändiger Vorgang.

Tabelle 2.5: DNS-Namensräume und der Gebrauch mit Windows Server 2003 Active Directory-Domänen.

Erstellen von internen und externen Domänen Wenn Sie eine Internetpräsenz benötigen – und das ist heutzutage ein Standard –, müssen Sie sowohl einen internen als auch einen externen DNS-Namensraum bereitstellen. Jeden Namensraum müssen Sie separat verwalten. Hierfür haben Sie drei Möglichkeiten: T Für die interne und die externe Domäne kann der gleiche Name verwendet werden. Diese Methode kann zu Problemen bei der Namensauflösung aufgrund nicht eindeutiger Namen führen. Mit dieser Konfiguration ist die Verwaltung sehr schwierig. T Für die interne und die externe Domäne können verschiedene Namen verwendet werden. Auch mit dieser Konfiguration ist die Verwaltung nicht einfach. T Die interne Domäne kann zu einer untergeordneten Domäne der externen Domäne gemacht werden. Diese Konfiguration kann einfach bereitgestellt und verwaltet werden. Die optimale Konfiguration besteht also aus einer gemischten hierarchischen Anordnung der internen und externen DNS-Namensräume. Die interne Domäne ist hierbei der externen Domäne untergeordnet. Heißt Ihre Firma zum Beispiel Biotech AG, kann der externe


77

ACH TUNG


MCSE Examen 70-294

Namensraum biotech.de und der interne intern.biotech.de heißen. Mit der Differenzierung zwischen internen und externen Namensräumen wird sichergestellt, dass FQDNs immer eindeutig sind. Selbstverständlich können Sie unter intern.biotech.de auch noch weitere untergeordnete Domänen einrichten, wie zum Beispiel berlin.intern.biotech.de. Beachten Sie, dass für diese Konfiguration die für das Internet freigegebenen Server innerhalb Ihrer Domäne, aber außerhalb Ihrer Firewall stehen müssen. Falls Sie die interne Domäne nicht als untergeordnete Domäne der externen Domäne konfigurieren, können Sie eine eigenständige Domäne verwenden. Es besteht dann kein Zusammenhang zwischen internen und externen Domänennamen, was unter Umständen zu Missverständnissen innerhalb der Benutzer führen kann. Es gibt keinen Bezug zwischen Ressourcen innerhalb und außerhalb Ihres Firmennetzwerks. Des Weiteren müssen Sie gleich zwei FQDNs über Ihren ISP bei der Internetnamensstelle registrieren lassen. Die dritte Möglichkeit, denselben Domänennamen für den internen und externen Namensraum zu verwenden, verursacht aufgrund nicht eindeutiger DNS-Namen Probleme bei der Namensauflösung. Es kann sein, dass ein Host im internen Namensraum denselben Namen wie ein Host im externen Namensraum (Internet) besitzt. Obwohl Microsoft diese Vorgehensweise offiziell nicht empfiehlt, können Sie sie verwenden. Wenden Sie einen der folgenden Schritte an: T Sie können die Zonendaten vom externen DNS-Server auf den internen DNS-Server kopieren, wenn Ihre Clients Abfragen an externe Server (wie Webserver) durch eine Firewall weiterleiten. T Falls die Clients keine DNS-Abfragen durch die Firewall leiten dürfen, können Sie die öffentlichen DNS-Zonendaten und alle öffentlichen Server auf einen Server in Ihrer Organisation kopieren.

TIPP

T Verwalten Sie eine Liste der öffentlichen Server, die Ihrer Organisation gehören, in der Proxy-Autokonfigurationsdatei, die sich auf jedem DNS-Client befindet. Dies hört sich kompliziert an, kann jedoch mit dem Microsoft ISA-Server einfach durchgeführt werden.

Wählen Sie einen internen Namensraum, und konfigurieren Sie diesen so, dass er dem externen Namensraum untergeordnet ist.

Entscheiden Sie, ob Sie einen internen DNS-Root benötigen Die Entscheidung über einen DNS-Namensraum sollte eine der ersten sein, die Sie bei der Einführung von Active Directory treffen. Die erste Entscheidung ist natürlich die, überhaupt Microsoft-Produkte einzusetzen. Aber das ist natürlich auch ein wenig Firmenphilosophie. Wenn Sie über ein umfangreiches und stark verteiltes Netzwerk und einen komplexen DNSNamensraum verfügen, empfiehlt sich die Trennung des internen vom öffentlichen Namensraum. Dies klingt sofort logisch; Sie müssen allerdings, um dies zu gestalten, mit Aufwendungen für Server und Firewalltechnologie rechnen. Durch einen internen DNS-Namensraum

78



optimieren Sie die Verwaltung, da Sie nun die gesamte interne Infrastruktur so behandeln können, als ob der gesamte Namensraum innerhalb des Netzwerks bestehen würde. Bei einem internen DNS-Stamm wird eine private DNS-Stammzone auf einem oder mehreren DNS-Servern im internen Netzwerk gehostet. Der DNS-Server, der die private Stammzone hostet, wird als autorisierender Server für alle Namen im internen DNS-Namensraum betrachtet. Sie müssen allerdings dafür sorgen, dass Sie keine externen Namen im internen Namensraum verwenden, weil dies wegen der fehlenden Eindeutigkeit selbstverständlich zu Fehlern führt. Die Verwendung eines internen DNS-Stammes bietet Ihnen folgende Vorteile: T Gute Skalierbarkeit T Effiziente Namensauflösung für alle DNS-Clients, da keine Namensauflösungen über das Internet durchgeführt werden müssen.

Wenn Sie allerdings Computer einrichten, die keinen Proxy unterstützen, oder wenn Sie ausschließlich Computer haben, die nur LATs (Local Address Table) unterstützen, können Sie keinen internen Stamm für den DNS-Namensraum verwenden! In diesem Fall müssen Sie mindestens einen internen DNS-Server für das Weiterleiten von Anfragen an das Internet vorsehen. Für diese Aufgabe reicht auch ein Cache-only-DNSServer aus.

Ist eine Namensauflösung für mehrere Topleveldomänen notwendig? Wollen Sie für Windows Server 2003 Active Directory einen DNS-Namensraum zur Verfügung stellen, müssen Sie sicherstellen, dass die interne Namensauflösung korrekt funktioniert. Wenn Sie Domänen oder DNS-Namensräume konsolidieren müssen oder wollen, müssen Sie die DNS-Namensauflösung als Erstes »stehen haben«. Hierzu können Sie eine der folgenden Vorgehensweisen wählen: T Bei einem internen DNS-Stamm fügen Sie Delegierungen für jede DNS-Zone der obersten Ebene zur internen DNS-Stammzone hinzu. T Die DNS-Server, die die Zone der höchsten Hierarchie-Ebene des ersten Namensraums hosten, müssen so konfiguriert werden, dass sie Abfragen an die Server der höchsten Hierarchie-Ebene des zweiten Namensraums weiterleiten. Gleiches gilt ebenfalls für den umgekehrten Fall. Hierfür können Sie auch eine bedingte Weiterleitung verwenden.


79

ACH TUNG

T Keine Weiterleitungen. DNS-Server in einem internen DNS-Namensraum werden mit Stammhinweisen so konfiguriert, dass sie auf die internen DNS-Stammserver zeigen.

MCSE Examen 70-294

Abbildung 2.8: Hosten zweier getrennter Namensräume für intern und extern. Hier ein Beispiel anhand der fiktiven Firma biotech.

T Richten Sie jeweils in DNS-Servern mit den Zonendateien der obersten Hierarchie-Ebene des Namensraums eine sekundäre Zone ein, die eine Kopie des anderen Namensraums darstellt. Somit ist sichergestellt, dass alle DNS-Server in den beiden Namensräumen dieselben Informationen in den Zonendateien hosten. Diese Lösung verursacht allerdings eine hohe Replikationslast zwischen den DNS-Servern. Die DNS-Server selbst benötigen ebenfalls eine höhere Speicherkapazität. Um die Datenverteilung zwischen den separaten Namensräumen zu erleichtern, können Sie Stubzonen verwenden. Beachten Sie jedoch, dass Stubzonen weniger effizient arbeiten als eine bedingte Weiterleitung. Stubzonen sind nur bei Windows Server 2003-Produkten möglich.

Windows Server 2003 DNS und eine bestehende DNS-Struktur Microsoft Windows Server 2003 DNS ist mit den relevanten Internetstandards kompatibel und kann unter einigen Voraussetzungen auch mit anderen DNS-Implementierungen zusammenarbeiten. Je nachdem, welche Funktionen benötigt werden, können diese DNSImplementierungen eingesetzt werden. Weitere Informationen finden Sie in Kapitel 2.1.3.

Erstellen Sie interne und externe Namensräume? Sie entscheiden sich für einen internen und einen externen DNS-Namensraum. Um das Optimum dieser Konstellation zu gewährleisten, wird die interne Domäne der externen Domäne untergeordnet. Sie haben sich für diese Wahl entschieden, da sie Ihnen folgende Vorteile bringt: T Es ist immer sichergestellt, dass interne Domänennamen eindeutig sind. T Es muss lediglich der externe Name registriert werden. T Die Verwaltung ist einfach, da Sie die Verantwortlichkeiten für die interne und die externe Domäne verteilen können. Selbstverständlich können Sie Ihre untergeordnete interne Domäne zur übergeordneten Domäne für andere machen. Die Verwaltung obliegt allein dem »Administrator« des internen Namensraums. Beachten Sie jedoch, dass Sie die Computer, die Sie für den Zugriff über das Internet freigeben möchten, in Ihrer Domäne außerhalb der Internetfirewall bereitstellen. Alle anderen Computer stellen Sie hingegen in Ihrer untergeordneten internen Domäne bereit.

80



Planen und Erstellen von Internetnamen SCHRITT FÜR SCHRITT

Gründet sich heutzutage eine Firma neu oder fusionieren Firmen miteinander, muss nach einem neuen Firmennamen gesucht werden. Hierbei sollten Sie darauf achten, dass Ihre Kunden Ihren neuen Firmennamen am besten intuitiv im Internet finden sollen. Sie müssen nicht nur interne DNS-Namen passend kreieren, damit sich die Mitarbeiter mit Ihrer Firma identifizieren können, sondern Sie müssen auch externe öffentliche Namen finden, die Ihre neue Firma beschreiben, die aber noch nicht von anderer Seite reserviert wurden. Sind Sie international tätig, sollte der Name neben .de mindestens in den Topleveldomänen .net, .com und .org und ihren bevorzugten Länderdomänen vorhanden sein. Fazit: Gehen Sie wie folgt vor:

1

Durchsuchen Sie das Internet, und überprüfen Sie, ob Ihre Wunschnamen verfügbar sind.

2

Überprüfen Sie, ob Sie Ihren Wunschnamen in Deutschland und in den gewünschten Ländern verwenden dürfen.

3

Ggf. müssen Sie den Namen käuflich erwerben oder gerichtlich gegen sog. Domänengrabber (Sammler) vorgehen.

4

Wenn die Punkte 1 und 2 erfüllt sind, melden Sie Ihre Internetdomänen und Ihre Firma an.

5

Bauen Sie Ihre Namensräume auf, indem Sie interne Namensräume und den externen Namensraum verwenden (im Einzelfall kann auch eine andere Konstellation verwendet werden).

Eine komfortable Suche nach freien Domänennamen ist zum Beispiel unter www.whois.sc oder unter www.icann.com (Internet Corporation for Assigned Names and Numbers) möglich.

NetBIOS-Namen und DNS-Namen Eine Besonderheit von Microsoft-Netzwerken ist die NetBIOS-Namensunterstützung. Für die Namensauflösung von NetBIOS gilt, dass sie voreingestellt über einen Broadcast an alle Mitglieder des gleichen Netzwerksegments gesendet wird. Haben Sie mehrere Netzwerksegmente, müsste ein Router den Broadcast durchlassen, was zu einem erhöhten unsinnigen Netzwerkverkehr führen würde. Vielmehr platziert man WINS-Server oder WINS-Proxies in die Segmente, um eine Datenbank für die Namensauflösung zu schaffen, ähnlich wie bei DNS. Leider sind DNS und WINS nicht kompatibel zueinander. Microsoft DNS kann jedoch mit WINS zusammenarbeiten, sodass DNS WINS-Abfragen tätigen kann.


81

MCSE Examen 70-294

Abbildung 2.9: NetBIOS muss bei jedem Computer über die Netzwerkkarteneigenschaften separat deaktiviert werden. Da ausschließlich mit DNS gearbeitet wird, können Sie die LMHOSTS-Abfrage ebenfalls deaktivieren. Beide Einstellungen sind standardmäßig aktiviert.

Funktioniert die Namensauflösung über WINS (alternativ kann man auch eine Namensauflösung über LMHosts durchführen) nicht, können die Computer jeweils nur sich im jeweiligen Segment wiederfinden. Andere Computer in anderen Segmenten können nicht gefunden werden, da in der Regel der Router diesen Netzwerkverkehr blockiert. Ohne WINS muss das Netzwerk auf Active Directory zurückgreifen, denn diesesbekommt seine Namen über DNS. Diese besondere Konstellation von WINS und DNS ist im Kursbuch über »MCSE Windows Server 2003-Netzwerkinfrastruktur« näher erläutert. Müssen Sie eine gewisse Abwärtskompatibilität zu Windows NT sicherstellen, sind Sie auf WINS angewiesen. Windows Server 2003 DNS kann mit WINS zusammenarbeiten. Wenn Sie Windows 2000 Server, Workstation oder Windows XP sowie Windows Server 2003Produkte verwenden, können Sie ohne die NetBIOS-Unterstützung arbeiten. Entsprechend brauchen Sie sich keine Gedanken über den NetBIOS-Namen Ihrer Domäne zu machen. Andernfalls beachten Sie bitte, dass folgende Bedingungen gelten: T Nicht zulässig sind Zahlen, Leerzeichen, Unicode-Zeichen sowie die Symbole: / \ < > [ ] : | + = ; , ? und *). T Die maximale Länge des Namens beträgt 15 Zeichen. Für Windows Server 2003 gilt RFC 2181, das heißt, dass DNS-Namen um beliebige Binärzeichenfolgen erweitert sind. Diese Binärzeichenfolgen müssen nicht als ASCII interpretiert werden. Des Weiteren gilt RFC 2044, das die Unterstützung der UTF-8-Zeichencodierung regelt. Windows 2000 Server und Windows Server 2003 unterstützen diesen Standard. Der 82



Andere Versionen von DNS unterstützen nur Zeichen, die nach RFC 1123 zugelassen sind. Verwenden Sie daher UTF-8-Zeichensätze nur dann, wenn ausschließlich Windows Server 2003 (und Windows 2000 Server) im Einsatz sind. Anders formuliert: Sie dürfen UTF-8 nicht im Internet verwenden.

Konsolidieren Sie DNS-Namensräume? Das Zusammenführen von DNS-Namensräumen kommt insbesondere dann häufig vor, wenn zwei Organisationen mit unterschiedlichen Namensräumen fusionieren. Eine Umstrukturierung des gesamten Namensraums wäre unwirtschaftlich, daher greift man auf Methoden zurück, durch Weiterleitungen usw. den Namensraum zusammenwachsen zu lassen. Entscheiden Sie auf der Grundlage von internen/externen Namensräumen, und entscheiden Sie, welche Domänen übergeordnete Instanzen für andere Domänen darstellen sollen.

Fallstudie: Vergabe von Namensräumen und FQDN Situationsbeschreibung Die Firma Maschinenbau Müller GmbH plant für ihre Businesspartner und Kunden einen eigenen Internetserver im Haus. Der Internetserver soll durch einen Router und eine Firewall einen direkten Zugang zum Internet haben und soll auch von dort erreicht werden. Man entscheidet sich, eine Internetdomäne mit einem aussagekräftigen Namen zu suchen. Die Firma Müller ist eine kleine mittelständische Firma mit 50 Angestellten, die insgesamt 60 Clientcomputer und 10 Server verwenden. Die Firma Müller ist ein Zulieferer eines großen Automobilkonzerns. Abbildung 2.10 zeigt den Aufbau eines Netzwerks. Die Namen der Computer und die IP-Adressen des Perimeternetzwerks müssen noch bestimmt werden. Das Intranet (lokale Netzwerk) besitzt einen privaten Adressbereich (192.168.1.0/24), der

bereits feststeht. Der interne Name der Windows Server 2003-Domäne steht bereits – aus historischen Gründen – mit mueller.de fest. Das Perimeternetzwerk soll eine öffentliche IP-Netz-Adresse und der Internetserver eine feste öffentliche IP-Adresse bekommen. Man entscheidet sich auch, dass der gesuchte Internet Service Provider (ISP) dem Administrator der Müller GmbH so viel Arbeit wie möglich abnehmen soll. Folgende Aufgaben sind durchzuführen: T Festlegen des Namensraums bzw. der Namensräume T Festlegen der FQDNs für den Internetserver T Festlegen der IP-Adressen für den Internetserver T Kommunikation mit dem ISP über die Namensverwaltung


83

HIN WEIS

UTF-8-Zeichensatz ermöglicht den Übergang von NetBIOS-Namen zu DNS-Namen. Standardmäßig wird die Multibyte-UTF-8-Namensüberprüfung verwendet.

MCSE Examen 70-294

Abbildung 2.10: Beispiel für eine Firma mit einem eigenen Internetserver

Situationsanalyse

mueller.de zu nennen, da dieser Name noch verfügbar ist.

Vorgehensweise Subnetz

Somit liegt folgender Fall vor:

Nach einer Angebotsphase erhält der Provider den Zuschlag, der die geeignete Bandbreite per SDSL zur Verfügung stellt. Die Firma Maschinenbau Müller GmbH mietet das Nutzungsrecht für ein Subnetz mit den IP-Adressen 194.128.11.32/28 von ihrem Internet Service Provider (ISP). Der Administrator der Müller GmbH bestimmt, dass der Router die IP-Adresse 194.128.11.33 und der Internetserver die Adresse 194.128.11.34 erhält. Vorgehensweise Namensraum Da Umlaute im Domänennamen nicht möglich sind, entscheidet man sich für die Kurzform mueller.de. Nach einer Prüfung findet man heraus, dass die gewünschte Domäne in Deutschland vergeben ist. Man einigt sich, die Internetdomäne maschinen-

84

T Externer Namensraum: maschinen-mueller.de T Interner Namensraum: mueller.de Vorgehensweise DNS-Server/Zonen Laut Vorgaben verwaltet der ISP den externen Namensraum von maschinenmueller.de. Er trägt die gewünschten Daten (R-Records für den Internetserver) in die Zonendatei für seinen Kunden ein. Der DNS-Server des ISP kommuniziert im Namensraum des Internets mit anderen DNS-Servern. Die Müller GmbH besitzt keinen eigenen DNS-Server in ihrem öffentlichen Subnetz, da die Firma sich ja entschieden hat, den Aufwand möglichst gering zu halten.



Da Mitarbeiter jedoch direkten Zugriff auf den Internetserver benötigen, muss in irgendeiner Weise der interne DNS-Server Kenntnis von seiner IP-Adresse und seinem Namen erhalten. Dies kann auf unterschiedliche Weise geschehen: T Bei einem internen DNS-Stamm mueller.de fügen Sie Delegierungen für die DNS-Zone maschinen-mueller.de zur internen DNS-Stammzone hinzu. T Die DNS-Server, die die Zone der höchsten Hierarchie-Ebene des Namensraums mueller.de hosten, müssen so konfiguriert werden, dass sie Abfragen an die Server der höchsten Hierarchie-Ebene des zweiten Namensraums – hier beim Internetprovider – weiterleiten. Sie können auch eine bedingte Weiterleitung verwenden. Eine nicht so schöne, aber funktionierende Lösung ist es auch, eine neue Zone in der höchsten Hierarchie-Ebene des Namensraums mueller.de zu erstellen, die nur einen A-Record (Name und IP-Adresse) des Internethosts enthält. Dieser Vorschlag ist bei einem so kleinen Netzwerk, wie es bei der Beispielfirma gegeben ist, akzeptabel. Vorgehensweise FQDN Nachdem ein externer Domänenname gefunden worden ist, können die Netzwerkcomputer im Perimeternetzwerk nach dem neuen Namensraum benannt werden. Damit der Internetserver für die eigene Belegschaft auch freigegeben wird, muss eine DNS-Namensauflösung für die internen Computer funktionieren. In der Zonendatei der externen Domäne wird dem Internetserver ein interner und ein externer Name gegeben.

Üblicherweise wählt man als externen Namen (FQDN) www.maschinen-mueller.de. Beim internen Namen entscheidet man sich für den frei wählbaren Namen asterix.mueller.de. Der Name asterix.mueller.de ist der eigentliche FQDN, und www.mueller.de ist der zugehörige Aliasname. Der Aliasname soll hier der Internetname sein. Mitarbeiter können den Internetserver sowohl über den WWWNamen als auch über den internen Namen ansprechen. Vorgehensweise bei der DNSNamensauflösung Im DNS-Server beim Internetprovider wird der externe Internetname der Adresse 194.128.11.34/28 zugewiesen. Dieser Name wird auf jeden Internetserver auf der Welt repliziert. Jeder Internetbenutzer weltweit kann nun diesen Server finden, indem er in seinem Browser den Namen www.maschinen-mueller.de angibt. Diskussion: Warum hat man sich für eine getrennte Namensauflösung entschieden? Microsoft präferiert getrennte Namensräume, unterteilt in einen externen und einen internen Namensraum. Der interne Namensraum soll dem externen untergeordnet sein. Da mueller.de als Domänenname für die bereits existierende Domäne vorgegeben ist, konnte diese Option nicht mehr gewählt werden. Ansonsten müssten Sie die Domäne umbenennen, was selbstverständlich mit viel Arbeit verbunden ist.


85

MCSE Examen 70-294

Bliebe noch die Option, die Internetdomäne und die Windows Server 2003Domäne gleich zu benennen. Diese Option würde auch funktionieren, Sie müssen jedoch darauf achten, dass es zu keinen Überschneidungen mit den verwendeten Namen kommt. Beachten Sie, dass die Firma Maschinenbau Müller GmbH eine relativ kleine Firma ist.

Zusammenfassung T Der Internetserver wurde für das Internet mit dem FQDN www.maschinenmueller.de benannt. T Für den internen Zugriff kann der Name asterix.mueller.de verwendet werden. T Der interne Namensraum lautet mueller.de, während der externe Namensraum maschinen-mueller.de ist. Beide Namensräume sind voneinander getrennt.

Abbildung 2.11: Eine mögliche Lösung für eine externe- und interne Namensauflösung

86



Fallstudie: Fusion zweier Namensräume Situationsbeschreibung Dieses Beispiel stammt aus Microsoft-Quellen und soll Sie gezielt auf die Prüfung vorbereiten: Die Firma Contoso Corporation fusioniert mit der Firma Acquired Corporation. Beide Firmen besaßen schon vor der Fusion einen eigenen Internetauftritt. Vor der Fusion verwendete jedes Unternehmen interne Domänen, die jeweils untergeordnete Domänen der externen Domänen waren. Die Contoso Corporation benutzte für ihre DNS-Serververwaltung einen privaten Stamm. Die Firma Acquired Corporation leitete Abfragen an das Internet weiter, anstatt einen privaten Stamm zu verwenden. Es wurden auch keine Ausschlusslisten oder PAC-Dateien verwendet. Aufgabe Die Namensräume sollen zusammengeführt werden.

Situationsanalyse Lösung Der externe Namensraum des neuen, fusionierten Unternehmens enthält die Zonen contoso.com und acquired.com. Jede Zone im externen Namensraum enthält die DNS-Ressourceneinträge, die die Unternehmen im Internet bereitstellen möchten. Der interne Namensraum enthält entsprechend die internen Zonen corp.contoso.com und corp.acquired.com. Beide Firmenteile entscheiden sich, eine unterschiedliche Methode zum Auflösen von Namen in ihren jeweiligen Namensräumen einzusetzen. Der Acquire-Teil soll wei-

terhin Anfragen direkt über das Internet weiterleiten. Der Contoso-Unternehmensteil verwendet den Namen contoso.com extern und entsprechend corp.contoso.com intern. Die internen Root-Server hosten die Stammzone (Rootzone) sowie die interne Zone corp.contoso.com. Damit nun jeder DNS-Client innerhalb der fusionierten Organisation den gewünschten DNS-Namen auflösen kann, enthält die private Stammzone corp.acquired.com eine Delegation zu der Toplevelzone der fusionierten Organisation des internen Namensraums. Wie in Abbildung 2.12 zu erkennen ist, verwenden Clients der corp.contoso.com einen Proxyserver. Dieser wird für seine Namensauflösung den externen DNS-Server mit den beiden externen Zonen für contoso.com und acquired.com verwenden. Die Stammserver enthalten eine Delegierung zu der obersten Ebene des DNS-Namensraums der Unternehmenseinheit Acquired. Mit dieser Delegierung sind sie in der Lage, interne Namen von Acquired direkt und rekursiv zu beantworten, indem sie einen DNS-Server von corp.acquired.com abfragen. Wie man ebenfalls aus Abbildung 2.12 erkennt, fragen die internen DNS-Clients den internen DNS-Server, wenn sie Zugriff auf einen internen Computer benötigen. Enthält der angefragte DNS-Server nicht die gewünschten Daten, kann er durch eine rekursive Abfrage an andere interne DNS-Server den gewünschten internen Namen auflösen. Externe Namen können nicht aufgelöst werden, was für die Sicherheit im Netz spricht.


87

MCSE Examen 70-294

Abbildung 2.12: Namensauflösung für den Unternehmensteil Contoso: Zugriff eines Clients auf die externe Domäne bzw. auf das Internet

Wenn Clients einen Webzugriff oder einen Zugriff auf externe Computer der Firma Contoso durchführen müssen, verwenden Sie aus o.g. Sicherheitsgründen einen Proxyserver (zum Beispiel den Microsoft ISA Server oder einen Linux Squid Server). Dieser sendet eine ganz normale interaktive Anfrage an seinen bevorzugten DNS-Server (ExternDNS.contoso.com). Für Computer aus dem Internet gilt, dass sie alle externen Namen von Contoso und Acquired, aber keine internen Namen (was zur Sicherheit des Netzwerks beiträgt) abfragen können. Falls Clients von Contoso einen Zugriff auf Computer in dem Unternehmensteil Acquire benötigen, muss eine zusätzliche

88

Verbindung zu dem internen DNS-Server von Acquire bestehen. Dies geschieht durch eine bedingte Weiterleitung. Sie erleichtert den Administratoren von Acquire die Verwaltungsarbeit. Wichtig für das folgende Modell ist, dass der interne DNS-Server von Acquire keine Stammzone besitzt. Er kann daher sonstige Abfragen direkt in das Internet bzw. zu externen Stammservern weiterleiten. Achtung Jeder DNS-Client kann nur einen bevorzugten DNS-Server bedienen. Nur wenn dieser ausfällt, kann ein weiterer DNSServer abgefragt werden



Abbildung 2.13: Namensauflösung für Clients aus dem Acquire-Unternehmensteil.

2.2.3

Design von DNS-Servern und Zonen

Nachdem Namensräume festgelegt worden sind, kann mit dem Design von DNS-Servern und Zonen begonnen werden. Wenn Sie Ihre DNS-Server planen, müssen Sie folgende Schritte beachten: 1. Prüfen Sie, welche Hardware hierfür bereitsteht. 2. Bestimmen Sie, wie viele DNS-Server Sie benötigen und an welchen Standorten sie stehen sollen.

Hardwarevoraussetzungen für DNS-Server Laut Empfehlung von Microsoft sollte folgende Hardware (oder ähnlich leistungsfähige) für einen DNS-Server vorgesehen werden: T Computer mit zwei Prozessoren mit 400-MHz-Pentium II-CPUs T 256 MB RAM für jeden Prozessor T Eine Festplatte mit 4 GB Speicher 2.2 Der Windows Server 2003-DNS-Bereitstellungsprozess

89

MCSE Examen 70-294

Es liegt auf der Hand, dass die Leistung mit stärkeren Prozessoren, Festplatten und mehr Hauptspeicher vergrößert wird. Jeder Ressourceneintrag benötigt ca. 100 Bytes RAM.

Anzahl DNS-Server Um Ihren Verwaltungsaufwand zu verringern und eine Ausfallsicherheit sicherzustellen, sollten Sie mindestens zwei autorisierende DNS-Server für jede Zone festlegen. Zusätzliche Server für eine Zone können Sie einrichten, wenn Sie diese mit sekundären Zonen oder Active Directory-integrierten Zonen konfigurieren. Als Messlatte für die Leistungsfähigkeit eines DNS-Servers können Sie die dynamischen Aktualisierungen pro Sekunde heranziehen. Beispielsweise kann schon ein PIII-basierender Computer auf mehr als 10.000 Abfragen pro Sekunde reagieren.

ACH TUNG

Wenn Sie Zonen delegieren, fügen Sie zusätzliche DNS-Server zum Verarbeiten der delegierten Zonen hinzu. Beachten Sie jedoch, dass Sie keine Zonen delegieren müssen, wenn Sie über mehrere Zonen verfügen. Da ein Windows Server 2003 theoretisch 200.000 Zonen (mit 6 Ressourceneinträgen) hosten kann, können auch mehrere Zonen auf einem DNS-Server gehostet werden.

Wenn Sie Zonen in Active Directory integrieren wollen, muss sich der DNS-Server auf einem Domänencontroller befinden! Wägen Sie bitte immer den Replikationsverkehr bei Zonenübertragungen gegen den Datenverkehr bei iterativen/rekursiven Abfragen ab, auch wenn es sich positiv auswirkt, dass der DNS-Dienst eine inkrementelle Zonenübertragung unterstützt. In Verbindung mit DHCP, wo sich u.U. Leases oft verändern, kann dieses Leistungsmerkmal nicht nur die Replikation beschleunigen, sondern auch die Netzauslastung senken helfen. Entscheiden Sie auch nach den Vorgaben Ihrer Netzwerktopologie. Wenn Sie über ein geroutetes LAN mit hoher Netzbandbreite verfügen, sind weniger DNS-Server notwendig, als wenn Sie viele eigenständige Segmente haben. Da geroutete LANs heutzutage Standard sind, kann somit die Topologie fast vernachlässigt werden. Um die Ausfallsicherheit wichtiger Netzteile zu gewährleisten, kommen Sie jedoch nicht umhin, DNS-Server in die jeweiligen (wichtigen) Segmente zu stellen. Wenn Sie einen umfangreichen Namensraum mit vielen Clients verwalten, kommen Sie auf eine primäre und relativ viele sekundäre Zonen. Dies wird u.U. zu Überlastungen am primären DNS-Masternamenserver führen. Sie können dieses Problem folgendermaßen lösen: T Verwenden Sie einige der sekundären Server als Masterserver für die Zone. T Verringern Sie das Aktualisierungsintervall zu den sekundären Servern, wenn sich selten etwas an den Namen ändert. T Erstellen Sie Cache-only-Server.

90



Standort des DNS-Servers Da Sie immer auf eine maximale Verfügbarkeit Ihrer DNS-Server achten müssen, müssen Sie ein sog. Einzelpunktversagen ausschließen. Daher sollten Sie zur Verbesserung der Fehlertoleranz und Leistung mindestens zwei DNS-Server für jede Zone als autorisierende Server einrichten. Dabei platzieren Sie DNS-Server in verschiedene Subnetze, wenn Sie nur über ein lokales Netzwerk verfügen. Falls Ihr Netz aus einem WAN und einem LAN besteht, platzieren Sie die DNS-Server, die für jede Zone autorisierend sind, in verschiedene Netze. Wenn Sie ganz sichergehen wollen, dass die Namensauflösung nicht ausfällt, sollten Sie in jedem Subnetz mindestens einen DNS-Server einrichten. Die DNS-Clients sind dann nicht mehr auf die Funktionsfähigkeit von Routern angewiesen, vorausgesetzt, diese routen die DNS-Fragen weiter zu einem DNS-Server in einem anderen Netzwerksegment.

Es empfiehlt sich, in jedem Active Directory-Standort (Site) mindestens einen DNS-Server zu platzieren. Der Standort kann sich auch über mehrere Subnetze erstrecken. Um die Ausfallsicherheit von Internetservern zu erhöhen, empfiehlt Microsoft den Einsatz von Offsite-DNS-Servern. Auch hier können Sie sich für primäre und sekundäre OffsiteDNS-Server entscheiden. Bedenken Sie jedoch den administrativen Aufwand, um diese Server gegenüber Hackerangriffe sicher zu machen. Seltsamerweise werden Offsite-Server auch dann von Microsoft empfohlen, wenn keine Internetpräsenz vorliegt.

2.2.4

Design von DNS-Zonen

Windows Server 2003-DNS-Zonentypen erfüllen jeweils einen bestimmten Zweck. Steht Ihr Namensraum und die Anzahl der DNS-Server fest, müssen Sie die Rolle der DNS-Server festlegen. Sie haben folgende Auswahl: T Primäre Zonen T Sekundäre Zonen T Stubzonen T Reverse-Lookupzonen Primäre Zonen, Reverse-Lookupzonen und Stubzonen können Sie in das Active Directory integrieren. Sie benötigen hierfür jedoch immer einen Domänencontroller mit einem DNSServer. Sekundäre Zonen können Sie dagegen nicht in das Active Directory integrieren. Reverse-Lookupzonen sind nicht für die Funktion von Active Directory erforderlich. 2.2 Der Windows Server 2003-DNS-Bereitstellungsprozess

91

TIPP

Wenn Sie ein Einzelpunktversagen in Ihrem Netzwerk entdecken, dann müssen Sie zunächst feststellen, ob der Fehler nur das DNS oder die gesamten Netzwerkdienste betrifft. Beachten Sie, dass die Active Directory-Dienste einen funktionierenden Namenserver benötigen. Clients greifen auf DNS zurück, um Domänencontroller ausfindig zu machen! Der Exchange Server funktioniert zwar auch ohne einen Namensdienst, doch er kann u.U. keine E-Mails versenden.

MCSE Examen 70-294

Fazit: Entscheiden Sie ebenfalls nach T Ausfallsicherheit T Lastenausgleich

HIN WEIS

T Netzlast, verursacht durch Replikation

Weitere Informationen zu den Zonen finden Sie in den vorangegangenen Kapiteln und im Werk »MCSE Windows Server 2003-Netzwerkinfrastruktur«.

2.2.5

Konfigurieren und Verwalten der DNS-Clients

Bei der Installation von Windows 2000/XP Professional-, Windows 2000 Server- und Windows Server 2003-basierenden Computern wird standardmäßig immer der DNS-Clientdienst installiert. Er wird beim Booten des Betriebssystems gestartet. Zudem muss in den Netzwerkeinstellungen der Netzwerkkarte die IP-Adresse von einem oder mehreren DNS-Servern eingegeben werden. Beachten Sie, dass es immer nur einen einzigen bevorzugten DNS-Server gibt. Das gilt auch dann, wenn Sie mehrere DNS-Server eintragen. Der alternative DNS-Server wird nur dann vom DNS-Client abgefragt, wenn der primäre DNS-Server nicht verfügbar ist. Wählen Sie für den primären DNS-Server einen Server im lokalen Subnetz aus oder einen, der gut zu erreichen ist.

TIPP

Per Default wird die DNS-Suffixsuchliste auf Grundlage des primären DNS-Suffixes des Clients und anhand von verbindungsspezifischen DNS-Suffixen aufgefüllt. Diese DNS-Suffixsuchliste können Sie mithilfe des DNS-Managers oder einer Gruppenrichtlinie ändern. Schränken Sie die Größe der Suffixsuchliste ein, um den Netzwerkverkehr zu minimieren.

Der Windows Server 2003 enthält einen verbesserten Satz von Gruppenrichtlinien, mit denen die Verwaltung von DNS-Clients vereinfacht wird.

2.2.6

Sichern der DNS-Infrastruktur

Als das Domain Name System (DNS) entworfen wurde, dachte man noch nicht an die Risiken, die mittlerweile im Internet vorkommen. Der Schutz vor Angriffen wurde nicht richtig bedacht. Die Risiken im Internet vollständig aufzuführen, würde den Umfang des Buchs sprengen. Deshalb sind hier nur einige wichtige Sicherheitsrisikenaufgeführt. T Denial-of-Service-(DoS-)Angriff (Angriff auf den Dienst durch Überlastung) T Footprinting (Auslesen von Informationen, die auf Typ, Aufgabe usw. schließen lassen) T Datenmodifizierung (als Folge von Footprinting) bzw. IP-Spoofing T Umleitung (um Anwendern z.B. falsche Internetseiten zu präsentieren)

92



Entwickeln einer Sicherheitsrichtlinie Typischerweise besitzt (bei Microsoft) die Standardinstallation eine geringe Sicherheit. Das hat einerseits den Vorteil, dass der Server immer gleich erfolgreich läuft, andererseits aber bietet er ab der ersten Stunde potenziellen Angreifern die Möglichkeit, Ihren Server zu hacken. Bei der Installation werden bei Computergeräten, die mehrere Netzwerkkarten besitzen, standardmäßig alle IP-Adressen verwendet. Die Rekursion ist ebenfalls aktiviert. Unter Zuhilfenahme der Rekursion können Angreifer durch DoS-Attacken den Server lahm legen. Des Weiteren findet man Hinweise auf das Stammverzeichnis. Durch das Bearbeiten der Stammserverliste werden die internen DNS-Server daran gehindert, private Informationen über das Internet zu senden. Bedenken Sie auch, dass DNS-Server, die auch gleichzeitig Domänencontroller sind, eine DACL (Discretionary Access Control List) führen. Sie konfigurieren die DACL über das Active Directory-Objekt MicrosoftDNS oder über die DNSManagementkonsole, wobei letztere Methode empfohlen wird. Tabelle 2.6 gibt Ihnen einen Überblick über die gefährdeten Bereiche und die empfohlenen Maßnahmen. Gefährdete Bereiche

Maßnahme

Namensraum

Trennen Sie die interne von der externen Namensauflösung. Ein Mittel kann der Entwurf eines externen Namensraums sein.

Server

Modifizieren Sie die Standardeinstellungen für den DNS-Serverdienst in den Eigenschaften des Serverobjekts.

Zone

Modifizieren Sie die Standardeinstellungen für die Zonen in den Eigenschaften der jeweiligen Zone. Hier kann zum Beispiel auf sichere dynamische Updates zurückgegriffen werden.

Ressourceneintrag

Verwenden Sie DNS-Sicherheitsfunktionen von Active Directoryintegrierten Zonen auf einem Domänencontroller.

DNS-Client

Steuern Sie die IP-Adressen der DNS-Clients.

Tabelle 2.6: Sichern von DNS

TIPP

Bei der Absicherung des DNS-Server spricht Microsoft von drei Sicherheitsstufen: Niedrig, Mittel und Hoch.

Sicherheitsrichtlinien sind ein wichtiges Prüfungsthema.


93

MCSE Examen 70-294

DNS-Sicherheitsrichtlinie niedriger Sicherheitsstufe Die niedrigste Stufe entspricht, wie bereits erwähnt, oft der Einstellung, die Sie nach der Installation vorfinden. Sie haben also keine nennenswerten Sicherheitsvorkehrungen getroffen. Daher sollten Sie diese Konfiguration nur in solchen Netzwerkumgebungen verwenden, die Sie als vertrauenswürdig erachten. T Der Zugriff auf DNS-Server ist nicht beschränkt. Alle, einschließlich Clients und andere DNS-Server, können vom Internet aus auf den DNS-Server zugreifen. T Alle DNS-Server im Netzwerk führen für jeden anfragenden Client eine DNS-Auflösung aus. Es gibt keine Beschränkung auf vertrauenswürdige Clients. T Alle Server lassen Zonenübertragungen an beliebige Server zu. T Der DNS hört alle auf einem Computergerät möglichen IP-Adressen. T Die Funktion zur Vermeidung von Zwischenspeicherbeschädigung ist auf allen DNS-Servern deaktiviert. T Die Weiterleitung und dynamische Aktualisierung ist für alle DNS-Zonen möglich. T Beachten Sie auch, dass das Computergerät über keinerlei Firewall verfügt. Daher ist der DNS-Port 53 sowohl für UDP (User Datagram Protocol) als auch für TCP offen.

DNS-Sicherheitsrichtlinie mittlerer Sicherheitsstufe Microsoft definiert die mittlere Sicherheitsstufe für Server, die ohne eine Active DirectoryIntegration laufen, aber folgende Merkmale aufweisen: T Der Zugriff auf die DNS-Server ist teilweise beschränkt. Auf die DNS-Server Ihrer Organisation darf vom Internet aus – von bestimmten DNS-Servern – zugegriffen werden. T Damit die Namensauflösung versuchen kann, alle gewünschten Namen aufzulösen, sind alle DNS-Server für die Verwendung von Weiterleitungen konfiguriert. T DNS-Server übertragen Zonen nur an vertrauenswürdige DNS-Server. Diese Server sind die eingetragenen Namenserver. T DNS-Server werden für das Abhören von bestimmten IP-Adressen konfiguriert. Eine dynamische Aktualisierung der IP-Adressen ist nicht zulässig. T Der Einsatz einer Firewall schützt das interne Netzwerk vor unerlaubten Zugriffen von außen. T Der Zugriff auf das Internet erfolgt über einen Proxyserver. Der interne E-Mail-Server erhält bzw. sendet über ein SMTP/POP3-Gateway Mails in das Internet.

94



DNS-Sicherheitsrichtlinie hoher Sicherheitsstufe Microsoft definiert die hohe Sicherheit so, dass zu den Standardeinstellungen die Sicherheitsfunktionen für Active Directory-integrierte Zonen verwendet werden. Die mittlere Sicherheitsstufe wird insofern verschärft, als keine Kommunikation mit dem Internet mehr möglich ist. Folgende Merkmale werden dieser Sicherheitsstufe zugeschrieben: T Es gibt keine Kommunikation der DNS-Server mit dem Internet. Daraus folgt, dass es auch keinerlei Zonenübertragungen und Abfragen in das Internet gibt. T Sie verwenden einen internen autarken DNS-Stamm. T Die autorisierenden DNS-Server sind alle interne DNS-Server. T Die Funktion zur Vermeidung von Zwischenspeicherbeschädigung ist auf allen DNSServern aktiviert. T Dadurch, dass sich der DNS-Server auf einem Domänencontroller befindet, werden nur Active Directory-integrierte Zonen verwendet. So kann der Zugriff über die DACL gesteuert werden. Daraus resultiert, dass nur Berechtigungen für die Zone in Form von Erstellen, Löschen oder Ändern definiert werden können.

Sichern Sie Ihren Server ab, bevor Sie ihn ins Netzwerk stellen. Dies ist insbesondere im Internet wichtig.

2.2.7

Arbeitsweise von DNS mit Active Directory

Der folgende Teil beschreibt Besonderheiten, die beim Gebrauch und bei der Integration in Active Directory in Erscheinung treten.

Verwendung von DNS, um Domänencontroller zu finden SCHRITT FÜR SCHRITT

Damit sich ein Computer an einer Active Directory-Domäne anmelden kann, muss er einen Domänencomputer finden. Das könnte er zwar mit Hilfe eines Broadcasts tun, doch diese Methode funktioniert über geroutete Netzwerke nicht und verursacht außerdem noch viel Netzwerkverkehr. Je mehr Netzwerkverkehr auftritt, desto länger sind auch die Antwortzeiten des gesuchten Servers. Microsoft hat aus Fehlern der Vergangenheit gelernt und die Domänencontrollerdienstinformationen in DNS integriert. Clients benötigen in den Netzwerkeigenschaften bzw. in den Eigenschaften der Netzwerkkarte die IP-Adresse des bevorzugten DNS-Servers. Abbildung 2.14 verdeutlicht den Anmeldevorgang über den Anmeldedienst (Net Logon Service) eines Mitglieds einer Domäne.


95

TIPP

T Die sichere dynamische Aktualisierung ist aktiviert.

MCSE Examen 70-294

Abbildung 2.14: So finden Clients den Domänencontroller.

1

Ein Benutzer meldet sich interaktiv an einem Clientcomputer an, der Mitglied der Active Directory-Domäne ist. Der Anmeldedienst auf dem Clientcomputer initiiert eine Domänensuche und startet die DsGetDcName API (Application Programming Interface).

2

Der Anmeldedienst sammelt Informationen über den Client und den benötigten Dienst, um diese Informationen in die DNS-Abfrage zu integrieren. Hierbei sammelt die DsGetDcName API Informationen über den Standort, den Domänennamen und den Computernamen. Entsprechend lauten die DsGetDcName-API-Parameter SiteName, DomainName und ComputerName. Des Weiteren wird festgelegt, dass der Domänencontroller ein LDAP-Server der Domäne ist, wo sich auch der Client befindet. Auch die Informationen, dass der Domänencontroller ein KDC (Key Distribution Center) oder ein globaler Katalogserver ist, werden spezifiziert.

3

Der Anmeldedienst sendet eine DNS-Abfrage (DNS query) zum DNS-Server. Diese enthält die in Schritt 2 gesammelten Informationen.

4

Der DNS-Server fragt die Zonendatenbank nach SRV-Ressourceneinträgen ab, die zu der gesendeten Abfrage passen.

5

Der DNS-Server sendet eine Liste von IP-Adressen mit Domänencontrollern mit allen Informationen über die ursprüngliche Abfrage.

6

Der Anmeldedienst des Clients sendet ein spezielles Datagramm, eine LDAP-UDPMeldung, zu einem oder mehreren Domänencontrollern, um festzustellen, ob die gewünschten Dienste verfügbar sind.

7

Jeder verfügbare Domänencontroller antwortet auf das Datagramm, um dem Client anzuzeigen, dass er ein potenzieller Anmeldeserver ist. Die zuerst erhaltene Verfügbarkeitsmeldung wird der DsGetDcName API zugeführt.

96



Der Clientcomputer wählt denjenigen Domänencontroller aus, der zuerst antwortet und den gesuchten Kriterien für die Dienste entspricht.

HIN WEIS

8

Ein Clientcomputer benötigt folgende SRV-Ressourceneinträge: T T T T

_gc _kerberos _kpasswd _ldap

Vorteile einer Active Directory-Integration Wenn Sie Active Directory verwenden, empfiehlt Ihnen Microsoft die Integration von DNSZonen. Falls Sie sich für Active Directory-integrierte Zonen entscheiden, nutzen Sie folgende Vorteile: T Erhöhung der Fehlertoleranz, weil jede Active Directory-integrierte Zone innerhalb der Gesamtstruktur repliziert werden kann. Die Replikation erfolgt über die Active Directory-Mechanismen und nicht über Einstellungen in der Zone. T Zonen können mit der sicheren dynamischen Aktualisierung geschützt werden. T Der Netzwerkverkehr verringert sich, da nur die veränderten oder neuen Informationen repliziert werden. Einen kleinen Nachteil hat diese Vorgehensweise jedoch: Sie benötigen einen Domänencontroller mit einem DNS-Server.

Replikation von DNS-Zonen Wenn Sie sich gegen eine Integration in Active Directory entscheiden, müssen Sie Folgendes beachten: T Die DNS-Replikation beruht auf dem Prinzip des Einzelmastermodells. Fällt ein primärer DNS-Server mit seiner primären Zone aus, kann dies ein Einzelpunktversagen für die gesamte Zone bedeuten. T Überwachen Sie Ihre primären DNS-Server, und stellen Sie immer den laufenden Betrieb sicher. Sie können Active Directory-integrierte Zonen und dateibasierte Zonen miteinander kombinieren. Für einen DNS-Server, der beispielsweise für Ihre private Stammzone autorisierend ist, können Sie auch ein anderes Betriebssystem als Windows Server 2003 oder Windows 2000 Server verwenden. Das trifft für BIND-Server genauso zu wie für Windows NT 4.0 Server. Diese Servertypen können nur dateibasierte Zonen hosten. Diese Zonen können Sie »anbinden«, indem Sie sie an einen beliebigen Active-Directory-Domänencontroller mit DNS-Server delegieren.


97

MCSE Examen 70-294

Falls Sie Active Directory-integrierte Zonen in einer Windows Server 2003-Domäne verwenden, müssen Sie einen Active Directory-integrierten Zonenreplikationsbereich mithilfe der Managementkonsole auswählen. Beachten Sie weiterhin, dass die Auswahl eines großen Replikationsbereichs auch einen erhöhten Netzwerkverkehr zur Folge hat. Sollten Sie sich entscheiden, die Zonendaten an alle DNS-Server in der Gesamtstruktur zu replizieren, kann das eine sehr hohe Netzlast erzeugen. Sie sollten daher immer bestrebt sein, den Replikationsverkehr zu minimieren, indem Sie den Bereich so klein wie möglich, aber so groß wie notwendig gestalten. Die folgenden Replikationsoptionen für Windows Server 2003-basierte Domänencontroller helfen Ihnen dabei. Replikationsoption

Beschreibung

Alle DNS-Server in der Active Directory-Gesamtstruktur

Die Zonendateien werden an alle DNS-Server (Domänencontroller) repliziert. Sie haben den breitesten Replikationsbereich ausgewählt und erzeugen den größten Replikationsverkehr. Sie können diese Option nur dann auswählen, wenn alle DNS-Server Windows Server 2003 ausführen und eine Active Directory-integrierte Kopie der Zone hosten.

Alle DNS-Server in einer angegebenen Active Directory-Domäne

Die Zonendateien werden nur an diejenigen Domänencontroller in der angegebenen Domäne repliziert. Diese Option ist die Standardeinstellung für die Active Directory-integrierte DNS-Zonenreplikation. Sie schränken mit dieser Option den Zonenreplikationsverkehr ein. Beachten Sie auch hier, dass Zonendaten nicht an DNS-Server repliziert werden, die sich auf Windows 2000-basierten Domänencontrollern befinden.

Alle Domänencontroller in der Active DirectoryDomäne

Die Zonendaten werden an alle Domänencontroller in der angegebenen Active Directory-Domäne repliziert. Dies geschieht unabhängig davon, ob ein DNS-Server auf dem jeweiligen Domänencontroller in der Domäne ausgeführt wird. Diese Möglichkeit steht Ihnen zur Verfügung, wenn Sie Windows 2000-basierte Domänencontroller haben.

Alle Domänencontroller, die im Replikationsbereich einer Anwendungsverzeichnispartition angegeben wurden

Die Zonendaten werden an alle Domänencontroller repliziert, die im Replikationsbereich der Anwendungsverzeichnispartition angegeben wurden. Diese Option kann den Replikationsverkehr effektiv minimieren. Sie benötigen hierfür Windows Server 2003-basierte Domänencontroller mit dem DNS-Serverdienst.

Tabelle 2.7: Replikationsoptionen für Windows Server 2003-basierte DNS-Server, die als Domänencontroller eingerichtet sind

Die Aktualisierung (Update) der DNS-Namen Betriebssysteme wie die folgenden aktualisieren ihren DNS-Namen (Fully Qualified Domain Name, FQDN) automatisch beim Booten, Anmelden usw. an der Domäne in der Zonendatenbank des DNS-Servers: T Windows Server 2003-Familie T Windows 2000 Server-Familie T Windows 2000 und XP Professional

98



Für diese Computer besteht der primäre FQDN aus dem sog. primären DNS-Suffix und dem Computernamen. Wenn Sie den Aktualisierungsvorgang näher betrachten, können Sie feststellen, dass dieser immer dann auftritt, wenn: T Der Computer neu startet. T Eine Adresse hinzugefügt, entfernt oder modifiziert wird. T Ein IP-Adress-Lease sich ändert oder erneuert wird. T Manuell ipconfig /registerdns in die Eingabeaufforderung eingegeben wird. T Ein Mitgliedsserver zum Domänencontroller heraufgestuft wird. Durch ein dynamisches Update ist eine manuelle Verwaltung von Zoneneinträgen, wie A-Records für die Clients nicht mehr notwendig. Dynamische Updates sind in RFC 2136 beschrieben und stellen eine wesentliche Erleichterung bei der Verwaltung dar. Der DNSServerdienst bietet die Möglichkeit, dynamische Updates auf Zonenbasis auf jedem Server zu aktivieren oder zu deaktivieren. Der DNS-Client versucht jedoch nicht standardmäßig dynamische Updates zu Zonen der obersten Ebene durchzuführen. Für diesen Fall müssen Sie entweder die Registrierung ändern oder die Richtlinieneinstellung »Domänenzonen der obersten Ebene aktualisieren« verwenden. Zusätzlich wird dieses Feature noch erweitert, wenn die Zone Active Directory-integriert ist. Mit Hilfe der ACL können Sie dann festlegen, welche Computer ein Update durchführen dürfen. Beachten Sie, dass bei der Verwendung von DHCP nicht der DNS-, sondern der DHCP-Clientservice ein dynamisches Update triggert. Der dynamische Updateprozess von DHCP-Clients unterscheidet sich von dem hier beschriebenen dynamischen Update über DNS.

Abbildung 2.15: Dynamische Updates können in den Eigenschaften der betreffenden Zonen eingestellt werden.


99

MCSE Examen 70-294

Prinzipiell gibt es drei verschiedene Arten, ein Update durchzuführen (siehe auch Abbildung 2.15): T Dynamisches Update für alle Computer. In der Einstellung KEINE können Updates von nicht vertrauenswürdigen Quellen angenommen werden. T Nicht sicheres und sicheres dynamisches Update T Zulassen von nur sicheren Updates für Domänenmitglieder

Integration von DHCP in DNS Ein DHCP-Server, der auf einem Windows Server 2003 läuft, kann dynamische Updates im DNS-Namensraum für jeden Client durchführen, der diese Updates unterstützt. Eine dynamische Aktualisierung findet immer dann statt, wenn eine Änderung der DHCP-zugewiesenen Adresse stattfindet. Die Aktualisierung betrifft nicht nur A-Records, sondern auch PTR-Records. Für diesen Vorgang wird eine zusätzliche DHCP-Option benötigt, die Client-FQDN-Option (Option 81). Diese Option ermöglicht es dem Client, den zugehörigen FQDN und Anweisungen zur Verarbeitung von DNS-dynamischen Aktualisierungen dem DHCP-Server zur Verfügung zu stellen.

HIN WEIS

Eine praktische neue Seite beim DHCP-Server ist die Unterstützung von Computergeräten mit Windows-Betriebssystemen, die keine dynamische Aktualisierung unterstützen. Diese sog. Legacy-Clients, die nicht in der Lage sind, die Option 81 an den DHCP-Server zu senden, können so konfiguriert werden, dass sie ähnlich wie die modernen Clients eine dynamische Aktualisierung bekommen. Somit können auch hier A- und PTR-Records der Clients verändert bzw. verworfen werden, wenn der Clientlease sich verändert und der Lease gelöscht wird.

Der DHCP-Clientservice ist wegen der Integration in dem DNS-Server auch dann notwendig, wenn der Computer nicht als DHCP-Client konfiguriert wird. Stellen Sie den DHCP-Clientservice ab, können keine dynamischen Updates mehr stattfinden. Auch der Befehl ipconfig /registerdns funktioniert dann nicht mehr. Mehr Infos zum DHCP-Dienst finden Sie in dieser Reihe im MCSE-Kursbuch »Windows Server 2003-Netzwerkinfrastruktur« zur Prüfung 70-291.

Sichere dynamische Updates Sichere dynamische Updates sind nur für Active Directory-integrierte Zonen verfügbar. Nachdem Sie diesen Zonentyp erstellt haben, können Sie je nach Bedarf die ACL (Access Control List) editieren, um den Zugriff auf diese Zone zu steuern. Voreingestellt behandeln Windows Server 2003-Computer ein sicheres dynamisches Update wie folgt: T Einstellung Nicht sichere und sichere: Windows Server 2003-DNS-Clients versuchen zuerst eine nicht sichere Aktualisierung durchzuführen. Falls dies fehlschlägt versuchen sie es mit einer sicheren. Bei der Aktualisierung sind die Clients in der Lage, eine bestehende Konfiguration zu überschreiben (Standard).

100



T Einstellung Nur sichere: Wie die Bezeichnung schon treffend beschreibt, dürfen nur sichere Updates von vertrauenswürdigen Clients durchgeführt werden. Wer als vertrauenswürdig gilt, können Sie über die Access Control Lists steuern.

Wenn Sie eine Standard-Zone verwenden, also keine Active Directory-integrierte Zone, ist kein dynamisches Update voreingestellt.

2.2.8

Integration von Windows Server System-Applikationen

Der Microsoft DNS-Server bietet Ihnen eine Vielzahl von Integrationsmöglichkeiten. Auf einige, wie die Integration in Zonen auf BIND-Servern ist bereits eingegangen worden. Andere, wie die Zusammenarbeit mit WINS und DHCP, werden Sie in den folgenden Abschnitten kennen lernen. Besonderes Augenmerk ist hierbei auf die Neuerungen von Windows Server 2003 gelegt worden.

Besonderheiten der Integration von DNS in DHCP Wenn Sie für die dynamische Verteilung von IP-Adressen in Ihrem Netzwerk DHCP (Dynamic Host Configuration Protocol) einsetzen, müssen Sie dieses so konfigurieren, dass alle DHCP-Clients neben einer gültigen IP-Adresse auch Informationen über den DNS-Server erhalten. Weiterhin sollten die DHCP-Clients auch eine dynmische IP-Adressenaktualisierung durchführen können. Dieses Feature ist im RFC 2136 (»Dynamic Updates in the Domain Name System«) beschrieben. Als DHCP-Server dürfen Sie Windows 2000 Server- und Windows Server 2003-Produkte verwenden. Sie können über die dynamische Aktualisierung A- und PTR-Ressourceneinträge erstellen bzw. aktualisieren. Zum Löschen der veralteten Einträge muss jedoch die Alterungsund Aufräumfunktion aktiviert werden. Bei der dynamischen Aktualisierung wird die FQDN-Option 81 verwendet. Sie erst ermöglicht, dass der DHCP-Client seinen FQDN (Fully Qualified Domain Name) bereitstellen kann. Des Weiteren wird auch beschrieben, wie dynamische Aktualisierungen vom DHCPServer verarbeitet werden sollen. Der DHCP-Server ist in der Lage, T sowohl DNS-A-Einträge für Forward-Lookupzonen als auch PTR-Einträge für ReverseLookupzonen zu aktualisieren (mit Option 81). T DNS-A- und PTR-Einträge unabhängig von der Anforderung des Clients zu aktualisieren. Sehr vorteilhaft ist es auch, dass für Windows NT-Clients eine dynamische Aktualisierung möglich ist.


101

HIN WEIS

Nachdem eine Zone in eine Active Directory-integrierte Zone umgewandelt wurde, sind nur sichere dynamische Updates zulässig.

MCSE Examen 70-294

Abbildung 2.16: Konfigurieren des DHCP-Servers im Snap-In DHCP

Besonderheiten für die Integration von WINS in DNS Das Microsoft Windows Internet Name System (WINS) stellt die dynamische Variante der NetBIOS-Namensauflösung dar. Sie kann anstelle einer LMHOSTS-Datei verwendet werden. Sie benötigen WINS nur dann, wenn Sie eine NetBIOS-Namensauflösung über mehrere Subnetze tätigen müssen.

HIN WEIS

Da es früher keine dynamische Aktualisierung bzw. Registrierung von Windows NT- oder Windows 98-Clients (oder von noch älteren Versionen) gab, konnte man einen WINSLookup verwenden, damit die A-Ressourceneinträge in der Zone erstellt und aktualisiert wurden. Über einen Reverse-Lookup konnten analog dazu PTR-Ressourceneinträge erstellt und aktualisiert werden.

WINS-Server sind in einem modernen Netzwerk, das aus Betriebssystemen der Windows 2000- und Windows Server 2003-Produktfamilie besteht, nicht notwendig. Ein Abschalten hat hier den Vorteil, dass die TCP- und UDP-Ports 137 geschlossen werden können.

102



2.3

Einrichten eines DNS-Servers

Das Einrichten eines DNS-Servers ist, wie bei vielen Microsoft-Diensten unproblematisch. Direkt nach der Installation kann er seine Arbeit aufnehmen. Zu beachten ist jedoch, dass anfangs auch alle sicherheitskritischen Einstellungen aktiviert sind. Bevor Sie jedoch den DNS-Dienst installieren, überprüfen Sie die Netzwerkverbindung zu anderen Hosts. Dies können Sie mit dem Dienstprogramm ping in der EINGABEAUFFORDERUNG zu einigen ausgesuchten Computern durchführen. Somit gehen Sie sicher, dass alle Clients den DNS-Server über die IP-Adresse finden können. Weiterhin dürfen Sie einem DNS-Server keine dynamische IP-Adresse über DHCP vergeben, da er auch bei Ausfall des DHCP-Servers verfügbar sein muss. Entsprechend bekommt der DNS-Server eine statische IP-Adresse zugeteilt.

2.3.1

Installation

Mit einer der folgenden zwei Methoden können Sie einen DNS-Server installieren: 1. Über die Systemsteuerung unter SOFTWARE und WINDOWS KOMPONENTEN HINZUFÜGEN. Anschließend können Sie mit dem Assistenten für die DNS-Serverkonfiguration Lookup- und/oder Reverse-Lookupzonen erstellen und konfigurieren. 2. Während der Installation eines Domänencontrollers. Er wird nicht nur automatisch installiert, sondern auch für den Gebrauch von Active Directory korrekt konfiguriert. Dieser Vorgang erspart Ihnen Zeit und vermeidet zudem Fehler.

Abbildung 2.17: Das manuelle Installieren von DNS erfolgt an gewohnter Stelle über die Systemsteuerung.

2.3 Einrichten eines DNS-Servers

103

MCSE Examen 70-294

2.3.2

Werkzeuge zur Konfiguration

Neben der normalen Administration über die Managementkonsole (Snap-In dnsmgmt.msc) kann der DNS-Server auch über folgende Programme konfiguriert werden: T Mit dem Kommandozeilenprogramm DNSCmd.exe T Mit einem VB-Script oder anderen Scriptsprachen, die den WMI-(Windows Management Instrumentation)-Anbieter verwenden Insbesondere mit dem Kommandozeilenprogramm DNSCmd.exe kann eine Konfiguration per Batchdatei schnell und einfach durchgeführt werden.

Das Kommandozeilenprogramm DNSCmd.exe Das folgende Programm eignet sich für den späteren Gebrauch in Projekten sehr gut und wird Ihnen daher als zusätzliche Information kurz vorgestellt. Das Kommandozeilenprogramm DNSCmd finden Sie in den Support-Tools von Microsoft, die sich neben dem Betriebssystem ebenfalls auf der Installations-CD befinden. Das Tool zeigt und ändert die Eigenschaften eines DNS-Servers. Dies betrifft Zonen genauso wie Ressourceneinträge (Records). DNSCmd erweitert das bereits von Windows NT bekannte Dienstprogramm DNSStat.exe. Sie können das Programm wie folgt starten: dnscmd <ServerName> Kommando [Kommando-Parameter]

Hier können Sie als Servernamen sowohl die IP-Adresse als auch den DNS-Namen des Hosts angeben. Die folgenden Kommandos sind zulässig: Kommando

Kurzbeschreibung

/Info

Anzeigen von Konfigurationseinstellungen, wie Domänenname oder DS-Container.

/Config

Anhand von insgesamt 47 Kommandoparametern können Server- und Zoneneinstellungen angepasst werden. Der Parameter /Config erlaubt eine Änderung der Werte in der Registrierung (Registry).

/EnumZones

Gibt eine Liste von Zonen heraus.

/Statistics

Fragt oder löscht die DNS-Serverstatistik mit dem entsprechenden Kommandoparameter.

/ClearCache

Löscht den DNS-Server-Cache.

/WriteBackFiles

Diese Operation aktualisiert solche Zonen, bei denen Änderungen im Arbeitspeicher noch nicht in den nicht flüchtigen Speicher (persistent storage) geschrieben wurden. Die Operation kann alle oder nur bestimmte Zonen überprüfen.

Tabelle 2.8: Befehlssatz von DNSCmd.exe

104



Kommando

Kurzbeschreibung

/StartScavenging

Dieser Parameter bestimmt, wann ein Server mit dem Aufräumen dieser Zone beginnen kann.

/ResetListenAddresses

Verändert die bestehende IP-Adresse unter Angabe einer neuen Adresse, auf die der DNS-Server hört.

/ResetForwarders

Stellt den DNS-Server so ein, dass er rekursive Anfragen zu einem bestimmten Forwarder sendet. Einstellungen, ob der DNS-Server iterative Anfragen tätigt oder nicht, sind ebenso möglich.

/ZoneInfo

Zeigt Zoneninformationen an.

/ZoneAdd

Fügt eine neue Zone auf dem DNS-Server hinzu. Sie können angeben, welcher Art (Active Directory-integriert etc.) die Zone sein soll.

/ZoneDelete

Löscht eine bestehende Zone auf dem DNS-Server oder in Active Directory.

/ZonePause

Pausiert die Zone: Alle Anfragen an die DNS-Zone werden ignoriert.

/ZoneResume

Startet die Zone, die vorher pausierte.

/ZoneReload

Der Befehl kopiert die Zoneninformationen von seiner Quelle (Zonendatei oder Verzeichnisdienst) in den Arbeitsspeicher.

/ZoneWriteBack

Ähnlich wie das Kommando /WriteBackFiles; mit der Ausnahme, dass hier nur eine spezifische Zone ausgewählt wird.

/ZoneRefresh

Bewirkt die Aktualisierung einer sekundären Zone.

/ZoneUpdateFromDs

Bewirkt eine Aktualisierung der Active Directory-integrierten Zone. Dieser Vorgang geschieht voreingestellt alle 5 Minuten mit der normalen Aktualisierung des Active Directory.

/ZonePrint

Zeigt alle Ressourceneinträge in der spezifizierten Zone an.

/ZoneResetType

Ändert den Zonentyp einer bestimmten angegebenen Zone nachträglich. Falls der DNS-Server sich auf einem Domänencontroller befindet, kann die Zone Active Directory-integriert werden.

/ZoneResetSecondaries

Gibt eine Liste von IP-Adressen an, auf die der Masterserver antwortet, sobald er einen Zonentransfer starten soll.

/ZoneResetScavengeServers

Betrifft den Aufräumvorgang: Ändert die IP-Adresse des oder derjenigen Server, die den Aufräumvorgang der bestimmten Zone durchführen dürfen.

/ZoneResetMasters

Verändert die IP-Adresse des Masterservers auf Servern, die sekundäre Zonen hosten. Der Wert für die IP-Adresse des Masterservers wird erstmalig beim Erstellen einer sekundären Zone in die Eigenschaften der Zone eingetragen.

Tabelle 2.8: Befehlssatz von DNSCmd.exe (Forts.)


105

MCSE Examen 70-294

Kommando

Kurzbeschreibung

/ZoneExport

Erstellt eine Textdatei mit den Inhalten der betreffenden Zone.

/ZoneChangeDirectoryPartition

Ändert die Verzeichnispartition, auf der sich die bestimmte Zone befindet: Mögliche Speicherorte sind die Domänen- oder Gesamtstruktur-Verzeichnispartitionen. Eine sog. Legacy-Partition für Prä-Windows Active Directory-Domänencontroller ist ebenfalls möglich.

/EnumRecords

Listet alle Ressourceneinträge einer bestimmten Zone auf.

/RecordAdd

Fügt einen Ressourceneintrag einer Zone hinzu. Alle Ressourceneintragstypen werden unterstützt (A-Record, MX-Record usw.).

/RecordDelete

Entfernt einen Ressourceneintrag.

/NodeDelete

Entfernt alle Ressourceneinträge auf einem Host (also Vorsicht!).

/AgeAllRecords

Diese Operation dient der Abwärtskompatibilität zu älteren DNS-Servern, bei denen ein Aufräumvorgang (Scavenging) nicht unterstützt wird. Der Eintrag fügt dem Ressourceneintrag einen Zeitstempel (time stamp) mit der aktuellen Zeit hinzu.

/EnumDirectoryPartitions

Listet alle Verzeichnispartitionen auf.

/DirectoryPartitionInfo

Zeigt Informationen über eine bestimmte Verzeichnispartition an.

/CreateDirectoryPartition

Erstellt eine Anwendungsverzeichnispartition von DNS. Beachten Sie, dass bei der Installation von DNS eine Anwendungsverzeichnispartition für den Dienst auf Domänen- und Gesamtstrukturebene erstellt wird. Mit der Operation /CreateDirectoryPartition können Sie noch weitere Verzeichnispartitionen hinzufügen.

/DeleteDirectoryPartition

Löscht eine Anwendungsverzeichnispartition.

/EnlistDirectoryPartition

Fügt den DNS-Server zu einem bestimmten Replikationsbereich, der für die Verzeichnispartition zuständig ist, hinzu. Der FQDN der Verzeichnispartition ist als Eingabe notwendig.

/UnenlistDirectoryPartition

Stellt die Umkehroperation zu /EnlistDirectoryPartition dar und entfernt den DNS-Server aus dem Replikationsbereich.

/CreateBuiltinDirectoryPartitions

Falls Sie irrtümlich die Standard-Anwendungsverzeichnispartitionen gelöscht haben, können Sie sie mit diesem Kommando wiederherstellen.

Tabelle 2.8: Befehlssatz von DNSCmd.exe (Forts.)

Das folgende Beispiel zeigt Ihnen die Verwendung dieses Dienstprogramms. Hierbei ist Berlin.de eine DNS-Zone: dnscmd berlin.de /enumzones

106



Wenn Sie das Ergebnis in eine Textdatei exportiert haben wollen, müssen Sie folgenden Befehl in der Kommandozeileneingabe eingeben: dnscmd berlin.de /enumzones > Textdatei.txt

Sie bekommen für die Zone Berlin.de folgende Ausgabe: Enumerated zone list: Zone count = 4 Zone name . _msdcs.Berlin.de 0.168.192.in-addr.arpa Berlin.de

Type Cache Primary Primary Primary

Storage File AD-Forest File AD-Legacy

Properties Secure Rev

Command completed successfully. Listing 2.2: Ausgabe der Zonen nach Installation eines Active Directory (Überprüfung der Installation)

Wie Sie aus dem oben gezeigten Listing erkennen können, besitzt der DNS-Server folgende Zonen, wobei Domänenname der benutzerdefinierte Name der DNS-Domäne, bzw. der Active Directory-Domäne ist: T _msdcs.Domänenname T 0.168.192.in-addr.arpa T Domänenname

2.3.3

Wichtige Verwaltungsarbeiten

Dieses Teilkapitel setzt voraus, dass Sie sich mit Active Directory-Strukturen und insbesondere Domänencontrollerfunktionen, wie globale Katalogserver, Key Distribution Server usw., auskennen. Hier wird lediglich auf die Besonderheiten in Verbindung mit Active Directory hingewiesen. Für mehr Informationen hinsichtlich des DNS-Servers sind das »Windows Server 2000 Resource Kit« und das MSCE-Kursbuch zur Prüfung 70-291 zu empfehlen.


107

HIN WEIS

Das Verwalten und Einrichten eines DNS-Servers geschieht in der Regel im Verwaltungsprogramm DNS bzw. im Snap-In dnsmgmt.msc.

MCSE Examen 70-294

Einrichten eines DNS-Stammservers Nach der Installation ist der DNS-Server automatisch immer als Stammserver konfiguriert. Wenn Sie keinen Stammserver benötigen, müssen Sie die Stammzone löschen.

Abbildung 2.18: Verwaltung des DNS-Servers über die Managementkonsole: Stammzonen beim Windows DNS-Server

Überprüfen einer DNS-Server-Installation Nach der Installation eines Active Directory können Sie überprüfen, ob der DNS-Server ordnungsgemäß läuft und konfiguriert ist. Falls Sie eine automatische Konfiguration durch den Assistenten zum Installieren von Active Directory vornehmen lassen, enthält der DNS-Server nicht nur die gewünschte Zone, sondern auch alle notwendigen SRV-Ressourceneinträge.

Abbildung 2.19: Überprüfung der neu erstellten Zone (berlin.de stellt hier den internen Namensraum dar.)

108



Überprüfung der SRV-Ressourceneintragsformate Damit die Active Directory-Dienste ordnungsgemäß funktionieren können, muss der DNSServer Service Resource Records (SRV-Records) unterstützen. SRV-Records erlauben es Clientcomputern, den Domänencontroller zu lokalisieren, denn sie müssen sich auf diesem mit Ihrem Computerkonto authentifizieren. Mit den SRV-Records wird ein Server als Domänencontroller identifiziert. Daher enthält ein SRV-Record nicht nur den Computernamen, sondern auch den Namen des Dienstes und weitere dienstspezifische Angaben. Mit einem SRV-Ressourceneintrag (SRV-Record) können Sie: T einen Domänencontroller in einer Active Directory-Domäne oder -Gesamtstruktur identifizieren. T einen Domänencontroller (Abkürzung dc) in seinem Standort identifizieren. T einen Domänencontroller, der als Globaler Katalog Server (Abkürzung gc) definiert ist, identifizieren. T einen Domänencontroller mit dem Kerberos Key Distribution Center-(KDC-)Service identifizieren. Domänencontroller (gemeint sind hier nur Domänencontroller der Windows 2000 Serverund Windows Server 2003-Familie) registrieren somit folgende SRV-Records im DNS-Dienst: SRV-Recordtypen

Beschreibung

ldap._tcp.DnsDomainName

Ermöglicht es Computern, einen LDAP-Server in der Domäne zu finden. Alle Domänencontroller besitzen diesen Eintrag.

ldap._tcp.SiteName._sites.dc. _msdcs.DnsDomainName

Ermöglicht es Computern, einen Domänencontroller in dem gleichen Standort (wie der Computer) zu finden. Alle Domänencontroller besitzen diesen Eintrag.

gc._tcp.DnsForestName

Ermöglicht es Computern, einen globalen Katalogserver zu finden. Beachten Sie, dass der Domänenname der Name der Stammdomäne (forest root domain) ist. Nur Domänencontroller, die als globale Katalogserver konfiguriert sind, bekommen diesen Eintrag.

gc._tcp.SiteName._sites. DnsForestName

Ermöglicht es Computern, einen globalen Katalogserver in dem gleichen Standort (Site) zu finden. Nur Domänencontroller, die als globale Katalogserver konfiguriert sind, bekommen diesen Eintrag.

_kerberos._tcp. DnsDomainName

Ermöglicht es Computern, einen KDC-Server in der gleichen Domäne zu finden. Da auf allen Domänencontrollern auch der Kerberos V5-Dienst läuft, besitzen sie ebenfalls diesen Eintrag.

_kerberos._tcp.SiteName. _sites.DnsDomainName

Ermöglicht es Computern, einen KDC-Server in dem gleichen Standort zu finden. Alle Domänencontroller besitzen diesen Eintrag.

Tabelle 2.9: Kurzbeschreibung der SRV-Records


109

MCSE Examen 70-294

Ein SRV-Ressourceneintrag verwendet ein definiertes Format. Dieses lautet: _service_.protocol.name TTL class SRV priority weight port target

Beispiel: _gc._tcp 600 IN SRV 0 100 3268 server01.berlin.de Listing 2.3: Syntax und Anwendung des SRV-Recordformats.

Feld (deutsche Übersetzung)

Beschreibung

_Service (Dienst)

Beschreibt den Namen des Dienstes (wie beispielsweise LDAP oder Kerberos), den der Server unterstützt.

_Protocol (Protokoll)

Beschreibt den Typ des Transportprotokolls (wie TCP oder UDP).

Name (Domäne)

Beschreibt den Domänennamen.

TTL (Gültigkeitsdauer)

Time to Live: Gibt in Sekunden an, wie lange der Wert ohne Überprüfung gültig ist.

Class

Beschreibt den Standardressourceneintragsklassenwert. Dieser beträgt immer »IN« für das Internet System.

Priority (Priorität)

Beschreibt die Priorität. Clients wenden sich immer an den Host mit der niedrigsten Priorität.

Weight (Gewichtung)

Beschreibt einen Lastverteilungsmechanismus, den Clients verwenden, wenn sie einen Zielhost suchen. Falls der Wert für das Gewicht für zwei Computer der gleiche ist, wählen Clients einen davon nach einem Zufallsprinzip aus. Ansonsten wird der SRV-Record mit dem höchsten Gewicht ausgewählt.

Port (Portnummer)

Gibt den Port (Anschluss) an, der für diesen Dienst vorgesehen ist. Liegt eine Firewall zwischen dem Client und dem Server, muss die Firewall diesen Port für den entsprechenden Dienst freigeben.

Target (Host, der diesen Dienst anbietet)

Beschreibt den FQDN des Computers, der den entsprechenden Dienst unterstützt.

Tabelle 2.10: Beschreibung der Parameter eines SRV-Ressourceneintrags

110



Neben Active Directory-Domänencontrollern kann ein Netzwerk auch Computer enthalten, die nicht Windows-Server sind, aber als LDAP-Server konfiguriert sind. Diese Server bekommen in den entsprechenden Zonen die SRV-Records zur Dienstidentifizierung hinzugefügt.

HIN WEIS

Abbildung 2.20: Darstellung der Eigenschaften eines SRV-Records eines Domänencontrollers

Anwendungsverzeichnispartitionen Anwendungsverzeichnispartitionen für Active Directory-integrierte DNS-Zonen werden zur Reduzierung von Replikationsverkehr verwendet. Sie verringern ebenso die Menge der Daten, die in einem globalen Katalog gespeichert werden. Anwendungsverzeichnispartitionen sind ein Feature von Windows Server 2003. Wenn Sie eine Aktualisierung von Windows 2000-basierten Domänencontrollern vornehmen, verschieben Sie die Active Directory-integrierten DNS-Daten auf allen DNS-Servern von der Domänenpartition zu der neu erstellten Anwendungsverzeichnispartition. Dieser Schritt ist vorgenommen, wenn Sie den Replikationsbereich der DNS-Zonen verändern.

Stellen Sie bei einem Migrationsprojekt zu Windows Server 2003 vor der Verschiebung der DNS-Daten auf eine Anwendungsverzeichnispartition sicher, dass der Domänennamenmaster (Domain Naming Master) sich auf einem Windows Server 2003-Domänencontroller befindet.


111

ACH TUNG

Sie können DNS-Zonen, die Sie zu allen DNS-Servern in der Gesamtstruktur (Forest) replizieren wollen, in die gesamtstrukturweiten DNS-Anwendungsverzeichnispartitionen verschieben. Diese Anwendungsverzeichnispartitionen haben die Bezeichnung ForestDnsZone.

MCSE Examen 70-294

Sollte die _msdcs.forest_root_domain als separate Zone nicht vorhanden sein, benötigen Sie keinen Verschiebevorgang, da die DNS-Daten bereits mit der Stammdomänenzone zu der domänenweiten Anwendungsverzeichnispartition DomainDnsZones verschoben worden sind. Diese speziellen Partitionen werden automatisch bei der Installation einer Gesamtstruktur in jeder Active Directory-integrierten DNS-Zone installiert. Falls das Einrichten der Anwendungsverzeichnispartition fehlschlägt, versucht der DNS-Dienst sie jedes Mal neu zu erstellen, sobald der Dienst neu gestartet wird. Die folgenden Anwendungsverzeichnispartitionen werden voreingestellt installiert: T ForestDnsZones für den Geltungsbereich Gesamtstruktur T DomainDnsZones für den Geltungsbereich Domäne

Abbildung 2.21: Anwendungsverzeichnispartitionen bei einer Active Directory-integrierten DNS-Zone

Die besondere Rolle der Zone _msdcs.ForestName Dieser Abschnitt beschreibt die besondere Rolle der Zone _msdcs.ForestName, die immer benötigt wird, wenn ein Upgrade von Windows 2000 Server auf Windows Server 2003 erfolgt, aber auch immer installiert wird, wenn der Assistent für die Installation des Active Directory (dcpromo.exe) den DNS-Server konfiguriert. In diesen Fällen wird automatisch eine Forward-Lookupzone erstellt, die das Präfix _msdcs enthält und den Namen der Gesamtstruktur (ForestName). Wenn, wie in den o.g. Beispielen beschrieben, als Name der Gesamtstruktur berlin.de gewählt wurde, heißt die entsprechende Zone dann _msdcs.berlin.de.

112



Die zweite erstellte Zone entspricht einer normalen, für die Domäne erstellten Zone, wie Sie es auch von Windows 2000 Server her kennen. Diese Zone stellt die Microsoft-Stammdomäne (Root Forest Domain) dar. Sie wird zwischen den DNS-Servern bzw. den Domänencontrollern der Domäne synchronisiert. Die Beschreibung dieser Zone können Sie in den vorangegangenen Abschnitten nachlesen. Die _msdcs.ForestName-Zone ist in der gesamtstrukturweiten Anwendungsverzeichnispartition gespeichert. Wenn Sie einen Windows 2000 Server- zu einem Windows Server 2003- Domänencontroller aktualisieren wollen, benötigen Sie keine Modifizierungen an der DNS-Zonenkonfiguration. Die _msdcs.ForestName-Zone wird auf einem der folgenden Wege gespeichert: T Fall 1: Die _msdcs.ForestName-Zone ist eine Subdomäne der Active Directory-integrierten Stammdomänenzone. Die sekundären _msdcs.ForestName-Zonen sind in Ihren untergeordneten Domänen gespeichert, falls diese vorhanden sind. T Fall 2: Die _msdcs.ForestName-Zone ist eine Subdomäne in Ihrer Active Directory-integrierten Stammdomänenzone. Nachdem alle DNS-Server in der Stammdomäne mit dem Windows Server 2003-DNSServer-Dienst laufen, konfigurieren Sie Ihre Gesamtstrukturzone so, dass sie in einer Active Directory-integrierten domänenweiten Anwendungsverzeichnispartition gespeichert ist. Alternativ können Sie auch eine Directory-integrierte gesamtstrukturweite Anwendungsverzeichnispartition einrichten, falls Sie diese benötigen.

Abbildung 2.22: Darstellung der _msdcs.ForestName-Zone


113

MCSE Examen 70-294

Zusammenfassung In der Lernzielkontrolle werden Sie neben Übungen zur Prüfung auch Fragen und die Antworten zu Prüfungsfragen finden. Das Kapitel 2 hat Ihnen den Zusammenhang zwischen DNS-Namensauflösung und Active Directory Services vermittelt. Hierbei wurde ein besonderer Schwerpunkt auf T das Grundverständnis von DNS, T die Funktion und T die Integration in Active Directory gelegt. Berücksichtigen Sie folgende entscheidende Punkte im Hinblick auf eine Active DirectoryInstallation: 1. Bevor Sie eine Active Directory-Struktur planen, konzipieren Sie den DNS-Namensraum! Identifizieren Sie den Namen, den Sie oder Ihre Firma für die Verwendung im Internet hat registrieren lassen. 2. Falls Sie einen Internetauftritt haben oder planen, sollten Sie unterschiedliche Namensräume für interne und externe DNS-Namen verwenden. Wählen Sie am besten eine untergeordnete Domäne des externen Namens für Ihre Microsoft-Stammdomäne. 3. Verwenden Sie für Computer, die im Internet freigegeben sind, externe DNS-Namen und von ihnen verschiedene interne DNS-Namen. Verwenden Sie einen Webproxy. 4. Der DNS-Server muss die Fähigkeit haben, SRV-Einträge zu unterstützen. Wenn Sie das Microsoft DNS von Windows Server 2003 verwenden, bekommen Sie alle unterstützenden Features. 5. Windows Server 2003 DNS bietet Active Directory-integrierte Zonen mit einigen Vorteilen, die Sie in Betracht ziehen sollten.

HIN WEIS

6. Wenn Sie eine erhöhte Sicherheit und eine verbesserte Replikation planen, sind Active Directory-integrierte Zonen die bessere Wahl. Die Konsequenz hieraus ist, dass der Domänencontroller auch gleichzeitig DNS-Server wird.

Obwohl es auch funktioniert, für den Internetauftritt einen gleichen Domänennamen für die interne wie auch die externe Domäne zu wählen, bevorzugt Microsoft das Modell der übergeordneten externen Domäne im Internet zur untergeordneten internen MicrosoftDomäne. Beachten Sie dies bitte in der Prüfung.

114



2.4

Lernzielkontrolle

2.4.1

Wiederholungsfragen

Die folgenden Fragen helfen Ihnen bei dem Durcharbeiten des Kapitels. Die Reihenfolge der Themen ist bewusst gemischt, d.h., Sie müssen hier nicht chronologisch vorgehen. Die Lernzielkontrolle gibt Ihnen die Möglichkeit, den theoretischen Stoff anzuwenden. Da das DNS nicht primär das Thema des Buches und der Prüfung ist, ist es hinsichtlich der allgemeinen Wartung des DNS-Servers verkürzt worden. Sie finden daher auch hier überwiegend Übungen, die sich auf Active Directory beziehen. Einige der fortgeschrittenen Übungen sind nur zu verstehen, wenn Sie die Funktionsweise des Active Directory kennen. Also, liebe Leserin, lieber Leser, wenn Sie schon fit sind, dann ist der fortgeschrittene Teil das Richtige für Sie! Alle anderen Leser bitte ich, erst einmal weiterzulesen und den fortgeschrittenen Teil später zu bearbeiten. Die folgenden Fragen helfen Ihnen beim Durcharbeiten des Stoffs (die Antworten finden Sie in Kapitel 2.4.5): 1. Wie unterscheidet sich ein Namensraum von einer Microsoft-Domäne? 2. Warum ist die Planung des DNS-Namensraums so wichtig für Active Directory? 3. Wer entscheidet bei der Planung des Namensraums? 4. Welche besonderen Features hat ein Windows Server 2003-DNS-Server? 5. Können für Active Directory auch Nicht-Windows-DNS-Server verwendet werden? 6. Wie verhält es sich mit Windows NT- und Windows 98-Clients hinsichtlich einer dynamischen Aktualisierung? 7. Welche Replikationsmechanismen gibt es?

2.4.2

Allgemeine Computereinstellungen in den Übungen

Sie finden einige allgemeine Einstellungen in vielen Übungen vor. Alle Übungen sind so konzipiert, dass Sie sie auch mit anderen Namen für den Computer, die Domäne, die Gesamtstruktur usw. durchführen können. Auf eine Fixierung auf Beispielnamen ist bewusst verzichtet worden. Es ist bei vielen Übungen auch selbstverständlich, dass Sie ein administratives Konto verwenden müssen. Sollten Sie gar Privilegien als Organisations-Admin oder Schema-Admin benötigen, werden Sie darauf hingewiesen.


115

MCSE Examen 70-294

Eingabeaufforderung Bei einigen Übungen werden Befehlszeilenprogramme in die Eingabeaufforderung eingegeben. Sie können diese wie folgt verwenden: T Klicken Sie zum Öffnen der EINGABEAUFFORDERUNG auf START, klicken Sie auf PROGRAMME, dann auf ZUBEHÖR und anschließend auf das Feld EINGABEAUFFORDERUNG. T Alternativ können Sie die EINGABEAUFFORDERUNG ausführen, wenn Sie auf START und dann auf AUSFÜHREN klicken. In das Eingabefeld geben Sie dann den Befehl cmd ein.

Verwendeter Domänencontroller und Domäne In den Übungen wird ein Domänencontroller mit den folgenden Daten verwendet (die Informationen wurden mit dem Befehl ipconfig /all ausgelesen): Windows-IP-Konfiguration Hostname . . . . . . Primäres DNS-Suffix . Knotentyp . . . . . . IP-Routing aktiviert WINS-Proxy aktiviert DNS-Suffixsuchliste .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

: : : : : :

Server01 Berlin.de Unbekannt Nein Nein Berlin.de

Ethernet-Adapter Intel Pro 1000 MT Gigabit Ethernet Adapter - onboard: Verbindungsspezifisches DNS-Suffix: Beschreibung : Intel(R) PRO/1000 MT Network Connection Physikalische Adresse . . . . . . : 00-07-E9-55-44-F8 DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.1.201 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : Ethernet-Adapter Intel Fast Ethernet LAN Controller - PCI slot 4: Verbindungsspezifisches DNS-Suffix: Beschreibung . . : Intel(R) PRO/100B PCI Adapter (TX) Physikalische Adresse . . . . . . : 00-A0-C9-43-83-AD DHCP aktiviert . . . . . . . . . : Nein IP-Adresse. . . . . . . . . . . . : 192.168.0.201 Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : Listing 2.4: Bildschirmausgabe von ipconfig /all eines Domänencontrollers mit dem Hostnamen Server01

116



Windows Server 2003 Support Tools Viele der nachfolgend gezeigten Übungen benötigen die Microsoft Windows Server Support Tools. Sie finden diese Tools auf der Windows Server 2003-Installations-CD unter:

Viele der in den Microsoft Support Tools und im Ressource Kit vorhandenen Dienstprogramme werden auch in der Prüfung abgefragt.

2.4.3

Übungen für Einsteiger

Die folgenden Übungen sind durchzuführen, wenn Sie lediglich Kenntnisse des laufenden Kapitels und/oder Grundkenntnisse in Active Directory besitzen.

Überprüfen der DNS-Konfiguration Ziel: Nach der Installation des ersten Domänencontrollers soll die DNS-Server-Konfiguration überprüft werden. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über DNS-Server Für diese Übung benötigen Sie Folgendes: T Einen Windows Server 2003-basierten Domänencontroller Vorgang: Sie installieren eine Active Directory-Domäne mit dem Assistenten zum Installieren von Active Directory. Sie lassen ihn alle Einstellungen für das Active Directory vornehmen. Aufgaben Überprüfen Sie folgende Sachverhalte: 1. Welche Zonen und Zonentypen werden erstellt? 2. Wie sieht die Replikation der DNS-Zonen aus? 3. Welche Rolle spielt der Anmeldedienst bei der Konfiguration der Domänencontroller? 4. Welche SRV-Record-Typen gibt es, und wie hängen diese mit einem Domänencontroller zusammen? Die Antworten auf diese Fragen finden Sie in Kapitel 2.4.6.


117

TIPP

E:\SUPPORT\TOOLS

MCSE Examen 70-294

Lösungshilfen SCHRITT FÜR SCHRITT

1

Klicken Sie auf START, dann auf VERWALTUNG und anschließend auf DNS.

2

Klicken Sie in der DNS-Konsole auf FORWARD-LOOKUPZONEN, und doppelklicken Sie auf die Zone.

3

Identifizieren Sie die _msdcs.ForestName-Zone, wobei ForestName der Name der Stammdomäne ist. Merken Sie sich die Subdomäneneinträge.

4

Identifizieren Sie die ForestName-Zone. Merken Sie sich die Subdomäneneinträge.

5

Um die DNS-Integration einer Zone zu überprüfen, gehen Sie wie folgt vor: 1. Klicken Sie mit der rechten Maustaste auf die betreffende Zone, und wählen Sie EIGENSCHAFTEN aus. 2. In der Registerkarte ALLGEMEIN finden Sie alle notwendigen Informationen.

6

Um die Rolle des Anmeldedienstes nachzuvollziehen, können Sie die Protokolldatei Netlogon.dns öffnen. Gehen Sie hierfür so vor: 1. Öffnen Sie den Windows Explorer. 2. Gehen Sie in das Verzeichnis %SystemRoot%\System32\config, und öffnen Sie die Datei Netlogon.dns mit Hilfe des Editors oder mit einem ähnlichen Textprogramm.

Überprüfen der Antwortbereitschaft eines DNS-Servers Mit dem Tool nslookup überprüfen Sie die Namensauflösung. Voraussetzungen Besondere Vorkenntnisse benötigen Sie nicht. Für diese Übung brauchen Sie lediglich Folgendes: T Einen DNS-Server Durchführung und Aufgabenstellung Um die Antwortbereitschaft eines DNS-Servers zu prüfen, verwenden Sie das Befehlszeilenprogramm nslookup, indem Sie folgende Syntax beachten: nslookup IP_Adresse_des_Servers 127.0.0.1

Hierbei ist IP_Adresse_des_Servers die IP-Adresse des DNS-Servers, der überprüft werden soll. 1. Lautet die IP-Adresse 192.168.1.1, geben Sie Folgendes ein: nslookup 192.168.1.1 127.0.0.1

2. Wenn der DNS-Server ordnungsgemäß funktioniert, gibt er den Namen localhost zurück.

118



Überprüfen der DNS-Registrierung für Domänencontroller Mit dem Tool nslookup überprüfen Sie die Namensauflösung. Voraussetzungen Besondere Vorkenntnisse benötigen Sie nicht. Für diese Übung brauchen Sie lediglich Folgendes: T Einen Domänencontroller mit einem DNS-Dienst, der eine Active Directory-integrierte Zone hostet. Durchführung und Aufgabenstellung SCHRITT FÜR SCHRITT

Geben Sie Folgendes ein: nslookup

Danach sind Sie in der Eingabeaufforderung des Programms nslookup. Sie sehen dies am »>«Zeichen. Damit nur ein bestimmter Ressourceneintragstyp zurückgegeben wird, müssen Sie folgende Syntax verwenden: set q=Ressourceneintragstyp

1

Da Sie Ressourceneinträge für die Dienstidentifizierung (SRV-Einträge) überprüfen wollen, müssen Sie Folgendes angeben: set q=srv

2

Wenn die Verarbeitung des vorangegangenen Befehls abgeschlossen ist, geben Sie den FQDN des Dienstes an. Hier wird angenommen, dass die Domäne Berlin.de heißt. _ldap._tcp.dc._msdcs.Berlin.de

3

Lesen Sie die Ausgabe. Wenn die Abfrage erfolgreich gewesen ist, überprüfen Sie die SRV-Ressourceneinträge, um festzustellen, ob alle Domänencontroller der Domäne mit den angegebenen IP-Adressen gültig sind. Schlägt die Abfrage fehl, dann liegt ein Fehler in der dynamischen Aktualisierung des DNS-Servers vor. _ldap._tcp.dc._msdcs.Berlin.de SRV service location: priority = 0 weight = 0 port = 389 svr hostname = server01.berlin.de server01.berlin.de internet address = 192.168.0.201 server01.berlin.de internet address = 192.168.1.201 Listing 2.5: Auszug aus der Abfrage der SRV-Ressourceneinträge (Beispiel)


119

MCSE Examen 70-294

Einrichten von DNS-dynamischen Updates auf DHCP-Clients Per Voreinstellung aktualisieren Windows Server 2003-basierte, Windows 2000-basierte und Windows XP Professional-Computer ihre A- und PTR-Ressourceneinträge automatisch. Hierbei setzt sich der FQDN aus dem Hostnamen und dem primären DNS-Suffix zusammen. Nach dem Absolvieren der folgenden Übung werden Sie die dynamische Registrierung auf einem Clientcomputer verändern können. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Grundkenntnisse Für diese Übung benötigen Sie: T Einen Windows 2000/XP- oder Windows 2000 Server- oder einen Windows Server 2003Computer Durchführung und Aufgabenstellung SCHRITT FÜR SCHRITT

Beachten Sie, dass für das erfolgreiche Durchführen der Übung der DHCP-Clientdienst notwendig ist. Sie müssen folgende Schritte durchführen:

1

Klicken Sie auf START, dann auf SYSTEMSTEUERUNG und auf NETZWERKVERBINDUNGEN.

2

Anschließend wählen Sie diejenige Netzwerkverbindung aus, die Sie konfigurieren wollen (den lokalen Netzwerkadapter im betreffenden Subnetz). Klicken Sie auf die Schaltfläche EIGENSCHAFTEN.

3

In dem Register ALLGEMEIN wählen Sie INTERNETPROTOKOLL (TCP/IP) aus.

4

Klicken Sie auf die Schaltfläche EIGENSCHAFTEN.

5

Klicken Sie auf ERWEITERT.

6

In dem Register DNS finden Sie das Kontrollkästchen mit der Beschriftung Adressen dieser Verbindung in DNS registrieren. Hiermit wird festgelegt, dass der vollständige Name, der in der SYSTEMSTEUERUNG unter SYSTEM eingegeben wurde, zur direkten dynamischen Registrierung (A- und PTR-Record) verwendet wird. Der Eintrag DNS-Suffix dieser Verbindung in DNS Registrierung verwenden ist per Default nicht aktiviert.

7

Klicken Sie den Kontrollkästchen-Eintrag DNS-Suffix dieser Verbindung in DNS Registrierung verwenden an, und aktivieren Sie dieses mit einem Haken. Die Registrierung besteht zusätzlich zur DNS-Registrierung aus dem vollständigen Computernamen, wie er in der SYSTEMSTEUERUNG unter SYSTEM festgelegt wurde. Wenn der DHCP-Server so konfiguriert ist, dass er DNS-Ressourceneinträge auf die Clientanfrage verarbeitet, wird der Client folgende Einträge auf dem DNS-Server registrieren:

120



8

Einen A-Ressourceneintrag, der sich aus dem verbindungsspezifischen DNS-Suffix (nicht zwangsläufig das primäre DNS-Suffix) und dem Hostnamen des Computers zusammensetzt. Einen A-Ressourceneintrag, der sich aus dem primären DNS-Suffix und dem primären Hostnamen des Computers zusammensetzt Einen PTR-Ressourceneintrag (PTR-Record)

Damit der Client keine Anfragen mehr zur DNS-Registrierung sendet, deaktivieren Sie den Eintrag Adressen dieser Verbindung in DNS registrieren.

2.4.4

Übungen für Fortgeschrittene

Da der DNS-Dienst in das Active Directory eingebunden ist, korrespondieren viele Einstellungen auch mit denen im Active Directory. Für diese Übungen wird ein umfangreiches Wissen über die Active Directory vorausgesetzt. Dennoch geht es hier um die Konfiguration des DNS-Servers (und nicht von Active Directory).

Eine domänenweite _msdcs.ForestName-Zone in eine gesamtstrukturweite DNS-Anwendungsverzeichnispartition ändern Unser Ziel ist es, sekundäre Zonen in den untergeordneten Domänen zu entfernen. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über DNS-Server T Grundkenntnisse über den Aufbau einer Active Directory-Domäne Für diese Übung benötigen Sie: T Einen Windows Server 2003-basierten Domänencontroller mit einem DNS-Dienst, der Active Directory-integrierte Zonen hostet. T Für die Übung müssen Sie Mitglied der Gruppe DnsAdmins oder einer anderen administrativen Sicherheitsgruppe sein. Alternativ kann Ihnen jedoch auch die Delegation zugesprochen worden sein. T Wenn Ihr Anmeldekonto nicht Mitglied einer der o.g. Gruppen ist, Sie aber über ein entsprechendes Zugriffskonto verfügen, können Sie mit dem Secondary Logon Service bzw. mit dem Runas.exe-Kommando die DNS-Konsole starten. Durchführung SCHRITT FÜR SCHRITT

1

Klicken Sie in der DNS-Konsole mit der rechten Maustaste auf die _msdcs.ForestNameZone (hier auch _msdcs.berlin.de genannt), und wählen Sie EIGENSCHAFTEN aus.

2

Im Register ALLGEMEIN erkennen Sie die Replikation. In Abbildung 2.23 sehen Sie zum Beispiel die Voreinstellung nach der Installation des ersten Domänencontrollers. Die Replikation betrifft alle DNS-Server in der Active Directory-Gesamtstruktur.


121

MCSE Examen 70-294

Abbildung 2.23: Eigenschaften der _msdcs.ForestName-Zone

3

Gehen Sie auf die Schaltfläche ÄNDERN, wenn die Replikation nur DNS-Server in der Domäne betrifft. Falls der Replikationstyp bereits eine gesamtstrukturweite Replikation unterstützt, fahren Sie mit Schritt 5 fort.

4

Wählen Sie die Option Auf allen DNS-Servern in der Active Directory-Gesamtstruktur »Domänenname« (hier Berlin.de) aus.

Abbildung 2.24: Ändern des Bereichs für die Zonenreplikation

5

122

Falls Sie sekundäre _msdcs.ForestName-Zonen in Ihren untergeordneten Domänen haben, können Sie diese nun löschen. Klicken Sie hierfür mit der rechten Maustaste auf die entsprechende sekundäre Zone, und wählen Sie die Schaltfläche LÖSCHEN aus.



Migrieren einer Windows 2000-_msdcs-Subdomäne zu einer Windows Server 2003-Zone, die auf einer gesamtstrukturweiten Anwendungsverzeichnispartition gespeichert ist Die Übung basiert auf der Annahme, dass Sie eine Active Directory-Stammdomäne (Root Forest Domain) während der Aktualisierung eines Windows 2000 Servers erstellt haben. Die bei Windows 2000 Server bestehende Stammdomäne bleibt somit erhalten. Des Weiteren sind alle Domänencontroller auf Windows Server 2003 aktualisiert bzw. migriert worden. Voraussetzungen und Lernziele Sie benötigen folgende Vorkenntnisse: T Kenntnisse über DNS T Kenntnisse über Domänenstrukturen T Kenntnisse über Betriebsmaster Was lernen Sie? T Replizieren von DNS-Anwendungsverzeichnispartitionen T Identifizieren eines Domänennamen-Betriebsmasters T Erstellen einer primären Zone Für diese Übung benötigen Sie folgende Computer: T Einen Windows 2000 Server-basierten Domänencontroller, der zu einem Windows Server 2003-Domänencontroller aktualisiert wurde. Auf dem Domänencontroller befindet sich eine Active Directory-integrierte Zone. T Mindestens einen Domänencontroller mit DNS-Server für eine Subdomäne (untergeordnete Domäne). Aufgabenstellung 1. Alle primären DNS-Server in der Gesamtstruktur erhalten in den Netzwerkeigenschaften die IP-Adresse eines einzigen Stammdomänencontrollers. 2. Erstellen einer _msdc-Zone für die Active Directory-Stammdomäne. 3. Erstellen einer _msdcs.ForestName-Zone in einer gesamtstrukturweiten Anwendungsverzeichnispartition, wobei ForestName der von Ihnen gewählte Name der Stammdomäne ist. Der Stammdomänenname kann zum Beispiel Berlin.de heißen. 4. Starten einer Replikation. 5. Umkehren von Schritt 1. Zurückstellen der Netzwerkeigenschaften aller Domänencontroller.


123

MCSE Examen 70-294

Durchführung SCHRITT FÜR SCHRITT

Die folgenden Schritte sind hierfür notwendig:

1

Auf allen Domänencontrollern in der Gesamtstruktur müssen Sie die Netzwerkverbindungskonfigurationen so verändern, dass sie nur auf einen DNS-Server zeigen. Dieser DNS-Server wird der bevorzugte DNS-Server. Melden Sie sich auf jedem dieser Server an, und führen Sie folgende Schritte durch: 1. Klicken Sie auf START, dann auf SYSTEMSTEUERUNG und auf NETZWERKVERBINDUNGEN. 2. Anschließend wählen Sie diejenige Netzwerkverbindung aus, die Sie konfigurieren müssen (lokaler Netzwerkadapter im betreffenden Subnetz). Klicken Sie auf EIGENSCHAFTEN. 3. In dem Register ALLGEMEIN wählen Sie Internetprotokoll (TCP/IP) aus. 4. Klicken Sie auf EIGENSCHAFTEN. 5. In dem Register ALLGEMEIN finden Sie den Eintrag für den bevorzugten DNS-Server. Notieren Sie sich die DNS-Server-IP-Adresse. 6. In dem Eingabefeld BEVORZUGTER DNS-SERVER geben Sie die IP-Adresse des DNSServers ein, der der DNS-Server der Stammdomäne und Domänencontroller ist.

HIN WEIS

7. Bestätigen Sie die Eingabe mit OK.

Sie müssen alle untergeordneten Domänencontroller mit der IP-Adresse eines einzigen Stammdomänencontrollers konfigurieren. Der Zweck der Übung besteht darin, dass alle Subdomänencontroller ihre Ressourceneinträge zu der Zone _msdcs.ForestName kopieren!

2

Nachdem die untergeordneten DNS-Server (alle in der Gesamtstruktur!) den Stammdomänencontroller als bevorzugten DNS-Server eingetragen haben, melden Sie sich mit einem administrativen Konto, das Mitglied der Gruppe Organisations-Admins ist, auf dem Stammdomänencontroller an. Der Stammdomänencontroller muss Windows Server 2003-basiert sein.

3

Überprüfen Sie, ob der Server die FSMO-Rolle Domänennamen-Betriebsmaster besitzt. Hierfür gehen Sie wie folgt vor: 1. Klicken Sie auf START, dann auf VERWALTUNG und anschließend auf ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN. 2. Sie klicken auf den Knoten ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN mit der rechten Maustaste und wählen aus dem Kontextmenü BETRIEBSMASTER aus. 3. In dem Dialogfenster BETRIEBSMASTER vergewissern Sie sich, dass der Stammdomänencontroller die Rolle des Domänennamen-Betriebsmasters hat. Falls dies nicht der Fall sein sollte, ändern Sie die Rolle wie gewünscht.

124



4

Überprüfen Sie, dass alle DNS-Server die _msdcs.ForestName-Subdomäne in primären Zonen hosten. Gehen Sie hierfür wie folgt vor: 1. Klicken Sie auf START, dann auf VERWALTUNG und anschließend auf DNS. 2. Identifizieren Sie die primäre Zone der Subdomäne, und klicken Sie diese an. 3. Identifizieren Sie die _msdcs.ForestName-Subdomäne, wobei ForestName der Name der Stammdomäne ist (zum Beispiel Berlin.de).

5

Erstellen Sie eine neue Forward-Lookupzone auf dem DNS-Server, der sich auf dem Domänencontroller der Stammdomäne befindet. Gehen Sie so vor: 1. Klicken Sie auf START, dann auf VERWALTUNG und anschließend auf DNS. 2. Wählen Sie den Knoten FORWARD-LOOKUPZONE mit der rechten Maustaste aus, und wählen Sie Neue Zone. 3. Ein Konfigurationsassistent hilft Ihnen bei der Erstellung: Erstellen Sie eine primäre Zone, indem Sie die Option auswählen und mit WEITER bestätigen. Achten Sie darauf, dass Sie das Feld Die Zone in Active Directory speichern ... mit einem Häkchen markiert haben! 4. In dem Dialogfenster Active Directory Zonenreplikationsbereich wählen Sie aus, wie die Zonendaten repliziert werden. Wählen Sie folgendes Optionsfeld: Auf allen DNS-Servern in der Active Directory-Gesamtstruktur »ForestName«. Bestätigen Sie die Eingabe mit WEITER. 5. Das nächste Dialogfenster fragt Sie nach dem Namen der Zone. Geben Sie _msdcs.ForestName zum Beispiel Berlin.de an. Quittieren Sie die Eingabe mit WEITER. 6. Wählen Sie, wie voreingestellt, Nur sichere dynamische Updates zulassen aus und bestätigen Sie mit WEITER. 7. Bestätigen Sie das letzte Dialogfenster mit FERTIG STELLEN.

6

Die neue Zone wird erstellt, und der NetLogon-Dienst (Anmeldedienst) füllt diese mit den Ressourceneinträgen des Stammdomänencontrollers. Des Weiteren findet eine Replikation statt. Sie können die Replikation allerdings auch manuell forcieren, indem Sie beispielsweise (bei installierten Support Tools) Folgendes in die Eingabeaufforderung eingeben: repadmin /syncall

7

Nachdem alle Verzeichnispartitionen synchronisiert sind, können Sie die alte _mscdsSubdomäne löschen. Dieser Schritt ist nicht obligatorisch, er dient lediglich dazu, den DNS-Datenbestand zu straffen. Sollten Sie die Subdomäne beibehalten, wird das keinen Schaden im System anrichten. 1. Sie öffnen die DNS-Verwaltungskonsole. 2. In dem Konsolenbaum erweitern Sie diejenige Zone, die die _msds-Subdomäne enthält. 3. Löschen Sie diese Zone über das Kontextmenü mit der rechten Maustaste.

8

Der letzte Schritt macht den ersten wieder rückgängig. Tragen Sie in den Eigenschaften der betreffenden Netzwerkkarten wieder die ursprünglichen IP-Adressen für den bevorzugen DNS-Server ein.


125

MCSE Examen 70-294

2.4.5


Hier finden Sie die Antworten zu den Aufgaben aus Kapitel 2.4.1. 1. Wie unterscheidet sich ein Namensraum von einer Microsoft-Domäne? Antwort: Eine Microsoft-Domäne ist eine logische Zusammenfassung von Computern, wobei ein Microsoft-Domänencontroller mit Hilfe von Computerkonten bestimmt, wer sich an der Domäne anmelden darf. Die Verwaltung obliegt einem Administrator der Domäne. Die Domäne bekommt einen Namen, der sich nach der Schreibweise für DNS-Namen richtet. Somit richtet sich der Name der Domäne nach dem Namensraum. Der Namensraum ist eine hierarchische baumartige Struktur von Namen. Jeder Name bezeichnet eine Domäne bzw. Zone. Die Schreibweise hierfür ist ein vollqualifizierter Domänenname (FQDN). Ein Beispiel für einen Namensraum sind microsoft.com und alle untergeordneten Domänen wie boston.microsoft.com oder new-york.microsoft.com usw. 2. Warum ist die Planung des DNS-Namensraums so wichtig für das Active Directory? Antwort: Eine Änderung des Namensraums kann u.U. nur mit extrem hohem Aufwand (komplette Neuinstallation) durchgeführt werden. Die Umbenennung einer Stammdomäne ist nur dann möglich, wenn Sie den vollständigen Active Directory-Namensraum bzw. die Gesamtstruktur (Forest) umbenennen. 3. Wer entscheidet bei der Planung des Namensraums? Antwort: Es existieren zwei Arten von Namensräumen: Externe und interne Namensräume. Für die externen Namensräume sind Internetorganisationen wie die IANA verantwortlich, während für den internen Namensraum die betreffenden Organisationen zuständig sind. Anders ausgedrückt: Sie als Anwender können Ihren internen Namensraum so gestalten, wie Sie möchten. 4. Welche besonderen Features hat ein Windows Server 2003-DNS-Server? Antwort: Folgende Leistungsmerkmale charakterisieren einen Microsoft DNS-Server auf Windows Server 2003-Basis: T Unterstützt SRV-Einträge T Sichere und nicht sichere dynamische Aktualisierung T Inkrementelle Zonenübertragung T WINS-Integration T Bedingte Weiterleitung T Active Directory-integrierte Zonen T Aufräumvorgänge für alte Einträge

126



5. Können für das Active Directory auch Nicht-Windows-DNS-Server verwendet werden? Antwort: Ja. Es muss ein BIND-Server Version 4.9.7 oder höher verwendet werden. Die aktuelle Version 9 unterstützt alle wesentlichen Features des Windows Server 2003 bis auf die Aufräumvorgänge und bis auf diejenigen Vorgänge, die sich auf eine Active Directory-Integration beziehen. Darunter fallen die sichere dynamische Aktualisierung und eine WINS-Integration. 6. Wie verhält es sich mit Windows NT- und Windows 98-Clients hinsichtlich einer dynamischen Aktualisierung? Antwort: Es besteht die Möglichkeit, für Windows NT 4.0- und Windows 98-Clients die dynamische Aktualisierung einzustellen. Gleiches gilt auch für die Verwendung von DHCP (Dynamic Host Configuration Protocol). 7. Welche Replikationsmechanismen gibt es? Antwort: Normale Replikationsmechanismen erlauben Zonenübertragungen zu Computern, die Sie bestimmen können. Wenn Sie einen sekundären DNS-Server verwenden, wird eine »NurLesen-Kopie« einer primären Zone generiert. Auch findet eine Zonenübertragung statt, jedoch nur in einer Richtung. Wenn Sie eine Active Directory-integrierte Zone verwenden, können Sie zwischen folgenden Replikationsoptionen auswählen: T Alle DNS-Server in der Active Directory-Gesamtstruktur T Alle DNS-Server in einer angegebenen Active Directory-Domäne T Alle Domänencontroller in der Active Directory-Domäne T Alle Domänencontroller, die im Replikationsbereich einer Anwendungsverzeichnispartition angegeben wurden Mehr zu diesem Thema können Sie in Kapitel 2.2.7 nachlesen.

2.4.6

Antworten zu den Übungen

Hier finden Sie die Antworten zu den Aufgaben in den Kapiteln 2.4.3 und 2.4.4. Zur Übersicht ist die Aufgabenstellung hier noch einmal aufgeführt.

Überprüfen der DNS-Konfiguration Ziel: Nach der Installation des ersten Domänencontrollers soll die DNS-Server-Konfiguration überprüft werden. Vorgang: Sie installieren eine Active Directory-Domäne mit dem Assistenten zum Installieren von Active Directory. Sie lassen ihn alle Einstellungen für das Active Directory vornehmen. Die Domäne wurde Berlin.de genannt. Sie ist in einem Subnetz 192.168.0.0/24 installiert.


127

MCSE Examen 70-294

Überprüfen Sie folgende Sachverhalte: 1. Welche Zonen und Zonentypen werden erstellt? Antwort: Wenn Sie sich alle Zonen anzeigen lassen wollen, müssen Sie im Menü ANSICHT den Eintrag Erweiterte Ansicht auswählen. Forward-Lookupzone

Beschreibung

msdcs.Berlin.de

Wird zur Kompatibilität mit Windows 2000 Server benötigt. Die _msdcs.ForestName-Zone ist in der gesamtstrukturweiten Anwendungsverzeichnispartition gespeichert. Es werden keine A-Records erstellt. Zonentyp: Active Directory-integriert, primär.

Berlin.de

Die eigentliche DNS-Zone. Sie enthält alle benötigten Ressourceneinträge (Record), wie die A-Records des DNS-Servers. Der DNS-Server muss sich zuallererst selbst in die Zone aktualisieren. Zonentyp: Active Directory-integriert, primär.

Tabelle 2.11: Erstellte Forward-Lookzonen beim Stammdomänencontroller (Forest Root Domain Controller)

Reverse-Lookupzone

Beschreibung

0.168.192.in-addr.arpa

Falls die Erweiterte Ansicht nicht ausgewählt wurde, wird die Zone mit 192.168.0.x Subnet bezeichnet. Zonentyp: Primär (nicht Active Directory-integriert)

0.in-addr.arpa

Zwei Einträge für Netzwerk. Keine weiteren Eigenschaften verfügbar.

127.in-addr.arpa

Drei Einträge für Localhost. Keine weiteren Eigenschaften verfügbar.

255.in-addr.arpa

Drei Einträge für Broadcast. Keine weiteren Eigenschaften verfügbar.

Tabelle 2.12: Erstellte Reverse-Lookupzonen beim Stammdomänencontroller (Forest Root Domain Controller)

2. Wie sieht die Replikation der DNS-Zonen aus? Zone

Beschreibung

msdcs.Berlin.de

Alle DNS-Server in der Active Directory-Gesamtstruktur (Grundeinstellung bei Windows 2000 Server)

Berlin.de

Alle DNS-Server in der Active Directory-Gesamtstruktur (Grundeinstellung bei Windows 2000 Server)

0.168.192.in-addr.arpa

Keine, da nicht Active Directory-integriert

Tabelle 2.13: Replikationseinstellungen bei den neu erstellten Zonen.

3. Welche Rolle spielt der Anmeldedienst bei der Konfiguration der Domänencontroller? Antwort: Der Anmeldedienst (Logon Service) füllt die Zonendateien mit Daten.

128



4. Welche SRV-Record-Typen gibt es, und wie hängen diese mit einem Domänencontroller zusammen? Dienstidentifizierung (SRV)

Standardwert

Beschreibung

_gc

[0][100][3268] server01.berlin.de. Dient zum Finden eines Globalen Katalogservers. Der Port 3268 wird verwendet. Ist der Domänencontroller kein Globaler Katalogserver, benötigt er auch keine _gc-Dienstidentifizierung.

_kerberos

[0][100][88] server01.berlin.de.

Erlaubt Computern, das Kerberos-Schlüsselverteilungscenter (KDC-Server) zu finden. Alle Domänencontroller, die den Kerberos-Dienst anbieten, registrieren diesen Namen. Der KDC-Server ist nicht notwendigerweise ein Windows Server 2003-Domänencontroller. Bei dem Dienst handelt es sich um ein RFC 1510-kompatible-Kerberos Version 5-KDC (Key Distribution Center). Der Port 88 wird verwendet.

_kpasswd


Ermöglicht es einem Client, einen Domänencontroller zu finden, auf dem ein KerberosSchlüsselverteilungscenter (KDC) ausgeführt wird. Alle Windows NT-Domänencontroller, auf denen der Kerberos KDC-Dienst ausgeführt wird, registrieren diese SRV. Der Port 464 wird verwendet.

_ldap


Erlaubt Computern, den Domänencontroller zu finden. Der Port 389 wird verwendet.

Tabelle 2.14: SRV-Records mit Standardwerten


129

3 Planung und Einrichtung einer Active Directory-Infrastruktur Lernziele In diesem Kapitel erhalten Sie Informationen über die Grundlagen einer Active DirectoryInfrastruktur und lernen wie Sie diese in der Praxis planen können. Dieser Vorgang wird als Design bezeichnet. Bevor es zum Design kommt, lernen Sie logische und physische Active Directory-Strukturen kennen. Diese bilden die Basis für Ihre weitere Planung. Der Designprozess ist detailliert in Phasen unterteilt, um Ihnen eine schrittweise Anleitung zu geben, wie Sie die Infrastruktur einsetzen können. Darunter fallen Aspekte, wie das T Design von Strukturen und Gesamtstrukturen T Design von Domänen T Design der DNS-Infrastruktur T Design von Organisationseinheiten T Design von Standorten Nach der Planungsphase können Sie je nach Rolle und Größe der Domäne die passende Softund Hardware für Ihren Domänencontroller einsetzen. Sie bestimmen die Anzahl der Domänen in der Gesamtstruktur und können die Anzahl der Domänencontroller genauso berechnen wie die Anzahl der benötigten Standorte. Zum Ende des Kapitels führen Sie die Installation von Domänencontrollern durch und überprüfen die Funktionsfähigkeit.

131

MCSE Examen 70-294

Lernstrategien Das Kapitel 3 besteht aus zwei Teilen. Der erste Teil behandelt die Grundlagen von Active Directory, der zweite die Planung der Active Directory-Infrastruktur. Dabei baut der zweite Teil direkt auf dem ersten Teil und dem Kapitel 2 auf. Kapitel

Zielgruppe/Zweck

Bis einschließlich Kapitel 3.3

Einsteiger/Vertiefen des Stoffs

Ab Kapitel 3.4

Für Fortgeschrittene


TIPP

Die theoretischen und praktischen Überlegungen dieses Kapitels sind eine wichtige Voraussetzung für den nachfolgenden Stoff. Wir empfehlen Ihnen daher, das Kapitel 3 durchzuarbeiten und anschließend die praktischen Teile der Kapitel 4 bis 8 durchzuarbeiten, indem Sie entweder chronologisch vorgehen oder auch direkt in die Kapitel einsteigen. Am Ende der Kapitel sollten Sie die Designprozesse noch einmal »Revue passieren« lassen.

Die Planung ist ein wichtiges Thema der Prüfung 70-294. Achten Sie besonders auf Domänenfunktionsebenen, Vertrauensverhältnisse und auf die Planung von Organisationseinheiten (OUs). Sie müssen weiterhin mit Standorten, Bridgeheadservern und globalen Katalogservern vertraut sein.

Voraussetzungen für dieses Kapitel Die Übungen und Fragen sind oft so gestellt, dass Sie keinen besonderen Aufbau benötigen, sondern mit Grundeinstellungen auskommen, die Sie nach der Installation erhalten. Zudem geht die Microsoft-Prüfung davon aus, dass Sie einen Serverpark von einigen Servern besitzen. Viele Beispiele sind dennoch so gestaltet, dass Sie mit zwei Computern auskommen, um eine Vielzahl von Domänen und Domänencontrollern zu simulieren. Alternativ können Sie auch VMWare1 verwenden, um auf einem Computer mehrere Betriebssysteme gleichzeitig laufen zu lassen. Auf diesem Gebiet wird jetzt auch Microsoft tätig. Microsoft hat im Februar 2003 die Virtualisierungstechnologie von Connectix gekauft und bietet jetzt seinerseits die Software Virtual PC 20042 an.

1. Software, die es erlaubt, mehrere Betriebssysteme unter einem Host-System laufen zu lassen. Siehe auch http://www.vmware.com/de/ 2. Virtual PC 2004 von Microsoft. Siehe auch: http://www.microsoft.com

132

3 – Planung und Einrichtung einer Active Directory-Infrastruktur

3.1

Einführung in die Projektierung der Infrastruktur

Die Active Directory-Services oder in deutscher Übersetzung von Microsoft der Active Directory-Verzeichnisdienst, ermöglicht Ihnen die zentrale Verwaltung von diversen Netzwerkressourcen, wie Benutzern, Computern, Diensten usw. zur Verfügung. Active Directory ist in einem zentralen Datenspeicher, der Active Directory-Datenbank, abgelegt. Sie ist skalierbar und erweiterungsfähig. Hinsichtlich der Interoperabilität hat sich Microsoft bemüht, eine Verzeichnisstruktur anhand von Standardprotokollen zu entwerfen. Als Standardprotokoll für den Verzeichniszugriff wurde das LDAP (Lightweight Directory Access Protocol) Version 3 gewählt. Gerade solche Leistungsmerkmale, wie Skalierbarkeit, Verwaltbarkeit und Sicherheit wurden nach Erscheinen von Windows 2000 Server weiterentwickelt. Es kam zu der .NET-(sprich »DOTNET«-)Strategie, also der Integration von Geschäftsprozessen in ein globales Netzwerk wie das Internet. Aus .NET wurde in der finalen Produktversion schließlich Windows Server 2003.

Die Rolle des Designs und der Installation in der Projektierung Wenn Sie ein Active Directory in einer Organisation planen, müssen Sie einen Projektplan skizzieren. Dieser besteht in der Regel aus den Standardkomponenten Vorprojektphase, Design, Pilotprojekt, Installation und Konfiguration. Während der Designphase erstellt ein Designteam die logische Struktur des Active Directory. Hierbei müssen Sie alle Aspekte, wie beispielsweise die Kompatibilität der Applikationen, Sicherheitsbedürfnisse und »Human Resources« berücksichtigen. Nachdem Sie die wichtigsten Eckpunkte des Designs erfolgreich festgelegt haben, können Sie mit dem Pilotprojekt beginnen. Das Pilotprojekt dient dazu, unliebsame Überraschungen während der Installation und Konfiguration auszugrenzen, indem Sie im Labor alle kritischen Konfigurationen simulieren. Die Ergebnisse der Tests fließen wiederum in das Design ein. Die Installationsphase kann beginnen, wenn Sie die Gewissheit haben, dass eine Installation in der Produktionsumgebung mit nahezu hundertprozentiger Sicherheit erfolgreich sein wird. Damit Sie für alle Fälle noch Änderungen vornehmen können, ist es ratsam, den Laborversuch noch für eine etwas längere Zeit aufrecht zu erhalten. Leider kommt es in der Praxis oft vor, dass auf Produktionsgeräten experimentiert wird. Schützen Sie Ihre Organisation und Ihren Job, und verwenden Sie ausschließlich Testgeräte. Ein einfacher PC tut es manchmal auch. Die letzte Phase besteht aus der Konfiguration und Anpassung. In diesem Kapitel werden folgende Projektierungsphasen angesprochen: T Design – alles über Begriffe und Planung T Installation – alles über Installationsschritte und Aufgaben

3.1 Einführung in die Projektierung der Infrastruktur

133

MCSE Examen 70-294

Abbildung 3.1: Projektierung (Die Phasen, die in diesem Kapitel behandelt werden, sind fett hervorgehoben.)

TIPP

Das folgende Kapitel bietet Ihnen alle Informationen über Planung und Installation von Active Directory-Domänencontrollern. Obwohl die eigentliche Installation kinderleicht ist, müssen Sie sich über das Management von Computern und Anwendern Gedanken machen, wenn Sie viele tausend Computer verwalten. Hat Ihre Firma dagegen nur ein paar Computer, etwa 50, benötigen Sie die Modelle in der Praxis eigentlich nicht. Lernen müssen Sie das Planen mit vielen Servern aber auf jeden Fall, um die Prüfung erfolgreich zu bestehen.

Handeln Sie zur Prüfungsvorbereitung nach dem Motto »Think big!«. Alle Planungsmodelle sind oft für multinationale Organisationen mit vielen Computern konzipiert.

3.2

Logische Strukturen

HIN WEIS

An dieser Stelle werden die einzelnen Themen, die bereits im ersten Kapitel angeschnitten wurden, noch weiter vertieft.

In Kapitel 3.2 wird das Prinzip von logischen Strukturen erläutert. Weitere Informationen finden Sie anschließend im Design-Teil (Kapitel 3.4). Der Design-Teil beschreibt den praktischen Einsatz aller Active Directory-Komponenten. Bei Microsoft hat alles mit einer NT-Domäne angefangen. Als diese der Größe nach nicht mehr ausreichte und völlig unübersichtlich wurde, hat man sich mit sog. Vertrauensverhältnissen geholfen, um mühselig eine Ordnung in das Gebilde zu bringen. Doch diese Zeiten sind glücklicherweise vorbei. Windows Active Directory Services kennen folgende Verwaltungseinheiten, die Sie nachfolgend der Wichtigkeit nach aufgelistet (höchste zuerst) finden: 1. Gesamtstruktur (engl. Forest) 2. Struktur (engl. Tree) 134

3.2 Logische Strukturen


3. Domäne 4. Organisationseinheit (Organizational Units, OU) Das Gebilde können Sie sich wie einen logisch aufgebauten Baukasten vorstellen. Der kleinste »Klotz« ist eine OU. Diese passt in eine Domäne hinein. Eine Domäne wird in eine Struktur und eine Struktur wiederum in eine Gesamtstruktur eingebaut. Für das Zusammensetzen der Komponenten gibt es Regeln. Diese werden Sie nachfolgend – angefangen vom kleinsten Element bis hin zur Gesamtstruktur – kennen lernen.

3.2.1

Organisationseinheit (OU)

Eine Organisationseinheit dient, wie in Kapitel 1 beschrieben, zur Delegation von Verwaltungsaufgaben an Benutzer, die nicht Mitglied einer administrativen Gruppe sind. Das Objekt Organisationseinheit arbeitet wie ein Container. Es beinhaltet Objekte, wie Computer oder Benutzer. Eine Organisationseinheit ist die kleinste logische Komponente in der Active Directory. Organisationseinheiten benötigen eine Active Directory-Domäne. Organisationseinheiten in den Domänen sind von anderen Organisationseinheiten in anderen Domänen unabhängig. Eine Abhängigkeit der Organisationseinheiten untereinander besteht lediglich in der Domäne, der sie angehören. Beim Entwurf von Organisationseinheiten sollten immer verwaltungstechnische Aspekte im Vordergrund stehen. Sie sind nicht mit Gruppen zu verwechseln, da Organisationseinheiten keine Sicherheitsprinzipale sind. Eine Gruppe vererbt den Mitgliedern ihre Zugriffsprivilegien. Dies kann eine Organisationseinheit nicht. Dagegen vererbt die Organisationseinheit eine Gruppenrichtlinie an alle Mitglieder. Benutzer benötigen eine Organisationseinheit nicht zur Navigation oder zur Anmeldung an die Domäne.

Abbildung 3.2: Organisationseinheiten dienen dazu, bestimmte Objekte zusammenzufassen, damit diese delegiert werden können. Die Abbildung zeigt am Beispiel, welche Objekte in einer OU enthalten sein können (aber nicht müssen).


135

MCSE Examen 70-294

Eine Organisationseinheit kann folgende Objekte (Standard-Windows-Installation, ohne Applikationen) enthalten: Symbol

Objekt

Beschreibung

Computer

Jeder Computer, der Mitglied der Domäne ist, besitzt ein Objekt Computer. Es stellt ein Sicherheitsprinzipal (Security Principal) im Verzeichnis dar. Für Arbeitsstationen und Server unter Windows NT ist es das Computerkonto.

Kontakt

Kontakte werden normalerweise zur Darstellung externer Benutzer für E-Mail-Zwecke verwendet. Ein Kontaktobjekt verfügt über keine Sicherheitsberechtigungen. Eine Anmeldung am Netzwerk ist daher nicht möglich.

Gruppe

Eine Gruppe ist eine Zusammenfassung von Benutzern, Computern und anderen Gruppen, die alle eine Gemeinsamkeit haben. Die Gruppe stellt ebenfalls ein Sicherheitsprinzipal dar.

InetOrgPerson

Active Directory im Windows Server 2003-Modus unterstützt die InetOrgPerson-Objektklasse und die diesem Objekt nach RFC 2798 zugeschriebenen Attribute. Die InetOrgPersonObjektklasse wird in einigen Nicht-Microsoft-LDAP oder X.500-Verzeichnisdiensten als Benutzerkonto verwendet. Dieses Konto dient zur Migration anderer LDAP-Verzeichnisdienste zum Microsoft Active Directory.

Nachrichtenwarteschlangenaliase MSMQ-Warteschlangenalias

Abkürzung für Microsoft Message Queuing-Alias (MSMQ). Gemeint ist ein Objekt in Active Directory, mit dem auf Warteschlangen verwiesen werden kann, die nicht in Active Directory aufgeführt sind. Für den Einsatz von MSMQ muss die entsprechende Anwendung in den Windows-Komponenten in der Softwareinstallation (Systemsteuerung) installiert sein.

Organisationseinheit

Organisationseinheiten dienen als Container zur logischen Organisation von anderen Verzeichnisobjekten. Sie sind mit Ordnern im Dateisystem vergleichbar.

Drucker

Ein freigegebener Drucker ist ein Netzwerkdrucker, der im Verzeichnis veröffentlicht wurde.

Benutzer

Ein Benutzer kann sich mit seinem Anmeldenamen und seinen Privilegien an der Domäne anmelden. Das Konto verfügt über Sicherheitsberechtigungen. Auch ein Benutzer ist ein Sicherheitsprinzipalobjekt.

Freigegebener Ordner

Ein freigegebener Ordner ist eine Netzwerkfreigabe, die im Verzeichnis veröffentlicht wurde.

Tabelle 3.2: Objekte, die sich in einem Containerobjekt befinden können

136



Organisationseinheiten innerhalb einer Domäne sind hierarchisch angeordnet, d.h., übergeordnete Einheiten können untergeordnete durch eine Vererbung verwalten, falls dies gewünscht ist. Alle Mitglieder einer Organisationseinheit gehören zu derselben Domäne und können sich an dieser anmelden. Es kann jedoch sein, dass für die Organisationseinheit eine Delegierung vergeben wurde und/oder dass eine Gruppenrichtlinie die Registrierungen der Clientcomputer beeinflusst.

Abbildung 3.3: Darstellung einer Domäne mit OUs

Es gibt zusammenfassend vier Gründe dafür, eine Active Directory-Struktur in Organisationseinheiten zu unterteilen: T Hierarchische Gliederung der Ressourcen (Benutzer, Computer etc.) Ihrer Organisation T Sie wollen Verwaltungsaufgaben delegieren, d.h. an andere Mitarbeiter abgeben. T Sie wollen Gruppenrichtlinien auf Benutzer und Computer anwenden. T Sie wollen Objekte für Benutzer ein- bzw. ausblenden.

3.2.2

Domäne

Die Domäne ist (wie bereits erwähnt) die logische Verwaltungseinheit in Active Directory. Durch eine Domäne wird ein Sicherheitsbereich definiert. Sicherheitseinstellungen, wie beispielsweise Administratorrechte, können nicht von einer Domäne auf eine andere Domäne übertragen werden. Eine Domäne ist eine abgeschlossene Verwaltungseinheit, die jedoch innerhalb der Gesamtstruktur mit anderen Domänen in Verbindung steht. Sie stellt die zentrale Sicherheitsgrenze dar, denn nur an einer Domäne können sich Benutzer anmelden, nicht an einer Organisationseinheit oder einer Struktur. Die Domäne ist nicht von der Hardware oder anderen physischen Bauelementen abhängig.


137

MCSE Examen 70-294

Warum hat man, wenn die Domänen schon in Verbindung stehen, nicht gleich eine große »Struktur« erstellt? Das Domänenkonzept innerhalb einer Gesamtstruktur sichert Ihnen einige Vorteile: T Übersichtliche Organisation von Objekten T Die Domäne enthält einige vordefinierte Container und frei definierbare Organisationseinheiten. T Unterteilung in unterschiedliche DNS-Namensräume T In einer Domäne werden alle relevanten Objekte gespeichert. Für die Kommunikation der Domänen untereinander sind nur die wichtigsten Objekte und Attribute relevant. Der Replikationsverkehr wird dadurch verringert. T Eine Domäne definiert einen Bereich oder eine Organisationseinheit für eine Richtlinie. Durch ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) können Sie festlegen, wie auf Domänenressourcen zugegriffen wird. Die Richtlinien gelten nur innerhalb der Domäne und sind nicht domänenübergreifend. Weitere Informationen zur Verwendung von Gruppenrichtlinien finden Sie in Kapitel 7. T Jede Domäne weist individuelle Sicherheitsrichtlinien und Vertrauensstellungen mit anderen Domänen auf. Die Gesamtstruktur ist jedoch die endgültige Sicherheitszone. Durch diese Art der Verzeichnispartitionierung kann Active Directory an eine große Anzahl von Objekten angepasst werden. Der Hauptgrund, ein Netzwerk in mehrere Domänen aufzuteilen, ist durch die folgende spezifische Eigenschaft von Domänen begründet: Alle Domänencontroller einer Domäne bilden eine Replikationseinheit. Alle Domänencontroller in einer Domäne sind in der Lage, Änderungen zu empfangen und alle diese Änderungen auf alle anderen Domänencontroller innerhalb derselben Domäne zu replizieren. Es liegt eine sog. Multimasterreplikation vor. Das heißt, die Replikation geht nicht nur von einem Domänencontroller aus, sondern jeder Domänencontroller kann Daten auf einen anderen replizieren. Jede Domäne wird durch einen DNS-Namen innerhalb einer Domänenhierarchie identifiziert. Jede Domäne wird durch mindestens einen für die Domäne autorisierenden Domänencontroller repräsentiert. Zur Ausfallsicherheit und zum Lastenausgleich sind – je nach Größe des Netzwerks – ein oder mehrere Domänencontroller empfehlenswert.

3.2.3

Struktur

Eine Struktur (Tree) ist ebenfalls eine logische Einheit. Verfügen mehrere Domänen in der Gesamtstruktur über fortlaufende DNS-Domänennamen, wird diese Struktur auch als Domänenstruktur bezeichnet.

138



Beispiel einer Struktur Eine Firma mit der Domäne pearson.de hat diverse untergeordnete Domänen. Da sie sich alle den gleichen Namensraum teilen, bekommen sie fortlaufende FQDNs. Wie aus der folgenden Tabelle zu ersehen ist, sind die Domänen us.pearson.de sowie jp.pearson.de der Domäne sales.uk.pearson.de nicht übergeordnet. Übergeordnete Domäne

Untergeordnete Domäne zu pearson.de sowie übergeordnete Domäne zu uk.pearson.de und finance.uk.infortech.de

Direkt untergeordnete Domäne zu uk.pearson.de und untergeordnet zu pearson.de

pearson.de

uk.pearson.de

sales.uk.pearson.de finance.uk.pearson.de

Tabelle 3.3: Beziehung zwischen der Ebene 1 Domäne und untergeordneten Domänen

Übergeordnete Domäne

Untergeordnete Domäne zu pearson.de

Untergeordnete Domäne

pearson.de

us.pearson.de

Nein

jp.pearson.de

Nein

Tabelle 3.4: Beziehung zwischen der Ebene-1-Domäne und untergeordneten Domänen

Je nach Sicht des Betrachters kann eine Domäne sowohl übergeordnet als auch untergeordnet fungieren. Jede Domäne kann hinsichtlich der Sicherheit individuell konfiguriert werden.

Abbildung 3.4: Eine Struktur (Domänenstruktur) besteht aus Domänen, die sich einen Namensraum teilen (hier pearson.de). Die Struktur ist immer ein Teil einer Gesamtstruktur.


139

MCSE Examen 70-294

Zwischen den Domänen besteht eine transitive bidirektionale Vertrauensstellung. Das bedeutet, dass bei entsprechender Konfiguration ein Anwender aus irgendeiner Domäne der Struktur auf Ressourcen einer anderen Domäne der Struktur zugreifen kann. Dies geschieht automatisch, sodass sich der Anwender nicht explizit an der anderen Domäne anmelden muss. Der Anwender benötigt immer nur ein Anmeldekonto. Jede der in der Struktur befindlichen Domänen ist nach folgenden Kriterien verbunden: T Zwischen den Domänen besteht eine transitive bidirektionale Vertrauensstellung. T Die in der Hierarchie höher gelegene Domäne (Parent Domain) kann die untergeordneten (Child Domain) Domänen verwalten. Die Methode wird auch als Top-Down-Verwaltungsstruktur bezeichnet. Eine umgekehrte Administration ist nicht möglich.

HIN WEIS

T Eine Struktur (Tree) stellt einen Teil einer Gesamtstruktur (Forest) dar.

Eine spätere Neustrukturierung ist möglich, erfordert jedoch einiges an Arbeitsschritten und kann in der Praxis mit hohen Kosten verbunden sein. Weiteres hierzu finden Sie in diversen Microsoft-Knowledgebase-Artikeln.

3.2.4

Gesamtstruktur

Die größte Verwaltungseinheit stellt die Gesamtstruktur dar. Es ist sehr schade, dass die Originalbezeichnung (Forest) nicht mit in die deutsche Übersetzung eingeflossen ist, drückt sie doch treffend das Verhalten dieser Verwaltungseinheit aus (Sinn: »Forest – Tree«). Definiert man den Begriff Gesamtstruktur, so kann man es auf den folgenden Satz bringen: Eine Gesamtstruktur ist eine logische Gruppierung oder eine hierarchische Anordnung von einer oder mehreren Strukturen, die durch getrennte Namensräume charakterisiert sind. Gesamtstrukturen besitzen folgende Merkmale: T Die Gesamtstruktur besteht aus einer oder mehreren (verschiedenen) Strukturen. T Für eine Gesamtstruktur existiert ein Schema, das sich alle darin enthaltenen Domänen teilen. T Die in der Gesamtstruktur enthaltenen Domänen sind zwar voneinander unabhängig, können jedoch über Vertrauensverhältnisse innerhalb der Gesamtstruktur kommunizieren. T Für die Gesamtstruktur existiert ein gemeinsamer Katalog: der sog. globale Katalog. T Alle Domänen innerhalb einer Gesamtstruktur sind durch bidirektionale, transitive Vertrauensstellungen miteinander verknüpft. Trotz der unterschiedlichen Namensräume innerhalb der Gesamtstruktur muss eine Domäne in der Hierarchie die höchste Stellung besitzen. Diese Domäne ist die sog. Stammdomäne (Forest Root Domain). Die Stammdomäne ist immer die zuerst erstellte Domäne. Eine Änderung der Namensräume und/oder eine Konsolidierung der Domänen ist möglich, verursacht

140



jedoch einen erheblichen Aufwand. Innerhalb der Stammdomäne befindliche Domänencontroller überwachen den Aufbau der Struktur. Damit wird sichergestellt, dass keine doppelten Namen oder nicht-autorisierte Domänen in die Gesamtstruktur aufgenommen werden. Diese Rollen werden als Flexible Single Master Operations-Roles (FSMO-Rollen) bezeichnet, die noch an späterer Stelle ausführlich behandelt werden. Gleiches gilt auch für den globalen Katalog, der für das Auffinden von Objekten innerhalb der Strukturen notwendig ist. Beachten Sie auch, dass – wie bei einer Struktur – Administratoren der höchsten Domäne alle untergeordneten Domänen verwalten können. Daraus folgt, dass Administratoren der Stammdomäne alle untergeordneten Domänen verwalten können.

Beispiel einer Gesamtstruktur Betrachten Sie nun die Beispielfirma im vollständigen Überblick. Als Stammdomäne ist pearson.de gewählt worden. Da die Firma aus zwei unabhängigen Produktionszweigen besteht, sind zwei Strukturen (Trees) ausgewählt worden: pearson.de und addison-wesley.de. Zwischen den Domänen besteht ein transitives bidirektionales Vertrauensverhältnis, genauso als würde man nur eine Struktur allein sehen. Die Gesamtstruktur dieser Firma besteht laut Abbildung 3.5 aus insgesamt 7 Domänen. Jede der Domänen wird durch mindestens einen Domänencontroller repräsentiert, der für die entsprechende Domäne autorisierend ist. Eine mögliche Größenordnung kann hier bei einigen Tausend Benutzern und Computern liegen.

Abbildung 3.5: Gesamtstruktur


141

MCSE Examen 70-294

3.3

Physische Strukturen

HIN WEIS

Unter den physischen Strukturen des Active Directory versteht Microsoft die Komponenten Domänencontroller und Standorte.

In Kapitel 3.3 wird das Prinzip von physischen Strukturen erläutert. Weitere Informationen finden Sie anschließend im Design-Teil (Kapitel 3.4). Dieser beschreibt den praktischen Einsatz aller Active Directory-Komponenten.

3.3.1

Active Directory-Objekte

Alle in Active Directory gespeicherten Daten werden in Form von Objekten in der Active Directory-Datenbank abgelegt. Dies können Informationen über Benutzer, Computergeräte, Drucker, Datenbanken, Gruppen usw. sein. Wie ist nun ein Objekt definiert? Zunächst kann man sagen, dass das objektorientierte Programmieren der Versuch ist, die reale Welt zu modellieren. Schaut man in diverser Literatur nach, so findet sich folgende Erklärung: Ein Objekt ist ein Konzept, eine Abstraktion oder ein Gegenstand mit klaren Abgrenzungen und einer präzisen Bedeutung für das anstehende Problem1. Betrachtet man eine Software, die objektorientiert programmiert wurde, findet man aus gleicher Quelle eine folgende Erklärung: Die Software kann als eine Kollektion diskreter Objekte betrachtet werden, die sowohl Datenstruktur als auch Kollektion in sich vereinen. Dies steht im Gegensatz zur konventionellen Programmierung, bei der die Datenstruktur und Verhalten nur lose miteinander verbunden sind. Tabelle 3.5 listet die Eigenschaften von Objekten auf. Eigenschaft

Beschreibung

Identität

Die Identität ist die charakteristische Eigenschaft eines Objekts. Sie wird oft als Attribut bezeichnet. Attribute beschreiben den Namen einer Datei, deren Größe oder Standort.

Klassifikation

Durch eine Klassifikation werden alle Objekte in Klassen vereint. Man spricht hier von Objektklassen.

Polymorphismus

Die gleiche Operation (zum Beispiel »Drucken«) kann sich in verschiedenen Klassen unterschiedlich verhalten.

Vererbung

Eigenschaften können vererbt werden. Dies geschieht wie im richtigen Leben an Kinder – in der Programmierung an child objects. (Die deutsche Übersetzung lautet untergeordnete Objekte.)

Tabelle 3.5: Definition von Objekteigenschaften

1. J. Rumbaugh, M. Blaha, W. Premerlani, E. Eddy, W. Lorensen, »Objektorientiertes Modellieren und Entwerfen«, 1993, Carl Hanser Verlag.

142

3.3 Physische Strukturen


Aus der allgemeinen Definition können Sie den Gebrauch der Active Directory-Objekte an folgenden Beispielen einfach herleiten: T Das Objekt Computer hat Attribute wie Computername, Beschreibung, ... T Das Objekt Benutzer hat Attribute wie Anmeldename, Beschreibung, ... T Das Objekt Container enthält weitere Objekte und hat gleichzeitig Attribute. T Alle Objekte unterliegen einer Vererbung. In der Hierarchie höher liegende Objekte können Identitäten an untergeordnete Objekte vererben, wie es zum Beispiel bei den Gruppenrichtlinien geschieht.

3.3.2

Das Active Directory-Schema

Das Active Directory-Schema dient als Definition für alle Objekte, die in der Active DirectoryDatenbank vorkommen. Für sie gelten alle in Kapitel 1.1.1 beschriebenen Definitionen. Selbstverständlich werden auch die Schemadefinitionen selbst als Objekte programmiert und besitzen daher dieselben Eigenschaften wie die Active Directory-Objekte, die sie beschreiben. Das Schema ist in zwei Objekttypen unterteilt: 1. Schemaklassenobjekte (Schemaklassen) 2. Schemaattributobjekte (Schemaattribute) Schemaklassenobjekte und -Schemaattribute werden in getrennten Listen innerhalb des Schemas definiert. Hierbei beschreiben Schemaklassenobjekte diejenigen Objekte, die in Active Directory erstellt werden können. Das kann zum Beispiel ein Objekt für einen Computer sein (Abbildung 3.6). Gemäß der Objektdefinition enthält das Objekt eine Reihe von Eigenschaften. Darunter fallen auch die Attribute. Anders formuliert, stellt jedes Objekt in Active Directory eine Instanz einer Schemaobjektklasse dar. Der zweite Objekttyp definiert diejenigen Schemaklassenobjekte, mit denen sie verknüpft sind. Gemäß dem Polymorphismus bei Objekten kann ein und dieselbe Operation oder Eigenschaft auf mehrere Objekte zutreffen. Damit man nicht für jedes Objekt immer wieder die gleiche Eigenschaft definiert, beschreibt man sie einmal und verknüpft sie anschließend mit denjenigen Objekten, auf die diese Eigenschaft zutrifft. Dieses Verfahren spart nicht nur Speicherplatz, sondern gewährleistet auch eine Übersichtlichkeit und Normierung. Schemaänderungen können an dieser Stelle einfach eingreifen und eine Eigenschaftsänderung für alle verknüpften Objekte bewirken. Eine Schemaänderung ist immer dann sinnvoll, wenn die Funktion der Active DirectoryDatenbank grundlegend verändert oder erweitert werden soll. Beachten Sie, dass ein Schemaobjekt später nicht mehr gelöscht, sondern nur deaktiviert werden kann.


143

MCSE Examen 70-294

Abbildung 3.6: Schemaänderungen sind über das Snap-In schmmgmt.msc durchzuführen.

HIN WEIS

Eine Änderung des Schemas ist zum Beispiel notwendig, wenn neue Applikationen in das Active Directory integriert werden müssen, wie das beim Exchange Server 2003 notwendig ist. Das Installationsprogramm von Exchange übernimmt dann die Änderung des Schemas. Auch hier gilt leider, dass das einmal installierte Exchange nicht wieder vollständig deinstalliert werden kann. Deaktivierte Objekte aus alten Applikationen sind ein Ballast und vergrößern die Active Directory-Datenbank auf allen Domänencontrollern.

Zur Änderung des Schemas müssen Sie Mitglied der Gruppe Schema-Admins oder Organisations-Admins sein.

3.3.3

Domänencontroller

Ein Microsoft-Domänencontroller ist ein Computergerät, auf dem ein Microsoft-Server mit der Zusatzfunktion »Verzeichnisdienste« installiert ist. Die Verzeichnisdienste haben vielfältige Aufgaben wie das Verwalten von Benutzern, Computern und Diensten. In der Geschichte von Microsoft gibt es eine Reihe von Domänencontrollern: T Windows NT 3.5x- und Windows NT 4.0-Domänencontroller (kein Active Directory) T Windows 2000-Domänencontroller (Windows 2000 Server Active Directory) T Windows Server 2003-Domänencontroller (Windows Server 2003 Active Directory)

144



Der Domänencontroller unterscheidet sich von einem normalen Server (Mitgliedsserver, wenn der Server Mitglied einer Domäne ist) dadurch, dass er ein Domänenverzeichnis, bzw. eine Verzeichnisdatenbank hostet. Ein Windows Active Directory-Domänencontroller führt die Active Directory-Services aus, die die Datenbank verwalten. Sie bewirken, dass die Datenbank auf andere Domänencontroller repliziert wird. Jeder Domänencontroller in einer Domäne besitzt das vollständige Replikat der Active Directory-Datenbank. Ein Domänencontroller kann immer nur einer Domäne angehören. Die Leistungsfähigkeit der Domänencontroller richtet sich nach der Produktversion. Damit die o.g. Domänencontroller miteinander kommunizieren können, hat Microsoft Kompatibilitätslevel eingerichtet und diese als Gesamtstrukturfunktionsebene bezeichnet. Die Active Directory-Dienste verwenden eine Multimasterreplikation. Bei dieser Replikationsart gibt es keinen Domänencontroller, der als Master fungiert, sondern alle Domänencontroller replizieren gleichwertig Änderungen der Datenbank. Jeder Domänencontroller besitzt eine vollständige Kopie der Verzeichnisdatenbank. Ziel der Multimasterreplikation ist es, in einer möglichst kurzen Zeit alle Domänencontroller auf den neuesten Informationsstand zu bringen. Bei einigen Änderungen ist der Zeitfaktor nicht so ausschlaggebend; bei anderen, wie einer Kontodeaktivierung, muss er so kurz wie nur möglich sein. Daher wird bei einer sicherheitsrelevanten Änderung eine sofortige Replikation gestartet.

HIN WEIS

Durch das Bereitstellen mehrerer Domänencontroller in einer Domäne sinkt das Ausfallrisiko, da die verbleibenden Domänencontroller die Aufgaben des ausgefallenen Domänencontrollers übernehmen können.

Mehr zum Thema Replikation finden Sie in Kapitel 4.4.

Fazit: Ein Domänencontroller verwaltet nicht nur Benutzer und Computer, sondern kennt auch die Gesamtstruktur. Er verwaltet sowohl Dienste, die die Struktur betreffen als auch Applikationen, wie Exchange Server.

3.3.4

Vertrauensstellungen

Mit einer Vertrauensstellung (Trust) können Sie zwei Domänen miteinander verknüpfen. Das Prinzip beruht darauf, dass ein Zugriff über die Domänengrenzen hinweg zu Ressourcen anderer Domänen ermöglicht wird. Wenn die Ressource über eine ACL (Access Control List) geschützt ist, muss es eine Möglichkeit geben, dem »fremden« Anwender entsprechende Zugriffsberechtigung zu erteilen. Dies geschieht nach folgendem Prinzip: Bei Vertrauensstellungen gibt es immer zwei Rollen, die die Domänen einnehmen: T Die vertrauende Domäne (Trusting Domain) T Die vertraute Domäne (Trusted Domain)


145

MCSE Examen 70-294

Hierbei existieren uni- und bidirektionale Vertrauensverhältnisse. In einer Domänenstruktur ist das Vertrauensverhältnis immer bidirektional und transitiv.

ACH TUNG

Benutzer und Anwender werden von einem Domänencontroller unter Verwendung der Protokolle Kerberos V5 oder NT Lan Manager (NTLM) authentifiziert. Ist eine Authentifizierung mit dem Standardprotokoll Kerberos nicht erfolgreich, wird eine Authentifizierung mit dem NTLM versucht. Aus Sicherheitsgründen ist es daher möglich, das alte unsichere NTLM-Protokoll zu deaktivieren.

Beim Zugriff auf Ressourcen verwenden Benutzer immer nur ihr Konto: Merke: »Verwenden Sie ein einziges Konto für eine Anmeldung, und Sie können sich an verschiedenen Computern verschiedener Domänen anmelden.«

Unidirektionale Vertrauensstellungen In der Definition ist die vertrauende Domäne immer diejenige, die die Ressourcen bereitstellt. Sie wird deshalb auch als Ressourcendomäne bezeichnet. Die vertraute Domäne ist diejenige, an der sich Benutzer anmelden, um anschließend einen Zugriff auf die Ressource zu erlangen. Die in der vertrauten Domäne definierten Benutzerkonten und globalen Gruppen können die Rechte und Berechtigungen in einer vertrauenden Domäne auch dann erhalten, wenn die Benutzerkonten oder Gruppen im Verzeichnis der vertrauenden Domäne nicht vorhanden sind. Die vertrauende Domäne übernimmt bei Anmeldungen die Echtheitsbestätigung (Pass-Through-Authentication) der vertrauten Domäne. Alle unidirektionalen Vertrauensstellungen sind nicht transitiv. Tabelle 3.6 verdeutlicht den Zusammenhang zwischen Anmelden und Zugriff. Aktion

Vertrauende Domäne

Vertraute Domäne

Anmelden an

Konten beider Domänen

Nur eigene Konten

Zugriff auf Ressourcen


Nur eigene Konten

Tabelle 3.6: Zugriff und Anmeldung gehen miteinander einher.

Abbildung 3.7: Unidirektionale Vertrauensstellung (One-Way-Trust)

146



Vertrauensrichtung und Vertrauenspfade Wenn Sie auf Ressourcen in der vertrauenden Domäne zugreifen möchten, stellt das Sicherheitssystem des Windows-Servers fest, ob zwischen den betreffenden Domänen ein Vertrauensverhältnis besteht. Zu diesem Zweck wird ein Vertrauenspfad zwischen einem Domänencontroller der vertrauenden und der vertrauten Domäne berechnet. Die verwendete Vertrauensrichtung besteht immer von der vertrauenden hin zur vertrauten Domäne. In Abbildung 3.7 verläuft die Vertrauensrichtung von links nach rechts. Da in einer Gesamtstruktur eine Vielzahl von Vertrauensverhältnissen bestehen können, sind im Vertrauenspfad alle Vertrauensstellungen zusammengefasst.

Bidirektionale Vertrauensstellungen Eine bidirektionale Vertrauensstellung entspricht einer doppelseitigen unidirektionalen Vertrauensstellung. Der Zugriff auf Ressourcen ist auf beiden Seiten möglich. Benutzer von beiden Domänen können sich auf Clientcomputern beider Domänen anmelden.

Abbildung 3.8: Bidirektionale Vertrauensstellung (Two-one-way-Trust)

Transitive Vertrauensstellungen Eine transitive Vertrauensstellung ist eine durchgehende Vertrauensstellung. Abbildung 3.9 verdeutlicht den Sachverhalt: Wenn die Domäne A einer Domäne B vertraut und gleichzeitig die Domäne B der Domäne C vertraut, dann vertraut auch die Domäne A der Domäne C.

Abbildung 3.9: Bidirektionale, transitive Vertrauensstellungen


147

MCSE Examen 70-294

Besondere Formen von Vertrauensstellungen Die Windows Server 2003-Familie kennt 6 Formen von Vertrauensstellungen: Standardvertrauensstellungen: T Überordnungs-Unterordnungs-Vertrauensstellung (Parent-Child-Vertrauensstellung) T Strukturstamm-Vertrauensstellung Weitere Vertrauensstellungen: T externe Vertrauensstellung T Bereichsvertrauensstellung T Gesamtstrukturverstrauensstellung

HIN WEIS

T Verknüpfungsvertrauensstellungen (Shortcut-Vertrauensstellung)

Man kann sich über die Übersetzung aus dem Englischen wundern, werden doch seltsame Wortkonstrukte kreiert. Wir müssen (leider) hinnehmen, was uns als Übersetzung von Microsoft geboten wird.

Überordnungs-Unterordnungs-Vertrauensstellung Dieses schöne Wortkonstrukt beschreibt die standardmäßige Vertrauensstellung von Domänen innerhalb einer Gesamtstruktur. Zum besseren Verständnis: T Übergeordnet = Parent T Untergeordnet = Child

Abbildung 3.10: Vertrauensverhältnisse in einer Gesamtstruktur können sich summieren: Auch die Domäne finance.uk.pearson.de vertraut der Domäne jp.pearson.de!

148



Zusammen bilden die Parent-Domäne und die Child-Domäne ein transitives bidirektionales Vertrauensverhältnis. Es wird automatisch beim Erstellen der untergeordneten (Child) Domäne eingerichtet. Bedenken Sie auch, dass sich bei einer großen Anzahl von Domänen alle untereinander bidirektional vertrauen, d.h., es besteht auch ein Vertrauensverhältnis zwischen einer Domäne der dritten Ebene des einen Namensraums und eine Domäne der zweiten Ebene in einem anderen Namensraum (siehe Abbildung 3.10). Strukturstamm-Vertrauensstellung Eine Strukturstamm-Vertrauensstellung wird erstellt, wenn Sie einer Gesamtstruktur eine neue Domänenstruktur hinzufügen. Sie ist transitiv und bidirektional.

Abbildung 3.11: Darstellung einer Gesamtstruktur. Sie besteht aus zwei Domänenstrukturen, die über eine Strukturstamm-Vertrauensstellung miteinander verbunden sind.

Externe Vertrauensstellung Sie verwenden eine externe Vertrauensstellung, um den Zugriff auf Ressourcen auf einer Domäne innerhalb einer separaten Gesamtstruktur oder auf einer Windows NT 4.0-Domäne zu ermöglichen. Die externe Vertrauensstellung muss von einem Systemadministrator explizit zwischen den beiden Domänen eingerichtet werden. Die Vertrauensstellung ist immer dann notwendig, wenn keine standardmäßige Vertrauensstellung eingerichtet werden kann. Externe Vertrauensstellungen sind nicht transitiv. Je nach Bedarf können sie uni- oder bidirektional sein und können in allen Domänenfunktionsebenen eingerichtet werden.


149

MCSE Examen 70-294

Abbildung 3.12: Externe Vertrauensstellungen zwischen unabhängigen Strukturen

Gesamtstrukturverstrauensstellung (Forest-Trust) Gesamtstrukturvertrauensstellungen sind eine Neuheit von Windows Server 2003. Es ist nun möglich, nicht nur eine uni- oder bidirektionale Vertrauensstellung herzustellen, wie in Abbildung 3.12 gezeigt, sondern eine, die auch transitiv ist. Voraussetzung hierfür ist, dass beide Gesamtstrukturen einheitlich Windows Server 2003-Domänencontroller verwenden. Sie müssen die Domänenfunktionsebene Windows Server 2003 verwenden. Diese Funktionsebene bedeutet, dass sich keine Windows NT- oder Windows 2000-Server mehr innerhalb der Gesamtstruktur befinden dürfen. Wie bei der externen Vertrauensstellung wird die Gesamtstrukturvertrauensstellung zwischen die Stammdomänen der jeweiligen Gesamtstrukturen gesetzt. Das transitive Verhalten ist auf zwei Gesamtstrukturen begrenzt. Haben Sie mehr als zwei Gesamtstrukturen, ist die Transitivität lediglich auf zwei Gesamtstrukturen anwendbar, bei den anderen ist die Transitivität nicht möglich.

HIN WEIS

Wenn Sie zum Beispiel eine Gesamtstruktur A, B und C haben und diese jeweils mit einer Gesamtstrukturvertrauensstellung verbinden, dann ist die Verbindung zwischen A und B transitiv, aber zwischen A und C nicht. Es gibt also keine Vertrauensstellung zwischen A und C.

Unter Windows 2000 Server musste eine externe Vertrauensstellung zwischen zwei Domänen erstellt werden, wenn Benutzer der einen Gesamtstruktur Zugriff auf die zweite Gesamtstruktur benötigten. Die externen Vertrauensstellungen sind unidirektional und nicht transitiv.

150



Abbildung 3.13: Beispiel einer transitiven Gesamtstrukturvertrauensstellung, die sich nur auf jeweils zwei von drei Strukturen erstrecken kann.

Gesamtstrukturvertrauensstellungen bieten Ihnen folgende Vorteile gegenüber herkömmlichen Vertrauensstellungen: 1. Der Einsatz von Gesamtstrukturvertrauensstellungen reduziert die Anzahl der externen Vertrauensstellungen, wenn der universelle Zugriff auf Ressourcen innerhalb der jeweiligen Domänen gewünscht wird. 2. Falls dies gewünscht ist, haben Sie sofort bidirektionale Vertrauensstellungen zwischen allen Domänen zweier Gesamtstrukturen. Verknüpfungsvertrauensstellung Verwenden Sie Verknüpfungsvertrauensstellungen (auch Shortcutvertrauensstellung genannt), um die Benutzeranmeldezeiten zwischen zwei Domänen innerhalb einer Gesamtstruktur zu optimieren. Dies ist hilfreich, wenn zwei Domänen durch zwei Domänenstrukturen getrennt sind. Verknüpfungsvertrauensstellungen sind uni- oder bidirektionale transitive Vertrauensstellungen. Bevor ein Benutzer auf eine Ressource einer vertrauenden Domäne zugreifen darf, stellt das Sicherheitssystem des Domänencontrollers fest, ob zwischen der vertrauten und vertrauenden Domäne eine Vertrauensstellung besteht. Normalerweise müssen Authentifizierungsanforderungen einen Vertrauenspfad zwischen den Domänenstrukturen durchlaufen. Bei einer komplexen Gesamtstruktur kann dies einige Zeit beanspruchen. Diese Zeit kann mit Hilfe von Verknüpfungsvertrauensstellungen verkürzt werden. Der Vertrauenspfad wird vom Vertrauenstyp und der zugehörigen Richtung beeinflusst. Im Vertrauenspfad sind diejenigen Vertrauensstellungen zusammengefasst, die Authentifizierungsanforderungen zwischen Domänen durchlaufen müssen. Ein Vertrauenspfad besteht zwischen einem Domänencontroller in der vertrauenden Domäne und einem in der vertrauten Domäne.


151

MCSE Examen 70-294

Abbildung 3.14: Verknüpfungsvertrauensstellungen verkürzen den Vertrauenspfad und optimieren dadurch die Authentifizierungsgeschwindigkeit.

Bereichsvertrauensstellung

HIN WEIS

Sie können eine Bereichsvertrauensstellung (auch Bereichsverknüpfung genannt) verwenden, um eine Vertrauensstellung zwischen einer Windows Server 2003-Domäne und einem Nicht-Microsoft-Windows-Kerberos-Bereich (beispielsweise von Linux oder anderen UNIXImplementierungen) herzustellen. Bereichsvertrauensstellungen können unidirektional oder bidirektional, transitiv oder nicht transitiv sein.

Ist ein Benutzer von einem Domänencontroller authentifiziert, so heißt dies nicht, dass er automatisch auf Ressourcen der vertrauenden Domäne zugreifen darf. Dies wird ausschließlich durch die Rechte und Berechtigungen bestimmt, die dem Benutzerkonto für die vertrauende Domäne erteilt wurden.

152



3.3.5

Active Directory-Partitionen und Replikation

HIN WEIS

Dieses Unterkapitel wird Ihnen die Grundfunktionen von Active Directory-Partitionen und deren Replikation näher bringen. Unser Ziel ist es, insbesondere die Aspekte, die die Standortplanung betreffen, zu erläutern.

Mehr Informationen finden Sie in Kapitel 4.4.

Aufgabe der Replikation Möchten Computer und Benutzer Zugriff auf Computer in der Domäne erlangen, müssen sie sich an einem Domänencontroller authentifizieren. Hierfür benötigen sie neben einem DNSServer und einem globalen Katalogserver (nur obligatorisch bei mehreren Domänen) einen Domänencontroller. Ab Windows 2000 Server kann jeder Domänencontroller Änderungen durchführen. Er ist ein Master für seine Datenbank. Wenn zum Beispiel ein Administrator einen neuen Benutzer auf dem Domänencontroller A einrichtet, müssen die Informationen zu den anderen Domänencontrollern der eigenen Domäne hin repliziert werden, damit die Active Directory-Datenbank Ntds.dit immer auf allen Domänencontrollern identisch ist. Die Active Directory-Verzeichnisdienste verwenden ein sog. Multimasterreplikations-Modell. Bei der Replikation der Daten werden aber auch Domänencontroller anderer Domänen der Gesamtstruktur angesprochen, egal in welchem Standort sie sich befinden. Da eine Gesamtstruktur mehrere hundert Domänencontroller beinhalten kann, wäre eine vollständige Replikation der Datenbank aller Domänencontroller eine »fast unmögliche« Aktion. Daher wurden folgenden Maßnahmen ergriffen: T Das Active Directory-Verzeichnis wird in 4 Partitionen (Namenskontexte) unterteilt, damit nicht immer alle Informationen repliziert werden müssen. T Es wird eine Replikationstopologie berechnet, um die Anzahl der Replikationen der Domänencontroller untereinander zu steuern und zu minimieren. T Die Replikation wird in eine standortinterne und in eine standortübergreifende Replikation unterteilt. Mit Hilfe der Replikation wird außerdem die Verfügbarkeit des globalen Katalogs in der Gesamtstruktur sichergestellt. Der globale Katalog ist ein besonderer Verzeichnisspeicher, der die wichtigsten Attribute von Objekten in der Gesamtstruktur enthält. Er fungiert als Suchmaschine für alle Clients, die auf Objekte außerhalb ihrer Domäne zugreifen wollen. Der globale Katalog wird auf Domänencontrollern gespeichert, die für diese Funktion aktiviert wurden. Per Voreinstellung ist der erste Domänencontroller in der Stammdomäne der globale Katalogserver der Gesamtstruktur. Die Replikation ist auch von der Domänenfunktionsebene abhängig.


153

MCSE Examen 70-294

HIN WEIS

Der interne Prozess Konsistenzprüfung (Knowledge Consistency Checker, KCC) ist für die Ermittlung einer optimalen Replikationstopologie verantwortlich. Er läuft auf allen Domänencontrollern, überprüft in Intervallen von 15 Minuten die bestehende Replikationstopologie und verändert sie gegebenenfalls, um eine direkte oder transitive Ausbreitung der Informationen sicherzustellen1.

Der Knowledge Consistency Checker, KCC, ist ein interner Prozess von Windows 2000 Server oder Windows Server 2003 und nicht, wie teilweise beschrieben, ein Dienst. Dies würde implizieren, dass Sie diesen Dienst im Verwaltungsprogramm Dienste wiederfinden.

Active Directory-Partitionen (Namenskontexte) Die Active Directory-Verzeichnisdienste speichern alle Informationen in einer Datenbank (auch Verzeichnisspeicher genannt) ab. Diese Datenbank, die durch die ESE (Extensible Storage Engine) verwaltet wird, ist die Datei Ntds.dit. Sie ist in jeweils 4 zusammenhängende Teilstrukturen unterteilt, die auch Verzeichnispartitionen genannt werden. Ein Domänencontroller bekommt immer ein vollständiges Replikat einer Verzeichnispartition. Je nach Funktion erhält er ein bis vier Replikate der Verzeichnispartitionen. Ein Active Directory-Verzeichnis besteht aus den folgenden 4 Partitionen: T Schemapartition: Diese Partition definiert alle Objekte und Attribute in dem Active Directory und wird auf alle Domänencontroller in der Gesamtstruktur repliziert. Weitere Informationen über das Schema finden Sie unter Das Active Directory Schema in diesem Buch. T Konfigurationspartition: In der Konfigurationspartition finden sich die Domänenstruktur und die Replikationstopologie wieder. Sie finden dort eine Auflistung aller Domänen, Strukturen, Gesamtstrukturen sowie die Standorte der Domänencontroller und der globalen Katalogserver. Diese Informationen werden auf alle Domänencontroller der Gesamtstruktur repliziert. T Domänenpartition: Hier finden Sie Informationen zu Objekten in einer Domäne, d.h. Sicherheitsprinzipale wie beispielsweise Benutzer- oder Computerkonten. Die Informationen sind domänenspezifisch und werden daher auf alle Domänencontroller derselben Domäne repliziert. Andere Domänen der Gesamtstruktur werden nicht angesprochen. T Anwendungspartition: Hier werden die anwendungsspezifischen Daten des Active Directory gespeichert. Anwendungsverzeichnispartitionen sind nicht standardmäßig Bestandteil des Verzeichnisdatenspeichers. Sie stellen eine Option dar, um benutzerdefiniert eine Replikation von beliebigen Objekten (mit Ausnahme von Sicherheitsprinzipalen) an beliebige Domänencontroller zu steuern. Die Anwendungspartition ist eine Neuerung der Windows Server 2003-Familie.

1. Jill Spealmann, Kurt Hudson, Melissa Craft, »Microsoft Windows Server 2003, Active Directory Infrastruktur«, Microsoft Press, 2003.

154



Abbildung 3.15: Aufteilung der Active Directory-Datenbank ntds.dit in 4 Partitionen

Standortinterne Replikation Die standortinterne Replikation geht davon aus, dass die Verbindungen zwischen den Domänencontrollern sehr schnell sind, sodass ein Replikationsverkehr die Datenleitung nicht blockiert. Innerhalb des Standorts können Sie eine oder mehrere Domänen gruppieren. Der Standort kann aber auch nur aus einem Teil einer Domäne bestehen. Innerhalb des Standorts erzeugt der KCC (Knowledge Consistency Checker) eine Replikationstopologie in Ringform, damit gewährleitstet ist, dass alle Domänencontroller ein Update erhalten und dieses auch an andere weitergeben können. Jeder der Domänencontroller kann bis maximal drei Replikationspartner ansprechen. Die Begrenzung ist sinnvoll, da sonst jeder Domänencontroller mit jedem kommunizieren würde und es durch Laufzeitverschiebungen Inkonsistenzen in der Verzeichnisdatenbank geben würde. Fazit: Die Replikation innerhalb eines Standorts ist ringförmig, und jeder Domänencontroller hat bis zu drei Replikationspartner.

Standortübergreifende Replikation Die standortübergreifende Replikation ist bemüht, den Datentransfer über die Standortverbindung so klein wie nur möglich zu halten. Würde es keine standortübergreifende Konfigurationsmöglichkeit geben, könnten bis zu drei Domänencontroller gleichzeitig eine Replikation über die Datenleitung senden bzw. empfangen. Weitere Informationen über die standortübergreifende Replikation finden Sie in Kapitel 4.4. Fazit: Der Transport über die Standortverknüpfung kann komprimiert und gebündelt werden.


155

MCSE Examen 70-294

3.3.6

Standorte

In Active Directory repräsentieren die Standorte die physikalische Struktur, d.h. die Topologie des Netzwerks. Ein Standort besteht daher aus einem oder mehreren Subnetzen, die über sichere und schnelle Verbindungen miteinander verbunden sind. Es gibt Microsoft-Quellen1, die ein Netzwerk ab einer Bandbreite von 512 KBit/s als schnell definieren, doch sollten Sie diesen Wert für die Praxis unter Vorbehalt sehen. Eine Netzwerkverbindung von 128 bis 512 KBit/s ist für einen Synchronisationsverkehr zwar ausreichend, eine vollständige Replikation müssen Sie dann aber auf Nachtzeiten verschieben. Verwenden Sie daher innerhalb eines Standorts Netzwerkverbindungen mit mindestens 10 MBit/s. Andere Microsoft-Quellen2 sprechen allerdings von einer Bandbreite von 28,8 KBps, die für 100.000 Anmeldungen an einen Domänencontroller ausreichend sein soll. Würde man eine Bandbreite von 128 KBps haben, die zu 10% für eine Replikation bereitsteht, könnten sich bis zu 40.000 Anwender auf einem Domänencontroller anmelden. Bedenken Sie bei solchen Zahlen, dass es sich nur um eine Anmeldung und nicht um sonstigen Replikationsverkehr handelt.

Funktion Der Standort hat in der Regel die gleichen Grenzen wie ein normales lokales Netzwerk, es sei denn, Sie haben sehr schnelle WAN-Strecken, deren Geschwindigkeit mit einem LAN vergleichbar ist. Gruppieren Sie also alle Domänencontroller und Server in Ihrem Firmen-LAN zu einem gemeinsamen Standort. Der Standort ist von der logischen Gruppierung der Computer und der Domänenstruktur völlig unabhängig. Folglich kann ein Standort eine oder mehrere Domänen umfassen. Es ist auch zulässig, dass die Domäne in LAN- und WAN-Strecken unterteilt ist und es sich daher lohnt, die Domäne in unterschiedliche Standorte zu unterteilen. Mit den Standorten bilden Sie Replikationsgruppen, auch Routinggruppen genannt. Die Standorte sind untereinander durch sog. Standortverknüpfungen verbunden. Sie können die Standortverknüpfung so konfigurieren, dass Sie die Replikation in Abhängigkeit von Kosten und Zeit durchführen. Innerhalb der Standorte ist die Replikation auf Sicherheit und Geschwindigkeit ausgelegt. Diejenigen Domänencontroller, die die Standortverknüpfung verwalten, heißen Bridgeheadserver, denn sie bilden einen Brückenkopf zwischen den Standorten. Sie kommunizieren per Voreinstellung sowohl über das Internet-Protokoll als auch über das SMTP (Simple Mail Transfer Protocol).

1. Jill Spealmann, Kurt Hudson, Melissa Craft, »Microsoft Windows Server 2003, Active Directory Infrastruktur«, Microsoft Press, 2003. 2. »Designing and Deploying Directory and Security Services«, Microsoft Windows Server 2003 Deployment Services, Microsoft Technet.

156



Abbildung 3.16: Standorte in Windows Server 2003, am Beispiel zweier Standorte

Das Datenvolumen innerhalb eines Standorts kann bei entsprechender Konfiguration folgende Dienste umfassen: T Veränderungen der Active Directory-Datenbank T Replikation des SYSVOL-Ordners T Replikation des Distributed File Systems (DFS) Veränderungen der Active Directory-Datenbank werden durch das Erstellen, Löschen oder Verändern von Objekten hervorgerufen. Objekte können für Anwender, Computer oder auch für Dienste erstellt werden. Das System Volume (SYSVOL) ist eine Sammlung von Ordnern und Dateien, die auf jedem Domänencontroller gleichermaßen existieren müssen. Sie beinhalten Anmeldeskripte und GPOs (Group Policy Objects) für Gruppenrichtlinien. Die Replikation wird durch das FRS (File Replication Service) gesteuert. Das DFS (Distributed File System) können Sie Active Directory-integriert oder ohne die Integration erstellen. Im ersten Fall sorgt das Active Directory für die Replikation und im zweiten Fall der DFS-Dienst. Sobald DFS keine Kopie der Informationen innerhalb des gleichen Standorts wie der Client findet, verwendet der Dienst die Standortinformationen im Active Directory um zu entscheiden, welcher Dateiserver einen DFS-Share (Freigabe) besitzt und gleichzeitig am nächsten zum Client liegt. 3.3 Physische Strukturen

157

MCSE Examen 70-294

Verbindungsobjekte und Replikation Der Prozess Knowledge Consistency Checker (KCC) erstellt automatisch Verbindungsobjekte, sobald ein weiterer Domänencontroller der Gesamtstruktur beitritt. Der KCC ist ein Windowsinterner Prozess, der auf allen Domänencontrollern läuft. Sie können jedoch auch Verbindungsobjekte manuell erstellen, die dann nicht über den KCC verändert werden. Wenn Sie ein Verbindungsobjekt abändern, das über den KCC erstellt wurde, konvertieren Sie dieses automatisch in ein manuelles Verbindungsobjekt. Das Verbindungsobjekt ist ein Active Directory-Objekt, das die Replikation von einem Domänencontroller zum anderen Domänencontroller repräsentiert. Der Domänencontroller kann nur Mitglied eines Standorts sein und ist somit nur mit einem Serverobjekt im Active Directory vertreten. Jedes Standortserverobjekt hat untergeordnete NTDS Settings, die die Replikation des Domänencontrollers innerhalb des Standorts bewirken. Die NTDS Settings sind ebenfalls in einem Objekt abgelegt. Das Verbindungsobjekt ist den NTDS Settings auf dem Zielserver untergeordnet. Damit eine Replikation zwischen den beiden Domänencontrollern stattfindet, muss ein Serverobjekt ein Verbindungsobjekt besitzen, das die eingehende Replikation vom Kommunikationspartner darstellt. Alle Replikationsverbindungen eines Domänencontrollers sind in den Verbindungsobjekten unter NTDS Settings gespeichert. Das Verbindungsobjekt beschreibt nicht nur die Replikation des Quellservers, sondern enthält auch den Replikationsplandienst.

Abbildung 3.17: Darstellung des Verbindungsobjekts unter NTDS Settings, das automatisch vom KCC generiert wurde. Mehr zu der Verwaltung von NTDS Settings finden Sie in Kapitel 4.

Innerhalb eines Standorts verläuft die Verbindung zwischen den Domänencontrollern immer in einem bidirektionalen Ring, verbunden über zusätzliche Verbindungen, die Verzögerungen in großen Standorten vermeiden. Zwischen den Standorten, also standortübergreifend, wird ein Spanning Tree über alle Standorte eingerichtet, um einem Ausfall einer Standortverknüpfung vorzubeugen. Der KCC erstellt keine Shortcut-Verknüpfungen zwischen Standorten.

158



Abbildung 3.18: Replikation über Standortverknüpfungen im Vergleich zur standortinternen Replikation anhand dreier Standorte

Damit Standortverknüpfungen gegen Ausfall geschützt sind, können Sie mehrere physikalische Leitungen zum jeweiligen Partnerstandort legen. Welche Leitung verwendet wird, entscheiden Sie über die Kosteneinstellung und über die Tageszeit. Fällt eine direkte Verbindung zu einem Standort aus, kann sie wegen der Transitivität auch über Umwege stattfinden.

Alle Domänencontroller werden bei der Installation automatisch an einem Standort zusammengefasst. Alle Verbindungsobjekte werden automatisch so konfiguriert, dass eine Replikation nach einem Ring-Muster stattfindet. Ein Optimum wird bereits durch den KCC berechnet.

Standortverknüpfungsbrücke Eine Standortverknüpfungsbrücke ist ein Active Directory-Objekt, das mehrere Standortverknüpfungen repräsentiert. Die Standorte können über IP oder SMTP (Simple Mail Transfer Protocol) miteinander kommunizieren. Sie werden zur Verbindung von Standorten eingesetzt, die nicht physikalisch miteinander verbunden sind. Standortverknüpfungsbrücken sind eigentlich nicht notwendig, da die Verknüpfungen von Hause aus schon transitiv sind, und – was wichtiger ist – sie sind bereits schon automatisch überbrückt. Diese Eigenschaft wird auch als transitive Standortverknüpfung bezeichnet. Sollte wegen der physikalischen Struktur des Netzwerks keine Kommunikation zwischen den Standorten möglich sein, müssen Sie die automatische Überbrückung abschalten und eigene Standortverknüpfungsbrücken erstellen.


159

HIN WEIS

Als Transportprotokoll können Sie für die Standortverknüpfungen zwischen dem StandardInternet-Protokoll (IP) und dem Simple Mail Transport Protocol (SMTP) wählen. Innerhalb eines Standorts werden die Daten über RPC (Remote Procedure Call) übertragen.

ACH TUNG

MCSE Examen 70-294

Merke: Standorte sind von der Domänenstruktur und der Gesamtstruktur unabhängig!

3.3.7

Globale Katalogserver

Der globale Katalog wird per Voreinstellung auf dem ersten Domänencontroller in der Stammdomäne eingerichtet. Zur Entlastung kann diese Funktion auf einen anderen Domänencontroller übertragen werden. Um eine Fehlertoleranz oder einen Lastenausgleich in einem zweiten Standort zu gewährleisten, können Sie auch weitere globale Katalogserver einrichten. Der globale Katalog dient als gemeinsame Datenbank für alle Domänen in der Gesamtstruktur. In ihm sind die wichtigsten Informationen über die vorhandenen Objekte und Attribute enthalten. Seine Aufgabe ist mit dem Glossar in einem Buch vergleichbar. Eine Domäne stellt einen abgeschlossenen Sicherheitsbereich dar. Durch Vertrauensverhältnisse kann jedoch ein Zugriff auf Ressourcen außerhalb der Kontendomäne eines Benutzers erfolgen. Eine Gesamtstruktur kann eine Vielzahl von Domänen aufweisen, was die Suche nach einer Ressource (= Objekt) erschwert. Ein suchender Computer muss folgende Antworten ermitteln: Wo ist die Ressource (Verzeichnisse, Drucker usw.) zu finden, und welche Gruppen gibt es in der vertrauten Domäne? Hier kommt die Rolle eines globalen Katalogs zum Tragen: Der globale Katalogserver speichert zweierlei Dinge: T Ein vollständiges Replikat aller Objektattribute des eigenen Verzeichnisses der Domäne T Ein Teilreplikat aller Objektattribute von anderen Domänen des Verzeichnisses (Gesamtstruktur). Im Teilreplikat sind alle wichtigen Eigenschaften enthalten, die notwendig sind, um eine Ressource in einer remoten Domäne anzusprechen. Sie verwenden den globalen Katalog für: T das Auffinden von Objekten der Gesamtstruktur T das lokale Anmelden eines Benutzers, der in einer anderen Domäne sein Konto hat T das Bereithalten von Gruppen des Typs Universal

3.3.8

Betriebsmasterrollen

Wie schon an einigen Stellen des Buches angeführt, funktioniert eine Active Directory-Replikation nach dem Multimaster-Prinzip. Das heißt, alle Domänencontroller replizieren gleichwertig Änderungen der Active Directory-Datenbank. Alle Domänencontroller sind gleichwertig? Fast! Einige Änderungen müssen von einer einzigen Instanz entschieden werden. So können keine Schemaänderungen oder neue Domänen von jedem beliebigen Domänencontroller aus entschieden werden. Diese besondere Stellung wird als Betriebsmaster bezeichnet. Insgesamt gibt es fünf verschiedene Betriebsmasterrollen. Per Voreinstellung bekommt der erste Domänencontroller der Gesamtstruktur alle fünf Rollen und der erste Domänencontroller einer

160



untergeordneten Domäne drei Rollen zugewiesen. Da Sie diese Rollen auch auf andere Domänencontroller verschieben können, heißen diese auch Flexible Single Master Operation Roles oder kurz FSMO-Rollen.

Abbildung 3.19: Betriebsmasterrollen (FSMO-Roles) in einer Gesamtstruktur mit drei Domänen

Drei Betriebsmasterrollen sind in allen Domänen gleichermaßen vorhanden. Es sind folgende Rollen: T RID-Master T Infrastrukturmaster T PDC-Emulation (oder PDC-Emulator) Nur die Stammdomäne hat noch zwei zusätzliche Rollen: T Schemamaster T Domänennamenmaster Die Rolle des Schemamasters und Domänennamenmasters darf es nur je einmal in jeder Gesamtstruktur geben. Der Schemamaster hostet die Hauptkopie des Schemas, das auf alle anderen Domänencontroller repliziert wird. Der Domänennamenmaster ist für das Hinzufügen und Entfernen von Domänen zuständig, damit nicht zufälligerweise zwei Domänen mit gleichem Namen eingerichtet werden. Auch Querverweise der Objekte im Partitionscontainer werden entsprechend der Domänen angepasst. Der RID-Master gewährleistet die Eindeutigkeit der Objekte in der Domäne. Jedes Objekt wird anhand seiner SID (Security Identifier auch Sicherheits-ID genannt) eindeutig identifiziert. Der RID-Master hostet einen Pool von IDs, die für die Erstellung von Objekten verwendet werden. Da die IDs relativ zu der Domäne gehören, wird der Pool auch als RID-Pool (Relative Identifier) der Domäne bezeichnet.


161

MCSE Examen 70-294

Der Infrastrukturmaster stellt die Konsistenz der Objekte für alle Zwischendomänenoperationen sicher. Er wird somit nur für die Verwaltung von Verweisen auf Objekte in anderen Domänen benötigt. Sobald ein Verweis für ein Objekt von einer anderen Domäne erstellt wird, beinhaltet dieser Verweis die GUID (Globaly Unique Identifier), die SID (Security Identifier) und den DN (Distinguished Name oder bestimmer Name) des Objekts. Falls Objekte verschoben werden, werden die Einträge entsprechend der Zieldomäne angepasst. Die Rolle PDC-Emulation sorgt für die Herstellung der Abwärtskompatibilität zu Windows NT Server. Ein Domänencontroller mit der Rolle PDC-Emulation emuliert einen primären Windows NT-Domänencontroller (PDC) der Versionen 3.51 und 4.0. Der PDC-Emulator kann Windows NT-Backup-Domänencontroller ansprechen, damit diese eine Aktualisierung der Verzeichnisdienste erhalten. Der PDC-Emulator kann folgende Aktionen steuern: T Synchronisation mit NT-Backup-Domänencontrollern T Kennwortänderungen für Windows NT-Clients T Hauptsuchdienstserver der Domäne (Domain Master Browser)

HIN WEIS

T Alle PDC-Emulatoren synchronisieren ihre Zeit mit dem PDC-Emulator der Stammdomäne.

Weitere Informationen zu FSMO-Rollen finden Sie in Kapitel 3.4, »Designprozesse« und in Kapitel 4.3.

3.4

Designprozesse

Eine konkrete Planung ist das Kernstück Ihres Einrichtungs- oder Migrationsprojekts. Bei der Planung bestimmen Sie, wie viele Strukturen (Forests), Domänenstrukturen (Trees) und Domänen Sie einsetzen wollen bzw. müssen. Eine sorgfältige Planung ist selbstverständlich, denn nachträgliche Restrukturierungen können teuer werden. Sind Sie Consultant und für einen Kunden tätig, dann planen Sie nach Möglichkeit Reserven in der Kapazität mit ein. Führen Sie ein Pflichtenheft, und dokumentieren Sie alle Elemente Ihres Projekts akribisch genau. Abbildung 3.20 mit den 7 Planungsschritten hilft Ihnen bei der Planung Ihrer Active Directory-Infrastruktur.

162

3.4 Designprozesse


HIN WEIS

Abbildung 3.20: Überblick über die Planung einer Infrastruktur, unterteilt in 7 Designphasen

Informationen über die Vorprojektphase finden Sie in Kapitel 1.3

3.4.1

Bestimmen des Designs und der Entwicklungsstrategie

Ihre Planungs- und Einrichtungsstrategie richtet sich nach Ihren Voraussetzungen. Grob gesagt, kann man diese in 4 Kategorien unterteilen: T Sie haben noch kein Netzwerk und bauen ein Netzwerk neu auf. T Sie haben ein Windows NT 4.0-basierendes Netz. T Sie haben ein Windows 2000 Server-basierendes Netz. T Sie besitzen ein Nicht-Microsoft-Netzwerk (oder ein Windows NT 3.x-Netz) und möchten vollständig oder teilweise auf Windows Server 2003 migrieren.

3.4 Designprozesse

163

MCSE Examen 70-294

Abbildung 3.21: Vorbedingungen

Nachdem die Design-Voraussetzungen bestimmt worden sind, müssen Sie in Abhängigkeit von Ihrem Ausgangspunkt Ihre Voraussetzungen bestimmen: T Wenn Sie eine neue Organisation einrichten, haben Sie es einfach. Sie entwickeln Ihre Infrastruktur nach Ihren Bedürfnissen und können ausschließlich mit Windows Server 2003Domänencontrollern arbeiten. T Möchten Sie eine Aktualisierung von Windows 2000 Server oder Windows NT 4.0 starten, müssen Sie Ihre alte Domänenstruktur an die Anforderungen der Aktualisierung anpassen. Darunter fallen ein Upgrade der Domänencontroller mit einem Service Pack oder eine Restrukturierung der alten Domänen. T Möchten Sie eine Aktualisierung von einem Nicht-Windows-Server-Netzwerk durchführen, müssen Sie eventuell Schnittstellen oder Gateways zur Datenmigration einrichten. Außerdem gilt, dass Sie das alte Netzwerk erst einmal für eine Migration fit machen müssen. T Eine Alternative zur reinen Aktualisierung (Upgrade) ist immer die Migration: Hier behalten Sie die alte Netzwerkinfrastruktur und bauen neben ihr eine neue auf. Der Vorteil dieser Methode ist, dass die Firmenproduktion nicht gestört wird. Nachteilig ist der meistens höhere Aufwand an Hardware. Bedenken Sie auch, dass jede Änderung von Hard- und Software von einem entsprechenden Team abgearbeitet werden muss. Besetzen Sie Ihre Planungs- und Entwicklungsteams mit Personen, die Ihre Kompetenzen ergänzen, damit Hardwarespezialisten nicht auf die Softwarespezialisten warten müssen oder umgekehrt. Folgende Schritte müssen Sie planen: T Design der logischen Struktur: Gesamtstruktur-, Struktur- und Domänen-Design T Standorttopologie-Design T Domänencontroller-Kapazität: Part der Installation T Domänenfunktions-Level: Teil der Administration und Wartung

164

3.4 Designprozesse


3.4.2

Gesamtstruktur-Design

Der erste Designschritt ist die Bestimmung der Gesamtstruktur bzw. der Gesamtstrukturen. Wenn Sie Gesamtstrukturen planen, sollten Sie immer nach folgender Faustformel verfahren: Planen Sie immer nur so viele Gesamtstrukturen, wie absolut nötig sind. Je mehr Gesamtstrukturen Ihr Netzwerk hat, desto größer ist der Verwaltungsaufwand. Folglich sollten Sie immer anstreben, nur eine Gesamtstruktur für Ihre Firma/Organisation zu planen. Für Ihre Testumgebung sollten Sie jedoch eine eigenständige Gesamtstruktur aufbauen.

Abbildung 3.22: Das Gesamtstrukturdesign (Forest Design) bestimmt den weiteren Verlauf Ihres Projekts.

Folgende Gründe machen eine zusätzliche Gesamtstruktur notwendig: 1. Ein Bereich Ihres Unternehmens muss vollständig separat verwaltet werden. 2. Die Anzahl von Vertrauensstellungen zwischen den Domänen muss begrenzt werden. 3. Applikationen verändern das Active Directory-Schema in der Weise, dass eine Isolation in einer Gesamtstruktur notwendig wird.

Pro und Kontra einer Isolation Im Betriebssystem Microsoft Windows NT war es erforderlich, eine gewisse Anzahl von Administratoren vorzuhalten, denn viele Verwaltungseingriffe benötigten ein administratives Konto. Das führte dazu, dass in manchen Firmen selbst Praktikanten, die Clientcomputer installierten, zu Administratoren gemacht wurden. Ab Windows 2000 Server und dem Active Directory ist es erstmals möglich, administrative Aufgaben effizient zu delegieren. Wenn Sie also eine Administration separieren wollen, können Sie auf Domänen- oder auf Organisationseinheitsebene Verwaltungsaufgaben delegieren. Bedenken Sie: Es gibt die Gruppe Domänen-Admins für jede separate Domäne und die OrganisationsAdmins für die Gesamtstruktur. Mit anderen Worten: Die Isolation einer Domäne oder einer Gesamtstruktur ist nur dann notwendig, wenn Sie wollen, dass Administratoren der einen Gesamtstruktur nicht die andere Domäne/Gesamtstruktur Ihrer Organisation verwalten dürfen. Eine Autonomie von Daten und Diensten einer Gesamtstruktur bietet theoretisch eine höhere Sicherheit, bewirkt aber auch, dass auf Ressourcen dieser Gesamtstruktur schlechter 3.4 Designprozesse

165

MCSE Examen 70-294

zugegriffen werden kann. Es kann damit aber auch verhindert werden, dass Netzwerkdienste der einen Struktur auf andere Strukturen zugreifen können.

Pro und Kontra mehrerer Gesamtstrukturen Die Abwägung, in mehrere Gesamtstrukturen zu investieren, sollte sehr sorgfältig durchgeführt werden, da Sie für Änderungen des Designs oft einen immensen Aufwand betreiben müssen. »Zur Not« können Sie bei Nichtgefallen ein transitives bidirektionales Vertrauensverhältnis zwischen (nur) zwei Gesamtstrukturen legen. Bedenken Sie weiterhin, dass eine Gesamtstruktur viele 10.000 Computer und Benutzer enthalten kann. Ein multinational operierender Konzern kann zum Beispiel etliche Strukturen besitzen, die wiederum in viele Domänen unterteilt sind. Die Einrichtung und Wartung nur einer einzigen Gesamtstruktur ist in den meisten Fällen wesentlich kostengünstiger, da weniger Personal und weniger Computergeräte (Lizenzen) benötigt werden. So weit die Theorie. In vielen Organisationen finden Sie alle möglichen Netzwerkprodukte vor. Von Windows NT bis zu UNIX-Derivaten treffen Sie nahezu alles an. Die Dependancen in den verschiedenen Ländern haben unterschiedliche Konzepte und vielleicht schon lange eine Gesamtstruktur mit Windows 2000 Server eingerichtet. Eine Konsolidierung ist kostspielig und auch von der Leitung der Dependancen nicht gewünscht. Sie entscheiden sich, eine weitere Gesamtstruktur einzurichten oder Teile der Windows 2000 Server zu migrieren oder zu aktualisieren. Fazit: Richten Sie sich in der Praxis nach den Bedürfnissen, und kalkulieren Sie die Kosten.

Verwaltungspersonal für die Gesamtstruktur Für die Verwaltung der Gesamtstruktur ist die Gruppe der Organisations-Admins (Enterprise Admins) vorgesehen. Sie ist Mitglied aller Admin-Gruppen und hat universelle Verwaltungsprivilegien. Sie ist weiterhin Mitglied der Gruppe Schema-Admins und hat daher auch das Recht, das Active Directory-Schema zu verändern. Vergeben Sie dieses Verwaltungsrecht daher nur an wenige Personen und dokumentieren Sie diese Delegierung. Jede Erweiterung des Schemas und jede neue Domäne in der Gesamtstruktur muss mit den Privilegien eines Organisations-Admins durchgeführt werden. Dokumentieren Sie die Personen, damit sie als Ansprechpartner für die Domänenadministratoren fungieren können.

Zusammenfassung Nach Beendigung dieser Phase müssen Sie folgende Kernpunke gelöst haben: T Anzahl der Gesamtstrukturen T Namen der Gesamtstruktur(en) – DNS-Namensraum bzw, DNS-Namensräume T Verwaltungspersonal (höchster administrativer Stab) T Überprüfen der Kosten (unter Zuhilfenahme des Domänen-Designs) 166

3.4 Designprozesse


3.4.3

Struktur-Design

Strukturen bzw. Domänenstrukturen sind Teilstrukturen einer Gesamtstruktur. Die deutsche Übersetzung ist etwas unglücklich, daher sind die Begriffe nicht so anschaulich wie im Englischen: Ein Forest (Wald = Gesamtstruktur) kann aus einem oder mehreren Trees (Baum = Struktur) bestehen. Ein »Baum« wiederum kann aus einer oder mehreren Domänen bestehen, die sich alle einen DNS-Namensraum teilen. Die erste Domäne, d.h. die Stammdomäne, teilt sich immer ihren Namensraum mit der ersten Struktur. Das bedeutet auch, dass Sie eine DNSZone für den ersten Namensraum und weitere für neue Strukturen einplanen müssen. Nach Beendigung dieser Phase müssen Sie folgende Kernpunke gelöst haben: T Anzahl der Strukturen T Namen der Struktur(en) – identisch mit dem DNS-Namensraum

HIN WEIS

T Anzahl der Domänen innerhalb der Struktur

Die Begriffe Gesamtstruktur und Domänen werden in Kapitel 4.2 erklärt.

3.4.4

Domänendesign

Mit dem Domänendesign planen Sie die Domänen, in denen Ihre Benutzer, Computer usw. ihre Konten haben werden. Sie müssen zwar Aspekte wie die der Gesamtstruktur und Strukturen bedenken, doch Sie fangen bei der Installation immer mit der Stammdomäne an. Besitzen Sie nur eine Domäne, ist diese die Stammdomäne und stellt auch die Gesamtstruktur bzw. Struktur dar. Daher sollten Sie vor dem Domänendesign nochmals einen kurzen Blick auf Domänenmodelle werfen.

Abbildung 3.23: Der Prozess des Domänendesigns Domänenmodelle

3.4 Designprozesse

167

MCSE Examen 70-294

Wie bereits bei der Gesamtstruktur erläutert wurde, sollten Sie so wenige Domänen wie nur möglich planen. Bedenken Sie bei Ihrer Planung folgende Aspekte: 1. Die Sicherheit: Eine Domäne stellt eine Sicherheitsgrenze dar. Folglich kann für jede Domäne eigenes EDV-Personal eingesetzt werden. Bedenken Sie, dass Mitglieder der Gruppe Domänen-Admins der übergeordneten Domäne auch die untergeordneten verwalten dürfen, aber nicht umgekehrt. 2. Die Netzwerkkapazität, die Sie für das Active Directory bereitstellen wollen: Jede Domäne benötigt mindestens einen Windows Server, der als Domänencontroller konfiguriert ist. Um ein Einzelpunktversagen eines Domänencontrollers zu vermeiden, benötigen Sie mindestens zwei Domänencontroller. Ein Minimum von zwei Domänencontrollern ist daher empfohlen. Die Wahl einer einzelnen Domäne ist die einfachste Möglichkeit, wird jedoch mit höherem Netzwerkverkehr erkauft, als wenn eine Unterteilung in mehrere Domänen durchgeführt wird. 3. Anzahl der Benutzer: Wenn die Anzahl der Benutzer derart groß ist, dass Netzwerkkapazitäten oder Serverkapazitäten überschritten werden, kann über mehrere Domänen die Anmeldelast auf verschiedene Domänen verteilt werden. Ein anderer Aspekt ist die Übersichtlichkeit: Ab einigen tausend Benutzern wird die Administration einer Domäne unübersichtlich. 4. Die Kosten bzw. der Aufwand: Berücksichtigen Sie den Aufwand an Hard- und Software und die laufenden Kosten durch die Administration der Domänen. Die Administration in einer einzelnen Domäne (Singe Domain Model) ist immer die einfachste; globale Katalogserver werden quasi nicht gebraucht. Jeder Anwender kann sich an jedem Domänencontroller anmelden. Anwender müssen sich nicht mit einer Domänensuchliste beim Anmelden beschäftigen. 5. Firmenpolitik und ausländische Dependencen: Historisch gewachsene Unternehmensstrukturen müssen meistens eingehalten werden. Höhere Kosten einer weiteren Domäne stehen hier dem Aufwand und Kosten gegenüber, die eine Umstrukturierung oder Domänenkonsolidierung nach sich ziehen würde. Tabelle 3.7 liefert Ihnen einen Überblick über die entstehenden Kosten, die eine weitere Domäne oder Gesamtstruktur verursacht. Aufwand bzw. Kosten Verwaltungs- und Personalkosten

Da jede Domäne eine eigenständige Einheit bildet, müssen Administratorengruppen benannt werden. Je höher die Isolation der Domäne ist, desto mehr administratives Personal wird benötigt.

Hardware

Einmaliger Aufwand: Für einen Domänencontroller sind ein redundantes Festplattensubsystem und nach Möglichkeit andere redundante Hardwarekomponenten wie Netzwerkadapter und Hotplug-Netzteile empfehlenswert.

Software

Jeder Domänencontroller benötigt eine Windows Server 2003-Standard-, Enterprise- oder Datacenter-Produktlizenz. Je nach Lizenzmodell entstehen wahlweise Kosten (= Mietmodell) oder Aufwand (= Kaufen der Software).

Tabelle 3.7: Aufwand und Kosten, die bei mehreren Domänen(strukturen) zum Tragen kommen

168

3.4 Designprozesse

3 – Planung und Einrichtung einer Active Directory-Infrastruktur Aufwand bzw. Kosten Kosten verursacht durch Anpassung von verschiedenen Domänenstrukturen

Wenn Domänen in einer anderen Gesamtstruktur andere Gruppenrichtlinien besitzen, können u.U. externe Vertrauensverhältnisse nicht funktionieren. Wenn Benutzer einen Unternehmensbereich verlassen und in einen anderen wechseln, kann die Verschiebung des Kontos ein Problem werden. Der Administrationsaufwand steigt.

Tabelle 3.7: Aufwand und Kosten, die bei mehreren Domänen(strukturen) zum Tragen kommen (Forts.)

Gesamtstruktur-Stammdomäne Die erste Domäne in einer Gesamtstruktur wird immer auf dem Stammdomänencontroller (Forest Root Domain Controller) eingerichtet. Die Stammdomäne repräsentiert die höchste Domäne in der Gesamtstruktur. Daher werden auf dieser alle gesamtstrukturweiten administrativen Gruppen wie die Organisations-Admins und die Schema-Admins installiert. Wenn Sie sich für eine Domänenstruktur mit vielen Domänen entscheiden, sollten Sie darüber nachdenken, inwieweit die Stammdomäne lediglich zum Verwalten der Gesamtstruktur dienen soll. Die Domäne hostet dann keine Gruppen oder andere Benutzerobjekte. In diesem Fall spricht man von einer dedizierten Gesamtstruktur-Stammdomäne. Dies kann folgende Vorteile mit sich bringen: T Server in der Gesamtstruktur-Stammdomäne fungieren ausschließlich als Schema-Master und Domänennamenmaster für die Gesamtstruktur. Diese zwei FSMO-Rollen obliegen ausschließlich der Gesamtstruktur-Stammdomäne. T Sie können den globalen Katalog hosten (optional). T Optimale Steuerung der administrativen Konten in der Gesamtstruktur Dies hat aber auch folgende Nachteile: T Es entstehen Aufwendungen und Kosten für Hard- und Software.

Microsoft empfiehlt die Verwendung von dedizierten Gesamtstruktur-Stammdomänen.

Domänenanzahl Sie können in einer einzigen Domäne »locker« 100.000 Benutzer und Computer verwalten. Richten Sie sich bei der Domänenanzahl an folgende Bedingungen: Ist die Wichtigkeit hoch, dann müssen Sie die unten genannte »Auswirkung/Empfehlung« durchführen, ist sie klein, ist die Empfehlung optional.

3.4 Designprozesse

169

TIPP

T Sie müssen einen Namensraum für die Stammdomäne einplanen, den Sie nicht effektiv nutzen können.

MCSE Examen 70-294 Bedingung

Auswirkung/Empfehlung

Wichtigkeit

Netzwerkkapazität hoch

Einzeldomäne

Klein

Anzahl der Benutzer hoch

Weitere Domäne(n)

Klein

Sicherheit maximieren

Weitere Domäne(n)

Hoch

Isolation hoch

Weitere Domänen bis hin zu einer neuen Gesamtstruktur

Hoch

Kosten klein

Einzeldomäne

Mittel (je nach Konfiguration)

Windows NT-Domänen

Weitere Domänen bis hin zu einer neuen Gesamtstruktur

Hoch

Firmenpolitik/Gewachsene Strukturen

Weitere Domäne(n)

Hoch

Tabelle 3.8: Bedingungen, die sich auf die Domänenanzahl auswirken

Aktualisierung vs. Neuinstallation von Domänen Viele Unternehmen werden bereits eine IT-Infrastruktur besitzen. Gerade Unternehmen, die Windows NT 4.0 einsetzen und sich noch nicht entschließen konnten, Windows 2000 Server einzuführen, werden auf Windows Server 2003 migrieren. Es stellt sich die Frage, ob auch alle Firmenanwendungen auf Windows Server 2003-Systemen laufen. Folglich müssen Sie als Allererstes klären, ob Anwendungen mit Windows Server 2003 kompatibel sind, und wenn nicht, ob ein Upgrade für diese Anwendungen existiert. Gibt es keine Alternative für dieses Produkt, müssen alte NT-Server in die Domäne eingebunden werden, was in der Regel auch keine Probleme macht. Dennoch sollten Sie diesen Fall (aus-)testen. Sind die Applikationen in die Verzeichnisdienste integriert und gibt es keine Upgrademöglichkeit, dann müssen Sie die alte Domäne in die Windows Server 2003-Active Directory-Domänen einbinden. Vielleicht müssen Sie ein wenig »tricksen«, indem Sie eine separate Gesamtstruktur aufbauen und die NT-Domäne dort integrieren. Vorteil: Sie können in Ihrer anderen Struktur eine Windows Server 2003-Domänenfunktionsebene einführen, die Ihnen alle Vorteile des neuen Betriebssystems liefert. In der separaten Gesamtstruktur haben Sie dann einen Windows NTkompatiblen Modus. Beide Gesamtstrukturen sind mit einer externen Vertrauensstellung verbunden. Müssen Sie Windows 2000 Server-basierende Stammdomänen aktualisieren, sollten Sie mit diesen anfangen und anschließend alle weiteren untergeordneten Domänen aktualisieren bzw. migrieren. Weiteres zum Thema »Aktualisieren von Windows Domänen« finden Sie in entsprechenden Artikeln auf der Microsoft-Website. Eine Alternative zur Aktualisierung ist immer die Neuinstallation und anschließende Migration der Benutzerkonten auf die neue Struktur bzw. Gesamtstruktur. In einigen Fällen ist dies zwar eine kostenaufwändigere Methode, birgt jedoch wenig Gefahr eines Produktionsausfalls und ist sehr resistent gegenüber Fehlern bei der Migration, da das alte Produktionssystem immer noch zur Verfügung steht. Da in der Regel mit dem neuen Betriebssystem auch neue Hardware angeschafft wird, muss über diese Verfahrensweise nachgedacht werden.

170

3.4 Designprozesse


Ein Vergleich zwischen der Aktualisierung und Neuinstallation ergibt eindeutige Vorteile zu Gunsten der Neuinstallation. Aktualisierung

Neuinstallation

Durchführung

Relativ einfach, je nach Netzwerkapplikationen

Sehr einfach

Migration von vorhandenen Verzeichnisdiensten

Einfach

Aufwändig, da alle Verzeichnisinformationen kopiert werden müssen.

Fehlertoleranz während des Migrationsvorgangs

Wenig bis mittel

Hoch

Unterstützte Betriebssysteme

NT 4.0 SP 6a Windows 2000 Server

-

Restrukturierung

Keine

Ja

Aufwand + Kosten

Gering (Mittel bis sehr hoch, falls Fehler auftreten)

Mittel bis hoch

Um alle Features von Windows Server 2003 zu nutzen, sollten Sie homogene Windows Server 2003-Domänen einrichten. Sie verwenden dann nur Windows Server 2003basierende Domänencontroller.

Bestimmen des Domänennamens Der Domänenname richtet sich nach dem Namensraum der Gesamtstruktur bzw. nach dem Namen der Stammdomäne. Indem Sie den Domänennamen für den ersten Domänencontroller definieren, legen Sie den Namensraum für die Struktur fest. Wie Sie Ihre Domänennamen festlegen, bleibt Ihnen überlassen. Die Vergabe der Namen klingt wie eine einfache Sache, doch oft stoßen hier viele Interessen seitens der Verantwortlichen aufeinander. Sie können zwar den Domänennamen unter Windows Server 2003 ändern, doch kann es sein, dass Ihre Netzwerkapplikationen dies nicht können. Wählen Sie also den oder die Namen sorgfältig nach den Regeln für DNS-Namen aus. Vorschläge für DNS-Namen sind Eigennamen oder geografische Präfixe. Falls Sie eine NetBIOSKompatibilität wünschen, wird das Präfix als Domänenname vorgeschlagen.

Konsolidieren von Domänen Wenn Sie ein neues Betriebssystem in Ihrer Organisation einführen, ist das die beste Gelegenheit, über eine Restrukturierung oder eine Konsolidierung der Domänen nachzudenken. Wenn Sie über ein Windows NT 4.0-Masterdomänen-Konzept (eine Kontendomäne und viele Ressourcendomänen) verfügen, ist es sinnvoll, dieses aufzugeben und es in eine oder mehrere Active Directory-Domänen zu konsolidieren. Hierfür gibt es eine Reihe von Tools

3.4 Designprozesse

171

TIPP

Tabelle 3.9: Vergleich zwischen Aktualisierung und Neuinstallation

MCSE Examen 70-294

(siehe Ressource Kit), die dies bewerkstelligen. Der wirtschaftliche Aufwand erscheint auf den ersten Blick bei einer Konsolidierung höher als bei einer Aktualisierung der Domänen. Auf die Dauer gesehen sparen Sie jedoch durch eine bessere Domänenstruktur Administrationsarbeit und erhalten eventuell auch eine bessere Performance.

Zusammenfassung Nach Beendigung dieser Phase müssen Sie folgende Kernpunkte gelöst haben: T Anzahl der Domänen (impliziert auch die Auswahl des Domänenmodells) T Namen der Domänen (Namensraum) T Müssen Sie Windows NT oder Windows 2000 Server weiter verwenden? T Führen Sie eine Aktualisierung oder eine Neuinstallation durch? T Ist eine Konsolidierung möglich und wirtschaftlich vertretbar?

3.4.5

DNS-Infrastruktur-Design

In den vorangegangenen Designschritten haben Sie bereits den DNS-Namen für Ihre Gesamtstruktur und deren Domänen ermittelt. Auf dieser Grundlage müssen Sie Ihre DNSInfrastruktur entwerfen. Das Domain Name System (DNS) verwendet benutzerfreundliche Computer und Domänennamen, die auch für Anwender einfach zu merken sind. Ein Computer in der Domäne pearson.de heißt zum Beispiel server01.pearson.de, einer in der Domäne uk.pearson.de zum Beispiel server02.uk.pearson.de. Der Computername ist immer das Präfix vor dem Namenszug. Windows Server 2003 verwendet die DNS-Namensauflösung anstelle des Windows Internet Name Service (WINS), der alten Methode (sie wurde bis Windows NT 4.0 verwendet) von Microsoft, um NetBIOS-Namen in einem IP-basierenden Netzwerk dynamisch aufzulösen. Wie Sie das DNS in Ihrer Infrastruktur verwenden, hängt im Wesentlichen auch davon ab, ob Sie bereits eine DNS-Infrastruktur haben bzw. welche DNS-Servertypen Sie verwenden. Abbildung 3.24 gibt Ihnen eine Richtlinie, wie Sie DNS-Namenssauflösung in das Active Directory integrieren.

Abbildung 3.24: Active Directory Services (ADS) benötigen eine DNS-Infrastruktur.

172

3.4 Designprozesse


Rückblick auf DNS-Konzepte Im folgenden Abschnitt gehen wir noch einmal auf DNS-Konzepte ein. (Mehr zu diesem Thema finden sie in Kapitel 2.) Eine DNS-Infrastruktur ist immer hierarchisch aufgebaut. Das bedeutet, dass Computernamen immer ein Präfix vor dem Domänennamen und untergeordnete Domänen wiederum ein Präfix vor dem Namen der übergeordneten Domäne bilden. Die Namen haben einen fortlaufenden Charakter. Ein Teil der Domänen kann zu einer sog. Zone zusammengefasst werden. Alle Informationen über die Zone werden in einer Zonendatenbank gespeichert. Ein DNS-Server kann mehrere Zonen bzw. Zonendateien hosten. Auf Anfragen von DNSClients kann er seine Zonendatenbanken befragen oder die Anfrage an andere DNS-Server weiterleiten. Falls möglich, beantworten diese die Anfrage und senden sie wieder zum ersten anfragenden Server zurück. Der wiederum gibt die Antwort an den Client weiter und speichert die Information in seinem Cache zur eventuellen Weiterverwendung. Ein DNS-Server kann Clientanfragen folgendermaßen beantworten: T Ist die Antwort im Cache des DNS-Servers, wird sie aus diesem beantwortet. T Ist die Antwort aus der Zonendatei zu holen, wird sie aus dieser beantwortet. Ein DNSServer der Domäne kann – da er autorisiert für seine Domäne ist – alle Anfragen zu seiner Domäne und seinen untergeordneten Domänen beantworten. T Kann der DNS-Server die Anfragen nicht beantworten, so kann er mit entsprechender Konfiguration andere DNS-Server abfragen. Wesentlich ist die Frage, ob ein DNS-Server eine Stammzone hostet und ob eine Delegation eingerichtet wird. Ein anderes Konzept besteht darin, die Stammzone zu löschen, um eine Weiterleitung von Anfragen (zum Beispiel an Root-Server im Internet) zu gewährleisten.

DNS und Active Directory Mit Hilfe der DNS-Dienste können Active Directory-Clients den Domänencontroller finden. Auch die Domänencontroller benötigen zur Kommunikation mit anderen Domänencontrollern zwingend das Domain Name System. Die einfachste und sicherste Methode ist, gleich während der Installation des ersten Domänencontrollers einen DNS-Server zu installieren, der nicht nur eine Active Directory-integrierte Zone besitzt, sondern auch gleich der Stammserver für alle DNS-Server wird. Verwenden Sie Active Directory-integrierte Zonen, dann benötigen Sie keine sekundären Zonen auf anderen DNS-Servern mehr. Der Vorteil der Integration ist eine bessere Absicherung gegenüber Ausfällen und eine verbesserte Replikation der Server untereinander. Die Replikation erfolgt über die normalen Replikationsmechanismen des Active Directory. Des Weiteren können Sie die Vorteile von Anwendungsverzeichnispartitionen nutzen.

3.4 Designprozesse

173

MCSE Examen 70-294

Active Directory Services (ADS) in das Domain Name System (DNS) integrieren Möchten Sie ein Active Directory einrichten, und es besteht schon eine DNS-Infrastruktur? Dann können Sie bestehende DNS-Server verwenden, wenn Sie die Voraussetzungen für ein Active Directory erfüllen, oder Sie installieren parallel zu den bereits bestehenden DNS-Servern Windows Server 2003-basierende DNS-Server.

HIN WEIS

Planen Sie Active Directory-integrierte Zonen, müssen Sie diesen Weg gehen, denn die Integration funktioniert nur dann, wenn Domänencontroller und DNS-Server auf demselben Computergerät laufen.

Weitere Informationen über DNS-Server und Active Directory-integrierte Zonen finden Sie in Kapitel 2.

Zusammenfassung Nach Beendigung dieser Phase müssen Sie folgende Fragen beantwortet haben: T T T T T

Integrieren Sie Zonen in Active Directory? Verwenden Sie Anwendungsverzeichnispartitionen? Verwenden Sie eine bestehende DNS-Infrastruktur? Wie viele DNS-Server gibt es? Welches Computergerät wird DNS-Server?

3.4.6

OU-Design für Delegation und Administration

Organisationseinheiten sind die kleinsten Containerobjekte, um Objekte wie Benutzer, Computer usw. zu verwalten. Darum ist das Design dieser Elemente an das Ende aller logischen Designprozesse gesetzt worden. Folgende Designschritte helfen Ihnen bei der Strukturierung der Objekte:

Abbildung 3.25: Prozess für die Einrichtung von Organisationseinheiten (OUs)

174

3.4 Designprozesse


Innerhalb der Domänen verwenden Sie Organisationseinheiten, um bestimmte Objekte sinnvoll in einem Container zusammenzufassen, ähnlich wie Sie es mit Dateien in einem Verzeichnis tun. Anschließend können Sie diese Organisationseinheit von einem Konto (Benutzer oder Gruppe) verwalten lassen, das nicht zwangsläufig Mitglied der Gruppe Domänen-Admins ist. Dieses Szenario wird nur in sehr großen Firmen angewendet, denn kleine Firmen haben einfach nicht ausreichend EDV-Personal. Hier finden Sie manchmal für 150 Benutzer nur ein bis zwei Mitarbeiter vor. Organisationseinheiten sind bei einer solchen Firmenstruktur nur wegen der Übersichtlichkeit vorhanden. Auch hier gilt: Was Sie praktisch in Ihrer Firma nicht durchsetzen können, für die Prüfung müssen Sie es wissen.

Vorausblick auf OU-Konzepte Wie Sie bereits an früherer Stelle im Buch erfahren haben, ist eine Organisationseinheit (OU) ein Container, mit dessen Hilfe andere Active Directory-Objekte zusammengefasst werden. Eine Organisationseinheit kann genauso Benutzer-, Gruppen- oder Computerkonten umfassen wie Kontakte von Exchange oder Ordnerfreigaben von Windows NT 4.0-Servern. Organisationseinheiten sind keine Sicherheitsprinzipale. Sie können sie daher nur für die folgenden Zwecke verwenden: T Zur Delegation von Verwaltungsaufgaben T Zur Verwendung bzw. Zuweisung von Gruppenrichtlinien, die differenziert nur Mitglieder der OU betreffen. Die Gruppenrichtlinie kann sich auch auf darunter liegende OUs vererben. T Sie möchten Objektberechtigungen setzen, um den betreffenden und alle darunter liegende Container auszublenden. Sie können mit OUs eine verschachtelte hierarchische Struktur aufbauen, ähnlich wie die Verzeichnisse beim Dateisystem. Dadurch, dass es keine Obergrenze gibt, wie viel Sie verschachteln, kann es zu Unübersichtlichkeiten kommen. Microsoft empfiehlt, eine Verschaltung mit nicht mehr als 10 Ebenen zu erstellen. Bedenken Sie auch, dass der definierte Name (Distinguished Name, DN) immer länger wird, je tiefer das Objekt in der Verschachtelung liegt. Es kann daher sein, dass einige Active Directory-integrierte Applikationen nicht verwendet werden können, da sie nur eine bestimmte Länge des definierten Namens zulassen.

Abbildung 3.26: Beispiel einer Verschachtelung von OUs

Bei der Wahl, wie die Organisationseinheiten strukturiert werden können, können Sie sich nach folgenden Modellen richten: T Sie wählen eine Gliederung nach verwaltungstechnischen Aspekten aus, wie zum Beispiel Vertrieb, Vertriebsgruppe I usw.

3.4 Designprozesse

175

MCSE Examen 70-294

T Sie wählen eine Gliederung nach Standorten bzw. Locations aus, wie zum Beispiel Europa, Deutschland usw. T Sie wählen eine Strukturierung nach Art der Gruppenrichtlinien aus. T Sie kombinieren alle drei oben genannten Modelle zu einem Mix. Wenn Sie mit der Planung beginnen, müssen Sie Informationen sammeln, um zu bestimmen, welche Benutzer oder Ressourcen zusammengefasst werden können und welche Mitarbeiter Delegationsaufgaben erhalten. Die Steuerung der Delegationsaufgaben erfolgt über eine Zugriffssteuerungsliste, auch Access Control List (ACL) genannt. Die Zugriffssteuerungsliste enthält wiederum Einträge, die sog. Zugriffssteuerungseinträge oder Access Control Entries (ACEs). Sie legen fest, welche Gruppe oder welcher Benutzer auf die OU zugreifen kann bzw. zugreifen darf. Bevor Sie mit der Planung von Organisationseinheiten beginnen, sollten Sie folgende Informationen sammeln: T Eine Liste mit Benutzern und deren Funktionen (Organigramm) T Eine Liste von Benutzern mit deren Standorten (Locations) T Eine Liste von Computergeräten und deren Standorten (Locations) T Eine Liste des Personals, das die Organisationseinheiten verwalten soll T Eine Liste von Bedingungen, die eine oder mehrere Gruppenrichtlinien erfüllen müssen und auf welche Benutzer oder Computer sie anwendbar sein soll

Delegieren Sie delegieren administrative Aufgaben an Benutzer oder Benutzergruppen, die nicht zwangsläufig administrative Privilegien besitzen. Per Voreinstellung haben nur die Besitzer der Objekte Verwaltungsprivilegien. Damit sind immer per Voreinstellung Mitglieder der Gruppe Domänen-Admins berechtigt, die Objekte zu verwalten, nachdem das Active Directory aufgesetzt wurde. Ein Administrator kann mit dem Delegieren erreichen, dass andere Personen nur einen Teilbereich verwalten dürfen. Mit entsprechenden Berechtigungen ausgestattet, kann ein normaler Benutzer innerhalb seiner OU Benutzer oder Computer hinzufügen oder entfernen. Oder er kann Gruppenrichtlinien verwalten.

OU-Hierarchiemodelle Wie bereits erwähnt wurde, können Sie Organisationseinheiten beliebig gruppieren. Doch wie kann man sinnvoll eine Verwaltungsstruktur aufbauen? Betrachtet man alle Möglichkeiten, so kommt man zu folgender Lösung: T Gliederung in Locations oder Orte (Ein anderes Wort hierfür wäre Standort, nur beschreibt dieser Begriff nicht zwangsläufig Microsoft-Standorte.) T Gliederung in Geschäftsfunktionen wie Marketing, Vertrieb usw. T Gliederung nach Objekttypen, wie zum Beispiel Computer und Benutzer T Mix aus Locations, Geschäftsfunktionen und Objekttypen 176

3.4 Designprozesse


Alle vier Modelle machen gleichermaßen Sinn, doch müssen Sie individuell entscheiden, welches Modell für Sie zutreffend ist. Falls Sie Gruppenrichtlinien verwenden, sollten Sie dies auf jeden Fall mit in Ihre Planungen einfließen lassen. Verwaltungsdelegierung nach geografischen Aspekten gegliedert Diese Anordnung ist immer dann sinnvoll, wenn die Administration unter geografischen Gesichtspunkten durchgeführt wird. Vorteilhaft ist, dass diejenigen Benutzer und Ressourcen dort zu finden sind, wo sie auch in Wirklichkeit stehen. Nachteilig ist, dass Gruppenrichtlinien nicht die Funktion der Mitarbeiter reflektieren.

Abbildung 3.27: Eine OU-Hierarchie, die nach geografischen Gesichtspunkten aufgebaut ist

Vorteile

Nachteile

Verwaltbarkeit

Einfach

-

Gruppenrichtlinie: Sicherheit (Kennwortlänge, Browsereinstellungen...)

Alle Computer und Benutzer eines Standorts oder einer Filiale können eigene Sicherheitsstandards verwenden.

Alle Mitglieder bekommen unabhängig von ihrer Funktion die gleiche Gruppenrichtlinie. Dieser Fall ist oft nicht gewünscht, da ein Administrator dann genauso wenig darf wie ein normaler Benutzer.

Gruppenrichtlinie: Softwareverteilung oder andere Richtlinien, die die Netzwerkbandbreite beeinflussen

Gut geeignet, da alle Computer in einem Ort meistens in einem Standort/Subnetz untergebracht sind.

Keine – Nur bei falscher Konfiguration ist das Netz oder die WANStrecke überlastet.

Tabelle 3.10: Vergleich der Vor- und Nachteile einer geografisch geordneten OU-Hierarchie

3.4 Designprozesse

177

MCSE Examen 70-294

Verwaltungsdelegierung nach Geschäftsfunktionen Diese Anordnung können Sie verwenden, um ganze Verwaltungsebenen zu gliedern, wie in dem eingangs beschriebenen Organigramm gezeigt. Es wird nicht auf den Ort der in der OU enthaltenen Objekte eingegangen, sondern nur auf die Funktion der Mitarbeiter und Computer.

Abbildung 3.28: Delegation einer Hierarchie von OUs, die nach Kriterien der Geschäftsfunktionen zusammengefasst ist. Die Gruppe OU_Admins_Druckmaschinen ist eine beliebige benutzerdefinierte Sicherheitsgruppe (Sicherheitsprinzipal).

Vorteile

Nachteile

Verwaltbarkeit

Einfach

-


Sie können je nach Aufgabengebiet differenziert eine Gruppenrichtlinie erstellen. Die einen Benutzer/Computer dürfen alles, die anderen weniger.

Alle Mitglieder der OU, oder untergeordneter OUs bekommen die Richtlinie, egal von welchem Standort sie sich anmelden.


Sie kann vorteilhaft sein, wenn eine bestimmte Berufsgruppe eine bestimmte Software benötigt.

Es wird keine Unterscheidung stattfinden, von wo aus sich der Benutzer/Computer anmeldet. Eventuell ist die WAN-Strecke überlastet.

Tabelle 3.11: Vergleich der Vor- und Nachteile einer OU-Hierarchie nach Geschäftsfunktionen

Verwaltungsdelegierung nach Objekttyp Sie können eine OU-Struktur nach Objekttypen unterteilen, wenn Sie Benutzer, Gruppen oder Computer verwalten möchten. Die »administrativen Fähigkeiten« ähneln denen von Windows NT 4.0-Domänen, wo es den Benutzermanager für Konten und den Servermanager für Computer gab. Hinsichtlich der Domänenmodelle konnte man zwischen NT-Kontendomänen und NT-Ressourcendomänen unterscheiden. In einem Active Directory können Sie die OUs so gliedern, dass sie nur Konten oder nur Ressourcen enthalten. Wenn sie nur

178

3.4 Designprozesse


Konten enthalten, nennt man sie auch Konten-OUs. Entsprechend enthalten RessourcenOUs nur Ressourcen wie Mitgliedsserver und andere Computer. Bei der Betrachtung der Konten-OUs fallen auch diejenigen auf, die vom System bereits erstellt wurden. Sie können in die Konten-OU-Hierarchie mit einbezogen werden. In den Containern Bultin und Users finden Sie sowohl vom System definierte Gruppen als auch die wichtigen administrativen Gruppen wie die Domänen-Admins oder die OrganisationsAdmins. Weitere Informationen über die Standardcontainer finden Sie in Kapitel 5.3.3.

Abbildung 3.29: Ein Beispiel für die Verwendung von Konten-OUs

Analog zu den Konten-OUs erstellen Sie die Ressourcen-OUs. Hier können Sie Clientcomputer und Server zusammenfassen. Sie können sie auch in Abhängigkeit vom Standort zusammenfassen, so dass sie wiederum in der Verwaltungsdelegierung nach geografischen Aspekten unterteilt sind. Verschachteln Sie die OUs anschließend, dann können Sie differenziert ganze Abteilungen von Computern abbilden.

3.4 Designprozesse

179

MCSE Examen 70-294

Die Vorteile dieses Mischmodells liegen auf der Hand: Sie können Konten und Computer separieren und sie an getrenntes (oder gleiches) Verwaltungspersonal delegieren. Vorteile

Nachteile

Verwaltbarkeit

Einfach bis unübersichtlich

-

Allgemein

Kontakte und Mailinglisten können in Verbindung mit Exchange Server einfach separiert werden. Das Modell eignet sich besonders gut während der Migration von Windows NT auf Windows Server 2003.




Sehr gut geeignet, da Computer und Benutzer getrennt über Gruppenrichtlinien angesprochen werden.

Je nach Gruppenrichtlinie sind Konten und Computer nicht zu trennen. Prüfen Sie daher im Vorfeld das Modell. Eventuell muss die gleiche Gruppenrichtlinie sowohl auf Computer als auch auf diejenigen Benutzer angewendet werden, die diese Computer verwenden.

Tabelle 3.12: Vergleich Vor- und Nachteile der OU-Hierarchie nach Objekten (hier Konto)

Mixmodelle Wenn Sie alle drei oben beschriebenen Modelle zusammen einsetzen, können Sie für jeden Aspekt die Vorteile für sich nutzen: T Je nach Verschachtelung der OUs einfach bis unübersichtlich zu administrieren.

TIPP

T Sie können Gruppenrichtlinien optimal an die Anforderungen optimal anpassen.

Planen Sie OU-Modelle unter Vorbehalt, wenn Sie Gruppenrichtlinien einsetzen. Planen Sie ggf. vorher Sicherheitsrichtlinien oder Softwareverteilungstrategien.

Zuweisen von Gruppenrichtlinien Gruppenrichtlinien sind ein elementarer Bestandteil der Verwaltung von Windows 2000/XPund Windows Server 2003-basierenden Computern. Prinzipiell haben sich Gruppenrichtlinien gegenüber Windows 2000 Server nicht geändert, die Verwaltbarkeit und die Konfigurationsmöglichkeiten sind jedoch wesentlich verbessert worden.

180

3.4 Designprozesse


Gruppenrichtlinien dienen zur Fernkonfiguration der Clients, um Beschränkungen der Funktionsfähigkeit oder gewisse Sicherheitsmerkmale einzurichten. Die Beeinflussung der Gruppenrichtlinien gilt für alle Mitglieder der folgenden Objekte: 1. Standort 2. Domäne 3. Organisationseinheit (OU) Sie können also eine Gruppenrichtlinie genauso einem Standort zuweisen wie einer OU. Gruppenrichtlinien vererben sich voreingestellt von den Standorten abwärts bis zu der am tiefsten gelegenen Organisationseinheit, es sei denn, die Vererbung wird unterbunden. Gruppenrichtlinien beeinflussen die Registrierung (Registry) der Clientcomputer und verändern diese permanent. Gruppenrichtlinien können auch viele Einstellungen des Betriebssystems und des Benutzers verändern. Sie können mit Gruppenrichtlinien genauso Benutzeranmeldeskripte, wie auch Kennwortrichtlinien zuweisen. Sie verwalten mit Gruppenrichtlinien Programme, Netzwerkressourcen und das Betriebssystem auf den Mitgliedern der Domäne, indem Sie deren Registrierung manipulieren. Der Mitgliedscomputer erhält die Änderung der Registrierung bereits beim Starten des Computers oder bei der Anmeldung an der Domäne. Wenn sich anschließend ein Benutzer anmeldet, bekommt er persönliche Einstellungen über die Gruppenrichtlinie. Der Begriff Gruppenrichtlinie ist insofern irreführend, weil er gar nichts mit Gruppen zu tun hat. Vielmehr ist er als Gruppierung von Richtlinien zu verstehen. Gruppenrichtlinien werden in den Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) gespeichert. Gruppenrichtlinien sind nur auf Standorte, Domänen und Organisationseinheiten anzuwenden. Auf keinen Fall sind sie Gruppen oder Benutzern zuzuweisen. Eine ausführliche Beschreibung von Gruppenrichtlinien finden Sie in Kapitel 7.

Sie werden in der Prüfung 70-294 oft nach Gruppenrichtlinien (planen und verwalten) gefragt.

3.4 Designprozesse

181

TIPP

Abbildung 3.30: Zuweisen eines Gruppenrichtlinienobjekts (GPO) zu einer OU am Beispiel einiger Eigenschaften

MCSE Examen 70-294

3.4.7

Standorttopologie-Design

Eine Standorttopologie hat zum Ziel, die Domänencontroller in Abhängigkeit von Subnetzen so zu platzieren, dass sie eine optimale Replikation gemäß der Bandbreite des Netzes durchführen. Verwenden Sie ein Distributed File System (DFS), kann eine Replikation sehr hohe Datenmengen beinhalten. Mit Standorten können Sie Replikationsgruppen bilden, die auch Routinggruppen genannt werden. Mehrere Standorte werden mit einer Standortverknüpfung verbunden. Sie verwenden Standortverknüpfungsbrücken, um die Replikation ggf. benutzerdefiniert zu beeinflussen. Für das Ausarbeiten eines Standort-Designs können Sie methodisch vorgehen, wie Abbildung 3.31 zeigt:

Abbildung 3.31: Standorte richten sich nach der physikalischen Netzwerkinfrastruktur.

Eine gut durchdachte Standorttopologie liefert Ihnen folgende Vorteile: T Minimierung der benötigten Netzwerkbandbreite. T Die Replikation kann sinnvoll auch über langsame Wählleitungen gesteuert werden. T Clientcomputer finden immer schnell einen Domänencontroller zum Anmelden. T Clientcomputer finden immer schnell einen DNS-Server.

Identifizieren der Netzwerkinfrastruktur Die Netzwerkinfrastruktur umfasst alle physikalischen Komponenten wie: T Das Erstellen eines Lageplans, in dem alle Dependancen vorkommen T Das Auflisten der Kommunikationsverbindungen und deren Bandbreite. T Das Auflisten der IP-Subnetze in Abhängigkeit von der Lage unter Angabe von IP-Adressbereichen und Subnetzmasken T Das Auflisten der Anwender in den Standorten in Abhängigkeit von den geplanten/existierenden Domänen 182

3.4 Designprozesse


Locations von Domänencontrollern Für eine maximale Kosteneffizienz sollten Sie so wenige regionale Domänen einrichten wie möglich. Planen Sie Ihre Locations für Ihre Domänencontroller in Abhängigkeit von der verfügbaren Bandbreite. Idealerweise platzieren Sie diese in der Nähe eines Hubs/Switchs, der Ihnen für den Server eine maximale Bandbreite liefert. In vielen Fällen sind die Server zusammen mit den Switchpanels und Switches in 19-Zoll-Serverschränken integriert und in klimatisierten Computerräumen untergebracht. Es versteht sich von selbst, dass Brandschutzmaßnahmen getroffen werden und Sie sicherstellen, dass keine unbefugten Personen Zutritt zum Serverraum haben. Besitzt Ihre Firma Außenstellen, sollten auch diese nach Möglichkeit die Sicherheitsbestimmungen der Zentrale erfüllen. Falls dies nicht möglich ist, kann auch ein entsprechend gesicherter und konfigurierter 19-Zoll-Schrank gute Dienste leisten. Domänencontroller für Dependencen Etwas schwieriger ist die Entscheidung, ob eine Filiale mit relativ wenigen Anwendern einen Domänencontroller bekommen soll. Der erste Schritt – die Betrachtung, ob Domänencontroller sicher stehen – kann in den meisten Fällen einfach durchgeführt werden, denn auch in klimatisch schlechten Werkshallen können Sie durch entsprechende Maßnahmen Serverschränke aufstellen. Sie entscheiden, ob Ihr Budget eine solche Maßnahme erlaubt. Der zweite Schritt betrifft die elementare Frage »Gibt es jemanden vor Ort, der den Server administrieren kann?« Ist die Antwort »Nein«, liegt die Konsequenz auf der Hand. Sie können keinen Domänencontroller vor Ort aufstellen, müssen sich jedoch fragen, ob Ihr WAN auch anderen Anforderungen gerecht werden kann. Der dritte Schritt beschäftigt sich mit der WAN-Verfügbarkeit. Haben Sie eine Standleitung? Wie hoch ist die Bandbreite? Je besser die Verfügbarkeitsbedingungen sind, desto mehr spricht für die Einsparung eines Domänencontrollers. Haben Sie zum Beispiel (Extrembeispiel) nur 10 Clients und eine Megabit-Standleitung, benötigen Sie keinen Domänencontroller in der Filiale. Sie sparen Wartungs-, Hard- und Softwarekosten ein. Hingegen sind Ihre Verbindungskosten höher, als wenn Sie nur eine einfache ISDN-Leitung hätten. Neben der Abwägung »Verbindungskosten oder zusätzlichen Kosten für die Filiale« müssen Sie eine Entscheidung zwischen einem Optimum an Replikationsverkehr oder einem Optimum an Anmeldeverkehr treffen. Haben Sie in der Filiale einen Domänencontroller, dann verursacht der Filial-Domänencontroller Replikationsverkehr zu anderen Domänencontrollern. Der Anmeldeverkehr läuft nur über den internen Domänencontroller und nicht über die WAN-Strecke, es sei denn, der Filial-Domänencontroller ist nicht verfügbar. Zur Verbesserung der Bandbreite auf der WAN-Strecke werden Replikationsdaten über 50 KB komprimiert. Besitzen Sie in der Filiale keinen Domänencontroller, so haben Sie keinen Replikationsverkehr. Sie haben dann »nur« den Anmeldeverkehr über die WAN-Strecke zu verzeichnen. Fällt die WAN-Strecke aus, können Anwender sich u.U. nicht mehr anmelden. Eine Anmeldung wäre dann nur mit gecachten Konteninformationen möglich.

3.4 Designprozesse

183

MCSE Examen 70-294

Abbildung 3.32: Bestimmen, ob sich ein Domänencontroller für eine Zweigstelle lohnt

Nutzen Sie die IntelliMirror-Features, wie beispielsweise Offline-Verzeichnisse, Verzeichnisumleitungen oder serverbasierte Profile, verursachen Sie einen so hohen Netzwerkverkehr, dass eigentlich nur Megabit-WAN-Strecken die erforderliche Bandbreite liefern können. Unter diesen Umständen ist der Einsatz eines Domänencontrollers in der Filiale sehr empfehlenswert. Die Ergebnisse sind in Tabelle 3.13 zusammengefasst. Ist die Wichtigkeit hoch, müssen Sie die unten genannte Auswirkung/Empfehlung durchführen, ist sie klein, ist die Empfehlung optional. Bedingung


Wichtigkeit

Langsame WAN-Strecke oder geringe Bandbreite zur Verfügung

Neuer Standort + Domänencontroller

Hoch

Ausfallsicherheit: WAN-Strecke nicht zu 100% verfügbar und Benutzer müssen sich immer anmelden können


Hoch

IntelliMirror: Offline-Verzeichnisse, serverbasierte Profile usw.


Hoch

Tabelle 3.13: Bedingungen, die sich auf die Platzierung eines Domänencontrollers auswirken

184

3.4 Designprozesse

3 – Planung und Einrichtung einer Active Directory-Infrastruktur Bedingung


Wichtigkeit

Replikationsverkehr über WAN-Strecke gering halten

Kein Domänencontroller

Hoch

Anmeldeverkehr über WAN-Strecke gering halten


Hoch

Schnelle und sichere WAN-Strecke

Keine Aktion

Mittel

Kein administratives Personal in der Filiale Keine Aktion oder remote Verwaltung, auch über ISDN-Leitung möglich.

Gering bis mittel

Kosten gering halten

Mittel

Keine Aktion, wenn die Verbindungskosten kleiner als die Summe aller Kosten für den zusätzlichen Domänencontroller sind.

Tabelle 3.13: Bedingungen, die sich auf die Platzierung eines Domänencontrollers auswirken (Forts.)

Globale Katalogserver In einer Gesamtstruktur mit nur einer Domäne können Sie alle Domänencontroller als globale Katalogserver verwenden, denn Sie benötigen für diese Zusatzfunktion keinen zusätzlichen Replikationsverkehr, CPU-Auslastung oder Festplattenplatz. Der Gebrauch des globalen Katalogservers als Referenzdienst für die wichtigsten Objekte in einer Gesamtstruktur wird erst bei mehreren Domänen wichtig.

Abbildung 3.33: Abschätzung, ob ein Globaler Katalogserver in einem Standort notwendig ist

3.4 Designprozesse

185

MCSE Examen 70-294

Einige Applikationen, wie Microsoft Exchange Server und Microsoft Message Queuing (MSMQ), benötigen einen globalen Katalog, um ihre Anfragen ohne Verzögerung zu erhalten (Sie könnten diese ja auch von einem normalen Domänencontroller bekommen). Der Exchange Server ist in Microsoft-Umgebungen ein sehr häufig eingesetztes Produkt, und wenn Sie in der Filiale einen Exchange Server platziert haben, können Sie gleich einen Domänenserver mit einplanen, der als globaler Katalog konfiguriert ist. Die Bildung einer 100-Benutzer-Schwelle ist sicherlich umstritten: Hat die WAN-Strecke eine Bandbreite im Megabit-Bereich, ist eine Begrenzung auf 100 Benutzer nicht empfehlenswert. Haben Sie die Filiale über eine T-DSL-Leitung oder ISDN-Leitung mit der Hauptstelle verbunden, ist die Überlegung richtig und sinnvoll. Gibt es Benutzer, die ihren Standort häufig wechseln, benötigen sie beim ersten Anmelden einen Kontakt zum globalen Katalogserver. Ist in der Filiale vor Ort kein globaler Katalogserver vorhanden, wird die WAN-Strecke verwendet. Haben Sie viele Benutzer, die diesen Kriterien entsprechen, kann die Bandbreite der WAN-Strecke zu klein werden. Eine Neuerung und Verbesserung von Windows Server 2003 ist das Zwischenspeichern von Mitgliedschaften von universellen Gruppen. Universelle Gruppen sind für den domänenweiten Zugriff auf Ressourcen wichtig. Das Cachen dieser Informationen verursacht nur einen einmaligen Datenverkehr über die WAN-Strecke und lohnt sich nur bei geringen Benutzeranzahlen oder wenn die Benutzer ihren Standort nicht oder nur selten wechseln. Betriebsmasterrollen für eine Gesamtstruktur mit einer einzigen Domäne Wenn Sie nur eine Domäne haben, können Sie alle Betriebsmasterrollen auf dem ersten Domänencontroller belassen, den Sie für die Gesamtstruktur erstellt haben. Falls Sie den Stammdomänencontroller der Stammdomäne entfernen oder offline stellen wollen, müssen Sie die FSMO-Rollen auf einen anderen Domänencontroller übertragen. Um die Fehlertoleranz zu erhöhen, sollten Sie einen Standby-Betriebsmaster benennen, der die Betriebsmasterrollen des Stammdomänencontrollers übernehmen kann. Achten Sie weiterhin darauf, dass dieser Partner direkt von Stammdomänencontroller aktualisiert wird. Betriebsmasterrollen für Gesamtstrukturen mit mehr als einer Domäne Wenn Sie mehrere Domänen in einer Gesamtstruktur haben, können Sie ebenfalls die Betriebsmasterrollen auf dem Stammdomänencontroller der Stammdomäne belassen. Auch hier sollten Sie einen Standby-Betriebsmaster benennen. In einigen Fällen sollten Sie über einen Wechsel der Betriebsmasterrollen nachdenken: Der Stammdomänencontroller der Stammdomäne bekommt bei der Installation nicht nur die Betriebsmasterrollen, sondern auch die Funktion eines globalen Katalogs. Bei großen Gesamtstrukturen wächst der globale Katalog und beansprucht Systemressourcen des Servergeräts. Sie können entweder den globalen Katalog Server ändern oder Betriebsmasterrollen verschieben. Ein weiterer Aspekt ist, dass ein Infrastrukturmaster nicht auf einem Server mit einem globalen Katalog platziert werden sollte, wenn auch alle anderen Domänencontroller globale Server sind. Daher sollen Sie alle Betriebsmasterrollen auf einen zweiten Domänencontroller verschieben. Ein dritter Server fungiert dann als Standby-Betriebsmaster. Stellen Sie sicher, dass dieser nicht als globaler Katalogserver konfiguriert ist. 186

3.4 Designprozesse


Abbildung 3.34: Verschieben der Betriebsmasterrollen in Abhängigkeit von der Rolle als globaler Katalogserver

Betriebsmasterrollen für eine regionale untergeordnete Domäne Per Voreinstellung werden die folgenden Rollen auf den ersten Domänencontroller der untergeordneten Domäne übertragen bzw. dort eingerichtet: T RID-Master T Infrastrukturmaster T PDC-Emulation Per Voreinstellung bekommt kein untergeordneter Domänencontroller die Rolle als globaler Katalogserver zugeteilt. Benötigen Sie in Ihrem Standort einen globalen Katalog, der in einer untergeordneten Domäne liegt, sollten Sie sicherstellen, dass dieser sich nicht auf dem Server mit den Betriebsmasterrollen befindet. Sie sollten daher einen zweiten Domänencontroller einrichten, der eine der beiden Rollen übernimmt. Der Einfachheit halber belassen Sie die FSMO-Rollen auf dem ersten Domänencontroller der untergeordneten Domäne.

Sie sollten einen Domänencontroller nicht so konfigurieren, dass gleichzeitig ein globaler Katalog und ein Infrastrukturmaster vorliegen. Diese Überlegung gilt nicht für ein EinDomänenmodell.

3.4 Designprozesse

187

ACH TUNG

Falls Sie eine Windows Server 2003-Domäne mit Windows NT-Backupdomänencontrollern verwenden – wie es zum Beispiel während der Migrationsphase der Fall ist –, müssen Sie sicherstellen, dass der Server mit der PDC-Emulation auch über eine gute Netzwerkbandbreite mit den NT-Backupdomänencontrollern verbunden ist.

MCSE Examen 70-294

Replikation vieler Standorte Die Replikation einer großen Anzahl von Standorten vergrößert die Arbeitslast auf den Domänencontrollern. Nachdem Sie in den vorangegangenen Abschnitten die minimale Anzahl von Domänencontrollern ermittelt haben, die Sie für jede Domäne und jeden Standort benötigen, müssen Sie klären, ob Sie zusätzliche Domänencontroller oder globale Katalogserver zur Replikation benötigen. Beachten Sie, dass in Windows 2000 Server die Replikation zwischen Domänen, die auf eine große Anzahl von Standorten aufgeteilt sind, von demjenigen Domänencontroller in jeder Domäne ausgeführt wird, der von dem Knowledge Consistency Checker-(KCC-)Prozess bestimmt wurde. In Windows Server 2003 hat sich die Rolle des KCC leicht geändert. Die ausgehenden Replikationsverbindungen, die vom KCC erstellt werden, sind nach einem Zufallsprinzip zwischen den potenziellen Bridgeheadservern in der Domäne verteilt, um die Replikationslast zu verteilen. In Windows Server 2003 ist mehr als ein Bridgeheadserver an der Replikation beteiligt. Falls Sie eine Domäne haben, die über 15 bis 31 Standorte verteilt ist, sollten Sie einen Domänencontroller zu der minimalen Anzahl von Domänencontrollern des Standorts hinzufügen. Falls die Domäne auf 32 bis 45 Standorte aufgeteilt ist, sollten Sie einen weiteren Domänencontroller hinzufügen. Fügen Sie aufgrund dieser Überlegung für jeweils 15 Replikationsverbindungen zu anderen Standorten je einen Domänencontroller hinzu. Die gleiche Regel gilt auch für die globalen Katalogserver in einem Standort. Standorte

Zusätzliche Domänencontroller/ Katalogserver

15 – 31

+1

32 – 45

+2

Alle 15 Standorte

Je +1

Tabelle 3.14: Zusätzliche Domänencontroller in einem Standort

Standort-Design Nach den Vorüberlegungen ist die Bestimmung eines Standort-Designs einfach: Bestimmen Sie, welche Locations (physikalische Orte) Active Directory-Standorte werden. Sie benötigen hierfür die Netzwerk-IDs (IP-Adressbereiche und Subnetzmasken) und geeignete Namen. Bei der Benennung haben Sie freie Wahl. Sie können Ihre Standorte nach den wahren Orten oder nach anderen Funktionen nennen. Bilden Sie eine Tabelle mit den Namen der Standorte und den Netzwerk-IDs.

188

3.4 Designprozesse


Standortverknüpfungen Erstellen Sie Standortverknüpfungen so wie Sie die Standorte verbinden möchten. Mit den Standortverknüpfungen beeinflussen Sie den Replikationsverkehr über die physikalische Leitung mit der die Standorte verbunden sind. Bevor Sie den Vorgang durchführen, sollten Sie sicherstellen, dass die WAN-Strecke bzw. die physikalische Leitung den Anforderungen genügt. Testen Sie Ihre Netzwerkgeräte wie Router, Switches usw. Führen Sie folgende Aufgaben durch: T Erstellen Sie einen Plan, inwieweit eine Replikation erlaubt ist und zu welchen Tageszeiten eine Replikation stattfinden soll. Setzen Sie Intervalle. T Dokumentieren Sie auch die Leitungsart (DSL, ISDN usw.). T Ermitteln Sie die Kosten (sinnvoll bei mehreren Verbindungen). Je höher der Zahlenwert ist, desto langsamer ist die Leitung. Setzen Sie beispielsweise für ISDN den Wert 1000 und für ADSL mit 0,5 MBit einen Wert von 500 fest.

Standortverknüpfungsbrücken Eine Standortverknüpfungsbrücke verbindet zwei oder mehrere Standortverknüpfungen. Mit ihr richten Sie eine zusätzliche Transitivität zwischen Standortverknüpfungen ein. Standortverknüpfungen sind allerdings voreingestellt schon transitiv, d.h., Sie müssen Standortverknüpfungsbrücken nur selten einrichten. Wenn die Transitivität eingerichtet ist und funktioniert, ist eine zusätzliche Standortverknüpfungsbrücke redundant. Sie hat keine nennenswerten Auswirkungen. Folglich stellen Sie die Transitivität bei den Standortverknüpfungen ab und aktivieren eine Standortverknüpfungsbrücke, wie die Abbildung 3.35 zeigt.

Abbildung 3.35: Standortverknüpfungen verkürzen den Replikationsweg.

Sie deaktivieren in folgenden Fällen die Transitivität der Standortverknüpfungen: T Ihr Netzwerk ist nicht vollständig geroutet. T Sie benötigen eine Kontrolle über die Höhe des Replikationsverkehrs. Nur die Standortverknüpfungen innerhalb der Standortverknüpfungsbrücke routen transitiv.

3.4 Designprozesse

189

MCSE Examen 70-294

Zusammenfassung Nach Beendigung dieser Phase müssen Sie folgende Kernpunke gelöst haben: T Sie erstellen einen Lageplan, in dem alle Dependancen mit Netzwerk-IDs und WANVerbindungsstrecken vorkommen. T Sie wissen, über welche WAN-Strecken Replikationsverkehr stattfindet. T Sie erstellen eine Liste mit den Orten (Locations), in denen Domänencontroller stehen. Sie müssen eventuell die vorher getätigten Annahmen über die Anzahl von Domänencontrollern revidieren. T Sie kennen die Anzahl der Domänencontroller pro Standort. T Sie bestimmen, welche Domänencontroller den globalen Katalog und welche die Betriebsmasterrollen hosten. T Sie erstellen eine Liste mit Standorten, und benennen sie sinnvoll. T Sie erstellen eine Liste mit Bridgeheadservern, die an den Knotenpunkten zu den anderen Standorten liegen. T Sie beziehen Standortverknüpfungsbrücken mit in Ihre Entscheidung ein, wenn Sie ein nicht vollständig geroutetes Netzwerk haben oder Kontrolle über den Replikationsverkehr haben wollen.

3.5

Installation

Obwohl die Installation weitgehend per Installationsassistent einfach durchzuführen ist, sind einige wichtige Aspekte im Vorfeld zu klären. Darunter fällt die Auswahl der passenden Softund Hardware für die verschiedenen Domänencontrollertypen. Bei den Installationsarten werden Sie die verschiedenen Möglichkeiten, die Microsoft vorsieht, kennen lernen und erfahren, wie ein Domänencontroller aufgesetzt werden kann.

3.5.1

Kapazitätsplanung Domänencontroller

Die Kapazitätsplanung hilft Ihnen, in Abhängigkeit von Diensten und Benutzern eine optimale Hard- und Softwarekonfiguration zu finden. Tabelle 3.15 zeigt Ihnen den Zusammenhang zwischen Diensten und deren Auswirkungen auf den Domänencontroller bzw. auf das Computergerät.

190

3.5 Installation

3 – Planung und Einrichtung einer Active Directory-Infrastruktur Dienst

Belastung

Abhängigkeit

PDC-Betriebsmaster

Hoch

Anzahl der Benutzer, Computer und Kennwortänderungen Anzahl der NT-Backupdomänencontroller

Globaler Katalogserver mit Exchange Server

Hoch

Anzahl der Domänen, Domänencontroller und universelle Gruppen

Replikation an Domänencontroller

Mittel bis hoch

Ab 10 Replikationspartnern steigt die Belastung wesentlich an.

Anmeldevorgänge

Mittel bis hoch

Anzahl der Computer und Benutzer

Globaler Katalogserver ohne externe Dienste

Niedrig bis hoch

Anzahl der Domänen, Domänencontroller und universelle Gruppen

Datei- und Druckserver

Niedrig bis hoch

Anzahl der Benutzer

DNS-Server

Niedrig bis hoch

Anzahl der DNS-Clients, Anzahl der Replikationspartner; bei zwei Netzwerkdiensten steigen die Anforderungen stärker.

WINS-Dienst

Niedrig bis hoch

Größe der Datenbank

DHCP-Server

Niedrig bis hoch

Anzahl der Clients; bei zwei Netzwerkdiensten steigen die Anforderungen stärker.

Autorisierungen für Ressourcenzugriffsaufforderungen

Niedrig bis hoch

Anzahl der Ressourcenzugriffsaufforderungen

LDAP-Suche

Niedrig bis hoch

Anzahl der LDAP-Server. Bei reinen Microsoft Umgebungen: Anzahl der Domänencontroller

Berechnung der Replikationstopologie

Niedrig bis hoch

Anzahl der Standorte. Starker Anstieg bei 200 Standorten

Infrastrukturbetriebsmaster

Gering

-

RID-Master

Gering

-

Tabelle 3.15: Auswirkungen von Diensten auf die Leistungsfähigkeit des Server, nach Belastung sortiert

Software-Editionen Zu der Windows Server 2003-Familie gehören drei Editionen, die je nach Größe der Domäne und Ausfallsicherheitsüberlegungen als Domänencontroller eingesetzt werden können. Lediglich die Web-Edition können Sie nicht als Domänencontroller benutzen.

3.5 Installation

191

MCSE Examen 70-294

Tabelle 3.16 zeigt Ihnen die Verwendung der verschiedenen Editionen. Edition

Domänencontroller

Verwendung

Datacenter Edition

Ja

Das Flagschiff von Microsoft. Die Datacenter Edition stellt die leistungsfähigste Version dar. Sie kann als Domänencontroller eingesetzt werden; es ist jedoch wegen der hohen Kosten zu prüfen, ob nicht die Enterprise Edition eine kostengünstigere und somit bessere Alternative ist. Eine separate 64-Bit-Version ist erhältlich.

Enterprise Edition

Ja

Die Enterprise Edition ist ein sehr leistungsfähiges Produkt und bietet Ihnen ein Failover-Clustering bis zu 8 Konten und Loadbalancing. Sie unterstützt bis zu 8 CPUs und bis zu 8 GB Hauptspeicher. Eine separate 64-Bit-Version ist erhältlich.

Standard Edition

Ja

Die Standard Edition stellt eine kostengünstige Variante dar. Sie ist für den Betrieb in einer Arbeitsgruppe oder in einer kleinen Domäne konzipiert und bietet keinerlei Failover-Funktionen. Die Ziel-Käufergruppe sind kleine Firmen. Die Standard Edition unterstützt bis zu 4 CPUs und bis zu 4 GB Hauptspeicher.

Web Edition

Nein

Die Web-Edition können Sie nur als Mitgliedsserver in einer Domäne verwenden.

Tabelle 3.16: Vergleich der Windows Server 2003-Editionen

Benutzer und Prozessorleistung Die optimale Hardware zu empfehlen ist in Zeiten, wo sich die Leistung der Technologie alle zwei Jahre fast verdoppelt, nicht einfach. Schnelle Prozessoren, Festplatten, Netzwerkkarten und Speicher sind generell immer empfehlenswert. Diese pauschale Aussage hilft jedoch bei der Hardwareauswahl wenig. Achten Sie bei Ihren Hardware-Anschaffungen auf den Anschaffungspreis und zugleich auf die Investitionssicherheit. Das bedeutet, dass die angeschaffte Hardware in einem absehbaren Zeitraum nicht gleich wieder veraltet ist. Planen Sie daher immer eine Nummer größer, als Sie mindestens brauchen. Planen Sie bei einem Kauf eine Investitionssicherheit von ca. zwei bis fünf Jahren, und sehen Sie zu, dass Sie einen Break-Even-Point möglichst früh erreichen. Die folgenden Werte beziehen sich ausschließlich auf Computergeräte, die als Domänencontroller eingesetzt werden und keine weiteren besonderen Dienste hosten. Die Mindestanforderungen eines Windows Server 2003-Computergeräts sind wesentlich geringer als diese »empfohlenen Mindestanforderungen«1.

1. Microsoft Windows Server 2003 Deployment Kit

192

3.5 Installation

3 – Planung und Einrichtung einer Active Directory-Infrastruktur Benutzer per Domäne in einem Standort

Minimal benötigte Anzahl von Domänencontrollern per Domäne in einem Standort

Minimale CPUGeschwindigkeit

1 – 499

1

≥ 850 MHz

500 – 999

1

≥ 2 x 850 MHz

1.000 – 2.999

2

≥ 2 x 850 MHz

3.000 – 10.000

2

≥ 4 x 850 MHz

> 10.000

Ein Domänencontroller für je 5.000

≥ 4 x 850 MHz

Tabelle 3.17: Empfohlene CPU-Geschwindigkeit in Abhängigkeit von der Anzahl der Benutzer in einem Standort

Speicherplatz für die Datenbank Die von dem Domänencontroller benötigte Speicherkapazität auf der Festplatte basiert auf der Anzahl der Objekte in der Domäne und darauf, ob der Domänencontroller Anwendungsverzeichnispartitionen hostet. Um die Speichervoraussetzungen zu bestimmen, gehen Sie folgendermaßen vor: 1. Listen Sie die minimalen Voraussetzungen für den freien Speicher auf den Festplatten auf. 2. Fügen Sie zusätzlichen Festplattenspeicher zu denjenigen Domänencontrollern hinzu, die später als globaler Katalog fungieren sollen. 3. Fügen Sie zusätzlichen Festplattenspeicher zu denjenigen Domänencontrollern hinzu, die später eine Anwendungsverzeichnispartitionen hosten sollen. Speicherbedarf der Active Directory-Datenbank Domänencontroller benötigen neben dem Betriebssystem noch zusätzlichen Festplattenplatz für die Active Directory-Verzeichnisdatenbank, für die Transaktionsdateien und für das SYSVOL-Verzeichnis. Nach folgender Überschlagsrechnung bestimmen Sie die minimalen Voraussetzungen für den freien Speicher: T Je 1.000 Benutzer müssen Sie mit 0,4 GB Speicherplatz für die Active Directory-Datenbank rechnen. Sie ist somit sehr gut auf handelsüblichen Festplatten unterzubringen. T Für das Active Directory-Transaktionsprotokoll müssen Sie auf der Festplatte 0,5 GB verfügbaren Speicherplatz reservieren. T Auf der Festplatte oder Partition mit dem Betriebssystem sollten Sie immer etwa 2 GB Speicherplatz freihalten. Um einem Einzelpunktversagen von Festplatten vorzubeugen, ist der Gebrauch von RAIDArrays (Redundant Array of Independent Disks) unbedingt zu empfehlen. Falls nur wenige Benutzer auf den Domänencontroller zugreifen, ist nur ein einzelnes RAID 1 für alle Komponenten (Datenbank, Transaktionsprotokoll und SYSVOL-Share) ausreichend. Um die Ausfallsicherheit zu erhöhen, können Sie noch eine Festplatte als Hotspare hinzufügen.

3.5 Installation

193

MCSE Examen 70-294 Benutzer, die auf einen Domänencontroller zugreifen

Empfohlenes Festplattensubsystem (Festplatten)

Komponenten

1 – 999

1 x RAID 1

Für alle Komponenten

Ab 1.000

1 x RAID 1

Für das Betriebssystem (Lese- und Schreiboperationen)

1 x RAID 1

Für das Transaktionsprotokoll (hauptsächlich Schreiboperationen)

1 x RAID 1

Für die Active Directory-Datenbank und den SYSVOL-Share (meistens Leseoperationen)

HIN WEIS

Tabelle 3.18: Minimale empfohlene Hardwarekonfiguration für Domänencontroller

Speichern Sie die Active Directory-Datenbank und das SYSVOL-Verzeichnis auf derselben Festplattenpartition bzw. auf demselben RAID-Array. Speicherbedarf von globalen Katalogservern Die Rolle des globalen Katalogservers erfordert zusätzlichen Speicherbedarf an Festplattenspeicher. Ein globaler Katalogserver ist ein Domänencontroller, der eine vollständige Kopie der Domänenverzeichnispartition derjenigen Domäne speichert, bei der er Mitglied ist. Zusätzlich zu dieser Kopie speichert er noch eine replizierte Teilkopie jeder Domänenverzeichnispartition in der Gesamtstruktur. Je mehr Domänen und Objekte es bei Ihnen gibt, desto höher ist der Speicherbedarf des globalen Katalogservers. Haben Sie jedoch nur eine Domäne, vergrößert die Funktion des globalen Katalogservers die Größe der Datenbank nicht. Für eine Näherungsrechnung reicht es aus anzunehmen, dass jede zusätzliche Domäne etwa 50% der eigenen Datenbankgröße zum globalen Katalog hinzufügt. Bedenken Sie auch, dass Anwendungsverzeichnispartitionen ihre Daten nicht zum globalen Katalog replizieren. Daher vergrößern Active Directory-integrierte DNS-Zonen nicht den globalen Katalog. Speicherbedarf von Anwendungsverzeichnispartitionen Anwendungsverzeichnispartitionen können entweder von Administratoren als Containerobjekte oder von Applikationen erstellt werden. Das Ablegen von Informationen in eine Anwendungsverzeichnispartition hilft den Replikationsverkehr zu senken, da diese Informationen lediglich zu bestimmten Domänencontrollern repliziert werden. Anwendungsverzeichnispartitionen sind eine neue »Technologie« von Microsoft, die ab Windows Server 2003 Gültigkeit hat. Falls Sie eine Serverapplikation einsetzen, die diese Technologie verwendet, müssen Sie gemäß den Bestimmungen des neuen Produktes Speicherplatz auf der Festplatte reservieren.

194

3.5 Installation


Arbeitspeicher Die benötigte Menge an Arbeitspeicher ist von der Anzahl der Benutzer abhängig, die sich an dem Domänencontroller anmelden. Hierbei wird vereinfachend angenommen, dass jeder Benutzer sich nur von einem Computer aus anmeldet. Tabelle 3.19 hilft Ihnen bei der Bemaßung des Arbeitspeichers. Die Anzahl der Benutzer bzw. Domänencontroller gilt nur bezogen auf einen einzigen Standort. Benutzer pro Domäne in einem Standort

Domänencontroller

CPU-Leistung/ Prozessoren

Speicher

1 – 499

1

≥ 850 MHz

≥ 512 MB

500 – 999

1

≥ 2 x 850 MHz

≥ 1 GB

1.000 – 2.999

2

≥ 2 x 850 MHz

≥ 2 GB

3.000 – 10.000

2

≥ 4 x 850 MHz

≥ 2 GB

> 10.000

Je 5000 Benutzer + 1

≥ 4 x 850 MHz

≥ 2 GB

Tabelle 3.19: Speicherbedarf eines Domänencontrollers

Domänencontroller und andere Dienste

ACH TUNG

Ein Domänencontroller kann neben seiner Tätigkeit – der Verwaltung der Active DirectoryVerzeichnisdienste – auch weitere Tätigkeiten verrichten. Ein Produktpaket, das diesen Aspekt verdeutlicht, ist das Small Business Server 2003-Paket. Für eine begrenzte Anzahl (max. 75 Benutzer) können Sie auf einem Computergerät neben dem Betriebssystem auch Exchange Server und ISA-Server laufen lassen.

Doch Vorsicht bei diesem Paket: 1. Der Server muss ein primärer Domänencontroller sein, 2. Es können maximal 75 Clients verwendet werden und 3. Die Programmteile können nicht auf unterschiedlichen Servern installiert werden). Der Small Business Server ist zu einem attraktiven Preis in zwei Editionen erhältlich. Ein Domänencontroller ist von Hause aus auf Datendurchsatz für Dateifreigabe maximieren eingestellt. Für eine optimale Anwendung als Domänencontroller wäre jedoch eine Einstellung, die den optimalen Netzwerkdurchsatz betreffen würde, besser. Mit der Voreinstellung können Sie auf einem Domänencontroller dann einen Datei- und Druckserver betreiben, wenn Sie aus Kostengründen keinen anderen Server zur Verfügung haben und die Auslastung des Domänencontrollers gering ist. Wenn Sie die Mindestanzahl von Domänencontrollern einsetzen, dann haben Sie zwei Computergeräte. Bei einer Unternehmensgröße von bis zu 200 Mitarbeitern hat das zur Folge, dass sich die Server fast den ganzen Tag »langweilen«. Sie können diese Geräte also auch anderweitig nutzen, nur sollten

3.5 Installation

195

MCSE Examen 70-294

Sie bedenken, dass, je mehr zusätzliche Dienste auf dem Server laufen, auch die Wahrscheinlichkeit steigt, den Computer aus Wartungsgründen neu starten zu müssen.

Zusammenfassung Nach Beendigung dieser Phase müssen Sie folgende Aufgaben gelöst haben: T Sie wissen, welche Software-Edition Sie einsetzen müssen. T Sie wissen, welche Hardware zu Ihren Anforderungen passt.

3.5.2

Installationsvorgang

Microsoft sieht zwei Arten vor, ein Active Directory zu installieren: T Sie verwenden die manuelle Installation. T Sie führen eine unbeaufsichtigte Installation über eine Antwortdatei durch. Des Weiteren haben Sie noch die Option, eine manuelle Installation über den Serverkonfigurations-Assistenten zu starten. Dies ist eine Alternative, falls Sie den ersten Domänencontroller in einem Netzwerk einrichten. Für die Antwortdatei, wie auch für die Dialogfelder des Installationsassistenten, benötigen Sie folgende Informationen: T Typ des Domänencontrollers T Typ der Domäne T Domänenname in FQDN- und in der NetBIOS-Schreibweise T Speicherort für die Active Directory-Datenbank und für die Transaktionsprotokolle T Speicherort für das SYSVOL-Verzeichnis T Kompatibilitätsmodus bzw. Informationen, ob noch eine Windows NT-Domäne vorliegt T Administratorkennwort für die Wiederherstellung des Active Directory Falls während des Installationsvorgangs erkannt wird, dass Sie noch einen DNS-Server benötigen, kann der Assistent diesen vor der Active Directory-Installation einrichten. Beachten Sie bitte auch, dass die Stammdomäne Eigenschaften besitzt, die von anderen Domänen in der Gesamtstruktur verschieden sind. Sie ist der Mittelpunkt der KerberosAuthentifizierung und enthält die wichtigen Betriebsmasterfunktionen Schema-Master und Domänennamenmaster, die es nur in der Stammdomäne gibt. Stellen Sie daher immer sicher, dass vor der Installation weiterer Domänencontroller ein Zugriff auf den Domänencontroller mit den Betriebsmasterfunktionen stattfinden kann. Das gilt nicht nur für die einfache Netzwerkverbindung, sondern auch für Portfreigaben auf einer Firewall. Stellen Sie sicher, dass Sie immer laufende Sicherungskopien der Stammdomänencontroller besitzen. Stellen Sie einen Sicherungsplan auf, wie Sie in kürzester Zeit eine Reparatur des Domänencontrollers bzw. der Active Directory-Datenbank durchführen können.

196

3.5 Installation

Wenn Sie für einen zusätzlichen Domänencontroller derselben Domäne einen Windows Server 2003-Computer einsetzen wollen und der Stammdomänencontroller ein Windows 2000 Server ist, müssen Sie auf diesem Server das Windows 2000 Service Pack 2 (SP2) oder höher installiert haben. Ansonsten bekommen Sie eine Fehlermeldung »Operation failed«, wenn Sie den Windows Server 2003-Domänencontroller einrichten. Entsprechende Fehlermeldungen finden Sie auch im dcpromoui.log.

HIN WEIS


Assistent zum Installieren von Active Directory Die gängigste Art der manuellen Installation ist die mit dem Assistenten zum Installieren von Active Directory. Den Assistenten rufen Sie aus der Kommandozeileneingabe mit dem Befehl dcpromo auf. Fügen Sie nach dem Befehl den Parameter /adv hinzu, erhalten Sie die erweiterten Benutzeroptionen, die Sie für die Installation eines Domänencontrollers derselben Domäne verwenden können. Nur mit der erweiterten Benutzeroption können Sie eine Installation über ein Sicherungsmedium durchführen. Sie starten das Programm mit: Befehlszeile

Beschreibung

Dcpromo

Normaler Aufruf der manuellen Installation

Dcpromo /adv

Erweiterte Optionen der manuellen Installation

dcpromo /answer[:Dateiname]

Unbeaufsichtigte Installation über eine Antwortdatei

Tabelle 3.20: Befehlszeile und Parameter des Installationsprogramms dcpromo.exe

Die Deinstallation eines Domänencontrollers erfolgt auch mit dem Programm dcpromo.exe.

Manuelle Installation Führen Sie eine manuelle Installation immer nur dann aus, wenn Sie einen Domänencontroller individuell einrichten müssen. Wollen Sie hingegen mehrere Domänencontroller ausliefern oder haben Sie bereits eine fertige Antwortdatei, ist eine unbeaufsichtigte Installation empfehlenswert. Für die Installation eines einzigen Domänencontrollertyps lohnt sich dies hingegen in den meisten Fällen nicht. Eine Ausnahme liegt vor, wenn die veranschlagte Zeit der Installation aus technischen Gründen sehr kurz sein muss. Die manuelle Installation funktioniert menügeführt und ist einfach durchzuführen. Weitere Informationen finden Sie im entsprechenden Übungsteil. 3.5 Installation

197

HIN WEIS

Mit dem Parameter /answer[:Dateiname] können Sie eine unbeaufsichtigte Installation vornehmen. Anhand der Parameter sehen Sie, dass sowohl die manuelle als auch die unbeaufsichtigte Installation über das gleiche Programm gestartet werden. Allerdings verwenden Sie verschiedene Parameter.

HIN WEIS

TIPP

MCSE Examen 70-294

Sie installieren einen zusätzlichen Domänencontroller über ein Sicherheitsmedium nur unter dem Aufruf von dcpromo /adv.

Der Serverkonfigurationsassistent bietet Ihnen, im Gegensatz zu der Installation über dcpromo, keine Möglichkeit zur Festlegung des Speicherortes für die Datenbank, den Protokollordner und das SYSVOL-Verzeichnis. Sie können auch kein Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus eingeben. Möchten Sie über den Serverkonfigurationsassistenten weitere Domänencontroller hinzufügen, greift dieser dann auf das Installationsprogramm dcpromo zurück. Wegen der oben beschriebenen Mängel ist vom Gebrauch des Serverkonfigurationsassistenten abzuraten.

Unbeaufsichtigte Installation Führen Sie eine unbeaufsichtigte Installation immer dann aus, wenn Sie mehrere Domänencontroller gleichen Typs installieren wollen. Hier lohnt die Arbeit, eine Antwortdatei zu erstellen. Sie ist eine ASCII-basierende Textdatei, die Antworten auf die in den Dialogen des Installationsassistenten gestellten Fragen enthält. Wenn Sie einen neuen Server installieren, können Sie Active Directory gleich mit einrichten. Sie haben dann nicht den doppelten Aufwand, einmal den normalen Server und ein anderes Mal den Domänencontroller zu installieren. Der Aufruf erfolgt über: dcpromo /answer[:Dateiname]

Informationen zum Erstellen der Antwortdatei finden Sie im Ordner \Support\Tools auf der Installations-CD oder im Windows Server 2003 Deployment Kit.

Aktualisieren von Windows 2000 Server-Domänencontrollern Bevor Sie ein Aktualisieren von Windows 2000 Server-basierenden Domänencontrollern durchführen, sollten Sie eine gewissenhafte Planung durchführen, wie sie in den Kapiteln 1.3 und 4.4 beschrieben wurde. Installieren Sie auf allen Windows 2000-Domänencontrollern in der Gesamtstruktur ein Service Pack 3 oder höher. Auf allen Domänencontrollern muss eine Datei Ntdsa.dll vorhanden sein, die einen höheren Datumsstempel als den 04.06.01 besitzt und eine höhere Versionsnummer als 5.0.2195.36731 hat. Die Active Directory-Verwaltungsprogramme auf Windows 2000 SP4-, Windows XP- und Windows Server 2003-Clientcomputern verwenden standardmäßig eine LDAP-Signierung (Lightweight Directory Access Protocol) zur Authentifizierung. Falls 1. Microsoft Knowledge Base: Artikel KB331161, »Vor dem Ausführen von Adprep /Forestprep auf Windows 2000-Domänencontrollern zu installierende Updates«

198

3.5 Installation


diese Computer die NTLM-Authentifizierung für die Authentifizierung auf Windows 2000Domänencontrollern benutzen (oder auf diese zurückgesetzt werden), schlägt die Verbindung fehl. Daher muss auf den Zieldomänencontrollern zumindest das Windows 2000 SP3 installiert sein, oder Sie müssen auf denjenigen Clients, die die Verwaltungsprogramme ausführen, die LDAP-Signierung deaktivieren1. Um die richtige Service Pack-Version zu bestimmen, können Sie auch das Programm repadmin verwenden. Die NTLM-Authentifizierung wird nur dann verwendet, wenn eine der folgenden Bedingungen erfüllt ist: T Windows 2000-Domänen sind über eine externe Vertrauensstellung mit Windows NTDomänen verbunden. Ein Clientcomputer aus der NT-Domäne verwaltet über diese Vertrauensstellung einen Windows 2000-Domänencontroller. T Sie haben ein Snap-In zu einem bestimmten Domänencontroller »gebunden« (zum Beispiel über dsa.msc /server=IPAdresse). Führen Sie des Weiteren folgende Schritte durch: Überprüfen Sie die Active Directory-Replikation in der Gesamtstruktur. Alle Namenskontexte müssen konsistent sein, und die Replikation muss einwandfrei funktionieren. Insbesondere muss jeder Domänencontroller über mindestens ein eingehendes und ein ausgehendes Verbindungsobjekt für die Partitionen Schema, Konfiguration und Domäne verfügen. Zum Testen können Sie den Replikationsmonitor oder das Dienstprogramm repadmin.exe verwenden. Falls Sie Replikationsfehler auf Domänencontrollern beheben, die für eine größere Anzahl von Tagen, als die Tombstone-Lebensdauer,, keine eingehenden oder ausgehenden Änderungen für einen Namenskontext repliziert haben, können Sie möglicherweise auch gänzlich gelöschte Objekte wiederbeleben, die Sie eigentlich nicht mehr haben wollten. In diesem Fall müssen Sie u.U. die Active Directory-Datenbank mit dem ntdsutil-Programm reparieren. Die verbleibenden Elemente entfernen Sie ebenfalls mit ntdsutil. Anschließend stufen Sie den Domänencontroller zwangsweise herab. Sie müssen alle Domänencontroller, die für weniger als die in der Tombstone-Lebensdauer definierten Anzahl von Tagen offline sind, online schalten und anschließend die ein- und ausgehende Replikation überprüfen. Im äußersten Notfall müssen Sie den Domänencontroller mit dem ntdsutil-Programm zwangsweise (Befehl metadata cleanup) herunterstufen und somit aus der Gesamtstruktur entfernen. Bedenken Sie: Auf dem zwangsweise herabgestuften Domänencontroller gehen nicht replizierte Objekte und Attribute, wie Gruppen, Computerkonten usw verloren. Stellen Sie sicher, dass die Inhalte der SYSVOL-Freigabe konsistent sind. Zur Kontrolle können Sie auch das Dienstprogramm Healthcheck aus den Windows Server 2003 Support Tools verwenden. Verwenden Sie Dcdiag.exe (dcdiag /e /test:frssysvol) für das Überprüfen der Netlogon- und SYSVOL-Freigaben. Führen Sie weiterhin eine Inventur der Betriebsmasterrollen durch, indem Sie das Tool Replikationsmonitor oder repadmin.exe verwenden. Alle Betriebsmasterrollen müssen einwandfrei funktionieren. 1. Microsoft Knowledge Base: KB325465, »Windows 2000-Domänencontroller benötigen SP3 oder höher bei Einsatz der Windows Server 2003-Verwaltungsprogramme«

3.5 Installation

199

MCSE Examen 70-294

Beachten Sie, dass Sie für die Aktualisierung einen gewissen Festplattenspeicher benötigen. Kalkulieren Sie für die Datenbank ntds.dit einen zusätzlichen freien Festplattenplatz von mindestens 15-20% ein. Die Größe der Transaktionsprotokolle wird selbstverständlich auch anwachsen. Kalkulieren Sie hier ebenfalls ein Wachstum von 15-20% ein.

TIPP

Vorteilhaft ist es auch, die DNS-Datenbank aufzuräumen, indem alte Einträge gelöscht werden. Die besten Ergebnisse erzielen Sie, wenn Sie diese Maßnahme mindestens 61 Tage vor der Aktualisierung durchführen, wenn die Tombstone-Lebensdauer auf 60 Tage gestellt (Voreinstellung) und die Zone Active Directory-integriert ist. Dies gibt auch dem DNS-Aufräumdaemon Zeit, veraltete Objekte per Garbage Collection (»Müllsammlung«) zu sammeln, wenn Sie eine Offline-Defragmentierung der Active Directory-Datenbank über ntdsutil ausführen.

Merken Sie sich den Zusammenhang zwischen der Garbage Collection und der TombstoneLebensdauer. Mehr Informationen zur Garbage Collection erhalten Sie in Kapitel 6.1.3. Setzen Sie auch den Dienst zur Überwachung verteilter Verknüpfungen (Distributed Link Tracking, DLT) auf allen Windows 2000-Domänencontrollern auf deaktiviert.

HIN WEIS

Zum Abschluss der Vorbereitungen führen Sie ein Backup von mindestens zwei Domänencontrollern in jeder Domäne durch.

Sie führen die Befehle adprep /forestprep und adprep /domainprep nur in Verbindung mit Exchange Server 2003 bzw. Exchange 2000 Server durch. Mit diesem Befehl können Sie Active Directory für die Installation der o.g. Exchange-Versionen vorbereiten. Adprep ist sowohl für Windows 2000 Server in Verbindung mit Exchange 2000 Server, als auch für Windows Server 2003 in Verbindung mit Exchange Server 2003 anzuwenden.

3.5.3

Problembehandlung

Aus der Vielzahl von Fehlern, die bei einer Installation auftreten können, sind nachfolgend die Wichtigsten aufgeführt. Des Weiteren finden Sie nachfolgend Tools, mit denen Sie eine Diagnose durchführen oder den Fehler beseitigen können. Um die Fehlersuche etwas anschaulicher zu gestalten, wurde in den Beispielen die Situation gewählt, dass ein Domänencontroller derselben Domäne nicht verfügbar ist. Dieses Beispiel können Sie gut nachprüfen, indem Sie – falls Sie zwei Domänencontroller haben – einen Domänencontroller ausstellen.

Gängige Fehlersituationen Die meisten Fehlersituationen treten in Verbindung mit weiteren Domänencontrollern derselben Domäne oder untergeordneten Domänen auf. Hierbei fällt auf, dass meistens Netzwerkkonnektivitätsfehler Ursache vieler Fehler sind.

200

3.5 Installation


T Die DNS-Servereinstellungen sind nicht korrekt konfiguriert, d.h., der DNS-Server konnte nicht gefunden werden. T Der DNS-Name wurde nicht auf dem DNS-Server registriert, oder die DNS-Datenbank ist noch nicht vollständig auf weitere DNS-Server repliziert worden. T Während der Synchronisierung der Active Directory-Verzeichnisdienste sind auf WANStrecken Störungen aufgetreten. Aus Unkenntnis wurde der Synchronisationsvorgang manuell abgebrochen. Die Folge ist eine völlig demolierte Datenbank. Die Verzeichnisdienste lassen sich nicht mehr starten. T Sie haben erfolglos versucht, die Active Directory-Datenbank zu löschen. Vermutlich waren Synchronisationsfehler während der Installation die Ursache des Problems. T Der Schema-Master und der Domänennamenmaster sind nicht verfügbar. Eine neue Domäne lässt sich nicht erstellen.

Dcpromo-Protokolldateien Nach einer Hochstufung oder Herabstufung eines Domänencontrollers finden Sie im Ordner %SystemRoot%\Debug die Protokolldateien, die vom Installationsprogramm dcpromo.exe ausgegeben werden. Sie lauten: T dcpromo.log für einen normalen Statusbericht. T dcpromos.log nach einem Upgrade. T dcpromoui.log für einen detaillierten Statusbericht während der GUI-Installation. Nach einer erfolgreichen Installation finden Sie im dcpromo.log den Eintrag: »01/02 19:04:40 [INFO] Der Domänencontrollervorgang wurde abgeschlossen.« Sie bekommen in diesem Protokoll Informationen, welche Dateien wo und wie gesichert worden sind und welche Aktionen vorgenommen wurden. Teilweise ist das Sichern jeder DLL protokolliert.

Beispiel dcpromo.log Nach der Installation finden Sie eine ähnliche Protokolldatei vor. 01/02 01/02 01/02 01/02 01/02 01/02

21:18:54 21:18:54 21:18:54 21:18:54 21:18:54 21:18:54

[INFO] [INFO] [INFO] [INFO] [INFO] [INFO]

Promotion request for domain controller of new domain DnsDomainName pearson.de FlatDomainName PEARSON SiteName Standardname-des-ersten-Standorts SystemVolumeRootPath C:\WINDOWS\SYSVOL DsDatabasePath C:\WINDOWS\NTDS, DsLogPath C:\WINDOWS\NTDS

. . . 01/02 21:20:57 [INFO] Der Domänencontrollervorgang wurde abgeschlossen. 01/02 21:20:57 [INFO] DsRolepSetOperationDone returned 0 Listing 3.1: Auszug aus der dcpromo.log-Datei

3.5 Installation

201

MCSE Examen 70-294

In der dcpromoui-Protokolldatei erhalten Sie diejenigen Informationen, die von der grafischen Oberfläche (GUI) protokolliert werden. Sie finden dort Meldungen zum Installationsdatum und Eingaben, die Sie im Installationsassistenten vorgenommen haben. Liegt ein Fehler vor, ist dieser mit einem »Error« gekennzeichnet. Nach Aufruf des Programms dcpromo.exe wird immer ein Protokoll erstellt, gleichgültig, ob der Vorgang erfolgreich verläuft. Wenn zum Beispiel ein Administrator das Programm startet und versucht, eine untergeordnete Domäne einzurichten, jedoch das Kennwort falsch eingibt, wird diese Aktion vom dcpromoui.log entsprechend aufgezeichnet.

Beispiel dcpromoui.log Nach der Installation finden Sie eine ähnliche Protokolldatei vor: dcpromoui dcpromoui dcpromoui dcpromoui dcpromoui

3F8.3FC 3F8.3FC 3F8.3FC 3F8.3FC 3F8.3FC

0000 0001 0002 0003 0004

opening log file C:\WINDOWS\debug\dcpromoui.log C:\WINDOWS\system32\dcpromo.exe file timestamp 03/26/2003 13:00:00.000 local time 11/14/2003 22:52:41.000 running Windows NT 5.2 build 3790 (BuildLab:3790.srv03_rtm.030324-2048) i386 dcpromoui 3F8.3FC 0005 logging flags 0001003C dcpromoui 3F8.3FC 0006 Enter Computer::RemoveLeadingBackslashes dcpromoui 3F8.3FC 0007 Enter Computer::Refresh . . . dcpromoui 3F8.3FC 01A5 Enter ControlSubclasser::UnhookWindowProc dcpromoui 3F8.3FC 01A6 exitCode = 0 dcpromoui 3F8.3FC 01A7 closing log Listing 3.2: Auszug aus einer dcpromoui.log-Datei

Testen der Netzwerkkonnektivität Microsoft stellt für das Testen der Netzwerkkonnektivität das Befehlszeilenprogramm Netdiag zur Verfügung. Es gehört zu den Diagnosetools im Verzeichnis \Support\Tools, die Sie auf der Windows Server 2003 Installations-CD finden. Netdiag identifiziert Netzwerkprobleme, indem es die Netzwerkkonfiguration und die Verbindungen eines Computers untersucht. Sie können das Tool starten, wenn Sie auf dem Domänencontroller Mitglied der Gruppe Administratoren sind. Netdiag.exe verwendet die folgende Syntax: netdiag [/Optionen]

202

3.5 Installation


Sie können das Tool unter Angabe folgender Parameter bzw. Optionen starten: Optionen

Beschreibung

/q

Zeigt nur Fehler an.

/v

Zeigt eine detaillierte Ausgabe an (verbose output).

/l

Speichert die Ausgabe in der Datei Netdiag.log, die sich im Standardverzeichnis befindet.

/debug

Zeigt eine vollständige Liste mit Testdaten an. Die Liste ist noch umfangreicher als bei dem /v-Schalter.

/d:

Ermittelt einen Domänencontroller in der angegebenen Domäne.

/fix

Behebt kleinere Probleme.

/DcAccountEnum

Listet Computerkonten von Domänencontrollern auf.

/test:

Führt nur den angegebenen Test aus. Die Liste der gültigen Tests kann mit dem /?-Schalter erfragt werden.

/skip:

Überspringt den angegebenen Test.

/?

Zeigt die Syntax des Programms an. Es wird auch eine Liste gültiger Tests ausgegeben.

Tabelle 3.21: Befehlsparameter des Dienstprogramms netdiag.exe

Führen Sie zunächst das Programm ohne Parameter aus. Für Umleitungen in eine beliebige Textdatei können Sie folgendes Verfahren in der Eingabeaufforderung anwenden: netdiag > textdatei.txt

Führen Sie anschließend netdiag /? aus, um die möglichen Tests zu erfragen. Sie können nun mit dem Testen einzelner Aspekte beginnen. Sie können auch einen netdiag /debug ausführen, wenn Sie alle Testdaten in der ausführlichsten Version benötigen.

Beispiel netdiag Sie überprüfen das Netzwerk und vermuten, dass der Domänencontroller server02 keine Aktualisierungen bekommt. Sie wollen mit Hilfe des netdiag-Programms weitere Informationen erhalten. (Sie können dieses Beispiel auch einfach selbst durchführen, indem Sie einen von zwei Domänencontrollern derselben Domäne ausstellen.) Starten Sie die Eingabeaufforderung. Sie finden diese im Startmenü unter START/ZUBEHÖR/EINGABEAUFFORDERUNG oder indem Sie das Kommando cmd in START/AUSFÜHREN eingeben. Geben Sie ein: netdiag > netdiagtext.txt

3.5 Installation

203

MCSE Examen 70-294

Öffnen Sie anschließend die Datei netdiagtext.txt mit dem Notepad oder einem anderen Editor/Textprogramm. Falls Sie den Test ausführen, finden Sie einen ähnlichen Text vor. Für den hier verwendeten Server eines führenden Hardwareherstellers ergibt die Diagnose folgende Angaben: Computer Name: SERVER01 DNS Host Name: Server01.pearson.de System info : Windows 2000 Server (Build 3790) Processor : x86 Family 15 Model 2 Stepping 9, GenuineIntel List of installed hotfixes : Q147222 Netcard queries test . . . . . . . : Passed GetStats failed for 'Parallelanschluss (direkt)'. [ERROR_NOT_SUPPORTED] [WARNING] The net card 'WAN-Miniport (PPTP)' may not be working because it has not received any packets. [WARNING] The net card 'WAN-Miniport (PPPOE)' may not be working because it has not received any packets. [WARNING] The net card 'WAN-Miniport (IP)' may not be working because it has not received any packets. GetStats failed for 'WAN-Miniport (L2TP)'. [ERROR_NOT_SUPPORTED] [WARNING] The net card 'Intel(R) PRO/100B PCI Adapter (TX)' may not be working because it has not received any packets. Per interface results: Adapter : Intel Fast Ethernet LAN Controller - PCI slot 4 Netcard queries test . . . : Passed Host Name. . . . IP Address . . . Subnet Mask. . . Default Gateway. Dns Servers. . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

: Server01 : 192.168.0.201 : 255.255.255.0 : :

AutoConfiguration results. . . . . . : Passed Default gateway test . . . : Skipped [WARNING] No gateways defined for this adapter. NetBT name test. . . . . . : Passed [WARNING] At least one of the 'WorkStation Service', 'Messenger Service', 'WINS' names is missing. No remote names have been found. WINS service test. . . . . : Skipped There are no WINS servers configured for this interface.

204

3.5 Installation


Adapter : Intel Pro 1000 MT Gigabit Ethernet Adapter - onboard Netcard queries test . . . : Passed Host Name. . . . IP Address . . . Subnet Mask. . . Default Gateway. Dns Servers. . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

: Server01 : 192.168.1.201 : 255.255.255.0 : :

AutoConfiguration results. . . . . . : Passed Default gateway test . . . : Skipped [WARNING] No gateways defined for this adapter. NetBT name test. . . . . . : Passed [WARNING] At least one of the 'WorkStation Service', 'Messenger Service', 'WINS' names is missing. No remote names have been found. WINS service test. . . . . : Skipped There are no WINS servers configured for this interface. Global results: Domain membership test . . . . . . : Passed NetBT transports test. . . . . . . : Passed List of NetBt transports currently configured: NetBT_Tcpip_{C8AFD513-2104-4FFF-A006-1A47FD779182} NetBT_Tcpip_{6E21FBDA-DBA7-46CB-8D91-6D4D9206C45C} 2 NetBt transports currently configured. Autonet address test . . . . . . . : Passed IP loopback ping test. . . . . . . : Passed Default gateway test . . . . . . . : Failed [FATAL] NO GATEWAYS ARE REACHABLE. You have no connectivity to other network segments. If you configured the IP protocol manually then you need to add at least one valid gateway. NetBT name test. . . . . . . . . . : Passed [WARNING] You don't have a single interface with the 'WorkStation Service', 'Messenger Service', 'WINS' names defined. Winsock test . . . . . . . . . . . : Passed

3.5 Installation

205

MCSE Examen 70-294

DNS test . . . . . . . . . . . . . : Passed PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1' and other DCs also have some of the names registered. Redir and Browser test . . . . . . : Passed List of NetBt transports currently bound to the Redir NetBT_Tcpip_{C8AFD513-2104-4FFF-A006-1A47FD779182} NetBT_Tcpip_{6E21FBDA-DBA7-46CB-8D91-6D4D9206C45C} The redir is bound to 2 NetBt transports. List of NetBt transports currently bound to the browser NetBT_Tcpip_{6E21FBDA-DBA7-46CB-8D91-6D4D9206C45C} NetBT_Tcpip_{C8AFD513-2104-4FFF-A006-1A47FD779182} The browser is bound to 2 NetBt transports. DC discovery test. . . . . . . . . : Passed DC list test . . . . . . . . . . . : Passed Trust relationship test. . . . . . : Skipped Kerberos test. . . . . . . . . . . : Passed LDAP test. . . . . . . . . . . . . : Passed [WARNING] Failed to query SPN registration on DC 'Server02.pearson.de'. Bindings test. . . . . . . . . . . : Passed WAN configuration test . . . . . . : Skipped No active remote access connections. Modem diagnostics test . . . . . . : Passed IP Security test . . . . . . . . . : Skipped Note: run "netsh ipsec dynamic show /?" for more detailed information The command completed successfully Listing 3.3: Testen eines Domänencontrollers mit netdiag

Auswertung: Wie Sie anhand des LDAP-Tests erkennen können, funktioniert der LDAP-Dienst auf dem Server01 tadellos. Lediglich eine Abfrage zum Domänencontroller derselben Domäne, dem Server Server02.pearson.de, funktioniert nicht. Es ist davon auszugehen, dass entweder die Netzwerkverbindung nicht funktioniert oder der Dienst über das Netzwerk nicht erreichbar ist. Eine weitere Fehlersuche würde sich ggf. auf den Server02 erstrecken. Dort würde das Programm netdiag ausgeführt. Lautet das Ergebnis ähnlich, kann der Fehler bei einer zwischengeschalteten Firewall o.Ä. liegen.

206

3.5 Installation


Domänencontroller-Diagnosetool Das Befehlszeilenprogramm dcdiag dient zur Diagnose von Domänencontrollern. Es befindet sich im Supportverzeichnis der Installations-CD. Dcdiag.exe verwendet die folgende Syntax: dcdiag [/Optionen] bzw. im Detail: dcdiag.exe /s: [/n:] [/u:\<Username> /p:*|<Password>|""] [{/a | /e}] [{/q | /v}] [/i] [/f:] [/ferr:<Errlog>] [/c [/skip:]] [/test:] [/fix] [/h | /? ]

Sie können das Tool unter Angabe folgender Parameter bzw. Optionen starten: Optionen

Beschreibung

/s:

Verwenden Sie als Homeserver. Der Befehl wird für DcPromo- und RegisterInDns-Tests ignoriert, da diese nur lokal ausgeführt werden können.

/n:

Verwenden Sie als Namenskontext, um diesen zu testen. Für die Domäneneingabe stehen drei Formate zur Verfügung: NetBIOS, DNS oder DN (Distinguished Name).

/u:\<Username> /p:*|<Password>|""

Verwendet \<Username> als Anmeldeinformationen für die Bindung, falls alternative Credentials benötigt werden. Für <Password> geben Sie das zum Konto gehörige Kennwort an. Mit "" ist ein leeres oder Null-Kennwort gemeint. Bei * werden Sie aufgefordert, ein Kennwort einzugeben. Der Parameter /u ist nur in Verbindung mit /p zu verwenden.

/a

(All) Testet alle Server in diesem Standort.

/e

Testet alle Server. Dieser Parameter überschreibt einen eventuell vorhandenen /a -Parameter.

/q

(Quiet): Gibt nur Fehlermeldungen aus.

/v

(Verbose): Zeigt Ihnen erweiterte Informationen an.

/i

(Ignore): Ignoriert überflüssige Fehlermeldungen.

/f:

Leitet die Ausgabe in die Protokolldatei um. Dieser Schalter arbeitet unabhängig vom /ferr-Schalter.

/ferr:<Errlog>

Leitet die Ausgabe in die Protokolldatei <Errlog> um, damit schwerwiegende Fehlermeldungen in einem separaten Fehlerprotokoll stehen. Dieser Schalter arbeitet unabhängig vom /f-Schalter.

Tabelle 3.22: Beschreibung der Optionen des Tools dcdiag.exe

3.5 Installation

207

MCSE Examen 70-294 Optionen

Beschreibung

/c

(Comprehensive = Umfassend): Mit diesem Schalter führen Sie bis auf DCPromo- und RegisterInDNS-Tests alle weiteren Tests aus. Der /cSchalter kann optional auch mit /skip verwendet werden, um festgelegte Tests zu überspringen. Die Tests Topology, CutoffServers und OutboundSecureChannels werden standardmäßig nicht ausgeführt.

/skip:

Überspringt den angegebenen Text. Dieser Schalter muss in Verbindung mit dem /c-Schalter verwendet werden. Er darf nicht in derselben Befehlszeile mit /test ausgeführt werden. Der einzige Test, der nicht übersprungen werden darf, ist der Connectivity-Test.

/test:

Diese Option bewirkt, dass nur der angegebene Test ausgeführt wird. Für eine vollständige Liste der verfügbaren Tests geben Sie dcdiag /? ein. Der Schalter /test darf nicht zusammen mit /skip verwendet werden.

/fix

Dieser Schalter repariert den Service Principal Name (SPN). Mit einem Dienstprinzipalnamen kann zum Beispiel der LDAP-Dienst gemeint sein.

/h oder /?

Zeigt den Hilfetext an.

Tabelle 3.22: Beschreibung der Optionen des Tools dcdiag.exe (Forts.)

Beispiel dcdiag Wir führen das Beispiel des nicht erreichbaren Domänencontrollers Server02 weiter. Sie wollen nun mit dem Dienstprogramm Dcdiag neue Informationen erhalten. (Sie können dieses Beispiel auch selbst einfach durchführen, indem Sie einen von zweiDomänencontrollern derselben Domäne ausstellen.) Starten Sie die Eingabeaufforderung. Sie finden diese im Startmenü unter START/ZUBEHÖR/EINGABEAUFFORDERUNG oder indem Sie das Kommando cmd in START/AUSFÜHREN eingeben. Geben Sie Folgendes ein: dcdiag /s:server01 > dcdiagtext.txt Alternativ können Sie auch dcdiag /s:server01 /f:dcdiag.log eingeben. Sie erstellen dann eine Protokolldatei, die Sie später mit einem Textprogramm öffnen können. Öffnen Sie anschließend die Datei dcdiag.txt mit dem Notepad oder einem anderen Editor/Textprogramm. Falls Sie den Test ausführen, finden Sie einen ähnlichen Text vor, wie nachfolgend aufgelistet.

208

3.5 Installation


Domain Controller Diagnosis Performing initial setup: Done gathering initial info. Doing initial required tests Testing server: Standardname-des-ersten-Standorts\SERVER01 Starting test: Connectivity ......................... SERVER01 passed test Connectivity Doing primary tests Testing server: Standardname-des-ersten-Standorts\SERVER01 Starting test: Replications [Replications Check,SERVER01] A recent replication attempt failed: From SERVER02 to SERVER01 Naming Context: CN=Schema,CN=Configuration,DC=pearson,DC=de The replication generated an error (1722): Der RPC-Server ist nicht verfügbar. The failure occurred at 2004-01-20 01:58:06. The last success occurred at 2004-01-12 01:48:32. 149 failures have occurred since the last success. [SERVER02] DsBindWithSpnEx() failed with error 1722, Der RPC-Server ist nicht verfügbar.. The source remains down. Please check the machine. [Replications Check,SERVER01] A recent replication attempt failed: From SERVER02 to SERVER01 Naming Context: CN=Configuration,DC=pearson,DC=de The replication generated an error (1722): Der RPC-Server ist nicht verfügbar. The failure occurred at 2004-01-20 01:57:45. The last success occurred at 2004-01-12 01:54:03. 149 failures have occurred since the last success. The source remains down. Please check the machine. [Replications Check,SERVER01] A recent replication attempt failed: From SERVER02 to SERVER01 Naming Context: DC=pearson,DC=de The replication generated an error (1722): Der RPC-Server ist nicht verfügbar. The failure occurred at 2004-01-20 01:57:24. The last success occurred at 2004-01-12 01:54:57. 149 failures have occurred since the last success. The source remains down. Please check the machine.

3.5 Installation

209

MCSE Examen 70-294

REPLICATION-RECEIVED LATENCY WARNING SERVER01: Current time is 2004-01-20 02:14:45. CN=Schema,CN=Configuration,DC=pearson,DC=de Last replication recieved from SERVER02 at 2004-01-12 01:48:32. CN=Configuration,DC=pearson,DC=de Last replication recieved from SERVER02 at 2004-01-12 01:54:03. DC=pearson,DC=de Last replication recieved from SERVER02 at 2004-01-12 01:54:57. ......................... SERVER01 passed test Replications Starting test: NCSecDesc ......................... SERVER01 passed test NCSecDesc Starting test: NetLogons ......................... SERVER01 passed test NetLogons Starting test: Advertising ......................... SERVER01 passed test Advertising Starting test: KnowsOfRoleHolders ......................... SERVER01 passed test KnowsOfRoleHolders Starting test: RidManager ......................... SERVER01 passed test RidManager Starting test: MachineAccount ......................... SERVER01 passed test MachineAccount Starting test: Services ......................... SERVER01 passed test Services Starting test: ObjectsReplicated ......................... SERVER01 passed test ObjectsReplicated Starting test: frssysvol ......................... SERVER01 passed test frssysvol Starting test: frsevent There are warning or error events within the last 24 hours after the SYSVOL has been shared. problems may cause

Failing SYSVOL replication

Group Policy problems. ......................... SERVER01 failed test Starting test: kccevent ......................... SERVER01 passed test Starting test: systemlog An Error Event occured. EventID: 0x00000423 Time Generated: 01/20/2004 01:43:51 (Event String could not be retrieved) ......................... SERVER01 failed test Starting test: VerifyReferences ......................... SERVER01 passed test

frsevent kccevent

systemlog VerifyReferences

Running partition tests on : ForestDnsZones Starting test: CrossRefValidation ......................... ForestDnsZones passed test

210

3.5 Installation


CrossRefValidation Starting test: CheckSDRefDom ......................... ForestDnsZones passed test CheckSDRefDom Running partition tests on : DomainDnsZones Starting test: CrossRefValidation ......................... DomainDnsZones passed test CrossRefValidation Starting test: CheckSDRefDom ......................... DomainDnsZones passed test CheckSDRefDom Running partition tests on : Schema Starting test: CrossRefValidation ......................... Schema passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Schema passed test CheckSDRefDom Running partition tests on : Configuration Starting test: CrossRefValidation ......................... Configuration passed test CrossRefValidation Starting test: CheckSDRefDom ......................... Configuration passed test CheckSDRefDom Running partition tests on : pearson Starting test: CrossRefValidation ......................... pearson passed test CrossRefValidation Starting test: CheckSDRefDom ......................... pearson passed test CheckSDRefDom Running enterprise tests on : pearson.de Starting test: Intersite ......................... pearson.de passed test Intersite Starting test: FsmoCheck ......................... pearson.de passed test FsmoCheck Listing 3.4: Testen eines Domänencontrollers mit dcdiag

Auswertung: Anhand des Tests Replikation ist erkennbar, dass der Server Server02.pearson.de am 12.1.2004 die letzte erfolgreiche Replikation durchgeführt hat. Seit dieser Zeit ist keine weitere Replikation erfolgreich gewesen, da der RPC-Server nicht verfügbar ist. Für die Kommunikation der Domänencontroller wird das Remote Procedure Call-(RPC-)Protokoll verwendet. Da der Server02 nicht verfügbar ist (wir haben ihn ja vorher ausgestellt), ist auch die Replikation des SYSVOL-Ordners fehlgeschlagen. Auch ist sehr gut zu erkennen, dass alle FSMO-Rollen auf dem Server01.pearson.de einwandfrei laufen. Als FSMO-Rollen werden die Betriebsmasterrollen bezeichnet.

3.5 Installation

211

MCSE Examen 70-294

Verzeichnisdienstprotokoll Für die Fehlersuche darf die Ereignisanzeige natürlich nicht fehlen. In der Konsolenstruktur finden Sie das Objekt Verzeichnisdienst. Darunter finden Sie viele Meldungen der Verzeichnisdienste, die einen Erfolg oder eventuelle Fehler beschreiben.

Beispiel: Das Verzeichnisdienstprotokoll Verzeichnisdienst Am Beispiel des abgeschalteten zweiten Domänencontrollers Server02.pearson.de der gleichen Domäne können Sie sehr gut erkennen, dass der Stammdomänencontroller in Intervallen von 24 Stunden versucht, den Server Server02.pearson.de zu erreichen. Die Fehlermeldung hat die Kennung 1863 und die Kategorie Replikation. Die Uhrzeit richtet sich nach der Ausfallzeit des Replikationspartners. Andere Servicedienste dagegen werden täglich nur zu bestimmten Zeiten aktiv. Darunter fällt auch die Online-Defragmentierung der ntds.dit-Datenbank. Andere Dienste, wie die Konsistenzprüfung laufen alle 15 Minuten rund um die Uhr.

Abbildung 3.36: Beispiel der Ereignisanzeige mit der Ansicht »Verzeichnisdienst«

212

3.5 Installation


Zusammenfassung Die Einführung von Active Directory in Ihrem Betrieb erfordert eine weit reichende Planung aller Aspekte. Sie investieren einen hohen Geldbetrag in eine Infrastruktur. So liegt es nahe, dass Sie eine ausführliche Planung vornehmen müssen. Anhand von Diagrammen finden Sie in diesem Kaptitel einen Leitfaden, wie Sie von der Idee zum fertigen Planungsbericht kommen, in dem die Anzahl der Gesamtstrukturen, Strukturen, und Domänen in Abhängigkeit von den Benutzern, Computern und Sicherheitsaspekten steht. Das Design der Active Directory-Infrastruktur ist die logische Weiterentwicklung des DNS-Namensraums Ihrer Organisation. Folgende Details sind die Kernpunkte dieses Kapitels: T Ein Projekt besteht aus den Phasen Vorprojekt, Design, Pilotprojekt/Laborversuch, Installation und Konfiguration. T Logische Strukturen beziehen sich immer auf Verwaltungseinheiten. Eine Windows Active Directory-Domäne kennt die Verwaltungseinheiten Gesamtstruktur, Struktur, Domäne und Organisationseinheit (OU). T Eine Gesamtstruktur ist eine logische Gruppierung oder ein hierarchische Anordnung von einer oder mehreren Strukturen, die durch getrennte Namensräume charakterisiert sind. Sie teilen sich ein gemeinsames Schema und einen globalen Katalog. Alle in der Gesamtstruktur enthaltenen Domänen vertrauen sich transitiv und bidirektional. T Eine Struktur (Domänenstruktur) ist eine logische Gruppierung von einer oder mehreren Domänen, die über fortlaufende DNS-Namen verfügen. T Die Domäne ist die logische Verwaltungseinheit in Active Directory. Durch eine Domäne wird ein Sicherheitsbereich definiert. T Physische Strukturen sind unabhängig von den logischen. Sie bezeichnen Objekte und Netzwerktopologien. Die Kernpunkte sind hierbei die Replikation innerhalb und außerhalb von Standorten. T Setzen Sie Standorte ein, um Domänencontroller in Hochgeschwindigkeitsnetzen in Gruppen zusammenzufassen. Sie trennen mit Standorten Netze geringer Bandbreite von Netzen hoher Bandbreite, um die Replikationslast in langsamen Netzen zu verringern. T Um Ressourcen und Benutzer fremder Domänen in der Gesamtstruktur zu identifizieren, wird ein globaler Katalog benötigt. Er ist nicht notwendig, wenn die Gesamtstruktur aus nur einer Domäne besteht. Der globale Katalog ist eine Sonderfunktion auf einem Domänencontroller, der Teilreplikate von Domänenpartitionen fremder Domänencontroller anderer Domänen derselben Gesamtstruktur enthält. Er ist mit einer Referenzdatenbank vergleichbar. T Es existieren in der Gesamtstruktur Domänencontroller, die eine besondere Rolle besitzen. Die Rollen werden als Betriebsmasterrollen oder Single Flexible Master Operation Roles bezeichnet. Diese Server müssen immer für andere Domänencontroller verfügbar sein.

3.5 Installation

213

MCSE Examen 70-294

T In den kleinsten Verwaltungseinheiten, den Organisationseinheiten, sind Objekte (wie Benutzer, Kontakte, Gruppen und Computer) zusammengefasst. Der Zweck ist, diese Organisationseinheiten einem Verwalter zuzuordnen bzw. an einen Verwalter zu delegieren, der nicht zwangsläufig Mitglied der Gruppe Domänen-Admins ist. T Planen Sie bei den Organisationseinheiten mit ein, dass Sie später eine Gruppenrichtlinie verwenden. Mit Gruppenrichtlinien können Mitglieder von Standorten, Domänen und Organisationseinheiten verwaltet werden. Die Verwaltung kann so weit gehen, dass Anwender nur ganz bestimmte Aufgaben auf ihren Computern wahrnehmen können.

3.6

Lernzielkontrolle

In der Lernzielkontrolle werden Sie neben Übungen zur Prüfung auch Fragen und Antworten zu Prüfungsfragen finden.

3.6.1

Wiederholungsfragen

Die folgenden Fragen helfen Ihnen beim Durcharbeiten des Kapitels. Die Reihenfolge der Themen ist nicht chronologisch, sondern in Anlehnung an die Microsoft-Prüfung gewählt. Die Antworten zu diesen Fragen finden Sie in Kapitel 3.6.4. 1. Wie wird ein zusätzlicher Domänencontroller derselben Domäne installiert? 2. Welchen Sinn macht eine Gesamtstruktur, und welche Aufgaben hat sie? 3. Wie heißt die zuerst installierte Domäne? 4. Was ist eine Struktur, und wie unterscheidet sie sich von einer Domäne und einer Gesamtstruktur? 5. In welchem Zusammenhang stehen Domäne und Standort? 6. Nach welchen Kriterien wird eine Domäne bestimmt? 7. Wie viele Domänencontroller sind pro Standort mindestens empfohlen? 8. Wie kann man überprüfen, ob die Installation eines Domänencontrollers erfolgreich war? 9. Nach welchen Kriterien entscheiden Sie, wann Sie einen Domänencontroller installieren? 10. Welches Domänenmodell ist das einfachste und kostengünstigste? 11. Was ist ein PDC-Emulator? 12. Welche Möglichkeiten gibt es, einen Domänencontroller zu installieren? 13. Sie wollen von Windows NT auf Windows Server 2003 migrieren. Mit welchen Schwierigkeiten müssen Sie rechnen? Welche Konsequenzen ziehen Sie daraus? 14. Ihre Firma hat wenig Verwaltungspersonal. Welche Überlegungen ergeben sich daraus?

214



3.6.2

Übungen

Führen Sie die Installation am praktischen Beispiel durch. Es wird oft nach Installationsdetails gefragt. Sie müssen wissen, dass Sie das Programm dcpromo verwenden können. (Alternativ auch über START/ALLE PROGRAMME/VERWALTUNG/SERVERVERWALTUNG)

Entwerfen von Domänen und Strukturen In dieser Übung werden Sie eine Active Directory-Infrastruktur entwerfen. Die bereits aus den Beispielen her bekannte Firma Pearson (Name und Aufgabe angenommen) plant, von einem älteren Betriebssystem auf Windows Server 2003 umzusteigen. Der Grund liegt in den fehlenden Kapazitäten der Server. Die Clientcomputer bestehen überwiegend aus Microsoft Windows 2000 Professional Computern. T Die Firma besitzt zurzeit 50 Server auf NT 4.0 und rund 1500 Clientcomputer, die auf zwei Länder verteilt sind: Deutschland (Berlin) und England (London). T Alle Domänen sind so konzipiert, dass bei einem single point of failure (Einzelpunktversagen) der Betrieb weiterhin gewährleistet ist. T Der Hauptsitz in Berlin erhält die Stammdomäne T Der Firmenvorstand setzt den internen Namensraum auf pearson.de fest. (Der externe Namensraum wird nach den angebotenen Produkten benannt.). T Der Hauptsitz darf alle untergeordneten Domänen verwalten. T Die Filiale in England kann sich eigenständig verwalten und erhält daher eine eigene Domäne. T Die Filiale in England bestimmt aus Sicherheitsgründen, dass die Abteilungen für Verkauf (sales) und Finanzierung (finance) eigenständige Domänen sein sollen. Für diese Abteilungen stehen jeweils zwei geschulte Administratoren zur Verfügung. Der Vorstand beschließt weiterhin eine redundante Migration der Server. (Das heißt, ursprüngliche Server bleiben während der Migrationsphase im Netz, damit der Betrieb durchgehend gewährleistet ist, falls Probleme beim Datentransfer auftreten.) Es ist beschlossen worden, 50 neue Server zu kaufen.


215

TIPP

Die folgenden Übungen zeigen Ihnen, wie eine Active Directory-Infrastruktur entworfen, installiert und deinstalliert wird. Die Antworten finden Sie im Anschluss an die Übungen.

MCSE Examen 70-294

Abbildung 3.37: Planung der Domänen

Die Beantwortung der folgenden Fragen hilft Ihnen, das anstehende Problem zu lösen: 1. Welche Projektschritte müssen Sie planen? 2. Bei welcher Domäne müssen Sie anfangen? 3. Wie viele Domänencontroller benötigen Sie mindestens? 4. In welcher Reihenfolge werden die Domänen bzw. die Domänencontroller installiert? 5. Welcher Domänencontroller ist der erste Domänencontroller? 6. Wie viele Zonen und wie viele DNS-Server benötigen Sie? 7. Sie möchten Active Directory-integrierte Zonen haben. Wie gehen Sie vor? Die Antworten zu diesen Fragen finden Sie in Kapitel 3.6.3.

Installation einer Stammdomäne Der Installationsvorgang der Stammdomäne ist menügeführt und eigentlich recht einfach. Dennoch müssen Sie einige Einstellungen beachten, da diese später eventuell nicht mehr rückgängig gemacht werden können. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über DNS-Server T Grundlagenkenntnisse über den Aufbau einer Active Directory-Domäne Für die Übung benötigen Sie folgende Computergeräte: T Einen Windows Server 2003 216




Da für die Prüfung das Wissen über die Installationsschritte wichtig ist, wird auf die einzelnen Dialoge ausführlich eingegangen. Sie sind nachfolgend Schritt für Schritt aufgelistet.

1

Sie können eine Stammdomäne entweder aus der Programmgruppe Verwaltung/Computerverwaltung oder mit dem Befehl dcpromo.exe aus der Kommandozeile starten. Es erscheint der Assistent zum Installieren von Active Directory.

2

Klicken Sie auf WEITER, um den Assistent zum Installieren von Active Directory weiterzuschalten.

3

Anschließend erhalten Sie ein Dialogfenster, in dem Sie eine Information über die Betriebssystemkompatibilität erhalten. Die Windows-Versionen Windows 95 und Windows NT mit einem Service Pack 3 oder niedriger entsprechen nicht den Anforderungen an eine Windows Server 2003-Domäne.

4

Wenn Sie eine Stammdomäne erstellen wollen, müssen Sie Domänencontroller für eine neue Domäne auswählen. Beachten Sie, dass hier alle lokalen Konten auf dem Server gelöscht werden.

Abbildung 3.38: Beachten Sie, dass zuerst nach einer neuen Domäne gefragt wird und dann nach den Strukturen!

5

Im nächsten Schritt müssen Sie entscheiden, wie Ihre Struktur auszusehen hat. Der erste Server in der ersten Domäne erstellt die neue Gesamtstruktur. Diese Domäne ist die Stammdomäne. Würden Sie bereits eine Stammdomäne besitzen und wollten Sie eine Domäne »darunter hängen«, müssten Sie diese neue Domäne unterordnen. Wählen Sie für die Stammdomäne und die erste Domäne den Eintrag Domäne in einer neuen Gesamtstruktur aus.


217

MCSE Examen 70-294

Abbildung 3.39: Neu in Windows Server 2003-Domänen ist die Erweiterung einer bestehenden Gesamtstruktur!

6

Sie müssen für Ihre Domäne eine DNS-Namensauflösung konfigurieren. Hierfür gibt es zwei Möglichkeiten: Die erste Möglichkeit (voreingestellt) überlässt Ihnen die ganze Arbeit. Sie können in diesem Fall auch andere kompatible DNS-Server verwenden. Auch darf sich der DNS-Server auf einem anderen Server befinden. Wenn der erste Computer der Domäne installiert wird existiert jedoch kein weiterer DNS-Server in der Domäne. Daher können Sie den Eintrag Nein, DNS auf diesem Computer installieren und konfigurieren benutzen. Diese Option hat den großen Vorteil, dass der Installationsassistent alle Einstellungen inklusive der Installation des DNS-Servers vornehmen wird. Im Folgenden wird davon ausgegangen, dass diese Einstellung gewählt wurde.

Abbildung 3.40: Voreingestellt ist immer die manuelle Konfiguration.

218



7

Nun müssen Sie den FQDN (Fully Qualified Domain Name) der neuen Domäne eingeben. Achten Sie darauf, dass sich der Namensraum bei untergeordneten Domänen entsprechend der Stammdomäne erweitern wird. Geben Sie den Namen der Domäne ein: pearson.de

8

Nach einer kurzen Wartezeit werden Sie nach einem NetBIOS-Namen für Ihre Domäne gefragt. Sie können den vorgeschlagenen Namen übernehmen oder einen neuen eingeben. In unserem Beispiel wäre der Name pearson.

9

Im nächsten Schritt wählen Sie den Ordner aus, in dem die Active Directory-Datenbank ntds.dit gespeichert wird. Um die Leistungsfähigkeit zu steigern, können Sie die Protokolldatei auf einer anderen Festplatte speichern als die Datenbank. Beachten Sie jedoch, dass Sie RAID-Systeme vorhalten. Das heißt, Sie benötigen zwei weitere Festplatten. Folglich setzen Sie 2 x RAID-1 für Ihren Domänencontroller ein. (Je nach Kapazitätsplanung reicht ein RAID-1 insgesamt für beide Ordner aus).

Abbildung 3.41: Voreingestellte Speicherorte für die Datenbank und die Protokolldateien

10 Nach der Auswahl der Datenbank- und Protokollordner muss das freigegebene Systemvolumen angegeben werden. Sie können den vorgeschlagenen Ordner akzeptieren. Der SYSVOL-Ordner ersetzt die NETLOGON-Freigabe von Windows NT.

11 Wichtig für alle, die eine Migration planen oder noch viele »alte« Geräte mit Windows NT in ihrer Firma haben, ist die Registerkarte über die Berechtigungen. Falls Sie eine homogene Umgebung mit Windows 2000 oder Windows Server 2003 haben, sollten Sie die Voreinstellung akzeptieren. Falls Sie sich nicht sicher sind, können Sie auch Mit PräWindows 2000 Serverbetriebssystemen kompatible Berechtigungen auswählen und später die Umstellung auf die erweiterten Berechtigungen vornehmen. Da die Firma Pearson keine Migration plant, müssen Sie auch auf keine Abwärtskompatibilität achten.


219

MCSE Examen 70-294

Abbildung 3.42: Voreingestellt sind die Windows 2000- oder Windows 2003-kompatiblen Berechtigungen.

12 Eine weitere wichtige Einstellung ist das Setzen eines Kennworts für die Funktion

ACH TUNG

»Verzeichnisdienste wiederherstellen«. Sie können diese wiederherstellen, wenn Sie den Computer mit (F8) booten und sich dann mit Administrator und dem Kennwort für den Wiederherstellungsmodus anmelden. Wählen Sie daher bitte ein sicheres Kennwort (es muss den Komplexitätsvoraussetzungen für Domänencontroller entsprechen und eine minimale Kennwortlänge von 7 Zeichen besitzen), und vergessen Sie dieses nicht.

Das Kennwort für die Wiederherstellung ist nicht mit einem Administratorkennwort zu verwechseln, das Sie bei der Anmeldung an den Server verwenden! Bevor Active Directory installiert wird, bekommen Sie einen Dialog mit einer kurzen Zusammenfassung, die Sie mit WEITER bestätigen müssen. Wird bei der Installation kein DNS-Server gefunden, bietet der Installationsassistent Ihnen die Installation des DNS-Servers an. Sehr vorteilhaft ist es, dass der Assistent alle Einträge für Sie macht. Daher sollten Sie diese Option wählen. Bedenken Sie, dass für die Active Directory-Dienste ein korrekt konfigurierter und funktionierender DNS-Server notwendig ist. Zum Abschluss muss der Computer neu gestartet werden.

Zusätzliche Domänencontroller in einer Domäne Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Grundlagenkenntnisse über den Aufbau einer Active Directory-Domäne

220



Für diese Übung benötigen Sie folgende Computergeräte: T Einen Windows Server 2003-Domänencontroller T Einen Windows Server 2003, der als Domänencontroller vorgesehen ist. Der Server muss den DNS-Server der Domäne als bevorzugten DNS-Server verwenden. Durchführung Wie bereits in der Theorie beschrieben, dient ein weiterer Domänencontroller in einer Domäne zur Verbesserung der Ausfallsicherheit und zum Lastenausgleich. Auch in diesem Fall wird aus einem Mitgliedsserver oder einem allein stehenden Server ein Domänencontroller. Dies geschieht über die Programmgruppe Verwaltung/Computerverwaltung oder mit dem Befehl dcpromo.exe aus der Kommandozeile. Stellen Sie vor Beginn der Installation sicher, dass eine Netzwerkverbindung zum DNS-Server und zu einem Domänencontroller besteht, der die Betriebsmaster-Funktion als Infrastruktur- und RID-Master besitzt. Per Voreinstellung liegen diese Masterfunktionen bei dem ersten installierten Domänencontroller in einer Domäne. Weiteres hierzu entnehmen Sie bitte dem entsprechenden Planungskapitel. Die Installation erfolgt ähnlich wie bei dem ersten Domänencontroller der Gesamtstruktur menügeführt über das Programm dcpromo.exe. Sie haben hier jedoch die Möglichkeit, das Programm mit den erweiterten Benutzeroptionen zu starten: dcpromo /adv. Da die Installationsarten sich sehr ähneln, sind an dieser Stelle nur die wichtigsten Aspekte aufgelistet. Gehen Sie wie folgt vor: T Gehen Sie ähnlich wie bei der Installation des ersten Domänencontrollers vor. Sie verwenden den Assistent zum Installieren von Active Directory. Wenn Sie eine untergeordnete Domäne erstellen wollen, müssen Sie Zusätzlicher Domänencontroller für eine bestehende Domäne auswählen. Beachten Sie, dass hier alle lokalen Konten auf dem Server gelöscht werden. Haben Sie einen Server, der über das EFS (Encripted File System) verschlüsselt ist, müssen Sie die Verschlüsselung aufheben, da mit den Benutzerkonten auch der Zugriff gelöscht wird. T Wählen Sie auf der Dialogseite Domäneninformationen werden kopiert eine der folgenden Optionen aus: Option

Beschreibung

Über das Netzwerk

Synchronisiert vollständig die Verzeichnisdienste auf den neuen Domänencontroller.

Von folgenden wiederhergestellten Sicherungsdateien kopieren

Kopiert die Verzeichnisdienste aus den Sicherungsdateien. Handelt es sich bei der Originalkopie um einen Domänencontroller, der zusätzlich noch den globalen Katalog hostet, dann werden Sie während der Installation zusätzlich gefragt, ob der neue Domänencontroller auch ein globaler Katalogserver sein soll. Diese Option können Sie nur dann verwenden, wenn Sie den Installationsassistenten mit dem Parameter /adv gestartet haben.

Tabelle 3.23: Optionen zur Synchronisierung der Verzeichnisdienste


221

TIPP

MCSE Examen 70-294

Beachten Sie weiterhin, dass eine Synchronisierung des zusätzlichen Domänencontrollers eine sehr hohe Netzlast verursachen kann. Dies betrifft insbesondere langsame WAN-Verbindungen. Sie sollten in diesem Fall den Domänencontroller im LAN installieren und anschließend im weit entfernten Standort einbauen. Falls Sie identische Computergeräte besitzen, können Sie diese auf die Standorte verteilen und benötigen lediglich eine passende Festplatte mit dem Betriebssystem Windows Server 2003 und dem Domänencontroller. Selbstverständlich können Sie auch die Option Von folgenden wiederhergestellten Sicherungsdateien kopieren verwenden. Hierfür müssen Sie das Programm dcpromo mit dem Parameter /adv starten! Bemerkungen Wenn Sie die Option Von folgenden wiederhergestellten Sicherungsdateien kopieren verwenden, müssen Sie die Systemstatusdateien eines Domänencontrollers derselben Domäne sichern. Verwenden Sie daher das Programm ntbackup.exe, und sichern Sie den Bereich SYSTEMSTATUS auf einen Datenträger passender Größe. Um die Dateien wieder zurückzuspielen, starten Sie auf dem zu installierenden Domänencontroller das Programm ntbackup, bevor Sie die Installation des Domänencontrollers beginnen. Sichern Sie die Systemstatusdateien wieder zurück, indem Sie als Sicherungsziel die Option Dateien wiederherstellen in: Alternativer Bereich auswählen. Verwenden Sie hierfür ein beliebiges freies Verzeichnis auf einer Festplattenpartition mit genügend freiem Speicherplatz. Falls der gesicherte Domänencontroller eine Anwendungsverzeichnispartition enthält, wird diese nicht auf dem neuen Domänencontroller wiederhergestellt. Für die Tätigkeit benötigen Sie Privilegien als Domänen-Admin oder als Organisations-Admin.

Erstellen untergeordneter Domänen Nachdem die Stammdomäne installiert ist, können ihr untergeordnete Domänen eingerichtet werden. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Grundlagenkenntnisse im Aufbau einer Active Directory-Domäne Für die Übung benötigen Sie folgende Computergeräte: T Einen Windows Server 2003-Domänencontroller, der die Stammdomäne und den DNSServer hostet. T Einen Windows Server 2003-basierenden Computer, der als Domänencontroller vorgesehen ist (Sie dürfen keinen anderen Domänencontroller aus einer anderen Übung nehmen). Wenn Sie nur ein Computergerät haben, müssen Sie den Domänencontroller zunächst zum Mitgliedsserver oder zum »allein stehenden Server« herabstufen. Der Server muss den DNS-Server der Stammdomäne als bevorzugten DNS-Server besitzen. 222




Gehen Sie ähnlich wie bei den anderen Installationsvorgängen vor, die Sie über das Programm dcpromo durchgeführt haben. Beachten Sie jedoch folgende Schritte:

1

Sie können eine Stammdomäne entweder aus der Programmgruppe Verwaltung/Computerverwaltung oder mit dem Befehl dcpromo.exe aus der Kommandozeile starten. Es erscheint der Assistent zum Installieren von Active Directory.

2

Klicken Sie auf WEITER, um den Assistent zum Installieren von Active Directory weiterzuschalten.

3

Anschließend erhalten Sie ein Dialogfenster, in dem Sie eine Information über die Betriebssystemkompatibilität erhalten. Die Windows-Versionen Windows 95 und Windows NT mit einem Service Pack 3 oder niedriger entsprechen nicht den Anforderungen einer Windows Server 2003-Domäne.

4

Wählen Sie Domänencontroller für eine neue Domäne aus. Beachten Sie, dass auch hier alle lokalen Konten auf dem Server gelöscht werden.

5

Der nächste Schritt ist der entscheidende. Wählen Sie für das Einrichten der untergeordneten Domäne den Eintrag Untergeordnete Domäne in einer bestehenden Domänenstruktur aus.

Abbildung 3.43: Mit diesem Eintrag erstellen Sie eine untergeordnete Domäne.

6

Wählen Sie den Benutzernamen aus, der Zugriff auf die übergeordnete Domäne und die Stammdomäne hat. Geben Sie ein Kennwort und den Domänennamen entsprechend des ausgewählten Kontos ein. Die Privilegien dieses Kontos müssen die eines Organisations-Admins der Gesamtstruktur sein! Das Einfachste ist also, das Konto des Administrators aus der Stammdomäne zu verwenden.


223

MCSE Examen 70-294

Abbildung 3.44: Eingabe des Verbindungskontos zur Stammdomäne

7

Wählen Sie im nächsten Dialog die übergeordnete Domäne anhand der DURCHSUCHENSchaltfläche aus. Des Weiteren geben Sie den Namen der untergeordneten Domäne ein.

Abbildung 3.45: Installation einer untergeordneten Domäne

8

Geben Sie anschließend den NetBIOS-Namen der neuen Domäne an. Für diese Übung wäre das uk (für United Kingdom).

9

Im nächsten Schritt wählen Sie den Ordner aus, in dem die Active Directory-Datenbank ntds.dit gespeichert wird. Um die Leistungsfähigkeit zu steigern, können Sie die Protokolldatei auf einer anderen Festplatte speichern als die Datenbank. Beachten Sie jedoch, dass Sie RAID-Systeme vorhalten. Das heißt, Sie benötigen zwei weitere Festplatten.

224



Folglich setzen Sie 2 x RAID-1 für Ihren Domänencontroller ein. (Je nach Kapazitätsplanung reicht aber ein RAID-1 für insgesamt beide Ordner aus).

10 Nach der Auswahl der Datenbank- und Protokollordner muss das freigegebene Systemvolumen angegeben werden. Sie können den vorgeschlagenen Ordner akzeptieren. Der SYSVOL-Ordner ersetzt die NETLOGON-Freigabe von Windows NT.

11 Die folgende Meldung sollten Sie genau lesen. Hier sind die Diagnoseergebnisse aufgelistet. Beachten Sie auch den Test für das dynamische DNS-Update. Es ist wichtig, da ohne die Unterstützung der DNS-Integration keine Domänen- und SRV-Ressourceneinträge in die Zonendatenbank des bevorzugten DNS-Servers getätigt werden können.

Abbildung 3.46: Nach erfolgreicher Diagnose geht es WEITER.

12 Auch hier gilt, dass für alle, die eine Migration planen oder noch viele »alte« Geräte mit Windows NT in ihrer Firma haben, die Registerkarte zu den Berechtigungen wichtig ist. Falls Sie eine homogene Umgebung mit Windows 2000 oder Windows Server 2003 haben, sollten Sie die Voreinstellung akzeptieren. Falls Sie sich nicht sicher sind, können Sie auch Mit Prä-Windows 2000 Serverbetriebssystemen kompatible Berechtigungen auswählen und später die Umstellung auf die erweiterten Berechtigungen vornehmen. Da die Firma Pearson keine Migration plant, müssen Sie auch auf keine Abwärtskompatibilität achten: Verwenden Sie die Voreinstellung.

13 Bevor Active Directory installiert wird, bekommen Sie einen Dialog mit einer Zusam-

Das Kennwort für den Administrator der neuen untergeordneten Domäne ist mit dem alten Kennwort des lokalen Administratorkontos identisch.

14 Zum Abschluss muss der Computer neu gestartet werden. 3.6 Lernzielkontrolle

225

HIN WEIS

menfassung, die Sie bestätigen müssen.

MCSE Examen 70-294

Deinstallieren eines Stammdomänencontrollers Neben der Installation ist es auch wichtig zu wissen, welche Schritte bei einer Deinstallation des letzten Domänencontrollers einer Stammdomäne zu beachten sind. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Grundlagenkenntnisse über den Aufbau einer Active Directory-Domäne T Installation eines Domänencontrollers Für diese Übung benötigen Sie folgende Computergeräte: T Ein Computergerät, das als Domänencontroller in der Stammdomäne konfiguriert ist. Wenn Sie eine Gesamtstruktur erstellen, ist dies automatisch der Fall. Aufgabenstellung 1. Welches Programm verwenden Sie für die Deinstallation? 2. Entfernen Sie Active Directory, und notieren Sie, welche Meldungen Sie erhalten. 3. Welche Programmteile/Features werden nicht entfernt?

3.6.3


Hier finden Sie die Antworten zu den Aufgaben im Übungsteil (Kapitel 3.6.2). Zur Übersicht ist Aufgabenstellung hier noch einmal aufgeführt.

Entwerfen von Domänen und Strukturen In dieser Übung haben Sie eine Active Directory-Infrastruktur entworfen. Die Firma Pearson plante, von einem älteren Betriebssystem auf Windows Server 2003 umzusteigen. Der Grund waren die fehlenden Kapazitäten der Server. Die Clientcomputer bestanden überwiegend aus Microsoft Windows 2000 Professional-Computern. Hier noch einmal die Voraussetzungen: T Die Firma besitzt zurzeit 50 Server auf NT 4.0 und rund 1500 Clientcomputer, die auf zwei Länder verteilt sind: Deutschland (Berlin) und England (London). T Alle Domänen sind so konzipiert, dass bei einem single point of failure (Einzelpunktversagen) der Betrieb weiterhin gewährleistet ist. T Der Hauptsitz in Berlin erhält die Stammdomäne. T Der Firmenvorstand setzt den internen Namensraum auf pearson.de fest. (Der externe Namensraum wird nach den angebotenen Produkten benannt.) T Der Hauptsitz darf alle untergeordneten Domänen verwalten. T Die Filiale in England kann sich eigenständig verwalten und bekommt daher eine eigene Domäne. T Die Filiale in England bestimmt aus Sicherheitsgründen, dass die Abteilungen für Verkauf (sales) und Finanzierung (finance) eigenständige Domänen sein sollen. Für diese Abteilungen stehen jeweils zwei geschulte Administratoren zur Verfügung. 226



Der Vorstand beschließt weiterhin eine redundante Migration der Server. (Das heißt, die ursprünglichen Server bleiben während der Migrationsphase im Netz, damit der Betrieb durchgehend gewährleistet ist, falls Probleme beim Datentransfer auftreten.) Es ist beschlossen worden, 50 neue Server zu kaufen. 1. Welche Projektschritte müssen Sie planen? Antwort: T Design T Pilotphase/Laborversuch T Installation (Rollout) T Konfiguration 2. Bei welcher Domäne müssen Sie anfangen? Antwort: Sie müssen immer mit der Stammdomäne beginnen. Die Stammdomäne ist diejenige Domäne, die in der Hierarchie am höchsten angesiedelt ist. Anschließend müssen Sie Schritt für Schritt alle Domänen von oben nach unten in der Hierarchie einrichten. 3. Wie viele Domänencontroller benötigen Sie mindestens? Antwort: Sie benötigen mindestens einen Domänencontroller pro Domäne: Damit ein einfaches Ausfallversagen abgefangen wird, sollten Sie pro Domäne mindestens einen weiteren Domänencontroller installieren. Sie benötigen demnach insgesamt: 4 Domänen x 2 Domänencontroller = 8 Computergeräte. 4. In welcher Reihenfolge werden die Domänen bzw. die Domänencontroller installiert? Antwort: 1. Domänencontroller der Stammdomäne (= root forest domain controller, Stammdomänencontroller): computername1.pearson.de 2. Zusätzlicher Domänencontroller der Stammdomäne: computername2.pearson.de 3. Erster Domänencontroller der Domäne uk.pearson.de: computername3.pearson.de 4. Zweiter Domänencontroller der Domäne uk.pearson.de: computername4.pearson.de 5. Bei der Installation der beiden untergeordneten Domänen ist die Reihenfolge der Domänen egal:

Erster Domänencontroller der Domäne sales.uk.pearson.de: computername5.sales.uk.pearson.de Zweiter Domänencontroller der Domäne sales.uk.pearson.de: computername6.sales.uk.pearson.de

oder:

Erster Domänencontroller der Domäne finance.uk.pearson.de: computername7.finance.uk.pearson.de Zweiter Domänencontroller der Domäne finance.uk.pearson.de: computername8.finance.uk.pearson.de


227

MCSE Examen 70-294

5. Welcher Domänencontroller ist der erste Domänencontroller? Antwort: Der Domänencontroller, der die Stammdomäne repräsentiert, ist immer der erste Domänencontroller. 6. Wie viele Zonen und wie viele DNS-Server benötigen Sie? Antwort: Sie benötigen für den gesamten Namensraum pearson.de nur eine einzige Zone. Innerhalb der Zone finden Sie die untergeordneten Domänen untergliedert. Da gefordert ist, einen Ausfall für ein single-point-of-failure-Versagen zu kompensieren, benötigen Sie theoretisch mindestens zwei DNS-Server für die Gesamtstruktur. Sie sollten jedoch in der Praxis mindestens zwei DNS-Server je Standort einsetzen, damit bei einem Ausfall des WANs (Deutschland-England) jeder Standort für sich autark arbeiten kann. 7. Sie möchten Active Directory-integrierte Zonen haben. Wie gehen Sie vor? Antwort: Sie lassen den Assistent zum Installieren von Active Directory die DNS-Zone einrichten. Sie ist automatisch Active Directory-integriert.

Deinstallieren eines Stammdomänencontrollers SCHRITT FÜR SCHRITT

In dieser Übung deinstallieren Sie ein Active Directory eines Windows Server 2003-basierten Computers. Dieser ist der letzte Domänencontroller der Stammdomäne.

1

Welches Programm verwenden Sie für die Deinstallation?

Sie verwenden das Programm dcpromo.

2

Entfernen Sie Active Directory, und notieren Sie, welche Meldungen Sie erhalten.

1. Als Erstes erkennt der Assistent zum Installieren von Active Directory, dass es sich bereits um einen Domänencontroller handelt. Er schaltet daher sofort auf das Dialogfenster Active Directory entfernen. 2. Sie werden darauf aufmerksam gemacht, dass der Domänencontroller die Rolle des globalen Katalogservers innehat. Diese Meldung erhalten Sie immer, wenn der Assistent zum Installieren von Active Directory diese Funktion ermittelt.

Abbildung 3.47: Warnmeldung, dass ein globaler Katalog gefunden wurde.

3. Sie werden darauf hingewiesen, dass der Domänencontroller nach der Entfernung von Active Directory zum eigenständigen Server konvertiert wird.

228



4. Beachten Sie weiterhin, dass alle kryptographischen Schlüssel vor dem Löschen – also dann, wenn Sie diese Meldung lesen – gesichert werden sollten, damit EFS- (Encripted File System-)verschlüsselte Dateien und Verzeichnisse wieder hergestellt werden können. 5. Sie müssen das Kontrollkästchen Dieser Server ist der letzte Domänencontroller in der Domäne aktivieren. Anschließend erhalten Sie Liste der Anwendungsverzeichnispartitionen. Wenn Sie alle Partitionen von diesem Domänencontroller entfernen wollen, können Sie mit der Deinstallation fortfahren. Klicken Sie auf WEITER.

Abbildung 3.48: Löschen von Anwendungsverzeichnispartitionen

6. Löschen Sie alle Anwendungsverzeichnispartitionen, indem Sie das entsprechende Kontrollkästchen aktivieren. Wenn Sie Active Directory vollständig entfernen wollen, benötigen Sie keine Anwendungsverzeichnispartitionen mehr. 7. Geben Sie anschließend das Kennwort ein, das dem neuen Serveradministrator zugewiesen werden soll. Das Konto heißt dann automatisch Administrator mit dem neuen Kennwort. Da während der Installation des Domänencontrollers die Kennwortrichtlinien des Domänencontrollers implementiert wurden, behält der künftig allein stehende Server diese Kennwortrichtlinien. Die Kennwortrichtlinien sind in der Registrierung des Servers verankert, die bei der Deinstallation des Domänencontrollers nicht verändert werden. 8. Nach der Zusammenfassung wird die Deinstallation gestartet, was einige Minuten in Anspruch nehmen kann. Hierbei wird der Dienst Netlogon beendet, wie auch die folgenden Dienste IsmServ-Dienst und kdc (Key Distribution Center). Eine neue SAM-Kontenbank wird erstellt und ebenfalls die dazugehörige LSA (Local Security Authority). Es werden auch Registrierungsschlüssel gesichert sowie einige DLL-Dateien.

3

Welche Programmteile/Features werden nicht entfernt?

Wenn Sie als Teil der Active Directory-Installation die DNS-Dienste installiert haben, werden diese später nicht wieder mit dem gleichen Assistenten deinstalliert. Alle Einstellungen des DNS-Servers bleiben erhalten. Wenn Sie DNS-Standardzonen verwenden, verbleiben die 3.6 Lernzielkontrolle

229

MCSE Examen 70-294

Zonendateien im Verzeichnis %systemroot%\system32\Dns, werden aber aus dem DNS-Server gelöscht. Falls Sie jedoch Active Directory-integrierte Zonen verwendet haben, werden diese vom Assistent zum Installieren von Active Directory gelöscht, wie diese Übung gezeigt hat.

3.6.4


Hier finden Sie die Antworten zu den Wiederholungsfragen (Kapitel 3.6.1). Zur Übersicht ist die Aufgabenstellung hier noch einmal aufgeführt. 1. Wie wird ein zusätzlicher Domänencontroller derselben Domäne installiert? Antwort: Geben Sie in der Kommandozeileneingabe den Befehl dcpromo /adv ein. Hiermit starten Sie die erweiterten Optionen. Sie können sich aussuchen, ob Sie Active Directory über ein Sicherungsmedium (Datei) installieren oder über das Netzwerk. Würden Sie nur den Befehl dcpromo eingeben, hätten Sie lediglich die Möglichkeit, die Active Directory-Datenbank über das Netzwerk zu installieren. Mit der Installation über das Netzwerk ist hier die Synchronisation der Active Directory-Datenbank auf dem neuen Domänencontroller gemeint. 2. Welchen Sinn macht eine Gesamtstruktur, und welche Aufgaben hat sie? Antwort: Eine Gesamtstruktur ist ein Domänenmodell für Active Directory. In ihr sind die Domänen so hierarchisch angeordnet, dass die übergeordneten Domänen die untergeordneten verwalten können. Es besteht ein transitives bidirektionales Vertrauensverhältnis. Die Gesamtstruktur kann auch aus nur einer Domäne bestehen. 3. Wie heißt die zuerst installierte Domäne? Antwort: Die zuerst installierte Domäne ist immer die Stammdomäne (Forest Root Domain). Der in dieser Domäne zuerst installierte Domänencontroller ist der Stammdomänencontroller (Forest Root Domain Controller). 4. Was ist eine Struktur, und wie unterscheidet sie sich von einer Domäne und einer Gesamtstruktur? Antwort: Eine Struktur ist eine hierarchische Anordnung von Domänen und ein Teil einer Gesamtstruktur. Sie wird auch Domänenstruktur genannt. Alle Domänen haben einen fortlaufenden Namen, d.h., sie teilen sich einen Namensraum (Namespace). 5. In welchem Zusammenhang stehen Domäne und Standort? Antwort: Domäne und Standort sind getrennt zu betrachten. Die Domäne ist eine logische Zuordnung von Computern und Benutzern, während ein Standort nur nach Kriterien einer schnellen Replikation über Hochgeschwindigkeitsnetze zwischen den Domänencontrollern gewählt wird. 6. Nach welchen Kriterien wird eine Domäne bestimmt? Antwort: Eine Domäne stellt eine Sicherheitsgrenze dar. Sicherheitseinstellungen, wie beispielsweise Administratorrechte, können nicht von einer Domäne auf eine andere übertragen werden. Eine Domäne ist eine abgeschlossene Verwaltungseinheit, die jedoch innerhalb der Gesamtstruktur mit anderen Domänen in Verbindung steht.

230



7. Wie viele Domänencontroller sind pro Standort mindestens empfohlen? Antwort: Die minimale Anzahl von empfohlenen Domänencontrollern pro Standort beträgt zwei, wenn Sie bis zu 15 Standorte haben. Bei jeweils 15 Standorten mehr sollten Sie für jeden Standort einen zusätzlichen Domänencontroller veranschlagen. Standort

Domänencontroller pro Standort

Domänencontroller insgesamt

1

2

2

2

2

4

15

2+1 = 3

15x3 = 45

32

2+2 = 4

32x4 = 128

Tabelle 3.24: Domänencontroller pro Standort

8. Wie kann man überprüfen, ob die Installation eines Domänencontrollers erfolgreich war? Antwort: Eine Überprüfung kann anhand der Ereignisanzeige stattfinden. Des Weiteren finden Sie in den Protokolldateien dcpromo.log und dcpromoui.log Informationen zum Installationsvorgang. Tools wie dcdiag und netdiag geben Auskunft über die Funktionsweise des Domänencontrollers bzw. den Netzstatus. 9. Nach welchen Kriterien entscheiden Sie, wenn Sie einen Domänencontroller installieren? Antwort: Anhand der »Anzahl der Benutzer per Domäne in einem Standort« können Sie die minimal benötigte Anzahl von Domänencontrollern in einem Standort ausrechnen. Sie überprüfen die Vorgaben über die CPU-Geschwindigkeit mit den minimal empfohlenen Anforderungen und entscheiden über die eingesetzte Hardware. Benutzer per Domäne in einem Standort

Minimal benötigte Anzahl von Domänencontrollern per Domäne in einem Standort

Minimale CPUGeschwindigkeit

1 – 499

1

≥ 850 MHz

500 – 999

1

≥ 2 x 850 MHz

1.000 – 2.999

2

≥ 2 x 850 MHz

3.000 – 10.000

2

≥ 4 x 850 MHz

> 10.000

Ein Domänencontroller für je 5.000

≥ 4 x 850 MHz

Tabelle 3.25: Empfohlene CPU-Geschwindigkeit in Abhängigkeit von der Anzahl der Benutzer in einem Standort

Je nach Größe des Domänencontrollers können Sie zwischen der Windows Server 2003 Standard Edition oder der Enterprise Edition wählen. Die Datacenter Edition wäre ebenfalls eine Möglichkeit eine derart hohe Leistungsfähigkeit benötigen Sie jedoch (eigentlich) nicht. Zur Erhöhung der Ausfallssicherheit wird empfohlen, mindestens zwei Domänencontroller pro Domäne vorzuhalten.


231

MCSE Examen 70-294

10. Welches Domänenmodell ist das einfachste und kostengünstigste? Antwort: Das Ein-Domänenmodell. Je mehr Domänen existieren, desto höher ist der Verwaltungsaufwand. 11. Was ist ein PDC-Emulator? Antwort: Ein PDC-Emulator ist ein Domänencontroller, der in einer gemischten Domäne mit Windows NT 4.0-Domänencontrollern als Ersatz des primären Domänencontrollers fungiert. Die Rolle des PDC-Emulators ist eine Betriebsmasterrolle (auch FSMO-Rolle genannt). 12. Welche Möglichkeiten gibt es, einen Domänencontroller zu installieren? Antwort: Sie können den Domänencontroller manuell mit dem Assistent zum Installieren von Active Directory oder mit Hilfe einer Antwortdatei installieren. Im ersten Fall starten Sie die Installation mit dcpromo oder dcpromo /adv. Im anderen Fall starten Sie die Installation mit dcpromo /answer[:Dateiname]. Wenn die Antwortdatei DC01.txt heißt und sich im Laufwerk a: befindet, dann geben Sie dcpromo /answer:a:\DC01.txt ein. 13. Sie wollen von Windows NT auf Windows Server 2003 migrieren. Mit welchen Schwierigkeiten müssen Sie rechnen? Welche Konsequenzen ziehen Sie daraus? Antwort: Eine Windows NT-Infrastruktur besteht oft aus vielen Domänen, die in einem NT-Domänenmodell mehr oder weniger gut zusammenarbeiten. Im Masterdomänenmodell existieren Konten- und Ressourcendomänen. Da in einem Active Directory eine Ressourcendomäne keinen Sinn macht, sollten Sie diese Domänen konsolidieren. Es macht auch Sinn, einige Kontendomänen zu konsolidieren, wenn es zu viele gibt. Prüfen Sie auch, ob Sie Anwendungen haben, die die Verzeichnisdienste von Windows NT verwenden. Sie sind oft nicht mit Windows Server 2003-Verzeichnisdiensten kompatibel. Sie müssen entscheiden, ob Sie auf ein anderes Produkt umsteigen oder ob Sie eine separate Gesamtstruktur mit einem Windows NT-Kompatibilitätsmodus einrichten. 14. Ihre Firma hat wenig Verwaltungspersonal. Welche Überlegungen ergeben sich daraus? Antwort: Sie wählen ein Ein-Domänenmodell. Schulen Sie ggf. Mitarbeiter, die neben ihrer normalen Tätigkeit administrative Aufgaben an den Active Directory-Verzeichnisdiensten vornehmen können, wie zum Beispiel die Administration einer Organisationseinheit.

232


4 Einrichten und Warten einer Active Directory-Infrastruktur Lernziele Nach der Planung und der Durchführung einer Installation müssen Sie Ihre Domänencontroller konfigurieren. Dieser praktische Teil widmet sich der Infrastruktur Ihrer Active DirectoryUmgebung. Mit der Active Directory-Infrastruktur legen Sie die Basis für das spätere Einrichten von Computern, Benutzern und Gruppen. Das Kapitel 4 umfasst daher folgende Kernpunkte: T Werkzeuge für die Verwaltung von Servern T Funktionen von Gesamtstrukturen und Domänen T Betriebsmasterrollen (FSMO-Rollen) T Standort und Replikation Hinsichtlich der MCSE-Prüfung 70-294 sollten Sie sämtliche Domänenfunktionen und Gesamtstrukturfunktionen und deren Abhängigkeiten in Planung und Ausführung unterscheiden können, um diese innerhalb der Infrastruktur einsetzen zu können. Sie müssen mit Fragen rechnen, die mehrere Standorte betreffen, und Sie müssen dort Einstellungen und Ideen zur Replikation entwickeln können.

Lernstrategien Das Kapitel 4 baut direkt auf Kapitel 3 auf, d.h., viele Themen, die dort schon einmal angeschnitten wurden, werden hier wieder aufgenommen und vertieft. Der Schwerpunkt dieses Kapitels liegt auf der praktischen Verwaltung von Domänencontrollern und deren Rolle in der Gesamtstruktur und in den Standorten.

233

MCSE Examen 70-294

Sie haben zwei Möglichkeiten, dieses Kapitel zu bearbeiten: T Chronologisch – von Kapitel 4.1 zu Kapitel 4.4 einschließlich der jeweiligen Übungen. T Direkt – Sie können von den unten genannten Teilen aus Kapitel 3 direkt in die nebenstehenden Teile in Kapitel 4 wechseln. Springen Sie für die Übungen in den jeweiligen Übungsteil. Folgende Querverweise sollen Ihnen helfen: Thema in Kapitel 3

Siehe in Kapitel 4

Teile der Support-Tools werden verwendet.

Kapitel 4.1 (Verwalten von Servern). Referenz zu Support-Tools u. a.

Kapitel 3.4.3 (Grundfunktion)

Kapitel 4.2 (Funktionen von Gesamtstrukturen...) – praktische Anwendung

Kapitel 3.3.8 (Grundfunktion) und 3.4.7 (Design)

Kapitel 4.3 (Betriebsmasterrollen) – praktische Anwendung

Kapitel 3.3.6 (Grundfunktion) und 3.4.7 (Design)

Kapitel 4.4 (Standorte und Replikation) – praktische Anwendung

Tabelle 4.1: Querverbindungen zu Kapitel 3

Voraussetzungen für dieses Kapitel Für die meisten Übungen benötigen Sie zwei Computer, die als Domänencontroller konfiguriert sind. Sie simulieren somit einen ganzen Serverpark. Die Fragen in der Prüfung sind meistens so ausgelegt, dass es sich um eine große Anzahl von Servern handelt, die Sie zu verwalten haben. Falls Sie VMWare besitzen und einen sehr leistungsstarken Computer haben (mindestens folgende Werte: P4 2 GHz, 1 GB RAM und 40 GB auf einer schnellen Festplatte), empfiehlt es sich, mehrere Server auf Ihrem Computer gleichzeitig laufen zu lassen. Besitzen Sie hingegen einen nicht so leistungsfähigen Computer, kann es zwar auch funktionieren, es macht dann allerdings keinen Spaß.

4.1

Verwalten von Servern

Für das Verwalten von Servern verwenden Sie entweder kommandozeilenorientierte Programme oder die Managementkonsole. Im Vergleich zu Windows 2000 Server sind die Möglichkeiten, einen Server durch diese Dienstprogramme zu verwalten, wesentlich verbessert worden, da nun die Möglichkeit besteht, viele Aufgaben per Skript bzw. Batchdatei zu erledigen. Die Managementkonsole bietet durch ihre Schnittstellen einen universellen Gebrauch von sog. Snap-Ins, die Sie nach Bedarf in eine benutzerdefinierte Konsole einfügen können. Eine einfache und sehr schöne Möglichkeit, eine zunächst leere Managementkonsole aufzurufen, ist die, unter START/AUSFÜHREN den Befehl mmc einzugeben. Indem Sie Snap-Ins hinzufügen, können Sie nun Ihre persönliche Managementkonsole zusammenstellen und abspeichern. Snap-Ins entsprechen Anwendungen, die speziell für die Managementkonsole programmiert worden sind. Sie sind im Dateimanager an der Endung *.msc zu erkennen.

234

4.1 Verwalten von Servern

4 – Einrichten und Warten einer Active Directory-Infrastruktur

Sie können eine Managementkonsole auch für Personen entwerfen, die nicht zwangsläufig Mitglied der Gruppen Administratoren oder Domänen-Admins sind. Es ist somit auch möglich, dass Sie eine schreibgeschützte Konsole für diejenigen Personen bereitstellen, die nur Teile des Active Directory verwalten dürfen, da man ihnen vorher eine oder mehrere Organisationseinheiten zum Delegieren zugewiesen hat. In dem Benutzermodus können Sie wahlweise einen Vollzugriff auf die Konsole oder auch einen beschränkten Zugriff auf ein oder mehrere Fenster zulassen. Zusammenfassend ist festzuhalten: T Es existieren vorkonfigurierte Managementkonsolen für Administratoren. T Es gibt die Möglichkeit, benutzerdefinierte Konsolen auch für »Nicht-Administratoren« herzustellen. T Snap-Ins sind an ihrer Endung *.msc zu erkennen.

4.1.1

Allgemeine Active Directory-Verwaltungskonsolen

Die Verwaltungskonsolen werden bei der Installation von Active Directory größtenteils fertig installiert. Allerdings sind einige Managementkonsolen, die selten verwendete Funktionen beinhalten, etwas versteckt. Doch zunächst widmet sich dieses Kapitel den wichtigen Verwaltungskonsolen. Anschließend werden die Managementkonsole für das Active DirectorySchema und die Windows Server 2003 Support-Tools behandelt. Im Startmenü unter START/VERWALTUNG finden Sie folgende Managementkonsolen: T Active Directory-Domänen und -Vertrauensstellungen T Active Directory-Standorte und -Dienste T Active Directory-Benutzer und -Computer In der Startgruppe finden Sie auch die Active Directory-Verwaltung, die sich aus den drei oben genannten Konsolen und der DNS-Konsole zusammensetzt. Diese zusammengesetzte Managementkonsole ist eine kleine Neuerung gegenüber Windows 2000 Server. Tabelle 4.2 zeigt Ihnen nochmals die Konsolen und deren Verwendung in einer Übersicht. Managementkonsole

Funktion/Zweck

Active Directory-Domänen und -Vertrauensstellungen

Verwaltung von Vertrauensstellungen zwischen Domänen und Gesamtstrukturen. Sowie: T Konfiguration der Gesamtstrukturfunktionsebene T Konfiguration der Domänenfunktionsebene T Verschieben des Domänennamenbetriebsmasters T Verändern der Benutzerprinzipalnamen-Suffixe

Active Directory-Standorte und -Dienste

Verwaltung der physischen Struktur des Netzwerks. Sie verwalten dort Standorte und Standortverknüpfungen.

Tabelle 4.2: Übersicht der wichtigsten Verwaltungskonsolen


235

MCSE Examen 70-294 Managementkonsole

Funktion/Zweck

Active Directory-Benutzer und -Computer

Erstellen, Löschen und Modifizieren von Organisationseinheiten und den darin enthaltenen Objekten, wie Benutzern, Gruppen, Computern oder Kontakten.

DNS

Verwaltung des Domain Name System. Sie können Zonen und Domänen erstellen oder konfigurieren oder die DNS-Replikation konfigurieren.

Tabelle 4.2: Übersicht der wichtigsten Verwaltungskonsolen (Forts.)

4.1.2

Verwaltungskonsolen auf einem Clientcomputer

Die Verwaltungsprogramme sind mit dem Installationsprogramm adminpak.msi leicht zu installieren. Sie finden das Programm im Verzeichnis %systemroot%\system32 eines Windows Server 2003-Domänencontrollers oder auf der Windows Server 2003-Produkt-CD. Die Datei adminpak.msi ist eine selbstextrahierende Datei.

Abbildung 4.1: Installation bzw. Deinstallation der Verwaltungsprogramme über adminpak.msi

Die Windows Server 2003-Verwaltungsprogramme können auf Computern installiert werden, die folgenden Voraussetzungen genügen: T Windows Server 2003-Produktfamilie T Windows XP Professional mit Service Pack 1 (SP1) oder höher T Windows XP Professional mit QFE-Patch Q329357 Besitzen Sie »noch« eine Windows 2000 Professional-Workstation oder einen anderen Windows 2000 Server-Computer, können Sie diese »Windows 2003«-Programme nicht installieren. Sie benötigen stattdessen eine RTM-Version (Release to Manufacturing). Sie können

236



sich diese Version von der Microsoft-Website herunterladen. Suchen Sie nach der Datei adminpack.exe, die sich nach dem Öffnen in eine Readme- und eine *.MSI-Datei extrahiert. Formal sehen beide Programmversionen jedoch gleich aus. Mit dieser Version können Sie dann Computer der T Windows Server 2003-Produktfamilie und der T Windows 2000 Server-Produktfamilie verwenden.

Durch die Installation der Verwaltungsprogramme wird auch das Snap-In schmmgmt.msc für die Schemaverwaltung installiert. Vermeiden Sie es, sich an Ihrem Server interaktiv und lokal anzumelden. Verwenden Sie stattdessen einen Clientcomputer mit Windows XP oder Windows 2000, um Ihren Server zu verwalten. Sie können eine Verwaltung auf drei verschiedene Arten durchführen: 1. Durch Verwenden der Verwaltungstools vom Clients aus und durch Verbinden zum gewünschten Server 2. Durch Verwenden des Terminaldiensteclients auf Windows 2000-basierenden Computern auf der Clientseite und des Remotedesktops auf Windows XP- oder Windows Server 2003basierenden Computern auf der Serverseite 3. Sie verwenden die Remoteunterstützung auf einem Windows XP- oder Windows Server 2003-basierten Computer. Mit Hilfe der Terminaldienste kann eine Remoteverwaltung die Administration der Verzeichnisdienste erleichtern. Dies kann im lokalen Netz und insbesondere über das Internet geschehen. Vergleicht man die Terminaldienste von Windows Server 2003 mit denen von Windows 2000 Server, sind jedoch einige Änderungen zu verzeichnen: Die früher als Terminaldienste im Remoteverwaltungsmodus bezeichneten Dienste werden nun als Remotedesktop für Verwaltung bezeichnet. Sie werden nicht in den Diensteigenschaften, sondern in der Systemsteuerung unter SYSTEM aktiviert und eingerichtet. Die Verwendung erfordert bei bis zu zwei simultanen Remoteverbindungen keine Terminalserverlizenz. Das wirklich Schöne an dem Remotedesktop ist, dass Sie für die Verwaltung des Servers auch einen Windows 2000 Professional-Computer verwenden können. Sie benötigen dann keine RTM-Version des Adminpak. Eine zweite Möglichkeit, Ihren Server remote zu verwalten, ist mit der Remoteunterstützung gegeben. Die mit Windows Server 2003 neu eingeführte Help-Desk-Lösung funktioniert derzeit nur mit den Betriebssystemen der Windows Server 2003-Familie und mit Windows XP.


237

TIPP

Haben Sie einen Windows 2000-Domänencontroller, benötigt dieser Windows 2000 Service Pack 3 oder höher.

MCSE Examen 70-294

Abbildung 4.2: In den Systemeigenschaften können Sie die Remoteverwaltung aktivieren.

Mit dieser Unterstützung kann eine Person Ihres Vertrauens auf Ihren Bildschirm interaktiv zugreifen. Dies geschieht selbstverständlich nur mit der Zustimmung des Benutzers, der beobachtet wird, es sei denn, man schaltet diese Option ab. Der Hilfe Suchende und der Hilfe Erteilende teilen sich eine Sitzung. Diese Art von Helpdesk ersetzt den bereits vom Systems Management Server 2.0 her bekannten Zugriff. Die Remoteüberwachung lässt sich zentral über die Benutzereigenschaften in Active Directory verwalten.

4.1.3

Support-Tools

Die Windows Server 2003 Support-Tools befinden sich auf der Produkt-CD im Verzeichnis :\Support\Tools. Sie installieren sie, wenn Sie die Datei Suptools.msi öffnen. Für die Installation werden ca. 23 MB freier Speicherplatz auf einer Festplattenpartition benötigt. Falls Sie es wünschen, können Sie die Installation auch auf ein anderes Verzeichnis und eine andere Festplatte legen. Das Installationsprogramm verändert automatisch die Systemvariablen des Betriebssystems um einen Pfadeintrag zum Installationsverzeichnis der Tools. Akzeptieren Sie die Vorgabe und richten Sie die Tools im Verzeichnis c:\Programme\Support Tools ein, wird die Systemvariable Path um diesen Eintrag erweitert. Der Vorteil dieses Pfadeintrags ist, dass Sie von jeder beliebigen Stelle des Dateiverzeichnisses aus jedes Programm der Support-Tools starten können. Sie erhalten weiterhin eine neue Programmgruppe unter START/ALLE PROGRAMME/Windows Support Tools. Falls Sie die die Datei Suptools.msi nicht mit einem Doppelklick öffnen, müssen Sie sie mit folgendem Befehl aus der Kommandozeileneingabe starten: msiexec /i :\support\tools\suptools.msi /q addlocal=all

238



Das Aufrufen per Kommandozeile kann in einem Skript oder über eine Softwareverteilung über Gruppenrichtlinien erfolgen. Der Schalter /q bewirkt eine Hintergrundinstallation und der Schalter addlocal=all, dass alle Dienstprogramme installiert werden.

In der Prüfung wird vereinzelt nach der Bedeutung einzelner Programme aus den SupportTools gefragt.

Tool

Deutsche Übersetzung

Beschreibung

Acldiag.exe (ACL-Diagnose)

ACL-Diagnose

Das Kommandozeilenprogramm Acldiag.exe findet Abweichungen in Zugriffssteuerungslisten (Access Control Lists, ACLs) von Objekten in Active Directory und zeigt diese in der Eingabeaufforderung an. Es zeigt die effektiven Berechtigungen von Benutzern und Gruppen eines Objekts an.

Adsiedit.msc (ADSI-Edit)

ADSI-Bearbeitung

Das Snap-In bietet durch seine grafische Oberfläche eine komfortable Bearbeitung von Verzeichnisobjekten in den Verzeichnispartitionen. Objektattribute können neu erstellt, bearbeitet und gelöscht werden. Das ADSI-Edit gehört zu den wichtigsten Tools zum Editieren von Active Directory.

Clonepr

-

Das Tool Clonepr dient zur Migration von Benutzern und Gruppen von Windows NT 4.0 zu Windows 2000 Server und Windows Server 2003 Active Directory. Clonepr hat die Aufgabe, Clone von Windows NT Benutzern und Gruppen zu erstellen.

Dsacls.exe

-

Dieses kommandozeilenorientierte Tool zeigt Berechtigungen der Zugriffssteuerungseinträge (nicht Zugriffssteuerungslisten) an und kann diese auch verändern. Zugriffssteuerungseinträge (Access Control Entries, ACEs) sind Teile von Zugriffssteuerungslisten (Access Control Lists, ACLs)

Dsastat.exe

Verzeichnisdienst- Das kommandozeilenorientierte Tool mit der Bezeichnung Dienstprogramm Directory Services Utility vergleicht und identifiziert Unterschiede zwischen Namenskontexten auf Domänencontrollern.

Tabelle 4.3: Active Directory spezifische Dienstprogramme


239

TIPP

Die folgende Tabelle gibt Ihnen einen Überblick der vorhandenen Dienstprogramme, die das Verwalten von Active Directory betreffen. Für weitere Informationen ziehen Sie bitte die Hilfedatei suptools.chm hinzu. Alle Dienstprogramme, wie auch die Hilfe sind in englischer Sprache verfasst. Damit Sie die Programme verwenden können und auch eventuelle Fragen in der deutschen MCSE-Prüfung beantworten können, sind sie in beiden Sprachen aufgelistet. Hinsichtlich der Übersetzung gibt es leider bei Microsoft keine Stringenz, denn für ein und denselben englischen Begriff existieren mehrere deutsche Übersetzungen. Wie auch immer diese Programme in der deutschen Version der englischen Prüfung übersetzt sein werden, die Programme aus dem Ressource Kit oder aus den Support-Tools sind immer in englischer Sprache.

MCSE Examen 70-294 Tool


Beschreibung

Ldp.exe

-

Das grafische LDP Tool ist ein LDAP-Client (Lightweight Directory Access Protocol), das Benutzern LDAP-Operationen, wie connect, bind, search, modify, add und delete erlaubt. LDP wird verwendet, um die im gespeicherten Active DirectoryVerzeichnis vorhandenen Objekte mit ihren Metadaten aufzulisten.

Movetree.exe

Active Directory Der Active Directory Object Manager ist ein KommandoObjektverwaltung zeilenprogramm, das es Administratoren ermöglicht, Active Directory-Objekte zwischen Domänen innerhalb einer Domänenstruktur zu verschieben. Mit Movetree lassen sich Domänen konsolidieren. Wichtig! Verwenden Sie besser das Active Directory Migration Tool (ADMT), um Active Directory-Objekte, wie Benutzer, Computer, Gruppen oder OUs zu verschieben. Verwenden Sie MoveTree nur in den seltenen Fällen, wenn das ADMT-Tool die gewünschte Operation nicht unterstützt. Dies ist bei Objekten, wie Kontakten der Fall.

Ntfrsutl.exe

DateireplikationsDienstprogramm

Das Tool File Replication Utility erstellt ein Abbild interner Tabellen, Threads und Speicherinformationen für den NT File Replication Service (NTFRS). Der NTRFS ist der NT-Dateireplikationsdienst, der auf lokalen und remoten Servern ausgeführt wird. Der Dateireplikationsdienst (File Replication Service, FRS) ist ein wichtiges Element des Microsoft Distributed File System (DFS). Hintergrund: Die Wiederherstellungseinstellungen für den NTFRS im Service Control Manager (SCM) können sehr schwierig zu lokalisieren sein.

Repadmin.exe

Replikationsdiagnose-Dienstprogramm oder Tool zur Replikationsdiagnose

Das Replication Diagnostics Tool ist ein KommandozeilenTool, das Administratoren in der Diagnose von Replikationsproblemen zwischen Domänencontrollern hilft. Repadmin kann verwendet werden, um die Replikationstopologie zu überwachen. Sie werden das Tool in diesem Buch sehr oft verwendet finden.

Replmon.exe

Active DirectoryReplikationsmonitor

Der Active Directory Replication Monitor ist einer der wichtigsten Diagnoseprogramme, die die Replikation und die Betriebsmasterrollen anzeigen. Es besitzt ähnliche Funktionen, wie Repadmin, hat allerdings den Vorteil, dass es eine grafische Schnittstelle besitzt. Die Verwendung dieses Tools ist sehr zu empfehlen.

Sdcheck.exe

Dienstprogramm zum Prüfen der Sicherheitsbeschreibungen

Das Security Descriptor Check Utility ist ebenfalls ein Kommandozeilen-Tool, das die Sicherheitsbeschreibung für beliebige in Active Directory gespeicherte Objekte anzeigt. Sie können feststellen, ob eine ACL ordnungsgemäß vererbt wurden. Sdcheck ist die optimale Ergänzung zu Replmon oder Repadmin, um zu kontrollieren, ob ein Domänencontroller up-to-date ist.

Tabelle 4.3: Active Directory spezifische Dienstprogramme (Forts.)

240


4 – Einrichten und Warten einer Active Directory-Infrastruktur Tool


Beschreibung

Search.vbs

Active DirectorySuchtool oder Active Directory Such-Dienstprogramm

Das Befehlszeilenprogramm Active Directory Search Tool führt Suchläufe auf einem LDAP-Server aus. Als Voraussetzung für dieses Tool benötigen Sie lediglich eine Verbindung zum LDAP-Server.

Setspn.exe

Ändern von Dienstprinzipalnamen für Konten

Dieses Kommandozeilen-Tool (Manipulate Service Principal Names for Accounts) ermöglicht Ihnen DienstprincipalnamenEigenschaften (Service Principal Names, SPN) eines Active Directory-Dienstkontos zu lesen,zu modifizieren und zu löschen. Das Tool wird benötigt, falls Sie den Computernamen ändern. Die installierten SPNs müssen dann an den neuen Computernamen angepasst werden.

Tabelle 4.3: Active Directory spezifische Dienstprogramme (Forts.)

Weitere nützliche Programme, die zwar nicht direkt Active Directory, jedoch die Verwaltung der Sicherheit betreffen, folgen im nächsten Abschnitt. Diese Dienstprogramme betreffen das verschlüsselte Dateisystem (EFS) oder das Handling der Security Identifier (SIDs). Hintergrund: Der RID-Master verteilt innerhalb der Domäne Objektkennungen, die sog. SIDs, damit Domänencontroller ein Objekt immer eindeutig lokalisieren können. Tool


Beschreibung

Efsinfo.exe

Informationen über das verschlüsselte Dateisystem

Dieses Kommandozeilen-Tool (Encrypting File System Information) zeigt Ihnen Informationen über Dateien an, die mit dem EFS verschlüsselt wurden.

Getsid.exe

-

Das Kommandozeilen-Tool Get Security ID vergleicht die SIDs zweier Konten.

Ksetup.exe

Kerberos Setup

Das Kommandozeilen-Tool Kerberos Setup konfiguriert einen Client, der an einen Windows Server 2003 angeschlossen ist, in der Weise, dass er einen Server mit Kerberos Version 5 verwendet.

Ktpass.exe

Kerberos Keytab Setup

Dieses Tool konfiguriert einen Nicht-Microsoft-KerberosDienst als Sicherheitsprinzipal für die die Windows Server 2003 Active Directory-Verzeichnisdienste. Ktpass erstellt den Serverprinzipalnamen für den entsprechenden Host oder Dienst in Active Directory. Er generiert auch die MIT-style Kerberos kytab-Datei, die den geheimen Schlüssel dieses Dienstes enthält. UNIX-basierte Dienste, die eine KerberosAuthentifizierung unterstützen, können so in den Windows Server 2003 Kerberos KDC-(Key Distribution Center-)Dienst einbezogen werden.

Tabelle 4.4: Dienstprogramme zur Sicherheitsverwaltung (Security Management Tools)


241

MCSE Examen 70-294 Tool


Beschreibung

Sdcheck.exe

Dienstprogramm zum Prüfen der Sicherheitsbeschreibungen

Das Kommandozeilen-Tool Security Descriptor Check Utility zeigt Ihnen den Sicherheitsbeschreiber (Sicherheitsbeschreibungen) für jedes Objekt an, das sich im Active Directory befindet. Der Sicherheitsbeschreiber enthält die Zugriffssteuerungslisten (Access Control Lists, ACLs), die bestimmen, welcher Benutzer einen Zugriff auf das Active Directory erhält.

Showaccs.exe

Dienstprogramm zum Anzeigen von Zugriffssteuerungslisten

Showaccs (Show Access Control Lists) ermöglicht ein Anzeigen der Zugriffssteuerungslisten. Als Output-Datei liefert Showaccs Ihnen eine kommaseparierte Textdatei. Es kann aber auch eine Mapping-Datei erstellt werden, die in das Security Migration Editor-Dienstprogramm eingespeist werden kann.

Sidwalk.exe

Dienstprogramm für die Sicherheitsverwaltung

Sidwalk (Security ID Administration) ist ein kommandozeilenorientiertes Dienstprogramm, das Ihnen die Zugriffssteuerungslisten (ACLs) in der Registrierung, des Dateisystems, Drucker- und Dateifreigaben und die lokalen Gruppenmitgliedschaften anzeigt. Die Ausgabe der Informationen erfolgt wie bei Showaccs in einer Mapping-Datei.

SIDWalker Security Administration Tools

Dienstprogramme für die Sicherheitsverwaltung

Unter diesem Begriff werden drei Dienstprogramme zusammengefasst: T Showaccs.exe (siehe oben) T Sidwalk.exe (siehe oben) T Security Migration Editor (siehe Sidwkr.dll)

Sidwkr.dll

-

Der Security Migration Editor dient zum Bearbeiten der Zuordnungen zwischen alten und neuen Sicherheitskennungen (Security IDs bzw. SIDs). Der Security Migration Editor kann als Snap-In in einer Managementkonsole gestartet werden. Es ist aber auch möglich, ihn in der Kommandozeileneingabe aufzurufen. Dieses Snap-In hilft Ihnen bei der Migration von Windows NT-Konten von einer Ressourcendomäne zu einer Active Directory-Domäne. Der Security Migration Editor benötigt ein Mapping File.

Xcacls.exe

-

Dieses kommandozeilenorientierte Dienstprogramm setzt (wie der Windows Explorer) alle Sicherheitsoptionen. Darunter fallen das Auflisten und Verändern der Zugriffssteuerungslisten (ACLs) von Dateien und Verzeichnissen. Xcacls eignet sich hervorragend in unbeaufsichtigten Installationen in der Skriptverarbeitung.

Tabelle 4.4: Dienstprogramme zur Sicherheitsverwaltung (Security Management Tools) (Forts.)

242



Die folgenden Tools sind – gegenüber den Vorgängertools aus Windows 2000 – ausgemustert worden: Tool

Programmname

Grund des Entfernens

Apcompat.exe

Application Compatability Toolkit

Veraltet. Siehe Microsoft Debugging Tools.

Dommig.exe

Domain Migration Tool

Verwenden Sie das Active Directory Migration Tool (ADMT) auf der Installations-CD.

Dumpchk.exe

Dump Check Utility

Veraltet. Siehe Microsoft Debugging Tools.

Kill.exe

Process Kill Utility

Ersetzt durch TaskKill.exe, das sich im Verzeichnis %windir%\system32 befindet.

Msinfo32.exe

Msinfo32

Verschoben zu :\Programme\Gemeinsame Dateien\Microsoft Shared\MSInfo

Pmon.exe

Process Resource Monitor

Verwenden Sie stattdessen Pviewer.exe (Der Pmon.exe ist noch im Windows Server 2003 Ressource Kit zu finden.)

Pptpclnt.exe und Pptpsrv.exe

Point-to-Point Tunneling Protocol Ping Utilities (PPTP Ping)

Keine Angabe seitens Microsoft, vermutlich veraltet oder inkompatibel.

Reg.exe

Registry Console Tool

Verschoben nach %windir%\system32.

Tlist.exe

Task List Viewer

Ersetzt durch Tasklist.exe in %windir%\system32.

Wsremote.exe

Wsremote

Verwenden Sie stattdessen Remote.exe.

Tabelle 4.5: Tools, die nicht mehr in der Liste der Support-Tools auftauchen

Verwendung von Batchprogrammen Eine Batchdatei ist eine Datei mit der Endung CMD oder BAT, die einen ASCII formatierten Text enthält. In der Textdatei sind Programmaufrufe, Betriebssystemkommandos und Batchbefehle enthalten. Ein Batchprogramm unterscheidet sich von einem Skript dadurch, dass es keinen Windows Scripting Host (WSH) verwendet und daher einfacher zu handhaben ist. Man kann auch sagen, dass es ein wenig »primitiver« programmiert wird. Sie führen mit einer Batchdatei im Prinzip die gleichen Aufgaben aus, wie mit dem Skripting, das dem Aussehen nach der Sprache Visual Basic ähnelt. Jedoch ist meistens der Aufwand für eine Batchdatei wesentlich geringer, da diese auf bereits bestehende Kommandos zurückgreift.


243

MCSE Examen 70-294

An den spezifischen Batchbefehlen hat sich schon lange nichts geändert, und so können Sie altes Wissen aus »DOS-Zeiten« gut anwenden. Folgende Kommandos sind zulässig: Kommando

Beschreibung

Call

Aufruf eines weiteren Batchprogramms, ohne das ursprüngliche Programm zu beenden.

Choice

Pausiert den Batch, damit der Benutzer eine Auswahl treffen kann (zum Beispiel »ja« oder »nein«).

Echo

Zeigt den Text der Batchdatei zeilenweise.

Endlocal

Beendet die Begrenzung eines Gültigkeitsbereichs.

For

Führt einen Befehl in jeder einzelnen Datei für einen Satz von Befehlen aus.

Goto

Setzt die Ausführung des Batchprogramms an einer definierten Marke fort.

If

Ausdrücke in einer Batchdatei werden nach Bedingungen verarbeitet.

Pause

Lässt das Batchprogramm pausieren. Nach einer Tasteneingabe kann es fortgeführt werden.

Rem

Dient zum Einfügen von Kommentarzeilen.

Setlocal, Endlocal

Startet die Begrenzung des Gültigkeitsbereichs von Änderungen. Für die ursprünglichen Einstellungen muss das Kommando Endlocal eingegeben werden.

Shift

Verändert die Position veränderbarer Batchparameter in einer Batchdatei.

Tabelle 4.6: Beschreibung der wichtigsten Batchbefehle

Für die Fehlerbehandlung stehen sog. Errorcodes zur Verfügung, die bei falscher Eingabe von Befehlen generiert werden. Für die Befehle können Sie eine Reihe von Batchparametern verwenden, auf die hier wegen des Umfangs nicht weiter eingegangen werden kann. Mehr Informationen finden Sie im integrierten Hilfetext des Betriebssystems, indem Sie den gewünschten Befehl mit » /?« in die Kommandozeile eingeben.

4.2

Funktionen von Gesamtstrukturen und Domänen

In Windows Server 2003 wird nicht nur zwischen der Funktionalität in der Gesamtstruktur, sondern auch zwischen der Funktionalität innerhalb einer Domäne unterschieden. Wenn Sie die höchste Funktionsebene von Windows Server 2003 eingestellt haben, können Sie alle domänen- und gesamtstrukturweiten Funktionen des Active Directory von Windows Server 2003 verwenden. Folglich unterscheidet Microsoft zwischen den Begriffen: T Domänenfunktionalität oder Domänenfunktionsebene T Gesamtstrukturfunktionalität oder Gesamtstrukturfunktionsebene

244

4.2 Funktionen von Gesamtstrukturen und Domänen


Die folgenden Tabellen zeigen Ihnen die unterstützten Betriebssysteme im Überblick. Anschließend finden Sie weitere Details. Domänenfunktionsebene

Unterstützte Domänencontroller

Windows 2000 gemischt (Standard)

Windows NT 4.0 Windows 2000 Server Windows Server 2003

Windows 2000 pur

Windows 2000 Server Windows Server 2003

Windows Server 2003 interim

Windows NT 4.0 Windows Server 2003

Windows Server 2003

Nur Windows Server 2003

Tabelle 4.7: Überblick über die Domänenfunktionsebenen

Wie bereits erwähnt, existiert neben der Domänenfunktionsebene auch die Gesamtstrukturfunktionsebene. Tabelle 4.8 zeigt Ihnen einen Überblick. Auch hier finden Sie nachfolgend weitere Details. Gesamtstrukturfunktionsebene

Unterstützte Domänencontroller

Windows 2000 (Standard)

Windows NT 4.0 Windows 2000 Server Windows Server 2003


Windows NT 4.0 Windows Server 2003

Windows Server 2003

Nur Windows Server 2003

Tabelle 4.8: Überblick über die Gesamtstrukturfunktionsebenen

4.2.1

Domänenfunktionsebenenen

Domänenfunktionsebenen dienen dazu, Microsoft Windows NT- und Windows 2000 ServerDomänen in das Windows Server 2003-Active Directory zu integrieren. Funktionsebenen haben für Sie auch den Vorteil, dass sie eine Migration von Windows NT oder Windows 2000 Server auf Windows Server 2003 erleichtern, indem Sie zuerst mit einer kompatiblen Funktionsebene starten und später, wenn alle Server einheitlich auf Windows Server 2003 umgestellt sind, auf die »höchste Funktionsebene« schalten. Die Funktionsebenen sind notwendig, damit Sie einen einheitlichen Kompatibilitätsmodus in Ihrer Domäne haben. Microsoft sieht insgesamt 4 Domänenfunktionsebenen vor, die nicht mit den Gesamtstrukturfunktionsebenen zu verwechseln sind. Die Gesamtstrukturfunktionsebenen werden in Kapitel 4.2.2 beschrieben. In Windows 2000 Server wurden Domänenfunktionsebenen mit Betriebsmodus der Domäne beschrieben. Sie erinnern sich vielleicht: In einem Windows 2000


245

MCSE Examen 70-294

Server-Active Directory gab es zwei Domänenmodi: Den »gemischten Modus für NT- und Windows 2000-Domänencontroller« und den »einheitlichen Modus für Windows 2000Domänencontroller«. Die Domänenfunktionsebenen betreffen nur den Betrieb der Domänencontroller. Das Betriebssystem auf den Mitgliedsservern wird hiervon nicht berührt, doch es ist für die erweiterten Funktionen von Windows Server 2003 empfehlenswert, auch hier das aktuelle Betriebssystem zu verwenden. Sie haben in Windows Server 2003 nun folgende Funktionsebenen zur Verfügung: T Windows 2000 gemischt T Windows 2000 pur: T Windows Server 2003 interim

ACH TUNG

T Windows Server 2003

Vorsicht! Haben Sie erst einmal in eine höhere Funktionsebene geschaltet, können Sie nicht wieder auf eine tiefere Ebene herunter. Der Vorgang ist nicht reversibel.

Windows 2000 gemischt Die Funktionsebene Windows 2000 gemischt ermöglicht einen Betrieb von Windows NT 4.0und Windows 2000-Domänencontrollern mit Windows Server 2003. Es ist also ein gemischter Betrieb mit den wichtigsten Vorgängerversionen möglich. Da Windows NT die neuen Active Directory-Funktionen nicht kennt, musste Microsoft einen Kompatibilitätsmodus finden, der den Betrieb aller Domänencontroller zulässt. Das heißt, dass ein Windows Server 2003-Domänencontroller die Funktion des primären Domänencontrollers von NT 4.0 übernimmt. Diese Funktion ist die Rolle des bereits erwähnten PDC-Emulators. Tabelle 4.9 zeigt Ihnen die domänenweiten Leistungsmerkmale von Windows 2000 gemischt. Domänenfeatures

Beschreibung

Active Directory-MultimasterReplikation

Nur zwischen PDC-Emulator und Windows 2000 Domänencontrollern

Active Directory-Organisationseinheiten (OUs)

Ja, in Verbindung mit Windows 2000 Server

Active Directory-Sicherheitsgruppen

Ja, aber beschränkt auf lokale und globale Gruppen

Aktualisierung von Anmeldezeiteinträgen

Nein

Benutzerkennwort für das InetOrgPerson-Objekt

Nein

Tabelle 4.9: Leistungsmerkmale der Funktionsebene »Windows 2000 gemischt«

246


4 – Einrichten und Warten einer Active Directory-Infrastruktur Domänenfeatures

Beschreibung

Gruppenrichtlinie

Ja, nur für Windows 2000/XP- und Windows Server 2003Clientcomputer

Gruppenverschachtelung

Ja, nur für Gruppen vom Typ Verteiler

IntelliMirror

Ja, nur für Windows 2000/XP und Windows Server 2003

Kerberos-Authentifizierung

Ja, für Windows 2000-, XP- und Windows Server 2003Mitgliedsserver

Konvertieren von Gruppen

Keine Gruppenkonvertierung möglich

MMC (Microsoft Management Console)

Ja, auf allen Computern mit der entsprechenden WMI(Windows Management Instrumentation-)Erweiterung

SID-Verlauf

Nein

Transitive Vertrauensstellungen für Kerberos-Authentifizierung

Ja, über Kerberos-Dienste

Umbenennen von Domänencontrollern

Nein

Universelle Gruppe

Ja, aber nur für Gruppen vom Typ Verteiler, nicht für Sicherheitsgruppen

Windows Installer

Ja, verfügbar

Die Funktionsebene Windows 2000 gemischt ist die Standardeinstellung bei der Einrichtung neuer Domänen. Ein Heraufstufen in eine höhere Funktionsebene ist jederzeit möglich.

Windows 2000 pur und Windows Server 2003 Die Funktionsebene Windows 2000 pur ist, trotz der anders lautenden Bezeichnung, für den kombinierten Betrieb von Windows 2000- und Windows Server 2003-Domänencontrollern konzipiert. Die Funktionsebene Windows Server 2003 erlaubt nur den Betrieb von Windows Server 2003basierenden Domänencontrollern. Das bedeutet aber auch, dass Sie weiterhin Ihre »alten« Windows 2000-Mitgliedsserver verwenden können. Da beide Betriebssysteme Active Directory unterstützen, können die wichtigsten Features von Active Directory genutzt werden, wie der folgende Vergleich zeigt (Die drei Unterschiede sind fett hervorgehoben.)


247

HIN WEIS

Tabelle 4.9: Leistungsmerkmale der Funktionsebene »Windows 2000 gemischt« (Forts.)

MCSE Examen 70-294 Domänenfeatures

Windows 2000 pur

Windows Server 2003

Active Directory-Organisationseinheiten (OUs)

Ja

Ja

Active Directory-MultimasterReplikation

Ja

Ja

Active Directory-Sicherheitsgruppen Ja

Ja

Aktualisierung von Anmeldezeiteinträgen

Nein

Ja

Benutzerkennwort für das InetOrgPerson-Objekt

Nein

Ja

Gruppenrichtlinie

Ja, nur für Windows 2000/XPund Windows Server 2003Clientcomputer


Gruppenverschachtelung

Ja, voller Umfang

Ja

IntelliMirror


Ja, nur für Windows 2000/XPund Windows Server-2003Clientcomputer

Kerberos-Authentifizierung

Ja, für Windows 2000, XP und Windows Server 2003Mitgliedsserver

Ja, für Windows 2000, XP und Windows Server 2003Mitgliedsserver

Konvertieren von Gruppen

Ja, zwischen Sicherheits- und Verteilergruppen

Ja, zwischen Sicherheits- und Verteilergruppen

SID-Verlauf

Ja

Ja

Transitive Vertrauensstellungen für Kerberos-Authentifizierung

Ja, über Kerberos-Dienste

Ja

Umbenennen von Domänencontrollern

Nein

Ja

Universelle Gruppe

Ja

Ja

Tabelle 4.10: Überblick über die wichtigsten Leistungsmerkmale der beiden Active Directory-Funktionsebenen.

Einstellen der Funktionsebenen Das Umstellen auf eine höhere Domänenfunktionsebene führen Sie in der Managementkonsole Active Directory-Domänen und -Vertrauensstellungen aus. Es ist nicht zwangsläufig notwendig, dass Sie diesen Vorgang beim ersten installierten Domänencontroller durchführen. Bei diesem Vorgang spielen die Domänenmasterrollen keine Rolle. Für die Umstellung benötigen Sie mindestens Privilegien der Gruppe Domänen-Admins.

248



Beachten Sie, dass Sie die Domänenfunktionsebene zwar heraufstufen können, jedoch nicht wieder herunter. Die entsprechende Warnmeldung erhalten Sie bei der Durchführung. Stufen Sie die Domänenfunktionsebene nicht herauf, wenn in Ihrer Domäne noch Windows NT-Domänencontroller vorhanden sind. Falls in Ihrer Domäne neben den Windows Server 2003-Domänencontrollern noch Windows 2000-Domänencontroller existieren, stufen Sie die Funktionsebene nur auf Windows 2000 pur hoch. Auf keinen Fall dürfen Sie Windows Server 2003 auswählen. Die detaillierte Vorgehensweise ist im Übungsteil dieses Kapitels beschrieben.

Abbildung 4.3: Nach der Standardinstallation sollten Sie die Domänenfunktionsebene heraufstufen, wenn Ihre Domänencontroller entsprechende Voraussetzungen erfüllen.

Nach erfolgreicher Heraufstufung wird die Funktionsebene auf jeden Domänencontroller in der Domäne repliziert. Dieser Vorgang ist von der Replikationstopologie abhängig und kann daher bei großen Netzwerken eine gewisse Zeit dauern. Ein Neustart des Domänencontrollers ist nicht notwendig.

Windows Server 2003 interim Die Domänenfunktionsebene Windows Server 2003 interim ist eine spezielle Ebene für das Aktualisieren einer Windows NT 4.0- auf eine Windows Server 2003-Active DirectoryDomäne. Sie erhalten diese Option nur dann, wenn Sie einen Windows NT 4.0-Domänencontroller auf Windows Server 2003 aktualisieren und der Domänencontroller der erste in der neuen Active Directory-Domäne ist. Diese Funktionsebene unterstützt daher auch keine Windows 2000 Server-Domänencontroller, da dies bei einer Migration von NT auf Windows Server 2003 nicht notwendig ist.


249

MCSE Examen 70-294

4.2.2

Gesamtstrukturfunktionsebenen

Die Gesamtstrukturfunktionsebenen ermöglichen Funktionen für alle Domänen innerhalb der Gesamtstruktur. In der höchsten Ebene sind alle Active Directory-Leistungsmerkmale von Windows Server 2003 in der Gesamtstruktur verfügbar. Es stehen drei Gesamtstrukturfunktionsebenen zur Verfügung: T Windows 2000 (Standard) T Windows Server 2003 – interim T Windows Server 2003 – Alle Leistungsmerkmale verfügbar. Die neuen domänen- und gesamtstrukturweiten Active Directory-Funktionen können nur aktiviert werden, wenn auf allen Domänencontrollern in einer Domäne bzw. einer Gesamtstruktur Windows Server 2003 ausgeführt wird. Tabelle 4.11 gibt Ihnen einen Überblick über die (gegenüber Windows 2000 Server) neuen Features. Feature

Details

Benutzerzugriffssteuerung auf Ressourcen zwischen Domänen oder Gesamtstrukturen

Sie können Benutzer in einer Domäne am Zugriff auf Ressourcen in einer anderen Domäne oder Gesamtstruktur hindern.

Deaktivieren von Schemaobjekten

Sie können nicht mehr benötigte Klassen oder Attribute im Schema deaktivieren. Leider ist immer noch kein Löschen möglich. Konsequenz: Applikationen (wie Exchange Server) lassen sich nicht vollständig deinstallieren.

Domänenumbenennung

Verändern Sie den Namen einer beliebigen Windows Server 2003Domäne. Die Umbenennung gilt sowohl für die NetBIOS-Namen als auch für die DNS-Namen.

Dynamische Erweiterungsklassen

Betrifft das Schema. Sie können dynamische Erweiterungsklassen mit einzelnen Objekten verknüpfen. Davor war nur ein Verknüpfen mit Objektklassen möglich.

Gesamtstrukturvertrauensstellungen

Erstellen Sie eine Gesamtstrukturvertrauensstellung zu einer zweiten Gesamtstruktur, die nicht nur bidirektional, sondern auch transitiv ist. Die Gesamtstrukturvertrauensstellung ist eine Vertrauensstellung zwischen zwei Gesamtstrukturen.

Replikation

Microsoft hat die Replikation zwischen den Domänencontrollern optimiert. Sie erhalten folgende Verbesserungen: T Replikation des globalen Katalogs T Replikation, indem eine verknüpfte Wertreplikation und eine neue Replikationstopologie eingeführt werden

Tools für die Umbenennung von Domänencontrollern

Verändern Sie den Namen des Domänencontrollers, ohne ihn zuerst herabzustufen.

Umstrukturierung einer Gesamtstruktur

Verschieben Sie vorhandene Domänen an andere Positionen innerhalb der Gesamtstruktur. Dies ist ein Feature der Domänenumbenennung.

Tabelle 4.11: Überblick über die neuen Active Directory-Features

250



Windows 2000 und Windows Server 2003 Die Gesamtstrukturfunktionsebene Windows 2000 ist die Standardeinstellung bei einem neu installierten Domänencontroller, der den Stammdomänencontroller repräsentiert (Forest Root Domain Controller). Sie dient der Abwärtskompatibilität mit Windows NT und Windows 2000 Server. Sie erhalten diese Einstellung auch, wenn Sie einen Windows 2000-basierten Stammdomänencontroller aktualisieren. Alle weiteren neuen oder aktualisierten Domänencontroller richten sich nach dieser Voreinstellung. Beachten Sie, dass für das Heraufstufen der Funktionsebene auf Windows Server 2003 folgende Voraussetzungen erfüllt sein müssen: T Sie müssen in Ihren Domänen mindestens die Domänenfunktionsebene Windows 2000 pur eingestellt haben, damit Sie die Gesamtstrukturfunktionsebene auf Windows Server 2003 heraufstufen können. T Sie müssen alle vorhandenen Windows 2000-Domänencontroller innerhalb der Gesamtstruktur auf Windows Server 2003 aktualisieren. Falls Sie die Gesamtstrukturfunktionsebene nicht heraufstufen können, wählen Sie im Dialogfeld Gesamtstrukturfunktionsebene heraufstufen die Schaltfläche SPEICHERN UNTER, mit der Sie anschließend eine Protokolldatei erhalten, aus der ersichtlich wird, welche Domänencontroller innerhalb Ihrer Gesamtstruktur noch mit ungültigen Betriebssystemen laufen. Tabelle 4.12 zeigt Ihnen einen Vergleich der gesamtstrukturweiten Funktionen. Gesamtstrukturfunktion

Windows 2000 Server Windows Server 2003

Domänenumbenennung: das Verschieben von Domänen an andere Positionen

Nein

Ja

Erweiterungsklassen: dynamische

Nein

Ja

Funktionsschemaobjekte (Deaktivieren einer Klasse oder eines Attributs)

Nein

Ja

Gesamtstrukturvertrauensstellungen

Nein

Ja

objectClass-Änderung für das InetOrgPerson- Nein Attribut

Ja

Replikation des globalen Katalogs (optimierte Funktionen)

Ja, falls beide Replikationspartner Windows Server 2003-basierte Domänencontroller sind. Andernfalls »Nein«

Ja

Replikation: Verbesserte Active DirectoryReplikationsalgorithmen

Nein

Ja

Standortinternes Replikationsintervall in Sekunden/Verzögerungszeit in Sekunden

300/30

15/3

Replikation: Verknüpfte Wertreplikation

Nein

Ja

Tabelle 4.12: Neue Leistungsmerkmale von Windows Server 2003


251

MCSE Examen 70-294

Windows Server 2003-interim Die Gesamtstrukturfunktionsebene erhalten Sie nur dann, wenn Sie eine Windows NT 4.0Domäne aktualisieren und Sie die aktualisierte Domäne zur Stammdomäne der Gesamtstruktur machen möchten. Ähnlich wie bei den Domänenfunktionsebenen erhalten Sie hier die Gesamtstrukturfunktionsebene Windows Server 2000-interim:.

Einstellen der Gesamtstrukturfunktionsebenen Wie bei den Domänenfunktionsebenen stellen Sie die Gesamtstrukturfunktionsebenen in der Managementkonsole Active Directory-Domänen und -Vertrauensstellungen ein. Für die Durchführung müssen Sie mindestens Mitglied der Gruppe Domänen-Admins in der Gesamtstrukturdomäne oder in der Gruppe Organisations-Admins in Active Directory sein. Man kann Ihnen auch die entsprechenden Privilegien delegieren. Die Mitgliedschaft in der Gruppe Domänen-Admins in einer beliebigen Domäne, die nicht die Gesamtstrukturdomäne ist, reicht nicht aus. Aus Sicherheitsgründen können Sie diese Aktion unter Zuhilfenahme von AUSFÜHREN ALS durchführen. Beachten Sie auch hier, dass Sie die Gesamtstrukturfunktionsebene genauso wie die Domänenfunktionsebenen zwar herauf, aber nicht wieder herunterstufen können. Auch hier gilt: Wenn in Ihrer Domäne noch Windows NT-Domänencontroller oder Windows 2000-Domänencontroller vorhanden sind, dürfen Sie die Domänenfunktionsebene nicht heraufstufen.

Abbildung 4.4: Heraufstufen der Gesamtstrukturfunktionsebene

Troubleshooting Falls die Gesamtstrukturfunktionsebene nicht heraufgestuft werden kann, erscheint eine entsprechende Warnmeldung im Dialogfenster Gesamtstrukturfunktionsebene heraufstufen. Sie können dann eine Fehlerdatei abspeichern, um weitere Informationen über die Fehlerursache zu erhalten. Die Datei wird im kommaseparierten Unicode-Text-Format abgespeichert, d.h., sie bekommt die Endung *.csv und kann mit jedem beliebigen Texteditor oder mit Excel gelesen und bearbeitet werden. In dieser Datei finden Sie diejenigen Domänen der Gesamt-

252



struktur aufgelistet, die nicht die Voraussetzungen für die Gesamtstrukturfunktionsebene Windows Server 2003 erfüllen. Die Fehlermeldung kann folgende Ursachen haben: T Die Domänenfunktionsebene der Stammdomäne ist nicht auf Windows 2000 pur oder Windows Server 2003 gestellt. T Die Domänenfunktionsebene einer untergeordneten Domäne ist nicht Windows 2000 pur oder Windows Server 2003.

Abbildung 4.5: Fehlermeldung, dass die Gesamtstrukturfunktionsebene nicht heraufgestuft werden kann

4.2.3

Benutzerprinzipalnamen-Suffixe

Die Verwendung alternativer Domänennamen kann Ihnen nicht nur eine zusätzliche Anmeldesicherheit bieten, sondern auch eine Vereinfachung bei der Anmeldung. Wenn Sie eine stark verschachtelte Domänenstruktur verwenden, werden die DNS-Namen sehr schnell lang. Sie können diese Namen verkürzen, indem Sie einen anderen Aliasnamen benutzen. So könnte man für die Domäne vertrieb.deutschland.pearson.de den alternativen Domänennamen vertrieb definieren. Benutzer können sich dann mit dem Konto anmeldename@vertrieb an der Domäne anmelden, wenn ihnen dieses Anmeldekonto zugewiesen wurde. Wenn Sie alternative Domänennamen verwenden, dann greifen Sie auf eine besondere Eigenschaft von Active Directory, die sog. Benutzerprinzipalnamen-Suffixe (User Principal Name Suffix, UPN-Suffix), zurück. Microsoft verwendet in der deutschen Übersetzung auch gern die englische Abkürzung mit dem Zusatz Suffix, also UPN-Suffix. Bildlich gesprochen ist das UPN-Suffix derjenige Teil des Benutzerprinzipalnamens (UPNs), der rechts neben dem @-Zeichen steht. Wenn wir das oben genannte Beispiel weiterführen, ist der Benutzerprinzipalname eines Benutzers [email protected]. Da das Eingeben eines derart langen UPNs keinem Benutzer zuzumuten ist, kann er sich alternativ mit dem Präfix, d.h. mit anmeldename, anmelden.


253

MCSE Examen 70-294

Möchte man hingegen einen UPN verwenden, bietet sich ein alternatives UPN-Suffix an. Der hintere Teil, vertrieb.deutschland.pearson.de, wird durch einen kürzeren und griffigen Namen ergänzt. Das kann – wie schon vorgeschlagen – der Name vertrieb sein. Nachdem Sie ein alternatives Benutzerprinzipalnamen-Suffix erstellt haben, müssen Sie in der Konsole Active Directory-Benutzer und -Computer Benutzern dieses Anmeldekonto zuweisen.

Abbildung 4.6: Einstellen von Benutzerprinzipalnamen in der Konsole Active Directory-Domänen und -Computer

Verwenden Sie das @-Zeichen nicht für einen Benutzer oder ein BenutzerprinzipalnamenSuffix. Wenn Authentifizierungsanforderungen an eine vertrauende Gesamtstruktur weitergeleitet werden, werden alle Zeichen vor dem ersten @-Symbol als Benutzername interpretiert und alle Zeichen nach dem ersten @-Symbol als Benutzerprinzipalnamen-Suffix. Des Weiteren wird die lokale Sicherheitsautorität (Local Security Authority, LSA) an einem Computergerät das Routing blockieren, da der Name kein gültiger DNS-Name ist.

4.2.4

Erstellen von Vertrauensstellungen

Vertrauensstellungen dienen dazu, zwei oder mehrere Domänen miteinander zu verknüpfen. Eine Vertrauensstellung ist eine logische Beziehung zwischen den Domänen, um einen Zugriff auf Ressourcen anderer Domänen über die Domänengrenzen hinweg zu ermöglichen. Die Benutzerauthentifizierung wird hierbei quasi durchgereicht bzw. weitergeleitet. Daher wurde sie früher auch als »weiterleitende Echtheitsbestätigung« (siehe Literatur über Windows NT 4.0) bezeichnet, nur dass in Windows NT Vertrauensstellungen nicht transitiv sind. Wenn über eine ACL (Access Control List) die Ressource geschützt ist, muss es eine Möglichkeit geben, dem »fremden« Anwender entsprechende Zugriffsberechtigungen zu erteilen. Dies geschieht nach folgendem Prinzip:

254



Bei Vertrauensstellungen gibt es immer zwei Rollen, die die Domänen einnehmen: T Die vertrauende Domäne (Trusting Domain) T Die vertraute Domäne (Trusted Domain) Hierbei existieren uni- und bidirektionale Vertrauensverhältnisse. In einer Domänenstruktur ist das Vertrauensverhältnis immer bidirektional und transitiv. Ein bidirektionales Vertrauensverhältnis stellt ein gegenseitiges unidirektionales Vertrauensverhältnis dar. Betrachten Sie Vertrauensverhältnisse im Detail, müssen Sie also bei einem unidirektionalen Vertrauensverhältnis anfangen. Dies geschieht, wie bereits in Kapitel 3.4 vorgestellt, folgendermaßen:

Abbildung 4.7: Unidirektionales Vertrauensverhältnis

Wie in Abbildung 4.7 zu sehen ist, greift ein Benutzer einer vertrauten Domäne auf eine Ressource (zum Beispiel einen freigegebenen Ordner) in der vertrauenden Domäne zu. Hierfür muss die Domäne 1 der Domäne 2 vertrauen. Microsoft hebt in diesem Zusammenhang nicht den Zugriff hervor, sondern das Vertrauen, das eine vertrauende Domäne einer vertrauten entgegenbringt. Bildlich gesprochen kann man sich den Merksatz einprägen, dass »der Zugriffspfeil entgegengesetzt dem Vertrauenspfeil gesetzt wird«. Ein Administrator derjenigen Domäne, die vertraut, kann selbstverständlich bestimmen, welcher Benutzer auf die Ressource der Domäne zugreifen darf. Der Zugriffspfeil in Abbildung 4.7 stellt daher lediglich die Möglichkeit dar, auf die Ressource zuzugreifen. Für einen erfolgreichen Zugriff muss dem Benutzer ein Zugriffsrecht auf die Ressource erteilt werden. Wenn der Benutzer der Domäne 2 auf die Ressource der Domäne 1 zugreifen darf, ist es unerheblich, von welchem Clientcomputer aus er sich anmeldet. Er kann sich von allen Computern der Domäne 1 und 2 aus interaktiv mit seinem Benutzerkonto an der Domäne 2 anmelden. Folglich benötigt den Benutzer immer nur ein Anmeldekonto! Umgekehrt dürfen Benutzer der Domäne 1 nicht auf die Ressourcen der Domäne 2 zugreifen. Daher macht es auch keinen Sinn, dass sie sich an Computern der Domäne 2 anmelden dürfen. Welchen Vorteil bringt ein Vertrauensverhältnis? Zum einen vergrößern Sie den Zugriffsbereich auf Ressourcen anderer Domänen. Denken Sie daran, dass eine Domäne einen eigenständigen Sicherheitsbereich repräsentiert. Zum anderen bewirken Sie, dass für den potenziellen Zugriff von vielen Benutzern auf die vertrauende Domäne kein großer administrativer Aufwand vorliegt, da in der vertrauenden Domäne keine neuen Konten eingerichtet werden müssen. Normalerweise wird derjenige Domänencontroller für die Authentifizierung des Benutzers verwendet, der auf die Anfrage zuerst antwortet. So wäre es jedenfalls, wenn das Konto des Benutzers in der vertrauenden Domäne liegen würde. Es liegt jedoch in der vertrauten 4.2 Funktionen von Gesamtstrukturen und Domänen

255

MCSE Examen 70-294

Domäne, von der zunächst die vertraute Domäne und auch der gerade angesprochene Domänencontroller nichts weiß. Die Authentifizierung über das Kerberos-Protokoll bewirkt, dass der Client ein sog. Ticket von einem Domänencontroller seiner Kontendomäne (vertrauten Domäne) anfordert. Das Ticket wird zu dem authentifizierenden Domänencontroller der vertrauenden Domäne gesendet, damit er anstelle des Domänencontrollers in der Kontendomäne die Authentifizierung vornehmen kann. Auch hier arbeitet bildlich gesprochen ein Domänencontroller der Ressourcendomäne als »vermittelnde Autorität«. Wenn ein Benutzer auf Ressourcen in der vertrauenden Domäne zugreifen möchte, stellt das Sicherheitssystem des Windows Servers fest, ob zwischen den betreffenden Domänen ein Vertrauensverhältnis besteht. Zu diesem Zweck wird ein Vertrauenspfad zwischen einem Domänencontroller der vertrauenden und der vertrauten Domäne berechnet. Die verwendete Vertrauensrichtung verläuft immer von der vertrauenden hin zur vertrauten Domäne. In Abbildung 4.7 verläuft die Vertrauensrichtung, wie bereits beschrieben, von links nach rechts. Da in einer Gesamtstruktur u.U. eine Vielzahl von Vertrauensverhältnissen bestehen, sind im Vertrauenspfad alle Vertrauensstellungen zusammengefasst. Je länger der Vertrauenspfad ist, desto mehr Zeit wird für die Ausstellung eines Tickets benötigt. Tabelle 4.13 verdeutlicht den Zusammenhang zwischen Anmelden und Zugriff. Aktion

Vertrauende Domäne

Vertraute Domäne

Anmelden an


Nur eigene Konten

Zugriff auf Ressourcen


Nur eigene Konten

Tabelle 4.13: Zugriff und Anmeldung gehen miteinander einher

Unidirektionale Vertrauensverhältnisse werden immer dann verwendet, wenn erreicht werden soll, dass nur Benutzer- oder Benutzergruppen der einen Domäne Zugriff auf die Ressourcen der anderen haben sollen. Dis kann zum Beispiel bei den sog. Verknüpfungsvertrauensstellungen (Shortcut-Vertrauensstellungen), bei Bereichsvertrauensstellungen, externen Vertrauensstellungen und Gesamtstrukturvertrauensstellungen der Fall sein. Der Schritt von einem unidirektionalen zu einem bidirektionalen Vertrauensverhältnis ist kurz, wie Abbildung 4.8 zeigt: Das bidirektionale Vertrauensverhältnis ist ein zweiseitiges unidirektionales Vertrauensverhältnis. Der Vertrauenspfad geht in beide Richtungen.

Abbildung 4.8: Bidirektionales Vertrauensverhältnis

In Abbildung 4.8 finden Sie den Standardfall bei Active Directory-Domänen vor, die sich in einer Domänenhierarchie befinden. Benutzer der einen Domäne können sich an Computerge256



Das Vorhandensein eines Vertrauensverhältnisses hat mit der Transitivität zunächst nichts zu tun. Die Transitivität ist eine Erweiterung der Vertrauensverhältnisse über Domänen hinweg. Sie ermöglicht eine wesentliche Reduktion von expliziten Vertrauensverhältnissen Weitere Informationen finden Sie auch in Kapitel 3.4. Alle Formen können von der Konsole Active Directory-Domänen und Vertrauensstellungen aus verwaltet werden. Die Windows Server 2003-Familie kennt 6 Formen von Vertrauensstellungen: Standardvertrauensstellungen: T Überordnungs-Unterordnungs-Vertrauensstellung (Parent-Child-Vertrauensstellung) T Strukturstamm-Vertrauensstellung Weitere Vertrauensstellungen: T externe Vertrauensstellung T Bereichsvertrauensstellung T Gesamtstrukturvertrauensstellung T Verknüpfungsvertrauensstellungen (Shortcut-Vertrauensstellung)

Abbildung 4.9: Das Verwalten und Erstellen von Vertrauensstellungen wird in den Eigenschaften der jeweiligen Domäne eingerichtet. Diese finden Sie in der Konsole Active Directory-Domänen und -Vertrauensstellungen.


257

HIN WEIS

räten der jeweils anderen Domänen interaktiv anmelden. Sie haben die theoretische Möglichkeit, einen Zugriff auf jede freigegebene Ressource zu erlangen. Der Zugriff – wie auch das Vertrauen – ist immer beidseitig, also bidirektional. Der Zugriff ist deshalb theoretisch, da über Zugriffsberechtigungen an der Ressource noch bestimmt werden muss, welche Benutzer oder Benutzergruppen darauf zugreifen dürfen.

MCSE Examen 70-294

Das Hinzufügen neuer Vertrauensstellungen führen Sie entweder mit dem Assistent für neue Vertrauensstellungen oder mit dem Befehlszeilenprogramm netdom durch. Weitere Informationen über netdom folgen in Kapitel 4.2.5. Für das Einrichten von Vertrauensstellungen benötigen Sie weiterhin folgende Informationen bzw. Voraussetzungen: T Administratorprivilegien der eigenen Domäne/Gesamtstruktur T Administratorprivilegien der fremden Domäne/Gesamtstruktur oder die Zusammenarbeit mit einer Person, die diese Privilegien besitzt T Beide »Parteien« müssen explizit dem Vertrauensverhältnis zustimmen.

Überordnungs-Unterordnungs-Vertrauensstellungen Diese Vertrauensstellungen werden immer automatisch beim Erstellen einer untergeordneten Domäne (Child Domain) eingerichtet. Die Bezeichnung Überordnungs-UnterordnungsVertrauensstellungen ist die »Übersetzung« von Microsoft aus dem Englischen. Im Englischen wird jedoch eine untergeordnete Domäne treffend als Child Domain und eine übergeordnete als Parent Domain bezeichnet. Somit wird das Vertrauensverhältnis als Parent Child Trust Relationship bezeichnet. Wenn Ihre Gesamtstruktur schließlich n Domänen enthält, existieren insgesamt n bidirektionale transitive Vertrauensverhältnisse. Dieser Fall führt dazu, dass sich Domänen vertrauen können, die sich auf dem ersten Blick gar nicht »kennen«. Der Grund hierfür ist die Transitivität zwischen den Domänen. Abbildung 4.10 verdeutlicht diesen Aspekt.

Abbildung 4.10: Da Vertrauensverhältnisse hier transitiv sind, vertrauen sich alle Domänen innerhalb der Gesamtstruktur gegenseitig.

258



Die Überordnungs-Unterordnungs-Vertrauensstellungen benötigen keine weitere Wartung, da sie automatisch erstellt werden. Dennoch sind sie in der Verwaltungskonsole Active DirectoryDomänen und Vertrauensstellungen aufgelistet.

Strukturstamm-Vertrauensstellung Eine Strukturstamm-Vertrauensstellung wird erstellt, wenn Sie einer Gesamtstruktur eine neue Domänenstruktur hinzufügen. Sie ist per Voreinstellung transitiv und bidirektional. Sie erfordert wie die Überordnungs-Unterordnungs-Vertrauensstellungen keinen weiteren administrativen Aufwand.

Abbildung 4.11: Strukturstamm-Vertrauensstellungen werden automatisch erstellt.

Externe Vertrauensstellung Sie verwenden die sog. externe Vertrauensstellung, um den Zugriff auf Ressourcen einer Domäne innerhalb einer separaten Gesamtstruktur oder einer Windows NT 4.0-Domäne zu ermöglichen. Die externe Vertrauensstellung muss von einem Systemadministrator explizit zwischen den beiden Domänen eingerichtet werden. Diese Art der Vertrauensstellung ist immer dann notwendig, wenn keine standardmäßige Vertrauensstellung eingerichtet werden kann. Externe Vertrauensstellungen sind nicht transitiv. Je nach Bedarf können sie uni- oder bidirektional sein und können in allen Domänenfunktionsebenen eingerichtet werden. Beachten Sie weiterhin, dass Administratoren beider Domänen der Vertrauensstellung zustimmen müssen. Sie müssen in der Windows Server 2003-Gesamtstruktur Privilegien als Organisations-Admin oder als Domänen-Admin besitzen.


259

MCSE Examen 70-294

Abbildung 4.12: An dieser Stelle (Assistent für neue Vertrauensstellungen) richten Sie in der Konsole Active Directory-Domänen und -Vertrauensstellungen eine externe Vertrauensstellung ein.

Beachten Sie bitte die Besonderheiten für externe- und Gesamtstrukturvertrauensverhältnisse.

Gesamtstrukturvertrauensstellung Gesamtstrukturvertrauensstellungen sind eine Neuheit von Windows Server 2003. Es ist nun möglich, nicht nur eine uni- oder bidirektionale Vertrauensstellung (wie in Abbildung 4.13 gezeigt) herzustellen, sondern eine, die auch transitiv ist. Gesamtstrukturvertrauenstellungen ähneln daher externen Vertrauensstellungen, die jedoch nicht transitiv sind. Voraussetzung ist, dass beide Gesamtstrukturen einheitlich Windows Server 2003 Domänencontroller verwenden. Sie müssen die Domänenfunktionsebene Windows Server 2003 verwenden. Diese Funktionsebene bedeutet, dass sich keine Windows NT- oder Windows 2000Domänencontroller mehr innerhalb der Gesamtstruktur befinden dürfen.

Abbildung 4.13: Gesamtstrukturvertrauensstellungen können uni- oder bidirektional gesetzt werden.

260



Wie bei der externen Vertrauensstellung wird die Gesamtstrukturvertrauensstellung zwischen den Stammdomänen der jeweiligen Gesamtstrukturen gesetzt. Das transitive Verhalten ist auf zwei Gesamtstrukturen begrenzt. Haben Sie mehr als zwei Gesamtstrukturen, ist die Transitivität lediglich auf zwei Gesamtstrukturen anwendbar, hinsichtlich der anderen ist sie nicht möglich. Die Gesamtstrukturvertrauensstellung wird von einem Domänencontroller der jeweiligen Stammdomänen aus durchgeführt. Sie benötigen hierfür Privilegien als Domänen-Admin in der Stammdomäne oder Privilegien als Organisations-Admin. Sie müssen weiterhin sicherstellen, dass die Namensauflösung in den beiden Domänen so konfiguriert ist, dass die Namen der Computer beider Domänen aufzulösen sind. Diese Voraussetzung können Sie einfach testen, indem Sie einen ping mit dem FQDN eines Computers der Partnerdomäne absetzen. Das Einrichten der Vertrauensstellung läuft – wie bei den anderen Vertrauensstellungen auch – über die Konsole Active Directory-Domänen und -Vertrauensstellungen. Verwenden Sie hier ebenfalls den Assistenten für neue Vertrauensstellungen. Beachten Sie auch die nachfolgend beschriebenen Besonderheiten für externe und Gesamtstrukturvertrauensverhältnisse.

Abbildung 4.14: An dieser Stelle (Assistent für neue Vertrauensstellungen) richten Sie in der Konsole Active Directory-Domänen und -Vertrauensstellungen eine Gesamtstrukturvertrauensstellung ein.

Authentifizierung für externe und Gesamtstrukturvertrauensstellungen Externe Vertrauensstellungen sind in der Gesamtstrukturfunktionsebene Windows Server 2003 um ein weiteres Leistungsmerkmal erweitert worden. Sie können eine ausgewählte Authentifizierung für die ausgehende und für die eingehende Vertrauensstellung unterschiedlich festlegen. Die in Windows Server 2003 neu verfügbare Gesamtstrukturvertrauensstellung besitzt dieses Feature ebenso.


261

MCSE Examen 70-294

Die ausgewählte Authentifizierung betrifft folglich folgende Szenarien: T Externe Vertrauensstellung zwischen Domänen

TIPP

T Gesamtstrukturvertrauensstellung zwischen Gesamtstrukturen

Es handelt sich um ein neues Feature, auf das gern in der Prüfung eingegangen wird.

Wenn Sie den Assistenten für neue Vertrauensstellungen verwenden, legen Sie im Dialogfenster Authentifizierungsebene für ausgehende Vertrauensstellung fest, ob Sie eine domänenweite (bzw. eine gesamtstrukturweite) oder eine ausgewählte Authentifizierung einsetzen möchten. Wenn Sie für die externe Vertrauensstellung die Option für die domänenweite Authentifizierung auswählen, erhalten Benutzer in der anderen Domäne den gleichen Zugriffsumfang auf Ressourcen wie Benutzer der eigenen Domäne – immer vorausgesetzt, die Benutzer bekommen entsprechende Zugriffsberechtigungen. Falls Sie jedoch die Option Ausgewählte Authentifizierung verwenden, müssen Sie manuell festlegen, welche Benutzer der vertrauten Domäne sich an Computern der vertrauenden Domäne authentifizieren können. Diese Bedingung legen Sie in der Managementkonsole Active Directory-Benutzer und -Computer fest. Sie müssen also die Verwaltungskonsole wechseln. Gleiches gilt auch für die Gesamtstrukturvertrauensstellung, nur dass Sie hier keine Domäne, sondern eine Gesamtstruktur vorliegen haben, wie Abbildung 4.15 zeigt. Auch hier ist, analog zur domänenweiten Authentifizierung, die gesamtstrukturweite Authentifizierung die Standardeinstellung.

Abbildung 4.15: Festlegen eines Authentifizierungsbereichs: hier am Beispiel einer Gesamtstrukturvertrauensstellung

Welchen Einfluss hat die Authentifizierung auf Computer in der vertrauenden Domäne? Sie müssen für jeden relevanten Windows Server 2003-basierten Computer die Zugriffssteue262



rungslisten (ACL) so erweitern, dass auch Benutzer oder Benutzergruppen von vertrauten Domänen einen Zugriff erhalten. Hierbei verhält sich die externe Vertrauensstellung genauso wie die Gesamtstrukturvertrauensstellung. Beachten Sie immer den wesentlichen Unterschied zwischen den beiden Vertrauensstellungen: Externe Vertrauensstellungen können nicht transitiv sein.

Abbildung 4.16: Schützen der Ressourcen mit Zugriffsteuerungslisten (ACLs) und dem Zugriffsrecht »Darf authentifizieren« (am Beispiel einer externen Vertrauensstellung)

Damit ein Benutzer oder eine Gruppe Zugriff auf die vertrauende Domäne erhält, müssen Sie folgendes in der Konsole Active Directory-Benutzer und -Computer durchführen: 1. Öffnen Sie die Eigenschaften des jeweiligen Servers, und klicken Sie auf SICHERHEIT. Falls Sie diesen Reiter nicht finden, müssen Sie vorher im Menü der Managementkonsole unter ANSICHT die Erweiterten Optionen aktivieren.

Abbildung 4.17: Bearbeiten der ACL eines Computergeräts (Es wurde der Gruppe Domänen-Benutzer der Domäne pearson.de erlaubt, sich auf dem Server02 der Domäne castro.de zu authentifizieren.)


263

MCSE Examen 70-294

HIN WEIS

2. Fügen Sie diejenigen Gruppen (oder Benutzer) der anderen Domäne hinzu, die einen Zugriff auf den betreffenden Server erhalten sollen, indem Sie auf HINZUFÜGEN klicken. Anschließend erteilen Sie dem Benutzer oder der Gruppe die Berechtigung Darf authentifizieren. Diese Berechtigung ist ein neues Zugriffssteuerungsrecht, um zu bestimmen, welche Benutzer anderer Domänen sich auf Computer- oder Dienstobjekten authentifizieren können.

Für das Bearbeiten der Zugriffssteuerungslisten (ACLs) für freigegebene Ressourcen können Sie auch den Zugriffssteuerungslisten-Editor (ACL-Editor) verwenden. Weitere Informationen hierzu finden Sie in Kapitel 6.2. Führt ein Benutzer über eine Vertrauensstellung eine Authentifizierung durch und ist die Option Ausgewählte Authentifizierung aktiviert, wird den Autorisierungsdaten des Benutzers die spezielle SID Andere Organisation hinzugefügt. Eine SID (Security Identifier) ist eine Sicherheitskennung, die hier zur Prüfung der Ressourcendomäne (vertrauende Domäne) führt. Die Prüfung stellt sicher, dass sich der Benutzer an dem Computer oder dem Dienst authentifizieren darf. Nachdem der Benutzer authentifiziert ist, fügt der authentifizierende Domänencontroller die SID Diese Organisation hinzu, falls nicht bereits die SID Andere Organisation vorhanden ist. Somit wird sichergestellt, dass immer eine der SIDs im Kontext des Benutzers vorhanden ist. Daher erhalten Sie am Ende des Einrichtungsvorgangs einen Hinweis, dass der SID-Filter aktiviert ist, um die Sicherheit der externen Vertrauensstellung zu erhöhen. Diese Funktion muss nur dann deaktiviert werden, falls Sie Benutzer im Rahmen einer Domänenkonsolidierung zu einer vertrauten Domäne migrieren und Sie möchten, dass die SID-Verläufe erhalten bleiben. Weiterhin können Sie mit der SID-Filterung die Domänencontroller in einer bestimmten Domäne anweisen, eine vertrauenswürdige Domäne unter »Quarantäne« zu stellen. In diesem Fall entfernen die Domänencontroller in der vertrauenden Domäne alle SIDs, die sich gemäß der empfangenen Autorisierungsdaten von der vertrauenswürdigen Domäne nicht auf diese Domäne beziehen. Die Verhängung der Quarantäne wird für jede Domäne einzeln vorgenommen und erfolgt von der vertrauenden Domäne aus.

Verknüpfungsvertrauensstellung Verwenden Sie Verknüpfungsvertrauensstellungen (auch Shortcutvertrauensstellungen genannt), um die Benutzeranmeldezeiten zwischen zwei Domänen innerhalb einer Gesamtstruktur zu optimieren. Dies ist hilfreich, wenn zwei Domänen durch zwei Domänenstrukturen getrennt sind. Verknüpfungsvertrauensstellungen sind uni- oder bidirektionale transitive Vertrauensstellungen.

264



Abbildung 4.18: Verknüpfungsvertrauensstellungen verkürzen den Vertrauenspfad.

Bevor ein Benutzer auf eine Ressource einer vertrauenden Domäne zugreifen darf, stellt das Sicherheitssystem des Domänencontrollers fest, ob zwischen der vertrauten und der vertrauenden Domäne eine Vertrauensstellung besteht. Normalerweise müssen Authentifizierungsanforderungen einen Vertrauenspfad zwischen den Domänenstrukturen durchlaufen. Bei einer komplexen Gesamtstruktur kann dies einige Zeit beanspruchen. Mit Hilfe von Verknüpfungsvertrauensstellungen kann dies verkürzt werden. Der Vertrauenspfad wird vom Vertrauenstyp und der zugehörigen Richtung beeinflusst. Im Vertrauenspfad sind die Vertrauensstellungen zusammengefasst, die Authentifizierungsanforderungen zwischen Domänen durchlaufen müssen. Ein Vertrauenspfad besteht zwischen einem Domänencontroller in der vertrauenden Domäne und einem in der vertrauten Domäne.

Bereichsvertrauensstellung Sie können eine Bereichsvertrauensstellung (oder auch Bereichsverknüpfung genannt) verwenden, um eine Vertrauensstellung zwischen einer Windows Server 2003-Domäne und einem Nicht-Microsoft-Windows-Kerberos-Bereich (beispielsweise von Linux oder anderen UNIX-Implementierungen) herzustellen. Bereichsvertrauensstellungen können unidirektional oder bidirektional, transitiv oder nicht transitiv sein.


265

MCSE Examen 70-294

Auch die Bereichsvertrauensstellung wird in der Managementkonsole Active DirectoryDomänen und -Vertrauensstellungen in den Eigenschaften des jeweiligen Domänenknotens eingestellt. Sie verwenden den Assistent für neue Vertrauensstellungen, indem Sie auf die Taste NEUE VERTRAUENSSTELLUNG klicken. Sie benötigen für die Durchführung eine korrekte Namensauflösung, d.h. eine Anbindung der DNS-Server in der Stammdomäne an einen DNS- bzw. BIND-Server einer UNIX-, Linux- oder ähnlichen Umgebung.

Abbildung 4.19: Einstellen einer Bereichsvertrauensstellung

4.2.5

Verwalten von Vertrauensstellungen

Sie können Vertrauensstellungen über die Managementkonsole Active Directory-Domänen und -Vertrauensstellungen oder über das Befehlszeilenprogramm netdom.exe verwalten. Alternativ kann auch das schon ältere Tool nltest.exe eingesetzt werden.

Vertrauensstellungen überprüfen Das Verwalten über die Managementkonsole knüpft dort an, wo Sie nach der Einrichtung einer Vertrauensstellung aufgehört haben: bei der Überprüfung und der eventuellen Änderung von Einstellungen. Ausgangspunkt ist wieder das Dialogfenster Eigenschaften von aus Abbildung 4.9, das Sie noch einmal in Abbildung 4.20 sehen. Wie in Abbildung 4.20 zu erkennen ist, gibt das Dialogfenster Auskunft über die Art des Vertrauensverhältnisses und der Transitivität, unterteilt in unidirektionale Vertrauensverhältnisse. Sie können hier sehr schön erkennen, dass ein bidirektionales Vertrauensverhältnis aus einer ausgehenden und einer eingehenden Vertrauensstellung besteht, die jeweils getrennt voneinander administrierbar sind.

266



Abbildung 4.20: Darstellung einer externen Vertrauensstellung und einer Gesamtstrukturvertrauensstellung in den Eigenschaften des Domänenknotens

Sie haben die Möglichkeit, ein Vertrauensverhältnis zu entfernen oder unter Zuhilfenahme der EIGENSCHAFTEN-Schaltfläche zu bearbeiten. Für die Eigenschaften einer Gesamtstrukturvertrauensstellung bekommen Sie beispielsweise ein ähnliches Dialogfenster, wie es Ihnen Abbildung 4.21 zeigt.

Abbildung 4.21: Eigenschaften für eine Vertrauensstellung


267

MCSE Examen 70-294

Sie finden im Reiter ALLGEMEIN alle wichtigen Eigenschaften beschrieben, wie Vertrauenstyp, Richtung der Vertrauensstellung und Transitivität. Mit der Schaltfläche SPEICHERN UNTER können Sie eine Datei abspeichern, die Ihnen Informationen über die Vertrauensstellung liefert (siehe auch die entsprechende Übung im Übungsteil). Die Datei wird im Unicode-Text (kommaseparierten)-Format abgespeichert, d.h., sie bekommt die Endung *.csv und kann mit jedem beliebigen Texteditor oder mit Excel gelesen und bearbeitet werden. Wenn Sie die Vertrauensstellung überprüfen müssen, klicken Sie die Schaltfläche ÜBERPRÜFEN und geben im folgenden Fenster den Benutzernamen und das Kennwort für den Benutzer ein, der über entsprechende administrative Berechtigung in der angegebenen Domäne verfügt. In Abbildung 4.22 ist dies die Domäne pearson.de. Je nach Art der Vertrauensstellung erhalten Sie anschließend eine entsprechende Meldung.

Abbildung 4.22: Überprüfen der Vertrauensstellung

Namensuffixrouting bearbeiten Die Active Directory-Dienste verwenden für Authentifizierungen von Benutzern sog. Benutzerprinzipalnamen (User Principal Name, UPN). Sie haben formal folgende Schreibweise: Name@Domänenname

Unter Name kann ein beliebiger Anmeldename definiert werden. Dieser Teil ist das Präfix. Der Teil hinter dem @-Zeichen wird als Namensuffix bezeichnet. Er beinhaltet den normalen Namen der Domäne, in der der Benutzer Mitglied ist oder optional ein zusätzliches benutzerdefiniertes Suffix. Das Erstellen von benutzerdefinierten Suffixen ist in Kapitel 4.2.3 beschrieben. Die andere Art von Suffixen betrifft Dienstprinzipalnamen-Suffixe (Service Principal Name Suffix, SPN-Suffix). Sie bestimmen mit dem Namensuffixrouting, wie Authentifizierungsanforderungen in Windows Server 2003-Gesamtstrukturen, die durch Gesamtstrukturvertrauensstellungen miteinander verknüpft sind, weitergeleitet werden. Zur Vereinfachung werden per Voreinstellung alle Authentifizierungsanforderungen von eindeutigen Namensuffixen weitergeleitet. Gesamtstrukturen können mehrere eindeutige Namensuffixe aufweisen, wie Abbildung 4.23 zeigt. Alle untergeordneten Namensuffixe von eindeutigen Namensuffixen werden implizit weitergeleitet. Daher werden die Namensuffixe durch ein vorangestelltes Sternchen (*) gekennzeichnet. Wenn beispielsweise Ihre Gesamtstruktur *.pearson.de als eindeutiges Namensuffix 268



verwendet, werden die Authentifizierungsanforderungen für alle untergeordneten Domänen von pearson.de an alle untergeordneten Domänen weitergeleitet, weil diese den Namensteil pearson.de im Namensuffix verwenden. Bei einer Gesamtstrukturvertrauensstellung erhält die vertrauende Gesamtstruktur Informationen über alle Suffixe der vertrauten Gesamtstruktur. Da es unter Umständen nicht erwünscht ist, dass diese auch für die Authentifizierung in vertrauenden Domänen der vertrauenden Gesamtstruktur verfügbar sind, kann das Namensuffixrouting dieser Gesamtstruktur unterbunden werden. Klicken Sie dafür auf DEAKTIVIEREN.

Abbildung 4.23: Das Namensuffixrouting ist bei Namensuffixen, die während der Einrichtung von Gesamtstrukturvertrauensstellungen gefunden worden sind, automatisch aktiviert.

Falls die Gesamtstrukturvertrauensstellung zwischen zwei Gesamtstrukturen besteht, können Sie mit Hilfe von Namensuffixen, die in einer der Gesamtstrukturen nicht vorhanden sind, Authentifizierungsanforderungen an die zweite Gesamtstruktur weiterleiten. Fügen Sie ein weiteres untergeordnetes Namensuffix, wie zum Beispiel *.sales.pearson.de, zu einem eindeutigen Namensuffix (hier *.pearson.de) hinzu, dann erbt das untergeordnete Namensuffix die Routingkonfiguration des eindeutigen Namensuffixes. Alle neuen Namensuffixe, die Sie nachträglich erstellen, werden im Dialogfeld Eigenschaften der Gesamtstrukturvertrauensstellung angezeigt, nachdem Sie die eindeutigen Namensuffixe überprüft haben. Das Routing dieser neuen Suffixe ist per Voreinstellung deaktiviert. Des Weiteren können Sie für Gesamtstrukturvertrauensstellungen einzelne Namensuffixe vom Weiterleiten ausschließen, indem Sie die Schaltfläche BEARBEITEN anklicken. Beachten Sie: Wenn Sie ein Namensuffix ausschließen, werden alle untergeordneten Namensuffixe mit ausgeschlossen.


269

HIN WEIS

MCSE Examen 70-294

Falls ein doppeltes Namensuffix gefunden wird, wird das Namensuffixrouting deaktiviert.

Leider kann es beim Erstellen von Gesamtstrukturvertrauensstellungen zu Konflikten hinsichtlich des Namensuffixroutings kommen. Diese Konflikte werden dann in der Registerkarte NAMENSUFFIXROUTING (siehe Abbildung 4.23) unter Status angezeigt. Sie werden vom Assistenten für neue Vertrauensstellungen aufgefordert, eine Protokolldatei abzuspeichern, aus der hervorgeht, welche Fehler aufgetreten sind. Sie können auch mit dem Befehlszeilenprogramm netdom.exe alle weitergeleiteten Namen auflisten und das Routing für NetBIOSNamen und SIDs aktivieren bzw. deaktivieren. Fehler können dann auftreten, wenn zum Beispiel die Domäne sales.de in beiden Gesamtstrukturen pearson.de und castro.de vorhanden ist. Benutzer haben nun innerhalb der Gesamtstruktur pearson.de (entsprechende Berechtigungen vorausgesetzt) Zugriff auf Ressourcen der Domäne sales.de, die innerhalb der eigenen Gesamtstruktur (pearson.de) vorhanden ist. Auf der anderen Seite wird Benutzern der Gesamtstruktur pearson.de der Zugriff auf Ressourcen in der Domäne sales.de, die sich in anderen Gesamtstrukturen (castro.de) befindet, verweigert.

Vertrauensstellungen über netdom trust Sie können analog zur Managementkonsole Active Directory-Domänen und -Vertrauensstellungen auch das Befehlszeilenprogramm netdom.exe für die Erstellung und Verwaltung der meisten Vertrauensstellungen verwenden. Das Dienstprogramm wird auch Windows Domain Manager genannt. Es gehört zum Lieferumfang der Windows Support-Tools, die sich auf der Installations-CD befinden. Zum Überprüfen, Zurücksetzen und Erstellen von Vertrauensstellungen zwischen Domänen verwenden Sie den Befehl netdom trust. Wie nachfolgend beschrieben, lässt sich der Befehl mit einer Reihe von Parametern starten. Weiterhin finden Sie neben den »ausgeschriebenen« Parametern noch die Kurzformen. Das |-Zeichen bedeutet in diesem Zusammenhang »oder«. NetDom trust

270

TrustingDomainName {/d: | /domain:} TrustedDomainName [{/ud: | /userd:}[Domain\]User [{/pd: | /passwordd:}{Password|*}] [{/uo: | /usero:}User] [{/po: | /passwordo:}{Password|*}] [/verify] [/reset] [/passwordt: NewRealmTrustPassword] [/add [/realm]] [/remove [/force]] [/twoway]


4 – Einrichten und Warten einer Active Directory-Infrastruktur [/kerberos] [/transitive[:{YES|NO}]] [/oneside:{TRUSTED|TRUSTING}] [/force] [/quarantine[:{YES | NO}]] [/namesuffixes:TrustName [/togglesuffix:#]] [/EnableSIDHistory[:{YES|NO}]] [/ForestTRANsitive[:{YES|NO}]] [/SelectiveAUTH[:{YES|NO}]] [/AddTLN: TopLevelName] [/AddTLNEX: TopLevelNameExclusion] [/RemoveTLN: TopLevelName] [/RemoveTLNEX: TopLevelNameExclusion] [{/help | /?}]

Tabelle 4.14 beschreibt die Befehlsoptionen: Parameter in Kurzform

Beschreibung

TrustingDomainName

Der DNS-Name der vertrauenden Domäne in der neuen Bereichsvertrauensstellung.

/d: TrustedDomainName

Der DNS-Name der Domäne, dem in der neuen Bereichsvertrauensstellung vertraut wird, bzw. der Name der vertrauten Domäne. Wenn Sie diesen Parameter weglassen, wird diejenige Domäne verwendet, der der aktuelle Computer (Domänencontroller) angehört.

/ud:[Domain\]User

Administratives Benutzerkonto, über das die Verbindung zur vertrauten Domäne hergestellt wird.

/pd:{Password|*}

Kennwort für die vertraute Domäne. Falls Sie kein Kennwort eingeben, werden Sie nach einem gefragt.

/uo:User

Administratives Benutzerkonto, über das die Verbindung zur vertrauenden Domäne hergestellt wird.

/po:{Password|*}

Kennwort für die vertrauende Domäne. Falls Sie kein Kennwort eingeben, werden Sie danach gefragt.

/verify

Prüft das Vertrauensgeheimnis zum sicheren Kanal, auf dem ein Vertrauensverhältnis basiert.

/reset

Setzt das Vertrauensgeheimnis zwischen vertrauten Domänen zurück. Ein Zurücksetzen (Reset) des Vertrauensgeheimnisses zwischen Domänencontroller und Arbeitsstation ist ebenso möglich.

/passwordt: NewRealmTrustPassword

Dies ist das Vertrauensstellungskennwort für die neue Bereichsvertrauensstellung. Dieses Kennwort muss mit dem Kennwort übereinstimmen, das für den Kerberos-Bereich verwendet wird.

/add

Erstellt eine neue Vertrauensstellung.

Tabelle 4.14: Befehlszeilenparameter des netdom trust-Befehls


271

MCSE Examen 70-294 Parameter in Kurzform

Beschreibung

/realm

Gibt in Verbindung mit /add und /passwordt an, dass die Vertrauensstellung für einen Nicht-Windows-KerberosBereich erstellt wird.

/remove

Entfernt eine Vertrauensstellung.

/force

In Verbindung mit dem Parameter /remove werden sowohl das Objekt für die vertraute Domäne als auch das Objekt für die angegebene Domäne aus der Gesamtstruktur gelöscht. Dieser Befehl wird zum Bereinigen von Domänen verwendet, die außer Betrieb genommen wurden und bei denen ein normales Entfernen eines Vertrauensverhältnisses nicht mehr möglich ist. Gründe hierfür sind zum Beispiel ein beschädigter Domänencontroller, der den sicheren Kanal bzw. das Vertrauensverhältnis auf seiner Seite nicht abbauen kann.

/twoway

Erstellt ein bidirektionales Vertrauensverhältnis.

/kerberos

In Verbindung mit /verify wird ein Kerberos-Protokoll zwischen einer Arbeitsstation und einer Zieldomäne verwendet.

/transitive[:{Yes|No}]

Gibt an, ob das Vertrauensverhältnis transitiver Art ist oder nicht. Dieser Parameter ist nur für einen Nicht-KerberosBereich gültig!

/oneside:{TRUSTED | TRUSTING}

Gibt an, dass das Vertrauensverhältnis nur auf einer Domäne eingerichtet (/add-Parameter) oder entfernt (/REMove-Parameter) wird. Daher wird dieser Parameter mit dem Wert TRUSTED nur in Verbindung mit dem /d (/domain)-Parameter verwendet. Bei TRUSTED ist weiterhin der /passwordParameter erforderlich.

/quarantine[:{YES | NO}]

Quarantäne-Parameter. Setzt oder löscht das QuarantäneAttribut der Domäne. Wenn kein Wert eingesetzt wird, wird der aktuelle Status angezeigt. Der Wert YES gibt an, dass nur SIDs von der direkten vertrauten Domäne für die Autorisierungsdaten akzeptiert werden. Die Autorisierungsdaten werden im Laufe der Authentifizierung von der vertrauenden Domäne zurückgesendet. Der Wert NO gibt an, dass jede SID für die Autorisierung akzeptiert wird. Der Wert NO ist die Standardeinstellung. Mehr zum Thema SID-Verlauf finden Sie in Kapitel 6.1.2.

/namesuffixes:TrustName

Zeigt eine Liste der gerouteten Namensuffixe für die Vertrauensverhältnisse auf der Domäne mit dem Wert TrustingDomainName (siehe oben). Die Parameter /usero und /passwordo können für die Authentifizierung verwendet werden. Der /domain-Parameter ist nicht erforderlich.

/togglesuffix:#

Ändert den Status des Namensuffixes in Verbindung mit dem Parameter /namesuffixes.

Tabelle 4.14: Befehlszeilenparameter des netdom trust-Befehls (Forts.)

272


4 – Einrichten und Warten einer Active Directory-Infrastruktur Parameter in Kurzform

Beschreibung

/EnableSIDHistory [:{YES | NO}]

Dieser Parameter ist nur für eine ausgehende Gesamtstrukturvertrauensstellung gültig und aktiviert (Wert YES) die SIDHistory. Weitere Informationen über diesen Vorgang finden Sie in diesem Kapitel im Abschnitt Namensuffixrouting bearbeiten.

/ForestTRANsitive [:{YES | NO}]

Gibt an, ob die Vertrauensstellung transitiv ist. Dieser Parameter ist nur für Bereichsvertrauensstellungen gültig, zum Beispiel für eine Kerberos-V5 Bereichsvertrauensstellung.

/SelectiveAUTH [:{YES | NO}]

Die Verwendung ist nur in ausgehenden externen und Strukturstammvertrauensstellungen erlaubt. Bei Angabe des Werts YES wird die Ausgewählte Authentifizierung (anstelle der Gesamtstrukturweiten Authentifizierung) verwendet.

/AddTLN:TopLevelName

Die Verwendung ist nur in transitiven Nicht-WindowsBereichsvertrauensstellungen gültig und kann nur für eine Stammdomäne eingerichtet werden. Der Wert TopLevelName entspricht dem DNS-Namen (Namensuffix) der Partnerdomäne.

/AddTLNEX: TopLevelNameExclusion

Die Verwendung ist nur in transitiven Nicht-WindowsBereichsvertrauensstellungen gültig und kann nur für eine Stammdomäne eingerichtet werden. Klammert das angegebene Namensuffix aus.

/RemoveTLN:TopLevelName

Die Verwendung ist nur in transitiven Nicht-WindowsBereichsvertrauensstellungen gültig und kann nur für eine Stammdomäne eingerichtet werden. Löscht das angegebene Suffix aus der Liste. Mit /RemoveTLN kann der Parameter /AddTLN wieder rückgängig gemacht werden.

/RemoveTLNEX: TopLevelNameExclusion

Die Verwendung ist nur in transitiven Nicht-WindowsBereichsvertrauensstellungen gültig und kann nur für eine Stammdomäne eingerichtet werden. Löscht die Ausklammerung eines Namensuffixes. Mit /RemoveTLNEX kann der Parameter /AddTLNEX wieder rückgängig gemacht werden.

/verbose

Zeigt eine ausführliche Ausgabe an, wenn das Ergebnis der Operation angezeigt wird. Per Default sehen Sie nur eine kurze Meldung.

/?

Zeigt einen Hilfetext an. Mit dem Zusatz /more lassen sich die Informationen in der Eingabeaufforderung seitenweise anzeigen.

Tabelle 4.14: Befehlszeilenparameter des netdom trust-Befehls (Forts.)


273

MCSE Examen 70-294

Beispiel: Sie möchten eine Bereichsvertrauensstellung zu einem Nicht-Windows-Kerberos-Bereich einrichten (zum Beispiel zu einem Linux-Kerberos-V.5-Bereich). Der kompatible KerberosBereich heißt pearson.de und die vertrauende Domäne castro.de. Analog zu Tabelle 4.14 setzt sich der Befehl so zusammen: Parameter

Wert

Wert im Beispiel

TrustingDomainName

Castro.de

/d

TrustedDomainName

Pearson.de

/PasswordT

NewRealmTrustPassword

Kennwort123

/add

-

-

/realm

-

-

Tabelle 4.15: Parameter und Werte des Befehls netdom trust

netdom trust castro.de /d:pearson.de /add /realm /PasswordT:Kennwort123

Beachten Sie, dass das Kennwort des Vertrauensverhältnisses mit dem Kennwort des Kerberos-Bereichs (Kerberos realm) übereinstimmt.

Fehlerursachen bei Vertrauensstellungen Folgende Fehler können in Verbindung mit Vertrauensstellungen auftreten: T Clients können nicht auf Ressourcen einer Domäne außerhalb der Gesamtstruktur zugreifen: Die Ursache liegt in einem Fehler in der externen Vertrauensstellung zwischen den Domänen. Lösung: Setzen Sie die Vertrauensstellung zwischen den Domänen zurück, und prüfen Sie diese. Soll eine externe Vertrauensstellung zu einer Windows NT 4.0-Domäne hergestellt werden, muss der Windows Server 2003-Domänencontroller, der die Rolle des PDC-Emulators innehat, verfügbar sein. T Fehler bei den Vertrauensstellungen zwischen Servern oder Arbeitsstationen. Die Ursache liegt bei der fehlenden Zeitsynchronisierung zwischen Domänencontrollern und Arbeitsstationen. Entweder ist der Server heruntergefahren, oder die Vertrauensstellung ist nicht mehr vorhanden. Lösung: Führen Sie Netdom.exe aus, um die Vertrauensstellung zwischen Computern zu überprüfen, zurückzusetzen oder einzurichten. T Fehler bei den Vertrauensstellungen zwischen Windows NT 4.0- und Active Directory-Domänen. Die Ursache liegt darin, dass der Domänencontroller mit der Rolle des PDC-Emulators nicht verfügbar ist bzw. keine Kenntnis über die Vertrauensstellungskennwörter erhält. Lösung: Führen Sie auch hier das Befehlszeilenprogramm Netdom.exe aus, um die Vertrauensstellung zuerst zu prüfen und anschließend ggf. per Batch zu bearbeiten. T Nach der Aktualisierung einer Windows NT 4.0-Domäne mit bestehenden Vertrauensstellungen auf diversen Active Directory-Domänen treten Probleme im Zusammenhang mit Vertrauensstellungen auf. Die Ursache liegt darin, dass nach der Aktualisierung der 274



Domäne die bestehenden Vertrauensstellungen zu Active Directory-Domänen weiterhin »alte« Windows NT 4.0-Vertrauensstellungen sind. Eine andere Möglichkeit ist die fehlende Kompatibilität mit IPSec (Internet Protocol Security). Lösung: Sie sollten nach der Aktualisierung auf Windows Server 2003 Active Directory alle bestehenden Vertrauensstellungen löschen und neu setzen. T Es kann keine Verbindung mit einem Windows 2000-Domänencontroller hergestellt werden. Die Ursache ist, dass Sie auf dem Windows 2000-Domänencontroller noch kein Service Pack 3 (oder höher) installiert haben. Lösung: Installieren Sie das entsprechende Service Pack. T Benutzer können bei externen Vertrauensstellungen nicht auf die Ressourcen zugreifen. Beachten Sie hier, dass die SID-Filterung per Voreinstellung aktiviert ist. Das bedeutet, dass Sie nur Benutzern und Gruppen der vertrauten Domäne (Gesamtstruktur) Berechtigungen auf Ressourcen in der vertrauenden Domäne zuweisen können. Sie dürfen nur eine Gruppe aus dem Bereich Universal verwenden, die Sie in der vertrauten Domäne erstellt haben.

4.3

Betriebsmasterrollen

Einige Einstellungen und Funktionen des Active Directory können nur von einer einzigen Instanz entschieden werden. Daher gibt es in einer Active Directory-Gesamtstruktur Domänencontroller, die besondere und definierte Rollen übernehmen. Darunter fallen Schemaänderungen und andere Funktionen. Diese besonderen Rollen werden als Betriebsmasterrollen oder Betriebsmasterfunktionen bezeichnet. Auf das Thema Betriebsmasterrollen ist in Kapitel 3.3.8 bereits hingewiesen worden. Dort lag allerdings der Schwerpunkt auf den Planungsaspekten, während in diesem Kapitel der Fokus auf der praktischen Verwaltung liegt. Insgesamt gibt es fünf verschiedene Betriebsmasterrollen. Voreingestellt bekommt der erste Domänencontroller der Gesamtstruktur alle fünf Rollen und der erste Domänencontroller einer untergeordneten Domäne drei Rollen zugewiesen. Da Sie diese Rollen auch auf andere Domänencontroller verschieben können, heißen sie auch Flexible Single Master Operation Roles (flexible Einzelmasterfunktionen) oder kurz FSMO-Rollen.

Abbildung 4.24: Darstellung der Betriebsmasterrollen am Beispiel einer Gesamtstruktur mit drei Domänen

4.3 Betriebsmasterrollen

275

MCSE Examen 70-294

Drei Betriebsmasterrollen sind in allen Domänen gleichermaßen vorhanden. Es sind folgende Rollen: T RID-Master T Infrastrukturmaster T PDC-Emulation Nur die Stammdomäne hat noch zwei zusätzliche Rollen: T Schemamaster

HIN WEIS

T Domänennamenmaster

Die Verfügbarkeit der Domänencontroller mit den Betriebsmasterrollen ist extrem wichtig. Sie können zwar eine Betriebsmasterrolle aus einem normalen Domänencontroller »rekonstruieren«, falls der ursprüngliche Betriebsmaster ausfällt, doch ist die Reparatur mit dem Kommandozeilenprogramm ntdsutil relativ aufwändig. Sie erhalten einen Produktionsausfall von einigen Minuten. Falls die Rekonstruktion nicht auf Anhieb klappt, können auch Stunden daraus werden. Als Konsequenz sollten Sie nach Möglichkeit hochwertige Hardware verwenden (RAID-1 + Hotspare). Führen Sie außerdem regelmäßige Sicherungen durch. (Dies sollte eigentlich Standard sein, wird in der Praxis aber leider oft vernachlässigt.)

4.3.1

Schemamaster

Die Rolle des Schemamasters (wie auch die des Domänennamenmasters) darf es nur einmal in jeder Gesamtstruktur geben. Der Schemamaster hostet die Hauptkopie des Schemas, das auf alle anderen Domänencontroller repliziert wird. Der Domänennamenmaster ist für das Hinzufügen und Entfernen von Domänen zuständig, damit nicht zufälligerweise zwei Domänen mit gleichem Namen eingerichtet werden. Auch Querverweise der Objekte im Partitionscontainer werden entsprechend der Domänen angepasst. Der Schemamaster wird insbesondere dann stark beansprucht, wenn neue Active Directoryintegrierte Applikationen, wie beispielsweise Exchange Server 2003 installiert werden. Diese Applikationen erweitern das Active Directory-Schema. Alle Schemaänderungen werden anschließend auf die Domänencontroller repliziert. Ein Ausfall des Schemamasters ist für den Netzwerkadministrator nicht erkennbar, da er nur dann beansprucht wird, wenn o.g. Aktionen auftreten. Bei einem langen Ausfall des Servers, können Sie einen sog. Standbyschema-Master verwenden. Dies ist ein Domänencontroller, dem diese Rolle zugewiesen wurde. Für die Benutzer ist ein temporärer Ausfall generell nicht erkennbar. Das Ändern der Schemamasterrolle können Sie am einfachsten im Snap-In Active DirectorySchema durchgeführt. Beachten Sie, dass Sie dieses Snap-In nachträglich einrichten müssen (siehe Übungsteil). Eine weitere Möglichkeit besteht darin, das Kommandozeilenprogramm ntdsutil zu verwenden. Dieses Dienstprogramm kann nicht nur die Rolle übertragen (ver276



schieben), sondern diese auch übernehmen (bei einem Ausfall des ursprünglichen Schemamasters). Um das Schema bearbeiten zu können, müssen Sie Mitglied der Gruppe SchemaAdmins sein.

Abbildung 4.25: Verschieben der Betriebsmasterrolle Schemamaster

Alternativ können Sie den Schemamaster mit folgendem Kommandozeilenbefehl identifizieren: dsquery server -hasfsmo schema

Die Option hasfsmo sucht die nachfolgend angegebene Betriebsmasterfunktion (hier schema). Für die Ausführung des Befehls benötigen Sie keine Administratorrechte.

4.3.2

Domänennamenmaster

Der Domänennamenmaster (auch als Domänennamen-Betriebsmaster bezeichnet) verwaltet das Erstellen und Entfernen von Domänen innerhalb der Gesamtstruktur. In dieser darf es immer nur einen Domänennamenmaster geben. Ein Ausfall des Domänennamenmasters wird erst dann erkannt, wenn eine neue Domäne zur Gesamtstruktur hinzugefügt oder eine Domäne entfernt wird. Für den Netzwerkbenutzer ist der Ausfall nicht zu erkennen. Sie können das Verschieben dieser Betriebsmasterrolle in der Verwaltungskonsole Active Directory-Domänen und -Vertrauensstellungen durchführen. Wie in Abbildung 4.26 gezeigt, verschieben Sie die Rolle auf einen anderen Domänencontroller der Stammdomäne. Eine Fehlerbehebung bzw. ein Verschieben ist ebenfalls mit dem Kommandozeilenprogramm ntdsutil möglich. Dieses Dienstprogramm kann nicht nur die Rolle übertragen (verschieben), sondern bei einem Ausfall auch die Rolle des ursprünglichen Domänennamenmasters übernehmen.


277

MCSE Examen 70-294

HIN WEIS

Abbildung 4.26: Verschieben des Domänennamenmasters auf einen anderen Domänencontroller der Stammdomäne

Der Domänennamenmaster muss in einer Gesamtstrukturfunktionsebene Windows 2000 als globaler Katalogserver aktiviert sein. In der Funktionsebene Windows Server 2003 ist dies allerdings nicht notwendig. Alternativ können Sie den Domänenmaster mit folgendem Kommandozeilenbefehl identifizieren: dsquery server -hasfsmo name

Die Option hasfsmo sucht die nachfolgend angegebene Betriebsmasterfunktion (hier name). Für die Ausführung des Befehls benötigen Sie keine Administratorrechte.

4.3.3

RID-Master

Der RID-Master gewährleistet die Eindeutigkeit der Objekte in der Domäne. Jedes Objekt wird anhand seiner SID (Security IDentifier, auch Sicherheits-ID genannt) eindeutig identifiziert. Der RID-Master hostet einen Pool von IDs, die für die Erstellung von Objekten verwendet werden. Da die IDs relativ zu der Domäne gehören, wird der Pool auch als RID-Pool (Relative IDentifier-Pool) der Domäne bezeichnet. Die einfachste Möglichkeit, die Betriebsmasterrolle zu verschieben, nutzt die Verwaltungskonsole Active Directory-Benutzer und -Computer. Wie in Abbildung 4.27 gezeigt, übertragen Sie die Rolle auf einen anderen Domänencontroller der jeweiligen Domäne. Die andere Möglichkeit besteht in der Verwendung des Kommandozeilenprogramms ntdsutil. Dieses Dienstprogramm kann nicht nur die Rolle übertragen (verschieben), sondern auch bei einem Ausfall des

278



ursprünglichen RID-Masters die Rolle einem anderen Domänencontroller übergeben. Sie verwenden dieses Tool ebenfalls im Fehlerfall. Netzwerkbenutzer werden von einem vorübergehenden Ausfall des RID-Masters nichts bemerken. Der Ausfall ist auch für Netzwerkadministratoren nicht transparent, es sei denn, sie erstellen neue Objekte in der Domäne und es sind keine relativen IDs (RIDs) mehr verfügbar. Fällt der RID-Master über längere Zeit aus, kann die Funktion von einem StandyRID-Master übernommen werden.

Abbildung 4.27: Verschieben des RID-Masters auf einen anderen Domänencontroller

Alternativ können Sie den RID-Master mit folgendem Kommandozeilenbefehl identifizieren: dsquery server -hasfsmo rid

Ein Domänencontroller, dessen RID-Masterfunktion übernommen (nicht verschoben!) wurde, darf nie wieder online geschaltet werden, da es sonst vorkommen kann, dass zwei RID-Master in der Domäne existieren.


279

ACH TUNG

Die Option hasfsmo sucht die nachfolgend angegebene Betriebsmasterfunktion (hier rid). Für die Ausführung des Befehls benötigen Sie keine Administratorrechte.

MCSE Examen 70-294

4.3.4

Infrastrukturmaster

Der Infrastrukturmaster stellt die Konsistenz der Objekte für alle Zwischendomänenoperationen sicher. Er wird somit nur für die Verwaltung von Verweisen auf Objekte in anderen Domänen benötigt. Sobald ein Verweis auf ein Objekt von einer anderen Domäne erstellt wird, beinhaltet dieser Verweis die GUID (Globaly Unique Identifier), die SID (Security Identifier) und den DN (Distinguished Name oder bestimmter Name) des Objekts. Falls Objekte verschoben werden, werden die Einträge entsprechend der Zieldomäne angepasst. Idealerweise sollte sich der Infrastrukturmaster im gleichen Standort befinden wie der globale Katalogserver, jedoch nicht auf dem gleichen Computergerät. Teilen Sie die Funktionen Infrastrukturmaster und globaler Katalogserver auf zwei Server auf. Sie müssen diesen Vorgang manuell und vor der Installation weiterer Domänen durchführen, wenn Ihre Gesamtstruktur mehr als eine Domäne besitzen soll, denn per Voreinstellung befinden sich der Infrastrukturmaster und der globale Katalog immer auf dem ersten Domänencontroller in der Stammdomäne. Falls sich beide Funktionen auf dem gleichen Server befinden, funktioniert die Rolle des Infrastrukturmasters nicht mehr. Die einfachste Möglichkeit, die Betriebsmasterrolle zu verschieben, ist durch die Verwaltungskonsole Active Directory-Benutzer und -Computer gegeben. Wie in Abbildung 4.28 gezeigt wird, übertragen Sie die Rolle auf einen anderen Domänencontroller der jeweiligen Domäne. Die andere Möglichkeit besteht in der Verwendung des Kommandozeilenprogramms ntdsutil. Dieses Dienstprogramm kann nicht nur die Rolle übertragen (verschieben), sondern auch bei einem Ausfall des ursprünglichen Betriebsmasters die Rolle des ursprünglichen Infrastrukturmasters übernehmen.

Abbildung 4.28: Verschieben des Infrastrukturmasters auf einen anderen Domänencontroller

280



Ein zeitweiliger Ausfall des Infrastrukturmasters ist für Netzwerkbenutzer nicht erkennbar. Lediglich beim Verschieben von Objekten fällt der Ausfall auf. Sie können den Infrastrukturmaster auf einen Domänencontroller übertragen, der nach Möglichkeit keinen globalen Katalog enthält. Falls Sie nur eine Domäne besitzen, ist die Rolle des Infrastrukturmasters (wie auch des globalen Katalogs) nicht von Bedeutung, da die Voraussetzung, dass mehrere Domänen existieren, wegfällt. Eine Fehlerbehebung mit dem Kommandozeilenprogramm ntdsutil ist ebenfalls möglich. Alternativ können Sie den Infrastrukturmaster mit folgendem Kommandozeilenbefehl identifizieren: dsquery server -hasfsmo infr

Die Option hasfsmo sucht die nachfolgend angegebene Betriebsmasterfunktion (hier infr). Für die Ausführung des Befehls benötigen Sie keine Administratorrechte.

4.3.5

PDC-Emulator

Die Rolle PDC-Emulation dient zur Abwärtskompatibilität mit Windows NT-Domänencontrollern. Ein Domänencontroller mit der Rolle PDC-Emulation emuliert einen primären Windows NT-Domänencontroller (PDC) der Versionen 3.51 und 4.0. Der PDC-Emulator kann Windows NT-Backup-Domänencontroller ansprechen, damit diese eine Aktualisierung der Verzeichnisdienste erhalten. Der PDC-Emulator kann folgende Aktionen steuern: T Synchronisation mit NT-Backup-Domänencontrollern T Kennwortänderungen für Windows NT-Clients T Hauptsuchdienstserver der Domäne (Domain Master Browser) T Alle PDC-Emulatoren der untergeordneten Domänen synchronisieren ihre Zeit mit dem PDC-Emulator der Stammdomäne. Falls Sie ein sehr großes Netzwerk mit Prä-Windows 2000-Clients und Windows NT-4.0Backup-Domänencontrollern besitzen, ist es vorteilhaft, die Rolle des PDC-Emulators auf einen separaten Domänencontroller zu verschieben. Der Ausfall des PDC-Emulators kann sich auf die Netzwerkbenutzer auswirken, wenn Sie noch Windows NT- oder Windows 95/98/ME-Clients (Prä-Windows 2000-Clients) in Ihrem Netzwerk betreiben. Im Fehlerfall müssen Sie ggf. schnell reagieren und die Rolle des PDCEmulators einem anderen Domänencontroller zuweisen. Die einfachste Möglichkeit, die Betriebsmasterrolle zu verschieben, ist die mit der Verwaltungskonsole Active Directory-Benutzer und -Computer. Wie in Abbildung 4.29 gezeigt, übertragen Sie die Rolle auf einen anderen Domänencontroller der jeweiligen Domäne. Die andere Möglichkeit besteht in der Verwendung des Kommandozeilenprogramms ntdsutil. Dieses Dienstprogramm kann nicht nur die Rolle übertragen (verschieben), sondern auch bei einem Ausfall des ursprünglichen Betriebsmasters die Rolle des ursprünglichen PDCEmulators übernehmen.


281

MCSE Examen 70-294

Abbildung 4.29: Verschieben der Betriebsmasterfunktion

Alternativ können Sie den PDC-Emulator mit folgendem Kommandozeilenbefehl identifizieren: dsquery server -hasfsmo pdc

Die Option hasfsmo sucht die nachfolgend angegebene Betriebsmasterfunktion (hier pdc). Für die Ausführung des Befehls benötigen Sie keine Administratorrechte.

4.3.6

Verwaltungsdienstprogramme

Neben den bereits bekannten Managementkonsolen können Sie eine Reihe anderer Programme verwenden, um die FSMO-Rollen zu überprüfen oder zu verändern. Darunter fallen folgende Programme (siehe auch Kapitel 4.2.2): T T T T T T

ntdsutil.exe dsquery server -hasfsmo netdom.exe Repadmin.exe Replmon.exe

Über WSH (Windows Scripting Host) können Sie die ADSI (Active Directory Services Interface) abfragen.

282



4.4

Standorte und Replikation

Standorte und Replikation richten sich nach der physischen Struktur von Active DirectoryDomänen. Beide Themen finden Sie daher auch in Kapitel 3, wo Sie die planungstechnischen Aspekte von Active Directory kennen gelernt haben. Das Kapitel 4.5 greift diese Aspekte wieder auf und stellt sie hier unter dem Gesichtspunkt der praktischen Verwaltung dar. Die Standorte werden über die Managementkonsole Active Directory-Standorte und -Dienste verwaltet.

4.4.1

Funktion

Die Bildung eines Standorts erleichtert die Authentifizierungen der dortigen Benutzer, da immer der zuerst reagierende Domänencontroller zur Authentifizierung verwendet wird. Die Leistung der Replikation der Domänencontroller untereinander ist innerhalb eines Standorts optimiert. Der Standort hat in der Regel die gleichen Grenzen wie ein normales lokales Netzwerk, es sei denn, Sie haben sehr schnelle WAN-Strecken, deren Geschwindigkeit mit einem LAN vergleichbar ist. Gruppieren Sie also alle Domänencontroller und Server in Ihrem Firmen-LAN zu einem gemeinsamen Standort. Der Standort ist von der logischen Gruppierung der Computer völlig unabhängig. Er ist ebenfalls von der Domänenstruktur unabhängig. Folglich kann ein Standort eine oder mehrere Domänen umfassen. Es ist auch zulässig, dass eine Domäne in LAN- und WAN-Strecken unterteilt ist. Es kann sich daher lohnen, die Domäne in unterschiedliche Standorte zu unterteilen. Mit den Standorten bilden Sie Replikationsgruppen, auch Routinggruppen genannt. Die Standorte untereinander sind mit sog. Standortverknüpfungen verbunden. Die externen Standortverknüpfungen regeln den Replikationsverkehr getrennt von den standortinternen Verknüpfungen, indem benutzerdefinierte Replikationszeiten und Intervalle angegeben werden können. Das Ziel von standortübergreifenden Verbindungen ist die Optimierung der benötigten Bandbreite auf der verwendeten Netzwerkleitung. Der folgende Vergleich demonstriert die unterschiedlichen Schwerpunkte der beiden Modelle: Schwerpunkt

Standortintern

Standortübergreifend

Optimiert auf

Geschwindigkeit

Netzwerkbandbreite

Replikationsverzögerung

15 Sekunden

Benutzerdefinierte Intervalle (zwischen 15 Minuten und 1 Woche)

Intervall der Zeit, bis der nächste Domänencontroller angesprochen wird

3 Sekunden

-

Replikationszeiten

Immer verfügbar

Benutzerdefiniert

Benachrichtigungen bei unmittelbaren Änderungen

Sofort

Keine, es werden die normalen Intervalle verwendet.

Komprimierung

keine

Ja, für Daten über 50 KB

Transportprotokoll

Remote Procedure Call (RPC)

IP (Internet Protocol) oder SMTP (Simple Mail Transfer Protocol)

Tabelle 4.16: Vergleich zwischen standortinterner und standortübergreifender Replikation

4.4 Standorte und Replikation

283

MCSE Examen 70-294

Beispiel Sie sehen am bereits bekannten Beispiel (siehe Kapitel 3.3.6) einer Organisation, die in zwei Standorte unterteilt ist. Die jeweiligen Standorte sind in der Location Hamburg und in der Location Berlin. Beide sind mit einer WAN-Strecke verbunden, die eine wesentlich geringere Bandbreite besitzt als die Location-internen Netze (1-GBit-Backbone und 100MB-LANs). Die WAN-Strecke hat eine Kapazität von 1 MBit SDSL. Sie ist bereits gut ausgelastet. Im Standort Hamburg befinden sich 3 Domänencontroller, und im Standort Berlin befinden sich 2 Domänencontroller. Die Domäne in Hamburg ist die Stammdomäne, während in Berlin eine untergeordnete Domäne eingerichtet ist. Um den Replikationsverkehr durch die WAN-Strecke möglichst gering zu halten, hat man sich für die Einrichtung von Standorten entschieden. Dies betrifft folgende Funktionen: T Normaler Replikationsverkehr der Domänencontroller T Replikationsverkehr zwischen den globalen Katalogservern, da in jedem Standort einer vorhanden ist. T Replikation von öffentlichen Ordnern von Exchange Server 2003

Abbildung 4.30: Standortverknüpfungen verbinden Standorte und optimieren den Replikationsverkehr.

284



Für die Einrichtung zweier Standorte werden folgende Informationen benötigt: T Name des neuen Standorts: Gewählt werden »Berlin« und »Hamburg«, T Netzwerk-IDs für alle IP-basierten Netzwerke T Informationen über die WAN-Leitungen zum anderen Standort: Gegebenenfalls kann eine Backup-Leitung eingerichtet werden. T Es wurde die Option gewählt, in jedem Standort einen globalen Katalogserver einzurichten (siehe auch Kapitel 3.3.7 und insbesondere Kapitel 3.4.7).

4.4.2

Verbindungsobjekte und Standortverknüpfungen

Wie bereits in Kapitel 3 angesprochen, erstellt der Microsoft-interne Prozess Knowledge Consistency Checker (KCC) automatisch sog. Verbindungsobjekte, sobald ein weiterer Domänencontroller der Gesamtstruktur beitritt. Der neue Domänencontroller wird zunächst automatisch in dem bestehenden Standort mit dem Namen Standardname-des-ersten-Standorts im Knoten SERVERS abgelegt (siehe Abbildung 4.31). Den Standortnamen können Sie zu einem späteren Zeitpunkt verändern. Sie können jedoch auch Verbindungsobjekte manuell erstellen, die dann nicht über den Knowledge Consistency Checker (KCC) verändert bzw. verwaltet werden. Wenn Sie ein Verbindungsobjekt verändern, das über den KCC erstellt wurde, konvertieren Sie dieses Objekt automatisch in ein manuelles Verbindungsobjekt. Diese Information ist wichtig, da Sie von diesem Zeitpunkt an für die Verwaltung des Verbindungsobjekts zu sorgen haben.

Abbildung 4.31: In dieser Konsole können Sie Verbindungsobjekte verwalten und erstellen.

Das Verbindungsobjekt ist ein Active Directory-Objekt, das die Replikation von einem Domänencontroller zum anderen repräsentiert. Der Domänencontroller kann nur jeweils Mitglied eines einzelnen Standorts sein und ist somit nur mit einem Serverobjekt im Active Directory vertreten. Jedes Standortserverobjekt hat untergeordnete NTDS Settings, die die Replikation


285

MCSE Examen 70-294

des jeweiligen Domänencontrollers innerhalb des Standorts bewirken. Die NTDS Settings sind ebenfalls in einem Objekt abgelegt. Das Verbindungsobjekt ist den NTDS Settings auf dem Zielserver untergeordnet. Damit eine Replikation zwischen den beiden Domänencontrollern stattfindet, muss ein Serverobjekt ein Verbindungsobjekt besitzen, das die eingehende Replikation vom Kommunikationspartner darstellt. Alle Replikationsverbindungen eines Domänencontrollers sind in den Verbindungsobjekten unter NTDS Settings gespeichert. Das Verbindungsobjekt beschreibt nicht nur die Replikation des Quellservers, sondern enthält auch den Replikationsplandienst. Der KCC ist ein betriebssystem-interner Prozess, der auf allen Domänencontrollern läuft und folgende Aufgaben hat: T Er generiert die Replikationstopologie der Gesamtstruktur. T Er generiert die Replikationstopologie innerhalb eines Standorts. T Er generiert die Replikationstopologie zwischen den Standorten. T Für jeden neuen Domänencontroller erstellt er gemäß der Replikationstopologie ein Verbindungsobjekt. Dies geschieht auch, wenn Domänencontroller von einem Standort zu anderen Standorten verschoben werden. T Er überprüft in Intervallen von 15 Minuten die Verfügbarkeit der Domänencontroller. T Domänencontroller werden automatisch vom Replikationsring entfernt, wenn sie nicht verfügbar sind (z.B. durch Ausfall). Verbindungsobjekte steuern nicht nur die Verbindungen bzw. die Replikation zu anderen Domänencontrollern, sondern auch die Aktivierung des globalen Katalogs. In den Eigenschaften der NTDS Settings können Sie die Funktion des globalen Katalogs mit der Aktivierung eines Kontrollkästchens einschalten.

Abbildung 4.32: Die Eigenschaften des NTDS-Settings bestimmen den globalen Katalogserver.

286



Innerhalb eines Standorts verläuft die Verbindung zwischen den Domänencontrollern immer in einem bidirektionalen Ring, der mit zusätzlichen Verbindungen verknüpft ist, damit Replikationsverzögerungen in großen Standorten vermieden werden. Weitere Informationen zur Replikation finden Sie in Kapitel 4.4.4. Zwischen den Standorten wird ein Spanning Tree eingerichtet, um einem Ausfall einer Standortverknüpfung vorzubeugen. Der KCC erstellt jedoch keine Shortcut-Verknüpfungen zwischen Standorten. Diese müssen – falls notwendig – benutzerdefiniert in der Managementkonsole und dort im NTDS-Knoten einrichtet werden. Standortverknüpfungen sind in der Konsole Active Directory-Standorte und -Dienste im Verwaltungsknoten INTER-SITE-TRANSPORT abgelegt. Dort gibt es zwei Objekte unter dem Inter-SiteTransport-Knoten: IP und SMTP, jeweils für die verwendeten Replikationsprotokolle. Standardmäßig wird dort die Verknüpfung DEFAULTIPSITELINK eingerichtet, auch ohne dass mehr als ein Standort Mitglied dieser Verknüpfung ist. Falls Sie das SMTP einsetzen wollen (oder müssen), dann müssen Sie im Knoten SMTP eine neue Standortverknüpfung einrichten. Verbindungsobjekte sind zur Replikation unerlässlich. Um eine Replikation auch über eine schnelle, zuverlässige und eine nicht schnelle, unzuverlässige Verbindung durchführen zu können, stehen zwei Protokolle (auch wenn es drei Einträge gibt) zur Verfügung: T IP – für eine standortinterne Replikation bei automatisch generierten Verbindungsobjekten: Verwendet wird hier RPC über IP! T RPC – Remoteprozeduraufrufe (Remote Procedure Call) für eine standortinterne und standortübergreifende zuverlässige Replikation bei benutzerdefinierten Verbindungsobjekten: Verwendet wird hier RPC über IP! T SMTP – Simple Mail Transfer Protocol für eine standortübergreifende unzuverlässige Replikation. Wählen Sie RPC über IP, wenn Sie eine zuverlässige Verbindung innerhalb und zwischen den Standorten besitzen. Bei RPC-Verbindungen findet eine synchrone Kommunikation statt, d.h., jede Datentransaktion muss abgeschlossen sein, bevor die nächste gestartet wird. Dieses Verfahren funktioniert nur bei schnellen und zuverlässigen Leitungen, da sonst Time-OutFehler auftreten können.

Falls Sie nur einen Domänencontroller eingerichtet haben, fehlen diese Verbindungsobjekte, da sie nicht gebraucht werden.


287

HIN WEIS

Die Alternative zu RPC-Verbindungen stellen SMTP-Verbindungen dar. Falls die Verbindung unzuverlässig ist (zum Beispiel über das Internet), kann sie verwendet werden. SMTPStandortverknüpfungen arbeiten asynchron, d. h,. eine Datentransaktion muss nicht zwingend abgeschlossen sein, bevor eine weitere gestartet werden kann. Eine Replikation nach Zeitplänen, wie bei RPC über IP, macht daher keinen Sinn. Verwenden Sie hier eine Zertifizierungsstelle, um die Authentizität der Verzeichnisaktualisierungen zu garantieren.

MCSE Examen 70-294

4.4.3

Standortverknüpfungsbrücke

Eine Standortverknüpfungsbrücke verbindet zwei oder mehrere Standortverknüpfungen. Mit ihnen richten Sie eine zusätzliche Transitivität zwischen Standortverknüpfungen ein. Standortverknüpfungen sind allerdings per Voreinstellung schon transitiv, d.h., Sie müssen Standortverknüpfungsbrücken nur selten einrichten. Wenn diese Transitivität funktioniert und eingerichtet ist, ist eine zusätzliche Standortverknüpfungsbrücke redundant. Sie hat keine nennenswerten Auswirkungen. Dieses Thema wurde bereits in Kapitel 3.4.7 aufgenommen. Folglich stellen Sie die Transitivität bei den Standortverknüpfungen aus und aktivieren eine Standortverknüpfungsbrücke, wie die folgenden Abbildungen zeigen.

Abbildung 4.33: Standortverknüpfungsbrücke zwischen drei Standorten

Abbildung 4.34: Standortverknüpfungsbrücke

288



4.4.4

Replikation

Wie in Kapitel 4.4.2, Verbindungsobjekte und Standortverknüpfungen, bereits beschrieben, sorgt der interne Prozess Konsistenzprüfung (KCC) für das Erzeugen der Replikationstopologie. Wie auch schon erwähnt wurde, verwenden Domänencontroller ab Windows 2000 Server eine Multimaster-Replikation. Das bedeutet, dass eine Aktualisierung von jedem Domänencontroller aus initiiert werden kann. Wie bereits auch schon erwähnt wurde, legt Windows Server 2003 Informationen in vier Partitionen ab: T Schemapartition – Objekte müssen auf alle Domänencontroller in sämtlichen Domänen der Gesamtstruktur repliziert werden. T Konfigurationspartition – Objekte müssen auf alle Domänencontroller in sämtlichen Domänen der Gesamtstruktur repliziert werden. T Domänenpartition – Objekte können nur auf Domänencontroller derselben Domäne repliziert werden. T Anwendungsverzeichnispartition – Für eine benutzerdefinierte Replikation Wenn Sie eine Änderung an Active Directory vornehmen und Objekte erstellen, löschen oder in irgendeiner Art und Weise modifizieren, dann werden die Objekte, ausgehend von demjenigen Domänencontroller, auf dem die Veränderung auftrat, in einem »Pull-Verfahren« repliziert. Die Replikation von Objekten und geänderten Attributen wird in zwei Kategorien unterteilt: in eine typische und in eine dringende (urgent) Replikation, je nachdem, wie wichtig die Information ist. Falls eine Änderung in der Active Directory-Datenbank auftritt, sendet der Quelldomänencontroller eine Meldung, dass sein Verzeichnisdatenspeicher neue Daten enthält. Sein Replikationspartner (der vorher durch den KCC bestimmt wurde) sendet daraufhin eine Anfrage zum Quelldomänencontroller, um diese neuen Daten zu empfangen. Dies führt er selbstverständlich nur dann durch, wenn er vorher nicht durch andere Domänencontroller die Aktualisierung erhalten hat. Typischerweise sendet der Quelldomänencontroller eine Änderungsmeldung (Change Notification) nach einer Verzögerung. Diese Änderung wird auch als Benachrichtigungsverzögerung (Notification Delay) bezeichnet. Die Meldungsverzögerung ist in Windows Server 2003 genau 15 Sekunden lang. Prinzipiell kann allerdings eine verzögerte Versendung zu sicherheitskritischen Situationen führen. Wenn Sie zum Beispiel ein Konto deaktivieren, Änderungen der Kennwortrichtlinien oder eine Kennwortänderung durchführen, dann muss diese Änderung so schnell wie möglich an alle Domänencontroller repliziert werden. Bei dieser unmittelbaren Replikation wird also die Aktualisierungsmeldung sofort gesendet ohne ein Intervall abzuwarten. Sie können die Notification Delay-Parameter verändern, wenn Sie die Replikation für eine bestimmte Anwendungsverzeichnispartition verändern möchten. Verwenden Sie hierfür die Eingabeaufforderung und das Dienstprogramm ntdsutil. Möchten Sie hingegen die normalen Meldungsverzögerungen verändern, müssen Sie dies in der Registrierung tun.


289

MCSE Examen 70-294

Benachrichtigungsverzögerungen und Anwendungspartitionen Das Dienstprogramm ntdsutil hat vielfältige Aufgaben. Es kann viele Einstellungen der Active Directory Services verändern und hilft daher auch bei vielen Fehlersituationen. Eine Möglichkeit, Anwendungspartitionen zu verwalten, ist die über die ntdsutil-Eingabeaufforderung domain management. Sie erhalten die verschiedenen ntdsutil-Ebenen immer dann, wenn Sie bestimmte Befehle eingeben, wie in diesem Fall die Eingabe domain management. Hilfreich ist in den verschiedenen Menüebenen des ntdsutil-Programms immer der Befehl help (oder »?«), der den Hilfetext anzeigt. Aus diesem entnehmen Sie auch, dass Sie jede Ebene mit einem Quit beenden können. Weitere Informationen zum ntdsutil-Programm finden Sie auch in Kapitel 6.1.5. domain management: help ? Add NC Replica %s %s

Connections Create NC %s %s

Delete NC %s

Help List List NC Information %s

List NC Replicas %s

Precreate %s %s

290

- Zeigt diese Hilfeinformationen an. - Fügt den Domänencontroller mit dem DNS-Namen %s2 vom Replikatsatz für die Anwendungsverzeichnispartition mit DN %s1 hinzu. Es wird der aktuelle Domänencontroller verwendet, wenn für %s2 "NULL" angegeben wird. - Verbindung mit einem bestimmten Domänencontroller herstellen - Erstellt eine Anwendungsverzeichnispartition mit Domänennamen "%s1" auf dem Domänencontroller mit dem DNS-Namen "%s2". Wenn %s2 mit "NULL" angegeben ist, wird der aktuell verbundene Domänencontroller verwendet. - Entfernt die Anwendungsverzeichnispartition mit DN %s vollständig vom Active Directory. - Zeigt diese Hilfeinformationen an. - Bekannte Namenskontexte auflisten - Zeigt die Referenzdomäne und Replikationsverzögerungen für die Anwendungsverzeichnispartition mit DN %s an. - Zeigt die Liste der Domänencontroller im Replikatsatz der Anwendungsverzeichnispartition mit DN %s an. - Erstellt ein Querverweisobjekt im Voraus für die Domäne oder die Anwendungsverzeichnispartition mit Domänenname %s1, so dass der Server



Quit Remove

Select Set NC

Set NC

mit DNS-Namen %s2 als ein Domänencontroller für die Domäne heraufgestuft werden kann oder eine Anwendungsverzeichnispartition erstellt wird. - Zum vorherigen Menü wechseln NC Replica %s %s - Löscht den Domänencontroller mit dem DNS-Namen %s2 vom Replikatsatz für die Anwendungsverzeichnispartition mit DN %s1. Es wird der aktuelle Domänencontroller verwendet, wenn für %s2 "NULL" angegeben wird. operation target - Standorte, Server, Domänen, Funktionen und Namenskontexte wählen Reference Domain %s %s - Setzt die Referenzdomäne der Anwendungsverzeichnispartition mit DN %s1 auf die Domäne mit DN %s2. Replicate Notification Delay %s %d %d - Setzt die Benachrichtigungsverzögerungen der Anwendungsverzeichnispartition mit DN %s auf %d1 und %d2 Sekunden, wobei %d1 die Verzögerung zwischen der Benachrichtigung über die Änderungen des ersten Domänencontrollers und %d2 die Verzögerung der Benachrichtigung der folgenden Domänencontrolleränderungen ist. Wenn Sie -1 entweder in %d1 oder %d2 durchlaufen, wird der Befehl die entsprechende Verzögerung nicht verändern (wenn Sie nur eine Verzögerung verändern.) Wenn Sie weitere negative Zahlen durchlaufen, wird der Befehl die Verzögerung löschen. Verzögerungen werden immer auf Domain Naming Master gesetzt.

Listing 4.1: Bildschirmausgabe der Domain Management-Ebene des ntdsutil-Programms

Wenn Sie zum Beispiel eine Anwendungsverzeichnispartition erstellen wollen, müssen Sie Folgendes eingeben: create nc

Wollen Sie zum Beispiel die Benachrichtigungsverzögerungen von 30 und 15 Sekunden für die Anwendungspartition einstellen, geben Sie Folgendes ein: Set NC Replicate Notification Delay 30 15


291

MCSE Examen 70-294

Beachten Sie auch, dass unmittelbare Replikationen nicht über Standortgrenzen hinweg stattfinden. Wenn der Administrator des Quelldomänencontrollers die Änderungen sofort wirksam werden lassen will, bleibt ihm nichts anderes übrig, als die Replikation manuell anzustoßen. Abbildung 4.35 zeigt Ihnen ein Beispiel einer Multimaster-Replikation anhand dreier Domänencontroller. Der Domänencontroller DC-1 sendet ein sog. originating Update zu seinen direkten Replikationspartnern DC-2 und DC-3. Diese fordern das originating Update von dem Quelldomänencontroller an und definieren das erhaltene Update als repliziertes Update (replicated update). Dieses replizierte Update dürfen DC-2 und DC-3 nach der Verzögerungszeit von 15 Sekunden wiederum ihren Replikationspartnern zusenden. Die Aktualität der Informationen bzw. der replizierten Objekte wird von der sog. Update Sequence Number (USN) gewährleistet. Das Objekt mit der höchsten USN ist immer das aktuellere. Bei einer Anzahl von 5 Hops dauert eine typische Replikation demnach 5 x 15s = 75s.

Abbildung 4.35: Mulitmaster-Replikation am Beispiel von einen »Hop«

Bei der Replikation können immer Konflikte entstehen, die die Konsistenz der Verzeichnisdatenbank gefährden. Aus diesem Grund pflegt das Active Directory noch zusätzlich sog. Globaly Unique Stamps, die aus einer Versionsnummer, einem Zeitstempel und der GUID (Global Unique IDentifier) des Objekts bestehen. Es können Konflikte entstehen, wenn gleichzeitig von Administratoren, die an verschiedenen Domänencontrollern arbeiten, Objektänderungen vorgenommen werden. Die neuen Objekte erhalten eine um den Zähler 1 erhöhte USN. Jeder Domänencontroller möchte nun, dass alle anderen Domänencontroller das geänderte Objekt erhalten, damit alle Active DirectoryDatenbanken up to date sind. Beide Domänencontroller geben eine Aktualisierungsmeldung (Change Notification) heraus. Die empfangenden Zieldomänencontroller müssen entscheiden, welches Objekt das aktuellere ist und welche Änderung sie akzeptieren. Normalerweise 292



ist das Objekt mit der höchsten USN das aktuellere. Bei den neuen aktualisierten Objekten entscheidet nun die Höhe der USN und dann der Zeitstempel. Da es unwahrscheinlich ist, dass der Zeitstempel und die USN aller geänderten Objekte gleich groß sind, vermeidet diese Lösung Replikationskonflikte.

Dies könnte Ihre Prüfungsfrage sein: Was passiert, wenn ein Administrator die OU löscht und zur gleichen Zeit ein anderer Administrator im gleichen Objekt 20 Benutzer einrichtet? Was geschieht mit den neu erstellten Objekten? Sie finden sie anschließend im Container LostAndFound. Von dort aus können Sie sie in andere Container verschieben. Als Konsequenz bleibt zusammenzufassen: T Sicherheitskritische Änderungen werden standortintern sofort repliziert. T Normale Änderungen werden standortintern frühestens nach 15 Sekunden auf den nächsten Replikationspartner repliziert. T Alle Änderungen unterliegen standortübergreifend den Einstellungen der Standortverknüpfung. Eine Änderung kann frühestens in 15 Minuten durchgeführt werden. T Konflikte werden durch Update Sequence Numbers (USNs) und Globaly Unique Stamps vermieden.

Auswirkungen einer Aktualisierung von Windows 2000 Active Directory auf einWindows Server 2003-basierendes Active Directory Bei einer Aktualisierung verwenden Sie die Domänenfunktionsebenen Windows 2000 bzw. die Gesamtstrukturfunktionsebene Windows 2000. Diese Funktionsebenen ermöglichen einen Betrieb von Domänencontrollern beider Produktversionen. Die Domänencontroller replizieren Daten in einem Intervall von 300/30, was bedeutet, dass alle 300 Sekunden nach dem Auftreten eines Ereignisses eine Replikationsankündigung an Replikationspartner (Change Notification-Signal) ausgesendet wird, und zwar bei einer Verzögerungszeit von 30 Sekunden, bevor der nächste Domänencontroller angesprochen wird, falls der erste Aufruf fehlschlägt.


293

TIPP

Es können auch Konflikte entstehen, wenn ein Administrator eine untergeordnete Organisationseinheit erstellt und ein anderer Administrator die dem neuen Objekt übergeordnete Organisationseinheit löscht. Mit der zweiten Aktion wäre der neuen Organisationseinheit ihre übergeordnete Organisationseinheit weggenommen. Dieses Problem wird dadurch gelöst, dass die neuen Objekte in dem Container LostAndFound abgelegt werden. Sie finden dort aber lediglich das neu erstellte Fragment.

MCSE Examen 70-294

Sobald die Gesamtstrukturfunktionsebene auf Windows Server 2003 erhöht wird, verringert sich die Replikationsfrequenz zu der Standardeinstellung 15/3. Dies bedeutet, dass alle 15 Sekunden nach dem Auftreten eines Ereignisses eine Änderung repliziert werden kann und der Domänencontroller nur 3 Sekunden wartet, bevor er einen weiteren Domänencontroller aufruft, falls der erste Aufruf fehlschlägt. Das Verzögerungsintervall verhindert auch hier, dass der Quelldomänencontroller mit gleichzeitigen Aktualisierungsanforderungen von seinen Replikationspartnern überflutet wird. Sie sollten allerdings die »langsame« Replikationsfrequenz auf Windows 2000-Servern nicht verkleinern, weil diese Änderung nicht zwangläufig bewirkt, dass auch bei Windows Server 2003-basierten Domänencontrollern diese Änderung aktiv wird. Sie müssen – falls Sie es dennoch tun sollten, die Replikationsfrequenz auch auf den Windows Server 2003basierten Domänencontrollern manuell verkleinern. Statt der manuellen Verkleinerung der Intervalle sollten Sie jedoch die Migration zu einer Windows Server 2003-basierten Domäne anstreben. Die folgenden Aktionen sind in Windows 2000-Domänen keine unmittelbaren Replikationen und werden im 300/30-Intervall gesendet: T Ändern der Sicherheitsrichtlinien für gesperrte Konten T Ändern der Sicherheitsrichtlinien für Domänenkennwörter T Ändern eines Kennworts eines Computerkontos T Kennwörter für Vertrauensverhältnisse

4.4.5

Bridgeheadserver

Neben den bereits in Kapitel 4.4.2 beschriebenen Aufgaben bestimmt der KCC automatisch einen sog. Bridgeheadserver in einem Standort. Der Bridgeheadserver ist für den standortübergreifenden Transport der Replikationsdaten verantwortlich. Er arbeitet wie ein Brückenkopf zwischen den Standorten, indem er den Replikationsverkehr bündelt und plant. Der KCC erstellt auch automatisch Verbindungsobjekte zwischen den Bridgeheadservern. Sobald er Aktualisierungen von anderen Bridgeheadservern erhält, leitet er diese an seine standortinternen Domänencontroller weiter. Um eine optimale physische Verbindung zu dem anderen Domänencontroller des Partnerstandorts zu konfigurieren, können Sie den bevorzugten Bridgeheadserver angeben. Um bei Fehlern eine Redundanz zu erreichen, können Sie auch mehrere sog. bevorzugte Bridgeheadserver angeben, wobei Sie allerdings beachten sollten, dass immer nur einer aktiv wird. Diese Vorgehensweise ist empfehlenswert, da der KCC keinen Bridgeheadserver mehr automatisch auswählt, wenn Sie einen bevorzugten Bridgeheadserver angegeben haben. Wurden keine weiteren Bridgeheadserver angegeben, kann bei dem Ausfall des bevorzugten Bridgeheadservers kein anderer Server mehr angesprochen werden. Es findet also keine Replikation mehr statt.

294



Folgende zwei Fälle resultieren aus den oben genannten Überlegungen: 1. Sie konfigurieren keinen Bridgeheadserver und lassen einen automatisch auswählen. Vorteil: Falls ein Server ausfällt, wird ein anderer verwendet. Nachteil: Die Netzwerktopologie kann u.U. nicht optimal ausgenutzt werden. 2. Sie konfigurieren mehrere bevorzugte Bridgeheadserver. Vorteil: Die Netzwerktopologie kann besser ausgenutzt werden. Nachteil: Bei einem Ausfall aller bevorzugten Bridgeheadserver findet keine Replikation statt. Das Einrichten eines bevorzugten Bridgeheadservers führen Sie im Snap-In Active DirectoryStandorte und -Dienste aus. Dort können Sie in den Eigenschaften des betreffenden Servers den Server als bevorzugten Bridgeheadserver für die Protokolle IP und/oder SMTP (Simple Mail Transfer Protocol) einstellen. Bedenken Sie, dass Sie für jeden bevorzugten Server diese Einstellung manuell in den Eigenschafen des Serverobjekts vornehmen müssen.

4.4.6

Lizenzserver

Das Überwachen von Softwarelizenzbestimmungen für Windows Server 2003 wird anhand eines Lizenzservers im Standort durchgeführt. Dieser wird auch als Standortlizenzserver bezeichnet. Er wird vom Lizenzprotokolldienst derjenigen Server angesprochen, die sich im gleichen Standort befinden. Sie verwenden den Windows Server 2003-Dienst SysmonLog (smlogsvc.exe), um die Lizenzinformationen zum Standortlizenzserver zu senden. Dieser Dienst gibt auch Meldungen über den Lizenzstatus, wie Warnungen etc. heraus. Ein Administrator kann aus der Programmgruppe START/VERWALTUNG Lizenzinformationen verwalten, die der Standortlizenzserver von den Servern des Standorts erhalten hat. Das Einrichten und Verwalten von Standortlizenzservern führen Sie in der Konsole Active Directory-Standorte und -Dienste aus (siehe Abbildung 4.36). Der voreingestellte Knoten heißt für die deutsche Version immer STANDARDNAME-DES-ERSTEN-STANDORTS. Unter diesem Knoten finden Sie auch die Licensing Site Settings des Standorts (Site).

Abbildung 4.36: Die Lizenzierungseinstellungen können nur im Knoten <Standardname des ersten Standorts> bearbeitet werden.


295

MCSE Examen 70-294

In dem Knoten SERVERS finden Sie alle Server dieses Standorts alphabetisch aufgelistet. Sie finden demnach nicht nur Domänencontroller, sondern auch Mitgliedsserver. Im Falle des Lizenzservers können Sie auch einem Nicht-Domänencontroller diese Rolle zuweisen. Eine optimale Einstellung erreichen Sie, wenn Sie den Standortlizenzserver und einen Domänencontroller im gleichen Standort platzieren.

Abbildung 4.37: Einrichten eines Standortlizenzservers

4.4.7

Globaler Katalogserver und Zwischenspeicherung der universellen Gruppenmitgliedschaften

Falls Benutzer sich bei einer Domäne anmelden, die nicht ihre Kontendomäne ist, benötigt der authentifizierende Domänencontroller Informationen über die universellen Gruppenmitgliedschaften der jeweiligen Benutzer. Darüber hinaus verwenden Dienste und Anwendungen die Datenbank des globalen Katalogs als Referenz. Innerhalb eines Standorts stehen dem Administrator zwei Konzepte zur Verfügung: ein globaler Katalog und das Zwischenspeichern von universellen Gruppenmitgliedschaften.

Globaler Katalog Der globale Katalog dient als gemeinsame Datenbank für alle Domänen in der Gesamtstruktur. In ihm sind die wichtigsten Informationen über die vorhandenen Objekte und Attribute enthalten. Seine Aufgabe ist mit einem Glossar in einem Buch vergleichbar. Wie Sie bereits schon in Kapitel 3 gelernt haben, stellt eine Domäne einen abgeschlossenen Sicherheitsbereich dar. Nur durch Vertrauensverhältnisse kann ein Zugriff auf Ressourcen außerhalb dieses Sicherheitsbereichs, d.h. außerhalb der Kontendomäne eines Benutzers, erfolgen. Eine Gesamtstruktur kann eine Vielzahl von Domänen aufweisen, was eine Suche nach den Objekten erschwert.

296



Hier kommt die Rolle eines globalen Katalogs zum Tragen: Der globale Katalogserver speichert zweierlei Dinge: T Ein vollständiges Replikat aller Objektattribute des eigenen Verzeichnisses der Domäne. T Ein Teilreplikat aller Objektattribute von anderen Domänen des Verzeichnisses (Gesamtstruktur). Im Teilreplikat sind alle wichtigen Eigenschaften enthalten, die notwendig sind, um eine Ressource in einer remoten Domäne anzusprechen. Sie verwenden den globalen Katalog für: T Das Auffinden von Objekten der Gesamtstruktur T Das lokale Anmelden eines Benutzers, der in einer anderen Domäne oder Gesamtstruktur sein Konto hat T Die Bereithaltung von Gruppenmitgliedschaften von Gruppen des Bereichs Universal Der globale Katalog wird per Voreinstellung auf dem ersten Domänencontroller in der Stammdomäne eingerichtet. Um diesen zu entlasten, kann diese Funktion auf einen anderen Domänencontroller übertragen werden. Um eine Fehlertoleranz oder einen Lastenausgleich in einem zweiten Standort zu gewährleisten, können Sie auch weitere globale Katalogserver einrichten. Hinsichtlich der Größe des Katalogs und der Anzahl der globalen Katalogserver können Sie sich nach den Empfehlungen des Kapitels 3.4.7 richten. Einen globalen Katalogserver können Sie durch Aktivierung/Deaktivierung eines Kontrollkästchens (siehe Abbildung 4.38) einrichten bzw. löschen. Es ist nicht zulässig, alle globalen Katalogserver in einer Gesamtstruktur zu entfernen. Möchten Sie das dennoch tun, werden Sie vom Betriebssystem entsprechend informiert.

Abbildung 4.38: Definieren eines globalen Katalogservers (siehe auch Kapitel 4.4.2, Verbindungsobjekte und Standortverknüpfungen)


297

MCSE Examen 70-294

Der globale Katalog wird insbesondere bei der Verwendung von Exchange 2000 Server und Exchange Server 2003 erweitert. Sie können allerdings selbst Ihren globalen Katalog anpassen, um zusätzliche Attribute hinzuzufügen. Beachten Sie jedoch, dass ein Erweitern auch eine Belastung für die Computerhardware und das Netzwerk bedeutet. Sie sollten daher nur Attribute dem Katalog hinzufügen, die häufig abgefragt werden und von allen Benutzern in der Gesamtstruktur benötigt werden. Es wird dringend empfohlen, globale Gruppen oder universelle Gruppen anstelle von lokalen Domänengruppen zu verwenden, wenn Sie Berechtigungen für Verzeichnispartitionsobjekte der Domäne angeben. Bei der Entscheidung für oder gegen die Erweiterung von Attributen im globalen Katalog sollten Sie das höhere Replikationsaufkommen und den höheren Speicherbedarf gegen eine mögliche Beschleunigung von Suchabfragen abwägen. Das Hinzufügen von Attributen zum globalen Katalog führen Sie im Snap-In Active Directory-Schema aus. Das Ändern der Eigenschaften des Attributs wird durch Aktivieren des Kontrollkästchens Attribut in den globalen Katalog replizieren ausgeführt (siehe Abbildung 4.39).

Abbildung 4.39: Wichtige Attribute wie das userPrinzipalName-Attribut werden in den globalen Katalog repliziert.

Falls Sie nicht die neue Funktionsebene Windows Server 2003 festgelegt haben, müssen Sie eine vollständige Synchronisierung des globalen Katalogs in Kauf nehmen, wenn Sie ein neues Attribut zum Katalog hinzufügen. Um die Konsequenzen zu verdeutlichen: Falls Sie nur ein einziges Attribut verändern oder hinzufügen, werden alle bereits vorhandenen Attribute auf alle Domänencontroller synchronisiert, was bedeutet, dass alle Domänendaten in sämtlichen Domänen der Gesamtstruktur vollständig synchronisiert werden. In weit verzweigten Domänenstrukturen wird die Netzwerklast in Folge dessen signifikant ansteigen. 298


Sie sollten einen Domänencontroller nicht so konfigurieren, dass er gleichzeitig die Rolle eines globalen Katalogservers und die eines Infrastrukturmasters ausführt. Diese Überlegung gilt jedoch nur bei mehreren Domänen und nicht für ein Ein-Domänenmodell! Zwischenspeichern von universellen Gruppenmitgliedschaften Eine Neuerung und Verbesserung von Windows Server 2003 verspricht das Zwischenspeichern von universellen Gruppenmitgliedschaften, wie Abbildung 4.40 verdeutlicht. Mit universellen Gruppen sind Gruppen vom Bereich Universal gemeint. Universelle Gruppen sind für den domänenweiten Zugriff auf Ressourcen wichtig. Das Cachen dieser Informationen verursacht nur einen einmaligen Datenverkehr über die WAN-Strecke und lohnt sich daher nur bei geringen Benutzeranzahlen oder wenn die Benutzer ihren Standort nicht oder nur selten wechseln.

Abbildung 4.40: Aktivieren der Funktion zum Zwischenspeichern der universellen Gruppenmitgliedschaft.

Daher benötigt der Domänencontroller später (vorausgesetzt, die Informationen sind im Cache) keine weitere Verbindung zum globalen Katalogserver. Der Cache wird gemäß dem Replikationszeitplan aktualisiert. Das Zwischenspeichern von universellen Gruppen – wie 4.4 Standorte und Replikation

299

ACH TUNG


MCSE Examen 70-294

auch ein Einrichten eines weiteren globalen Katalogservers – muss in jedem Standort manuell eingerichtet werden und ist ein neues Feature von Windows Server 2003. Die Standardeinstellung für das Aktualisierungsintervall beträgt 8 Stunden, d.h., alle 8 Stunden wird der Cache aktualisiert. Für diesen Vorgang sendet der Domänencontroller eine Bestätigungsanforderung von Mitgliedschaften einer universellen Gruppe zum globalen Katalogserver. Maximal 500 Gruppenmitgliedschaften können gleichzeitig aktualisiert werden. Der größte Nachteil dieses Features – neben der Verwendung bei geringen Benutzerzahlen – ist das mangelnde Zusammenspiel mit Exchange Server Version 2000 und 2003. Exchange benötigt zwingend einen Zugriff auf einen globalen Katalogserver, da Postfächer und andere Attribute über den globalen Katalog aufgelöst werden. Insbesondere Adressbücher werden im globalen Katalog abgelegt. Falls Sie einen Exchange Server einsetzen, ist das Zwischenspeichern von universellen Gruppenmitgliedschaften keine gute Lösung. Diese Einstellung bringt Ihnen folgende Vorteile: T Die Anmeldezeiten verkürzen sich bei Benutzern fremder Domänen derselben Gesamtstruktur und bei Benutzern von vertrauten Gesamtstrukturen. T Die Hardwareanforderungen verringern sich. T Die Belastung der Netzwerkbandbreite verringert sich. Folgende Nachteile entstehen: T Das Verfahren eignet sich nur für wenige Anwender, die ihren Standort nicht oder nur selten wechseln.

HIN WEIS

T Das Verfahren ist nicht empfehlenswert bei Windows Exchange 2000 Server oder Exchange Server 2003.

Falls eine Anwendung Anfragen an den globalen Katalogserver über den Port 3268 sendet, darf das Zwischenspeichern von universellen Gruppenmitgliedschaften nicht verwendet werden, da es diesen Port nicht unterstützt.

4.4.8

Standorterstellung

Die Konfiguration von Standorten wird über die Konsole Active Directory-Standorte und -Dienste, die sich der Programmgruppe Verwaltung befindet, durchgeführt. Die Standortnamen sollten sich nach Möglichkeit nach der Namenskonvention für das Internet richten. Sie können Umlaute dennoch verwenden, wenn Sie ausschließlich Microsoft-DNS-Server verwenden. Falls die Namensauflösung nicht einwandfrei funktioniert, kann ein Computer im Standort nicht mit anderen Nicht-Microsoft-(oder Windows NT-)Netzen zusammenarbeiten.

300



Abbildung 4.41: So könnte eine Standortkonfiguration mit je einem Domänencontroller pro Standort aussehen (jeder Standort besitzt ein Subnetz).

Für die Einrichtung sind folgende Schritte notwendig: Erstellen eines neuen Standorts und Umbenennen des voreingestellten Standorts.

2

Erstellen von Subnetzen (mindestens pro Standort ein Subnetz)

3

Verknüpfen der jeweiligen Subnetze mit den dazu gehörenden Standorten

4

Verschieben der jeweiligen Domänencontroller in die entsprechenden Standorte (passend zum Subnetz, in dem sie sich befinden)

5

Einstellen und Konfigurieren der Standortverknüpfung bzw. des Inter-Site Transports (bevorzugterweise IP)

6

Konfigurieren der Replikation bzw. der Verbindungsobjekte

7

Einrichtung von globalen Katalogservern bei Multidomänen

8

Einrichtung eines Standortlizenzservers

HIN WEIS

1

Die praktische Vorgehensweise entnehmen Sie bitte der Übung.


301

MCSE Examen 70-294

4.4.9

Fehlersuche bei Replikation und Konfiguration

Das Überprüfen der Replikation dient zur Identifizierung von Schwachstellen, die zum Beispiel durch fehlerhafte Netzwerkelemente (wie Netzwerkkarten, Switches etc.) hervorgerufen werden können.

Erzwingen eines Replikationsvorgangs Der Replikationsvorgang von einem Domänencontroller zu seinem direkten Replikationspartner ist im Verbindungsobjekt abgelegt. Bei automatischen und manuell gesetzten Verbindungsobjekten kann eine Replikation zum betreffenden Server standortintern oder standortübergreifend erfolgen (siehe Abbildung 4.42). Insbesondere bei standortübergreifenden Replikationen ist die erzwungene Replikation eine gute Option, weil Sie dann sofort alle neuen Informationen am anderen Standort erhalten und nicht auf ein langes Intervall (15 Minuten bis 1 Woche) warten müssen.

Abbildung 4.42: Erzwingen einer Replikation (siehe auch die Übung Einrichten eines Standorts)

Alternativ können Sie im Dienstprogramm Replikationsmonitor (siehe Abbildung 4.43) eine Replikation erzwingen oder alternativ Repadmin /replicate verwenden.

Abbildung 4.43: Auszug aus dem Replikationsmonitor

302



Active Directory Replikationsmonitor

Leider erhalten Sie nach der Installation der Support-Tools keinen Eintrag in der Programmgruppe START/ALLE PROGRAMME/Windows Support Tools. Wir können Ihnen daher empfehlen, einen entsprechenden Link in diese Programmgruppe zu setzen. Öffnen Sie hierfür die Eingabeaufforderung (Command Prompt) in der o.g. Programmgruppe: Sie befinden sich dann im Verzeichnis :\Programme\Support Tools (es sei denn, Sie haben einen anderen Pfad bei der Installation gewählt). Rufen Sie das Programm durch Eingabe von Replmon auf. Sie können mit dem Replikationsmonitor folgende Aufgaben durchführen: T Suchen nach Replikationsfehlern auf dem Domänencontroller – Eine Überprüfung wird getriggert. Der Status wird sofort in einem Dialogfenster angezeigt. T Anzeigen des Update Status für den betreffenden Server (siehe Abbildung 4.44).

Abbildung 4.44: Überprüfung der Replikation anhand der Zeit und der USN im Replikationsmonitor (siehe auch die Übung »Einrichten eines Standorts«)

T Überprüfung der Replikationstopologie – Eine Überprüfung wird getriggert. Der Status wird sofort in einem Dialogfenster angezeigt.


303

TIPP

Das Programm Replmon ist vielleicht das schönste und zugleich bedeutendste Überwachungsprogramm für Standorte. Sie können mit der grafischen Oberfläche sowohl den Status der Replikation und der Domänencontroller als auch die FSMO-Rollen erkennen. Replmon ist Bestandteil der Windows Support-Tools, die sich auf der Installations-CD von Windows Server 2003 befinden.

MCSE Examen 70-294

T Synchronisieren mit jeder Verzeichnispartition, die sich auf den betreffenden Domänencontrollern befindet – Mit umfangreichen Optionen wird eine Replikation gestartet. Die Ergebnisse werden in einer Protokolldatei aufgezeichnet. T Generieren eines Statusreports T Anzeigen aller Domänencontroller in der Domäne – In einem Dialogfenster sind alle Domänencontroller der entsprechenden Domäne aufgelistet. T Anzeigen der Replikationstopologie – Hier erhalten Sie eine grafische Darstellung der Domänencontroller und deren Verbindungen. Die Verbindungen sind durch Linien dargestellt, die an Serversymbolen enden. T Anzeigen des GPO- (Group Policy Objekt)-Status T Anzeigen der laufenden Performance-Daten – Leistungsindikatoren (Performance Counter) müssen in den Optionen konfiguriert werden. Vergleichen Sie dies auch mit der Verwendung des Dienstprogramms Perfmon.exe. T Anzeigen aller globalen Katalogserver in der Gesamtstruktur – In einem Dialogfenster sind alle Katalogserver der Gesamtstruktur aufgelistet. T Anzeigen von Bridgeheadservern und deren Verbindungsstatus (siehe Abbildung 4.45)

Abbildung 4.45: Überprüfung der Standortverknüpfung des Bridgeheadservers

T Anzeigen von Vertrauensverhältnissen T Anzeigen von Attribut-Metadaten für ein bestimmtes Active Directory-Objekt T Protokolldateien erstellen (automatisch), aufrufen und löschen T Anzeigen der Eigenschaften eines Domänencontrollers (siehe Abbildung 4.46) mit seiner TCP/IP-Konfiguration, seinen FSMO-Rollen und seinem Replikationsstatus

304



Abbildung 4.46: Überprüfung der FSMO-Rollen

Sie können eine Replikation unter verschiedenen Aspekten initiieren. Hierfür müssen Sie auf die betreffenden Domänencontroller (siehe Abbildung 4.43) klicken und eine Replikation erzwingen. Wählen Sie die Option Synchronize Each Directory with All Servers aus, und Sie können folgende Replikationstypen verwenden (auch Mehrfachauswahlen sind möglich): T Disable transitive replication – Deaktivieren der transitiven Replikation. Die Synchronisation wird nur mit den betreffenden Servern stattfinden. T Push Modus – Über einer transitiven Replikation werden Änderungen von dem ausgesuchten Server auf alle Replikationspartner geschickt. Diese Option kehrt die voreingestellte Methode (Pull Mode) um. T Cross site boundaries – Replikation über Standortgrenzen hinweg. In der Voreinstellung sind nur Server berücksichtigt, die sich im gleichen Standort befinden. Aktivieren Sie diese Option, damit eine Replikation auf alle Server in allen Standorten stattfinden kann. Für diese Option müssen Sie das RPC-Protokoll verwenden.

Das Dienstprogramm Repadmin Das Dienstprogramm Repadmin wird genau wie Replmon.exe mit den Windows Support Tools installiert. Es befindet sich daher auch im Verzeichnis :\Programme\Support Tools. Sie können mit dem Dienstprogramm eine Replikationstopologie manuell erstellen, obwohl dies eigentlich gar nicht notwendig ist. Viele Leistungsmerkmale von Repadmin sind mit denen des Replikationsmonitors identisch. Daher liegt es an Ihnen, welches Programm Ihnen besser gefällt.


305

MCSE Examen 70-294

Wie bei den meisten Dienstprogrammen auch, bekommen Sie einen Hilfetext durch Eingabe eines »?« oder eines »/?«. Da die meisten Optionen selbsterklärend sind, haben wir für Sie den Befehl mit den Kommandozeilenparametern aufgelistet. Die wichtigsten Parameter werden in Tabelle 4.17 erläutert. c: \Programme\Support Tools> repadmin /? Usage: repadmin <args> [/u:{domain\\user}] [/pw:{password|*}] [/rpc] [/ldap] [/csv] - see /csvhelp Supported s & args: /bind [DC_LIST] /bridgeheads [DC_LIST] [/verbose] /checkprop [DC_LIST from which to enumerate host DCs] /dsaguid [DC_LIST] [GUID] /failcache [DC_LIST] /istg [DC_LIST] [/verbose] /kcc [DC_LIST] [/async] /latency [DC_LIST] [/verbose] /notifyopt [DC_LIST] [/first:] [/subs:] /queue [DC_LIST] /querysites [ ...] (may not be called with alternate credentials) /replicate /allsources [/force] [/async] [/full] [/addref] [/readonly] /replicate <Source DC_NAME> [/force] [/async] [/full] [/addref] [/readonly] /replsingleobj /replsummary [DC_LIST] /bysrc /bydest /errorsonly [/sort:{ delta | partners | failures | error | percent | unresponsive }] /showattr [OBJ_LIST OPTIONS] [/atts:,...] [/allvalues] [/long] [/dumpallblob] /showcert [DC_LIST] /showchanges . <SourceDC> [/cookie:] [/atts:,,...] [/long] [

306


4 – Einrichten und Warten einer Active Directory-Infrastruktur /showchanges <SourceDCObjectGUID> [/verbose] [/statistics] [/noincremental] [/objectsecurity] [/ancestors] [/atts:,,...] [/filter:] /showconn [DC_LIST] {serverRDN | Container DN | } (default is local site) [/from:serverRDN] [/intersite] /showctx [DC_LIST] [/nocache] /showism [] [/verbose] (must be executed locally) /showmsg {<Win32 error> | /NTDSMSG} /showncsig [DC_LIST] /showobjmeta [DC_LIST] [/nocache] [/linked] /showoutcalls [DC_LIST] /showproxy [DC_LIST] [Naming Context] [matchstring] (search xdommove proxies) /showproxy [DC_LIST] [Object DN] [matchstring] /movedobject (dump xdommoved object) /showrepl [DC_LIST [Source DC object GUID]] [Naming Context] [/verbose] [/nocache] [/repsto] [/conn] [/all] [/errorsonly] [/intersite] /showsig [DC_LIST] /showtime /showtrust [DC_LIST] /showutdvec [/nocache] [/latency] /showvalue [DC_LIST] [Attribute Name] [Value DN] [/nocache] /syncall [] [] /viewlist [OBJ_LIST] Listing 4.2: Befehlsparameter von Repadmin.exe

Einige wichtige Parameter Beschreibung /u:{domain\\user}

Verwenden der Credentials eines anderen Benutzers (wie Ausführen als...)

/pw:{password|*}

Wird in Verbindung mit dem Parameter /u verwendet: Kennwort des unter /u verwendeten Benutzers.

/rpc

Repadmin verwendet eine RPC-Sitzung zum betreffenden Server.

/ldap

Repadmin verwendet eine LDAP-Sitzung zum betreffenden Server.

/csv

- see /csvhelp

/replicate [Optionen]

Erzwingt eine Replikation.

/showrepl [Optionen]

Zeigt das GUID-Attribut für den betreffenden Server und die letzten erfolgreichen Replikationen an.

Tabelle 4.17: Wichtige Befehlsparameter von Repadmin.exe


307

MCSE Examen 70-294

Folgendes Beispiel verdeutlicht die Funktionsweise des Dienstprogramms:

Replikation über Repadmin.exe Sie möchten eine Replikation an dem Server überprüfen, wo Sie gerade angemeldet sind. Geben Sie Folgendes ein: C:\>repadmin /showrepl repadmin running command /showrepl against server localhost Berlin\SERVER02 DC Options: IS_GC Site Options: (none) DC object GUID: b12f1227-409e-4d77-95b1-1fc49f0217df DC invocationID: 87dce143-f9aa-4cea-ac66-0d9937c10f5a ==== INBOUND NEIGHBORS ====================================== DC=pearson,DC=de Hamburg\SERVER01 via RPC DC object GUID: c5f67696-e0b3-4976-b383-bddbfc3a2b5e Last attempt @ 2004-02-12 11:58:45 was successful. CN=Configuration,DC=pearson,DC=de Hamburg\SERVER01 via RPC DC object GUID: c5f67696-e0b3-4976-b383-bddbfc3a2b5e Last attempt @ 2004-02-12 11:58:44 was successful. CN=Schema,CN=Configuration,DC=pearson,DC=de Hamburg\SERVER01 via RPC DC object GUID: c5f67696-e0b3-4976-b383-bddbfc3a2b5e Last attempt @ 2004-02-12 11:58:44 was successful. C:\> Listing 4.3: Bildschirmausgabe des Befehls repadmin /showrepl

Sie können aus der Bildschirmausgabe sehr schnell die Analogie zum Programm replmon.exe erkennen. Hier finden Sie den schon in den Abbildungen 4.44 und 4.45 gezeigten Bridgeheadserver Server02 und seine letzten Replikationen wieder. (Die Serverkonstellation entspricht dem Ergebnis der Übung Einrichten eines Standorts) Die GUID ist eine global eindeutige Kennung eines Objekts, d.h., es darf weltweit (theoretisch) keine zweite Objektkennung gleichen Namens geben. Die Objektkennung entspricht der GUID der jeweiligen Computergeräte Server01 und Server02. Server02 ist zugleich als globaler Katalogserver konfiguriert.

308



Dienstprogramm Dsastat Das Kommandozeilenprogramm Dsastat.exe vergleicht Verzeichnispartitionen auf Domänencontrollern und ermittelt eventuell vorhandene Unterschiede. Es kann somit leicht festgestellt werden, ob ein angegebener Domänencontroller auf dem neuesten Stand ist. Das Tool hat folgende Syntax: dsastat

Die verschiedenen Optionen und Werte entnehmen Sie bitte Tabelle 4.18. Option

Werte

Beschreibung

-loglevel:

DEBUG, TRACE, INFO

Gibt die Art der Protokollierung an. Per Default: INFO

-output:

FILE, SCREEN, BOTH

Gibt an, wo die Ergebnisse angezeigt werden. Per Default: BOTH

-s:

<Servernamen, getrennt durch ein Semikolon>

Geben Sie den Namen des Servers an, auf dem der Vergleich durchgeführt wird. Per Default: NULL

-b:<search baseDN>

Dient zum Festlegen des Namens des Basispfads für die Suche. Per Default: NULL

-scope:

BASE, ONELEVEL, SUBTREE

Dient zum Angeben des Bereichs der Suchoperation. Per Default: SUBTREE

-filter:

LDAP-Filter für die Suche. Per Default: objectclass=*

sort:<Wert>

TRUE, FALSE

Gibt an, ob die Anfrage sortiert ausgegeben werden soll. TRUE bedeutet sortiert und FALSE unsortiert. Die Angabe der GUIDs bei TRUE belastet die Serverleistung. Per Default: FALSE

-t:<Wert >

TRUE, FALSE

Gibt nur eine Vergleichsstatistik an. Bei TRUE wird ein statistischer Vergleich durchgeführt, bei FALSE ein Inhaltsvergleich. Per Default: TRUE

-p:<page size>

Anzahl der Einträge pro zurückgegebener Seite. Per Default: 64

-u:

Benutzername, der für die Abfrage verwendet wird. Per Default: NULL, d.h. der angemeldete Benutzer.

-d:

Domäne, in der der Benutzer Mitglied ist. Nur in Verbindung mit /u. Per Default: NULL

-pwd:

Kennwort für das verwendete Konto. Per Default: NULL, d.h., der gerade angemeldete Benutzer wird verwendet; daher wird hier kein Kennwort verlangt.

Tabelle 4.18: Befehlsoptionen und Werte des Dienstprogramms dsastat.exe


309

MCSE Examen 70-294 Option

Werte

Beschreibung

-gcattrs:

LDAPattributes, ObjectClass, AUTO, ALL

Gibt die abgefragten Attribute an. Wird nur dann verwendet, wenn der Parameter /t auf FALSE gestellt ist. T LDAPattributes zeigt beliebige Attribute an. T ObjectClass zeigt keine Attribute an. T AUTO zeigt nur die in den globalen Katalog replizierten Attribute an. T ALL zeigt alle Attribute an. Per Default: AUTO

-debug:<Wert>

TRUE, FALSE

Hinzufügen des Debug-Infos. Per Default: FALSE

-checkForMangledMemberDn:<Wert>

TRUE, FALSE

Überprüft, ob verstümmelte RDN (Relative Distinguished Names) in Mitgliedsattributen vorkommen. Per Default: FALSE

-checkForBadSingleValuedAttr: <Wert>

TRUE, FALSE

Überprüft defekte Attribute, die multiple Werte besitzen. Per Default: FALSE

Tabelle 4.18: Befehlsoptionen und Werte des Dienstprogramms dsastat.exe (Forts.)

Vergleich von Domänenpartitionen Eine Domäne pearson.de enthält die Domänencontroller Server01 und Server02. Beide sind als Bridgeheadserver konfiguriert und befinden sich an unterschiedlichen Standorten. Das Replikationsintervall der Standortverknüpfung ist auf 15 Minuten gestellt. Ein Administrator hat auf dem Server01 eine neue Organisationseinheit und eine neue globale Gruppe erstellt. Es soll nachfolgend überprüft werden, ob eine Replikation auf den Server01 stattgefunden hat. Ein Administrator öffnet auf dem Server02 die Eingabeaufforderung und gibt folgenden Befehl ein: C:\> dsastat /s:server01;server02 /b:dc=pearson,dc=de

Als Ergebnis erhält er folgendes Listing: C:\> dsastat /s:server01;server02 /b:dc=pearson,dc=de Stat-Only mode. Unsorted mode. Opening connections... server01...success. Connecting to server01... reading... **> ntMixedDomain = 0 reading...

310



**> Options = Setting server as [server01] as server to read Config Info... server02...success. Connecting to server02... reading... **> ntMixedDomain = 0 reading... **> Options = ignored attrType = 0x3, bIsRepl 2.5.4.3 ignored attrType = 0xb, bIsRepl 2.5.4.11 BEGIN: Getting all special metadata attr info ... --> Adding special meta attrs, (3, cn) --> Adding special meta attrs, (6, c) --> Adding special meta attrs, (1376281, dc) --> Adding special meta attrs, (7, l) --> Adding special meta attrs, (591522, msTAPI-uid) --> Adding special meta attrs, (10, o) --> Adding special meta attrs, (11, ou) END: Getting all special metadata attr info ... No. attributes in schema = 1070 No. attributes in replicated = 1015 No. attributes in PAS = 151 Generation Domain List on server server01... > Searching server for GC attribute partial set on property attributeId. > Searching server for GC attribute partial set on property ldapDisplayName. Retrieving statistics... Paged result search... Paged result search... Svr[server01]. Entries = 64. Svr[server02]. Entries = 64. Svr[server01]. Entries = 64. Svr[server02]. Entries = 64. Svr[server01]. Entries = 64. Svr[server02]. Entries = 64. Svr[server01]. Entries = 44. 50 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 100 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 150 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 200 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 250 entries processed (7 msg queued, 0 objstored, 0 obj deleted)... 300 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 350 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... 400 entries processed (7 msg queued, 0 obj stored, 0 obj deleted)... Svr[server02]. Entries = 42....(Terminated query to server01. )...(Terminated query to server02. ) 450 entries processed (1 msg queued, 0 obj stored, 0 obj deleted)... -=>>|*** DSA Diagnostics ***| FAIL .de usw. (zum Beispiel castro.de und pearson.de).

Durchführung: Einrichten von DNS-Weiterleitungen SCHRITT FÜR SCHRITT

Sie müssen eine DNS-Weiterleitung einrichten, damit der Domänencontroller der einen Gesamtstruktur den DNS-Namen der anderen kennt. Alternativ können Sie auch einen dritten DNS-Server auf einem weiteren Computer konfigurieren, der autorisierend für beide Gesamtstruktur-DNS-Server ist. Gehen Sie für eine Weiterleitung wie folgt vor:

1

Öffnen Sie die Managementkonsole DNS im Startmenü Programme/Verwaltung.

2

Klicken Sie auf den Knoten des zu konfigurierenden DNS-Servers in der Konsolenstruktur. Wenn dieser beispielsweise SERVER02 heißt, klicken Sie mit der linken Maustaste auf den Knoten. Sie finden anschließend im Detailfenster auf der rechten Seite den Eintrag Weiterleitungen.

3

Führen Sie einen Doppelklick auf den Eintrag Weiterleitungen aus. Es erscheint ein Dialogfenster mit dem Titel Eigenschaften von , wobei für der jeweilige Computername des DNS-Servers steht.

328



4

Tragen Sie in dem Reiter Weiterleitungen die Weiterleitungs-IP-Adressliste der gewählten Domänen ein. Tragen Sie die IP-Adresse des Domänencontrollers der anderen Gesamtstruktur ein. Klicken Sie auf HINZUFÜGEN. Tragen Sie weiterhin den DNS-Namen der anderen Domäne ein, indem Sie zuerst auf NEU klicken und dann den Namen der »Partnerdomäne« (hier pearson.de) angeben.

Abbildung 4.49: Einrichten von DNS-Weiterleitungen

5

Bestätigen Sie Eingabe mit OK, und schließen Sie die Managementkonsole.

6

Führen Sie die Schritte 1 bis 5 auf dem anderen Domänencontroller entsprechend durch.

7

Testen Sie die Einstellung, indem Sie jeweils auf beiden Computergeräten die Eingabeaufforderung öffnen und den Partnercomputer »anpingen«. Geben Sie zum Beispiel Folgendes ein: ping server01.pearson.de auf der einen Seite und auf der anderen Seite ping server02.castro.de. In beiden Fällen müssen Sie eine Antwort (Echo) erhalten.

Durchführung: Einrichten der Gesamtstrukturvertrauensstellung SCHRITT FÜR SCHRITT

1

Öffnen Sie die Konsole Active Directory-Domänen und -Vertrauensstellungen aus dem Startmenü Programme/Verwaltung.

2

In der Konsolenstruktur (linke Seite) klicken Sie mit der rechten Maustaste auf den Knoten der Stammdomäne der Gesamtstruktur und wählen im Kontextmenü den Eintrag Eigenschaften aus.

3

Wählen Sie in den Eigenschaften die Registerkarte VERTRAUENSSTELLUNGEN, und überprüfen Sie die Einträge. Wenn Sie bereits eine Vertrauensstellung eingerichtet haben


329

MCSE Examen 70-294

oder die Domäne noch weitere untergeordnete Domänen enthält, finden Sie alle Vertrauensstellungen dort aufgelistet.

4

Um eine neue Vertrauensstellung einzurichten, klicken Sie auf NEUE VERTRAUENSSTELLUNG.

5

Die Willkommenseite beschreibt den weiteren Vorgang. Klicken Sie auf WEITER.

6

Tragen Sie die Domäne ein, mit der eine Vertrauensstellung durchgeführt werden soll und quittieren Sie die Eingabe mit WEITER. Für das oben genannte Beispiel wäre das entweder castro.de oder pearson.de.

7

Wählen Sie im nächsten Dialogfenster den Vertrauenstyp aus, indem Sie das Optionsfeld Gesamtstrukturvertrauensstellung auswählen. Quittieren Sie die Eingabe mit WEITER.

Abbildung 4.50: Auswahl der Gesamtstrukturvertrauensstellung

8

Wählen Sie die Richtung der Vertrauensstellung aus. Auf dieser Seite haben Sie drei Optionen (wählen Sie entsprechend der Aufgabenstellung Bidirektional aus):

330

Wenn Sie eine bidirektionale Vertrauensstellung auswählen, können Benutzer beider Seiten auf die jeweils andere Seite zugreifen – entsprechende Berechtigungen vorausgesetzt. Benutzer können vollständig in der Gesamtstruktur wandern, d.h., sie können sich von beliebigen Arbeitsstationen aus anmelden. Wenn Sie eine eingehende unidirektionale Vertrauensstellung eingehen, können nur Benutzer dieser Gesamtstruktur auf beliebige Ressourcen der anderen Gesamtstruktur zugreifen (entsprechende Berechtigungen vorausgesetzt). Die Domäne, von der aus Sie das Vertrauensverhältnis ausführen, ist also die vertraute Domäne. Wenn Sie eine ausgehende unidirektionale Vertrauensstellung eingehen, können nur Benutzer der anderen Gesamtstruktur auf beliebige Ressourcen dieser Gesamtstruktur zugreifen (entsprechende Berechtigungen vorausgesetzt). Die Domäne von der aus Sie das Vertrauensverhältnis ausführen, ist also die vertrauende Domäne.



Abbildung 4.51: Auswahl der Richtung des Vertrauensverhältnisses

9

Im folgenden Dialog entscheiden Sie, für welche Domänen Sie die Vertrauensstellung erstellen. Für eine erfolgreiche Vertrauensstellung müssen beide Stammdomänen dem Vertrauensverhältnis zustimmen, d.h., die Administratoren der jeweiligen Domänen stimmen der Aktion zu. In manchen Fällen ist die Verwaltung so geregelt, dass die Kompetenzen getrennt liegen. In diesem Fall wählen Sie die erste Option aus. Da Sie in der Übung beide Domänen installiert haben, kennen Sie beide administrativen Konten und können das Verfahren verkürzen, indem Sie die Option Für diese Domäne und die angegebene Domäne auswählen.

Abbildung 4.52: Einstellen der Vertrauensstellungsseiten


331

MCSE Examen 70-294

10 Geben Sie einen Benutzernamen und ein Kennwort eines Kontos an, das Administratorprivilegien in der anderen Domäne besitzt. Geben Sie zum Beispiel im Feld Benutzername »Administrator« und im Feld Kennwort Ihr »Kennwort« ein.

11 In nächsten Schritt geben Sie den Authentifizierungsbereich für die Benutzer aus der anderen Domäne an. Wählen Sie die gesamtstrukturweite Authentifizierung, damit – wie nach der Aufgabenstellung gewünscht – alle Benutzer sich an allen Computergeräten der anderen Domäne authentifizieren können.

Abbildung 4.53: Die Authentifizierung ermöglicht es, dass Benutzer sich von beliebigen Computergeräten aus anmelden können.

12 Im nächsten Schritt geben Sie den Authentifizierungsbereich für die Benutzer aus der lokalen, d.h. eigenen Domäne an. Geben Sie auch hier Gesamtstrukturweite Authentifizierung an, und klicken Sie auf WEITER.

13 Am Ende des ersten Konfigurierungsvorgangs finden Sie eine Zusammenfassung. Lesen Sie sich die Angaben noch einmal genau durch, und gehen Sie ggf. wieder zurück. Wenn alle Angaben korrekt sind, bestätigen Sie diese mit der Schaltfläche WEITER.

14 Wenn die Vertrauensstellung erfolgreich durchgeführt wurde, erhalten Sie ein Dialogfenster mit dem neuen Status. Bestätigen Sie mit der Schaltfläche WEITER (Zurück können Sie ohnehin nicht mehr.)

15 Anschließend werden Sie aufgefordert, die ausgehende Vertrauensstellung zu bestätigen. Sie haben die Wahl, dies mit Nein oder Ja zu beantworten. Da Sie beide Seiten des Vertrauensverhältnisses eingerichtet haben, antworten Sie bitte mit Ja, ausgehende Vertrauensstellung bestätigen. Wenn Sie hingegen nur ihre Seite eingerichtet haben, antworten Sie mit Nein. Klicken Sie anschließend auf WEITER.

332



Abbildung 4.54: Bestätigen der ausgehenden Vertrauensstellung

16 Im nächsten Schritt werden Sie aufgefordert, die eingehende Vertrauensstellung zu bestätigen. Antworten Sie auch hier mit Ja, eingehende Vertrauensstellung bestätigen.

17 Optional, wenn Sie die Übung mit den UPN-Suffixen vorher durchgeführt haben: Sie werden im folgenden Dialog aufgefordert, die Verwendung der Namensuffixe auch in den vertrauenden Domänen anzuwenden. Durch Anklicken der Kontrollkästchen kann bestimmt werden, welches Namensuffix weitergeleitet werden soll.

Abbildung 4.55: Einbeziehen von alternativen Namensuffixen

18 Sie erhalten eine erneute Zusammenfassung der Konfigurationsschritte. Bestätigen Sie diese mit der Schaltfläche FERTIG STELLEN (Sie können auch hier nicht wieder zurück).

19 Kontrollieren Sie die Einstellungen, indem Sie erneut in der Konsolenstruktur mit der rechten Maustaste auf den Knoten der Stammdomäne klicken und im Kontextmenü den Eintrag Eigenschaften auswählen. Wählen Sie anschließend in den Eigenschaften den


333

MCSE Examen 70-294

Reiter Vertrauensstellungen aus, und überprüfen Sie die Einträge. Klicken Sie auf den Eintrag, den Sie überprüfen wollen, und wählen Sie anschließend die Schaltfläche EIGENSCHAFTEN. In den weiteren Dialogfenstern können Sie die gerade vorgenommenen Einstellungen überprüfen und ggf. verändern.

Erstellen eines Vertrauensverhältnisses über die Kommandozeile Sie planen, in Ihrer Gesamtstruktur eine Verknüpfungsvertrauensstellung einzurichten. Sie möchten diese nicht über die Managementkonsole herstellen, sondern über eine Batchdatei. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über Gesamtstrukturen und Domänen T Kenntnisse über das Erstellen und Verwalten von Vertrauensverhältnissen Für diese Übung benötigen Sie folgende Computergeräte: T Keine (Es sei denn, Sie haben mindestens 6 Computergeräte zur Verfügung und können das Szenario nachbauen.) Aufgabenstellung Sie verwalten die aus dem theoretischen Teil schon bekannte Gesamtstruktur pearson.de, die sich über 2 Strukturen und insgesamt 8 Domänen erstreckt. Um den Vertrauenspfad zu verkürzen, wollen Sie eine Verknüpfungsvertrauensstellung(siehe Abbildung 4.56) einzurichten.

Abbildung 4.56: Verknüpfungsvertrauensstellung zwischen zwei Domänen, die sich innerhalb der Gesamtstruktur befinden

334



1. Welchen Befehl müssen Sie anwenden, und wie würde der Befehl in der Batchdatei lauten? Verwenden Sie hierfür die einfachste Lösung. 2. Welche Privilegien müssen Sie besitzen?

Verschieben von FSMO-Rollen: Schemamaster Sie müssen den Schemamaster auf einen anderen Domänencontroller verschieben. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über Gesamtstrukturen und Domänen T Kenntnisse über Betriebsmasterrollen T Kenntnisse über Verwaltungskonsolen Für diese Übung benötigen Sie folgende Computergeräte: T Zwei Domänencontroller derselben Domäne Aufgabenstellung Sie haben gerade eine Gesamtstruktur installiert, die aus einer Stammdomäne mit zwei Domänencontrollern besteht. Sie planen, zwecks Wartung langfristig den zuerst installierten Domänencontroller auszustellen. Da Sie wissen, dass der erste Domänencontroller alle Betriebsmasterfunktionen inklusive des globalen Katalogs hostet, müssen Sie alle Funktionen auf einen anderen Domänencontroller übertragen. Sie fangen mit der Verschiebung der Schemamasterrolle an. Sie können für diesen Vorgang entweder das Befehlszeilenprogramm ntdsutil.exe oder die Konsole Active Directory Schema verwenden. Sie bevorzugen die grafische Oberfläche und entscheiden sich für die Konsole Active Directory Schema, die Sie jedoch zunächst neu einrichten müssen. Durchführung SCHRITT FÜR SCHRITT

1

Öffnen Sie die Eingabeaufforderung, indem Sie auf START/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Alternativ können Sie auch auf START/AUSFÜHREN gehen und cmd eingeben.

2

Geben Sie Folgendes in das Fenster der Eingabeaufforderung ein: regsvr32 schmmgmt.dll mmc/a

Der Befehl regsvr32 registriert die DLL-Datei des Programms auf Ihrem Computer. Mit mmc/a starten Sie den Autorenmodus der Managementkonsole.

3

Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen und anschließend auf HINZUFÜGEN.


335

MCSE Examen 70-294

4

Doppelklicken Sie auf den Eintrag Active Directory-Schema. Klicken Sie anschließend auf die Schaltflächen SCHLIESSEN und im folgenden Fenster auf OK.

5

Zum Speichern der Konsole klicken Sie anschließend in der Menüleiste auf DATEI/SPEICHERN und speichern die Konsole unter einem Namen Ihrer Wahl in das Verzeichnis %systemroot%\system32. Gegebenenfalls können Sie eine Verknüpfung in der Startleiste oder auf dem Desktopeinrichten.

Die Managementkonsole Active Directory-Schema ist nun registriert und kann verwendet werden. Alternativ zu der Registrierung über regsvr32 können Sie auch alle Verwaltungsprogramme über die Datei adminpak.msi installieren: Durchführung SCHRITT FÜR SCHRITT

1

Öffnen Sie die Konsole Active Directory-Schema.

2

Klicken Sie mit der rechten Maustaste auf den Knoten ACTIVE DIRECTORY-SCHEMA [...] in der Konsolenstruktur. Es erscheint ein Kontextmenü.

3

Wählen Sie im Kontextmenü den Eintrag Domänencontroller ändern aus.

4

Stellen Sie sicher, dass der Domänencontroller, dem Sie die Schemamasterrolle übertragen wollen, unter Aktueller DC eingetragen ist. Falls dies nicht der Fall sein sollte, wählen Sie bitte diesen Domänencontroller aus, indem Sie seinen Namen in das Eingabefeld eintragen. Bestätigen Sie mit der Schaltfläche OK.

Abbildung 4.57: Auswahl des Zieldomänencontrollers

5

Klicken Sie erneut mit der rechten Maustaste auf den Knoten ACTIVE DIRECTORYSCHEMA [...] in der Konsolenstruktur.

6

Wählen Sie im Kontextmenü den Eintrag Betriebsmaster aus. Sie erhalten das Fenster Schemamaster ändern.

7

Klicken Sie nun auf die Schaltfläche ÄNDERN, wenn Sie einverstanden sind, den aktuellen Schemamaster auf den unten im Fenster angegebenen Domänencontroller zu übertragen. Falls Sie mit der Änderung nicht einverstanden sind, klicken Sie auf SCHLIESSEN.

336



8

Bei Bedarf ändern Sie anschließend die Schemamasterrolle wieder auf den ursprünglichen Computer, wenn Sie vorhaben, diesen später für andere Zwecke zu verwenden.

Abbildung 4.58: Übertragen der Rolle des Schemamasters auf einen anderen (Ziel-)Domänencontroller

Verschieben von FSMO-Rollen mit ntdsutil Sie müssen die Rolle des RID-Masters auf einen Domänencontroller derselben Domäne verschieben. Beide Domänencontroller sind online! Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über Gesamtstrukturen und Domänen T Kenntnisse über Betriebsmasterrollen Für diese Übung benötigen Sie folgende Computergeräte: T Zwei Domänencontroller derselben Domäne Aufgabenstellung

Achten Sie bitte darauf, dass bei dieser Übung beide Domänencontroller online sind. Sie dürfen Sie nicht ausschalten! Arbeiten Sie sehr sorgfältig mit dem Programm ntdsutil.


337

ACH TUNG

Sie haben eine Gesamtstruktur installiert, die aus einer Stammdomäne mit zwei Domänencontrollern besteht. Sie haben beispielsweise die Namen Server01.pearson.de und Server02. pearson.de für die Server ausgewählt. Auf dem ersten installierten Server (Server01) befinden Sie alle FSMO-Rollen. Der Domänencontroller Server02 ist ein zusätzlicher Domänencontroller derselben Domäne. Er besitzt keine FSMO-Rollen. Sie müssen aus Wartungsgründen die Rolle des RID-Masters auf den Server02 verschieben bzw. übertragen. Beachten Sie, dass Sie die Rolle nicht übernehmen.

MCSE Examen 70-294


1

Öffnen Sie die Eingabeaufforderung, indem Sie auf START/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Alternativ können Sie auch auf START/AUSFÜHREN gehen und cmd eingeben.

2

Sie wollen das Kommandozeilenprogramm ntdsutil.exe starten. Geben Sie Folgendes in das Fenster der Eingabeaufforderung ein: ntdsutil

3

Sie möchten die FSMO-Rollen verändern und in den Programmbereich mit dem Prompt fsmo maintenance gelangen. Geben Sie Folgendes ein: roles

4

Sie müssen eine Verbindung zum betreffenden Server herstellen. Geben Sie Folgendes ein. (Beachten Sie die Bildschirmausgabe. Wenn Sie bereits mit dem Server02 verbunden sind, benötigen Sie die Schritte 5 und 6 nicht und können sie überspringen.) connections

5

Sie gelangen in den Prompt server connections. Sie verbinden sich mit dem Server, den Sie verändern wollen. Geben Sie Folgendes ein und notieren Sie sich die Bildschirmausgabe: connect to server server02.pearson.de

6

Wenn Sie mit dem betreffenden Server verbunden sind, geben Sie Folgendes ein: quit

7

Sie gelangen anschließend wieder in den Programmbereich mit dem Prompt fsmo maintenance. Geben Sie Folgendes ein: transfer RID master

8

Sie müssen im nun gezeigten Dialogfenster bestätigen, das Sie den Transfer durchführen wollen. Quittieren Sie die Anfrage mit der Schaltfläche OK. Beachten Sie die anschließende Bildschirmausgabe. Der Transfer ist vollständig.

9

Beenden Sie das Programm ntdsutil, indem Sie den Befehl quit eingeben.

10 Machen Sie den Transfer des RID-Masters wieder rückgängig, wenn Sie planen, den Domänencontroller im Laufe der Übungen wieder zu deinstallieren. Auch für andere Übungen benötigen Sie den Originalzustand. Sie können die Schritte 4 bis 8 entsprechend für den Server01 durchführen oder diese Aktion in der Konsole Active DirectoryDomänen und Benutzer durchführen.

Troubleshooting mit ntdsutil: FSMO-Rollen Sie müssen die Rolle des RID-Masters auf einem Domänencontroller derselben Domäne überschreiben, denn der ursprüngliche Domänencontroller, der die Rolle des PDC-Emulators besaß, ist durch einen Hardwarefehler nicht mehr online!

338



Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über Gesamtstrukturen und Domänen T Kenntnisse über Betriebsmasterrollen Für diese Übung benötigen Sie folgende Computergeräte: T Zwei Domänencontroller derselben Domäne davon ist einer ausgestellt. Aufgabenstellung

Achten Sie bitte darauf, dass bei dieser Übung nur derjenige Domänencontroller online ist, der die entsprechende FSMO-Rolle noch nicht besitzt. Der andere Domänencontroller ist ausgeschaltet. Arbeiten Sie sehr sorgfältig mit dem Programm ntdsutil. Durchführung SCHRITT FÜR SCHRITT

1

Stellen Sie den Domänencontroller aus, der die FSMO-Rollen besitzt. In unserem Beispiel ist dies der Computer server01.pearson.de. Sie arbeiten hier nur mit dem Domänencontroller, der am Ende der Übung vom Netzwerk separiert werden muss.

2

Öffnen Sie die Eingabeaufforderung, indem Sie auf START/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Alternativ können Sie auch auf START/AUSFÜHREN gehen, und cmd eingeben.

3

Sie wollen das Kommandozeilenprogramm ntdsutil.exe starten. Geben Sie Folgendes in das Fenster der Eingabeaufforderung ein: ntdsutil

4

Sie möchten die FSMO-Rollen verändern. Um in den Programmbereich mit dem Prompt fsmo maintenance zu gelangen, geben Sie Folgendes ein: roles

5

Sie müssen eine Verbindung zum betreffenden Server herstellen. Geben Sie Folgendes ein. (Beachten Sie die Bildschirmausgabe. Wenn Sie bereits mit dem Server02 verbunden sind, benötigen Sie die Schritte 6 und 7 nicht und können sie überspringen.) connections


339

ACH TUNG

Sie haben eine Gesamtstruktur eingerichtet, die aus einer Stammdomäne mit zwei Domänencontrollern Server01.pearson.de und Server02.pearson.de besteht. Auf dem ersten installierten Server (Server01) befinden sich alle FSMO-Rollen. Der Domänencontroller Server02 ist ein zusätzlicher Domänencontroller derselben Domäne. Er besitzt keine FSMO-Rollen. Sie müssen die Rolle des PDC-Emulators auf den Server02übertragen, da der Server01 nicht mehr verfügbar ist. Der Domänencontroller Server02 sollte nach der Übung deinstalliert werden, ohne dass er einen Netzwerkzugriff auf den anderen Domänencontroller erhält.

MCSE Examen 70-294

6

Sie gelangen in den Prompt server connections. Sie verbinden sich mit dem Server, den Sie verändern wollen. Geben Sie Folgendes ein und notieren Sie sich die Bildschirmausgabe: connect to server server02.pearson.de

7

Wenn Sie mit dem betreffenden Server verbunden sind, geben Sie Folgendes ein:

ACH TUNG

quit

Setzen Sie nie eine Serverrolle mit dem seizure-Kommando, wenn der eigentliche Betriebsmaster sich noch online im Netzwerk befindet! Falls dies passiert, entstehen nicht korrigierbare Konflikte. Falls eine Betriebsmasterrolle nur temporär ausfallen sollte, ist es nicht notwendig, einen anderen Domänencontroller als Betriebsmaster zu setzen, es sei denn, Sie benötigen ihn in einem besonderen Fall.

8

Sie gelangen anschließend wieder in den Programmbereich mit dem Prompt fsmo maintenance. Geben Sie Folgendes ein: seize pdc

9

Der Server02 versucht, zunächst eine sichere Übertragung zum vorhergehenden PDCEmulator zu erreichen. Da er dies nicht kann, sendet er diese oder eine ähnliche Fehlermeldung: 0x34(52 (Nicht verfügbar) LDAP-Fehlermeldung: 000020AF (Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar...)

10 War das Überschreiben erfolgreich? 11 Falls das Überschreiben erfolgreich war, können Sie in einem Zug den Vorgang wieder rückgängig machen? Wie würden Sie vorgehen?

12 Beenden Sie das Programm ntdsutil, indem Sie den Befehl quit eingeben. 13 Entfernen Sie die Active Directory-Verzeichnisdienste vom Computer Server02, indem Sie ihn zum allein stehenden Server herabstufen.

Einrichten eines Standorts In dieser Übung werden Sie einen Standort einrichten und konfigurieren. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über IP-basierte Netzwerke T Kenntnisse über Gesamtstrukturen und Domänen T Kenntnisse über die Theorie von Standorten T Optional: Kenntnisse über Exchange 2000 Server und Exchange Server 2003

340



Für diese Übung benötigen Sie folgende Computergeräte: T Mindestens zwei Domänencontroller, die derselben Domäne angehören T Zwei Subnetze, d.h., jeder Domänencontroller befindet sich in einem anderen Subnetz. Falls Sie diese Möglichkeit nicht haben, können Sie die Subnetze zwar einrichten, aber nicht praktisch testen. Aufgabenstellung Eine mittelständische Organisation unterhält zwei Dependancen, eine in Hamburg (1000 Benutzer) und eine in Berlin (200 Benutzer). Berlin und Hamburg sind relativ autonom und können sich selbst verwalten. Der Einfachheit halber und aus historischen Gründen hat man sich jedoch auf eine einzige Domäne geeinigt. Weiterhin möchte man sicherstellen, dass sich Benutzer zu jeder Zeit anmelden können. Ein Einzelpunktversagen der Domänencontroller soll ausgeschlossen werden. Man plant eine Vernetzung beider Dependancen über eine xDSL-Standleitung mit 0,5 MBit für einen Datenaustausch. In beiden Locations unterhält die Firma die Mindestanzahl von Domänencontrollern, die jeweils mit 1000-MBit-Leitungen verbunden sind. Die Subnetze sind mit 192.168.0.0/24 und mit 192.168.1.0/24 festgelegt (siehe Abbildung 4.59). Die Organisation unterhält das Messaging and Collaboration System Exchange 2000 Server.

Abbildung 4.59: Aufgabenstellung

Fragestellungen zur Aufgabe 1. Welche Argumente sprechen für die Einrichtung zweier Standorte? 2. Wie hoch ist die Mindestanzahl an Domänencontrollern, wenn ein Einzelpunktversagen ausgeschlossen werden muss? 3. Wie hoch ist die Mindestanzahl an globalen Katalogservern? 4. Wie hoch ist die Mindestanzahl an Lizenzservern? 5. Sie erstellen zwei Standorte und führen die Schritte 1 bis 24 aus. Bei Betrachtung von Abbildung 4.65 verändern Sie das Transportprotokoll von IP zu RPC. Welche gravierende Auswirkung hat diese Änderung?


341

MCSE Examen 70-294


Da Sie nicht, wie die oben genannte Firma, die notwendige Anzahl von Domänencontrollern bereithalten können, müssen Sie das Szenario mit zwei Domänencontrollern simulieren. Das funktioniert, wenn der eine Domänencontroller (hier Server01) sich in dem ersten Subnetz und der zweite (hier Server02) sich im anderen Subnetz befindet. Die Wahl des bevorzugten Bridgeheadservers ist hierbei klar – es gibt ja nur einen pro Standort –, doch Sie sollten sich die Einstellungen trotzdem ansehen.

1

Melden Sie sich an einem Domänencontroller der Stammdomäne mit einem Konto an, das Mitglied der Gruppe Domänen-Admins oder Organisations-Admins ist.

2

Wählen Sie aus der Programmgruppe START/ALLE PROGRAMME/VERWALTUNG die Managementkonsole Active Directory-Standorte und -Dienste aus.

3

Ändern Sie den Namen des voreingestellten Standorts Standardname-des-ersten-Standorts in einen, Namen, der Ihnen gefällt: In dieser Übung soll es Hamburg sein. Gehen Sie hierfür mit der rechten Maustaste auf den entsprechenden Knoten, und klicken Sie im Kontextmenü auf den Eintrag Umbenennen.

4

Klicken Sie mit der rechten Maustaste auf den Knoten SITES in der Konsolenstruktur, und wählen Sie Neuer Standort aus.

5

Geben Sie in das Dialogfenster den Namen des neuen Standorts (hier Berlin) ein. Klicken Sie auf Verknüpfungsname, um die Standortverknüpfung auszuwählen. Für die Verbindung reicht es hier aus, den DEFAULTIPSITELINK zu verwenden. Der Transport geht über das Internet-Protokoll (IP). Bestätigen Sie die Eingabe.

6

Sie erhalten folgendes Meldungsfenster:

Abbildung 4.60: Installationsanweisungen beim Einrichten eines neuen Standorts

7

Sie haben in der Konsolenstruktur einen neuen Knoten mit Ihrem Namen erstellt. Darunter liegt der neue Knoten SERVERS, der standardmäßig immer dann neu erstellt wird, wenn Sie einen neuen Standort erstellen.

8

Klicken Sie auf den Knoten BERLIN in der Konsolenstruktur, und Sie erkennen auf der rechten Fensterseite den Servercontainer und die Einträge Licensing Site Settings und NTDS Site Settings.

342



9

Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Subnets, und wählen Sie dann Neues Subnetz aus. Geben Sie die Netz-IDs des ersten Netzes ein, und verknüpfen Sie sie mit dem ersten Standort. Geben Sie für Hamburg die IP-Adresse 192.168.0.0 und eine Subnetzmaske von 255.255.255.0 ein. Klicken Sie anschließend auf Hamburg. Bestätigen Sie mit der Schaltfläche OK.

Abbildung 4.61: Zuordnen von IP-Subnetzen zu Standorten

10 Führen Sie dasselbe für den Standort Berlin aus. Hier soll die Netz-ID 192.168.1.0/24 lauten.

11 Klicken Sie mit der rechten Maustaste auf das neu erstellte Objekt und wählen Eigenschaften aus. Überprüfen Sie die Einstellungen in der Registerkarte ALLGEMEIN, und tragen Sie eine sinnvolle Beschreibung ein.

Abbildung 4.62: Eigenschaften des Standorts Hamburg


343

MCSE Examen 70-294

12 Führen Sie analog zu Schritt 11 dasselbe auch für den Standort Berlin durch. 13 Wählen Sie in der Konsolenstruktur den Knoten INTER-SITE-TRANSPORTS aus. Sie finden unter IP die Standortverknüpfung DEFAULTSITELINK.

Abbildung 4.63: Standardeinstellungen der Standortverknüpfung DEFAULTIPSITELINK

14 Tragen Sie in dem Reiter ALLGEMEIN eine Beschreibung der Standortverknüpfung ein (Beispiel siehe Abbildung 4.63).

15 Überprüfen Sie die Standortverknüpfung. Da es hier nur zwei Standorte gibt und Sie in Schritt 5 den DEFAULTIPSITELINK ausgewählt haben, sind beide Standorte mit diesem Link verknüpft. Diese Einstellung ist hier in Ordnung. Hinsichtlich der Kosten können Sie zwei Werte definieren, falls Sie neben der DSL-Leitung noch eine weitere Backup-Leitung verwenden. In diesem Fall müssen Sie eine weitere Standortverknüpfung erstellen und diese mit einem unterschiedlichen Kostenwert angeben. Die Standardeinstellung beträgt 100. Je höher der Wert ist, desto teuerer ist die Leitung. Daher wird ein niedriger Wert immer dem höheren vorgezogen werden.

16 Tragen Sie den Wert ein, wann der Bridgeheadserver eine Replikation durchführensoll. Sie können Werte zwischen 15 und 10080 Minuten einstellen. Stellen Sie den Wert auf 15 Minuten.

17 Klicken Sie auf die Taste ZEIPLAN ÄNDERN. Sie erhalten ein neues Fenster, in dem Sie einstellen können, zu welchen Zeiten und an welchen Wochentagen Sie eine Replikation erlauben.

18 Schließen Sie das Fenster mit der Schaltfläche OK, wenn Sie die Einstellungen akzeptieren.

344



19 Doppelklicken Sie anschließend in der Konsolenstruktur auf Sites, auf Hamburg und dann auf Servers. Klicken Sie mit der rechten Maustaste auf den Server, der sich im Standort Berlin befindet, und wählen Sie im Kontextmenü den Eintrag Verschieben aus. Es erscheint folgende Abbildung:

Abbildung 4.64: Verschieben von Serverobjekten an einen anderen Standort

20 Wählen Sie den betreffenden Standort aus (hier Berlin), und klicken Sie auf OK. Die Grundaufgaben sind hiermit fertig.

21 Bestimmen Sie nun den globalen Katalogserver. Klicken Sie in der Konsolenstruktur auf den verschobenen Server Server02 im Standort Berlin. Öffnen Sie die Konsolenstruktur so weit, bis Sie das Objekt NTDS Settings (linke Seite!) erkennen. Klicken Sie mit der rechten Maustaste auf das Objekt, und klicken Sie auf das Kontrollkästchen Globaler Katalog. Ein Haken bedeutet die Einrichtung des globalen Katalogservers. Bestätigen Sie die Änderung mit OK.

22 Für die Einrichtung eines Standortlizenzservers klicken Sie in der Konsolenstruktur auf das Standortobjekt (hier Berlin). Auf der linken Seite erkennen Sie die Licensing Site Settings. Doppelklicken Sie auf diesen Eintrag, und Sie erhalten die Registerkarte LIZENZIERUNGSEINSTELLUNGEN.

23 Klicken Sie auf die Schaltfläche ÄNDERN, um einen neuen Lizenzierungscomputer einzutragen.

24 Bestätigen Sie die Eingabe mit OK, und überprüfen Sie Ihr Ergebnis. Doppelklicken Sie hierfür auf die Eigenschaften der NTDS Settings, und überprüfen Sie die Registerkarte ALLGEMEIN.


345

MCSE Examen 70-294

Abbildung 4.65: Überprüfung des Ergebnisses

4.5.3


Hier finden Sie die Antworten zusammen mit den Aufgabenstellungen zu den Übungen aus dem Kapitel 4.5.2.

Erstellen eines Vertrauensverhältnisses über die Kommandozeile Sie planen, in Ihrer Gesamtstruktur eine Verknüpfungsvertrauensstellung einzurichten. Sie möchten dies nicht, wie üblich über die Managementkonsole durchführen, sondern über eine Batchdatei. Aufgabenstellung Sie verwalten die aus dem theoretischen Teil schon bekannte Gesamtstruktur pearson.de, die sich über 2 Strukturen und insgesamt 8 Domänen erstreckt. Um den Vertrauenspfad zu verkürzen, wollen Sie eine Verknüpfungsvertrauensstellung einrichten (siehe Abbildung 4.56). Welchen Befehl müssen Sie anwenden, und wie würde der Befehl in der Batchdatei lauten?

346



Lösung 1. Die einfachste Lösung für eine Batch-Datei lautet: netdom trust finance.uk.pearson.de /d:sales.tokyo.jp.pearson.de /add /twoway

2. Welche Privilegien müssen Sie besitzen? Antwort: Sie verwenden idealerweise ein Konto, das Mitglied der Gruppe OrganisationsAdmins ist. Falls nicht, muss das Konto entsprechende administrative Privilegien delegiert bekommen haben. Alternativ können Sie auch mit dem Administrator der anderen Domäne zusammenarbeiten und jeweils einseitig das Vertrauensverhältnis setzen.

Troubleshooting mit ntdsutil: FSMO-Rollen Sie mussten in der Übung die Rolle des RID-Masters auf einem Domänencontroller derselben Domäne überschreiben. Der Domänencontroller, der die ursprüngliche Rolle des PDCEmulators besaß, ist immer noch offline! Aufgabenstellung Sie haben eine Gesamtstruktur eingerichtet, die aus einer Stammdomäne mit zwei Domänencontrollern Server01.pearson.de und Server02.pearson.de besteht. Auf dem ersten installierten Server (Server01) befinden sich alle FSMO-Rollen. Der Domänencontroller Server02 ist ein zusätzlicher Domänencontroller derselben Domäne. Er besitzt keine FSMO-Rollen. Sie müssen die Rolle des PDC-Emulators auf den Server02 überschreiben. Lösung 1. War das Überschreiben erfolgreich? Antwort: Die Rolle des PDC-Emulators wurde erfolgreich überschrieben (siehe Abbildung 4.66).

Abbildung 4.66: Überschreiben der FSMO-Rolle PDC-Emulator (siehe Eintrag PDC)


347

MCSE Examen 70-294

2. Falls das Überschreiben erfolgreich war, können Sie in einem Zug den Vorgang wieder rückgängig machen? Wie würden Sie vorgehen? Antwort: Sie können den Vorgang nicht wieder rückgängig machen. Laut Microsoft darf immer nur ein Domänencontroller mit der entsprechenden FSMO-Rolle tätig sein. Sie müssen also die doppelte FSMO-Rolle entfernen, indem Sie das Active Directory vom Server entfernen. Im Labor haben wir getestet, wie sich doppelte PDC-Emulatoren verhalten. Wir haben den ursprünglichen Domänencontroller gestartet und beobachtet, dass er beim Starten merkt, dass ein anderer Domänencontroller die Rolle des PDC-Emulators innehat, und dass er automatisch diese Rolle beendet. Eine Fehlfunktion beider Domänencontroller konnte nicht diagnostiziert werden.

Einrichten eines Standorts In dieser Übung mussten Sie einen Standort einrichten und konfigurieren. Aufgabenstellung Eine mittelständische Organisation unterhält zwei Dependancen, eine in Hamburg (1000 Benutzer) und eine in Berlin (200 Benutzer). Berlin und Hamburg sind relativ autonom und können sich selbst verwalten. Der Einfachheit halber und aus historischen Gründen hat man sich jedoch auf eine einzige Domäne geeinigt. Weiterhin möchte man sicherstellen, dass sich Benutzer zu jeder Zeit anmelden können. Ein Einzelpunktversagen der Domänencontroller soll ausgeschlossen werden. Man plant eine Vernetzung beider Dependancen über eine xDSL-Standleitung mit 0,5 MBit für einen Datenaustausch. In beiden Locations unterhält die Firma die Mindestanzahl von Domänencontrollern, die jeweils mit 1000-MBit-Leitungen verbunden sind. Die Subnetze sind mit 192.168.0.0/24 und mit 192.168.1.0/24 festgelegt (siehe Abbildung 4.59). Die Organisation unterhält das Messaging and Collaboration System Exchange 2000 Server. Antworten zu den Fragen 1. Welche Argumente sprechen für die Einrichtung zweier Standorte? Antwort: Der Hauptgrund liegt in der Verwendung von Microsoft Exchange und dem Vorhalten eines globalen Katalogs. Ansonsten kann wegen der relativ hohen Bandbreite der DSL-Standleitung auch auf eine Einrichtung von zwei Standorten verzichtet werden, wenn Sie nur die Anmeldung von Benutzern betrachten. 2. Wie hoch ist die Mindestanzahl an Domänencontrollern, wenn ein Einzelpunktversagen ausgeschlossen werden muss? Antwort: Falls die DSL-Leitung ausfallen sollte, muss mindestens ein Domänencontroller im Standort vorhanden sein. Falls dieser auch ausfallen sollte, kann ein weiterer hinzugefügt werden. Um ein Einzelpunktversagen eines Domänencontrollers auszuschließen, brauchen Sie innerhalb der Domäne mindestens zwei Domänencontroller.

348



3. Wie hoch ist die Mindestanzahl an globalen Katalogservern? Antwort: Zwei. Wegen Exchange Server muss an jedem Standort ein globaler Katalogserver eingerichtet werden. (Wegen des Ein-Domänenmodells ist das Feature eigentlich nicht notwendig.) Microsoft empfiehlt, ab 25 Benutzern an einem Standort einen zusätzlichen globalen Katalogserver einzurichten. Andernfalls wird die WAN-Strecke mehr beansprucht. Das neue Feature Zwischenspeichern von universellen Gruppen ist hier unsinnig, da die Firma nur eine einzige Domäne unterhält (siehe auch Kapitel 3.4.7 und 4.4.7). 4. Wie hoch ist die Mindestanzahl an Lizenzservern? Antwort: An jedem Standort sollte ein Lizenzserver eingerichtet werden. 5. Sie erstellen zwei Standorte und führen die Schritte 1 bis 24 aus. Bei der Betrachtung von Abbildung 4.65 verändern Sie das Transportprotokoll von IP zu RPC. Welche gravierende Auswirkung hat diese Änderung? Antwort: Sobald Sie ein Verbindungsobjekt ändern, das der KCC automatisch generiert hat, verliert das Verbindungsobjekt die automatische Unterstützung des KCCs und wird zum manuellen Verbindungsobjekt. Dies bedeutet, dass Sie als Administrator künftig die Wartung des Objekts übernehmen müssen. Behalten Sie nach Möglichkeit die automatischen Verbindungsobjekte bei. Verändern Sie das Verbindungsobjekt nur dann, wenn Sie es müssen.

4.5.4


Hier finden Sie die Antworten zu den Wiederholungsfragen des Kapitels 4.5.1. Zur Übersicht ist die Aufgabenstellung hier noch einmal aufgeführt. 1. Es kann keine Domäne hinzugefügt oder entfernt werden. Was tun Sie? Antwort: Ursache: Der Domänennamenmaster ist nicht verfügbar. Dies kann durch Installationsfehler, aber auch insbesondere durch eine fehlende Netzwerkverbindung hervorgerufen werden. Auch ist ein Versagen des Computergeräts nicht auszuschließen. Es ist auch möglich, dass Sie nicht die erforderlichen Berechtigungen zum Hinzufügen/Entfernen von Domänen nicht besitzen. Lösung: Überprüfen Sie Ihre Berechtigungen. Testen Sie mit einem ping-Befehl die Netzwerkkonnektivität. Testen Sie mit Hilfe des netdom query fsmo -Befehls die Flexible Single Master Operations (FSMO). Alternativ zum Kommandozeilenbefehl netdom können Sie auch das grafische Tool Active Directory Replication Monitor verwenden. Unter Umständen muss die Funktion des Domänenmasters von einem anderen Domänencontroller übernommen werden. 2. Zu welchen Zeiten kann eine Replikation standortintern stattfinden? Antwort: Sie haben die Auswahlmöglichkeit zwischen: Keine, Einmal pro Stunde, Zweimal pro Stunde oder Viermal pro Stunde. Des Weiteren können Sie einen Zeitplan einrichten, der stunden- und wochentagabhängig ist. Sie stellen die standortinterne Replikationsfrequenz unter NTDS-Settings im Verbindungsobjekt ein.


349

MCSE Examen 70-294

3. Welche Transportart verwendet der KCC standortintern? Antwort: Das Verbindungsobjekt verwendet standardmäßig die Einstellung IP. Es wird die Transportart Remote Procedure Call (RPC) über IP verwendet. 4. Sie können keine Computerkonten und auch keine Benutzerkonten erstellen. Was tun Sie? Antwort: Ursache: Der RID-Master ist nicht verfügbar. Auch hier kann eine fehlende Netzwerkverbindung oder ein Ausfall des Computers eine Ursache sein. Auch denkbar sind fehlende administrative Berechtigungen. Lösung: Testen Sie die Netzwerkkonnektivität und Ihre Berechtigungen. Prüfen Sie die FSMO-Rolle mit dem Befehl netdom query fsmo oder mit dem Tool Active Dirctory Replication Monitor. Unter Umständen muss die Funktion des Domänenmasters von einem anderen Domänencontroller übernommen werden. 5. Änderungen der Gruppenmitgliedschaften treten nicht in Kraft. Antwort: Ursache: Der Infrastrukturmaster ist nicht verfügbar. Auch hier kann eine fehlende Netzwerkverbindung oder ein Ausfall des Computers eine Ursache sein. Auch denkbar sind fehlende administrative Berechtigungen. Lösung: Testen Sie die Netzwerkkonnektivität und Ihre Berechtigungen. Prüfen Sie die FSMO-Rolle mit dem Befehl netdom query fsmo oder mit dem Tool Active Directory Replication Monitor. Unter Umständen muss die Funktion des Domänenmasters von einem anderen Domänencontroller übernommen werden. 6. Was passiert, wenn ein bevorzugter Bridgeheadserver ausfällt? Antwort: Falls kein weiterer bevorzugter Bridgeheadserver vorhanden ist, fällt die Replikation zum betreffenden Domänencontroller des anderen Standorts aus. Sie stellen einen bevorzugten Bridgeheadserver in den Eigenschaften des Knotens <SERVERNAME> ein. 7. Unter welchen Voraussetzungen können Sie die Gesamtstrukturfunktionsebene Windows Server 2003 heraufstufen? Antwort: Sie müssen folgende Voraussetzungen erfüllen: T Die Domänenfunktionsebene der Stammdomäne muss auf Windows 2000 pur oder Windows Server 2003 gestellt sein. T Die Domänenfunktionsebene einer untergeordneten Domäne muss auf Windows 2000 pur oder Windows Server 2003 gestellt sein.

350


5 Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten Lernziele Die Planung, Einrichtung und Wartung von Benutzer-, Gruppen- und Computerkonten gehört zu den täglichen Aufgaben eines Administrators. Dementsprechend legt Microsoft in seiner Prüfung auch Wert auf dieses Thema. In Kapitel 5 werden Sie daher folgende Themen kennen lernen: T Das Einrichten und Warten von Organisationseinheiten (OUs) T Das Einrichten und Verwalten von Benutzerkonten T Das Prinzip von Gruppen und Gruppenstrategien T Das Einrichten und Warten von Sicherheitsgruppen T Das Einrichten und Warten von Computerkonten T Das Veröffentlichen von Ressourcen wie Druckern und Freigaben Der Schwerpunkt dieses Kapitels liegt auf der praktischen Ausführung der jeweiligen Themen. So werden wir Ihnen für jede Verwaltungsaufgabe in der Managementkonsole auch eine Alternative über einen Kommandozeilenbefehl vorstellen. Letzteres bewährt sich in der Praxis bei einer Projektarbeit, bei der viele Benutzer eingerichtet werden müssen. Die Skriptfähigkeit der Kommandozeilenbefehle ist ein neues, von Microsoft eingeführtes Feature für Windows Server 2003.

351

MCSE Examen 70-294

Lernstrategien Wir empfehlen Ihnen, sich mit den Inhalten der Kapitel 3 und 4 vertraut zu machen, bevor Sie dieses Kapitel durcharbeiten. Sie haben zwei Möglichkeiten, dieses Kapitel zu bearbeiten: T Chronologisch – Vom Kapitel über Organisationseinheiten bis zur Veröffentlichung von Ressourcen. T Direkt – Springen Sie in das entsprechende Unterkapitel. Tabelle 5.1 enthält Querverweise zu thematisch verwandten Kapiteln: Themen in vorherigen Kapiteln

Siehe in Kapitel 5

Kapitel 1.2, Kapitel 3.2 und Kapitel 3.4.6

Kapitel 5.1 (Organisationseinheiten)

Kapitel 1.2

Kapitel 5.2 (Benutzerkonten)

Kapitel 4.2

Kapitel 5.3 (Benutzergruppen)

Kapitel 1.1

Kapitel 5.4 (Computerkonten)

–

Kapitel 5.5 (Veröffentlichen von Ressourcen)

Tabelle 5.1: Verweise auf verwandte Themenbereiche

Voraussetzungen für dieses Kapitel

TIPP

Die Voraussetzungen für dieses Kapitel sind die gleichen wie für das vorangegangene. Für die meisten Übungen benötigen Sie zwei Computer, die als Domänencontroller konfiguriert sind. Die Fragen in der Prüfung sind oft so formuliert, dass Sie dort ein Szenario mit vielen Benutzer-, Gruppen- und Computerkonten vorfinden, die Sie zu verwalten haben. Beachten Sie, dass die lokale Sicherheitsrichtlinie auf Domänencontrollern es nicht zulässt, dass sich normale Benutzer auf einem Domänencontroller interaktiv anmelden dürfen. Konten, die diese Privilegien besitzen, sind in Kapitel 5.4.3 beschrieben.

Für die Prüfung 70-294 müssen Sie wissen, wie Sie Benutzer- und Computer einrichten und welche Privilegien die voreingestellten Benutzerkonten besitzen. Legen Sie ein besonderes Augenmerk auf die Gruppenstrategien, die wir Ihnen in Kapitel 5.4.2 vorstellen.

5.1

Organisationseinheiten

Organisationseinheiten (Organizational Units, OUs) sind logische Container, die zum Verwalten von Active Directory-Objekten (wie Benutzer-, Gruppen- oder Computerkonten) verwendet werden. Das Prinzip der Organisationseinheiten wurde in Kapitel 1 bereits vorgestellt, und in Kapitel 3.4.5 von der planerischen Seite durchleuchtet. Alle Aspekte der Organi-

352

5.1 Organisationseinheiten

5 – Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten

sationseinheiten sind sehr wichtig. In diesem Kapitel geht es nun darum, das Designelement in die Praxis umzusetzen. Um den Einstieg zu erleichtern, haben wir für Sie wieder das Thema aus Kapitel 3.3 aufgenommen und führen Sie nun in die praktische Vorgehensweise ein. Die wichtigsten Eigenschaften von Organisationseinheiten fassen wir noch einmal zusammen: T Organisationseinheiten sind keine Sicherheitsprinzipale. T Sie werden für die Delegation von Verwaltungsaufgaben verwendet. T Sie verwenden diese Organisationseinheiten für das sinnvolle Zusammenfassen von weiteren Objekten, darunter auch anderen Organisationseinheiten. T Sie sind die kleinsten Einheiten, auf denen Sie Gruppenrichtlinien anwenden können.

Organisationseinheiten sind Containerobjekte. Ein Containerobjekt ist jedoch nicht zwangsläufig eine Organisationseinheit.

5.1.1

Modelle

Wir hatten Ihnen bereits mögliche Anordnungen von Organisationseinheiten vorgestellt. Sie können sie je nach Bedarf »einheitlich« oder »gemischt« entwerfen, wie die folgende Liste Ihnen zeigt. Nach Betrachtung aller Möglichkeiten können Sie zu einer der folgenden Lösungen gelangen: 1. Gliederung in Locations oder Orte (Ein anderes deutsches Wort hierfür wäre »Standort«, nur beschreibt dieser Begriff nicht zwangsläufig Microsoft-Standorte.) – Ihre Filialen in Berlin, Bonn, Düsseldorf usw. sind jeweils in einem Container (oder verschachtelt in mehreren Containern) untergebracht. 2. Gliederung in Geschäftsfunktionen wie Marketing, Vertrieb usw. – Hier können Sie Ihr Firmenorganigramm verwenden und die OU-Hierarchie »1 zu 1« abbilden. 3. Gliederung nach Objekttypen wie zum Beispiel Computer und Benutzer – Sie fassen alle Computer eines Betriebssystems oder einer Leistungsklasse zusammen. Oder sie fassen alle Benutzer in einer Organisationseinheit zusammen. 4. Mix aus Locations, Geschäftsfunktionen und Objekttypen – Sie wählen das Optimum aus den drei erstgenannten Modellen. Das hört sich nicht nur gut an, es ist auch zu empfehlen.


353

HIN WEIS

Eine einzige Organisationseinheit wird vom System automatisch installiert: die OU Domain Controllers, erkennbar am Ordnersymbol mit einem darin enthaltenen Buch. Alle anderen Objekte, wie Users usw sind »nur« Container, aber keine Organisationseinheiten. In der OU Domain Controllers werden per Voreinstellung alle Domänencontroller platziert.

MCSE Examen 70-294

Einsatz von Organisationseinheiten mit Gruppenrichtlinien in der Praxis – Ausblick auf das Kapitel 7 Falls Sie Gruppenrichtlinien verwenden möchten, sollten Sie auf jeden Fall diesen Aspekt mit in die Überlegungen zur Strukturierung der OUs einfließen lassen. Stellen Sie sich die folgende Frage: Können Gruppenrichtlinien in jedem Fall eingesetzt werden? Die Technologie jedenfalls ist klasse, die praktische Anwendung scheitert aber größtenteils an deutschen Unternehmensrichtlinien. Sie können mit Gruppenrichtlinien in die persönliche Entscheidungsfreiheit der Benutzer eingreifen, d.h., Sie könnten es so einrichten, dass gewisse Benutzer nur ihre drei benötigten Programme verwenden dürfen und sonst nichts. Der Wunsch jedes Administrators. Nichts kann mehr kaputt gehen... Die Praxis sieht da leider anders aus. Unternehmensrichtlinien blockieren solche Entscheidungen, und in vielen Fällen werden diese Möglichkeiten nicht eingesetzt werden. Wir können Ihnen nur folgenden Tipp geben: Richten Sie die Organisationseinheiten so aus, dass Sie später ohne viel Aufwand optimal Gruppenrichtlinien einsetzen können, und lassen Sie die Technologie erst einmal außen vor. Planen Sie vorerst die Organisationseinheiten nach den oben beschriebenen Faktoren, und sprechen Sie mit den Betriebsräten. Nach einigen Wochen Überzeugungsarbeit können Sie dann vielleicht doch Gruppenrichtlinien verwenden. Für die Microsoft MCSE-Prüfung 70-294 sind solche Überlegungen allerdings nicht von Belang, da Microsoft als amerikanische Firma diese Probleme (eigentlich) nicht kennt. Für Sie gehört das Thema »Gruppenrichtlinien« daher zum absoluten Pflichtprogramm!

5.1.2

Einrichten und Warten

Das Erstellen einer Organisationseinheit (OU) ist über die Konsole Active Directory-Benutzer und -Computer in einfacher Weise möglich, wie Ihnen die Abbildung 5.1 zeigt. Sie können mit OUs eine verschachtelte hierarchische Struktur aufbauen, ähnlich wie Sie beim Dateisystem die Verzeichnisse einrichten würden. Dadurch, dass es keine Obergrenze gibt, wie viel bzw. wie oft Sie verschachteln, kann es zu unübersichtlich tiefen Verschachtelungen kommen. Microsoft empfiehlt, eine Verschachtelung mit nicht mehr als 10 Ebenen zu erstellen. Bedenken Sie auch, dass der Distinguished Name (DN) immer länger wird, je tiefer das Objekt in der Verschachtelung liegt. Es kann daher sein, dass einige Active Directory-integrierte Applikationen nicht verwendet werden können, da sie nur eine bestimmte Länge des Distinguished Name zulassen.

Eigenschaften Der folgende Abschnitt gibt Ihnen einen Überblick über die Einstellungsmöglichkeiten in Organisationseinheiten. Beachten Sie, dass Sie das OU-Objekt zunächst erstellen müssen und anschließend erst bearbeiten können. Dies geschieht, wie bei allen Objekten üblich, indem Sie mit der Maustaste auf das betreffende Objekt klicken und anschließend mit der rechten Maustaste das Kontextmenü aufrufen. (Sie können allerdings auch das Menü in der Managementkonsole verwenden.) Dort finden Sie dann den Eintrag Eigenschaften.

354



Abbildung 5.1: Einrichten von Organisationseinheiten. Sie erstellen zuerst die OU, und anschließend bearbeiten Sie die Eigenschaften.

Nach dem Erstellen einer OU können Sie in den Eigenschaften Folgendes hinzufügen: T Register ALLGEMEIN – Beschreibung, Straße, Ort, Bundesland, Postleitzahl und Land/Region. T Register VERWALTET VON – Angaben über den Benutzer oder Ansprechpartner, der für die Verwaltung des Objekts verantwortlich ist. Diese Registerkarte hat lediglich einen beschreibenden Charakter. T Register OBJEKT – Sie erkennen den kanonischen Namen des Objekts, die Objektklasse, wann das Objekt erstellt und geändert wurde und die aktuelle und ursprüngliche USN (Update Sequence Number). Weitere Informationen zum Thema USN finden Sie in Kapitel 4.4.4. T Register SICHERHEIT – Sie erkennen und bearbeiten die Berechtigungen von Gruppen und Benutzern, die auf die OU zugreifen dürfen. T Register PARTITIONSGRUPPE – Sie finden in dem einzeiligen Listenfeld vorher definierte COM+-Partitionsgruppen (Component Object Model, COM) zur Auswahl, die der OU zugewiesen werden können.


355

MCSE Examen 70-294

Verschieben Sie können Organisationseinheiten innerhalb einer Domäne oder zu anderen Domänen verschieben. Verwenden Sie für das Verschieben innerhalb der Domäne die Konsole Active Directory-Benutzer und -Computer oder das Kommandozeilenprogramm dsmove.exe. Für das Verschieben von OUs zwischen Domänen verwenden Sie hingegen das Dienstprogramm MoveTree. Sie können OUs folgendermaßen über die Managementkonsole verschieben: 1. Über Drag&Drop (eine Neuheit in Windows Server 2003) 2. Über die Option Verschieben im Kontextmenü Das Kommandozeilenprogramm dsmove.exe können Sie über folgende Syntax verwenden: dsmove Objekt_DN [-newparent ] [-newname ] [{-s <Server> | -d }] [-u ] [-p { | *}] [-q] [{-uc | -uco | -uci}]

Bemerkung: Auch hier stellt das Pipe-Zeichen »|« wieder ein »oder« dar. Parameter

Beschreibung

Objekt_DN

Sie geben als Wert den definierten Namen (Distinguished Name) des hinzuzufügenden Objekts an. Wenn Sie das Zielobjekt weglassen, wird die Standardeingabe (stdin) verwendet.

-newparent

Sie geben hier als Wert den definierten Namen des neuen übergeordneten Pfads an, auf den das Objekt verschoben werden soll.

-newname

Sie geben den neuen RDN (Relative Distinguished Name, relativer definierter Name) an, in den das Objekt umbenannt werden soll.

-s <Server> | -d Sie stellen mit -s<Server> eine Verbindung zum Domänencontroller mit dem Namen <Server> her. Mit der Option -d stellen Sie eine Verbindung mit dem Domänencontroller in der benannten Domäne her. In der Voreinstellung verbinden Sie einen Computer mit dem Domänencontroller in einer Anmeldedomäne. Merke: »-s wie source«. -u

Sie geben den Benutzernamen an, mit dem Sie sich an einem Remoteserver anmelden. Als Standard wird der bereits angemeldete Benutzer verwendet. Sie können einen UPN ebenso verwenden wie die Form Domäne\Benutzername. Merke: »-u wie user«.

Tabelle 5.2: Beschreibung der Parameter des Programms dsmove.exe

356


5 – Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten Parameter

Beschreibung

-p { | *}

Geben Sie hier das Kennwort für den Benutzer ein. Wenn Sie ein »*« angeben, werden Sie nach der Ausführung des Befehls aufgefordert, ein Kennwort einzugeben. Dieser Parameter ist nur in Verbindung mit dem -p-Parameter zulässig. Merke: »-p wie Password«.

-q

Sie aktivieren hier den stillen Modus und unterdrücken als Konsequenz die Bildschirmausgaben. Merke: »q wie quiet«.

-uc | -uco | -uci

T Parameter -uc – Sie legen fest, dass die Eingabe und Ausgabe an T T

die Pipe »|« im Unicode-Format angezeigt werden. Merke: »-uc wie unicode«. Parameter -uco – Sie legen fest, dass nur die Ausgabe an die Pipe oder die Datei im Unicode-Format angezeigt wird. Merke: »-uco wie unicode out«. Parameter -uci – Sie legen fest, dass nur die Eingabe von einer Pipe oder die Datei im Unicode-Format angezeigt wird. Merke: »-uci wie unicode in«.

Tabelle 5.2: Beschreibung der Parameter des Programms dsmove.exe (Forts.)

Falls Sie einen Wert angeben, der Leerzeichen enthält, müssen Sie diesen in Anführungszeichen einschließen. Für den Container Vertrieb Nord in der Domäne pearson.de geben Sie folglich "cn=Vertrieb Nord,dc=pearson,dc=de" ein. Mehrere Werte müssen Sie hingegen immer durch Kommas getrennt eingeben. Sollten Sie in den Namen der Organisationen Kommas als Trennzeichen verwenden, müssen diese einem umgekehrten Schrägstrich (Backslash) folgen. Für den Container Vertrieb, Ost in der Domäne pearson.de geben Sie daher "cn=Vertrieb\, Ost,dc=pearson,dc=de" ein. Gleiches gilt auch, falls im Namen der OU ein umgekehrter Schrägstrich vorhanden ist. Verwenden Sie allerdings diese Namen nicht in einer Umgebung, die auch mit Unix/Linux oder anderen Betriebssystemen kooperieren muss. Folgende Beispiele verdeutlichen die Verwendung: Sie möchten den Namen der Organisationseinheit von Vertrieb auf Marketing ändern. Geben Sie Folgendes ein: C:\>dsmove "ou=Verkauf,dc=pearson,dc=de" -newname "Marketing" dsmove war erfolgreich: ou=Verkauf,dc=pearson,dc=de Listing 5.1: Umbenennen einer OU mit der betreffenden Bestätigungsausgabe.

Im nächsten Beispiel verschieben Sie die OU Vertrieb in die OU Marketing. Marketing wird das übergeordnete Objekt von Vertrieb. (Die Eingabe kann auch in kleinen Buchstaben erfolgen.) C:\>dsmove "ou=vertrieb,dc=pearson,dc=de" -newparent "ou=marketing,dc=pearson,dc=de" dsmove war erfolgreich:ou=vertrieb,dc=pearson,dc=de Listing 5.2: Verschieben einer OU mit der betreffenden Bestätigungsausgabe


357

MCSE Examen 70-294

5.2

Benutzerkonten

Damit sich ein Benutzer überhaupt an einen Windows NT/2000/XP- oder auch Windows Server-2003 Computer anmelden darf, benötigt er ein sog. Benutzerkonto. Für den Benutzer sieht das so aus, dass er seinen Benutzernamen, sein Kennwort und unter Anmelden an entweder seine Domäne oder seinen Computernamen beim Anmeldevorgang angibt (siehe Abbildung 5.2). Um diesen Anmeldevorgang von einem normalen Verbinden über das Netzwerk abzugrenzen, spricht man auch von der interaktiven Anmeldung eines Benutzers. Sind alle Angaben des Benutzers korrekt eingegeben, hat er sich erfolgreich authentifiziert. Mit dieser Authentifizierung bestätigt die authentifizierende Instanz die Identität des Benutzers, ähnlich wie bei einem Bankautomaten und Ihrer Scheckkarte.

Abbildung 5.2: Interaktive Anmeldung durch Angabe von Benutzernamen, Kennwort und Anmeldedomäne

Die Angabe von Benutzernamen und Kennwort birgt, wie Sie sich sicherlich vorstellen können, ein gewisses Risiko. Unbefugte Personen könnten den Benutzernamen und das Kennwort ausspähen. Um diese potenzielle Schwachstelle zu schließen, können Sie Smartcards verwenden. Eine Smartcard erinnert an die Verwendung von EC-Karten an einem Bankautomaten. Sie benötigen für Smartcards Lesegeräte und die entsprechenden Karten. Die Smartcard enthält einen Chip, der den persönlichen chiffrierten Schlüssel des Benutzers gespeichert hat. Der Nachteil hierbei ist, dass der Benutzer die Chipkarte nicht verlieren darf. Um das Risiko bei einem Diebstahl zu minimieren, muss der Benutzer noch zusätzlich eine relativ kurze PINNummer angeben. Hat sich der Benutzer erfolgreich am Betriebssystem authentifiziert, kann er, je nach seinen Privilegien, Änderungen am Betriebssystem ausführen. Der andere Zweck der Authentifizierung ist der sichere Zugriff auf Programme und Ressourcen wie Drucker, Verzeichnisse oder Dateien. Jeder Benutzer bekommt nach der Anmeldung sein persönliches Profil zugewiesen. Im Profil des Benutzers sind Einstellungen (wie Bildschirmfarben, Hintergrundbild, die Verzeichnisse unter Eigene Ordner und Outlook-Postfacheinstellungen) integriert. Wird ein neues Konto erstellt, erhält der Benutzer beim ersten Anmelden die Kopie eines voreingestellten Profils zugewiesen.

358

5.2 Benutzerkonten


5.2.1

Lokale Anmeldung

Bei einer lokalen Anmeldung kann sich der Benutzer nur mit einem lokalen Benutzerkonto anmelden. Das Benutzerkonto existiert nur auf dem Computergerät in der lokalen Sicherheitsdatenbank, das der Benutzer gerade bedient. Auch hier meldet sich der Benutzer mit einem Konto am Anmeldebildschirm seines Computers an. Die lokale Sicherheitsdatenbank des Computers authentifiziert ihn und ermöglicht es ihm, über sein Profil auf den Computer zuzugreifen. Die lokale Sicherheitsdatenbank ist nicht mit der Active Directory-Datenbank zu verwechseln, obwohl Sie auch in der lokalen Sicherheitsdatenbank Benutzer- und Gruppenkonten einrichten können. Dieser Fall ist in Hinblick auf eine übersichtliche Verwaltung aber nicht empfehlenswert. Ist der Benutzer an dem Computer authentifiziert, kann er, entsprechende Privilegien vorausgesetzt, auf alle Ressourcen des lokalen Computers zugreifen. Leider kann ein Benutzer im Anmeldebildschirm nicht erkennen, ob er sich am Computer (also lokal) oder an der Domäne anmeldet. Er muss den richtigen Namen im Listenfeld kennen. Ihre Aufgabe als Administrator ist, Ihren Benutzern den Domänennamen mitzuteilen und ihnen beizubringen, die richtige Domäne beim Anmelden auszuwählen.

Abbildung 5.3: Anmeldung mit einem lokalen Benutzerkonto

Dieses Verfahren funktioniert nur bei Computern, die folgende Betriebssysteme hosten: T Windows NT (Version 3.5x oder 4.0) Workstation T Windows 2000 Professional T Windows XP Professional T Windows NT (Version 3.5x oder 4.0) Server, als Mitgliedsserver oder allein stehender Server konfiguriert T Windows 2000 Server, als Mitgliedsserver oder allein stehender Server konfiguriert

Vergleichen Sie auch die Thematik der lokalen Anmeldung mit den Überlegungen zum Arbeitsgruppen- und zum Domänenmodell aus Kapitel 1.1.1.

5.2.2

Anmeldung an Active Directory

Ein Benutzer benötigt bei der Anmeldung an die Active Directory-Verzeichnisdienste nur ein einziges Benutzerkonto. Mit dem Anmeldenamen und einem Kennwort oder einem Zertifikat über eine Smartcard wird die gültige Identität des Benutzers festgestellt. Dieser Vorgang

5.2 Benutzerkonten

359

HIN WEIS

T Windows Server 2003, als Mitgliedsserver oder allein stehender Server konfiguriert

MCSE Examen 70-294

wird als Authentifizierung bezeichnet. Für den vollständigen Zugriff auf die Gesamtstruktur wird demnach nur ein einziger Anmeldevorgang benötigt. Für den Anmeldevorgang muss sich der Benutzer interaktiv an einer Arbeitsstation anmelden. Diese sucht über den DNS-Namen einen gültigen Anmeldeserver. Windows Active DirectoryDomänencontroller antworten auf diese Anfrage, da sie den Dienst Key Distribution Center (KDC) beherbergen. Kann der DNS-Name des Domänencontrollers nicht gefunden werden (zum Beispiel, wenn der Domänencontroller offline ist), dann kann keine Anmeldung am Clientcomputer erfolgen, es denn, es wird ein Anmelden über die gecachten Anmeldeinformationen erlaubt. Diese Sicherheitseinstellung kann über Gruppenrichtlinien gesteuert werden. Mehr zum Thema Gruppenrichtlinien finden Sie in Kapitel 7. Mit den gecachten Anmeldeinformationen kann sich ein Benutzer, der sich schon einmal erfolgreich angemeldet hat, erneut interaktiv an der Arbeitsstation anmelden. Antwortet ein Domänencontroller auf die Anfrage des Clientcomputers, wird dieser für den weiteren Anmeldevorgang berücksichtigt. Antworten mehrere Domänencontroller auf die Anfrage, wird immer derjenige genommen, der zuerst antwortet. Daher kann es wichtig sein, immer einen Domänencontroller in einem Standort zu platzieren. Nachdem die Verzeichnisdienste die Identität des Benutzers bestätigt haben, generiert die lokale Sicherheitsautorität (Local Security Authority, LSA) des Clientcomputers einen Zugriffstoken (Access Token), welcher die Zugriffsstufe des jeweiligen Benutzers hinsichtlich des Zugriffs auf Netzwerkressourcen bestimmt. Die lokale Sicherheitsautorität ist das Sicherheitssubsystem, das für die gesamte interaktive Benutzerauthentifizierung und -autorisierung auf einem lokalen Computer verantwortlich ist. Die LSA wird weiterhin zum Verarbeiten von Kerberos-Authentifizierungsanforderungen verwendet, die mit dem Kerberos V5-Protokoll oder dem NTLMProtokoll (NT Lan Manager-Protokoll) ausgeführt werden.

HIN WEIS

Der Zugriffstoken enthält nur Informationen zur Mitgliedschaft bei lokalen Domänengruppen, falls die lokalen Domänengruppen in Bezug auf die Domäne des Domänencontrollers lokal sind.

Es wird eine Reihe sicherer Protokolle und Mechanismen zur Authentifizierung in Windows Server 2003 unterstützt, wie zum Beispiel Kerberos Version 5 (Standard), X.509v3-Zertifikate, PKI (Public Key Infrastructure), Smartcards und LDAP (Lightweight Directory Access Protocol) mit SSL (Secure Sockets Layer). Zusätzlich zum Zugriffstoken wird dem Benutzer eine Sicherheitskennung (Security IDentifier, SID) zugewiesen, die in den Zugriffstoken integriert wird. Der Zugriffstoken enthält den Namen des jeweiligen Benutzers und die Gruppen, denen er angehört, sowie eine SID für den Benutzernamen und die SIDs derjenigen Gruppen, denen er angehört. Der Zugriffstoken bleibt während der gesamten Sitzung des Benutzers unverändert. Mehr zum Thema Sicherheitskennung können Sie in Kapitel 6 nachlesen.

360

5.2 Benutzerkonten


Abwärtskompatibilitäten Ältere Windows-basierte Betriebssysteme enthalten keinen Mechanismus für eine sichere Anmeldung über Kerberos oder Smartcards, wie sie von Active Directory verlangt wird. Sie enthalten auch keine integrierte Unterstützung für SMB-Signaturen (Server Message Blocks-Signaturen), für die Verschlüsselung oder für die Kommunikation über einen sicheren Kanal. Daher kann mit ihnen standardmäßig keine Verbindung mit Windows Server 2003-basierten Domänencontrollern hergestellt werden. Nachfolgend finden Sie die betreffenden Betriebssysteme mit einem Lösungsvorschlag: T Windows für Workgroups – Aktualisieren Sie das Betriebssystem. T Windows 95 – Aktualisieren Sie das Betriebssystem, oder installieren Sie die Active Directory-Clientsoftware. T Windows NT 4.0 – Aktualisieren Sie das Betriebssystem, oder installieren Sie das NT-Service Pack 4 (oder höher). Für die voreingestellte SMB-basierte Kommunikation müssen bei Domänencontrollern unter den Betriebssystemen der Windows Server 2003-Produktfamilie alle Clientcomputer digitale Signaturen verwenden. Das SMB-Protokoll stellt Ihnen folgende Funktionen bereit: T Dateifreigabe T Druckerfreigabe T Remoteverwaltungsfunktionen T Anmeldeauthentifizierung für einige Clients unter älteren Betriebssystemversionen Sie können alle Windows Server 2003-Domänencontroller in einer Domäne so konfigurieren, dass SMB-Signaturen nicht erforderlich sind. Aus Sicherheitsgründen können wir Ihnen dies selbstverständlich nicht empfehlen!

5.2.3

Vordefinierte Benutzerkonten

Mit der Einrichtung von Active Directory erstellt das Betriebssystem automatisch eine Reihe von Konten. Sie befinden sich im Container Users und werden auch als vordefinierte Konten bezeichnet. Sie können sie bei Bedarf deaktivieren, jedoch nicht löschen. Konto

Beschreibung

Administrator

Standardkonto mit höchsten Privilegien

Gast

Standardkonto mit den wenigsten Privilegien (per Voreinstellung deaktiviert).

TsInternetUser

Standardkonto für die Verwendung der Terminaldienste

krbtgt

Dienstkonto des Schlüsselverteilungscenters (per Voreinstellung deaktiviert).

Tabelle 5.3: Beschreibung der vordefinierten Konten

5.2 Benutzerkonten

361

MCSE Examen 70-294 Konto

Beschreibung

IUSR_Computername

Standardkonto für den anonymen Zugriff auf die Internet Information Services (IIS). Dieses Konto wird nur dann erstellt, wenn Sie die Internet Information Services installieren.

IWAM_Computername

Standardkonto für den anonymen Zugriff auf prozessinterne IIS-Anwendungen. Dieses Konto wird nur dann erstellt, wenn Sie die Internet Information Services (IIS) installieren.

TIPP

Tabelle 5.3: Beschreibung der vordefinierten Konten (Forts.)

Sie können die Benutzerrechte von Konten über ein Gruppenrichtlinienobjekt (GPO) in Active Directory oder über eine lokale Gruppenrichtlinie am Computer verändern. Verändern Sie im GPO-Editor die Einstellungen für Benutzerrechte im Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIEN/ ZUWEISEN VON BENUTZERRECHTEN.

Administrator Verwenden Sie das vordefinierte Konto Administrator für die umfassende Verwaltung des Computergeräts und der Active Directory-Verzeichnisdienste. Das Administratorkonto ist ein Standardmitglied der Gruppen Administratoren, Domänen-Admins, Organisations-Admins, Richtlinien-Ersteller-Besitzer und Schema-Admins. Das Administratorkonto hat die höchsten Privilegien und kann aus Sicherheitsgründen nicht gelöscht werden. Die Privilegien umfassen alle administrativen Tätigkeiten in der Kontendomäne und in untergeordneten Domänenstrukturen. Dies birgt eine potentielle Gefahr. Ein Angreifer könnte solange versuchen, sich unter dem Benutzernamen Administrator anzumelden, bis er das richtige Kennwort herausgefunden hat. Sie müssen folglich dieses Konto immer schützen (es sei denn, Sie haben einen Testaufbau). Hier einige wichtige Regeln: T Benennen Sie das Konto Administrator immer um. T Der neue Name sollte nach Möglichkeit nur wenigen Personen bekannt sein. T Nehmen Sie statt des Administrator-Kontos ein Äquivalent. Für dieses Äquivalent können Sicherheitsrichtlinien in Gruppenrichtlinien greifen. Versucht ein Unbefugter, sich über dieses Konto anzumelden, kann das Konto bei falscher Kennworteingabe gesperrt werden. Sie können dann das Konto Administrator deaktivieren. T Setzen Sie für die administrativen Konten Kennwörter, die den Komplexitätsanforderungen genügen. T Halten Sie administrative Konten und insbesondere Kennwörter geheim! T Verwenden Sie Kennwörter, die nichts mit Ihren persönlichen Lebensumständen zu tun haben.

362

5.2 Benutzerkonten


Wenn Sie als Administrator in Ihrer Firma/Organisation tätig sind, ist es ratsam, sich neben dem eigentlichen administrativen Konto noch ein normales Benutzerkonto zu erstellen. Mit diesem arbeiten Sie als normaler Benutzer. Falls Sie dennoch administrative Aufgaben durchführen müssen, können Sie in der Sitzung angemeldet bleiben und das entsprechende administrative Programm mit Ausführen als starten. Dazu klicken Sie das entsprechende Programm über die Startleiste mit der rechten Maustaste an halten und gleichzeitig die Hochstelltaste (ª) gedrückt.

Gast Das Gastkonto ist ein Konto mit niedrigen Privilegien, das für die Anmeldung ohne Kennwort verwendet werden kann. Dennoch ist es empfehlenswert, es umzubenennen und ein Kennwort zu vergeben, wenn Sie dieses Konto verwenden. Ein Löschen des Kontos Gast ist nicht möglich. In der Voreinstellung ist es deaktiviert.

5.2.4

Kennwörter

Kennwörter dienen zum Schutz Ihrer Daten und Ihrer Domäne. Damit Benutzer nicht »allzu lasch« mit Kennwörtern und Kennwortlängen umgehen, gibt es bei Windows Server 2003basierten Domänencontrollern eine voreingestellte Sicherheitsrichtlinie. Sie besagt, dass Kennwörter den Komplexitätsvoraussetzungen entsprechen müssen. Das sichere Kennwort (für die MCSE-Prüfung) besitzt folgende Charakteristika: T Es hat mindestens eine Länge von 7 Zeichen. T Es enthält kein gängiges Wort (das Angreifer schnell im Wörterbuch finden können). T Es enthält mindestens Zeichen aus drei von den vier Gruppen, die in Tabelle 5.4 aufgelistet sind. Gruppe

Zeichen

Gruppe 1: Großbuchstaben

A, B, ...Z

Gruppe 2: Kleinbuchstaben

a, b, ... z

Gruppe 3: Ganze Zahlen

0, 1, 2, 3, ...9

Gruppe 4: Sonderzeichen

! " # $ % & ' ( ) * + ... (Alle auf der Tastatur befindlichen Symbole, die keine Buchstaben oder Ziffern sind.)

Tabelle 5.4: Gruppen zur Bildung komplexer Kennwörter

Ein sicheres Kennwort ist beispielsweise M#9xyT. (Problematisch bei Kennwörtern, die eine hohe Komplexität besitzen, ist die praktische Umsetzung. Wer will schon, dass sich die Mitarbeiter das Kennwort unter der Tastatur aufschreiben, da sie es sonst nicht behalten können?)

5.2 Benutzerkonten

363

HIN WEIS

MCSE Examen 70-294

Mit Hilfe von Gruppenrichtlinien können Sie Kennwortrichtlinien für Standorte, Domänen und Organisationseinheiten definieren. Verändern Sie im Gruppenrichtlinienobjekt-Editor die Kennworteinstellungen im Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/KONTORICHTLINIEN/KENNWORTRICHTLINIEN.

5.2.5

Smartcards

Smartcards sind kleine Karten in Kreditkartengröße, die einen Chip oder Magnetstreifen besitzen. Je nach Technologie und Alter besitzen die Lesegeräte nur eine unwesentlich größere Abmessung. Modernere Karten besitzen heute einen Chip, der einen persönlich chiffrierten Schlüssel, Anmeldeinformationen und ein auf öffentlichen Schlüsseln basierendes Zertifikat des Benutzers gespeichert hat. Als zusätzliche Sicherheit vor einem Diebstahl muss der Benutzer eine PIN-Nummer (Personal Identification Number) eingeben. Smartcards basieren auf der Infrastruktur mit öffentlichen Schlüsseln, die auch Public Key Infrastructure (PKI) genannt wird. Smartcards haben somit den großen Vorteil, dass Benutzer sich keine langen Kennwörter merken müssen und die Gefahr wesentlich verringert wird, dass sie sich die Kennwörter aufschreiben oder unter die Tastatur malen. Für die Einrichtung von Smartcards benötigen Sie folgende Hard- und Software: T Ein Lesegerät für jeden Client T Einen Computer als Smartcard-Registrierungsstelle T Eine Zertifizierungsstelle Eine Anmeldung über Smartcards wird von den Betriebssystemen Windows 2000 Server und Windows Server 2003 unterstützt. Sie können bei beiden auswählen, welches ihre Zertifizierungsstelle werden soll: T Die Zertifizierungsstelle eines anderen Herstellers (von Microsoft »liebevoll« Dritthersteller genannt) T Die Organisationszertifizierungsstelle, die in Active Directory integriert ist T Die Organisationszertifizierungsstelle, die nicht in Active Directory integriert ist und von Microsoft als eigenständige Organisationszertifizierungsstelle bezeichnet wird Windows Server 2003 unterstützt Smartcards und Smartcard-Lesegeräte, die nach dem Industriestandard PC/SC (Personal Computer/Smart Card) konfiguriert sind, und stellt Treiber für diesen Standard bereit. Beachten Sie, dass die Geräte nach Möglichkeit auch noch die Plug&Play-Fähigkeit besitzen.

364

5.2 Benutzerkonten


5.2.6

Erstellen von Benutzern

Sie können Benutzerkonten über die Managementkonsole Active Directory-Benutzer und -Computer oder über das Kommandozeilenprogramm dsadd user erstellen. Möchten Sie eine große Anzahl von Konten anlegen, ist es empfehlenswert, dass Sie eine der Massenimportfunktionen von Windows Server 2003 verwenden. Hierfür stehen Ihnen die Kommandozeilenprogramme Csvde.exe und Ldifde.exe zur Verfügung. Jedes neu erstellte Konto erhält zunächst automatisch die Privilegien eines Domänen-Benutzers. Nach der Erstellung müssen Sie weitere Einstellungen vornehmen, indem Sie die Eigenschaften des neuen Kontos bearbeiten. Zum Erstellen von Benutzerkonten müssen Sie in einer der folgenden Gruppen Mitglied sein: T Konten-Operatoren, T Domänen-Admins, T Organisations-Admins oder es wurden Ihnen entsprechende Berechtigungen delegiert.

Erstellen von Benutzern über die Managementkonsole Das Erstellen eines Benutzerkontos über die Managementkonsole ist die einfachste Möglichkeit. Die Felder Vollständiger Name, Benutzeranmeldename und Benutzeranmeldename (PräWindows 2000) sind obligatorisch, d.h., sie müssen ausgefüllt werden. Andere wie Vorname usw. können Sie leer lassen, falls Sie es möchten.

Abbildung 5.4: Erstellen eines Benutzerkontos

Beachten Sie, dass der Benutzeranmeldename nicht identisch mit dem Benutzeranmeldenamen für Prä-Windows 2000-basierte Anmeldungen sein muss. Daher können Sie durchaus verschiedene Namen verwenden, wie Abbildung 5.4 zeigt. Des Weiteren können Sie, falls Sie benutzerdefinierte Domänensuffixe eingerichtet haben, diese im Listenfeld Benutzeranmeldename auswählen. 5.2 Benutzerkonten

365

MCSE Examen 70-294

Bei der Wahl des Benutzernamens beachten Sie bitte Folgendes: T Falls Sie ein Messaging-System wie Exchange Server einsetzen, kann es vorteilhaft sein, dass Benutzer sich mit ihrem E-Mail-Konto anmelden. Dies kann beispielsweise die Form Vorname.Nachname@Domäne.Domäne haben. Weisen Sie Ihre Benutzer an, sich nur mit dem E-Mail-Konto anzumelden. T Wenn Sie kein E-Mail-System einsetzen, können Sie Benutzeranmeldenamen und PräWindows-Namen gleich setzen. T Für die Prä-Windows-Anmeldung können Sie einen von dem E-Mail-Namen unterschiedlichen Namen verwenden. Diese Einstellung müssen Sie verwenden, falls Sie noch Windows NT-Clientcomputer einsetzen. Nach der Eingabe der allgemeinen Benutzerdaten geben Sie weitere ein, die das Kennwort betreffen. In der Regel ist es so, dass Sie als Administrator ein Kennwort für den Benutzer vorgeben, dieses dem Benutzer mitteilen und dieser es beim ersten Anmelden ändert. Für diese Einstellung ist standardmäßig das Kontrollkästchen Benutzer muss Kennwort bei der nächsten Anmeldung ändern aktiviert. Falls Sie gleichzeitig noch eintragen, dass der Benutzer das Kennwort nicht ändern darf, sind Sie zumindest ein Spaßvogel. Das kann natürlich nicht funktionieren, und es wird auch mit einer entsprechenden Fehlermeldung honoriert. Das Verbieten der Kennwortänderung ist nur dann angebracht, wenn mehrere Personen das gleiche Konto verwenden.

Privatsphäre von Benutzern zur Wahrung von Firmengeheimnissen Dadurch, dass der Benutzer sein eigenes Kennwort wählen darf, garantieren Sie die Privatsphäre des Benutzers, denn nur er hat Kenntnis über sein Kennwort. Sie sind zwar später in der Lage, das Kennwort zurückzusetzen, doch auf normalem Weg können Sie sein Kennwort nicht ausspionieren. Der Benutzer ist somit in der Lage, sein Benutzerprofil und die durch sein Konto geschützten Informationen mit seinem Konto zu schützen. Sollte ein Administrator Zugriff auf eine Ressource erzwingen wollen, kann er zwar das Kennwort zurücksetzen, dem Benutzer jedoch das ursprüngliche nicht wiedergeben. Zugriff auf Ressourcen kann ein Administrator über das »Übernehmen des Besitzrechts« erhalten. Um diesen Faktor für alle Benutzer transparent zu gestalten, kann eine Überwachung der Besitzübernahme protokolliert werden. Für den Schutz der Firmendaten gibt es in vielen Firmen Richtlinien, die in Absprache mit der Geschäftsleitung und dem Betriebsrat eine Regelung treffen. Sie, als verantwortlicher Administrator, müssen in diesem Fall eine entsprechende Verschwiegenheitsklausel unterzeichnen. Wenn Sie das Kontrollkästchen Kennwort läuft nie ab aktivieren, so erlauben Sie, dass der Benutzer sein Kennwort immer behält, und setzen somit die standardmäßige Einstellung Benutzer muss Kennwort bei der nächsten Anmeldung ändern außer Kraft. Sie werden über diesen Vorgang durch eine entsprechende Meldung informiert. Diese Einstellung setzt weiterhin eine Sicherheitsrichtlinie außer Kraft, die über eine Gruppenrichtlinie dem Benutzer zugewiesen wurde.

366

5.2 Benutzerkonten


Abbildung 5.5: Eingabe des vordefinierten Kennworts

Erstellen von Benutzern über Dsadd user Sie können auch über die Eingabeaufforderung oder per Batchdatei neue Benutzer einrichten. Geben Sie hierfür Folgendes ein: dsadd user Benutzer_DN [-samid SAM_Name] [-pwd {Kennwort|*}]

Tabelle 5.5 enthält die möglichen Werte: Wert

Beschreibung

Benutzer_DN

Der Wert entspricht dem definierten Name (Distinguished Name) des Benutzerobjekts, das Sie hinzufügen möchten.

SAM_Name

Sie geben hier den eindeutigen SAM-Kontonamen ein, den Sie sonst in das Feld Benutzeranmeldename (Prä-Windows 2000) in Abbildung 5.4 eingeben würden. SAM ist die Abkürzung für Security Accounts Manager und bezieht sich auf Windows NT. Ohne Angabe eines Werts bildet Dsadd anhand der ersten 20 Zeichen des gemeinsamen Namens (Common Name, CN) einen SAM-Namen.

Kennwort

Geben Sie hier das vordefinierte Kennwort ein. Falls Sie ein * angeben, werden Sie bei Ausführung des Befehls nach dem Kennwort gefragt.

/?

Sie lassen sich die vollständige Syntax des Befehls anzeigen.

Tabelle 5.5: Werte für die Befehlszeilenparameter

Erstellen von Benutzern über Csvde Das Dienstprogramm Csvde.exe (Comma Separated Value Directory Exchange, CSVDE) unterstützt den Massenimport von Benutzerkonten. Es kann verwendet werden, um über eine kommaseparierte Textdatei Informationen über Benutzerkonten in die Active Directory-

5.2 Benutzerkonten

367

MCSE Examen 70-294

Datenbank einzulesen. Csvde unterscheidet sich vom Ldifde-Programm dadurch, dass es nur ein Hinzufügen von Konten zulässt. Eine Veränderung bzw. Bearbeitung der Konten ist nicht möglich. Die Schwierigkeit beim Massenimport besteht darin, dass Sie die verwendete Textdatei hundertprozentig korrekt eingeben müssen. Fehler treten in diesem Zusammenhang auf, wenn Sie den DN oder die Objektattribute falsch eingeben. Wegen der Vielzahl der Attribute (siehe auch im Anhang A) kann allerdings nicht auf alle eingegangen werden. Daher haben wir für Sie in Tabelle 5.6 die Wichtigsten aufgelistet. Attribut

Wert (Beispiel)

DN (Distinguished Name)

CN= Frank Castro Lieberwirth,OU=Autoren,DC=pearson,DC=de.

objectClass

User

sAMAccountName

FrankCastro

userPrincipalName

[email protected]

displayName

Frank Castro Lieberwirth

userAccountControl

512 (Konto aktiviert) 514 (Konto deaktiviert)

Tabelle 5.6: Einige Objektattribute, die Sie verwenden können (Weitere finden Sie in der technischen Referenz oder in der Active Directory-Schema-Konsole.)

Abbildung 5.6: Zusammenhang zwischen den Objektattributen und den Einträgen beim manuellen Einrichten von Benutzerkonten

368

5.2 Benutzerkonten


Das Programm hat folgende Syntax: csvde <Parameter>

Sie können die folgenden Eingabeparameter verwenden: Parameter

Beschreibung

-i

Aktiviert den Importmodus (Standard: Export)

-f

Dateiname für die Eingabe bzw. Ausgabe

-s <Servername>

Server, zu dem gebunden werden soll. Als Standard wird der Domänencontroller der Domäne verwendet, in der sich der erstellende Computer befindet.

-v

(verbose) Aktiviert den ausführlichen Modus.

-c

Ersetzt die Vorkommnisse von VonDN durch ZuDN. Mit DN wird der Distinguished Name eines Objekts bezeichnet.

-j

Pfad zur Protokolldatei

-t

LDAP-Portnummer (Standard: Port 389)

-u

Verwendet das Unicode-Format.

-d <Stamm-DN>

Stamm der LDAP-Suche (Standard: Namenskontext)

-r

LDAP-Suchfilter (Standard: "(objectClass=*)")

-p <Suchbereich>

Suchbereich (Basis/Eine Ebene/Untergeordnete Struktur)

-l

Liste der Attribute (durch Komma getrennt), nach denen bei der LDAP-Suche gesucht wird

-o

Liste der Attribute (durch Komma getrennt), die bei der Eingabe ausgelassen werden

-g

Deaktiviert die seitenweise Suche.

-m

Aktiviert die SAM-Logik beim Export.

-n

Exportiert keine Binärwerte.

-k

Ignoriert die Fehler Beschränkungsverletzung und Objekt ist bereits vorhanden beim Import.

-a [Kennwort | *]

Einfache Authentifizierung. Wenn keine Anmeldeinformationen angegeben werden, wird Csvde die Bindung als aktuell angemeldeter Benutzer unter Verwendung des Security Support Provider Interface (SSPI) durchführen.

-b Domäne [Kennwort | *]

SSPI-Bindungsmethode

-?

Zeigt die Hilfe an.

Tabelle 5.7: Parameter für einen Massenimport über csvde.exe

5.2 Benutzerkonten

369

HIN WEIS

MCSE Examen 70-294

Die Windows-Sicherheits-APIs zur Netzwerkauthentifizierung werden vom Security Support Provider Interface (SSPI) definiert. Die SSPI kommuniziert mit einer Win32-API, die auf der Generic Security Service Application Program Interface (GSS-API) basiert und eine ähnliche Schnittstellenabstraktion für die Verwaltung des Sicherheitskontexts bietet wie die herkömmliche. Möchten Sie zum Beispiel einen Import in die Active Directory-Datenbank bewirken, müssen Sie Folgendes eingeben: csvde -i -f EINGABE.CSV

Die Importdatei muss im Textformat abgespeichert und so beschaffen sein, dass in der ersten Zeile die Objekt-Attribute (siehe Tabelle 5.6) und in den folgenden Zeilen die Werte in der Reihenfolge der Eingabe der Attribute stehen. Die Reihenfolge ist sehr wichtig, denn sonst kann Csvde keinen korrekten Import bewerkstelligen. Zwischen den Attributnamen darf kein Leerzeichen oder keine Leerzeile existieren. Die Attribute werden immer mit einem Komma getrennt. Erste Zeile: DN,sAMAccountName,userPrincipalName,objectClass,userAccountControl

Zweite Zeile und folgende Zeilen analog1:

TIPP

"CN=Frank Castro Lieberwirth,OU=Autoren,OU=pearson,OU=de",FrankCastro, [email protected],user,512

Für die Prüfung sollten Sie wissen, dass mit Csvde und Ldifde ein Massenimport von Benutzerkonten möglich ist. Alternativ zu diesen Dienstprogrammen können Sie auch über ein Visual-Basic-Skript (VBScript) einen Import durchführen. Sie können ebenfalls Visual Basic oder Java verwenden.

Erstellen von Benutzern über Ldifde Als weiteres Programm für den Massenimport eignet sich Ldifde.exe. Der wesentliche Vorteil gegenüber Csvde ist der, dass Sie mit Ldifde auch Konten verändern können. Ansonsten ähneln sich die Programme und haben teilweise die gleichen Eingabeparameter, denn auch hier verwenden Sie eine Textdatei mit dem Parameter –i für den Import. Der Name Ldifde hat den Ursprung in seiner Funktion: Lightweight Directory Access Protocol Data Interchange Format Directory Exchange oder »kurz« LDIFDE.

1. Holger Schwichtenberg, »Automatisierte Administration mit Scriptsprachen unter Windows NT 4.0/ 2000«, Interest Verlag, 2001

370

5.2 Benutzerkonten


Das Programm hat folgende Syntax: ldifde <Parameter>

Sie können die folgenden Eingabeparameter verwenden: Parameter

Beschreibung

-i

Aktiviert den Importmodus (Standard: Export).

-f

Dateiname für die Eingabe bzw. Ausgabe

-s <Servername>

Server, zu dem gebunden werden soll. Als Standard wird der Domänencontroller der Domäne verwendet, in der sich der erstellende Computer befindet.

-v

(verbose) Aktiviert den ausführlichen Modus.

-c

Ersetzt die Vorkommnisse von VonDN durch ZuDN. Mit DN wird der Distinguished Name eines Objekts bezeichnet.

-j

Pfad zur Protokolldatei

-t

LDAP-Portnummer (Standard: Port 389)

-u

Verwendet das Unicode-Format.

-k

Ignoriert die Fehler Beschränkungsverletzung und Objekt ist bereits vorhanden.

-y

Beim Import wird ein Lazy Commit verwendet, um eine bessere Systemleistung zu erzielen.

-e

Beim Import wird kein Lazy Commit verwendet.

-q

Beim Import wird die angegebene Anzahl an Threads verwendet (Standardeinstellung ist 1).

-a [Kennwort | *]

Einfache Authentifizierung. Wenn keine Anmeldeinformationen angegeben werden, wird Csvde die Bindung als aktuell angemeldeter Benutzer unter Verwendung des Security Support Provider Interface (SSPI) durchführen.

-b Domäne [Kennwort | *]

SSPI-Bindungsmethode

-?

Zeigt die Hilfe an.

Tabelle 5.8: Parameter für einen Massenimport über ldifde.exe

Möchten Sie zum Beispiel einen Import in die Active Directory-Datenbank bewirken, müssen Sie Folgendes eingeben: ldifde -i -f EINGABE.TXT

Die angegebene Datei muss im Textformat abgespeichert und so beschaffen sein, dass jede Zeile mit nur einem Objekt-Attribut beginnt (Programmierrichtung von links nach rechts). Das Attribut muss mit einem Doppelpunkt abgeschlossen werden. Nach dem Doppelpunkt

5.2 Benutzerkonten

371

MCSE Examen 70-294

können Sie Werte für das Attribut eingeben. Sie müssen sich wie beim Csvde nach gültigen Objektattributen richten. Das folgende Beispiel zeigt Ihnen eine Importdatei. # Das ist ein Kommentar # Erstellung des Benutzers Frank Castro Lieberwirth DN: Frank Castro Lieberwirth,OU=Autoren,DC=pearson,DC=de objectClass: user sAMAccountName: FrankCastro userPrincipalName: [email protected] displayName: Frank Castro Lieberwirth userAccountControl: 512 Listing 5.3: Beispiel für eine Importdatei über ldifde.exe

5.2.7

Verwalten von Benutzern

Nach dem Erstellen eines Benutzerkontos ist eine Reihe von Eigenschaften für den Benutzer sichtbar. Weiterhin können Sie über das Kontextmenü Aufgaben wie das Zurücksetzen von Kennwörtern und das Umbenennen von Konten durchführen.

Auslesen von Benutzer-Eigenschaften Mit dem Tool Csvde.exe können Sie Benutzereigenschaften in eine Datei auslesen, um mit den Objektattributen (siehe auch Anhang A) arbeiten zu können. Wenden Sie hierfür die folgende Befehlszeile an: Csvde –d Benutzer_DN –f {Textdatei.csv | Textdatei.txt}

Für den Benutzer aus Abbildung 5.7 in der OU Vertrieb würden Sie beispielsweise Folgendes eingeben: Csvde –d "CN=Maik Müller,OU=Vertrieb,DC=pearson,Dc=de" –f Ausgabe.txt

Abbildung 5.7: Ändern von Benutzer- und Anmeldenamen

372

5.2 Benutzerkonten


Benutzer umbenennen Im Kontextmenü des Benutzerobjekts finden Sie den Eintrag Umbenennen, mit dem Sie nicht nur den angezeigten Namen, sondern auch den vollständigen Namen verändern können. Da auch die Anmeldung vom Namen abhängig ist, können Sie auch gleich den Benutzeranmeldenamen und den Prä-Windows-2000-Anmeldenamen verändern.

Kennwort zurücksetzen Im Kontextmenü des Benutzerobjekts finden Sie den Eintrag Konto zurücksetzen, mit dem Sie ein neues Kennwort für einen Benutzer vorbelegen können. Sie überschreiben das ursprüngliche Kennwort des Benutzers, wenn dieser es zum Beispiel vergessen hat oder der Benutzer die Firma verlassen hat und andere mit seinem Konto weiterarbeiten müssen.

Abbildung 5.8: Löschen des ursprünglichen Kennworts und Setzen eines neuen

Sie können die Änderung des Kennworts auch über die Kommandozeile durchführen. Geben Sie hierfür Folgendes ein: dsmod user Benutzer_DN [-pwd Neues_Kennwort]

Tabelle 5.9 enthält die möglichen Werte. Wert

Beschreibung

Benutzer_DN

Sie geben hierfür den definierten Namen (Distinguished Name) des Benutzerobjekts ein, das Sie ändern möchten.

Neues_Kennwort

Sie ersetzen das aktuelle Kennwort durch das neu eingegebene.

/?



Damit Benutzer das neue Kennwort bei der nächsten Anmeldung ändern müssen, geben Sie Folgendes ein (yes für »ändern«): dsmod user Benutzer_DN [-mustchpwd {yes|no}]

5.2 Benutzerkonten

373

ACH TUNG

MCSE Examen 70-294

Falls Sie das Kennwort eines Dienstkontos verändern, müssen Sie auch den Dienst neu konfigurieren. Wenn Sie dies nicht durchführen, bleibt das Dienstkonto so lange erfolgreich angemeldet, wie der der Computer online ist. Starten Sie den Computer zu einem späteren Zeitpunkt neu, schlägt die Anmeldung fehl, weil das Dienstkonto versucht, sich mit dem alten ungültigen Kennwort anzumelden.

Weitere Aufgaben für ein Benutzerobjekt Über das Kontextmenü können Sie noch weitere Aufgaben durchführen: T Kopieren eines Benutzers – Der neue Benutzer erhält sämtliche Privilegien des ursprünglichen Benutzers, einschließlich der Gruppenmitgliedschaften. Beim Kopieren übernehmen Sie nur die häufigsten Attribute, wie zum Beispiel Anmeldezeiten, Arbeitsstations- und Kontoablaufeinschränkungen. T Benutzer einer Gruppe hinzufügen – Sie führen die gleiche Aktion auch in den Eigenschaften des Benutzerobjekts aus. T Namenszuordnungen – Sie fügen dem Benutzerkonto ein X.509-Zertifikat oder/und einen vertrauenswürdigen Nicht-Windows-Kerberos-Bereich hinzu. Das X.509-Zertifikat muss in Form einer Zertifikatdatei (mit der Endung *.cer) vorliegen. Eine Serveranwendung kann dann den Benutzer unter Verwendung von öffentlichen Schlüsseln mit dem angegebenen Zertifikat authentifizieren. T Konto deaktivieren – Falls ein Mitarbeiter Ihre Firma/Organisation verlässt, ist es ratsam, das Konto nicht zu löschen, sondern erst zu deaktivieren. Das hat den Vorteil, dass die SID, die zum Konto gehört, nicht verloren geht. Nach Umbenennung des Kontos kann ein anderer Mitarbeiter mit den gleichen SIDs weiterarbeiten. Das deaktivierte Konto wird durch ein weißes Kreuz dargestellt, das sich in einem rot ausgefüllten Kreis befindet. T Konto aktivieren – Sie können ein deaktiviertes Konto (wieder) aktivieren. T Kennwort zurücksetzen – Ein Kennwort kann geändert werden. T Verschieben – Das Benutzerobjekt kann in einen anderen Container bzw. eine andere Organisationseinheit verschoben werden. Sie können alternativ auch die Maustaste mit dem Drag&Drop-Verfahren verwenden. T Homepage öffnen – Eine Homepage muss dem Benutzer zugewiesen sein. T E-Mail senden – Sie können als Administrator einem Benutzer eine E-Mail senden. Sie müssen hierfür dem Benutzer eine E-Mail-Adresse erteilt haben bzw. auch ein E-MailMessaging-System (zum Beispiel Exchange Server) verfügbar haben. T Richtlinienergebnissatz (Planung) – Sie können für den Benutzer Richtlinieneinstellungen simulieren, bevor Sie sie anwenden. Dieser praktische Planungsassistent ist eine Neuheit von Windows Server 2003. Sie finden diesen Eintrag unter Alle Tasks. T Richtlinienergebnissatz (Protokollierung) – Sie lassen Informationen für Richtlinienergebnissatzdaten anzeigen und werten somit einen Ist-Zustand für einen Benutzer aus. Diese

374

5.2 Benutzerkonten


Neuerung von Windows Server 2003 dient zur Information für den Administrator. Sie finden diesen Eintrag unter Alle Tasks. T Ausschneiden – Sie können das Benutzerobjekt ausschneiden und an anderer Stelle (in einen anderen Container) einfügen. Alternativ können auch Sie auch das Drag&DropVerfahren verwenden. T Löschen von Benutzerkonten – Sie löschen das Konto, was bedeutet, dass Sie auch alle SIDs und Gruppenmitgliedschaften des Benutzers entfernen. T Umbenennen des Kontos – Sie ändern den angezeigten Namen, den Benutzernamen usw. T Eigenschaften – Sie ändern alle Eigenschaften des Benutzers wie Namen, Anmeldezeiten, Gruppenmitgliedschaften usw.

Sie können festlegen, welche Standardattribute Sie für einen neu kopierten Benutzer übernehmen. Öffnen Sie hierfür die Konsole Active Directory Schema, und wählen Sie die Attribute aus, die Sie in der Kopie übernehmen wollen. Aktiveren Sie hierfür in den Attributeigenschaften das Kontrollkästchen Attribut wird kopiert, wenn ein Benutzer dupliziert wird. Sie können diesen Vorgang allerdings nur auf Attribute anwenden, die Instanzen der Benutzerklasse sind! Sie können das Aktivieren und Deaktivieren auch über die Kommandozeile durchführen. Geben Sie hierfür Folgendes ein: dsmod user Benutzer_DN [-disabled {yes|no}]

Auch das Löschen können Sie über eine Kommandozeile durchführen. Geben Sie hierfür Folgendes ein: dsrm Benutzer_DN


Beschreibung

Benutzer_DN

Sie geben den definierten Namen (Distinguished Name) des Benutzerobjekts ein, das Sie aktivieren/deaktivieren möchten.

yes | no

Sie geben yes ein, wenn Sie möchten, dass das Konto deaktiviert wird. Andernfalls geben Sie no ein.

/?



5.2 Benutzerkonten

375

HIN WEIS

T Hilfe – Sie rufen den Hilfetext auf.

MCSE Examen 70-294

Überblick über die Eigenschaften des Benutzerobjekts Das Active Directory-Schema bestimmt, welche Eigenschaften Sie in der Konsole Active Directory-Benutzer und -Computer bearbeiten können. Ist das Schema durch eine Serverapplikation erweitert worden, finden Sie u.U. noch weitere Reiter in den Eigenschaften des Benutzerobjekts. Damit Sie alle Einstellungsmöglichkeiten sichtbar haben, sollten Sie die Option erweiterte Funktionen einstellen. Sie finden diese Einstellungsmöglichkeit im Menü Ansicht der Managementkonsole. Die folgende Übersicht zeigt Ihnen alle 16 Registerkarten (Standard) mit einer Kurzbeschreibung. Im weiteren Verlauf von Kapitel 5.2.7 werden die Register vorgestellt, die nicht zur Dokumentation des Benutzers dienen. Reiter

Beschreibung

Allgemein

Hier können Sie allgemeine Einstellungen vornehmen, die einen Benutzer charakterisieren. Darunter fallen Vor- und Nachname, E-Mail-Adresse usw.

Adresse

Hier können Sie weitere Einstellungen vornehmen, die zur Charakterisierung des Benutzers dienen. Die Einträge haben lediglich beschreibenden Charakter

Konto

In diesem wichtigen Register können Sie Eigenschaften des Benutzerkontos wie Anmeldezeiten oder Kontoablauf einstellen.

Profil

Sie legen hier einen Pfad fest, um ein servergespeichertes Profil anzulegen. Alle verwendeten Ordner müssen allerdings vorher erst über einen Dateimanager freigegeben worden sein.

Rufnummern

Sie dokumentieren Telefonnummern für den Benutzer. Die Einträge haben lediglich beschreibenden Charakter

Organisation

Sie dokumentieren Eigenschaften des Benutzers in seiner Organisation/ Firma. Dies kann zum Beispiel seine Abteilung sein.

Remoteüberwachung

Sie konfigurieren Einstellungen zur Remoteüberwachung für die Terminaldienste.

Terminaldienstprofile

Sie konfigurieren das Benutzerprofil für die Terminaldienste, indem Sie einen Profilpfad eingeben.

COM+

Sie dokumentieren die COM+-Partitionsgruppe, in der der Benutzer Mitglied ist. Die Partitionsgruppe muss vorher schon bestehen.

Veröffentlichte Zertifikate

Sie können einem Benutzer Zertifikate aus dem Zertifikatsspeicher zuteilen. Diese Einstellung gehört zu den erweiterten Funktionen.

Tabelle 5.11: Register in der Standardeinstellung ohne weitere Active Directory-integrierte Applikationen (wie zum Beispiel Exchange Server 2003)

376

5.2 Benutzerkonten

5 – Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten Reiter

Beschreibung

Mitglied von

Sie verwalten die Gruppenmitgliedschaften von Benutzern. Jeder Benutzer ist Mitglied einer primären Gruppe. Dies ist per Voreinstellung die Gruppe Domänen-Benutzer. Die primäre Gruppe muss nur geändert werden, wenn Sie über Macintosh-Clients oder über POSIX-kompatible Anwendungen verfügen. Für die alternative primäre Gruppe benötigen Sie eine weitere globale Gruppe.

Einwählen

Sie setzen RAS-Berechtigungen (Einwählen oder VPN), Rückrufoptionen für RAS und Einstellungen zur Route.

Objekt

Sie finden den kanonischen Namen des Objekts, die Objektklasse und die Update Sequence Number (USN) des Benutzerobjekts vor. Die Einträge haben lediglich beschreibenden Charakter und sind nur sichtbar, wenn Sie die erweiterten Funktionen einstellen.

Sicherheit

Sie konfigurieren, welche Benutzer und Gruppen auf das Benutzerobjekt zugreifen dürfen. Sie können sämtliche Berechtigungen setzen. Diese Einstellung gehört zu den erweiterten Funktionen.

Umgebung

Sie konfigurieren die Startumgebung für die Terminaldienste.

Sitzungen

Sie legen ein Zeitlimit für die Terminaldienste fest.

Tabelle 5.11: Register in der Standardeinstellung ohne weitere Active Directory-integrierte Applikationen (wie zum Beispiel Exchange Server 2003) (Forts.)

Abbildung 5.9: Ansicht der Eigenschaften eines Benutzers

5.2 Benutzerkonten

377

MCSE Examen 70-294

Kontooptionen von Benutzern Im Register KONTO können Sie wichtige Einstellungen des Benutzerkontos vornehmen. Darunter fallen folgende Einstellungen: T Ändern von Benutzername und Prä-Windows-2000-Benutzeranmeldenamen T Anmeldezeiten über die Schaltfläche ANMELDEZEITEN festlegen (siehe Abbildung 5.11) T Anmelden an bestimmten Arbeitstationen (Schaltfläche ANMELDEN) T Aufheben der Kontosperrung Sie finden Kontooptionen vor, die bestimmen, wie ein Benutzer im Netzwerk authentifiziert wird. Es stehen Ihnen die Optionen aus Tabelle 5.12 zur Verfügung. Kontooption

Beschreibung/Empfehlung für die Verwendung

Benutzer muss Kennwort bei der nächsten Anmeldung ändern

Es wird sichergestellt, dass nur der betreffende Benutzer sein Kennwort kennt.

Benutzer kann Kennwort nicht ändern

Diese Einstellung eignet sich für ein Gastkonto, also ein Konto, das von mehreren Personen verwendet wird.

Kennwort läuft nie ab

Diese Einstellung muss für Dienstkonten aktiviert werden!

Kennwörter mit umkehrbarer Verschlüsselung speichern

Sie aktivieren diese Einstellung nur dann, wenn Sie einen Applebasierten Client verwenden.

Konto ist deaktiviert

Der betreffende Benutzer kann sich nicht anmelden. Die Einstellung eignet sich auch für Vorlagen für allgemeine Benutzerkonten.

Benutzer muss sich mit einer Smartcard anmelden

Dies müssen Sie aktivieren, wenn Sie Smartcards verwenden. Bei der Aktivierung wird die Kontooption Kennwort läuft nie ab aktiviert.

Konto wird für Delegierungszwecke vertraut

Ein Dienst, der unter dem betreffenden Konto ausgeführt wird, kann Operationen im Auftrag anderer Benutzerkonten im Netzwerk ausführen.

Konto kann nicht delegiert werden

Verwenden Sie diese Option, wenn dieses Konto nicht für die Delegierung durch ein anderes Konto verfügbar sein soll. Sie ermöglichen mit dieser Option die Zugriffssteuerung für ein temporäres Benutzerkonto.

DES-Verschlüsselungstypen für dieses Konto verwenden

Sie unterstützen verschiedene DES-Standards (Data Encryption Standards), z.B. MPPE Standard (40-Bit), MPPE Standard (56-Bit), MPPE Strong (128-Bit), IPSec DES (40-Bit), IPSec 56-Bit DES und IPSec Triple DES (3DES).

Keine Kerberos-Präauthentifizierung erforderlich

Diese Option unterstützt alternative Implementierungen des Kerberos-Protokolls.

Tabelle 5.12: Kontooptionen

378

5.2 Benutzerkonten


Abbildung 5.10: Sie können Kontoeinstellungen in diesem Register durchführen.

Abbildung 5.11: Sie können Anmeldezeiten für jeden Benutzer individuell einstellen.

Benutzerprofile Benutzerprofile sorgen bei Windows-Betriebssystemen dafür, dass Benutzer ihre persönliche Desktop-Umgebung bei jedem Neuanmelden so erhalten, wie sie sie vorher verlassen haben. Per Voreinstellung speichert Windows das Profil lokal auf der Festplatte ab. Bei Windows 2000 und bei Windows Server 2003 ist es zum Beispiel das Verzeichnis C:\Dokumente und Einstellungen, wenn sich das Betriebssystem auf der Partition C: befindet.

5.2 Benutzerkonten

379

MCSE Examen 70-294

Viele Unternehmen setzen Microsoft Office ein. Office hat die Eigenschaft, dass es per Voreinstellung Dateien in den Ordner C:\Dokumente und Einstellungen\\Eigene Dateien speichert. Viele Benutzer, die vom Dateimanagement keine Ahnung haben, speichern dort die Dateien ab und finden sie später nicht mehr. Ein weiterer Nachteil ist, dass die lokal auf dem Client gespeicherten Dateien keine Datensicherung erfahren. Der Begriff steht für den Benutzernamen, da jeder Benutzer, der sich auf dem Client anmeldet, ein eigenes Verzeichnis erhält. In dem Benutzerprofil sind alle persönlichen Einstellungen gespeichert, wie die Farbwahl des Desktops, die Druckereinstellungen oder die verbundenen Laufwerke. In dem Benutzerprofilordner befindet sich auch die Datei ntuser.dat, die den Teil des Registrierungshive HKEY_CURRENT_USER enthält. Für einen Netzwerkadministrator stellt sich die Frage, ob er einen Eingriff in die Speicherung der Benutzerprofile durchführen soll. Microsoft unterscheidet 4 Arten von Benutzerprofilen: T Lokale Profile T Servergespeicherte Profile T Verbindliche Profile

TIPP

T Temporäre Profile

Für die Prüfung müssen Sie wissen, welche Profile es gibt. Sie müssen auch den Unterschied zwischen servergespeicherten Profilen und verbindlichen Profilen kennen und wissen, wie Sie diese erstellen. Servergespeicherte Profile Servergespeicherte Profile eignen sich für Benutzer, die an mehreren Computern arbeiten und ihre persönlichen Einstellungen behalten wollen. Das servergespeicherte Profil wird wie das lokale Profil beim Anmelden geladen. Sie legen in der Registerkarte Profil den Profilpfad fest, indem Sie die UNC-Schreibweise (Universal Naming Convention, UNC) verwenden. Sie lautet wie folgt: \\Servername\Freigegebenes_Verzeichnis\Verzeichnis

Damit für jeden Benutzer automatisch ein persönliches Verzeichnis auf dem Server erstellt wird, verwenden Sie die Variable %username%, die Sie anstelle des Benutzernamens eingeben. Existiert für den Benutzer kein Profil, wird zunächst ein neues Profil aus dem Profil Default User generiert. Auf dem Server wird erst dann ein einzelnes leeres Verzeichnis generiert, wenn der Benutzer sich zum ersten Mal anmeldet. Es wird aber erst dann mit dem Inhalt des lokalen Profils gefüllt, wenn der Benutzer sich abmeldet. Das Profil wird sowohl lokal unter Verwendung des Benutzernamens für den Namen des Ordners gespeichert, als auch auf dem angegebenen Server. Das vom Server generierte Verzeichnis wird mit Berechtigungen für den jeweiligen Benutzer vorkonfiguriert. Dies gilt allerdings nur dann, wenn das Verzeichnis sich auf einem NTFS-Volume befindet. Der jeweilige Benutzer erhält per Voreinstellung einen Vollzugriff auf sein Profilverzeichnis. Kein anderer Benutzer, nicht einmal ein Administrator, hat 380

5.2 Benutzerkonten


Zugriff auf das Verzeichnis und seine Unterverzeichnisse. Falls ein Administrator dennoch Zugriff erlangen möchte, muss er den Besitz des Verzeichnisses übernehmen.

Abbildung 5.12: Festlegen eines Benutzerprofilpfades und von Basisordnern

Meldet sich der Benutzer an der Domäne an und existiert bereits ein servergespeichertes Profil, vergleicht der Windows Server anhand der Zeit und des Datums, ob das lokale und das servergespeicherte Profil übereinstimmen. Ist das lokale Profil das aktuellere, wie es bei Notebook-Benutzern häufig der Fall ist, wenn sie vorher im Außendienst waren, wird der Benutzer beim Anmelden auf Unterschiede im Profil hingewiesen. Er hat dann die Auswahl, ob er sein aktuelles Profil mit dem alten, servergespeicherten Profil überschreiben möchte oder nicht. Ist das servergespeicherte Profil zu einem früheren Zeitpunkt entstanden, werden die unterschiedlichen Dateien auf dem Client aktualisiert, ohne dass der Benutzer über den Vorgang informiert wird. Es werden keine Daten ausgetauscht, wenn beide Verzeichnisse den gleichen Zeitstempel besitzen. Dieses Verhalten hat den großen Vorteil, dass es die Anmeldung des Benutzers wesentlich beschleunigt und den Datenverkehr gering hält. Was geschieht, wenn der Server nicht mehr verfügbar ist oder ein Notebook-Benutzer nicht mehr im Netzwerk ist? Der Benutzer meldet sich dann mit seinen gecachten Anmeldeinformationen an und erhält eine Warnmeldung, dass das servergespeicherte Profil nicht verfügbar ist und stattdessen das lokale geladen wird. Beachten Sie, dass Benutzerprofile unter Umständen sehr groß werden können. Rechnen Sie mit der Unvernunft oder Unkenntnis der normalen Benutzer, die u.U. auch große Hintergrundbilder oder viele Dateien in dem Ordner Eigene Dateien speichern. Profile können dann auf viele GB anwachsen, was nicht nur Plattenplatz auf dem Server beansprucht, son-

5.2 Benutzerkonten

381

MCSE Examen 70-294

dern auch einen hohen Datenverkehr beim Abmelden des Benutzers mit sich bringt. Die Größe des Profils kann in der Systemsteuerung unter System im Register ERWEITERT abgelesen werden. Falls Sie die Größe des Benutzerprofils einschränken wollen, können Sie die entsprechende Gruppenrichtlinie verwenden. Sie finden in Kapitel 7.5 weitere Informationen, wie Sie eine Ordnerumleitung von Eigene Dateien erstellen und wie Sie die Profilgröße einschränken können.

Abbildung 5.13: Auf dem Computer gespeicherte Profile. Zu erkennen ist der Typ des Profils, der bei dem Benutzer MMueller auf »Servergespeichert« gestellt ist.

Verbindliche Benutzerprofile Ein verbindliches Benutzerprofil ist ein schreibgeschütztes, serverbasiertes Profil. Es wird bevorzugt in solchen Fällen eingesetzt, in denen sich viele Benutzer ein Konto teilen. Sie vermeiden, dass ein Benutzer das Profil so verstellt, dass andere damit nicht mehr arbeiten können. Während der Sitzung kann der Benutzer das Profil verändern. Meldet er sich ab, wird es jedoch nicht auf den Server zurückgeschrieben. Meldet er sich, oder meldet sich ein anderer Benutzer erneut an, erhalten diese Personen immer nur das bestehende Profil. Insofern obliegt es dann dem zuständigen Administrator, das Profil zu verwalten. Benutzerprofile werden zu verbindlichen Profilen (Mandatory Profiles), wenn Sie die auf dem Server gespeicherte Datei ntuser.dat in ntuser.man umbenennen. Durch diese Erweiterung bleibt das Benutzerprofil schreibgeschützt. Die verbindlichen Benutzerprofile erfordern durch die Vorgabe eines fertigen Profils einen erhöhten administrativen Aufwand. Bedenken Sie, dass auch Netzwerkfreigaben und andere Einstellungen von Programmen zum Benutzerprofil gehören. Es muss daher auf die Benutzer zugeschnitten sein, die es verwenden müssen. Um die Verwaltung wesentlich zu vereinfachen, sind daher anstelle verbindlicher Profile Gruppenrichtlinien zu empfehlen.

382

5.2 Benutzerkonten


Temporäre Benutzerprofile Temporäre Benutzerprofile treten immer dann auf, wenn das Laden eines serverbasierten Profils fehlschlägt. Die temporären Profile werden nach Beendigung der Sitzung wieder gelöscht, was auch heißt, dass alle Benutzereinstellungen verloren gehen. Tipps und Einschränkungen Die Desktop-Einstellungen für die Farbe und Buchstabengröße richten sich nach der eingesetzten Hardware. Daher ist es ratsam, bei den betreffenden Arbeitsstationen ähnliche Grafikkarten einzusetzen. T Verwenden Sie zur Speicherung der serverbasierten Profile ein NTFS-Volume. T Verwenden Sie versteckte Freigaben für den Profilpfad. T Legen Sie ausreichend hohe Datenträgerkontigente fest. Machen Sie von den folgenden Features hinsichtlich des serverbasierten Profils keinen Gebrauch: T Verschlüsseltes Dateisystem (Encripted Filesystem, EFS) T Zwischenspeicherung von Offline-Ordnern

Basisordner Basisordner sind persönliche Verzeichnisse, die nur der Person einen Vollzugriff erlauben, der das Benutzerkonto gehört. Der Benutzer bekommt nach seiner Anmeldung automatisch das angegebene Laufwerk zugewiesen. Abbildung 5.12 zeigt Ihnen einen möglichen Eintrag für ein Basisverzeichnis. Basisverzeichnisse sind auch unter dem Begriff Homeverzeichnis bekannt. Auf dem Basisordner können und dürfen beliebige Informationen gespeichert werden. Damit die Größe der Basisordner nicht zu umfangreich wird, ist es empfehlenswert, den Festplattenplatz durch Kontingente zu limitieren. Basisordner bieten Benutzern folgende Vorteile: T Die Benutzer können von jedem Clientcomputer auf den Basisordner zugreifen (mit der Option Verbinden von). T Eine Sicherung der Daten kann zentral erfolgen. Sie haben zur Einrichtung von Basisordnern zwei Möglichkeiten: 1. Sie setzen Berechtigungen auf NTFS-Ebene für jeden Benutzer und behalten eine gemeinsame Freigabe bei. 2. Sie setzen Berechtigungen auf Freigabe-Ebene für jeden Benutzer. Für den ersten Fall haben Sie in der Netzwerkumgebung eine Freigabe, die Sie mit der Berechtigung Ändern für alle Benutzer und Vollzugriff für Administratoren belegen können. Die Freigabe müssen Sie manuell erstellen und konfigurieren. Verwenden Sie die die %username%Variable, wie in Abbildung 5.12 gezeigt. Ein Verzeichnis unter der Freigabe wird für jeden Benutzer automatisch erstellt. Der Vorteil dieser Methode ist der kleine administrative Auf-

5.2 Benutzerkonten

383

MCSE Examen 70-294

wand. Nachteilig ist, dass Benutzer u.U. andere Benutzerverzeichnisse sehen bzw. in das freigegebene Verzeichnis »rutschen« können. Sie haben jedoch auf Basisordner anderer Benutzer keinen Zugriff. Sie sollten bedenken, dass diese »neugierigen« Benutzer dann aber vermutlich damit überfordert sind, ihr eigentliches Basisverzeichnis wiederzufinden. Verwenden Sie folgende Schreibweise: \\Servername\Freigegebenes_Verzeichnis\%username%

Die andere Möglichkeit ist die, für jeden Benutzer ein eigenes Verzeichnis und eine eigene Freigabe zu reservieren. Sie müssen für den jeweiligen Benutzer entsprechende Berechtigungen erstellen. Diesen Vorgang müssen Sie manuell oder über ein Skript (sehr empfehlenswert) ausführen, da Sie bei Freigaben die %username%-Variable nicht eingeben können. Es ist auch hier empfehlenswert, die Freigaben zu verstecken, da zum Beispiel bei 100 Benutzern, die einen Basisordner verwenden, auch 100 freigegebene Ordner in der Netzwerkumgebung erscheinen. Der Bearbeitungsaufwand klingt sehr hoch, doch über ein Skript kann der Aufwand minimiert werden. Der Vorteil dieses Verfahrens ist, dass jeder Benutzer ein echtes Laufwerk zur persönlichen Verwendung erhält. Verwenden Sie folgende Schreibweise:

HIN WEIS

\\Servername\Freigegebenes_Verzeichnis_mit_dem_Namen_des_Benutzers

Wenn Sie Basisordner nicht auf einem NTFS-Volume einrichten, können Sie nur Berechtigungen über Freigaben setzen. Weniger empfehlenswert ist die Verwendung eines lokalen Pfads zur Speicherung, da der Benutzer kein Laufwerk zugewiesen bekommt.

5.3

Benutzergruppen

Eine Gruppe stellt eine Menge von Benutzerkonten dar. Sie fassen idealerweise diejenigen Benutzer zu einer Gruppe zusammen, die eine oder mehrere gleiche Eigenschaften besitzen. Mit »Eigenschaften« ist in diesem Zusammenhang ein gemeinsamer Zugriff auf eine Ressource oder die Zugehörigkeit zu einer Abteilung gemeint. Sie können alle Mitarbeiter einer Abteilung, die alle auf das gleiche Netzlaufwerk und die gleichen Drucker zugreifen, in eine Gruppe platzieren. Das Verwenden von Gruppen erleichtert Ihnen die Arbeit, da Sie nicht jeden Benutzer einzeln behandeln müssen. Mathematisch gesehen, behandeln Sie Gruppen wie eine Variable. Diese Betrachtungsweise kommt daher zustande, dass Sie der Gruppe die Berechtigungen erteilen und nicht dem einzelnen Benutzer. Ist ein Benutzer Mitglied einer Gruppe, erbt er ganz automatisch auch deren Gültigkeitsbereich bzw. Zugriffsbereich auf Ressourcen. Mitglied von Gruppen können nicht nur Benutzer, sondern auch Computer, Kontakte und andere Gruppen werden. Hinsichtlich der Gruppenverschachtelung gibt es einige Regeln zu beachten, die Sie in Kapitel 5.3.2 kennen lernen werden.

384

5.3 Benutzergruppen


Abbildung 5.14: Erstellen von Gruppen unter Angabe des Gruppentyps und des Gruppenbereichs

5.3.1

Allgemeines und Planung

In diesem Abschnitt werden Sie Gruppentypen, Gruppenbereiche und die daraus resultierenden Planungsaspekte kennen lernen.

Gruppentypen Microsoft hat zwei Gruppentypen vorgesehen: Eine Gruppe ist vom Typ Sicherheit und die andere vom Typ Verteilung. Der Gruppentyp wird auch oft als Sicherheitsgruppe bzw. Verteilergruppe bezeichnet. Sie müssen den Gruppentyp bei der Erstellung der Gruppe angeben, wie Abbildung 5.14 zeigt. Ein Konvertieren ist in Abhängigkeit des Gruppentyps zu einem späteren Zeitpunkt möglich. Tabelle 5.13 stellt die Funktionen beider Gruppen gegenüber. Sicherheitsgruppe

Verteilergruppe

Dient zur Erteilung von Berechtigungen für den Ressourcenzugriff.

Nicht für Berechtigungen verwendbar.

Verfügbar im gesamten Netzwerk.


Kann für sicherheitsbezogene Anwendungen verwendet werden.

Kann nicht für sicherheitsbezogene Anwendungen verwendet werden.

Kann für die Verteilung von E-Mail verwendet werden. Eine an die Gruppe gesendete E-Mail-Nachricht wird automatisch an alle Gruppenmitglieder verteilt.

Wird für die Verteilung von E-Mail empfohlen. Eine an die Gruppe gesendete E-Mail-Nachricht wird automatisch an alle Gruppenmitglieder verteilt.

Kann auch für Verteilerlisten von Exchange Server verwendet werden.

Für Verteilerlisten von Microsoft Exchange Server empfohlen.

Tabelle 5.13: Gegenüberstellung von Sicherheits- und Verteilergruppen

5.3 Benutzergruppen

385

MCSE Examen 70-294

Sicherheitsgruppen sind in den sog. DACLs (Discretionary Access Control Lists) aufgeführt, die Berechtigungen für Ressourcen und Objekte definieren. Für Verteilergruppen sind keine Sicherheitsfunktionen aktiviert. Sie können daher auch nicht in DACLs aufgelistet werden. Verteilergruppen können nur mit Unterstützung von E-Mail-Anwendungen, wie beispielsweise Microsoft Exchange, E-Mail an eine Gruppe von Benutzern senden. Wenn eine Gruppe nicht aus Sicherheitsgründen erforderlich ist, können Sie anstelle einer Sicherheitsgruppe eine Verteilergruppe verwenden.

Gruppenbereiche im Überblick Eine Active Directory-Gesamtstruktur kann sich über viele Domänen erstrecken. Es macht daher Sinn, einen Gültigkeitsbereich der Gruppen zu definieren. Microsoft hat drei Gruppenbereiche definiert: Die Gruppen heißen im englischen Original Global, Local und Universal und werden auch so übersetzt. Sie finden daher folgende Gruppenbereiche vor: T Lokal (in Domäne) T Global T Universal Mitglieder einer Gruppe mit dem Gruppenbereich Universal können Gruppen und Konten aus beliebigen Active Directory-Domänen in der Gesamtstruktur sein. Sie können diesen Gruppen in jeder Domäne der Domänen- oder Gesamtstruktur Berechtigungen erteilen. Microsoft bezeichnet die Gruppen mit dem Bereich Universal als universelle Gruppen. Mitglieder einer Gruppe mit dem Gruppenbereich Global können ausschließlich Gruppen und Konten aus derselben Domäne sein, in der die Gruppe definiert wurde. Sie können diesen Gruppen in jeder Domäne der Gesamtstruktur Berechtigungen erteilen. Microsoft bezeichnet die Gruppen mit dem Bereich Global als globale Gruppen. Mitglieder einer Gruppe mit dem Gruppenbereich Lokale Domäne können Gruppen und Konten aus einer Active Directory- oder Windows NT-Domäne sein. Sie sollten diese Gruppen nur dann verwenden, wenn Sie Berechtigungen innerhalb einer Domäne erteilen. Microsoft bezeichnet die Gruppen mit dem Bereich Lokale Domäne als Gruppen der lokalen Domäne oder lokale Domänengruppen. Der folgende Vergleich der Gruppen zeigt Ihnen die Unterschiede im Überblick. Gruppen der lokalen Domäne Globale Gruppen

Universelle Gruppen

Domänen ab der Funktionsebene Windows 2000 pur können Konten, globale Gruppen und universelle Gruppen aus einer beliebigen Domäne als Mitglieder haben. Gruppen der lokalen Domäne können auch lokale Domänengruppen derselben Domäne als Mitglieder haben.

Domänen ab der Funktionsebene Windows 2000 pur können Konten, globale Gruppen und universelle Gruppen aus einer beliebigen Domäne als Mitglieder haben.

Domänen ab der Funktionsebene Windows 2000 pur können Konten und globale Gruppen aus derselben Domäne als Mitglieder haben.

Tabelle 5.14: Gruppenbereiche im Überblick

386

5.3 Benutzergruppen

5 – Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten Gruppen der lokalen Domäne Globale Gruppen

Universelle Gruppen

Domänen ab der Funktionsebene Windows 2000 pur können Konten und globale Gruppen aus beliebigen Domänen als Mitglieder haben.

Domänen ab der Funktionsebene Windows 2000 pur können Konten aus derselben Domäne als Mitglieder haben.

In Domänen ab der Funktionsebene Windows 2000 pur können Sicherheitsgruppen mit dem Bereich Universal erstellt werden.

Gruppen können in andere Gruppen der lokalen Domäne aufgenommen werden. Sie können ihnen nur Berechtigungen in derselben Domäne zuordnen.

Gruppen können in andere Gruppen aufgenommen werden. Sie können globalen Gruppen in jeder beliebigen Domäne Berechtigungen zuordnen.

Gruppen können in andere Gruppen aufgenommen werden (sofern die Domäne im einheitlichen Modus ausgeführt wird.) Sie können universellen Gruppen in jeder beliebigen Domäne Berechtigungen zuordnen. Einschränkungen bewirkt hier nur der SID-Filter bei Vertrauensstellungen von Gesamtstrukturen.

Sie können Gruppen der lokalen Domäne in den Gruppenbereich Universal konvertieren, solange keine andere Gruppe mit dem Bereich Lokale Domäne Mitglied ist.

Sie können globale Gruppen in den Gruppenbereich Universal konvertieren, solange keine Mitgliedschaft in einer anderen Gruppe mit dem Bereich Global besteht.

Sie können universelle Gruppen in den Gruppenbereich Global auf jedem Domänencontroller konvertieren. Möchten Sie sie in den Gruppentyp lokale Domäne konvertieren, müssen Sie dies auf einem Globalen Katalogserver durchführen.

Tabelle 5.14: Gruppenbereiche im Überblick (Forts.)

Gruppen der lokalen Domäne Sie verwenden Gruppen der lokalen Domäne, um Berechtigungen für Ressourcen zu erteilen. Sie sind nur in ihrer eigenen Domäne sichtbar. Sie sind nicht mit »lokalen Gruppen« zu verwechseln, da diese nur in der lokalen Sicherheitsdatenbank definiert sind. In diesen lokalen Gruppen können Sie Gruppen vom Typ Global, Universal oder Lokale Domäne einfügen. Der Umfang der Mitgliedschaft richtet sich nach der Domänenfunktionsebene. In der Funktionsebene Windows 2000 pur und Windows Server 2003 können Sie eine individuelle Gruppenverschachtelung durchführen. Sie können in lokale Domänengruppen Mitglieder aus beliebigen Domänen einfügen, wie Abbildung 5.15 demonstriert. Darunter fallen: T Gruppen mit dem Bereich Global T Gruppen mit dem Bereich Universal T Konten beliebiger Domänen T Andere Gruppen mit dem Bereich Lokale Domäne T Eine beliebige Kombination der oben genannten Objekte

5.3 Benutzergruppen

387

MCSE Examen 70-294

Abbildung 5.15: Gruppenverschachtelung von Sicherheitsgruppen bei lokalen Domänengruppen (Domänenfunktionsebene ab Windows 2000 pur). Die lokale Gruppe soll für das Verteilen von Berechtigungen auf Ressourcen verwendet werden, die sich in derselben Domäne befinden.

Lokale Domänengruppen können ihrerseits nur in lokalen Domänengruppen derselben Domäne sein.

ACH TUNG

Bei der Funktionsebene Windows 2000 gemischt dürfen Sie nur Benutzer- und Computerkonten und globale Gruppen aus beliebigen Domänen einfügen. Da diese Funktionsebene keine universellen Gruppen kennt, können Sie diese auch nicht verwenden. Sie dürfen bei dieser Funktionsebene auch keine anderen lokalen Domänengruppen in eine lokale Domänengruppe einfügen.

Sie dürfen keine lokalen Gruppen anderer Domänen in eine lokale (Domänen-)Gruppe einfügen!

Globale Gruppen Verwenden Sie globale Gruppen, um Benutzer zusammenzufassen, die sich gleiche Aufgaben teilen und daher auch die gleichen Netzwerkzugriffe benötigen. Globale Gruppen sind innerhalb der Gesamtstruktur verfügbar.

388

5.3 Benutzergruppen


Der Umfang der Mitgliedschaft richtet sich nach der Domänenfunktionsebene. In der Funktionsebene Windows 2000 pur und Windows Server 2003 können Sie folgende Mitglieder einer globalen Gruppe hinzufügen: T Gruppen mit dem Bereich Global derselben Domäne T Konten derselben Domäne

Abbildung 5.16: Das Prinzip von globalen Gruppen und deren Verschachtelung

Normalerweise verwenden Sie globale Gruppen nicht zum Zuweisen von Berechtigungen auf Ressourcen. Wenn Sie jedoch Berechtigungen für Verzeichnisobjekte der Domäne angeben, die auf den globalen Katalog repliziert werden, müssen Sie auf globale oder universelle Gruppen ausweichen, da nur diese in den globalen Katalog aufgenommen werden können.

Universelle Gruppen (Gruppen vom Bereich Universal) Verwenden Sie universelle Gruppen bzw. Gruppen vom Bereich Universal, um in ihnen globale Gruppen zusammenzufassen bzw. um globale Gruppen einzufügen. Um universelle Sicherheitsgruppen zu verwenden, müssen Sie entweder die Domänenfunktionsebene Windows 2000 pur oder Windows Server 2003 eingestellt haben. Universelle Gruppen sind innerhalb der Gesamtstruktur verfügbar. Mit den universellen Gruppen können Sie Berechtigungen auf Ressourcen setzen, die sich in verschiedenen Domänen befinden. Die Verwendung dieser Gruppen macht daher auch nur dann Sinn, wenn Sie mehr als eine Domäne besitzen und ein gesamtstrukturweiter Zugriff auf Ressourcen erfolgen muss. Universelle Gruppen und ihre Mitglieder werden per Voreinstellung im globalen Katalog aufgeführt. Wenn Sie die Funktionsebene Windows 2000 pur eingestellt haben, sollten Sie die Mitgliedschaften von universellen Gruppen möglichst selten ändern, da die gesamten Grup-

5.3 Benutzergruppen

389

MCSE Examen 70-294

penmitgliedschaften bei nur einer Änderung auf jeden globalen Katalog in der Gesamtstruktur repliziert werden. Haben Sie dagegen die Funktionsebene Windows Server 2003 eingestellt, repliziert der Domänencontroller, auf dem Sie die Änderung initiieren, nur die geänderten Attribute bzw. Mitgliedschaften. Dadurch wird der Netzwerkverkehr wesentlich entlastet. In der Funktionsebene Windows 2000 pur und Windows Server 2003 können Sie folgende Objekte einer universellen Gruppe hinzufügen: T Gruppen mit dem Bereich Global von jeder Domäne der Gesamtstruktur T Gruppen mit dem Bereich Universal T Konten beliebiger Domänen Ihrerseits kann eine universelle Gruppe Mitglied von folgenden Gruppen sein: T Gruppen mit dem Bereich Lokale Domäne T Gruppen mit dem Bereich Universal

ACH TUNG

Abbildung 5.17: Das Prinzip von universellen Gruppen und ihrer Verschachtelung.

Sie können universelle Gruppen nicht in globale Gruppen einsetzen! Universelle Gruppen können keine lokalen Domänengruppen beinhalten!

390

5.3 Benutzergruppen


Domänenfunktionsebenen und Gruppen In Tabelle 5.15 sind die Auswirkungen der Domänenfunktionsebenen auf einzelne Gruppen zusammengefasst. Domänenfunktionsebenen in Windows Server 2003 wurden in Windows 2000 Server als Domänenmodi bezeichnet. Windows 2000 gemischt

Windows 2000 pur und Windows Server 2003

Sie können nur über Verteilergruppen des Bereichs Universal verfügen.

Sie können über Sicherheits- und Verteilergruppen des Bereichs Universal verfügen.

Bei Sicherheitsgruppen ist die Verschachtelung auf Gruppen des Bereichs Lokale Domäne beschränkt, deren Mitglieder globale Gruppen sind. Dies entspricht der »NT-Regel«. Sie können Verteilergruppen unendlich verschachteln.

Sie können Sicherheits- und Verteilergruppen unendlich verschachteln.

Sie dürfen keine Gruppenkonvertierungen durchführen.

Sie können Sicherheits- und Verteilergruppen in den jeweils anderen Gruppentyp konvertieren. Sie können Gruppen mit den Gruppenbereichen Global oder Lokale Domäne in den Bereich Universal konvertieren. Wenn Sie eine Konvertierung durchführen, müssen Sie sicherstellen, dass die Mitglieder der Gruppe auch den neuen Gruppenregeln entsprechen.

Tabelle 5.15: Überblick über den Zusammenhang zwischen den Domänenfunktionsebenen und den Gruppenbereichen

5.3.2

Verwenden von Domänengruppen

Welchen Sinn machen die drei Gruppen? Wie werden sie zusammen verwendet? Diese Fragen beantwortet dieses Unterkapitel. Zunächst unterscheiden Sie, ob Sie ein Ein-Domänenmodell oder ein Multi-Domänenmodell betrachten. Für die praktische Durchführung finden Sie eine Übung am Ende dieses Unterkapitels.

Gruppenstrategien im Ein-Domänenmodell SCHRITT FÜR SCHRITT

Microsoft empfiehlt Ihnen die folgende Strategie, um globale und lokale Domänengruppen in einem Ein-Domänenmodell anzuwenden. Die Verwendung von universellen Gruppen fällt weg, da diese für den domänenweiten Zugriff verwendet werden, den es hier ja nicht gibt. Sie benötigen auch keinen globalen Katalogserver, es sei denn, Sie verwenden einen Microsoft Exchange Server in den Versionen »2000« und »2003«. Merken Sie sich daher folgende Strategie (siehe auch Abbildung 5.18):

1

Erstellen Sie Benutzerkonten.

2

Fügen Sie Benutzer(konten) in globale Gruppen ein.

5.3 Benutzergruppen

391

MCSE Examen 70-294

3

(Optional) Fügen Sie die globale Gruppe in eine weitere globale Gruppe ein.

4

Fügen Sie die globale Gruppe in eine Gruppe vom Typ Lokale Domäne (lokale Domänengruppe) ein.

5

Weisen Sie der lokalen Domänengruppe Ressourcenberechtigungen zu.

TIPP

Abbildung 5.18: Verwenden von Gruppen für einen domänen-internen Zugriff: Gruppenstrategien im Ein-Domänenmodell

Merken Sie sich für die Prüfung diese Regel. Verwenden Sie zum Beispiel folgende Gedächtnisstütze: B G (G) DL für Benutzer in Global, (in Global), in Domänen-Lokal.

Fallstudie: Verwenden von Gruppen in einer Domäne Situationsbeschreibung Die Firma Export GmbH hat ihren Sitz in Berlin. Sie besitzt eine Domäne. Die Export GmbH hat eine Gruppe von Marketingexperten, die auf ein Verzeichnis Marketing in ihrer Domäne zugreifen müssen. Welche Gruppenstrategie ist laut Microsoft vorgesehen?

Situationsanalyse 1. Erstellen Sie eine globale Gruppe mit dem Namen MarketingExpert. 2. Fügen Sie zuerst die Konten der Marketingexperten in eine globale Gruppe mit dem Namen MarketingExpert ein.

392

3. Erstellen Sie eine Gruppe vom Typ Lokale Domäne mit dem Namen MarketingZugriff. 4. Fügen Sie die Gruppe MarketingExpert in die Gruppe MarketingZugriff ein. MarketingExpert erbt durch die Gruppenmitgliedschaft alle Privilegien und Zugriffsberechtigungen. 5. Im Microsoft Explorer erteilen Sie Berechtigungen, wer auf das Verzeichnis Marketing zugreifen darf. Weisen Sie im Register Sicherheit der Gruppe MarketingZugriff ein Zugriffsrecht Ändern zu. Fazit: Sie benötigen eine globale Gruppe und eine lokale Domänengruppe.

5.3 Benutzergruppen


Wo liegen die Vorteile dieser Gruppenstrategie? Antwort: Sie sind immer in Ihren Entscheidungen variabel. Es ist immer einfacher, Gruppen in andere Gruppen einzusetzen, als an einer Ressource Berechtigungen zu ändern. Wenn Sie die Berechtigungen an einem Dateiserver ändern wollen, der als Mitgliedsserver in die Domäne integriert ist, müssen Sie sich erst immer mit diesem verbinden, um anschlie-

ßend Freigabe- und NTFS-Berechtigungen zu erteilen. Das Arbeiten in der Konsole Active Directory-Benutzer und -Computer ist wesentlich einfacher, als das Zuweisen von Berechtigungen mit dem Explorer. Müssen Sie einer zweiten Gruppe einen Zugriff auf das Verzeichnis erlauben, reicht es aus, die neue Gruppe in die lokale Domänengruppe MarketingZugriff einzufügen.

Gruppenstrategien im Multi-Domänenmodell SCHRITT FÜR SCHRITT

Microsoft empfiehlt Ihnen die folgende Strategie, um universelle globale und lokale Domänengruppen in einer Gesamtstruktur mit einem domänenübergreifenden Zugriff auf Ressourcen zu verwenden. Merken Sie sich daher folgende Strategie (siehe auch Abbildung 5.19):

1

Erstellen Sie Benutzerkonten.

2

Fügen Sie Benutzer(konten) in globale Gruppen ein.

3

(Optional) Fügen Sie die globale Gruppe in eine weitere globale Gruppe ein.

4

Fügen Sie die globale Gruppe in eine Gruppe vom Typ Universal (universelle Gruppe) ein.

5

Fügen Sie die universelle Gruppe in eine lokale Domänengruppe ein.

6

Weisen Sie der lokalen Domänengruppe Ressourcenberechtigungen zu.

Merken Sie sich für die Prüfung die Vorgehensweise. Verwenden Sie zum Beispiel folgende Gedächtnisstütze: B G U DL für Benutzer in Global, in Universal, in Domänen-Lokal.

5.3 Benutzergruppen

393

TIPP

Abbildung 5.19: Verwenden von Gruppen für einen multi-domänenweiten Zugriff: Gruppenstrategien für eine Gesamtstruktur, die aus mehren Domänen besteht.

MCSE Examen 70-294

Fallstudie: Verwenden von universellen Gruppen Situationsbeschreibung Sie sind Administrator der Firma GüterTransport GmbH mit Sitz in Hamburg. Die Firma besitzt eine Gesamtstruktur, die in 2 Domänen in je 2 Standorten aufgeteilt ist. Der Hauptsitz in Hamburg verwaltet die Domäne transport.net. Die Zweigstelle in Düsseldorf verwaltet die untergeordnete Domäne duesseldorf.transport.net. Die Firma hat in Hamburg einige Kaufleute, die auf ein Verzeichnis in Düsseldorf zugreifen müssen. Wie gehen Sie vor, damit Ihre Mitarbeiter auf die gewünschten Ressourcen zugreifen können?

Situationsanalyse 1. Erstellen Sie eine globale Gruppe mit dem Namen Kaufleute in der Domäne transport.net. 2. Fügen Sie die Konten der Marketingexperten in eine globale Gruppe mit dem Namen Kaufleute ein. 3. Erstellen Sie eine universelle Gruppe mit dem Namen HamburgKaufleute in der Domäne transport.net. 4. Fügen Sie die globale Gruppe Kaufleute in die universelle Gruppe HamburgKaufleute ein.

5.3.3

5. Erstellen Sie eine Gruppe vom Typ Lokale Domäne mit dem Namen VerzeichnisZugriff in der Domäne duesseldorf.transport.net. 6. Fügen Sie die Gruppe HamburgKaufleute in die Gruppe VerzeichnisZugriff ein. 7. Im Microsoft Explorer erteilen Sie Berechtigungen, wer auf das Verzeichnis zugreifen darf. Weisen Sie im Register SICHERHEIT der Gruppe VerzeichnisZugriff ein Zugriffsrecht zu. Fazit: Sie benötigen eine globale Gruppe, eine universelle und eine lokale Domänengruppe. Die universelle Gruppe dient also als »Transportmedium für den domänenweiten Zugriff«. Wo liegen die Vorteile dieser Gruppenstrategie? Antwort: Auch hier Sie sind immer in Ihren Entscheidungen variabel. Es gelten die gleichen Argumente wie bei einem Ein-Domänenmodell: Es ist einfacher, Gruppen zu verwalten, als Verzeichniszugriffsberechtigungen. Möchten Sie, dass eine zweite Gruppe einen Zugriff auf das Verzeichnis erhält, reicht es aus, die neue Gruppe in die universelle Domänengruppe HamburgKaufleute einzufügen.

Standardgruppen

Die Active Directory-Verzeichnisdienste von Windows Server 2003 kennen eine Reihe von Standardgruppen, die sich in folgende Container oder Sparten aufteilen: T Container Builtin T Container User T Spezialidentitätsgruppen T sonstige lokale Gruppen

394

5.3 Benutzergruppen


Microsoft hat vielen Standardgruppen automatisch Benutzerrechte zugewiesen, die es den Mitgliedern der Gruppe gestatten, bestimmte Aktionen in einer Domäne auszuführen, wie beispielsweise das Verwalten von Konten.

Gruppen im Container Builtin Die Gruppen im Container Builtin dienen hauptsächlich dazu, Benutzer mit administrativen Fähigkeiten zusammenzufassen. Sie dienen dem lokalen Zugriff auf die DomänencontrollerComputer. Sie haben maximal den Gruppenbereich Lokal (in Domäne). Beachten Sie, dass es zusätzlich zu den Standardgruppen in Active Directory noch Standardgruppen auf den lokalen Computern gibt. Diese werden dann als lokale Standardgruppen bezeichnet. Administratoren Die höchsten Privilegien in der Domäne hat die lokale Domänengruppe Administratoren. Die Mitglieder dieser Gruppe haben Vollzugriff auf alle Domänencontroller in der Domäne. In ihr sind auch die Gruppen Domänen-Admins und Organisations-Admins Mitglied, wie auch das Konto Administrator. In allen untergeordneten Domänen wird automatisch die universelle Gruppe Organisations-Admins zur lokalen Domänengruppe Administratoren hinzugefügt (siehe Abbildung 5.20).

Abbildung 5.20: Domänen-Admins aus übergeordneten Domänen sind automatisch Mitglied der lokalen Domänengruppe Administratoren.

5.3 Benutzergruppen

395

MCSE Examen 70-294

Sie sollten beim Hinzufügen von Benutzern in dieser Gruppe mit Bedacht vorgehen. Das Konto besitzt eine Reihe von nachfolgend aufgeführten Privilegien: T Ändern der Systemzeit T Anheben der Zeitplanungspriorität T Anpassen von Speicherkontingenten für einen Prozess T Auf diesen Computer vom Netzwerk zugreifen T Auslassen der durchsuchenden Überprüfung T Debuggen von Programmen T Entfernen des Computers von der Dockingstation T Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird T Erstellen einer Auslagerungsdatei T Erstellen eines Profils der Systemleistung T Erstellen eines Profils für einen Einzelprozess T Erzwingen des Herunterfahrens von einem Remotesystem T Herunterfahren des Systems T Laden und Entfernen von Gerätetreibern T Lokal anmelden zulassen T Sichern von Dateien und Verzeichnissen T Übernehmen des Besitzes von Dateien und anderen Objekten T Verändern der Firmwareumgebungsvariablen T Verwalten von Überwachungs- und Sicherheitsprotokollen T Wiederherstellen von Dateien und Verzeichnissen Operatorengruppen Die Operatorengruppen können auf Domänencontrollern, Mitgliedsservern oder sonstigen Windows NT/2000/XP-Clients vorhanden sein. Sie dienen zur teilweisen Verwaltung. Mitglieder der Gruppe haben daher auch Standardbenutzerrechte, die es ihnen erlauben, sich an den betreffenden Computern anund abzumelden und ggf. den Computer herunterzufahren. Operatorengruppen sind immer lokal zu sehen.

396

5.3 Benutzergruppen

5 – Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten Gruppe

Beschreibung

KontenOperatoren

Mitglieder dieser Gruppe können Benutzer-, Gruppen- und Computerkonten in den Containern Users und Computer und in Organisationseinheiten der Domäne erstellen, ändern und löschen. Eine Ausnahme bildet die Organisationseinheit Domänen-Controller. Mitglieder der Konten-Operatoren-Gruppe dürfen die Gruppe Administratoren oder Domänen-Admins sowie die Konten für Mitglieder dieser Gruppen nicht ändern. Sie können also keine »Administratoren erstellen« bzw. modifizieren. Mitglieder dieser Gruppe können sich lokal an Domänencontrollern in ihrer Domäne anmelden und diese auch herunterfahren. Konten-Operatoren existieren nur auf Domänencontrollern. Diese Gruppe besitzt keine Standardmitglieder.

SicherungsOperatoren

Die Mitglieder dieser Gruppe können alle Dateien auf Domänencontrollern in der Domäne sichern und wiederherstellen. Die Wiederherstellung geschieht unabhängig von ihren eigenen individuellen Berechtigungen für diese Dateien, es sei denn, es wurde bestimmt, dass nur Administratoren Zugriff auf das Backup erhalten sollen. Sicherungs-Operatoren können sich außerdem an Domänencontrollern anmelden und diese auch herunterfahren. Diese Gruppe besitzt keine Standardmitglieder.

NetzwerkkonfigurationsOperatoren

Mitglieder dieser Gruppe können Änderungen der TCP/IP-Einstellungen auf Domänencontrollern vornehmen. Diese Gruppe besitzt keine Standardmitglieder und auch keine Standardbenutzerrechte. Verwenden Sie diese Gruppe mit einer weiteren Gruppe, die auch die Privilegien zur An- und Abmeldung auf Domänencontrollern besitzt.

DruckOperatoren

Mitglieder dieser Gruppe können Drucker einrichten und verwalten, die mit Domänencontrollern in der Domäne verbunden sind und Active DirectoryDruckerobjekte in der Domäne verwalten. Mitglieder dieser Gruppe können sich lokal an Domänencontrollern ihrer Domäne anmelden und diese auch herunterfahren. Diese Gruppe besitzt keine Standardmitglieder.

ReplikationsOperator

Die Gruppe unterstützt die Verzeichnisreplikation und wird vom Dateireplikationsdienst auf allen Domänencontrollern in der Domäne verwendet. Es sind keine Mitglieder in der Gruppe eingefügt. Die Gruppe besitzt keine Standardbenutzerrechte.

ServerOperatoren

Mitglieder dieser Gruppe können Ressourcen erstellen und freigeben. Sie können bestimmte Dienste verwalten und die Aufgaben des Sicherungs-Operators übernehmen. Sie haben Privilegien, sich anund abzumelden, den Computer neu zu starten und die Festplatte zu formatieren. Die Gruppe Server-Operatoren besitzt keine Standardmitglieder. Sie besitzt folgende Standardbenutzerrechte: Sichern von Dateien und Verzeichnissen, Erzwingen des Herunterfahrens von einem Remotesystem aus, Lokal anmelden zulassen, Wiederherstellen von Dateien und Verzeichnissen, Ändern der Systemzeit und Herunterfahren des Systems.

Tabelle 5.16: Beschreibung der Gruppen, die Operatoren sind

5.3 Benutzergruppen

397

MCSE Examen 70-294

Sonstige Konten Der Container Builtin enthält je nach Domäne noch folgende Gruppen, die alle per Voreinstellung keine Standardbenutzerrechte besitzen. Gruppe

Beschreibung

Benutzer

Diese lokale Domänengruppe dient zum Ausführen der meisten allgemeinen Aufgaben, die keine administrativen Tätigkeiten einschließen. Mitglieder dieser Gruppe können Anwendungen ausführen und sich mit Druckern verbinden. Die Gruppen Domänen-Benutzer, Authentifizierte Benutzer und Interaktiv sind standardmäßig Mitglieder dieser Gruppe. Jedes in der Domäne erstellte Benutzerkonto ist und wird per Voreinstellung Mitglied dieser Gruppe.

Gäste

Die globale Gruppe Domänen-Gäste ist standardmäßig ein Mitglied dieser lokalen Domänengruppe. Das Konto Gast, dass standardmäßig deaktiviert ist, ist ebenfalls ein Mitglied dieser Gruppe. Es werden auch von allen übergeordneten Domänen die Gruppen Domänen-Gäste in die lokale Domänengruppe Gäste eingefügt.

Erstellungen eingehender Gesamtstrukturvertrauensstellung

Diese Gruppe wird nur in der Gesamtstruktur-Stammdomäne angezeigt. Mitglieder dieser Gruppe können unidirektionale, eingehende Gesamtstrukturvertrauensstellungen für die Gesamtstruktur-Stammdomäne erstellen. Diese Gruppe besitzt keine Standardmitglieder.

Systemmonitorbenutzer

Die Mitglieder dieser Gruppe können Leistungsindikatoren (Performance Counters) auf Domänencontrollern in der Domäne überwachen, ohne Mitglied der Gruppen Administratoren oder Leistungsprotokollbenutzer zu sein.

Leistungsprotokollbenutzer

Mitglieder dieser Gruppe können Leistungsindikatoren, Protokolle und Warnungen auf Domänencontrollern in der Domäne verwalten, ohne Mitglied der Gruppe Administratoren zu sein.

Remotedesktopbenutzer

Die Mitglieder dieser Gruppe können sich remote an Domänencontrollern in der Domäne anmelden. Diese Gruppe besitzt keine Standardmitglieder.

Tabelle 5.17: Beschreibung von Gruppen im Container Builtin.

Prä-Windows 2000-kompatibler Zugriff Die Mitglieder dieser Gruppe haben Lesezugriff auf alle Benutzer- und Gruppenobjekte in der Domäne. Diese Gruppe dient zur Abwärtskompatibilität zu Windows NT 4.0 und älteren Versionen. Die Sondergruppe Authentifizierte Benutzer ist standardmäßig Mitglied dieser Gruppe. Sie enthält alle Benutzer mit einem gültigen Konto in den Active Directory-Diensten. Mitglieder dieser Gruppe haben per Voreinstellung folgende Privilegien: T Auf diesen Computer vom Netzwerk aus zugreifen. T Auslassen der durchsuchenden Überprüfung. Bei einer Heraufstufung eines Mitglieds- oder allein stehenden Server zum Domänencontroller stellt der Assistent zum Installieren von Active Directory (dcpromo.exe) verschiedene Fragen zur Verzeichniskonfiguration (siehe Abbildung 3.42). Hier wird unter anderem gefragt, ob die Sicherheit für Verzeichnisobjekte gelockert werden soll, um den Zugriff von Systemen mit Vorgängerversionen, wie NT4 RAS-Servern und SQL-Computern, zu ermöglichen. Mehr

398

5.3 Benutzergruppen


Informationen über das Installieren und über den Assistent zum Installieren von Active Directory finden Sie in Kapitel 3.5.2 und in der zugehörigen Übung. Wenn Sie die Sicherheit der Domäne lockern möchten, wird die Identität Jeder zur Gruppe Prä-Windows 2000 kompatibler Zugriff hinzugefügt. Die Gruppe Prä-Windows 2000 kompatibler Zugriff verfügt über Leseberechtigungen für viele kritische Verzeichnisobjekte, darunter die Container Users und Builtin. Folglich erhält Jeder durch das Auswählen von herkömmlicher Sicherheit Berechtigungen zum Auflisten der Benutzerkonten und Gruppennamen in der Domäne. Diese Situation können Sie verbessern, indem Sie die Gruppe Jeder aus der Gruppe Prä-Windows 2000 kompatibler Zugriff entfernen. Führen Sie den Vorgang in der Konsole Active Directory-Benutzer und -Computer oder mit der folgenden Eingabe aus: net localgroup "Prä-Windows 2000 kompatibler Zugriff" everyone/delete

Beachten Sie, dass dies den Zugriff von Clients mit Vorgängerversionen auf bestimmte Verzeichnisobjekte beeinflussen wird. Folglich ist es am besten, Windows NT 4.0-Remote Access Service (RAS) - und SQL-Datenbank-Systeme zuerst probeweise zu migrieren.

Gruppen im Container Users Sie finden Standardsicherheitsgruppen im Container Users, der auch als Default-Container für aktualisierte Benutzerkonten fungiert. Die Standardsicherheitsgruppen dienen zum Zuweisen von administrativen Privilegien in der Domäne. Domänen-Admins und Organisations-Admins Die Mitglieder der globalen Gruppe Domänen-Admins haben Vollzugriff auf die Domäne. Die Gruppe ist per Voreinstellung Mitglied der lokalen Domänengruppe Administratoren auf allen Domänencontrollern, allen Domänenarbeitsstationen und allen Domänenmitgliedsservern, wenn diese zur Domäne hinzugefügt werden. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe. Durch diese Gruppenmitgliedschaft wird es ermöglicht, dass dieses Konto alle Computer der Domäne verwalten darf. Die Mitglieder der universellen Gruppe Organisations-Admins haben ebenfalls Vollzugriff auf die Domäne und zusätzlich auf alle anderen Domänen der Gesamtstruktur. Diese Gruppe ist standardmäßig Mitglied der Gruppe Administratoren auf allen Domänencontrollern in der Gesamtstruktur. Das Konto Administrator ist hier ebenfalls ein Mitglied. Die Domänen-Admins und Organisations-Admins erhalten folgende Privilegien, die sich auch im Zugriffstoken wiederfinden: T Ändern der Systemzeit T Anheben der Zeitplanungspriorität T Anpassen von Speicherkontingenten für einen Prozess T Auf diesen Computer vom Netzwerk zugreifen T Auslassen der durchsuchenden Überprüfung T Debuggen von Programmen T Entfernen des Computers von der Dockingstation

5.3 Benutzergruppen

399

MCSE Examen 70-294

T Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird T Erstellen einer Auslagerungsdatei T Erstellen eines Profils der Systemleistung T Erstellen eines Profils für einen Einzelprozess T Erzwingen des Herunterfahrens von einem Remotesystem T Herunterfahren des Systems T Laden und Entfernen von Gerätetreibern T Lokal anmelden zulassen T Sichern von Dateien und Verzeichnissen T Übernehmen des Besitzes von Dateien und anderen Objekten T Verändern der Firmwareumgebungsvariablen T Verwalten von Überwachungs- und Sicherheitsprotokollen

HIN WEIS

T Wiederherstellen von Dateien und Verzeichnissen

Führen Sie in der Kommandozeile den Befehl whoami /priv aus, und Sie erhalten Ihre gerade gültigen Privilegien aufgelistet. Sonstige Gruppen Unter den sonstigen Gruppen sind diejenigen aufgelistet, die keine Privilegien bzw. keine Standardbenutzerrechte besitzen. Dennoch sollten Sie die Mitglieder dieser Gruppen mit Bedacht auswählen, da sie u.U. tief in Active Directory eingreifen können. Beispielsweise können Mitglieder der Gruppe Schema-Admins das Active Directory-Schema verändern. Gruppe

Beschreibung

DnsAdmins

Diese lokale Domänengruppe ist nur verfügbar, wenn ein DNS-Server auf dem Computergerät installiert ist. Die Mitglieder dieser Gruppe haben einen Vollzugriff auf den DNS-Serverdienst. Diese Gruppe besitzt keine Standardmitglieder und auch keine Standardbenutzerrechte.

DnsUpdateProxy

Diese globale Gruppe ist nur verfügbar, wenn ein DNS-Server auf dem Computergerät installiert ist. Die Mitglieder dieser Gruppe sind DNS-Clients, die dynamische Updates im Auftrag von anderen Clients ausführen können. Diese Gruppe besitzt keine Standardmitglieder und auch keine Standardbenutzerrechte.

DomänenBenutzer

Diese globale Gruppe enthält alle Benutzer der Domäne und besitzt keine Standardbenutzerrechte. Jedes in der Domäne erstellte Benutzerkonto wird automatisch Mitglied dieser Gruppe. Die Gruppe Domänen-Benutzer ist per Voreinstellung die Primäre Gruppe aller Benutzerkonten.

Domänencomputer

Diese globale Gruppe enthält alle Server und Arbeitsstationen, die der Domäne angehören. Standardmäßig wird jedes Computerkonto automatisch Mitglied dieser Gruppe.

Tabelle 5.18: Beschreibung von Gruppen im Container Users.

400

5.3 Benutzergruppen

5 – Planung und Einrichtung von Benutzer-, Gruppen- und Computerkonten Gruppe

Beschreibung

Domänencontroller

Diese globale Gruppe enthält alle Domänencontroller in der Domäne.

Domänen-Gäste

Diese globale Gruppe enthält alle Gäste der Domäne und besitzt keine Standardbenutzerrechte.

IIS_WPG

Diese Gruppe wird mit den Internet Information Service (IIS) installiert und stellt die Arbeitsprozessgruppe dar. Die Gruppe besitzt keine Standardbenutzerrechte.

RAS- und IAS-Server

Die Server in dieser lokalen Domänengruppe erhalten einen Zugriff auf die RAS-Eigenschaften von Benutzern.

Richtlinien-Ersteller-Besitzer

Mitglieder dieser globalen Gruppe können Gruppenrichtlinien in der Domäne ändern. Das Konto Administrator ist standardmäßig Mitglied dieser Gruppe.

Schema-Admins

Die universelle Gruppe der Schema-Admins wird nur in der Gesamtstruktur-Stammdomäne angezeigt. Die Mitglieder dieser Gruppe können das Active DirectorySchema ändern. Per Voreinstellung ist das Administrator-Konto der Stammdomäne hier Mitglied. Die Gruppe besitzt keine Standardbenutzerrechte.

Zertifikatherausgeber

Mitglieder dieser lokalen Domänengruppe dürfen Zertifikate für Benutzer und Computer veröffentlichen. Diese Gruppe besitzt keine Standardmitglieder und auch keine Standardbenutzerrechte.

Tabelle 5.18: Beschreibung von Gruppen im Container Users. (Forts.)

Sondergruppen (Spezialidentitätsgruppen) Zusätzlich zu den in den Containern Builtin und Users enthaltenen Gruppen weisen Server unter Windows Server 2003 mehrere Sondergruppen auf. Sondergruppen weisen keine bestimmten Mitgliedschaften auf, die Sie ändern können. Die Sondergruppen können abhängig von den jeweiligen Umständen und dem jeweiligen Zeitpunkt für unterschiedliche Benutzer stehen. Sie können zwar Sondergruppen Rechte und Berechtigungen für Ressourcen zuweisen, aber die Mitgliedschaften dieser Gruppen können nicht angezeigt oder geändert werden. Verwenden Sie daher diese Gruppen nicht zum Setzen von Berechtigungen. Es gibt die folgenden Sondergruppen: Sondergruppe

Beschreibung

AnonymousAnmeldung

In dieser Gruppe sind Benutzer und Dienste zusammengefasst, die über das Netzwerk auf einen Computer bzw. dessen Ressourcen zugreifen, ohne dazu einen Kontonamen, ein Kennwort oder einen Domänennamen zu verwenden. Im Gegensatz zu Windows NT ist bei Windows Server 2003-basierten Computern die Gruppe Anonymous-Anmeldung nicht per Voreinstellung Mitglied der Gruppe Jeder.

Jeder

Hier sind alle Netzwerkbenutzer, einschließlich der Gäste und Benutzer aus anderen Domänen, zusammengefasst. Jeder Benutzer, der sich am Netzwerk anmeldet, wird automatisch zur Gruppe Jeder hinzugefügt.

Tabelle 5.19: Beschreibung der Sondergruppen

5.3 Benutzergruppen

401

MCSE Examen 70-294 Sondergruppe

Beschreibung

Netzwerk

Alle Benutzer, die über das Netzwerk auf eine Ressource zugreifen, sind in dieser Gruppe automatisch zusammengefasst.

Interaktiv

Unter Interaktiv sind alle Benutzer automatisch zusammengefasst, die an einem Computer der Domäne angemeldet sind und auf eine Ressource auf dem lokalen Computer zugreifen. Diese Gruppe ist der Gegensatz zu Netzwerk.

Tabelle 5.19: Beschreibung der Sondergruppen (Forts.)

5.3.4

Erstellen und Verwalten von Gruppen

Die einfachste Möglichkeit, Gruppen zu erstellen und zu verwalten, ist die über die Managementkonsole Active Directory-Benutzer und -Computer. Den Vorgang des Erstellens führen Sie am besten über die rechte Maustaste und anschließend über das Kontextmenü NEU/ GRUPPE aus. Geben Sie anschließend den Gruppennamen, den Typ und den Bereich ein (siehe Abbildung 5.21). Der Vorgang ist sehr einfach durchzuführen. Wenn die neue Gruppe erstellt ist, kann sie in abhängig von ihrem Bereich verwaltet werden. Hierzu stehen Ihnen insgesamt 6 Reiter zur Verfügung. Der Reiter SICHERHEIT ist nur dann sichtbar, wenn Sie in der Menüzeile der Managementkonsole unter ANSICHT die erweiterte Ansicht einstellen.

Abbildung 5.21: Bearbeiten der Eigenschaften einer Sicherheitsgruppe

402

5.3 Benutzergruppen


Sie können in den Eigenschaften des Objekts folgende Aufgaben durchführen: Register

Beschreibung

Allgemein

Sie ändern hier die Gruppenbereiche und Gruppentypen sowie den Prä-Windows 2000-Gruppennamen. Sie können auch einige beschreibende Anmerkungen eintragen. Das Feld E-Mail repräsentiert die E-Mail-Adresse der Gruppe, wenn Sie beispielsweise Microsoft Exchange 2000 Server oder Exchange Server 2003 in der Domäne integriert haben.

Mitglieder

Sie fügen hier Mitglieder in dieser Gruppe ein. Dies variiert in Abhängigkeit vom Gruppentyp. Mehr zu diesem Thema finden Sie in den Kapiteln 5.3.1 und 5.3.2.

Mitglied von

Die jeweilige Gruppe ist Mitglied einer anderen Gruppe und erbt deren Privilegien und Berechtigungen.

Verwaltet von

Wenn Sie das Objekt an Mitarbeiter delegiert haben, empfiehlt sich ein Eintrag über diese Delegation in dieser Registerkarte.

Objekt

Hier finden Sie, wie bei jedem Objekt, den kanonischen Namen, die Objektklasse, das Erstellungsdatum, das Änderungsdatum und die Update Sequence Numbers (USNs) des Gruppenobjekts.

Sicherheit

Hier haben Sie die Möglichkeit, Berechtigungen für das Objekt zu vergeben. Darunter fällt auch eine mögliche Delegation an andere Benutzerkonten.

Tabelle 5.20: Vorstellung der Register in den Eigenschaften eines Gruppenobjekts

Der wichtigste Aspekt bei der Verwaltung von Gruppen ist neben der Delegation (siehe auch Kapitel 6.1) das Setzen von Gruppenmitgliedschaften. Dies können Sie – wie bereits beschrieben – in den Registern MITGLIEDER und MITGLIED VON durchführen. Wenn Sie eine Gruppe in einer anderen Gruppe hinzufügen wollen, müssen Sie dies im Register MITGLIEDER tun. Wenn Sie dagegen wollen, dass Ihre gerade aktuelle Gruppe ihrerseits ein Mitglied einer anderen Gruppe wird, müssen Sie dies im Register MITGLIED VON durchführen. Sobald Sie Mitglieder einer Gruppe hinzufügen, erscheint automatisch in den Eigenschaften der hinzugefügten Gruppe (im Register MITGLIED VON), diejenige Gruppe, deren Mitglied die hinzugefügte Gruppe gerade geworden ist. Diesen Sachverhalt zeigt Abbildung 5.22. Wenn Sie zum Beispiel die Gruppe Vertrieb USA in die Gruppe Vertrieb einsetzen wollen, haben Sie zwei Möglichkeiten: 1. Sie müssen die Eigenschaften der Gruppe Vertrieb USA auswählen und dort in das Register MITGLIEDER klicken und die Gruppe Vertrieb einsetzen. 2. Alternativ können Sie auch in die Eigenschaften der Gruppe Vertrieb gehen, dort die Eigenschaften auswählen und anschließend im Register MITGLIEDER VON die Gruppe Vertrieb USA einfügen.

5.3 Benutzergruppen

403

MCSE Examen 70-294

Abbildung 5.22: Zusammenhang zwischen den Registern MITGLIED VON und MITGLIEDER. Diejenige Gruppe, die Mitglied von »Vertrieb USA« ist, wird auch automatisch unter den Mitgliedern der Gruppe »Vertrieb« in der Registerkarte MITGLIEDER geführt.

5.3.5

Erstellen und Verwalten über Befehlszeilenprogramme

Befehlzeilenprogramme sind sehr vorteilhaft, da Sie über eine Batchdatei viele Befehle zur gleichen Zeit ausführen können. Auch für das Erstellen und Verwalten von Benutzern und Gruppen existieren komfortable Befehlszeilenprogramme.

Erstellen und Löschen Sie können neue Benutzergruppen auch über die Eingabeaufforderung oder per Batchdatei einrichten. Geben Sie hierfür Folgendes ein: dsadd group Gruppen_DN [-samid SAM_Name] [-secgrp {yes | no}] [-scope {l | g | u}]

Sie können Gruppen auch löschen, indem Sie Folgendes eingeben: dsrm Gruppen_DN

404

5.3 Benutzergruppen



Beschreibung

Gruppen_DN

Ist der definierte Name (Distinguished Name) des Gruppenobjekts, das Sie hinzufügen möchten.

SAM_Name

Sie geben hier den eindeutigen SAM-Kontonamen ein, den Sie sonst in das Feld Gruppenname (Prä-Windows 2000) (siehe Abbildung 5.14) eingeben würden. SAM ist die Abkürzung für Security Accounts Manager und bezieht sich auf Windows NT. Ohne Angabe eines Werts bildet Dsadd einen SAM-Namen anhand der ersten 20 Zeichen des gemeinsamen Namens (Common Name, CN).

yes | no

Sie geben mit yes an, ob Sie eine Sicherheitsgruppe erstellen möchten. Mit dem Parameter no erstellen Sie eine Verteilergruppe.

l | g | u

Sie geben den Bereich der Gruppe an: l – für eine lokale Domänengruppe g – für eine globale Gruppe u – für eine Gruppe vom Typ Universal bzw. einer universellen Gruppe

/?



Falls die Domänenfunktionsebene auf Windows 2000 gemischt gesetzt ist, können Sie nur die Sicherheitsgruppen mit den Bereichen lokale Domäne oder global auswählen. Eine Ausnahme stellen Verteilergruppen dar. Sie können immer vom Typ Universal sein.

Gruppenmitgliedschaften ändern Sie können die Gruppenmitgliedschaften über die Eingabeaufforderung oder per Batchdatei ändern. Geben Sie hierfür Folgendes ein: dsmod group Gruppen_DN [-addmbr Mitglieder_DN]


Beschreibung

Gruppen_DN

Mit diesem Wert ist der definierte Name (Distinguished Name) des Gruppenobjekts gemeint.

Mitglieder_DN

Sie geben den definierten Namen des Objekts an, das zu der Gruppe hinzugefügt werden soll. Sie können Benutzer, Computer und Kontakte einer Gruppe hinzufügen.

/?



5.3 Benutzergruppen

405

MCSE Examen 70-294

Umwandeln einer Gruppe in einen anderen Gruppentyp Sie können den Gruppentyp über die Eingabeaufforderung oder per Batchdatei ändern. Geben Sie hierfür Folgendes ein: dsmod group Gruppen_DN [-secgrp {yes|no}]


Beschreibung

Gruppen_DN

Ist, wie bei den anderen Befehlszeilenprogrammen auch, der definierte Name (Distinguished Name) des Gruppenobjekts. Geben Sie den Namen der Gruppe ein, dessen Gruppentyp Sie ändern wollen.

yes | no

Sie geben mit yes an, ob Sie eine Sicherheitsgruppe erstellen möchten. Eine Verteilergruppe legen Sie mit dem Parameter no an. Beachten Sie hierbei auch die Domänenfunktionsebene.

/?



5.4

Computerkonten

Jedes Computergerät mit den Betriebssystemen Windows Server 2003, Windows 2000 Server, Windows XP und Windows 2000 Professional weist ein Computerkonto auf, wenn es der Domäne hinzugefügt wird. Ähnlich wie bei Benutzerkonten muss ein Computerkonto im Netzwerk eindeutig sein. Computer müssen sich genauso wie Benutzerkonten an den Active Directory-Verzeichnisdiensten anmelden.

HIN WEIS

Sie können Computerkonten mit der Konsole Active Directory-Benutzer und -Computer hinzufügen, deaktivieren, zurücksetzen und löschen. Wie bei den Benutzerkonten auch können Sie Befehlszeilenprogramme oder Visual-Basic-Skripte verwenden, um einen Massenimport von Computerkonten zu bewirken.

Beachten Sie, dass Computer unter Windows 95 und Windows 98 über keine Computerkonten in der Domäne verfügen können, da Microsoft dies vom Konzept her nicht vorgesehen hat.

5.4.1

Computerkonten vom Client aus zur Domäne hinzufügen

Sie können während der Installation des Betriebssystems auswählen, ob der Computer Mitglied einer Domäne oder einer Arbeitgruppe werden soll. Ein Computer kann immer nur in einer Domäne oder Arbeitsgruppe Mitglied werden, d.h., Sie dürfen keine mehrfachen Mitgliedschaften erstellen. Bei den Betriebssystemen Windows NT Workstation, Windows 2000 Professional und Windows XP haben Sie immer die Möglichkeit, nach der Installation die Mitgliedschaft zur Domäne zu ändern.

406

5.4 Computerkonten


Haben Sie einen Windows 2000 Server oder einen Windows Server 2003, der nicht als Domänencontroller eingerichtet ist, können Sie diesen jederzeit in eine andere Domäne verschieben, wenn die auf dem Computer installierten Applikationen dies erlauben. Sie dürfen das Verschieben nicht durchführen, wenn auf dem Mitgliedsserver Exchange 2000 Server, Exchange Server 2003 oder eine andere Active Directory-integrierte Applikation läuft. Wenn Sie es dennoch ausführen, funktioniert beispielsweise der Exchange Server nicht mehr, da seine Funktionsfähigkeit mit Active Directory gekoppelt ist. Im Active Directory sind die Exchange-Objekte trotzdem noch aktiv. Da die Computer-SID aus dem Active Directory gelöscht ist, müssen Sie sowohl das Active Directory als auch den Computer mit dem Exchange Server über ein Backup wiederherstellen. Es ist auch nicht erlaubt, einen Domänencontroller von einer Domäne zur anderen zu verschieben. Hier müssen Sie zuerst den Domänencontroller herabstufen, bevor Sie ihn verschieben können. Bei Windows NTDomänencontrollern müssen Sie das Computergerät neu installieren. Sie verschieben Clientcomputer mit den Betriebssystemen Windows 2000, XP und »2003« in der SYSTEMSTEUERUNG unter dem Icon SYSTEM. Sie geben den Namen der neuen Domäne in das Register NETZWERKIDENTIFIKATION (für Windows 2000) oder in das Register COMPUTERNAME (für Windows Server 2003) ein. Bei Windows Server 2003 klicken Sie die Schaltfläche ÄNDERN an und folgen den Anweisungen des Dialogfensters. Beachten Sie, dass die DNS-Namensauflösung funktionieren muss, damit der Client den neuen Domänencontroller finden kann. Wenn Sie der Domäne beitreten wollen, werden Sie nach einem Konto und einem Kennwort gefragt, das in der neuen Domäne die Berechtigung besitzt, Computerkonten zur Domäne hinzuzufügen. Wenn Sie diese Aktion erfolgreich beenden, bekommen Sie vom System eine entsprechende Meldung. Der neue Computer wird per Voreinstellung in den Container Computers eingefügt. Von dort aus können Sie den Computer in die gewünschte Organisationseinheit verschieben.

Abbildung 5.23: Mitgliedschaft in der Domäne einrichten

5.4 Computerkonten

407

MCSE Examen 70-294

Falls der Vorgang nicht erfolgreich sein sollte, liegt es an folgenden Gründen: T Sie haben das Kennwort des Kontos falsch eingegeben, das Berechtigungen zum Hinzufügen von Computern zur Domäne besitzt. T Sie haben keine Berechtigungen zum Hinzufügen von Computern zur Domäne. Per Voreinstellung dürfen nur Mitglieder der administrativen Gruppen Organisations-Admins, Domänen-Admins, Administratoren und Konten-Operatoren Computer zur Domäne hinzufügen. Auch authentifizierte Benutzer erhalten das Benutzerrecht Arbeitsstationen zu einer Domäne hinzufügen. Sie dürfen jedoch nur bis zu 10 Computerkonten in der Domäne erstellen. Durch diese Regelung wird erreicht, dass das administrative Konto nicht immer zum Hinzufügen eines Computerkontos verwendet werden muss. T Es kann auch sein, dass Sie den Benutzeranmeldenamen falsch geschrieben haben.

HIN WEIS

T Eine weitere Fehlerquelle liegt in der Namensauflösung. In den Einstellungen der Netzwerkkarte muss ein bevorzugter DNS-Server eingetragen sein. Ist dies nicht der Fall, findet der Client den DNS-Namen der Domäne und des Domänencontrollers nicht. Überprüfen Sie in diesem Zusammenhang auch die Netzwerkkonnektivität mit dem Befehl ping.

Das Benutzerrecht Arbeitsstationen zu einer Domäne hinzufügen können Sie in den Sicherheitseinstellungen der Domänencontroller oder über eine Sicherheitsrichtlinie ändern.

5.4.2

Computerkonten vom Domänencontroller aus zur Domäne hinzufügen

Sie verwenden die Konsole Active Directory-Benutzer und -Computer, um neue Computerobjekte der Domäne hinzufügen. Sie können ein neues Computerkonto im Standardcontainer Computers oder in einer Organisationseinheit Ihrer Wahl neu hinzufügen. Beachten Sie, dass dieses Verfahren auch für die Remoteinstallation gilt. Geben Sie manuell den Namen der Arbeitsstation vor, benötigt derjenige Benutzer, der seine Arbeitsstation zum Mitglied der Domäne machen will, keine Authentifizierung.

Abbildung 5.24: Hinzufügen eines Computerobjekts

408

5.4 Computerkonten


Beachten Sie auch, dass Sie dem Computerkonto einen Prä-Windows 2000-Computernamen zuweisen müssen. Gemeint sind hier Windows NT-basierte Computer, denn Windows 95/ 98/Me-basierte Computer erhalten generell kein Computerkonto. Falls Sie eine Remoteinstallation durchführen, müssen Sie das Kontrollkästchen Verwalteter Computer aktivieren. Die für die Remoteinstallation vorgesehenen Clientcomputer stellen über das Netzwerk eine Verbindung mit dem Remoteinstallationsserver (Server mit RISDiensten) her. Sie werden über ihre GUID/UUID (Unique Machine Identifier) identifiziert, die durch den Computerhersteller vergeben werden. Die Computerkennung weist jedem Computer eine eindeutige Identität zu. Nachdem Sie die GUID zugewiesen haben, müssen Sie noch den Server angeben, auf dem die RIS-Dienste laufen.

Abbildung 5.25: Angabe der GUID, falls Sie Remoteinstallationsdienste verwenden

Falls Sie keine Remoteinstallation durchführen, lassen Sie das Kontrollkästchen Verwalteter Computer leer.

Computerkonten über die Kommandozeile hinzufügen Sie können ein Computerkonto auch über die Kommandozeile mit folgender Befehlszeile erstellen: dsadd computer Computer_DN

Hierbei ist der Wert Computer_DN der Distinguished Name (DN) des Computers, den Sie hinzufügen möchten. Sie benötigen den DN, um angeben zu können, in welche Organisationseinheit der Computer eingefügt werden soll.

5.4 Computerkonten

409

MCSE Examen 70-294

5.5

Veröffentlichen von Ressourcen

Als Netzwerkadministrator haben Sie die Aufgabe, die Ressourcen Ihrer Firma im Netzwerk zu veröffentlichen und sie gleichzeitig vor unbefugtem Zugriff zu schützen. Zwei dieser Aufgaben sind die Veröffentlichung von Druckerobjekten und freigegebenen Ordnern.

Abbildung 5.26: Veröffentlichen von Objekten in den Active Directory-Verzeichnisdiensten

5.5.1

Ordner veröffentlichen

Sie können Ordner nicht nur in der Netzwerkumgebung freigeben, sondern auch noch zusätzlich in Active Directory. Die Verbindung von einem Client aus funktioniert ähnlich wie in der Netzwerkumgebung, nur dass hier der Client das Active Directory-Verzeichnis auswählt und bei entsprechenden Zugriffsberechtigungen das freigegebene Verzeichnis verbinden kann. Sie benötigen für die Veröffentlichung der Freigabe natürlich erst einmal die Freigabe selbst, die in Form des UNC-Namens (Universal Naming Convention, UNC) existieren muss. Beachten Sie auch, dass die Zielgruppe, die auf die Veröffentlichung zugreifen darf, auch Zugriffsberechtigungen auf die Ressource besitzen soll. Mit dem Objekt in Active Directory haben Sie ein neues von der Ressource völlig unabhängiges Objekt erstellt. Sowohl das Active Directory-Objekt als auch das freigegebene Verzeichnis verfügen über ihre eigenen DACLs (Discretionary Access Control Lists). Ein Benutzer benötigt daher mindestens das Leserecht, um die Veröffentlichung zu lesen und sich mit der Ressource zu verbinden. Diesen Vorgang können Sie durch das Kontextmenü des Objekts durchführen, indem Sie den Eintrag ÖFFNEN auswählen. DACLs (Discretionary Access Control Lists) können Sie im Register SICHERHEIT (siehe Abbildung 5.27) bearbeiten. Per Voreinstellung besitzen authentifizierte Benutzer ein Leserecht. Mehr zum Thema Berechtigungen finden Sie in Kapitel 6.2.

410

5.5 Veröffentlichen von Ressourcen


Abbildung 5.27: Freigeben von Netzlaufwerken

5.5.2

Drucker veröffentlichen

In Windows 2000 Server und in Windows Server 2003 gibt der Druckerinstallations-Assistent den Drucker frei und veröffentlicht ihn standardmäßig in den Active Directory-Verzeichnisdiensten, es sei denn, Sie stellen die Veröffentlichung explizit ab.

Abbildung 5.28: In Windows Server 2003 werden die Drucker automatisch veröffentlicht.


411

MCSE Examen 70-294

In Windows 2000 Professional und Windows XP gibt der Druckerinstallationsassistent den Drucker nicht automatisch frei. Sie müssen daher die Option Freigeben als wählen, um den Drucker freizugeben und zu veröffentlichen. Nachdem Sie den Drucker erstellt und freigegeben haben, sollte das Kontrollkästchen Im Verzeichnis anzeigen aktiviert sein. Das Druckerobjekt wird unter dem Computerobjekt veröffentlicht, mit dem es verknüpft ist. In Active Directory finden Sie in der Konsole Active Directory-Benutzer und -Computer den freigegebenen Drucker als Attribut des Computerobjekts. Das Attribut liegt ein wenig versteckt, und deshalb beschreiben wir es für Sie ein etwas (siehe Abbildung 5.29). Sie müssen, um es sichtbar zu machen, in der Menüzeile der Konsole unter ANSICHT die Einstellung Benutzer, Gruppen und Computer als Container auswählen. Anschließend müssen Sie den Computer aussuchen, der den Drucker hostet. Falls Sie ihn nicht auf Anhieb finden, können Sie im Kontextmenü die Option Suchen auswählen und nach Druckern in der Domäne suchen lassen. Falls Sie noch zusätzlich die Option Erweiterte Funktionen im Konsolenmenü eingestellt haben, erhalten Sie in den Eigenschaften des Objekts vier Reiter. Im ersten Reiter ALLGEMEIN können Sie je nach Druckertyp einige Eigenschaften des Druckers einstellen, wie beispielsweise die Druckdichte und Farbe.

Abbildung 5.29: Sie finden unter dem Computerobjekt die Eigenschaften des Druckers.

412



Drucker, die auf älteren Computergeräten, wie Windows NT-Servern oder Windows 98/MeRechnern eingerichtet und freigegeben sind, werden nicht automatisch in den Active Directory-Verzeichnisdiensten veröffentlicht. Auf dem Clientcomputer sollte der Windows Scripting Host (WSH) installiert sein, um mit Hilfe eines Skripts auf einfachste Weise Drucker zu veröffentlichen. Sie starten das Skript Pubprn, das alle freigegebenen Drucker auf dem Computer veröffentlicht. Das Skript befindet sich im Systemordner. Die Syntax lautet: cscript pubprn.vbs Computername dspath

Der folgende Befehl veröffentlicht zum Beispiel alle Drucker auf dem Server PServer01. Die Drucker sollen in der Organisationseinheit (OU) Vertrieb veröffentlicht werden. Geben Sie Folgendes in die Kommandozeileneingabe ein: cscript pubprn.vbs PServer01 "LDAP://ou=vertrieb,dc=pearson,dc=de"

Das Skript wird die Druckerattribute Standort, Modell, Kommentar und UNC-Pfad zu der Active Directory-Datenbank hinzufügen.

5.5.3

Drucker in Standorten über eine GPO veröffentlichen

In Windows 2000 Server- und Windows Server 2003-basierten Netzwerken können sich Benutzer mit den Druckerstandorten verbinden, die physikalisch am nächsten liegen. Netzwerkbenutzer verwenden eine Suche nach Active Directory-veröffentlichten Druckern und erhalten diejenigen Drucker, die sich im gleichen Standort befinden. Führen Sie folgende Schritte durch:

1

In Active Directory werden IP-basierte Netzwerke durch das Subnetz-Objekt repräsentiert. Sie benötigen mindestens zwei oder mehrere IP-Subnetze, damit dieses Verfahren Sinn macht.

2

Sie müssen Ihre IP-Adressierung so konfigurieren, dass sie mit der physikalischen Struktur des Netzwerks übereinstimmt. Der Druckserver muss sich im gleichen Subnetz befinden wie seine Clients.

3

Sie müssen für jeden Active Directory-Standort ein Subnetz definieren. Nur so können Sie den Bezug zwischen Standort und Druckerstandort herstellen.

Für die weitere Einrichtung müssen Sie eine Gruppenrichtlinie (siehe auch Kapitel 7) verwenden. In ihr müssen Sie die Einstellung Druckerstandortsuchtext im Vorhinein ausfüllen (aus dem Englischen: Enable printer location tracking) aktivieren. Wie die Einstellung schon besagt, wird per Voreinstellung der Wert angegeben, der im Standortattribut des SubnetzObjekts eingetragen wurde. Der Wert muss mit dem IP-Subnetz übereinstimmen, in dem sich die Clientcomputer befinden. Wenn Sie die Einstellung Druckerstandortsuchtext im Vorhinein ausfüllen nicht verwenden, müssen die Benutzer den Druckerstandort selbst eintragen, um ihren Drucker beim Verbinden zu finden. Vergleichen Sie das Resultat auch mit dem Eintrag Standort im Register DRUCKERSTANDORT in den Eigenschaften des Standorts, wo der Drucker zugewiesen ist.


413

MCSE Examen 70-294

Abbildung 5.30: Einrichten von Gruppenrichtlinien: Diese Richtlinie können Sie standortweit, domänenweit oder nur auf ein oder mehrere OUs anwenden.

Weitere Informationen hinsichtlich der Planung und Verwendung von Gruppenrichtlinien finden Sie in Kapitel 7.1.

Zusammenfassung In der Lernzielkontrolle werden Sie neben Übungen zur Prüfung auch Fragen und Antworten zu Prüfungsfragen finden. Das Kapitel 5 befasst sich mit den täglichen Aufgaben eines Administrators. Darunter fallen die Punkte, die bereits in den Lernzielen aufgelistet worden sind: T Das Einrichten und Warten von Organisationseinheiten (OUs) T Das Einrichten und Verwalten von Benutzerkonten T Das Prinzip von Gruppen und Gruppenstrategien T Das Einrichten und Warten von Sicherheitsgruppen T Das Einrichten und Warten von Computerkonten T Das Veröffentlichen von Ressourcen wie Druckern und Freigaben Sie verwenden Organisationseinheiten für das sinnvolle Zusammenfassen von Objekten und für das Zuweisen von Gruppenrichtlinien. Unter diesem Aspekt ist es wichtig, in Organisationseinheiten geschickt Gruppen, Benutzer und Computer zu bündeln. Sie können eine Gliederung nach Orten, Geschäftsfunktionen oder Objekttypen vornehmen. Oder Sie können alle Arten miteinander kombinieren, um beispielsweise eine OU nach Geschäftsfunktionen und die andere nach Objekttypen zu gliedern.

414



Hinsichtlich der Verwaltung der Benutzerkonten können Sie auf die Managementkonsole oder diversen Kommandozeilenprogramme zurückgreifen, um Benutzer zu erstellen oder zu modifizieren. Gerade bei vielen Benutzerkonten wird sich niemand die Mühe machen, jedes einzelne Konto per Hand einzufügen und zu konfigurieren. Hierfür verwenden Sie die Dienstprogramme Csvde und Ldifde. Genauso gut eignet sich auch das Tool Dsadd, das, in einer Batchdatei untergebracht, ähnlich gute Ergebnisse liefern kann wie die beiden erstgenannten Dienstprogramme. Für die Verwaltung der Benutzer steht eine Reihe von Eigenschaften zur Verfügung. Neben den Angaben zur Dokumentation des Benutzers können Sie wichtige Kontoeigenschaften, wie Benutzeranmeldenamen, Anmeldezeiten, Smartcardeinstellungen oder Gruppenmitgliedschaften, verwalten. Da Active Directory ein offenes System ist, können auch andere Applikationen die Benutzereigenschaften erweitern, wie es zum Beispiel beim Exchange Server der Fall ist. Zu erwähnen ist auch, dass Microsoft nun endlich die Drag&Drop-Funktionalität für das Verschieben von Objekten in die Managementkonsole eingebaut hat. Benutzerprofile sind ebenfalls ein wichtiges Thema. Ein Benutzerprofil wird immer dann auf einer Arbeitsstation für einen Benutzer geladen, wenn er sich anmeldet. In dem Profil sind wichtige persönliche Einstellungen gespeichert, die nur dann zur Verfügung stehen, wenn der Benutzer sich an seinem »eigenen« Computergerät anmeldet. Auf anderen Geräten stehen die Einstellungen nicht zur Verfügung, da das Profil per Voreinstellung immer auf der lokalen Festplatte des Computergeräts abgelegt wird. Arbeitet ein Benutzer an verschiedenen Computergeräten, können Sie ihm ein serverbasiertes Profil zuweisen. Arbeiten viele Personen mit nur einem einzigen Benutzerkonto, ist ein verbindliches Profil vom Vorteil. Doch gerade das verbindliche Profil verursacht sehr viel Arbeit. Es ist daher empfehlenswert, das verbindliche Profil nicht zu verwenden und stattdessen eine Sicherheitsrichtlinie einzusetzen. Die Kernfrage bei allen Betriebssystemen ist, wie Sie Ihre Benutzer in Gruppen zusammenfassen. Der Sinn und Zweck von Gruppen ist der, dass Sie Benutzer mit gleichen Eigenschaften zusammenfassen, damit Sie anstelle vieler Benutzer nur eine Gruppe verwenden, der Sie letztendlich die Zugriffsberechtigungen erteilen. Damit auch die Anzahl der Gruppen verringert wird, können Sie Gruppen innerhalb einer Domäne nach folgendem Prinzip verschachteln: 1. Fügen Sie globale Gruppen in lokale Domänengruppen ein! 2. Lokale Domänengruppen erhalten die Zugriffsberechtigungen. Wollen Sie einen domänenübergreifenden Zugriff steuern, fügen Sie keine globalen Gruppen, sondern universelle Gruppen in die lokalen Domänengruppen ein. Gehen Sie nach der folgenden Regel vor: 1. Fügen Sie globale Gruppen in universelle Gruppen ein. 2. Fügen Sie die universelle Gruppe in die lokale Domänengruppe der Ressourcendomäne ein. 3. Die lokale Domänengruppe erhält die Zugriffsberechtigungen.


415

MCSE Examen 70-294

Beide Fälle haben immer eines gemeinsam: Den lokalen Domänengruppen werden die Zugriffsberechtigungen erteilt. Wenn Sie einen Drucker in den Active Directory-Verzeichnisdiensten veröffentlichen wollen, dann brauchen Sie bei Windows 2000 Server- und Windows Server 2003-basierten Computergeräten keine weiteren Tätigkeiten durchzuführen. Betreiben Sie allerdings noch einen Windows NT-basierten Server oder einen Windows 98-Computer als Druckserver, dann müssen Sie die dort angeschlossenen Drucker manuell veröffentlichen. Dies geschieht über ein das Visual Basic-Skript pubprn.vbs. Ein weiteres Feature von Windows Server 2003 ist, dass Sie Drucker in Abhängigkeit vom Standort veröffentlichen können. Hierfür benötigen Sie eine Systemrichtlinie mit der Einstellung Druckerstandortsuchtext im Vorhinein ausfüllen.

5.6

Lernzielkontrolle

5.6.1

Wiederholungsfragen

Die folgenden Fragen helfen Ihnen beim Durcharbeiten des Kapitels. Die Reihenfolge der Themen ist bewusst gemischt, d.h., Sie brauchen hier nicht chronologisch vorgehen. Die Antworten zu den Fragen finden Sie in Kapitel 5.6.4. 1. Welche Bedeutung hat die primäre Gruppe? 2. Sie besitzen eine Gesamtstruktur, die aus einer Domäne besteht. Sie planen eine Gruppenstrategie, um Ihre Ressourcen zu schützen. Welche Strategie werden Sie benutzen? 3. Sie planen die Veröffentlichung Ihrer Drucker in Active Directory. Sie verwalten die Domäne »Beispielfirma.de«. Sie überprüfen Ihre Betriebssysteme und finden heraus, dass Sie an 5 Windows NT-Workstations Laserdrucker angeschlossen haben. Die Workstations haben die fortlaufenden Namen WKS-01 bis WKS-05. Alle 5 Workstations gehören zu der Marketingabteilung und sind alle in der Organisationseinheit MKT zusammengefasst. Sie haben weiterhin noch 4 Drucker an einem Windows Server 2003-basierten Computer angeschlossen. Wie müssen Sie vorgehen, damit alle Drucker im Verzeichnis veröffentlicht werden? 4. Sie möchten einige administrative Aufgaben an einen Mitarbeiter abgeben. Dieser soll auf dem Domänencontroller eine Datensicherung durchführen und die Einstellungen für die Netzwerkkarte vornehmen können. In welchen Gruppen muss der Mitarbeiter Mitglied werden? 5. Nach welchen Kriterien erstellen Sie eine Gruppe des Bereichs Lokale Domäne? 6. Was ist eine Smartcard, und welche Standards werden unterstützt? 7. Welche Möglichkeiten gibt es, eine Organisationseinheit zu verschieben? 8. Welche Schritte sind notwendig, um Benutzern nach dem Anmelden am Active Directory einen Zugriff auf Ihren Basisordner zu gewährleisten? 9. Sie möchten einem Benutzer ein verbindliches Profil zuweisen. Wie gehen Sie vor? 416



10. Können verbindliche Profile empfohlen werden, und welche Alternativen gibt es? 11. Welche Möglichkeiten für einen Massenimport von Benutzern gibt es? 12. Warum kann ein Mitglied der Gruppe Domänen-Admins sämtliche Clientcomputer der Betriebssysteme Windows NT Workstation, Windows 2000/XP Professional, Windows NT-Server (Mitgliedsserver), Windows 2000 Server (Mitgliedsserver) und Windows Server 2003 (Mitgliedsserver) verwalten? 13. Sie lassen eine Anmeldung nur zwischen 5 Uhr und 22 Uhr zu. Was passiert mit den noch angemeldeten Benutzern um 22 Uhr? 14. Können Sie auch mehrere Benutzer gleichzeitig in der Managementkonsole verwalten? 15. Warum wird eine Gruppe in die andere Gruppe eingefügt?

5.6.2

Übungen

Die folgenden Übungen helfen Ihnen beim Entwerfen, Installieren und Entfernen einer Active Directory-Infrastruktur. Die Antworten finden Sie im Anschluss an die Übungen in Kapitel 5.6.3.

Durchführen eines Massenimports mit Csvde Anstelle einer manuellen Installation eines Benutzers über die Managementkonsole führen Sie einen Massenimport von vielen Benutzern durch und sparen dadurch erheblich an Zeit. Für diese Übung müssen Sie etwas »tüfteln«... Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über UPN-Suffixe T Kenntnisse über das Erstellen von Organisationseinheiten und Benutzerkonten T Die Objektklassenreferenz (siehe Anhang A) Für diese Übung benötigen Sie folgende Computergeräte: T Einen Windows Server 2003-Domänencontroller Die Aufgabe im Detail Erstellen Sie in Ihrer Domäne mindestens ein neues Benutzerkonto über das Tool Csvde. Neben dem Anmeldenamen (auch für Prä-Windows 2000) benötigen Sie noch folgende Attribute bzw. Eigenschaften: T Geben Sie den Anzeigenamen vor. T Aus Sicherheitsgründen ist das Konto deaktiviert. T Die Anmeldezeiten für Benutzer liegen zwischen 5 und 24 Uhr (siehe Abbildung 5.31). T Die Benutzeranmeldenamen müssen vorgegeben werden. 5.6 Lernzielkontrolle

417

MCSE Examen 70-294

T Der angezeigte Name muss vorgegeben werden. T Im Register Organisation muss die Abteilung eingetragen sein. T Im Register Profil muss der Basisordner Verbinden von: z mit \\servername\freigabe\ %username% eingetragen sein.

Abbildung 5.31: Benutzerprinzipal, Kontooptionen und Anmeldezeiten

Hinweise T Die Schwierigkeit der Übung besteht im Konstruieren der Importdatei. T Achten Sie auf die genaue Reihenfolge und Zuordnung in den Zeilen. T Suchen Sie geeignete Attribute aus; Sie finden sie im Anhang A unter den Attributen der Objektklasse User. T Falls Sie einige Attribute und Werte nicht finden: Erstellen Sie über die Konsole einen Benutzer, und lesen Sie die Eigenschaften mit dem Csvde- oder dem Ldifde-Befehl aus. Das Ergebnis können Sie über einen Editor auslesen und ggf. für die Importdatei verwenden.

418



Planen von Gruppenkonten In dem folgenden Szenario planen Sie Gruppen anhand der Mitarbeiterstruktur in Ihrer Firma. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Kenntnisse über Gruppen T Kenntnisse über die Verwaltung von Benutzern Für diese Übung benötigen Sie folgende Computergeräte: T Sie benötigen kein Computergerät. Die Aufgabe im Detail Sie erhalten als Administrator eines kleineren mittelständischen Unternehmens in der Maschinenbaubranche die Aufgabe, die bestehenden Gruppen zu überprüfen. Sie haben gerade eine Migration von Windows NT auf Windows Server 2003 vollzogen und möchten den Zugriff und die Gruppen reorganisieren. Sie benötigen zunächst eine Bestandsaufnahme der alten Gruppen. Unabhängig von den bestehenden Konzepten erarbeiten Sie einen Soll-Zustand. Ihre Firma hat insgesamt 300 Mitarbeiter, die sich auf einen Hauptstandort und 2 Filialen verteilen. Die Firma verfügt über 2 Domänencontroller und 14 Server. Für manche Abteilungen gibt es Abteilungslaufwerke, die freigegeben sind. Lediglich die Produktion und die Buchhaltung verfügen über separate Server. Die Abteilungsleitung und deren Stellvertreter sollen in der Lage sein, abteilungsweit einen Lesezugriff auf die Abteilungslaufwerke durchzuführen. Ihre Firma ist in folgende Abteilungen gegliedert: Abteilung

Anzahl der Zugriff auf Ressource Mitarbeiter

Geschäftsleitung und Sekretariat

4

Zugriff auf die Datenbank, Zugriff auf den Exchange Server, Vollzugriff auf Verzeichnisse auf 2 Mitgliedservern, Lesezugriff auf alle Ressourcen. Vollzugriff auf die Ressourcen der Supportabteilung.

Produktionsabteilung

19

Vollzugriff auf den Abteilungsserver, Zugriff auf den Exchange Server.

Marketingabteilung

20

Vollzugriff auf eigene Abteilungslaufwerke, Zugriff auf den Exchange Server.

Vertriebsabteilung

75

Vollzugriff auf eigene Abteilungslaufwerke, Zugriff auf den Exchange Server.

Buchhaltung+Personal

24

Vollzugriff auf eigene Abteilungsserver, Zugriff auf den Exchange Server.

Kundendienst+Support

142

Vollzugriff auf Abteilungslaufwerke, Zugriff auf Exchange Server.

Tabelle 5.24: Anforderungen an die Mitarbeiter in den Abteilungen


419

MCSE Examen 70-294 Abteilung

Anzahl der Zugriff auf Ressource Mitarbeiter

IT-Stab

4

Vollzugriff auf alle Server im Unternehmen, jedoch kein Zugriff auf Verzeichnisse und Server der Buchhaltung. Zugriff auf den Exchange Server.

Tabelle 5.24: Anforderungen an die Mitarbeiter in den Abteilungen (Forts.)

Wie planen Sie – unter Berücksichtigung der Gruppenstrategie von Microsoft – die Gruppen in Ihrer Domäne?

5.6.3


Hier finden Sie die Antworten zu den Aufgaben im Übungsteil (Kapitel 5.6.2). Zur Übersicht haben wir wieder die Fragestellung zu den Antworten hinzugefügt.

Durchführen eines Massenimports mit Csvde Anstelle einer manuellen Installation eines Benutzers über die Managementkonsole kann ein Massenimport von vielen Benutzern erhebliche Zeit sparen. Für diese Übung mussten Sie etwas tüfteln... Hier die Lösung: Sie erstellen eine Importdatei der nachfolgend gezeigten Form und geben ihr einen Namen (zum Beispiel Import.txt). Die Reihenfolge der Attribute bleibt Ihnen überlassen. Die Reihenfolge der Werte richtet sich jedoch nach der Reihenfolge der Attribute. dn,sAMAccountName,userPrincipalName,displayName,department,userAccountControl, homeDirectory,homedrive,objectclass,logonHours "CN=Max Tester,OU=MKT,DC=pearson,DC=de",MTester,[email protected],Max Tester, Marketing,514,"\\\\server02\\homeverzeichnisse\\%username%",z,user,X'f0ff7ff0ff7ff 0ff7ff0ff7ff0ff7ff0ff7ff0ff7f' Listing 5.4: Importdatei

Speichern Sie die Importdatei in ein Verzeichnis Ihrer Wahl, wie zum Beispiel c:\. Führen Sie folgenden Befehl aus, wenn die Importdatei in dem aktuellen Verzeichnis liegt: C:\>csvde -i -f import.txt –j c:\ Verbindung mit "(null)" wird hergestellt Anmelden als aktueller Benutzer unter Verwendung von SSPI Das Verzeichnis wird aus der Datei "import.txt" importiert. Die Einträge werden geladen... Ein Eintrag erfolgreich geändert. Der Befehl wurde einwandfrei durchgeführt. C:\> Listing 5.5: Eingabe des Befehls

420



Über den Parameter –j wird eine Protokolldatei generiert, die den Namen csv.log erhält. Nach Aufruf dieser Protokolldatei erhalten Sie folgendes Listing: Verbindung mit "(null)" wird hergestellt Anmelden als aktueller Benutzer unter Verwendung von SSPI Das Verzeichnis wird aus der Datei "bulk.txt" importiert. Die Einträge werden geladen. 2: CN=Max Tester,OU=MKT,DC=pearson,DC=de Attribute 0) sAMAccountName: MTester Attribute 1) userPrincipalName: [email protected] Attribute 2) displayName: Max Tester Attribute 3) department: Marketing Attribute 4) userAccountControl: 514 Attribute 5) homeDirectory: \\server02\homeverzeichnisse\%username% Attribute 6) homedrive: z Attribute 7) objectclass: user Attribute 8) logonHours:Fehler beim Schreiben in die Datei Die Binärdatei kann nicht gedruckt werden (21) Der Eintrag wurde einwandfrei geändert. Ein Eintrag erfolgreich geändert. Der Befehl wurde einwandfrei durchgeführt. Listing 5.6: Protokolldatei csv.log

Planen von Gruppenkonten In dem Szenario planten Sie Gruppen anhand der Mitarbeiterstruktur in Ihrer Firma. Eine mögliche Lösung wäre Folgendes: In Anlehnung an die Gruppenstrategie müssen Sie globale Gruppen erstellen, in denen die Benutzer Mitglied sind. Diese müssen Sie, unter der Voraussetzung, dass die lokale Domänengruppe die Zugriffsberechtigungen erhält, zu lokalen Domänengruppen hinzufügen. Die Anzahl der Benutzer spielt bei der Wahl der Gruppen keine Rolle, außer dass wir Ihnen empfehlen, entweder eine Benutzervorlage oder ein Skript zur Erstellung bzw. Modifikation der Gruppen zu verwenden. Der Zugriff auf den Exchange Server wird durch die globale primäre Gruppe DomänenBenutzer gewährleistet. Globale Gruppen richten sich (laut Microsoft) nach den Benutzern und deren Aufgaben und lokale Domänengruppen eher nach den Ressourcen. Alle Gruppen sind vom Typ Sicherheit. Globale Gruppe

Mitglieder

Geschäftsleitung-G

Geschäftsleitung und Sekretariat

Abteilungsleitung-G

Abteilungsführungen (inklusive Stellvertretungen), d.h. Mitglieder aus den Abteilungen

Tabelle 5.25: Globale Gruppen: Damit sie besser von den »lokalen« zu unterscheiden sind, haben wir sie immer mit der Endung »G« versehen.


421

MCSE Examen 70-294 Globale Gruppe

Mitglieder

Produktion-G

Produktionsabteilung

Marketing-G

Marketingabteilung

Vertrieb-G

Vertriebsabteilung

Buchhaltung-G

Buchhaltung+Personal

Support-G

Kundendienst+Support

IT-G

IT-Stab

Tabelle 5.25: Globale Gruppen: Damit sie besser von den »lokalen« zu unterscheiden sind, haben wir sie immer mit der Endung »G« versehen. (Forts.)

Der folgende Vorschlag beruht darauf, dass alle Gruppen mit dem Zusatz »intern« einen Vollzugriff und alle Gruppen mit dem Zusatz »extern« nur ein Leserecht erhalten sollen. Lokale Domänengruppe

Mitglieder

Zugriff auf...

GL-intern

Geschäftsleitung-G IT-G

Zugriff auf Datenbank, Vollzugriff auf Verzeichnisse auf 2 Mitgliedsservern.

Produktion-extern

Abteilungsleitung-G Geschäftsleitung-G

Lese-Recht auf Abteilungsserver Produktion.

Produktion-intern

Produktion-G IT-G

Vollzugriff auf Abteilungsserver Produktion.

Marketing-extern


Lesezugriff auf Abteilungslaufwerke Marketing.

Marketing-intern

Marketing-G IT-G

Vollzugriff auf Abteilungslaufwerke Marketing.

Vertrieb-extern


Lesezugriff auf Abteilungslaufwerke Vertrieb.

Vertrieb-intern

Vertrieb-G IT-G

Vollzugriff auf Abteilungslaufwerke Vertrieb.

Buch-extern

Geschäftsleitung-G

Lesezugriff auf Abteilungsserver Buchhaltung.

Buch-intern

Buchhaltung-G

Vollzugriff auf Abteilungsserver Buchhaltung.

Support

Abteilungsleitung-G Geschäftsleitung-G Support-G IT-G

Vollzugriff auf Abteilungslaufwerke Support.

IT-extern

Geschäftsleitung-G

Lesezugriff auf das Abteilungslaufwerk für die Softwareverteilung.

IT-intern

Abteilungsleitung-G IT-G

Vollzugriff auf das Abteilungslaufwerk für die Softwareverteilung.

Tabelle 5.26: Vorschläge zur Gruppenbenennung und Gruppenplanung: lokale Domänengruppen

422



5.6.4


Sie finden im Folgenden die Antworten zu den Übungsfragen aus Kapitel 5.6.1. 1. Welche Bedeutung hat die primäre Gruppe? Antwort: Ein Benutzer ist automatisch immer in einer primären Gruppe Mitglied. Per Voreinstellung ist es die Gruppe Domänen-Benutzer. Jeder Benutzer muss in einer primären Gruppe Mitglied sein. Sie muss nur geändert werden, wenn Sie über Macintosh-Clients oder über POSIX-kompatible Anwendungen verfügen. Für die alternative primäre Gruppe benötigen Sie eine weitere globale Gruppe. 2. Sie besitzen eine Gesamtstruktur, die aus einer Domäne besteht. Sie planen eine Gruppenstrategie, um Ihre Ressourcen zu schützen. Welche Strategie werden Sie benutzen? Antwort: Sie erstellen zuerst die Benutzerkonten Ihrer Benutzer. Sie fügen anschließend in einer globalen Gruppe die Benutzer ein, die ähnliche Zugriffsberechtigungen erhalten sollen. Sie können optional diese globale Gruppe noch in einer weiteren globalen Gruppe einfügen. Fügen Sie diese globale Gruppe in eine Gruppe vom Typ Lokale Domäne ein. Zum Schluss weisen Sie der lokalen Domänengruppe die Ressourcenberechtigungen zu. 3. Sie planen die Veröffentlichung Ihrer Drucker in Active Directory. Sie verwalten die Domäne »Beispielfirma.de«. Sie überprüfen Ihre Betriebssysteme und finden heraus, dass Sie an 5 Windows NT-Workstations Laserdrucker angeschlossen haben. Die Workstations haben die fortlaufenden Namen WKS-01 bis WKS-05. Alle 5 Workstations gehören zu der Marketingabteilung und sind alle in der Organisationseinheit MKT zusammengefasst. Sie haben weiterhin noch 4 Drucker an einem Windows Server 2003-basierten Computer angeschlossen. Wie müssen Sie vorgehen, damit alle Drucker im Verzeichnis veröffentlicht werden? Antwort: Die an einen Windows Server 2003-basierten Computer angeschlossenen Drucker werden standardmäßig immer im Active Directory freigegeben. Für die 5 Windows NT-Workstations müssen Sie den Drucker manuell im Active Directory-Verzeichnis veröffentlichen. Überprüfen Sie zuerst, ob Sie auf allen Workstations den Windows Scripting Host (WSH) installiert haben. Kopieren Sie aus dem c:\windows\system32-Verzeichnis die Datei pubprn.vbs zu den jeweiligen Workstations. Führen Sie anschließend auf der ersten Workstation (WKS-01) den Befehl cscript pubprn.vbs WKS-01 "LDAP://ou=MKT,dc=Beispielfirma,dc=de" aus. Führen Sie danach bei allen anderen Workstations (WKS02 bis WKS-05) die entsprechende Operation durch. 4. Sie möchten einige administrative Aufgaben an einen Mitarbeiter abgeben. Dieser soll auf dem Domänencontroller eine Datensicherung durchführen und die Einstellungen für die Netzwerkkarte vornehmen können. In welchen Gruppen muss der Mitarbeiter Mitglied werden? Antwort: Der Mitarbeiter ist in den folgenden Gruppen Mitglied: Sicherungs-Operatoren, Netzwerkkonfigurations-Operatoren und Domänen-Benutzer.


423

MCSE Examen 70-294

5. Nach welchen Kriterien erstellen Sie eine Gruppe des Bereichs Lokale Domäne? Antwort: Die lokale Domänengruppe soll für das Setzen von Berechtigungen verwendet werden. In ihr fassen Sie alle globalen oder universellen Gruppen zusammen, die auf die Ressource zugreifen sollen. 6. Was ist eine Smartcard, und welche Standards werden unterstützt? Antwort: Smartcards sind kleine Karten in Kreditkartengröße, die einen codierten Chip besitzen. Windows Server 2003 unterstützt Smartcards und Smartcard-Lesegeräte, die nach dem Industriestandard PC/SC (Personal Computer/Smart Card) konfiguriert sind. 7. Welche Möglichkeiten gibt es, eine Organisationseinheit zu verschieben? Antwort: Es gibt insgesamt drei Möglichkeiten: 1. über Drag&Drop, 2. über die Option Verschieben im Kontextmenü und 3. über den Befehl dsmove. 8. Welche Schritte sind notwendig, um Benutzern nach dem Anmelden an Active Directory einen Zugriff auf Ihren Basisordner zu gewährleisten? Antwort: Basisordner gehören zum Profil des Benutzers. Folglich bearbeiten Sie in der Konsole Active Directory-Benutzer und -Computer die Registerkarte PROFIL in den Eigenschaften des Benutzers. Sie haben zur Einrichtung von Basisordnern zwei Möglichkeiten: Sie setzen Berechtigungen auf Freigabe-Ebene für jeden Benutzer, oder Sie setzen Berechtigungen auf NTFS-Ebene für jeden Benutzer und verwenden eine gemeinsame Freigabe. Erstellen Sie vorher auf einem NTFS-Volume die Verzeichnisse für die vorgesehenen Freigaben. Tragen Sie in das Feld Verbinden von: den UNC-Pfad des freigegebenen Verzeichnisses ein. Verwenden Sie die Schreibweise \\Servername\FreigabeName\Basisverzeichnisname. 9. Sie möchten einem Benutzer ein verbindliches Profil zuweisen. Wie gehen Sie vor? Antwort: Verwenden Sie die Konsole Active Directory-Benutzer und –Computer, und wählen Sie die Eigenschaften des betreffenden Benutzerkontos aus. Klicken Sie auf die Registerkarte PROFIL, und geben Sie im Feld Profilpfad die Pfadinformationen ein. Verwenden Sie für die Pfadinformationen den UNC-Pfad (\\Servername\FreigabeName\Benutzername). Aus Sicherheitsgründen sollten Sie die Benutzerprofile auf einem NTFS-Volume erstellen. Erstellen Sie als Administrator die Freigabe mit Lese-Berechtigungen für den Benutzerkreis. Der freigegebene Ordner mit dem fertigen Profil muss vor der Verwendung des Profils vorhanden sein. Sie müssen daher das Profil anhand einer Vorlage vorher auf das Verzeichnis speichern. Sie markieren das Profil als verbindlich, indem Sie die versteckte Profildatei ntuser.dat in ntuser.man umbenennen. Es empfiehlt sich, das Ergebnis anhand eines Testbenutzers zu überprüfen. 10. Können verbindliche Profile empfohlen werden, und welche Alternativen gibt es? Verbindliche Profile erfordern einen hohen Verwaltungsaufwand. Die Profilverwaltung sollte daher über Richtlinien erfolgen. Die Richtlinien weisen Sie den Benutzern über ein Gruppenrichtlinienobjekt (GPO) zu. Von der Verwendung von verbindlichen Profilen ist abzuraten. 11. Welche Möglichkeiten für einen Massenimport von Benutzern gibt es? Antwort: Sie können einen Massenimport über die Programme Ldifde, Csvde, über eine Batch-Datei mit Dsadd user oder über ein Visual-Basic-Skript durchführen.

424



12. Warum kann ein Mitglied der Gruppe Domänen-Admins sämtliche Clientcomputer der Betriebssysteme Windows NT Workstation, Windows 2000/XP Professional, Windows NT-Server (Mitgliedsserver), Windows 2000 Server (Mitgliedsserver) und Windows Server 2003 (Mitgliedsserver) verwalten? Antwort: Sobald ein Computer Mitglied der Domäne wird, wird automatisch die Gruppe Domänen-Admins in die lokale Gruppe Administratoren auf dem Client eingefügt. 13. Sie lassen eine Anmeldung nur zwischen 5 Uhr und 22 Uhr zu. Was passiert mit den noch angemeldeten Benutzern um 22 Uhr? Antwort: Wenn die Anmeldezeit abläuft, bleiben die Benutzer standardmäßig angemeldet. Möchten Sie dies abstellen, können Sie eine Gruppenrichtlinie verwenden. Gerade bei RAS (Remote Access Service)-Benutzern ist diese Einstellung sinnvoll. 14. Können Sie auch mehrere Benutzer gleichzeitig in der Managementkonsole verwalten? Antwort: Ja, hierfür lassen Sie die (Strg)-Taste gedrückt und markieren mit der Maus mehrere Benutzerobjekte. Anschließend können Sie gemeinsame Eigenschaften über das Kontextmenü (über die rechte Maustaste) einstellen. Sie können allerdings nur die Register ALLGEMEIN, KONTO, ADRESSE, PROFIL und ORGANISATION bearbeiten. 15. Warum wird eine Gruppe einer anderen Gruppe hinzugefügt? Antwort: Das Hinzufügen von Gruppen in andere Gruppen verkürzt die Zeit, die Sie brauchen, bzw. verkleinert den Aufwand, den Sie betreiben müssen, um Zugriffsberechtigungen zu erteilen.


425

6 Verwalten und Warten einer Active Directory-Datenbank Lernziele Das Kapitel 6 zeigt Ihnen, wie Sie Objekte in einer Active Directory-Datenbank erstellen und verwalten können. Hierbei erhalten Sie Informationen darüber wie Objektnamen definiert sind, um diese innerhalb der Datenbank wiederfinden zu können. Obwohl die von Exchange 5.x weiterentwickelte Datenbank fast wartungsfrei ist, müssen Sie in einigen Fällen doch direkt in die interne Wartung eingreifen. Diese Fälle gehören zum Troubleshooting und helfen Ihnen, Ihre Datenbank leistungsfähig zu halten. Das Kapitel 6 hat diese Lerninhalte: T Eigenschaften der Active Directory-Objekte, wie definierte Namen T Informationen zur Active Directory-Sicherheit T Sie erfahren Interna über die Defragmentierung der Datenbank und den Zusammenhang mit einer Datensicherung. T Sie erteilen Berechtigungen bzw. delegieren die Verwaltung von Objekten an Ihre Mitarbeiter. T Sie erstellen eine Sicherung eines Domänencontrollers. T Sie können bei einem Fehlerfall mit einer Datensicherung die Active Directory-Datenbank wiederherstellen.

Lernstrategien Das Kapitel 6 baut überwiegend auf den vorhergehenden drei Kapiteln auf. Auch hier haben Sie die Möglichkeit, das Kapitel chronologisch oder direkt in Abhängigkeit von den Querverweisen zu bearbeiten. Wir empfehlen Ihnen weiterhin, das Erteilen von Berechtigungen bzw. die Delegation von Benutzern an Ihrem Computer zu testen. 427

MCSE Examen 70-294

Folgende Querverweise sollen Ihnen helfen: Themen in Kapitel 3, 4 und 5

Siehe in Kapitel 6

Kapitel 3.2 (Logische Strukturen), Kapitel 5.1 (Organisationseinheiten)

Kapitel 6.1 (Objekte im Active Directory)

Kapitel 3.4.6 (OU-Design für Planung und Administration), Kapitel 5.3 (Benutzergruppen), Kapitel 5.5 (Veröffentlichen von Ressourcen)

Kapitel 6.2 (Berechtigungen) – Hier finden Sie die praktische Anwendung.

–

Kapitel 6.3 (Active Directory-Abfragen)

Kapitel 4.3 (Betriebsmasterrollen)

Kapitel 6.4 (Sichern der Active Directory-Datenbank)

–

Kapitel 6.5 (Wiederherstellen einer Active DirectoryDatenbank)

Tabelle 6.1: Guide durch das Kapitel

Voraussetzungen für dieses Kapitel

TIPP

Die Voraussetzungen für dieses Kapitel ähneln denen im vorangegangenen Kapitel. Für das Setzen von Berechtigungen und das Suchen nach Objekten benötigen Sie mindestens einen Domänencontroller. Möchten Sie die Wiederherstellung eines Domänencontrollers durchführen, benötigen Sie zwei Computergeräte bzw. zwei Windows Server 2003, um zu testen, wie sich die Domänencontroller bei einer Wiederherstellung einer Active Directory-Datenbank verhalten.

Legen Sie beim Durcharbeiten ein besonderes Augenmerk auf die Zusammenhänge, die in Verbindung mit einer Datensicherung stehen.

6.1

Objekte im Active Directory

Das Konfigurieren der Objekte bildet eine Grundlage in der Verwaltung der Active Directory-Verzeichnisdienste. Sie werden daher in den folgenden Abschnitten Informationen über Namen und das Sicherheitsmodell erhalten.

6.1.1

Namensgebungen und Objektkennungen

Objekte in der Active Directory-Datenbank werden anhand ihres Namens identifiziert. Die Active Directory-Verzeichnisdienste verwenden für den Zugriff verschiedene Namenskonventionen. Darunter fallen folgende Formen: T Definierte Namen (Distinguished Name, DN) T Relativ definierte Namen (Relative Distinguished Name, RDN) T Global eindeutige Kennungen (Globally Unique Identifier, GUID) T Benutzerprinzipalnamen (User Prinzipal Name, UPN)

428

6.1 Objekte im Active Directory

6 – Verwalten und Warten einer Active Directory-Datenbank

Active Directory-Verzeichnisdienste verwenden LDAP (Lightweight Directory Access Protocol), d.h., sämtliche Zugriffsoperationen auf Verzeichnisobjekte werden mit Hilfe von LDAP durchgeführt. LDAP erfordert die Benennung der Verzeichnisobjekte nach den RFC-Standards 1777 und 2251.

Allgemeine Namenskonventionen Tabelle 6.2 gibt Ihnen einen Überblick über die Regelungen von Namen und darüber, welche Zeichen Sie verwenden dürfen (Windows Server 2003 ohne Service Pack). Aufgabe

Definition

Anzahl der Zeichen für Benutzernamen

Sie können bis zu 20 Zeichen (20 Byte) für Benutzernamen verwenden.

Anzahl der Zeichen für ein Gruppenkonto

Sie können 63 Zeichen (bzw. 63 Byte, je nach Zeichensatz) verwenden. Einzelne Zeichen können mehr als ein Byte belegen. Führende Punkte und Leerzeichen werden abgeschnitten.

Anzahl der Zeichen für ein Computerkonto

Sie können bis zu 15 Zeichen (15 Byte) verwenden. Es ist möglich, mehr Zeichen zu verwenden, wenn Sie die Standardeinstellungen für die Sicherheit ändern.

Anzahl der Zeichen für Organisationseinheiten

Sie können bis zu 74 Zeichen verwenden.

Verwendete Zeichen im Namen

Sie können alle Zeichen und Ziffern, mit Ausnahme der folgenden verwenden: / \ [ ] ; : | = , + * ? < > @ "

Groß- oder Kleinschreibung

Es wird nicht zwischen Groß- und Kleinschreibung unterschieden. Geben Sie jedoch Groß- bzw. Kleinbuchstaben ein, behält Windows diese Schreibweise bei.

Kompatibilität

Verwenden Sie keine Leerzeichen, sondern Bindestriche zwischen den Wörtern oder Ziffern. Halten Sie sich an die Regeln für die DNS-Namenskonvention.

Was tun bei doppelten Namen?

Benutzerprinzipale müssen eindeutig sein. Sie dürfen daher nicht den gleichen Anmeldenamen mehrfach vergeben. Fügen Sie stattdessen eine Nummer hinter dem vorgesehenen Namen ein.

Namen für Computer

Bei sehr vielen Clientcomputern sind Abteilungskürzel in Verbindung mit Ziffern eine Alternative. Bei Servern werden auch gerne Phantasienamen verwendet, damit Benutzer die Server besser in der Netzwerkumgebung finden können.

Tabelle 6.2: Vorschläge zur Namenskonvention

Definierte Namen In Active Directory-Domänen werden Objekte nach einem hierarchischen Pfad angeordnet. Der Pfad schließt den Domänennamen genauso ein wie jede Ebene der Containerobjekte. Diese Namen werden daher definierte Namen genannt. Der definierte Name (DN) enthält alle Informationen, um ein Objekt eindeutig zu identifizieren.


429

MCSE Examen 70-294

Möchten Sie zum Beispiel (siehe Abbildung 6.1) die Organisationseinheit »Vertrieb Deutschland« eindeutig beschreiben, müssen Sie im DN den Domänennamen und die vollständige OU-Struktur bis zur Ebene des beschriebenen Objekts darstellen. Bei der Eingabe der LDAPTrennzeichen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Das Objekt »Vertrieb Deutschland« erhält nach der Namenskonvention (siehe auch RFC 1779) den folgenden DN: ou=Vertrieb Deutschland,ou=Vertrieb Europa,ou=vertrieb,dc=pearson,dc=de

Abbildung 6.1: Lokalisieren einer OU

Die verwendeten Trennzeichen und Werte des DNs finden Sie in Tabelle 6.3. Bei der Angabe des Namens muss nach dem LDAP-Trennzeichen ein Gleichheitszeichen stehen. Zwischen den Bestandteilen des Namens muss immer ein Komma stehen. Gegebenenfalls müssen Sie den LDAP-Namen mit Anführungszeichen in das Kommandozeilenprogramm eingeben. LDAP-Trennzeichen

Attribut/Objekt

Beschreibung

DC

Domain Component

Domänenkomponente. Jede Domänenebene erhält einen Eintrag mit dem LDAP-Trennzeichen. Leerzeichen im Namen sind nicht erlaubt, da hier die DNS-Namenskonvention greift. Beispiel: DC=Pearson

OU

Organizational Unit

Eine Organisationseinheit, die auch andere Objekte beinhalten kann. Jede OU erhält einen Eintrag mit dem LDAPTrennzeichen. Leerzeichen im Namen sind erlaubt. Beispiel: OU=Vertrieb West

CN

Common Name

Allgemeiner Name. Dieser Name beschreibt alle weiteren Namen außer Domänenkomponenten oder Organisationseinheiten. Dies können zum Beispiel Benutzer- oder Computernamen oder auch Kontakte sein. Leerzeichen im Namen sind erlaubt. Beispiel: CN=Susi Wichtig

HIN WEIS

Tabelle 6.3: LDAP-Trennzeichen und ihre Bedeutung

Der kanonische Name wird auf dieselbe Weise gebildet wie der definierte Name, weist jedoch eine andere Schreibweise auf. Sie finden den kanonischen Namen in den Eigenschaften des jeweiligen Objekts.

430



Relativ definierte Namen Der relativ definierte Name (Relative Distinguished Name) in LDAP ist ein Teil des definierten Namens (DN). Er besteht aus dem ersten Teil des DN, wenn Sie von links nach rechts lesen. Definierter Name (DN)

Relativ Definierter Name (RDN)

OU=Vertrieb,DC=pearson,DC=de

OU=Vertrieb

CN=Mueller,OU=MKT,DC=Testdom,DC=pearson,DC=com

CN=Mueller

CN=Computer1,OU=MKT,DC=castro-it,DC=de

CN=Computer01

Tabelle 6.4: Beispiele für einen RDN

Sie können in den Active Directory-Verzeichnisdiensten RDNs für Objekte duplizieren, allerdings keine zwei Objekte mit demselben RDN in einer Organisationseinheit erzeugen. Sie können aber sehr wohl RDNs in verschiedenen Organisationseinheiten duplizieren. Beachten Sie jedoch, dass Sie keinen Sicherheitsprinzipal mit einem DN doppelt anlegen können und dürfen.

Global eindeutige Kennungen (GUID) Eine weitere Möglichkeit, Objekte eindeutig zu identifizieren, ist, sie mit einer weltweit gültigen und eindeutigen Identität zu versehen. Dies geschieht mit dem sog. Globally Unique Identifier (GUID). Die Identität wird mit Hilfe einer 128-Bit-Nummer definiert, die bei der Objekterstellung durch den Verzeichnissystem-Agenten (Directory System Agent, DSA) dem Objekt zu gewiesen wird. Im Gegensatz zu dem DN (Definierter Name) oder dem RDN (Relativer Definierter Name) kann sich eine GUID nicht ändern. Genau wie bei Sicherheitsbeschreibern auch können Anwendungen die GUID abrufen und benötigen den definierten Namen des Objekts nicht. Der Verzeichnissystem-Agent (DSA) läuft als Ntdsa.dll auf jedem Domänencontroller und unterstützt den Zugriff auf die Verzeichnisdatenbank. Der DSA läuft als Teil des lokalen Sicherheitssubsystems, des LSA-Prozesses (Local Security Authority, LSA, Lsass.exe), der für die Authentifizierung von Datenpaketen, Benutzern und Diensten zuständig ist. Dadurch, dass die GUID von dem Verzeichnissystem-Agenten erstellt wird, wird sie oft auch als DSAGUID bezeichnet. Weitere Informationen über die Funktionsweise der DSA finden Sie in der Microsoft Knowledge-Base. Möchten Sie hingegen die GUID eines Clientcomputers herausfinden, müssen Sie wie folgt vorgehen: T Suchen Sie nach einer außen am Computergehäuse angebrachten Beschriftung. T Suchen Sie nach einer Beschriftung an der Innenseite des Computergehäuses. T Suchen Sie im BIOS (Basic Input/Output System) eines Clientcomputers. Die GUID des Computers wird immer vom Hersteller zugewiesen und muss folgende Form besitzen: {dddddddd-dddd-dddd-dddd-dddddddddddd}, wobei d ein im Hexadezimalsystem verwendetes Zeichen ist. Das kann zum Beispiel folgende GUID sein: {7270FC9A4-E05121AE-AC8D-10CC0157B773}. Im hexadezimalen Zahlensystem sind nur die Zeichen »0 1 2 3 4 5 6 7 8 9 a b c d e f - A B C D E F« erlaubt. Die Bindestriche sind optional, und Leerzeichen werden ignoriert. 6.1 Objekte im Active Directory

431

MCSE Examen 70-294

Die GUID kann auch im Wire-Format eingegeben werden. Bei diesem Format werden die ersten 16 Zeichen der GUID umgestellt. Tabelle 6.5 zeigt Ihnen den Unterschied: GUID im Wire-Format:

GUID im Anzeigeformat:

01234567 89AB CDEF 0123456789ABCDEF

{67452301-AB89-EFCD-0123-456789ABCDEF}

HIN WEIS

Tabelle 6.5: Vergleich zwischen Wire- und Anzeigeformat (für die bessere Lesbarkeit der GUID wurde einfach »hochgezählt«.)

Sie benötigen die GUID von Computergeräten beim Vordefinieren von Computerkonten.

6.1.2

Active Directory-Sicherheitskomponenten

Jedes Objekt in Active Directory ist mit einem eindeutigen Sicherheitsbeschreiber verknüpft, der die Zugriffsberechtigungen und die Sicherheitsinformationen des Objekts beinhaltet. Die folgenden drei Komponenten Sicherheitsbeschreiber, Sicherheitsprinzipale und Sicherheitskennungen sind die Grundlagen des Zugriffsmodells von Microsoft.

Sicherheitsbeschreiber, Sicherheitsprinzipale und Sicherheitskennungen im Überblick Die Active Directory-Verzeichnisdienste verwenden innerhalb der Domäne Sicherheitsbeschreiber, die die Sicherheitsinformationen des zu sichernden Objekts beinhalten. Der Sicherheitsbeschreiber identifiziert einen Objektbesitzer anhand seiner Sicherheitskennung (SID). Sobald Berechtigungen für das Objekt definiert sind, enthält der Sicherheitsbeschreiber die sog. Discretionary Access Control List (DACL). Diese Zugriffssteuerungsliste enthält die Sicherheitskennungen und die zugehörigen Zugriffsberechtigungen. Für eine mögliche Objektüberwachung bzw. Überwachung des Objektzugriffs enthält der Sicherheitsbeschreiber noch eine zusätzliche Komponente, die System Access Control List (SACL). Ein Sicherheitsbeschreiber ist eine binäre Datenstruktur variabler Länge, die die Zugriffssteuerungslisten (ACLs) enthält. In einer ACL befinden sich die Zugriffssteuerungseinträge (Access Control Entries, ACEs), in denen Sie die eigentlichen Zugriffsberechtigungen wiederfinden. Der Sicherheitsbeschreiber enthält folgende Felder: T Kopfzeile (Header) – enthält die Revisionsnummer und einen Satz von Flags für das Charakterisieren des Sicherheitsbeschreibers. T Besitzer (Owner) – beschreibt die SID des Besitzers. Der Besitzer hat einen Vollzugriff auf das Objekt und darf Berechtigungen erteilen. Das Besitzrecht ist das höchste Recht. T Primäre Gruppe – Dieses Feld enthält die SIDs der primären Gruppe des Besitzers. T Unumschränkte Zugriffssteuerungsliste (Discretionary Access Control List, DACL) – Die DACL ist eine Liste von ACLs, die einen Zugriff erlauben oder verbieten. T Systemzugriffssteuerungsliste (System Access Control List, SACL) – Das Feld dient zur Überwachung der Zugriffe auf ein Objekt. 432



Eine SID (Security IDentifier) ist eine Datenstruktur variabler Länge, die Benutzer-, Gruppenund Computerkonten identifiziert. Jedem dieser Konten wird bei der Erstellung eine eindeutige SID zugewiesen, damit eine Verwechselung durch gleiche Namen vermieden wird. Auch wird die Namensänderung eines Sicherheitsprinzipals sehr einfach: Der relative Name (RDN) wird geändert, und die SID bleibt erhalten. Weil einige Konten eine Sicherheitskennung (SID) besitzen, werden sie auch Sicherheitsprinzipale genannt. Löschen Sie einen Sicherheitsprinzipal, geht die zugehörige SID verloren und kann nur dann wieder rekonstruiert werden, wenn Sie eine autorisierende Wiederherstellung des gelöschten Objekts durchführen. In einigen, sehr seltenen Fällen kann es vorkommen, dass doppelte SIDs von den Domänencontrollern eingerichtet werden. Ein solcher Fall kann auftreten, wenn ein RID-Master ausfällt und ein neuer Domänencontroller als RID-Master eingesetzt wird. Falls Sie doppelte SIDs diagnostizieren, müssen Sie diesen Fehler beheben. Zur Fehleranalyse und -behebung verwenden Sie das ntdsutil.exe-Dienstprogramm. Wir fassen zusammen: Active Directory-Sicherheitskomponenten bestehen aus: T Sicherheitsprinzipalen – Die Konten sind durch eine Sicherheitskennung eindeutig identifiziert. T Sicherheitskennungen (SIDs) – Eine SID ist eine eindeutige Kennung des Objekts, die nicht verändert werden darf. T Sicherheitsbeschreiber – Es sind Sicherheitsinformationen mit einem Objekt verknüpft. Sie enthalten die DACLs und die SACLs.

SID-Aufbau Betrachten wir die SID im Detail: Sie besteht, wie bereits erwähnt, aus einer variablen Anzahl von Werten im binären Format. Die ersten Werte beinhalten Informationen über die SIDStruktur. Die weiteren Elemente sind so zusammengesetzt, dass auf die Domänen-ID eine generierte Objekt-ID folgt. Die Domänen-ID wird einmalig von Active Directory beim Erstellen der Domäne generiert. Die Objekt-ID wird von dem Domänencontroller generiert, der das Objekt erstellt. Um die Eindeutigkeit der Objekt-ID innerhalb der Domäne zu garantieren, weist der RID-Master jedem Domänencontroller einen Satz unterschiedlicher IDs zu. Für das Vergeben von Domänen-IDs ist jedoch der Domänennamenmaster zuständig. Betrachten Sie den modularen Aufbau der SID. Die Datenstruktur beginnt mit einem Wert für die Revision. Die ab Windows NT verwendete Struktur hat immer den Revisionsgrad »1«. Anschließend finden Sie den Subautoritätszähler (Subauthority Count), der die Anzahl der nachfolgenden untergeordneten Autoritäten anzeigt. Alle Unterautoritäten sind untergeordnete Objekte bzw. Instanzen der Identifier-Autorität. Die Identifier-Autorität beschreibt den höchsten Grad der Autorität, über die ein Benutzerkonto verfügen kann (aber nicht muss). Für einen Benutzer in der Gruppe Jeder wird der Wert 1 vergeben, wohingegen der Administrator immer den Wert 5 bekommt. Jede Subautorität erhält eine Reihe von Subautoritätswerten, die den Domänen-Identifier beschreiben. Der letzte Wert der Serie beschreibt die Gruppe oder das Konto relativ zur Domäne (daher auch »Relative ID, RID«). Die vordefinierten Benutzergruppen haben immer den DomänenIdentifier von 32.


433

MCSE Examen 70-294

Abbildung 6.2: Modularer Aufbau einer SID

Zu Beginn einer SID verwendet Microsoft die Anfangskennung »S« für Security Identifier. Die SIDs des gerade angemeldeten Benutzers können Sie dem Dienstprogramm whoami.exe aus den Support-Tools entnehmen. Sie erhalten Ergebnisse, die mit den Werten aus Tabelle 6.6 vergleichbar sind. Bis auf den Subautoritätszähler erhalten Sie die folgende Ausgabe, wobei die jeweiligen Werte durch einen Bindestrich getrennt sind: S----

Tabelle 6.6 zeigt Ihnen exemplarisch, wie Microsoft SIDs innerhalb einer Domäne vergibt. Gruppe/Benutzerobjekt

SID (Security IDentifier)

Jeder

S-1-1-0

LOKAL

S-1-2-0

NT-AUTORITÄT\Authentifizierte Benutzer

S-1-5-11

NT-AUTORITÄT\INTERAKTIVE REMOTEANMELDUNG

S-1-5-14

NT-AUTORITÄT\Diese Organisation

S-1-5-15

PEARSON\administrator

S-1-5-21-520275303-989183020-2465911612-500

PEARSON\Domänen-Admins

S-1-5-21-520275303-989183020-2465911612-512

PEARSON\Schema-Admins

S-1-5-21-520275303-989183020-2465911612-518

PEARSON\Organisations-Admins

S-1-5-21-520275303-989183020-2465911612-519

PEARSON\Richtlinien-Ersteller-Besitzer

S-1-5-21-520275303-989183020-2465911612-520

VORDEFINIERT\Administratoren

S-1-5-32-544

VORDEFINIERT\Benutzer

S-1-5-32-545

VORDEFINIERT\Prä-Windows 2000kompatibler Zugriff

S-1-5-32-554

NT-AUTORITÄT\INTERAKTIV

S-1-5-4

Tabelle 6.6: Vergabe von SIDs an Gruppen und Benutzer in der Domäne PEARSON

434



Beispiel Für den Benutzer Administrator existiert die SID S-1-5-21-520275303-9891830202465911612-500. Wie ist sie zusammengesetzt? Die SID besteht aus folgenden Teilen: 1. Revisionsgrad = 1 2. Autoritätswert für einen Administrator = 5 3. Domänen-ID = 21-520275303-989183020-2465911612

HIN WEIS

4. Relative Identifier (RID) des Benutzers = 500

SIDs (Security Identifiers) sind Bestandteile eines Zugriffstokens.

SID-Verlauf und SID-Filterung Microsoft Windows NT Server-, Windows 2000 Server- und Windows Server 2003-basierte Betriebssysteme schützen ihre Systemressourcen mit Zugriffssteuerungslisten (Access Control Lists, ACLs). ACLs sind Listen, die Sicherheitskennungen und Zugriffsrechte beinhalten, die einem Benutzer gewährt wurden. Die SID eines Benutzers oder einer Gruppe basiert immer auf der SID der Domäne und identifiziert den Sicherheitsprinzipal als Domänenbenutzer eindeutig. ACLs für eine Ressource definieren immer, welche Benutzer und Gruppen auf sie zugreifen dürfen und welche nicht. Auch die Art des Zugriffs kann genau differenziert werden. Sobald ein Benutzer versucht, auf die betreffende Ressource zuzugreifen, vergleicht Windows die Liste der SIDs in der ACL mit der Liste der SIDs in dem Zugriffstoken des Benutzers. Anhand des simplen Vergleichs der SIDs kann ein Zugriffsrecht genau bestimmt werden, auch wenn der Benutzer Mitglied in vielen hundert Gruppen ist. Die Vergabe von SIDs ist immer relativ auf die Domäne bezogen. Das bedeutet: Wenn sich ein Benutzer einer vertrauenswürdigen Domäne an einen Computer einer vertrauenden Domäne anmeldet, kennt der zunächst autorisierende Domänencontroller der vertrauenden Domäne die SIDs des »vertrauten« Benutzers nicht. Er muss diese erst ermitteln. Die SID der vertrauenswürdigen Domäne, die relative ID (RID) für das Konto des Benutzers, die RID der primären Gruppe des Benutzers und die SIDs aller sonstigen Gruppenzugehörigkeiten werden in einer einzigen Autorisierungsdatenstruktur zusammengefasst und an den anfordernden Domänencontroller auf dessen Anfrage übermittelt. Wenn auf dem authentifizierenden Domänencontroller Windows 2000 Server oder Windows Server 2003 ausgeführt wird, prüft dieser außerdem, ob für den Benutzer in dessen Attribut SID-Verlauf SIDs angelegt sind. Falls dies der Fall ist, nimmt er diese SIDs ebenfalls in die Autorisierungsdaten auf. Während der Authentifizierung akzeptiert demnach der Computer in der vertrauenden Domäne diejenigen Autorisierungsdaten, die ihm durch den vertrauenswürdigen Domänencontroller übermittelt werden. Für den Clientcomputer, der die Authentifizierung verlangt, 6.1 Objekte im Active Directory

435

MCSE Examen 70-294

gibt es keine Möglichkeit, die Gültigkeit der Autorisierungsinformationen zu überprüfen; er akzeptiert die Daten als zutreffend, weil es die erwähnte Vertrauensstellung zwischen den beiden Computern gibt. Es entsteht hierbei also eine Sicherheitslücke, weil die vertrauende Domäne nicht überprüft, ob die vertrauenswürdige Domäne tatsächlich alle SIDs in den Autorisierungsdaten autorisiert hat. Fügt ein böswilliger Angreifer in der vertrauten Domäne SIDs in seine Autorisierungsdaten ein, könnte er damit seine Berechtigungen erweitern. Er könnte beispielsweise Berechtigungen erlangen, die sonst nur für die Gruppe Domänen-Admins in der vertrauten Domäne gelten würden. Diese Sicherheitslücke auszunutzen, ist laut Microsoft schwierig1, denn der Angreifer benötigt hierfür nicht nur technisches Know-how (oder ein fertiges Programm), sondern auch administrative Berechtigungen für die vertraute Domäne. Um das Risiko weiter zu minimieren, bieten Windows 2000 Server und Windows Server 2003 Ihnen die Option des SID-Verlaufs an. Hiermit werden von Windows zusätzliche SIDs in die Autorisierungsdaten eingefügt. Diese zusätzlichen SIDs werden SIDHistory oder SID-Verlauf genannt. Laut Microsoft gibt es keine Programmierschnittstelle, über die ein Angreifer eine SID in die SIDHistory-Informationen einfügen könnte. Er müsste stattdessen die Datenstrukturen binär bearbeiten.

HIN WEIS

Als Gegenmaßnahme gegen das oben genannte Sicherheitsloch hat Microsoft die SID-Filterung eingeführt. Mit diesem Feature können Sie die Domänencontroller anweisen, eine vertrauenswürdige Domäne (in der vertrauten Gesamtstruktur) unter »Quarantäne« zu stellen, d.h. zu isolieren. Die SID-Filterung ist standardmäßig immer unter Windows Server 2003 eingestellt. Domänencontroller in der vertrauenden Domäne entfernen alle SIDs, die sich gemäß den von der vertrauten Domäne empfangenen Autorisierungsdaten nicht auf diese Domäne beziehen. Auf die aktive SID-Filterung werden Sie bei der Einrichtung von Gesamtstrukturvertrauensstellungen explizit hingewiesen.

Die SID-Filterung wird automatisch für die ganze Gesamtstrukturvertrauensstellung aktiviert.

Auswirkungen der SID-Filterung Die SID-Filterung für externe Vertrauensstellungen oder Gesamtstrukturvertrauensstellungen kann sich wie folgt auf eine Gesamtstruktur auswirken: T Der Zugriff auf Ressourcen wird verweigert, wenn eine alte SID eines Benutzers verwendet wird. T Alle SIDs aus anderen als der vertrauten Domäne (auch vertrauenswürdige Domäne genannt) werden aus den Authentifizierungsanforderungen entfernt. Gleiches gilt auch für alle SID-Verlaufsdaten.

1. Microsoft Knowledge Base: Artikel 289243 »Forged SID Could Result in Elevated Privileges in Windows 2000« vom 28.03.2003

436



T Die SID-Filterung hat gravierende Auswirkungen auf die Zugriffssteuerungsstrategie über universelle Gruppen (Gruppen vom Typ Universal). Wenn Sie normalerweise universelle Gruppen aus einer vertrauten Gesamtstruktur oder anderen vertrauten Domänen zu den Zugriffssteuerungslisten für freigegebene Ressourcen in der vertrauenden Domäne zuweisen, dann hat die SID-Filterung die Auswirkung, dass Benutzer, die Mitglied dieser Gruppen sind, nicht mehr auf die Ressource zugreifen dürfen. Fügen Sie in den Zugriffsteuerungslisten (beim Setzen von Berechtigungen) nur universelle Gruppen der vertrauten Domäne ein. Beachten Sie, dass dies auch für alle Sicherheitsprinzipale gilt, also auch für Benutzerkonten und Computer.

Beachten Sie, dass die SID-Filterung per Voreinstellung aktiviert ist. Das bedeutet, dass Sie nur Benutzern und Gruppen der vertrauten Domäne (Gesamtstruktur) Berechtigungen auf Ressourcen in der vertrauenden Domäne zuweisen können. Sie dürfen nur eine Gruppe vom Typ Universal verwenden, die Sie in der vertrauten Domäne erstellt haben!

Deaktivieren der SID-Filterung Sie sollten ein Entfernen der SID-Filterung nur in besonderen Fällen in Betracht ziehen. Aus Gründen der Sicherheit wird dies im Allgemeinen nicht empfohlen. In folgenden Situationen können Sie über das Dienstprogramm Netdom.exe (vergleiche auch Kapitel 4.2.5) die SID-Filterung abstellen: T Sie vertrauen auch den Administratoren anderer Domänen der Gesamtstruktur vollständig. T Es ist unumgänglich, dass Sie universelle Gruppen zu Ressourcen der vertrauenden Domäne zuweisen, die Sie nicht direkt in der vertrauenswürdigen Domäne erstellt haben. T Sie migrieren Benutzer in die vertrauende Domäne. Sie möchten weiterhin die SID-Verläufe beibehalten, und Sie möchten diesen Benutzern weiterhin einen Zugriff auf Ressourcen gewähren. Sie können die SID-Filterung dann mit folgendem Befehl deaktivieren: Netdom trust NameDerVertrauendenDomäne /domain:NameDerVertrauenswürdigenDomäne /quarantine:No /usero:Domänenadministratorkonto /passwordo:Domänenadministratorkennwort

Beachten Sie hierbei, dass nur Domänenadministratoren die SID-Filterung deaktivieren können. Bei der Eingabe des Befehls inklusive der Befehlszeilenparameter ist der Parameter /quarantine der wichtigste: Sie aktivieren den SID-Filter mit Yes und deaktivieren ihn mit No.


437

ACH TUNG

Wenn Sie die universelle Gruppe in der vertrauten Gesamtstruktur nicht in der vertrauten Domäne erstellen, kann sie zwar Benutzer und Gruppen aus der vertrauten Domäne als Mitglieder enthalten, was jedoch das Herausfiltern nicht beeinträchtigt. Die Authentifizierungsanforderungen werden trotzdem herausgefiltert und verworfen.

MCSE Examen 70-294

Anmeldeprozess Windows Server 2003 und Windows 2000 Server kontrollieren den Zugriff auf Active Directory und das Netzwerk über eine Anmeldung. Wir haben diesen Vorgang bereits in Kapitel 5 beschrieben. Ein Benutzer benötigt einen eindeutigen Benutzernamen und ein Kennwort bzw. eine Smartcard. Nachfolgend erläutern wir den Anmeldeprozess und die Rolle der Sicherheitskennungen. Der Anmeldeprozess (siehe Abbildung 6.3) lässt sich zunächst in Kürze wie folgt zusammenfassen: 1. Der Benutzer meldet sich an. 2. Das lokale Sicherheitssubsystem am Clientcomputer besorgt ein Ticket für den Benutzer. 3. Das lokale Sicherheitssubsystem am Clientcomputer fragt nach einem Ticket für den Computer. 4. Der Kerberos-Dienst sendet ein Ticket für den Computer. 5. Das lokale Sicherheitssubsystem konstruiert einen Zugriffstoken. 6. Der Zugriffstoken wird an alle Prozesse angeheftet, die der Benutzer verwendet.

Abbildung 6.3: Anmeldeprozess, Zugriffstoken und Ticket

Schritte im Detail: SCHRITT FÜR SCHRITT

1

438

Im ersten Schritt meldet sich der Benutzer mit seinem Benutzernamen, Kennwort oder seiner Smartcard und unter Angabe der Domäne an seiner Arbeitstation an. Diese Informationen, die im Englischen als Credentials bezeichnet werden, werden zum lokalen Sicherheitssubsystem (Local Security Subsystem) geleitet.


2

Das lokale Sicherheitssubsystem verwendet die DNS-Namensauflösung, um den Domänencontroller der Domäne des Benutzers zu finden. Es nimmt Kontakt zum KerberosDienst auf, um ein Sitzungsticket anzufordern. Der Kerberos-Dienst wird auch als Key Distribution Center (KDC) bezeichnet. Das Ticket ist ein Datensatz, der es dem Clientcomputer ermöglicht, sich am Server zu authentifizieren. Der Kerberos-Dienst stellt eine Anfrage an die Active Directory-Verzeichnisdienste, um den Benutzer zu authentifizieren. Er stellt ebenfalls eine Verbindung zum globalen Katalogserver her, um die universellen Gruppenmitgliedschaften zu erfragen. Der Kerberos-Dienst antwortet mit einem Sitzungsticket, das die SID des Benutzers und die vollständigen Gruppenmitgliedschaften enthält. Falls der globale Katalogserver nicht verfügbar ist, wird der Kerberos-Dienst versuchen, die universellen Gruppenmitgliedschaften anhand der auf dem Domänencontroller gespeicherten Informationen herauszufinden. Falls dies nicht erfolgreich ist, wird der Benutzer der vertrauten Domäne anhand seiner eventuell vorhandenen gecachten Credentials (auch als »zwischengespeicherte vorherige Anmeldungen« übersetzt) authentifiziert.

3

Das lokale Sicherheitssubsystem stellt erneutet einen Kontakt zum Kerberos-Dienst her, um ein Sitzungsticket für den Arbeitsstationsdienst des Clientcomputers zu erhalten. Hierfür verwendet das lokale Sicherheitssubsystem die Ticketinformationen des zweiten Schritts.

4

Der Kerberos-Dienst authentifiziert das Benutzerticket, indem er Active Directory und den globalen Katalog abfragt, um die Informationen im Benutzerticket zu verifizieren. Der Kerberos-Dienst erstellt daraufhin ein Sitzungsticket für die Arbeitsstation, das die Originalinformationen des Benutzertickets enthält.

5

Das lokale Sicherheitssubsystem auf dem Clientcomputer extrahiert die SIDs des Benutzers sowie die universellen, globalen und domänen-lokalen Gruppenmitgliedschaften aus dem Arbeitsstationsticket und bildet einen Zugriffstoken. Der Zugriffstoken enthält die SIDs der Gruppen, in denen der Benutzer Mitglied ist, die Benutzer-SID und eine Liste der Benutzerrechte.

6

Der Zugriffstoken wird an jeden Prozess angehängt, den der Benutzer startet bzw. verwendet. Er wird zur späteren Authentifizierung an Ressourcen benötigt und kann sich erst dann ändern, wenn der Benutzer sich erneut anmeldet.

Wenn Sie die Gruppenmitgliedschaften des Benutzers ändern, muss sich der Benutzer erst abmelden und danach wieder neu anmelden. Neben dem normalen Anmeldeprozess gibt es auch eine Netzwerkanmeldung. Dabei verbinden Sie sich mit einer Ressource. Liegt die Ressource in einer fremden Domäne oder hat Ihr Zugriffstoken keine Zugriffsberechtigungen, werden Sie nach dem Benutzernamen und einem Kennwort gefragt. Auch hier wird mit Tickets gearbeitet. Die neuen Credentials werden anschließend in den Zugriffstoken integriert. Wenn Sie sich mit dem Befehl runas oder mit den Credentials eines anderen Benutzers anmelden, wird dies als sekundärer Anmeldeprozess bezeichnet.


439

HIN WEIS


HIN WEIS

MCSE Examen 70-294

Sie dürfen sich zur gleichen Ressource nur mit maximal zwei Credentials verbinden.

Zugriffstoken Ein Benutzer in Windows-Netzwerken benötigt einen Zugriffstoken, um auf eine Ressource zugreifen zu dürfen. Wie im vorigen Unterkapitel schon erläutert erhält ein Benutzer diesen Token bei der Anmeldung vom lokalen Sicherheitssubsystem seines Computers. Falsch ist es hingegen anzunehmen, der Token wurde vom Domänencontroller ausgestellt. Wenn der Benutzer auf eine Ressource im Netzwerk zugreifen möchte, wird er seinen Zugriffstoken wie die Scheckkarte seiner Bank verwenden. Die auf dem Zugriffstoken befindlichen Sicherheitskennungen (SIDs) werden mit den SIDs in den Zugriffssteuerungseinträgen (Access Control Entries, ACEs) verglichen. Stimmen sie überein, wird die Berechtigung überprüft. Mit diesem simplen Vergleich der Sicherheitskennungen kann ein Zugriff auf ein Objekt genau gesteuert werden. Der Zugriffstoken enthält folgende Informationen: T Sicherheitskennungen des Benutzerkontos und aller seiner Gruppenmitgliedschaften

TIPP

T Benutzerrechte, auch als Privilegien bezeichnet

Sie können Ihren Zugriffstoken über den Befehl whoami.exe /all auslesen.

Zugriffssteuerungseinträge (Access Control Entries) Wenn Sie einem Benutzer Zugriffsberechtigungen auf ein Objekt erteilen, bearbeiten Sie die in der DACL befindlichen Zugriffssteuerungseinträge (ACEs). In ihnen ist definiert, welche SID den von Ihnen definierten Zugriff tätigen kann bzw. darf. Sie finden Zugriffssteuerungseinträge sowohl in den DACLs als auch in den SACLs. Der Aufbau ist also gleich. Für den Zugriff auf ein Objekt gibt es zwei Arten von Zugriffsberechtigungen: Zugriff zulassen und Zugriff verweigern. (Nicht mit Berechtigungen zu verwechseln...) Bei der Analyse der ACEs in Abbildung 6.4 fällt auch sofort eine sehr wichtige Eigenschaft auf. Die Zugriffsberechtigung Zugriff verweigert steht noch vor Zugriff zulassen. Dies hat die wichtige Konsequenz, dass keine weitere Untersuchung der Berechtigungen mehr stattfindet, wenn einem Benutzer die Zugriffsberechtigung Zugriff verweigert erteilt wurde. Trotz einer Gruppenmitgliedschaft und eines Vollzugriffs hätte ein Benutzer oder eine Benutzergruppe trotzdem keinen Zugriff auf die Ressource.

440



Abbildung 6.4: Der ACE »Zugriff verweigert« hat die höchste Priorität.

Wenn Sie die theoretischen Grundlagen mit der Praxis vergleichen, werden Sie erkennen, dass Sie einem Benutzer oder einer Benutzergruppe Berechtigungen erteilen können, die Sie jeweils auf Zulassen oder Verweigern stellen können. Es besteht somit ein Unterschied zwischen Berechtigungen und Zugriff. Abbildung 6.5 zeigt Ihnen die Eigenschaften der Organisationseinheit MKT. Dort wurde zur Demonstration der Zugriffsberechtigungen der Benutzer »Max Muster« so hinzugefügt, dass ein Schreiben explizit verboten wurde. Zugriff verweigern überschreibt hier alle anderen Zugriffsberechtigungen, die der Benutzer über andere Gruppenmitgliedschaften hat.

Abbildung 6.5: Zugriffsberechtigungen und Berechtigungen für einen Benutzer


441

MCSE Examen 70-294

Zugriff auf Ressourcen SCHRITT FÜR SCHRITT

Benutzer erhalten Zugriff auf Ressourcen, indem der Zugriffstoken und die DACL verglichen werden. Hierbei macht Windows Server 2003 keinen Unterschied, ob die Ressource ein Active Directory-Objekt ist oder ein Verzeichnis auf der NTFS-Partition. Es werden bei beiden Zugriffszielen folgende Schritte durchlaufen:

1

Ein Benutzer möchte die Eigenschaften einer Organisationseinheit (OU) in der Active Directory-Datenbank lesen, wie Sie es zum Beispiel in Abbildung 6.6 erkennen können.

Abbildung 6.6: Zugriff auf Ressourcen

2

Sobald der Benutzer versucht, die Dialogbox zu sehen (indem er einen Doppelklick macht), verursacht die Managementkonsole Active Directory-Benutzer und -Computer eine Eingabe/ Ausgabe-Abfrage (I/O-Request) an das Sicherheitssubsystem von Windows Server 2003.

3

Die Sicherheitskennungen (SIDs) des Benutzers werden anhand des Zugriffstoken extrahiert, den der Benutzer an jeden Prozess anhängt, den er startet. Das Sicherheitssubsystem liest die DACL für das Objekt und sucht dort nach Zugriffssteuerungseinträgen (ACEs), die die Benutzer-SID oder die Gruppen-SIDs beinhalten, in der der Benutzer Mitglied ist. Jeder Zugriffssteuerungseintrag, der zum Benutzer passt, wird daraufhin

442



verglichen, ob der gewünschte Zugriff in den ACEs bestätigt werden kann. Es findet also ein simpler Vergleich zwischen den SIDs im Zugriffstoken und den SIDs in den DACLs (Discretionary Access Control List) statt. Beim Vergleich wird immer zuerst überprüft, ob der Zugriff verweigert ist. Falls dies der Fall ist, wird nicht mehr weiter überprüft, und der Vergleich ist beendet. In dem vorliegenden Beispiel erhält der Benutzer1 Lesezugriff auf das Objekt OU2.

4

Nachdem alle Zugriffssteuerungseinträge durchlaufen worden sind, wird die Ressource nur für den angefragten Zugriff geöffnet. Andernfalls wird die Aktion des Benutzers mit einer »Zugriff verweigert-Meldung« quittiert.

5

Die DACL wird nur dann überprüft, wenn die Ressource vom Benutzer geöffnet wird. Sollten während der Benutzersitzung die Berechtigungen geändert werden, treten diese unverzüglich in Kraft.

Welche Konsequenzen hat dieses Zugriffsverfahren? T Sobald Sie die Zugriffsberechtigungen für Benutzer ändern, treten diese sofort in Kraft. Der Benutzer muss sich nicht neu anmelden! T Das System verfügt über eine maximale Sicherheit, da immer nur die gewünschte Zugriffsart überprüft wird.

Vererbung von Berechtigungen Per Voreinstellung vererben sich die Berechtigungen der Active Directory-Objekte, je tiefer Sie in die Hierarchie gehen. Sie können allerdings auch bestimmen, dass die Vererbung an einer ganz bestimmten Stelle unterbrochen wird. Sie können die Berechtigungen individuell bestimmen und wiederum an untergeordnete Objekte vererben lassen. Mehr zu diesem Thema finden Sie in Kapitel 6.2.

HIN WEIS

Abbildung 6.7: Vererben von Berechtigungen an untergeordnete Objekte

Sie finden das Prinzip der Vererbung auch bei Gruppenrichtlinien.


443

MCSE Examen 70-294

6.1.3

Garbage Collection und Defragmentierung

Die Garbage Collection ist ein Active Directory-interner Verwaltungsprozess, der das Bereinigen der Active Directory-Verzeichnisdienste zur Aufgabe hat. Er wird auf Windows Server 2003-basierenden Domänencontrollern alle 12 Stunden ausgeführt. Diese Onlinedefragmentierung ist seitens Microsoft keine Neuheit, denn sie kam schon im Windows 2000 Server zum Einsatz. Der Garbage Collection-Prozess beginnt nach seinem Start zunächst mit dem Entfernen veralteter Objekte aus der Datenbank. Diese kommen so zustande, dass Objekte in der Managementkonsole oder bei einem Installationsprozess lediglich als gelöscht markiert werden. Als gelöscht markierte Objekte haben keine Gültigkeit mehr und müssen danach wie »Müll« entsorgt werden. Die als gelöscht markierten Objekte werden im Englischen als Tombstones bezeichnet. Warum wird ein Objekt erst einmal als gelöscht markiert und nicht sofort gelöscht? Das liegt an der Verarbeitungsgeschwindigkeit großer Netzwerke und an der Tatsache, dass jeder Domänencontroller eine vollständige Kopie der Active Directory-Datenbank hostet. Das Ziel ist es hierbei immer, Inkonsistenzen zu vermeiden. Wenn ein Objekt als gelöscht markiert wird, wird diese Änderung auf alle anderen Domänencontroller repliziert. Erst wenn diese Zeit, die auch als Lebensdauer veralteter Objekte (engl. Tombstone Lifetime) bezeichnet wird, für das Objekt abgelaufen ist, wird es vollständig gelöscht. Die Lebensdauer gelöschter Objekte beträgt per Voreinstellung 60 Tage. (Der Wert im Attribut tombstoneLifetime ist nicht gesetzt.)

Abbildung 6.8: Onlinedefragmentierung, die im 12-Stunden-Intervall stattfindet

Im nächsten Schritt löscht der Garbage Collection-Prozess nicht mehr benötigte Protokolldateien. Zum Schluss startet er einen Defragmentierungsthread, um zusätzlichen Speicherplatz in der Datenbank freizusetzen. Dieser Vorgang wird auch als Onlinedefragmentierung bezeichnet. Es sei an dieser Stelle darauf hingewiesen, dass es auch noch eine Offlinedefrag-

444



mentierung gibt, bei der Sie zunächst den Domänencontroller offline schalten müssen, bevor Sie ihn über das Ntdsutil.exe-Dienstprogramm defragmentieren können. Der Vorteil dieser Methode besteht darin, dass die Größe der Datenbank verkleinert wird, indem ungenutzter Speicherplatz entfernt wird. Dies zeigt sich an der Größe der Datenbankdatei ntds.dit. Sie bleibt bei der Onlinedefragmentierung immer konstant groß. Zu welchem Zeitpunkt lohnt sich eine Defragmentierung besonders? Sie lohnt immer, wenn Daten in die Active Directory-Datenbank geschrieben werden oder wenn sie entfernt werden. Eine Offlinedefragmentierung lohnt hingegen besonders, wenn eine sehr große Anzahl von Objekten aus der Datenbank entfernt wurde, denn mit einer Onlinedefragmentierung würde effektiv kein Speicherplatz gewonnen werden. Nur mit einer Offlinedefragmentierung können Sie die Datenbankgröße verkleinern. Sie können das Intervall zur Garbage Collection benutzerdefiniert anpassen, indem Sie das Attribut garbageCollPeriod im organisationsweiten Verzeichnisdienst-Konfigurationsobjekt (NTDS) ändern. Verwenden Sie hierfür ein Programm, das direkt in Active Directory eingreifen kann, wie zum Beispiel Ldp.exe oder die ADSI-Konsole (Adsiedit.msc). Hierfür müssen Sie die Eigenschaften des folgenden RDNs bearbeiten (siehe Abbildung 6.9): CN=Directory Service

Abbildung 6.9: Ändern des Attributs garbageColPerio., Vorsicht bei der Eingabe von zu niedrigen Werten!


445

MCSE Examen 70-294

Weiterhin können Sie, wie bereits erwähnt, die Lebensdauer veralteter Objekte (engl. Tombstone Lifetime) verändern. Dies geschieht im gleichen Objekt (CN=Directory Service). Der voreingestellte Wert beträgt 60 Tage. Sie können diesen Wert bis auf 2 Tage heruntersetzen.

Abbildung 6.10: Einstellen der Lebensdauer veralteter Objekte (tombstonelifetime)

Folgende wichtige Einschränkungen gelten für diese Einstellungen: T Sie können die veralteten Objekte nicht löschen, bevor der Wert für das Attribut tombstoneLifetime abgelaufen ist. Oder anders ausgedrückt: Diese Verzögerungszeit müssen Sie beim Aktivieren mit einkalkulieren. T Das Intervall der Garbage Collection bestimmt, wie oft ein Domänencontroller seine Datenbank nach veralteten Objekten durchsucht. Findet er solche Objekte, sammelt er diese. Das Intervall zur Sammlung ist demnach nur die Vorstufe zur endgültigen Löschung, die durch das tombstoneLifetime-Intervall initiiert wird. Die Voreinstellung beträgt 12 Stunden. Sie können sie bis auf ein Minimum von einer Stunde herabsetzen. T Bedenken Sie auch, dass das größte Intervall der Garbage Collection ein Drittel des Intervalls der Lebensdauer veralteter Objekte (tombstoneLifetime) beträgt. Wenn Sie also die tombstoneLifetime auf 30 Tage setzen und die garbageCollPeriod auf 300 Stunden, dann beträgt die resultierende Garbage Collection-Periode nur 240 Stunden (10 Tage). Welche Folgen hat das Attribut tombstoneLifetime bzw. die Lebensdauer veralteter Objekte für die Verwaltung von Active Directory? Eine sehr wichtige! Die Active Directory-Verzeichnisdienste erlauben keine Wiederherstellung eines Backups, das älter als die Lebensdauer veralteter Objekte ist. Die Wiederherstellung einer Sicherungskopie würde sonst eine Verzeichnispartition erstellen, die noch keine Replikation hinsichtlich der veralteten Objekte durchgeführt hat. Sobald eine Sicherung durchgeführt wird, die älter

446



Um es nochmals zu betonen: Führen Sie mindestens eine Sicherung der Verzeichnisdienste innerhalb des tombstoneLifetime-Intervalls durch. Per Voreinstellung beträgt es 60 Tage. Sie können eine Onlinefragmentierung zu jeder Zeit manuell starten. Das geschieht auch unabhängig vom Garbage Collection-Intervall. Sie müssen hierfür das Attribut doOnlineDefrag zum rootDSE-Objekt hinzufügen. Der Wert dieses Attributs bestimmt die Dauer in Sekunden, wie lange die Onlinedefragmentierung laufen soll. Nachdem Sie diesen Attributwert gesetzt haben, erstellen Sie ein Skript bzw. ein Programm, in das Sie als Eingabe den Wert für die Dauer der Onlinedefragmentierung eingeben. Sie können dieses Skript dann zu jeder Zeit starten, sobald Sie eine Defragmentierung benötigen. Es ist jedoch nicht empfehlenswert, die automatische Defragmentierung abzustellen. Beide Defragmentierungsarten können nebeneinander existieren.

6.1.4

ACH TUNG

als ein Wert für die tombstoneLifetime ist, wären die zum jetzigen Zeitpunkt als gelöscht markierten Objekte nicht als gelöscht markiert. Ein Löschvorgang, der auf anderen Domänencontrollern des tombstoneLifetime-Intervalls durchgeführt würde, hätte nicht den Erfolg auf der wiederhergestellten Verzeichnispartition, das Objekt auch wirklich zu löschen. Das Löschen des Objekts wäre fehlgeschlagen.

Kontingente

Mit Kontingenten wird die Anzahl der Objekte bestimmt, die ein Sicherheitsprinzipal, zum Beispiel ein Benutzer, auf einer gegebenen Verzeichnispartition besitzen kann. Mit dieser Funktion eines Domänencontrollers kann einer Dienstverweigerung (Denial of Service, DoS) vorgebeugt werden. Der Fall einer DoS-Attacke würde dann eintreten, wenn von einem Sicherheitsprinzipal ausgehend so lange eine Reihe von Objekten erstellt wird, bis der Domänencontroller überlastet ist oder bis er keinen freien Speicherplatz mehr zur Verfügung hat. Sie können Kontingente für jede Verzeichnispartition mit Ausnahme der Schemapartition separat festlegen. Sie können ebenso Kontingente jedem beliebigen Sicherheitsprinzipal, einschließlich der inetOrgPerson-Objekte, zuweisen. Nicht von der Kontingentierung betroffen sind Benutzer, die Mitglied der Gruppen Domänen-Admins oder Organisations-Admins sind. Ähnlich wie bei den Verzeichnisrechten kann es sein, dass ein Benutzer durch Gruppenmitgliedschaften mehrerer Kontingente erhält. In diesem Fall gilt das Maximum der Kontingente.

Auch Tombstone-Objekte, die einen Sicherheitsprinzipal besitzen, werden in Kontingenten mit berücksichtigt. Infolgedessen können Sie für jede Verzeichnispartition einen sog. Tombstone-Kontingentfaktor festlegen.


447

HIN WEIS

Ist kein Sicherheitsprinzipal explizit zugewiesen, gilt das Standardkontingent, das per Voreinstellung auf unbegrenzt gesetzt ist. Kontingente können nur auf Domänencontrollern unter Betriebssystemen der Windows Server 2003-Produktfamilie erzwungen werden.

MCSE Examen 70-294

Beispiel Kontingente Die in Windows Server 2003 neu eingeführte Kontingentierung verspricht interessante Einsatzmöglichkeiten. Das folgende Beispiel verdeutlicht einen sinnvollen Einsatz: Sie sind Administrator ihrer Firma im Bereich Presse und Multimedia. Ihre Firma hat einige hundert Benutzer, die sich mehrere Druckserver teilen. Sie haben das Problem, dass Ihre Mitarbeiter in Spitzenzeiten sehr viele Druckjobs öffnen, sodass die Druckserver schnell überlastet sind. Sie überprüfen die Server (z.B. mit dem Performancemonitor perfmon) und erkennen, dass jeder der Server mindestens 3000 Druckerwarteschlangen unterstützt. Lösung: Sie überprüfen das Standardkontingent der Domänenpartition Ihrer Domäne und erkennen, dass es auf »unbegrenzt« gesetzt ist. Da auch Druckerwarteschlangen Objekte sind, können Sie die Anzahl der Druckerwarteschlangen begrenzen, indem Sie auch die Anzahl der Objekte kontingentieren. Angenommen, Sie setzen das Standardkontingent auf eine kleine Basiszahl, wie zum Beispiel 500 können Sicherheitsprinzipale jeweils nur 500 Objekte (= Druckerwarteschlangen) besitzen. Da auch ein Computer ein Sicherheitsprinzipal ist, würde diese Beschränkung auch für ihn gelten. Da niemand will, dass im schlechtesten Fall nur ein Benutzer auf einem Druckerserver drucken kann, müssen Sie das Kontingent für den Druckserver höher setzen. Hierfür erstellen Sie eine neue Gruppe (zum Beispiel mit dem Namen »Druckserver«) und geben für diese Gruppe ein Kontingent von beispielsweise 3.000 ein. Anschließend fügen Sie das Computerkonto des Druckservers in die gerade erstellte Gruppe (»Druckserver«) ein. Jetzt kann jeder Druckserver die ursprüngliche Anzahl von Druckerwarteschlangen unterstützen, während für alle anderen Sicherheitsprinzipale das übermäßige Erstellen von Objekten durch das Standardkontingent verhindert wird. Beachten Sie, dass dazu auf allen Domänencontrollern die Windows Server 2003-Version laufen muss. Für das Einrichten von Quoten können Sie den Befehl dsadd quota und zum Verwalten den Kommandozeilenbefehl dsmod quota verwenden. Für eine Abfrage verwenden Sie dsquery quota.

6.1.5

Das Active Directory Diagnose-Programm Ntdsutil

Ntdsutil ist ein kommandozeilenorientiertes Dienstprogramm, das eine umfassende War-

tung von Active Directory ermöglicht. Die Befehle sind, wie bei vielen Dienstprogrammen, in englischer Sprache abgefasst. Beim Ntdsutil-Dienstprogramm gibt es jedoch eine Ausgabe des Hilfetextes in Deutsch. Sie können mit Ntdsutil nicht nur die Datenbank, sondern auch Betriebsmasterrollen von Domänencontrollern warten. Ntdsutil ist im Verzeichnis %systemroot%\system32 abgelegt und kann von einer beliebigen Stelle in der Kommandozeileneingabe aus aufgerufen werden. Das Programm hat verschiedene Ebenen, die mit unterschiedlichen Menüs ausgestattet sind. Sie erhalten diese Menüs nur dann, wenn Sie durch die entsprechende Eingabe in die betreffende Ebene wechseln. Für jede Ebene steht mit dem »?«-Symbol oder einer Help-Anweisung 448



ein Hilfetext zur Verfügung. Jede Ebene ist mit einem Quit zu verlassen, d.h., wenn Sie in der zweiten Ebene sind, müssen Sie zweimal Quit eingeben, um das Programm zu verlassen. Bei der Eingabe der Befehle wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie können Befehle auch derart schreiben, dass Sie nicht die volle Länge des Textes eingeben, sondern nur die Anfangsbuchstaben. Bedenken Sie aber, dass diese Schreibweise sehr kryptisch aussieht und unter Umständen von Dritten nicht mehr gelesen werden kann. Hierzu ein Beispiel: ntdsutil: authoritative restore authoritative restore: list nc crs

Dieser Befehl listet die lokalen schreibbaren Instanzpartitionen und zugehörigen Querverweise auf. Sie können auch Folgendes eingeben: authoritative restore:

l n c

Zum Beenden können Sie auch statt Quit angeben: authoritative restore:

q

Sie können die Befehle dazu nutzen, ein Skript zu schreiben. Sie müssen darauf achten, die untergeordneten Menübefehle in Anführungszeichen zu setzen, wie folgendes Beispiel zeigt: c:\ntdsutil r "sel o t" c "co t s Server01" q "l r f c s" q q q

Falls Sie keine Abkürzungen mögen, können Sie auch Folgendes schreiben: c:\ntdsutil roles "select operation target" "connections" "connect to server Server01" quit "list roles for connected server" quit quit quit

Beachten Sie, dass Variablen mit dem %-Zeichen angeben werden. Oft steht daher für einen Distinguished Name (DN) die Variable %s in dem vom Programm angezeigten Hilfetext und in den folgenden Menübefehlen. Gibt es mehrere Namen, können diese auch durchnummeriert sein (%s1, %s2 usw.). DNs werden immer in Anführungszeichen eingegeben. Ein Bespiel für einen DN einer Organisationseinheit in der Domäne pearson.de ist: "ou=vertrieb_untergeordnet,ou=vertreib_übergeordnet,dc=pearson,dc=de"

Das Programm besteht aus folgenden Ebenen: Menü

Zweck

Authoritative Restore

Führt zur autorisierenden Wiederherstellung der DIT-Datenbank.

Configurable Settings

Verwaltet konfigurierbare Einstellungen.

Domain Management

Bereitet das Erstellen von neuen Domänen vor.

Files

Verwaltet NTDS-Datenbankdateien.

LDAP Policies

Verwaltet LDAP-Protokollrichtlinien.

Tabelle 6.7: Befehlsebenen von ntdsutil


449

MCSE Examen 70-294 Menü

Zweck

Metadata Cleanup

Bereinigt Objekte der ungültigen Server.

Roles

NTDS-Rolleninhabertoken

Security Account Management

Sicherheits-Kontendatenbank: Bereinigen der duplizierten SIDs

Semantic Database Analysis

Semantikprüfung

Tabelle 6.7: Befehlsebenen von ntdsutil (Forts.)

Sie finden im Hauptmenü (erste Ebene) folgende Befehle: Befehl

Zweck

Popups %s

Aktiviert bzw. deaktiviert Popups mit ON oder OFF.

Set DSRM Password

Zurücksetzen des Administratorkontokennworts für den Verzeichnisdienst-Wiederherstellungsmodus

Help oder ?

Zeigt die jeweiligen Hilfetexte an.

Quit

Beendet die jeweilige Programmebene und das Programm.

Tabelle 6.8: Befehle in der Hauptebene

Das Menü Authoritative Restore Diese Ebene ist nur dann verfügbar, wenn Sie den Domänencontroller im Modus Verzeichnisdienstherstellung (Windows-Domänencontroller) starten. Mit diesem Menü können Sie Ihre Active Directory-Datenbank wiederherstellen, falls Objekte irrtümlich oder durch einen Applikationsfehler gelöscht wurden. Nach dem Aufruf erhalten Sie folgenden Prompt: authoritative restore: Befehl

Zweck

List NC CRs

Listet Partitionen und Querverweise auf. Sie benötigen die Querverweise einer Anwendungsverzeichnispartition, um sie wiederherzustellen.

Restore Database

Autorisierende Wiederherstellung der gesamten Datenbank. Dieser Befehl markiert die gesamte Active Directory-Datenbank ntds.dit (Domänen und Konfigurationsnamenskontext) als autorisierend. Beachten Sie, dass das Schema nicht autorisierend wiederhergestellt werden kann.

Tabelle 6.9: Befehle von Authoritative Restore

450


6 – Verwalten und Warten einer Active Directory-Datenbank Befehl

Zweck

Restore Database Verinc %d

Autorisierende Wiederherstellung der gesamten Datenbank und Überschreiben der Versionserhöhung. Dieser Befehl markiert die gesamte Active Directory-Datenbank ntds.dit (Domänen und Konfigurationsnamenskontext) als autorisierend und erhöht die Versionsnummer in Höhe der in %d angegebenen Versionsnummer. Wenden Sie diese Option nur dann an, wenn eine autorisierende Wiederherstellung fehlerhaft ist.

Restore Object %s

Autorisierende Wiederherstellung eines Objekts. Geben Sie für %s den DN des Objekts an. Dieser Befehl ist neu in Windows Server 2003.

Restore Object %s Verinc %d

Autorisierende Wiederherstellung eines Objekts und Überschreiben der Versionserhöhung. Dieser Befehl ist neu in Windows Server 2003.

Restore Subtree %s

Autorisierende Wiederherstellung einer untergeordneten Struktur. Markiert einen Subtree (inklusive aller untergeordneten Objekte des Subtrees) als autorisierend. Geben Sie den vollen DN (Distinguished Name) des Objekts an.

Restore Subtree %s Verinc %d Autorisierende Wiederherstellung einer untergeordneten Struktur und Überschreiben der Versionserhöhung Tabelle 6.9: Befehle von Authoritative Restore (Forts.)

Im folgenden Beispiel werden die Partitionen und Querverweise der Domäne pearson.de aufgelistet. Bei dem Domänencontroller handelt es sich um einen zusätzlichen Domänencontroller einer Domäne. authoritative restore: list nc crs Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen. Auflistung von lokalen schreibbaren Instanzpartitionen und zugeordneten Querverweisen: 1) Partition: CN=Configuration,DC=pearson,DC=de Querverweis: CN=Enterprise Configuration,CN=Partitions,CN=Configuration,DC=pearson,DC=de 2) Partition: CN=Schema,CN=Configuration,DC=pearson,DC=de Querverweis: CN=Enterprise Schema,CN=Partitions,CN=Configuration,DC=pearson,DC=de 3) Partition: DC=pearson,DC=de Querverweis: CN=PEARSON,CN=Partitions,CN=Configuration,DC=pearson,DC=de Der Vorgang ist abgeschlossen. Listing 6.1: Verwendung von ntdsutil


451

MCSE Examen 70-294

Das Menü Configurable Setting Befehl

Zweck

Cancel Changes

Änderungen widerrufen, die noch nicht übernommen wurden.

Commit Changes

Die am Server vorgenommenen Änderungen übernehmen.

Connections

Eine Verbindung mit einem bestimmten Domänencontroller herstellen.

List

Zeigt die Namen der unterstützten, konfigurierbaren Einstellungen an.

Quit

Zum vorherigen Menü wechseln.

Set %s1 to %s2

Die konfigurierbare Einstellung %s1 auf den Wert %s2 festlegen.

Show Values

Werte der konfigurierbaren Einstellungen anzeigen.

Tabelle 6.10: Befehle von Configurable Setting

Das Menü Domain Management Für das Erstellen untergeordneter Domänen benötigen Sie Privilegien als Mitglied der Gruppe Organisations-Admins. In großen Firmen sind jedoch diejenigen Personen, die die Domänencontroller einrichten, selten auch Mitglieder dieser Gruppe. Sie sind nur Administratoren und können Ihre lokale Domäne administrieren. Damit sie auch neue untergeordnete Domänen erstellen können, kann ein Organisations-Admin Objekte für seine Administratoren vordefinieren. Dies geschieht mit dem Precreate-Befehl. Befehle, die die Anwendungsverzeichnispartitionen betreffen, sind Neuerungen von Windows Server 2003. Tabelle 6.11 beschreibt die Befehle zur Domänenverwaltung. Nach dem Aufruf erhalten Sie folgenden Prompt: domain management: Befehl

Zweck

Add NC Replica %s1 %s2

Fügt den Domänencontroller mit dem DNS-Namen %s2 vom Replikatsatz für die Anwendungsverzeichnispartition mit DN %s1 (definierter Name) hinzu. Es wird der aktuelle Domänencontroller verwendet, wenn für %s2 NULL angegeben wird.

Connections

Verbindung mit einem bestimmten Domänencontroller herstellen.

Create NC %s1 %s2

Erstellt eine Anwendungsverzeichnispartition mit dem Domänennamen %s1 auf dem Domänencontroller mit dem DNS-Namen %s2. Wenn %s2 mit NULL angegeben ist, wird der aktuell verbundene Domänencontroller verwendet.

Delete NC %s

Entfernt die Anwendungsverzeichnispartition mit definierten Namen (DN) %s vollständig aus Active Directory.

List

Bekannte Namenskontexte auflisten.

Tabelle 6.11: Befehle des Menüs Domain Management

452



Zweck

List NC Information %s

Zeigt die Referenzdomäne und Replikationsverzögerungen für die Anwendungsverzeichnispartition mit dem DN %s an.

List NC Replicas %s

Zeigt die Liste der Domänencontroller im Replikatsatz der Anwendungsverzeichnispartition mit dem definierten Namen (DN) %s an.

Precreate %s1 %s2

Erstellt im Voraus ein Querverweisobjekt für die Domäne oder die Anwendungsverzeichnispartition mit dem Domänennamen %s1, so dass der Server mit dem DNS-Namen %s2 als ein Domänencontroller für die Domäne heraufgestuft werden kann oder eine Anwendungsverzeichnispartition erstellt wird.

Remove NC Replica %s1 %s2 Löscht den Domänencontroller mit dem DNS-Namen %s2 vom Replikatsatz für die Anwendungsverzeichnispartition mit dem DN %s1. Es wird der aktuelle Domänencontroller verwendet, wenn für %s2 NULL angegeben wird. Select Operation Target

Standorte, Server, Domänen, Funktionen und Namenskontexte wählen. Siehe auch im Abschnitt Untermenü Operation Target.

Set NC Reference Domain %s1 %s2

Setzt die Referenzdomäne der Anwendungsverzeichnispartition mit dem DN %s1 auf die Domäne mit dem DN %s2.

Set NC Replicate Notification Delay %s %d1 %d2

Setzt die Benachrichtigungsverzögerungen der Anwendungsverzeichnispartition mit DN %s auf %d1 und %d2 Sekunden, wobei %d1 die Verzögerung zwischen der Benachrichtigung über die Änderungen des ersten Domänencontrollers und %d2 die Verzögerung der Benachrichtigung über die folgenden Domänencontrolleränderungen ist. Wenn Sie -1 entweder in %d1 oder %d2 durchlaufen, wird der Befehl die entsprechende Verzögerung nicht verändern (wenn Sie nur eine Verzögerung verändern.) Wenn Sie weitere negative Zahlen durchlaufen lassen, wird der Befehl die Verzögerung löschen. Verzögerungen werden immer auf den Domänencontroller gesetzt, der die FSMO-Rolle Domain Naming Master erhalten hat.

Tabelle 6.11: Befehle des Menüs Domain Management (Forts.)

Das Menü Files Diese Ebene (Menü) ist nur dann verfügbar, wenn Sie den Domänencontroller im Modus Verzeichnisdienstherstellung (Windows-Domänencontroller) starten. Nach dem Aufruf des Menüs erhalten Sie folgenden Prompt: file maintenance:


453

MCSE Examen 70-294 Befehl

Zweck

Checksum

Durchführung einer physischen Jet-Integritätsprüfung.

Compact to %s

Die Datenbank in das angegebene Verzeichnis komprimieren. Bewirkt, dass das Programm Esentutl.exe die bestehende Datei komprimiert und in das angegebene Verzeichnis speichert. Mit diesem Vorgang kann man die Datenbank verschieben. Nach der Komprimierung können Sie die alte Datei archivieren und die neue, komprimierte Datei zurück zum Ursprung verschieben (siehe den Befehl move db to %s). Die Komprimierung arrangiert lediglich Seiten innerhalb der Datenbank. Bedenken Sie, dass das System schon eine Onlinedefragmentation durchführt.

Header

Jet-Datenbankheader speichern. Dieser Vorgang kann dem Supportpersonal helfen, Datenbankprobleme zu identifizieren, da hiermit der Header (Kopfzeile) der Ntds.dit-Datenbank auf den Bildschirm geschrieben wird.

Info

Informationen zu den DS-Dateien zurückgeben.

Integrity

Logische Jet-Integritätsprüfung durchführen. Lässt Esentutl.exe eine Integritätsüberprüfung durchführen, die alle Low-Level-Datenbankfehler identifiziert. Da der Vorgang jedes Byte der Datenbank liest, kann dies bei großen Datenbanken sehr lange dauern (im Stundenbereich).

Move DB to %s

Datenbank zum angegebenen Verzeichnis (%s) verschieben.

Move Logs to %s

Protokolldateien zum angegebenen Verzeichnis verschieben.

Recover

Durchführen einer Datenbankwiederherstellung.

Set Default Folder Security

Sicherheitseinstellungen von NTDS-Ordnern auf Standardwerte zurücksetzen.

Set Path Backup %s

Verzeichnispfad der Onlinesicherung festlegen.

Set Path DB %s

Pfad zur Datenbankdatei festlegen.

Set Path Logs %s

Verzeichnispfad für die Protokollierung festlegen.

Set Path Working Dir %s

Pfad für das Arbeitsverzeichnis von NTDS festlegen.

Tabelle 6.12: Befehle von ntdsutil, Menü File

Das Menü Ldap Policy (LDAP-Richtlinien) Es existieren gewisse operative Beschränkungen für eine Reihe von LDAP-Operationen, um sicherzustellen, dass Domänencontroller Garantien auf Dienstebenen unterstützen können. Diese Beschränkungen verhindern, dass bestimmte Operationen die Leistung des Servers beeinträchtigen. Sie verringern weiterhin die Anfälligkeit des Servers gegenüber Denial of Service-Angriffen (DoS-Angriffe). Die LDAP-Richtlinien werden durch die Benutzung von Objekten der queryPolicy-Klasse implementiert. Abfragerichtlinienobjekte können im Container Abfragerichtlinien erstellt

454



werden, einem untergeordneten Element des Containers Verzeichnisdienst im Konfigurationsnamenskontext. LDAP-Verwaltungslimits gelten per Voreinstellung (abrufbar mit show values) folgendermaßen: T MaxPoolThreads – 4 pro Prozessor. Entspricht der maximalen Anzahl der von Domänencontrollern für die Abfrageausführung erstellten Threads. T MaxDatagramRecv – 4096. Maximale Anzahl der Datagramme, die gleichzeitig vom Domänencontroller verarbeitet werden können. In Windows 2000 Server betrug der Wert noch 1024. T MaxReceiveBuffer – 10485760. Wird benötigt, um das Active Directory-Schema zu erweitern. 10485760 ist die Grundeinstellung für die Installation von Exchange 2000 Server. T InitRecvTimeout – 120 Sekunden. Entspricht der anfänglichen Zeitüberschreitung beim Empfang. T MaxConnections – 5000. Maximale Anzahl geöffneter Verbindungen. Wichtig, um DoSAngriffen vorzubeugen. T MaxConnIdleTime – 900 Sekunden. Maximal zulässige Leerlaufzeit für eine Verbindung. T MaxPageSize – 1000 Datensätze. Entspricht der maximal unterstützten Seitengröße für LDAP-Antworten. T MaxQueryDuration – 120 Sekunden. Ist die maximale Zeitdauer einer Abfrage durch den Domänencontroller. T MaxTempTableSize – 10.000 Datensätze. Entspricht der maximalen Größe des temporären Speichers, der für die Ausführung von Abfragen zugeordnet wird. T MaxResultSetSize – 262.144 Byte. Ist die maximale Größe des LDAP-Resultsets. T MaxNotificationPerConnection – 5. Entspricht der maximalen Anzahl von Benachrichtigungen, die ein Client für eine bestimmte Verbindung anfordern kann. Nach dem Aufruf des Menüs erhalten Sie folgenden Prompt: ldap policy: Befehl

Zweck

Cancel Changes

Änderungen rückgängig machen.

Commit Changes

Die am Server vorgenommenen Änderungen übernehmen.

Connections


List

Listet die unterstützten Richtlinien auf dem Server auf.

Quit

Zum vorherigen Menü wechseln.

Set %s to %s

Legt den Richtlinienwert fest.

Show Values

Zeigt die Richtlinienwerte an.

Tabelle 6.13: Befehle des Menüs Ldap policy


455

MCSE Examen 70-294

Das Menü Metadata Cleanup

ACH TUNG

Der Verzeichnisdienst wartet eine Reihe von Metadaten für jede Domäne und für jeden Server in der Gesamtstruktur. Diese Daten werden bei der Installation über dcpromo.exe erzeugt bzw. wieder entfernt. Falls diese Operationen über dcpromo nicht korrekt durchgeführt wurden, sind die Metadaten unvollständig angelegt oder gelöscht. Sie können auf normalem Weg nicht mehr repariert werden und behindern eventuell die Funktion anderer Dienste.

Löschen Sie nie die Metadaten von bestehenden Domänen und Domänencontrollern!

Nach dem Aufruf des Menüs erhalten Sie folgenden Prompt: metadata cleanup: Befehl

Zweck

Connections


Remove Selected Domain

DS-Objekte für die gewählte Domäne entfernen.

Remove Selected Naming Context

Entfernt die DS-Objekte für den gewählten Namenskontext.

Remove Selected Server

DS-Objekte für den gewählten Server entfernen.

Select Operation Target

Standorte, Server, Domänen, Funktionen und Namenskontexte wählen.

Tabelle 6.14: Befehle des Menüs Metadata Cleanup

Das Menü Roles

ACH TUNG

Im Menü Roles können Betriebsmasterrollen verwaltet werden. Weitere Informationen über Betriebsmaster finden Sie auch in Kapitel 4.3.

Setzen Sie nie eine Serverrolle mit dem seizure-Kommando, wenn der eigentliche Betriebsmaster sich noch online im Netzwerk befinden! Falls dies passiert, entstehen nicht korrigierbare Konflikte. Falls eine Betriebsmasterrolle nur temporär ausfallen sollte, ist es nicht notwendig, einen anderen Domänencontroller als Betriebsmaster zu setzen. Nach dem Aufruf des Menüs erhalten Sie folgenden Prompt: fsmo maintenance:

456



Zweck

Connections


Seize Domain Naming Master

Funktion der Domäne auf dem verbundenen Server überschreiben, wenn der ursprüngliche Domänennamenmaster irreparabel nicht mehr zur Verfügung steht (offline).

Seize Infrastructure Master

Funktion der Infrastruktur auf dem verbundenen Server überschreiben, wenn der ursprüngliche Infrastrukturmaster irreparabel nicht mehr zur Verfügung steht (offline).

Seize PDC

Funktion des primären Domänencontrollers auf dem verbundenen Server überschreiben, falls der ursprüngliche PDC-Emulator irreparabel nicht mehr zur Verfügung steht (offline).

Seize RID Master

Funktion des RID-Masters auf dem verbundenen Server überschreiben, falls der ursprüngliche RID-Master irreparabel (offline) nicht mehr zur Verfügung steht.

Seize Schema Master

Funktion des Schemas auf dem verbundenen Server überschreiben, falls der ursprüngliche Schemamaster irreparabel nicht mehr zur Verfügung steht (offline).

Select Operation Target

Standorte, Server, Domänen, Funktionen und Namenskontexte wählen.

Transfer Domain Naming Master

Den verbundenen Server zum Domänennamenmaster machen. Beide Server sind online.

Transfer Infrastructure Master

Den verbundenen Server zum Infrastrukturmaster machen. Beide Server sind online.

Transfer PDC

Den verbundenen Server zum primären Domänencontroller machen. Beide Server sind online.

Transfer RID Master

Den verbundenen Server zum RID-Master machen. Beide Server sind online.

Transfer Schema Master

Den verbundenen Server zum Schemamaster machen. Beide Server sind online.

Tabelle 6.15: Befehle des Menüs Roles (fsmo maintenance)

Das Untermenü Server Connections Einige Ntdsutil-Operationen senden LDAP- oder RPC-Kommandos zum betreffenden Server. Wenn Sie an diesem Server lokal angemeldet sind, kann Ntdsutil die Kommandos an den lokalen Server senden; andernfalls müssen Sie sich erst mit dem zu verändernden Domänencontroller verbinden. Per Voreinstellung verwenden Sie für eine Verbindung die Privilegien des angemeldeten Benutzerkontos. Ansonsten können Sie die Verbindungsinformationen auch mit dem Befehl set creds (setze Credentials) verändern. Nach dem Aufruf erhalten Sie folgenden Prompt: server connections:


457

MCSE Examen 70-294 Befehl

Zweck

Clear Creds

Frühere Verbindungsinformationen löschen.

Connect to Domain %s

Verbindung mit dem DNS-Domänennamen herstellen. Das %-Zeichen repräsentiert die Zieldomäne.

Connect to Server %s

Verbindung mit Server, DNS-Namen oder IP-Adresse herstellen. Das %-Zeichen repräsentiert den Zieldomänencontroller.

Info

Zeigt die Verbindungsinformationen an.

Quit

Zum vorherigen Menü wechseln: Das kann zum Beispiel das Menü ROLES sein.

Set Creds %s %s %s

Verbindungsinformationen als Domäne, Benutzer und Kennwort festlegen. Verwenden Sie NULL für ein Null-Kennwort und *, um das Kennwort von der Konsole einzugeben. Das erste %s-Zeichen repräsentiert die Domäne, das zweite den Benutzernamen und das dritte das Kennwort.

Tabelle 6.16: Befehle des Menüs Connections

Das Untermenü Operation Target Einige Ntdsutil-Operationen benötigen eine Identifizierung an einem bestimmten Objekt in einem Standort, einem Server oder einer Domäne. Anstatt den vollen DN (Distiguished Name) des Objekts einzugeben, können Sie nach der Identifizierung Ihre gewünschten Operationen ohne Angabe des DNs durchführen. Das Untermenü SELECT OPERATION TARGET erhalten Sie beispielsweise, wenn Sie sich im Menü DOMAIN MANAGEMENT befinden und Roles oder Metadata Cleanup oder die entsprechende Abkürzung eingeben. Sie erhalten das ursprüngliche Menü wieder zurück, wenn Sie Quit oder q eingeben. Nach dem Aufruf erhalten Sie folgenden Prompt: select operation target: Befehl

Zweck

Connections


List Current Selections

Listet den aktuellen Standort, Server, Namenskontext sowie die aktuelle Domäne auf.

List Domains

Zeigt alle Domänen auf, die ein Querverweis-Objekt im Partitionscontainer besitzen.

List Domains in Site

Listet die Domänen im gewählten Standort auf.

List Naming Contexts

Führt die bekannten Namenskontexte auf.

List Roles for Connected Server

Listet die Betriebsmasterfunktionen (FSMO-Rollen) auf, die dem verbundenen Server bekannt sind.

Tabelle 6.17: Befehle des Untermenüs Operation Target

458



Zweck

List Servers for Domain in Site

Listet die Server für die gewählte Domäne und den Standort auf.

List Servers in Site

Listet die Server im gewählten Standort auf.

List Sites

Listet die Standorte im Unternehmen auf.

Select Domain %d

Domäne %d zur gewählten Domäne machen.

Select Naming Context %d

Namenskontext %d zum gewählten Namenskontext machen.

Select Server %d

Server %d zum gewählten Server machen.

Select Site %d

Standort %d zum gewählten Standort machen.

Tabelle 6.17: Befehle des Untermenüs Operation Target (Forts.)

Folgendes Beispiel zeigt die Verwendung des Untermenüs Select Operation Target in Verbindung mit dem Menü Roles. Sie erkennen, dass Sie sich zuerst mit dem betreffenden Server verbinden müssen, anschließend wieder in das Menü ROLES zurückkehren müssen, um im nächsten Schritt das Operationsziel auszuwählen. Als Ergebnis erhalten Sie eine Auflistung der FSMO-Rollen des verbundenen Domänencontrollers. Das Aufrufen dieser Informationen kann auch im Onlinemodus geschehen, d.h., die Active Directory-Datenbank kann gestartet bleiben. C:\>ntdsutil ntdsutil: roles fsmo maintenance: con server connections: connect to server server01.pearson.de Bindung mit "server01.pearson.de" ... Eine Verbindung mit "server01.pearson.de" wurde unter Verwendung der Benutzerinformationen des lokal angemeldeten Benutzers wurde hergestellt. server connections: q fsmo maintenance: sel op ta select operation target: list roles for connected server Server "server01.pearson.de" kennt 5 Funktionen. Schema - CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Hamburg,CN=Sites, CN=Configuration,DC=pearson,DC=de Domäne - CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Hamburg,CN=Sites, CN=Configuration,DC=pearson,DC=de PDC - CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Hamburg,CN=Sites, CN=Configuration,DC=pearson,DC=de RID - CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Hamburg,CN=Sites, CN=Configuration,DC=pearson,DC=de Infrastruktur - CN=NTDS Settings,CN=SERVER01,CN=Servers,CN=Hamburg,CN=Sites, CN=Configuration,DC=pearson,DC=de select operation target: Listing 6.2: Ausgabe der FSMO-Rollen mit Ntdsutil


459

MCSE Examen 70-294

Das Menü Security Account Management Sicherheitskonten (Gruppen, Computer und Benutzer) sind über einen sog. Unique Security Identifier (SID) eindeutig gekennzeichnet. Die SID eines Sicherheitskontos wird für den Zugriff auf Ressourcen (wie Netzwerkfreigaben, Exchange-Postfächer und andere Ressourcen), verwendet. Die SIDs werden innerhalb einer Domäne vom RID-Master vergeben. Er verteilt einen Satz unterschiedlicher SIDs an alle Domänencontroller. Sind 80% des Pools verbraucht, fordert der entsprechende Domänencontroller einen neuen Satz an. Der RID-Master kontrolliert, dass nie der Satz an SIDs an einen zweiten Domänencontroller vergeben wird. In einigen, sehr seltenen Fällen kann es aber doch geschehen, dass doppelte SIDs vorkommen. Ein solcher Fall kann auftreten, wenn ein RID-Master ausfällt und anschließend ein neuer Domänencontroller als RID-Master eingesetzt wird. Hiermit ist kein Verschieben gemeint! Falls Sie doppelte SIDs verwenden, müssen Sie diesen Fehler beheben. Nach dem Aufruf des Menüs erhalten Sie folgenden Prompt: Wartung des Sicherheitskontos: Befehl

Zweck

Check Duplicate SID

SAM-Datenbank nach duplizierten SIDs überprüfen. Nicht bereinigen.

Cleanup Duplicate SID

SAM-Datenbank nach duplizierten SIDs überprüfen und sie bereinigen.

Connect to Server %s

Verbindung mit Server, NetBios-Name oder DNS-Hostname herstellen.

Log File %s

Geben Sie den Namen der Protokolldatei an. Ansonsten wird der Standardname dupsid.log verwendet.

Tabelle 6.18: Befehle des Menüs Security Account Management

Folgendes Beispiel überprüft die SIDs eines Domänencontrollers. Der Domänencontroller ist hierbei online. Falls die Datei dupsid.log leer ist, wurden keine doppelten SIDs gefunden. Im unten gezeigten Beispiel würden Sie die Protokolldatei in das Verzeichnis c:\ schreiben. C:\>ntdsutil ntdsutil: Security account management Wartung des Sicherheitskontos: connect to server server01.pearson.de Wartung des Sicherheitskontos: check duplicate sid . Die Suche nach duplizierten SIDs wurde einwandfrei abgeschlossen. Suchen Sie in dupsid.log nach Duplikate. Wartung des Sicherheitskontos: Listing 6.3: Überprüfen der SIDs auf einem Domänencontroller

460



Das Menü Semantic Database Analysis

Diese Diagnose hilft den Datenbankspezialisten von Microsoft, eine Fehleranalyse durchzuführen. Sie ist nicht für den »Endverbraucher« konzipiert. Wenden Sie daher diese Befehle nur nach Absprache mit Microsoft an. Nach dem Aufruf des Menüs erhalten Sie folgenden Prompt: semantic checker: Befehl

Zweck

Check Quota

Integrität der Kontingentnachverfolgungstabelle prüfen.

Get %d

Datensatzinformationen mit gegebenem DNT abrufen.

Go

Semantikprüfung ohne Korrekturen starten.

Go Fixup

Semantische Überprüfung mit Fixup.

Rebuild Quota

Asynchrones Neuerstellen der Kontingentnachverfolgungstabelle erzwingen.

Verbose %s

Ausführlichen Modus anund ausschalten.

Tabelle 6.19: Befehle des Menüs Semantic Database Analysis

6.2

Berechtigungen

Wir hatten Sie bereits in Kapitel 3.4.6 über die Planung von Organisationseinheiten (OU) darüber informiert, dass zur Entlastung des administrativen Stabs Objekte auch an Mitglieder von nicht administrativen Gruppen delegiert werden können. Dies kann nach geografischen oder verwaltungstechnischen Aspekten geschehen, wie Abbildung 6.11 noch einmal demonstriert. In diesem Beispiel soll eine Gruppe mit dem Namen OU_Admins_Druckmaschinen die Organisationseinheit und alle darunter liegenden OUs verwalten. Zum Delegieren können Sie den Assistenten zum Zuweisen der Objektverwaltung verwenden, oder Sie können die Sicherheit in den Objekteigenschaften verändern. Beide Möglichkeiten sind im Folgenden dargestellt.

6.2 Berechtigungen

461

ACH TUNG

Diese Ebene ist nur dann verfügbar, wenn Sie den Domänencontroller im Modus Verzeichnisdienstherstellung (Windows-Domänencontroller) starten. Diese Analyse prüft die Active Directory-Semantics. Sie generiert ein Protokoll, das die Anzahl der Datensätze inklusive der gelöschten- und der Phantom-Datensätze beinhaltet. Möchten Sie die Integrität überprüfen und die Datenbank defragmentieren, verwenden Sie bitte die Befehle aus dem Menü FILES.

MCSE Examen 70-294

Abbildung 6.11: Die vorher geplante Delegation der OUs wird jetzt in den Eigenschaften des Objekts eingestellt.

6.2.1

Setzen von Berechtigungen

Das Setzen von zusätzlichen Berechtigungen auf Teile von Active Directory hilft Ihnen beim Delegieren an andere Benutzer. Es kann aber auch sein, dass Sie einem Dienstkonto spezielle Berechtigungen erteilen müssen. Dieses Teilkapitel setzt sich daher mit allen Aspekten von Berechtigungen auseinander und zeigt Ihnen einen Weg, diese komfortabel zu verwalten. Sowohl für die Standardberechtigungen als auch für die speziellen Berechtigungen gelten die Regeln für die Vererbung. Vererbte Berechtigungen sind an dem grau hinterlegten Kontrollkästchen zu erkennen.

Standardberechtigungen Standardberechtigungen fassen eine Vielzahl von Einzelberechtigungen in Kategorien zusammen. Berechtigung

Beschreibung

Vollzugriff

Ist die Summe aller Berechtigungen. Darunter fällt auch die Besitzübernahme eines Objekts.

Lesen

Anzeigen eines Objekts und der dazugehörigen Attribute und Berechtigungen

Schreiben

Ändern von Objektattributen

Alle untergeordneten Objekte erstellen

Die Berechtigung, alle untergeordneten Objekte (wie Organisationseinheiten, Gruppen- und Benutzerobjekte, Kontakte usw.) zu erstellen. Da der Ersteller eines Objekts automatisch den Besitzerstatus erhält, kann er somit auch einen Vollzugriff auf untergeordnete Objekte erhalten.

Tabelle 6.20: Standardberechtigungen für Active Directory-Objekte

462

6.2 Berechtigungen

6 – Verwalten und Warten einer Active Directory-Datenbank Berechtigung

Beschreibung

Alle untergeordneten Objekte löschen

Löschen von untergeordneten Objekten.

Richtlinienergebnissatz erstellen (Planung)

Simulieren von Richtlinieneinstellungen (siehe Kapitel 7), die auf Computer oder Benutzer mit Gruppenrichtlinien angewendet werden.

Richtlinienergebnissatz erstellen (Protokollierung)

Protokollieren von Richtlinienergebnissätzen (siehe Kapitel 7)

Spezielle Berechtigungen

Wie der Name schon sagt, finden Sie hier spezielle Berechtigungen vor.

Tabelle 6.20: Standardberechtigungen für Active Directory-Objekte (Forts.)

Abbildung 6.12 zeigt die Standardberechtigungen einer Organisationseinheit, die nach den Standardeinstellungen geschützt wird. Sie erkennen hier, dass die Berechtigungen für die Administratoren vom übergeordneten Objekt vererbt werden. Zu erkennen ist dies (wie weiter oben erwähnt) an den grau hinterlegten Kontrollkästchen. Um diese Berechtigungen zu ändern, müssen Sie erst die Vererbung deaktivieren. Dafür müssen Sie die erweiterten Sicherheitseinstellungen aufrufen, indem Sie die Schaltfläche ERWEITERN anklicken.

Abbildung 6.12: Setzen von Standardberechtigungen

Spezielle Berechtigungen Wenn Sie die Taste ERWEITERT im Dialogfeld EIGENSCHAFTEN von (siehe Abbildung 6.12) auswählen, erhalten Sie das Dialogfeld ERWEITERTE SICHERHEITSEINSTELLUNGEN FÜR... das ausgewählte Objekt. Abbildung 6.13 zeigt Ihnen die Registerkarte BERECHTIGUNGEN mit den Berechtigungseinträgen für die Benutzer und Benutzergruppen. Falls Sie die voreingestellte Vererbung der Berechtigungen an untergeordnete Objekte unterbrechen wollen, müssen Sie das Kontrollkästchen bei Berechtigungen übergeordneter Objekte, sofern vererbbar, über... deaktivieren.

6.2 Berechtigungen

463

MCSE Examen 70-294

Abbildung 6.13: Erweiterte Sicherheitseinstellungen am Beispiel einer Organisationseinheit

Mit der Schaltfläche HINZUFÜGEN können Sie spezielle Berechtigungen an Benutzer oder Benutzergruppen vergeben. Mit der Schaltfläche BEARBEITEN können Sie bestehende Berechtigungen verändern. Die Abbildung 6.14 zeigt Ihnen anhand des Benutzers Administrator die Möglichkeiten, die Sie haben, um Berechtigungen zu setzen. Sie können sowohl für das Objekt selbst als auch für dessen Eigenschaften Berechtigungen setzen.

Abbildung 6.14: Erweiterte Berechtigungen für die Gruppe Administratoren

464

6.2 Berechtigungen


6.2.2

Assistent zum Zuweisen von Berechtigungen

Zur Vereinfachung der Rechtevergabe auf Objekte bietet Microsoft den Assistenten zum Zuweisen von Berechtigungen an. Sie rufen diesen Assistenten mit dem Kontextmenü auf, wenn Sie das zu verwaltende Objekt mit der rechten Maustaste anklicken. Der Eintrag erscheint am Anfang der Auswahlliste unter Objektverwaltung zuweisen.

Abbildung 6.15: Hinzufügen von Benutzern und Gruppen, denen ein Objektzugriff zugewiesen werden soll

Sie können den Vorgang, mit dem Assistenten Benutzern oder Gruppen einen Objektzugriff zuzuweisen, nur einmal ausführen. Möchten Sie die Konfiguration später bearbeiten, müssen Sie dies in den Objekteigenschaften (Register SICHERHEIT) manuell durchführen.

Abbildung 6.16: Delegieren von Aufgaben

6.2 Berechtigungen

465

MCSE Examen 70-294

Der Assistent arbeitet sehr komfortabel. Sie finden die wichtigsten Verwaltungsaufgaben per Voreinstellung unter den »allgemeinen Tasks« aufgelistet. Wir haben für Sie zum Beispiel einige typische Aufgaben angehakt. Falls Sie spezielle Aufgaben zuweisen möchten, müssen Sie das Optionsfeld Benutzerdefinierte Tasks zum Zuweisen erstellen auswählen. Sie erhalten anschließend eine gesonderte Auswahl aller Berechtigungen auf Attribute, die dieses Objekt enthält. Sie können anhand dieser Auswahl sehr differenziert der ausgewählten Gruppe oder dem Benutzer ein Zugriffsrecht erteilen. Doch es reicht aus, wie schon erwähnt wurde, die allgemeinen Tasks auszuwählen.

6.2.3

Tool zum Bestimmen der effektiven Berechtigungen

Um bei der Vergabe von Zugriffsberechtigungen keinen Fehler zu machen, hat Microsoft in Windows Server 2003 ein neues Feature eingebaut. Es ist nunmehr möglich, die effektiven Berechtigungen herauszufinden, die ein Benutzer oder eine Benutzergruppe auf ein Objekt besitzt. Es kann nämlich sein, dass ein Benutzer Mitglied mehrerer Gruppen ist, die verschiedene spezielle Berechtigungen besitzen, und es dadurch sehr zeitaufwändig ist, die effektiven Berechtigungen aus allen Gruppenmitgliedschaften herauszufinden. Die Berechtigungen addieren sich, außer es wurde ein Zugriff verweigert ausgesprochen. Bei der Ermittlung der effektiven Berechtigungen werden die durch die Gruppenmitgliedschaft(en) aktuell gültigen und die vom übergeordneten Objekt geerbten Berechtigungen berücksichtigt. Es werden alle Domänen und lokalen Gruppen durchsucht, denen der Sicherheitsprinzipal angehört. Die Gruppe Jeder ist immer enthalten, soweit der Benutzer oder die Gruppe nicht Mitglied der Gruppe Anonymous-Anmeldung ist. Im Windows Server 2003 besitzt die Gruppe Jeder aus Sicherheitsgründen nicht mehr die Option Anonymous-Anmeldung.

Abbildung 6.17: Überprüfen der effektiven Berechtigungen von Gruppen und Benutzern

466

6.2 Berechtigungen


Nach folgenden Kriterien kann ermittelt werden: T Globale Gruppenmitgliedschaft T Lokale Gruppenmitgliedschaft T Lokale Berechtigungen T Lokale Privilegien Leider hat das Tool einige Schwächen: Es kann nur die ungefähren Berechtigungen ermitteln, da folgende Gruppen nicht berücksichtigt werden: T Andere Organisation T Anonymous-Anmeldung T Batch T Erstellergruppe T Interaktiv T Dialup T Diese Organisation T Dienst T Domänencontroller der Organisation T Eingeschränkt T Proxy T Netzwerk T Remote T System T Terminalserverbenutzer

Effektive Berechtigungen und NTFS-Berechtigungen Effektive Berechtigungen können auch auf NTFS-Volumes helfen, Benutzern korrekte Zugriffsberechtigungen zu erteilen. Das Tool berücksichtigt allerdings nicht nur die o.g. Gruppen nicht, es kann leider auch das Zusammenwirken von NTFS-Berechtigungen mit Freigabeberechtigungen nicht berechnen, denn die wirklichen Berechtigungen ergeben sich aus der Kombination beider Berechtigungsarten. (Es gilt hier immer die restriktivere von beiden Berechtigungen, unerheblich, ob NTFS oder die Freigabe die schärferen Rechte hat.) Als Fazit gilt: Die effektiven Berechtigungen können leider nur eine ungefähre Information über die tatsächlichen Zugriffsberechtigungen eines Benutzers oder einer Gruppe geben, da das Zusammenspiel von Freigabe- und NTFS-Berechtigungen über das Netzwerk nicht berücksichtigt wird.

6.2 Berechtigungen

467

MCSE Examen 70-294

6.2.4

Übernehmen des Objektbesitzes

Jedes Objekt in Active Directory hat einen Besitzer. In der Regel ist es derjenige Benutzer, der es erstellt. Wir hatten auch erwähnt, dass das Besitzrecht das höchste Recht darstellt. Der Besitzer darf sein Objekt so schützen, wie er es für richtig erachten d.h., er darf anderen Benutzern Rechte erteilen oder entziehen. Das kann natürlich auch so weit gehen, dass nur eine Person Zugriff auf das Objekt hat. Diese Regel gilt für Verzeichnisse auf NTFS-Volumes genauso wie für Objekte in Active Directory. Muss auf die geschützten Daten zugegriffen werden, kann nur eine Übernahme des Objektbesitzes helfen. Per Voreinstellung dürfen nur Mitglieder der Gruppe Administratoren diesen Vorgang durchführen. Zu den voreingestellten Mitgliedern der lokalen Domänengruppe Administratoren gehören die Domänen-Admins und die Organisations-Admins. Ein Administrator kann sich also selbst Berechtigungen geben und anschließend auf jede Ressource im Netzwerk zugreifen. Betrachten Sie dieses Recht bitte sehr kritisch. Eine Buchhaltungsabteilung möchte beispielsweise ihre sensiblen Daten schützen und erlaubt es nicht, dass Fremde, darunter auch Administratoren, ihre Daten lesen oder verändern dürfen. Die Buchhaltungsabteilung ist Besitzer der Daten und hat es so eingerichtet, dass dem Administrator der Zugriff verweigert wird, wenn er auf ein beliebiges Objekt der Buchhaltung zugreifen möchte. Die Besitzübernahme bewirkt, dass dem ursprünglichen Besitzer der Besitz entzogen wird. Dies kann nicht wieder rückgängig gemacht werden. Nach der Besitzübernahme erhält der Administrator Vollzugriff auf das Objekt bzw. die Objekte. Insofern muss ein Administrator Rechenschaft ablegen, wann und warum er das Besitzrecht geändert hat. Es sei nochmals betont: Sie können das Besitzrecht nicht einer Gruppe oder einem Benutzer erteilen. Sie können es nur übernehmen bzw. jemandem wegnehmen. Sie sollten daher diesen Zugriff bzw. diese Aktion protokollieren, damit ersichtlich wird, wann ein Administrator unerlaubt Zugriff auf eine Ressource erlangt hat.

Abbildung 6.18: Übernahme des Besitzrechts

468

6.2 Berechtigungen


Besitzübernahme Es gibt verschiedene Gründe dafür, dass ein Administrator in den geschützten Bereich anderer Benutzer oder Gruppen eingreifen darf. Darunter fallen auch folgende Beispiele: Ein Polizeibeamter hat sensible und vertrauliche Daten in seinem Verzeichnis auf dem Server gespeichert. Ihm wurde vom Administrator ein Vollzugriff auf das Verzeichnis eingeräumt. Mit diesem Vollzugriffsrecht ist er nun in der Lage, dem Administrator, der das Verzeichnis erstellt hat, das Besitzrecht wegzunehmen. Der Beamte gibt seinem Benutzerkonto Vollzugriff und erlaubt keiner weiteren Person den Zugriff. Auch dem Administrator nicht. Bei der Ausübung seiner Dienstpflicht stirbt der Beamte und es gibt niemanden, der auf sein Verzeichnis zugreifen darf. Daraufhin wird der Administrator von der Polizeileitung beauftragt, das Besitzrecht zu übernehmen, damit die Daten des Beamten eingesehen werden können. Im zweiten Beispiel ist einem Mitarbeiter der Buchhaltung auf eine Organisationseinheit (OU) »Buchhaltung« die Berechtigung Vollzugriff erteilt worden. Dieser Mitarbeiter schützt die Buchhaltungsobjekte so, dass nur er Vollzugriff hat und dass nur er Besitzer der Buchhaltungs-OU ist. Der Mitarbeiter erkrankt und ist nicht verfügbar. Ein weiterer Mitarbeiter der Buchhaltungsabteilung hat sein Kennwort vergessen. Er kann sich nicht mehr anmelden und arbeiten. Da sein Konto in der OU Buchhaltung abgelegt ist, kann nur derjenige sein Kennwort wieder zurücksetzen, der entsprechende Berechtigungen in der OU besitzt. Damit dem Benutzer geholfen werden kann, entschließt sich die Firmenleitung, den Administrator zu beauftragen, das Besitzrecht zu übernehmen. Anschließend soll er das Vollzugriffsrecht an einen anderen Mitarbeiter delegieren, damit dieser den Besitz erneut übernehmen kann. Der neue Mitarbeiter schützt anschließend das Objekt neu. Sie sehen, dass einem Administrator durchaus das Recht verwehrt werden kann, auf Ressourcen zuzugreifen, die vertraulich sind. Er muss allerdings als Vermittler fungieren, damit einem anderen Mitarbeiter das Vollzugriffsrecht erteilt werden kann. Alle Beispiele haben eines gemeinsam: Administratoren haben einen verantwortungsvollen Job. Bei einer Besitzübernahme sollten Sie stets die Erlaubnis übergeordneter Stellen einholen, denn sonst geraten Sie schnell in Verdacht, unerlaubt Informationen gelesen oder modifiziert zu haben.

6.2.5

Überwachen von Objektzugriffen

Per Voreinstellung ist eine Überwachung der Schreibeigenschaft für die Gruppe Jeder aktiviert. Dies verursacht eine Vielzahl von Einträgen in der Ereignisanzeige im Protokoll Sicherheit. Indem die Gruppe Jeder überwacht wird, kann für jeden Schreibvorgang genau überprüft werden, wann dieser Zugriff stattgefunden hat und wer ihn veranlasst hat. Eine Überwachung macht auch dann Sinn, wenn überprüft werden soll, wann und von wem eine Besitzübernahme stattgefunden hat. Die Überwachung vererbt sich wie alle anderen Eigenschaften von Objekten auf untergeordnete Objekte, falls Sie dies nicht ausstellen (siehe Abbildung 6.19).

6.2 Berechtigungen

469

MCSE Examen 70-294

Abbildung 6.19: Standardeinstellungen für die Überwachung

In der Abbildung 6.20 sehen Sie eine Überwachung der Gruppe Administratoren. Da nur sie über das Recht verfügen, immer den Besitz zu übernehmen, kann dies wie gezeigt überwacht werden. Durch die Einstellung können Sie belegen, ob Sie als Administrator die Berechtigungen verändert haben.

Abbildung 6.20: Überwachen der Besitzübernahme

470

6.2 Berechtigungen


Sie können ebenfalls eine Gruppenrichtlinie erstellen, die Objektzugriffsversuche und/oder die Rechteverwendung überwacht (siehe den GPO-Knoten COMPUTERKONFIGURATION/ SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIEN/ÜBERWACHUNG).

6.3

Active Directory-Abfragen

Wie schon mehrmals in diesem Buch erwähnt, speichern die Active Directory-Verzeichnisdienste Objekte in Objektklassen. Die Objektklassen besitzen oft eine Vielzahl von Attributen, die auch als Eigenschaften eines Objekts bezeichnet werden. Objekte und Attribute werden in der Active Directory-Datenbank hierarchisch abgelegt. Windows Server 2003 wurde gegenüber seinem Vorgänger Windows 2000 Server um eine neue Verzeichnisabfrage erweitert. Diese Suche greift auf die Datenbank zu, um sowohl Benutzern als auch Applikationen Informationen über Verzeichnisobjekte zur Verfügung zu stellen.

6.3.1

Suchen von Objekten

Sie können Active Directory-Objekte über die Managementkonsole Active Directory-Benutzer und -Computer oder über das Kommandozeilenprogramm dsquery.exe aufrufen. Über die Suchfenster können Sie nach einer erfolgreichen Suche Benutzer- oder Gruppenkonten zur Bearbeitung direkt auswählen.

Normale Suche In der Managementkonsole haben Sie die Möglichkeit, über das Kontextmenü und den Eintrag Suchen die Suchfunktion zu starten (siehe Abbildung 6.21). Bei der »einfachen« Suche nach Benutzern, Kontakten und Gruppen reicht es manchmal aus, die Anfangsbuchstaben einzugeben, um beispielsweise den gesuchten Benutzer herauszufinden. Wenn Sie das gewünschte Objekt aufgelistet sehen, können Sie direkt mit einem Doppelklick in die Eigenschaften des Objekts springen.

6.3 Active Directory-Abfragen

471

TIPP

Falls Sie die Überwachung nicht aktivieren können, kann die Ursache darin bestehen, dass die Überwachung in einem Gruppenrichtlinienobjekt erst aktiviert werden muss. Per Voreinstellung ist sie jedoch aktiviert. Aktivieren Sie die Überwachung über die Konsole GPEdit.msc. Eine andere Ursache könnten fehlende administrative Berechtigungen sein.

MCSE Examen 70-294

Abbildung 6.21: Suchen von Benutzern, Kontakten und Gruppen, wie Sie es bereits von Windows 2000 Server her kennen

Alternativ haben Sie noch die Möglichkeit, die erweiterten Suchfunktionen zu starten, wie Sie der Abbildung 6.22 erkennen können.

Abbildung 6.22: Sie können nach allen Attributen eines Objekts suchen.

472



Alternativ zu den Abfragen über die Konsole können Sie auch das Befehlszeilenprogramm dsquery.exe verwenden. Befehle für die Objekttypen

Beschreibung

dsquery computer

Sucht nach Computern im Verzeichnis.

dsquery contact

Sucht nach Kontakten im Verzeichnis.

dsquery subnet

Sucht nach Subnetzen im Verzeichnis.

dsquery group

Sucht nach Gruppen im Verzeichnis.

dsquery ou

Sucht nach Organisationseinheiten im Verzeichnis.

dsquery site

Sucht nach Standorten im Verzeichnis.

dsquery server

Sucht nach Servern im Verzeichnis.

dsquery user

Sucht nach Benutzern im Verzeichnis.

dsquery quota

Sucht nach Spezifikationen für Datenträgerkontingente im Verzeichnis.

dsquery partition

Sucht nach Partitionen im Verzeichnis.

dsquery *

Sucht mit einer Standard-LDAP-Abfrage nach Objekten im Verzeichnis.

dsquery /?"

Anzeigen der Hilfetexte für die jeweiligen Objekttypen

Tabelle 6.21: Befehle für dsquery.exe

Gespeicherte Abfragen Gespeicherte Abfragen sind ein neues Leistungsmerkmal von Windows Server 2003. Mit ihnen können Sie je nach Container (Eintrag Abfragestamm und Schaltfläche DURCHSUCHEN) und je nach Suchmuster (Schaltfläche FESTLEGEN) eine Abfrage gestalten. Diese wird in der Konsole gespeichert und liefert Ihnen im Detailfenster (rechte Fensterseite) die Auflistung der Suchergebnisse. In Abbildung 6.23 sehen Sie zum Beispiel eine Abfrage nach Vertriebsbenutzern aus dem Container Vertrieb Berlin und seinen untergeordneten Containern. Die Abfrage mit dem Namen Vertriebsbenutzer bleibt gespeichert und verändert ihr Ergebnis je nach Inhalt des Abfrageergebnisses. Wenn Sie also ein Objekt in die Containerstruktur Vertrieb Berlin einfügen, wächst auch die gespeicherte Abfrage.


473

MCSE Examen 70-294

Abbildung 6.23: Zusammenhang zwischen der gespeicherten Abfrage und den Abfragekriterien

6.4

Sichern der Active Directory-Datenbank

Neben dem Einsatz von redundanter Hardware und weiteren Domänencontrollern in der Domäne hilft das Sichern der Systemdaten, einem Verlust der wichtigen Active DirectoryDatenbank vorzubeugen. Fällt die gut gesicherte Hardware einem Unglück zum Opfer, dann ist der Materialschaden manchmal kleiner als der Wert der gespeicherten Daten und Informationen. Eine Sicherung sollte deshalb am besten so erfolgen, dass die Sicherungsmedien an einem Platz aufbewahrt werden, wo sie sicher lagern und einigermaßen weit entfernt von der Quelle sind.

6.4.1

Windows Systemstatus

Die Active Directory-Datenbank ist ein Teil des Windows Systemstatus (System State), der eine Sammlung der Systemkomponenten darstellt. Sie können diese Systemkomponenten aber nur leider zusammen sichern. Es ist nicht vorgesehen, die Active Directory-Datenbank und deren Transaktionsprotokolle einzeln zu sichern. In der uns vorliegenden deutschen Version von Windows Server 2003 sind – im Gegensatz zu Windows 2000 Server – die Begriffe aus dem Englischen nicht übersetzt worden. Sie finden daher in den Dialogfenstern des Sicherungsprogramms neben den deutschen auch eine Reihe von englischen Begriffen.

474

6.4 Sichern der Active Directory-Datenbank


Die Systemstatus-(System State)-Komponenten beinhalten fünf Module: T Active Directory – Der Eintrag beinhaltet die Active Directory-Datenbank Ntds.dit, die Checkpoint-Dateien (Bereitstellungspunkt-Datei Edb.chk), die Transaktionsprotokolle (Edb*.log) und die Reservetransaktionsprotokolle (Res1.log und Res2.log). T Boot Files (Startdateien) – Gemeint sind die System Start-up-(Boot-)Dateien, die Windows Server 2003 zum Starten benötigt. Darunter fallen auch die Dateien für das DNS und andere Dienste, wie zum Beispiel der Windows Cluster. T COM+ Class Registration Database – Die Datenbank für die Klassenregistration von Komponentendiensten. Das Component Object Model (COM) ist die Weiterentwicklung des OLE-Modells (Object Linking and Embedding). T Registry (Registrierung) – Die Windows Registry umfasst Dateien aus dem Verzeichnis %windir%\system32\config wie Software, System etc. T SYSVOL (Sys Vol) – Das SYSVOL-Verzeichnis ist ein voreingestellter freigegebener Ordner, in dem Serverkopien der öffentlichen Domänendateien gespeichert werden. Diese Dateien werden auf alle Domänencontroller derselben Domäne repliziert. Das Verzeichnis enthält die folgenden Inhalte: Freigegebene Ordner des Netlogon-Dienstes. Dies betrifft die Benutzeranmeldeskripte (User Logon Scripts) und die Gruppenrichtlinienobjekte (Group Policy Objects, GPOs) für Clientcomputer, die nicht Windows 2003-basiert sind. Benutzeranmeldeskripte für Active Directory-fähige Clients Windows 2003-GPOs Dateisystemverbindungen Dateireplikationsdienst (File Replication Service, FRS oder NTFrs). Dieser Dienst arbeitet mit dem verteilten Dateisystem (Distributed File System, Dfs) zusammen und ist für dessen Dateitransport zuständig. Des Weiteren verwendet Active Directory diesen Dienst zur Replikation von Informationen zum globalen Katalog.

Abbildung 6.24: Sichern des Domänencontrollers mit ntbackup.exe (Klicken Sie System State an, um Active Directory zu sichern.)


475

MCSE Examen 70-294

6.4.2

Hinweise zur Sicherung

Aus folgenden Gründen ist ein Sichern von Active Directory notwendig bzw. vorteilhaft: T Sie benötigen eine Sicherung von Active Directory, falls Ihre Datenbank verloren geht oder beschädigt wird. Mit einer sog. autorisierenden Wiederherstellung können Sie versehentlich gelöschte Objekte wiederherstellen. Auch defekte Objekte lassen sich wieder neu aufspielen. T Falls Sie einen Domänencontroller besitzen, der aufgrund eines Hardwarefehlers nicht mehr korrekt startet, können Sie das Betriebssystem nach Behebung des Fehlers mit Hilfe der Systemstatusdateien wieder reparieren. T Ein weiteres neues Leistungsmerkmal des Windows Server 2003 ist die Fähigkeit, einen Domänencontroller derselben Domäne durch die Sicherung eines bestehenden Domänencontrollers zu installieren. Dies vereinfacht die Anbindung von Dependancen, die über eine sehr langsame WAN-Strecke mit der Zentrale verbunden sind. Auf dem Markt gibt es einige bessere und professionellere Lösungen als die, die Microsoft »kostenlos« mit dem Windows Server anbietet. Viele dieser Programme sind mit dem Programm ntbackup.exe kompatibel, sodass die Grundeinstellung mit der des Microsoft-internen Sicherungsprogramms übereinstimmt. Für die Sicherung eines Computers müssen Sie entweder Mitglied der Gruppe Sicherungs-Operatoren oder der Gruppe Administratoren sein (d.h., auch Domänen-Admins und Organisations-Admins können eine Sicherung durchführen). Beachten Sie hierzu folgende Einschränkungen und Aspekte: T Die Sicherung der Active Directory-Datenbank geschieht online, d.h., Sie müssen den Computer nicht in den gesicherten Modus herunterfahren. Dies können Sie aber selbstverständlich auch tun, um anschließend über Ntdsutil eine Offline-Sicherung durchzuführen. T Die Sicherung der Systemstatusdateien von einem Remotecomputer aus ist nicht möglich (normale Dateien können Sie dagegen remote sichern). T Das Programm ntbackup benötigt ein vorher konfiguriertes Bandlaufwerk oder ein anderes Sicherungsmedium. Das Medium muss verfügbar sein, und alle notwendigen Einstellungen zum Start des Mediums müssen abgeschlossen sein. Als Medium können Sie auch ein Verzeichnis auf der Festplatte verwenden. T Ein Konfigurationsassistent führt Sie durch die Sicherungs- und Wiederherstellungsschritte. Sie können diesen Assistenten auch abstellen und alle Einstellungen per Dialogfenster einrichten, was die schnellere Variante ist.

TIPP

T Sie können den Start des Sicherungsvorgangs mit Hilfe des Plandienstes steuern.

Als Vorbereitung auf die Prüfung führen Sie bitte eine Sicherung des Systemstatus durch. Der Vorgang ist einfach durchzuführen (siehe auch den Übungsteil). Beachten Sie, dass es nicht möglich ist, einzelne Komponenten von Active Directory zu sichern. Sie können immer nur den Systemstatus als Ganzes sichern. Beachten Sie, dass in der Prüfung fast immer nach der Sicherung und/oder Wiederherstellung gefragt wird. Sie müssen wissen, wann Sie eine autorisierende oder eine nicht autorisierende Wiederherstellung vornehmen müssen.

476



6.5

Wiederherstellen einer Active DirectoryDatenbank

Das Wiederherstellen der Active Directory-Verzeichnisdienste ist etwas schwieriger als die Online-Sicherung über das Sicherungsprogramm ntbackup.exe. Analog zum Sicherungsvorgang können Sie nur den gesamten Systemstatus komplett zurücksichern. Seien Sie deshalb besonders vorsichtig, wenn sich zugleich noch die Hardware des Domänencontrollers geändert hat. Möchten Sie nur Active Directory auf einen anderen Computer zurückspielen und verwenden Sie nicht die Option Von folgenden wiederhergestellten Sicherungsdateien kopieren, können Sie eine böse Überraschung erleben: Da in diesem Fall die Hardware nicht mit der Hardwarekonfiguration der vorherigen Sicherung zusammenpasst, kann auch Active Directory nicht wieder zurückgesichert werden. Für die Wiederherstellung müssen Sie Ihren Domänencontroller im abgesicherten Modus booten und anschließend nach Aufruf des Sicherungsprogramms entscheiden, welchen Wiederherstellungsmodus Sie verwenden wollen. Zur Auswahl stehen: T Autorisierende Wiederherstellung

Achten Sie darauf, dass die Voreinstellung des Sicherungsprogramms Datei auf meinem Computer nicht ersetzen (empfohlen) lautet (siehe Abbildung 4.49). Das bedeutet, dass normalerweise eine Datei nicht überschrieben wird, wenn sie bereits besteht. Diese Einstellung gilt allerdings nicht für die Systemwiederherstellung!

Abbildung 6.25: Optionen für die Wiederherstellung von Daten. Das Zurückspielen der Systemstatusdateien bildet hier seltsamerweise eine Ausnahme (Windows Server 2003, Build 3790).

6.5 Wiederherstellen einer Active Directory-Datenbank

477

HIN WEIS

T Nicht autorisierende Wiederherstellung

MCSE Examen 70-294

6.5.1

Nicht autorisierende Wiederherstellung

Die nicht autorisierende Wiederherstellung (auch nicht maßgebende Wiederherstellung genannt) stellt das normale Zurückspielen der Systemstatusdateien dar. Alle Dateien werden genauso auf dem Domänencontroller wiederhergestellt, wie sie sich auf dem Sicherungsmedium befinden. Dieses Verfahren ist dann die einzige Option, wenn der Computer sich nicht mehr starten lässt. Ist der Domänencontroller auf dem Stand der betreffenden Sicherung, kann durch eine Replikation über andere Domänencontroller wieder ein aktueller Zustand erreicht werden. Der Aufwand dieser Wiederherstellung ist relativ gering, denn Sie müssen lediglich den Computer im Modus Verzeichnisdienste wiederherstellen (Taste (F8)) starten, anschließend das Sicherungsprogramm aufrufen und den Vorgang starten. Sie können die Systemstatusdateien vom Sicherungsprogramm ntbackup entweder am ursprünglichen Ort wiederherstellen lassen oder an einem alternativen Speicherort ablegen. Bei der letztgenannten Option können Sie die Dateien in einem Ordner Ihrer Wahl speichern. Diese Dateien werden mit der ursprünglichen Ordnerstruktur auf der Festplatte angelegt. Sie vermeiden somit ein Überschreiben der Dateien. Beachten Sie jedoch, dass bei dieser Methode nicht alle Dateien im Zielverzeichnis abgelegt werden. Die Active Directory-Datenbank, die Zertifikatsdienste-Datenbank und die COM+-Klassenregistrierungs-Datenbank werden in diesem Fall nicht wiederhergestellt! Um sich im Modus Verzeichnisdienste wiederherstellen am Domänencontroller anmelden zu können, benötigen Sie das Konto, das es Ihnen erlaubt, diesen Modus zu betreiben. Dieses Konto ist nicht das Konto des Administrators. Active Directory ist offline, d.h., ein Anmelden über das Konto eines Domänenadministrators kann gar nicht funktionieren. Sie haben das benötigte Konto beim Erstellen des Domänencontrollers bzw. beim Erstellen von Active Directory im Assistent zum Installieren von Active Directory angegeben (siehe Kapitel 3). Es kann auch sein, dass Sie später das Kennwort für den Wiederherstellungsmodus mit Hilfe des ntdsutil-Dienstprogramms geändert haben. Wenn Sie sich mit diesem Wiederherstellungskonto anmelden, wird die SAM-Kontendatenbank (Security Accounts Manager) des Servers verwendet. Für das Wiederherstellen haben Sie folgende Einstellungsmöglichkeiten (siehe Abbildung 6.26): T Sicherheitsdaten wiederherstellen – Stellt die Sicherheitseinstellungen für die Dateien und Verzeichnisse wieder her. Die Sicherheitseinstellungen umfassen Besitzerrechte, Zugriffsberechtigungen und Überwachungseinträge. Es wird ein NTFS-Volume vorausgesetzt. T Abzweigungspunkte und Daten bzw. Ordner ... markieren – Mit dieser Einstellung stellen Sie sowohl die Abzweigepunkte auf der Festplatte als auch die zugehörigen Dateien und Verzeichnisse wieder auf dem ursprünglichen Stand her. Das betreffende Kontrollkästchen muss aktiviert sein, damit ein bereitgestelltes Laufwerk wiederhergestellt werden kann. Falls Sie dieses Kontrollkästchen nicht aktivieren, wird lediglich der Ordner wiederhergestellt, in dem sich das bereitgestellte Laufwerk befindet. T Wiederhergestellte Daten in ... markieren – Mit dieser Einstellung stellen Sie sicher, dass Daten des File Replication Service (FRS) auf andere Server repliziert werden. Aktiveren Sie daher diese Option, wenn Sie den Dateireplikationsdienst verwenden und diese Daten wiederherstellen wollen. Falls Sie diese Option fälschlicherweise deaktiviert lassen, wer-

478



den die wiederhergestellten FRS-Daten vermutlich nicht auf andere Server repliziert, da die zurückgespielten Daten scheinbar älter sind als die Daten, die sich zurzeit auf den Servern befinden. Eine Wiederherstellung kann somit nicht erfolgreich sein. T Clusterregistrierung auf dem ... wiederherstellen – Wählen Sie diese Einstellung, wenn Sie eine Wiederherstellung auf einem Servercluster durchführen. Sie können diese Einstellung nicht auswählen, wenn Sie auf dem Server keinen Cluster installiert haben. Mit diesem Kontrollkästchen stellen Sie die Quorumdatenbank des Clusters auf allen Knoten eines Serverclusters wieder her. T Vorhandene Bereitstellungspunkte beibehalten – Mit dieser Option vermeiden Sie, dass vorhandene Bereitstellungspunkte auf der Partition oder dem Datenträger beim Wiederherstellen der Daten überschrieben werden. Sie sollten diese Option immer dann aktivieren (oder aktiviert lassen, denn dies ist die Voreinstellung), wenn Sie die Daten eines vollständigen Laufwerks oder einer vollständigen Partition wiederherstellen. Wenn Sie allerdings die Daten auf einem Laufwerk wiederherstellen, das Sie soeben neu formatiert haben, sollten Sie diese Option nicht aktivieren.1

Durch die Verwendung von NTFS-Abzweigungspunkten können Sie die Beschränkung auf 26 Laufwerksbuchstaben umgehen. Sie können mit diesem Feature einen Zielordner auf einen anderen NTFS-Ordner »aufpfropfen« oder einen Datenträger auf einen NTFSAbzweigungspunkt »aufsatteln«. Das Ergebnis sieht ähnlich wie ein neues Verzeichnis aus. Abzweigungspunkte sind für Anwendungen durchlässig.

6.5.2

Autorisierende Wiederherstellung

Die autorisierende Wiederherstellung, auch maßgebende Wiederherstellung genannt, verhindert ein Überschreiben von Aktualisierungen anderer Domänencontroller. Sie speichern Objekte (wie Container, Organisationseinheiten oder die Domäne) exakt zu dem Zeitpunkt zurück, an dem die Sicherung aufgenommen wurde.

1. Microsoft Knowledge Base: Artikel KB205524 »How to Create and Manipulate NTFS Junction Points«


479

HIN WEIS

Abbildung 6.26: Standardeinstellungen bei der nicht autorisierten Wiederherstellung im Programm Ntbackup.exe

MCSE Examen 70-294

Setzen Sie die autorisierende Wiederherstellung dann ein, wenn Sie versehentlich Objekte im Active Directory gelöscht haben. Sie ist die Fortsetzung der nicht autorisierenden Wiederherstellung und erfolgt noch vor dem Neustart des Domänencontrollers! Sie verwenden nach der nicht autorisierenden Wiederherstellung das kommandozeilenorientierte Dienstprogramm ntdsutil.exe. Sie benötigen folgende Befehlsabläufe: C:\>ntdsutil ntdsutil: authoritative restore

HIN WEIS

authoritative restore: restore subtree "DN"

Die Durchführung einer autorisierenden Wiederherstellung finden Sie im Übungsteil. Für die Prüfung benötigen Sie mit großer Wahrscheinlichkeit Kenntnisse darüber, wie Sie die autorisierende Wiederherstellung starten und welche Befehle Sie im Kern benötigen.

Zusammenfassung Die Lernzielkontrolle dient zur Vertiefung des Inhaltes und zur Vorbereitung auf die Prüfung. Sie müssen die Funktionsweise von Objekten in der Active Directory-Datenbank kennen, um Objekte erstellen und bearbeiten zu können. In vielen Fällen wurde aus den theoretischen Informationen eine praktische Verwendung hergeleitet. Ein besonderes Beispiel ist das Kapitel 6.1: Sie finden hier Informationen zur Namensgebung, zur Sicherheit und zur Wartung der Active Directory-Datenbank. Sie müssen wissen, dass Objekte durch ihren definierten Namen (Distinguished Name, DN) exakt mit ihrer Position in der Active Directory-Datenbank beschrieben werden. DNs finden in vielen Dienstprogrammen Anwendung. Ein DN kann Domänenkomponenten, eine oder mehrere Organisationseinheiten und ggf. einen allgemeinen Namen (Common Name, CN) enthalten. Der Name eines Benutzers in einer Organisationseinheit kann zum Beispiel "cn=Susan Fine,ou=Vertrieb,dc=pearson,dc=de" lauten. Microsoft hat sich viele Gedanken hinsichtlich Zugriff und Objektsicherheit gemacht und Sicherheitsprinzipale und Sicherheitsbeschreiber für Objekte erstellt. Sicherheitsprinzipale sind Computer-, Gruppen- und Benutzerkonten, die eine Sicherheitskennung, die sog. SID, besitzen. Betriebsintern wird immer nur die SID anstelle eines Benutzernamens verwendet, um Berechtigungen zu überprüfen. Die SIDs sind auch ein Teil der Sicherheitsbeschreiber. Sobald Berechtigungen für das Objekt definiert sind, enthält der Sicherheitsbeschreiber die sog. Zugriffssteuerungsliste oder Discretionary Access Control List (DACL). Sie enthält die Sicherheitskennungen und die zugehörigen Zugriffsberechtigungen, die notwendig sind, um auf ein Objekt zugreifen zu dürfen. Für eine mögliche Objektüberwachung bzw. Überwachung des Objektzugriffs enthält der Sicherheitsbeschreiber noch eine zusätzliche Komponente, die System Access Control List (SACL).

480



Wenn Sie also in den Eigenschaften eines Objekts im Register SICHERHEIT die Berechtigungen verändern, verändern Sie auch den Sicherheitsbeschreiber. Setzen Sie Berechtigungen, verändern Sie die DACL; überwachen Sie den Objektzugriff, bearbeiten Sie die SACL. Wichtig für den Zugriff auf Objekte bzw. Ressourcen ist, dass sich bei einer Änderung der Gruppenmitgliedschaften der Benutzer neu anmelden muss, damit diese Einstellung in Kraft treten kann. Ändern Sie hingegen den Zugriff auf ein Objekt – sei es auf einem NTFS-Volume oder in Active Directory –, tritt diese Änderung sofort in Kraft. Der Benutzer muss sich nicht neu anmelden. Zur Sicherung der Ressourcen hat Microsoft ab Windows 2000 Server Service Pack 3 die SID-Filterung eingeführt, um Administratoren einen unbefugten Zugriff auf eine vertrauende Domäne unmöglich zu gestalten. Die SID-Filterung ist in Windows Server 2003 eine Voreinstellung und hat zur Folge, dass nur universelle Gruppen der vertrauten Domäne in den Zugriffssteuerungslisten eingesetzt werden dürfen. Eine weitere wichtige Aufgabe des Administrators ist die tägliche Sicherung des Datenbestandes. Darunter fällt selbstverständlich auch die Active Directory-Datenbank. Sie können die Datenbank (leider) nur mit anderen Systemkomponenten zusammen sichern. Diese werden als Systemstatus bezeichnet und können mit dem Sicherungsprogramm ntbackup.exe online gesichert werden. Das heißt, Sie müssen den Server nicht im Reparaturmodus oder im Modus Verzeichnisdienste wiederherstellen (Taste (F8)) starten. So einfach wie die Sicherung ist die Wiederherstellung der Datenbank nicht. Sie können leider die Datenbank nicht separat zurücksichern, sondern müssen auch alle anderen Dateien aus dem Systemstatus mit zurücksichern. Dies birgt Gefahren, wenn Sie veränderte Hardware nach einem Systemcrash einsetzen. Wenn Sie die Wiederherstellung starten, müssen Sie den Computer im Modus Verzeichnisdienste wiederherstellen (mit der Taste (F8) starten) booten. Anschließend haben Sie die Möglichkeit, eine nicht autorisierte- und/oder eine autorisierte Wiederherstellung durchzuführen. Eine autorisierte Wiederherstellung können Sie nur im Anschluss an eine nicht autorisierte Wiederherstellung durchführen, indem Sie das ntdsutil-Dienstprogramm verwenden. Zur Wartung Ihres Domänencontrollers bieten sich folgende Dienstprogramme an: T ntdsutil.exe zur Manipulation und Wartung der Active Directory-Datenbank T netdom.exe zur Bearbeitung der SID-Filterung T dsquery.exe zur Abfrage von Objekten T Whoami zur Überprüfung der eigenen SID


481

MCSE Examen 70-294

6.6

Lernzielkontrolle

Wie bereits in den vorangegangenen Kapiteln finden Sie Übungen mit Fragen und spezielle Wiederholungsfragen. Wie üblich finden Sie am Ende des Kapitels in den Abschnitten 6.6.3 und 6.6.4 die Antworten zu den Übungen und zu den Wiederholungsfragen.

6.6.1

Wiederholungsfragen

Die folgenden Fragen helfen Ihnen beim Durcharbeiten des Kapitels und bei der Prüfungsvorbereitung. Da in der Prüfung die Fragen gemischt vorkommen, haben wir dies auch hier wieder so gemacht. Die Antworten zu den Fragen finden Sie in Kapitel 6.6.4. 1. In welchem Zusammenhang mit einer Datensicherung steht das Attribut tombstoneLifetime? 2. Sie wollen die Active Directory-Datenbank sichern. Sie führen eine Sicherung mit dem Sicherungsprogramm durch und möchten die Datenbank einzeln zurücksichern. Sie Booten den Computer mit (F8) und melden sich als Administrator an. Welche Schritte müssen Sie anschließend durchführen? 3. Welche Berechtigungen erhält ein Benutzer, der ein Objekt in Active Directory erstellen kann (die Objektverwaltung wurde ihm vorher delegiert)? 4. Welchen Einfluss hat die Garbage Collection auf die Active Directory-Datenbank? 5. In welchem Zusammenhang steht die Garbage Collection mit dem tombstoneLifetimeIntervall? 6. Welche Bedeutung haben Kontingente? 7. Welchen Einfluss hat die SID-Filterung auf die Sicherheit einer Domäne in einer Gesamtstrukturvertrauensstellung?

6.6.2

Übungen

Die folgenden Übungen zeigen Ihnen, wie eine Active Directory-Infrastruktur entworfen, installiert und deinstalliert wird. Die Antworten finden Sie im Anschluss an die Übungen.

Bilden eines definierten Namens In dieser Übung werden Sie einen definierten Namen (Distinguished Name) anhand der Active Directory-Benutzer und -Computer-Konsole erstellen. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Erstellen von Organisationseinheiten und Benutzern (siehe Kapitel 5) T Definierte Namen (siehe Kapitel 6.1)

482



Für diese Übung benötigen Sie folgende Computergeräte: T Einen Domänencontroller Aufgabenstellung 1. Erstellen Sie den definierten Namen (DN) des Benutzers »Karl Müller«. Sie finden diesen Benutzer in Abbildung 6.27. Der angezeigte Name stimmt mit dem tatsächlichen Namen des Objekts und dem Benutzer überein.

Abbildung 6.27: Benutzer Karl Müller im Container MKT-D-2

2. Benennen Sie anschließend den DN mit dem entsprechenden Kommandozeilenprogramm um. Der neue Name soll nun »Manfred Becker« sein. Falls Sie einen anderen Domänennamen installiert haben, müssen Sie den DN entsprechend anpassen.

Sichern des Systemsstatus In dieser Übung werden Sie mit dem Windows-Sicherungsprogramm Active Directory und die anderen Systemprogramme auf Ihrer Festplatte sichern. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Sichern von Active Directory (Kapitel 6.5) Für diese Übung benötigen Sie folgende Computergeräte: T Einen Domänencontroller


483

MCSE Examen 70-294


1

Melden Sie sich an einem Domänencontroller der Stammdomäne mit einem Konto an, das Mitglied der Gruppe Domänen-Admins oder Organisations-Admins ist. Das kann zum Beispiel das Konto Administrator sein.

2

Wählen Sie aus der Programmgruppe START/ALLE PROGRAMME/ZUBEHÖR/SYSTEMPROGRAMME das Programm SICHERUNG aus. Alternativ können Sie auch ntbackup in die Eingabeaufforderung eingeben.

3

Starten Sie das Sicherungsprogramm. Im Begrüßungsbildschirm klicken Sie auf ERWEITERT (keine Taste, das Wort ist verknüpft).

4

Im Register SICHERN sehen Sie die Festplattenpartitionen des Servers und die Netzwerklaufwerke sowie den Eintrag System State.

5

Wenn Sie kein Bandlaufwerk besitzen, können Sie die Sicherung in einer Datei ablegen. Wählen Sie daher unter SICHERUNGSMEDIUM ODER DATEINAME das Verzeichnis aus, in dem die Dateien gesichert werden sollen. Klicken Sie hierfür auf DURCHSUCHEN.

6

Setzen Sie einen Haken auf System State, und klicken Sie auf SICHERUNG STARTEN. Anschließend werden die Dateien in das gewünschte Verzeichnis gesichert.

Abbildung 6.28: Sichern der Systemstatusdateien

7

484

Sie werden sicherlich erkennen, dass einige Dateien übersprungen wurden. Wenn Sie auf BERICHT klicken, erhalten Sie den Texteditor mit einer Auflistung über diejenigen Dateien, die nicht gesichert werden konnten. Die Sicherungsart bei dem Systemstatus ist immer Kopieren. 6.6 Lernzielkontrolle

6 – Verwalten und Warten einer Active Directory-Datenbank Sicherungsstatus Vorgang: Sicherung Aktives Sicherungsziel: Datei Mediumname: "Backup.bkf erstellt am 14.02.2004 um 19:12" Sicherung von "System State" (mit Schattenkopie) Sicherungssatz #1 auf Medium #1 Sicherungsbeschreibung: "Satz am 14.02.2004 um 19:12 erstellt" Mediumname: "Backup.bkf erstellt am 14.02.2004 um 19:12" Sicherungsart: Kopieren Sicherung begonnen am 14.02.2004 um 19:12. Warnung: "c:\windows\SYSVOL\domain\DO_NOT_REMOVE_NtFrs_PreInstall_Directory" kann nicht geöffnet werden und wird übersprungen. Ursache: Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. Sicherung abgeschlossen am 14.02.2004 um 19:15. Verzeichnisse: 212 Dateien: 2491 Bytes: 464.977.721 Zeit: 2 Minuten und 19 Sekunden Listing 6.4: Protokolldatei des Sicherungsprogramms (Das Sicherungsprotokoll ist mit der Standardeinstellung »Zusammenfassung« konfiguriert)

8

Ihr Backup ist fertig, die Active Directory-Datenbank ist ordnungsgemäß gesichert. Schließen Sie das Programm.

Autorisierende Wiederherstellung In dieser Übung werden Sie mit dem Windows-Sicherungsprogramm einen Teil von Active Directory wiederherstellen, den Sie vorher »aus Versehen« gelöscht haben. Der Schwierigkeitsgrad der Übung ist relativ hoch. Führen Sie diese nur dann aus, wenn Sie sich in der Thematik sicher fühlen. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Sichern von Active Directory (Kapitel 6.5) T Erstellen und Verwalten von Standorten (Kapitel 4.5) T Managen der Replikation (Kapitel 4.5) T Erstellen von Organisationseinheiten und Benutzern (Kapitel 5.2) Für diese Übung benötigen Sie folgende Computergeräte: T Zwei Domänencontroller derselben Domäne, die in zwei Standorte aufgeteilt sind.


485

MCSE Examen 70-294

Aufgaben zur Vorbereitung der Übung SCHRITT FÜR SCHRITT

Sie haben zwei Domänencontroller (verwenden Sie die Einstellung aus der Übung Einrichten eines Standorts) derselben Domäne installiert. Die Domäne soll in der Übung den Namen pearson.de erhalten. Sie benötigen zwei Domänencontroller, um zu überprüfen, ob die Daten, die durch die autorisierende Wiederherstellung zurückgespeichert wurden, nicht durch die Replikation des zweiten Domänencontrollers überschrieben werden.

1

Sie erstellen in der ersten Phase eine Organisationseinheit in Ihrer Domäne. Nennen Sie sie Vertrieb, und legen Sie Benutzer und Gruppen hinein, so wie Sie es möchten. Die OU Vertrieb hat den DN (Distinguished Name) OU=Vertrieb,dc=pearson,dc=de, wobei pearson.de Ihr Domänenname sein kann.

2

Stellen Sie nun sicher, dass alle Informationen auf den zweiten Domänencontroller repliziert wurden, indem Sie beispielsweise den Replikationsmonitor verwenden, um den Replikationsstatus zu überwachen. Notieren Sie sich die Versionsnummern für die Einträge Loc.USN und Ver (für die Version) der Organisationseinheit Vertrieb. Geben Sie hierfür den Befehl repadmin /showmeta "DN" in folgender Form ein: repadmin /showmeta "ou=Vertrieb,dc=pearson,dc=de"

Den Vergleich bzw. die Auflösung finden Sie am Ende der Übung.

3

Verschieben Sie den zweiten Domänencontroller an einen anderen Standort, und verhindern Sie durch ein geeignetes Intervall eine vorzeitige Replikation.

4

Führen Sie nun eine Sicherung des Systemstatus mit dem Sicherungsprogramm ntbackup durch (siehe vorangegangene Übung).

5

Löschen Sie dann auf demjenigen Domänencontroller, der eine autorisierende Wiederherstellung erhalten soll, in der Konsole Active Directory-Computer und -Benutzer das Objekt Vertrieb. Arbeiten Sie schnell, und fahren Sie den Computer sofort herunter, um zu verhindern, dass in der Zwischenzeit eine Replikation mit dem Replikationspartner stattfindet.

6

Überprüfen Sie den verbleibenden Domänencontroller. Sie werden erkennen, dass dort das Objekt Vertrieb noch nicht gelöscht ist! Notieren Sie ggf. die USN des Objekts (Durchführung siehe oben, Schritt 2).

Sie haben somit »aus Versehen« ein Objekt auf einem Domänencontroller gelöscht und müssen eine Restaurierung starten. Durchführung der Wiederherstellung SCHRITT FÜR SCHRITT

1

Starten Sie den Computer neu, und drücken Sie die (F8)-Taste während des Startvorgangs.

2

Wählen Sie im Menü den Eintrag Verzeichnisdienstherstellung (Windows-Domänencontroller) aus.

3

Das Dateisystem wird geprüft, Windows wird gestartet, und die Computereinstellungen werden übernommen. Sie sehen den Bildschirm des absicherten Modus. Nach einer kurzen Zeit erhalten Sie den Anmeldebildschirm.

486



4

Melden Sie sich mit Administrator (hierbei ist nicht der Domänen-Administrator gemeint) und mit Ihrem Kennwort an.

5

Sie erhalten ein Dialogfenster, in dem Sie über den Zweck des abgesicherten Modus informiert werden.

6

Wählen Sie das Sicherungsprogramm aus.

7

Im angezeigten Assistenten verwenden Sie den erweiterten Modus!

8

Wählen Sie im Register MEDIEN WIEDERHERSTELLEN UND VERWALTEN die wiederherzustellenden Elemente aus. Klicken Sie auf System State.

Abbildung 6.29: Nicht autorisierende Wiederherstellung

9

Führen Sie eine nicht autorisierende Wiederherstellung durch, indem Sie die Dateien im ursprünglichen Bereich wiederherstellen. Falls Sie im Listenfeld Dateien wiederherstellen in den Eintrag Alternativer Bereich auswählen, erhalten Sie dort leider keine Active Directory-Datenbank zurückgesichert. Klicken Sie auf WIEDERHERSTELLUNG STARTEN.

10 Im Fenster Wiederherstellung bestätigen, klicken Sie auf ERWEITERT, um die erweiterten Wiederherstellungsoptionen zu überprüfen.

11 Bestätigen Sie die erweiterten Wiederherstellungsoptionen (siehe auch Kapitel 6.4.2) und klicken Sie auf OK.

12 Sie gelangen erneut in das Fenster Wiederherstellung bestätigen. Klicken Sie auf OK.


487

MCSE Examen 70-294

13 Überprüfen Sie die Protokolldatei des Programms (siehe Listing 6.5.) Wiederherstellungsstatus Vorgang: Wiederherstellung Sicherung von "System State", auf "System State" wiederhergestellt Sicherungssatz #1 auf Medium #1 Sicherungsbeschreibung: "Satz am 14.02.2004 um 19:12 erstellt" Wiederherstellung begonnen am 14.02.2004 um 19:17. Wiederherstellen abgeschlossen am 14.02.2004 um 19:20. Verzeichnisse: 212 Dateien: 2491 Bytes: 464.977.441 Zeit: 2 Minuten und 55 Sekunden Listing 6.5: Ausgabe der Protokolldatei

14 Schließen Sie das Fenster. 15 Führen Sie keinen Neustart des Computers durch!

Autorisierende Wiederherstellung SCHRITT FÜR SCHRITT

Sie führen nun eine autorisierende Wiederherstellung durch. Führen Sie die Schritte sehr sorgfältig aus.

1

Öffnen Sie die Eingabeaufforderung.

2

Geben Sie dort den Befehl ntdsutil ein. Sie gelangen in das Programm und erhalten die Programmebene mit dem Ndsutil-Prompt.

3

Damit Sie in den Bereich gelangen, der für eine autorisierende Wiederherstellung zuständig ist, müssen Sie Folgendes eingeben: authoritative restore

4

Damit Sie die gelöschte Organisationseinheit wiederherstellen können, geben Sie Folgendes ein: restore subtree "ou=Vertrieb,dc=pearson,dc=de"

5

Bestätigen Sie die Meldung im Dialogfenster mit JA.

6

Beenden Sie ntdsutil, indem Sie zweimal quit eingeben. Für den gesamten Vorgang erhalten Sie folgendes Listing (das Ergebnis kann abweichen, je nachdem wie viele Objekte zurückgesichert wurden):

488


6 – Verwalten und Warten einer Active Directory-Datenbank Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\>ntdsutil ntdsutil: authoritative restore authoritative restore: restore subtree "ou=Vertrieb,dc=pearson,dc=de" Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen. Aktuelle Zeit 02-14-04 19:21.48. Die letzte Datenbankaktualisierung erfolgte um 02-13-04 15:13.04. Die Versionsnummern des Attributs werden um 200000 erhöht. Die zu aktualisierenden Datensätze werden gezählt... Gefundene Einträge: 0000000011 Der Vorgang ist abgeschlossen. 11 Einträge wurden für die Aktualisierung gefunden. Datensätze werden aktualisiert... Verbleibende Datensätze: 0000000000 Der Vorgang ist abgeschlossen. 11 Datensätze wurden einwandfrei aktualisiert. Die autorisierende Wiederherstellung wurde erfolgreich abgeschlossen. authoritative restore: quit ntdsutil: quit C:\> Listing 6.6: Bildschirmausgabe des Programms ntdsutil

7

Schließen Sie alle Programme und Fenster, und starten Sie den Computer neu.

Die autorisierende Wiederherstellung ist beendet. Überprüfen Sie nun das Ergebnis. Sie müssen hierzu eine Replikation durchführen oder eine entsprechend lange Zeit warten. Gehen Sie hierfür in das Snap-In Active Directory-Standorte und -Dienste oder in den Replikationsmonitor, oder erzwingen Sie die Replikation mit dem Befehl repadmin /replicate. Sie erhalten folgende bzw. eine ähnliche Bildschirmausgabe: C:\>repadmin /showreps Berlin\SERVER02 DC Options: IS_GC Site Options: (none) DC object GUID: b12f1227-409e-4d77-95b1-1fc49f0217df DC invocationID: 38c46c2f-d897-45dd-a0aa-8fac2d577327


489

MCSE Examen 70-294 ==== INBOUND NEIGHBORS ====================================== DC=pearson,DC=de Hamburg\SERVER01 via RPC DC object GUID: c5f67696-e0b3-4976-b383-bddbfc3a2b5e Last attempt @ 2004-02-14 19:29:44 was successful. CN=Configuration,DC=pearson,DC=de Hamburg\SERVER01 via RPC DC object GUID: c5f67696-e0b3-4976-b383-bddbfc3a2b5e Last attempt @ 2004-02-14 19:29:44 was successful. CN=Schema,CN=Configuration,DC=pearson,DC=de Hamburg\SERVER01 via RPC DC object GUID: c5f67696-e0b3-4976-b383-bddbfc3a2b5e Last attempt @ 2004-02-14 19:29:44 was successful. C:\> Listing 6.7: Bildschirmausgabe für das Programm repadmin /showreps

8

Überprüfen Sie Ihr Ergebnis. Geben Sie hierfür den Befehl repadmin /showmeta "DN" in folgender Form ein: repadmin /showmeta "ou=Vertrieb,dc=pearson,dc=de"

Sie erhalten folgendes oder ein ähnliches Listing (es wurde der Übersichtlichkeit halber bearbeitet): C:\>repadmin /showmeta "ou=vertrieb,dc=pearson,dc=de" 8 entries. Loc.USN =======

Originating DC Ver Attribute ===============

Org.USN

Org.Time/Date

=========

=============

49153

Berlin\SERVER02 200001 objectClass

49153

2004-02-14 19:21:48

49153

Berlin\SERVER02 200001 ou

49153

2004-02-14 19:21:48

49153

Berlin\SERVER02 49153 200001 instanceType

2004-02-14 19:21:48

8367

Hamburg\SERVER01 1 whenCreated

20530

2004-01-15 12:34:04

49153

Berlin\SERVER02 200000 isDeleted

49153

2004-02-14 19:21:48

490


6 – Verwalten und Warten einer Active Directory-Datenbank 49153

Berlin\SERVER02 49153 2004-02-14 19:21:48 200001 nTSecurityDescriptor

49153

Berlin\SERVER02 200001 name

49153

2004-02-14 19:21:48

49153

Berlin\SERVER02 49153 200001 objectCategory

2004-02-14 19:21:48

0 entries.

Fragen zum Ergebnis der Wiederherstellung Sie betrachten das Ergebnis der autorisierenden Wiederherstellung mit dem Befehl repadmin /showmeta. Folgende Fragen werten das Ergebnis aus. 1. Woran kann man das wiederhergestellte Objekt erkennen? 2. Zu welcher Zeit wurde eine Wiederherstellung durchgeführt? 3. Wie hoch ist die USN des ursprünglichen Objekts? 4. Nach welchen Kriterien wird die Wiederherstellung durchgeführt? Die Antworten zu diesen Fragen finden Sie in Kapitel 6.6.3.

6.6.3


Hier finden Sie die Antworten zu den Aufgaben im Übungsteil (Kapitel 6.6.2).

Bilden eines definierten Namens In dieser Übung erstellten Sie einen definierten Namen (Distinguished Name) anhand der Active Directory-Benutzer und -Computer-Konsole. Ihre Aufgabenstellung lautete: 1. Erstellen Sie den definierten Namen (DN) des Benutzers »Karl Müller«. Der angezeigte Name stimmt mit dem tatsächlichen Namen des Objekts und des Benutzers überein. Antwort: Der definierte Name des Benutzerkontos lautet wie folgt: CN=Karl Mueller,OU=MKT-D-2,OU=MKT-D,OU=MKT,DC=pearson,DC=de

2. Benennen Sie anschließend den DN mit dem entsprechenden Kommandozeilenprogramm um. Der neue Name soll nun »Manfred Becker« sein. Falls Sie einen anderen Domänennamen installiert haben, müssen Sie den DN entsprechend anpassen.


491

MCSE Examen 70-294

Antwort: Die Änderung des Namens führen Sie über den Dsmove.exe-Befehl aus. Der Befehl hat folgende Syntax: dsmove [-newparent ] [-newname ] [{-s <Server> | -d }] [-u ] [-p { | *}] [-q] [{-uc | -uco | -uci}]

Geben Sie folgenden Befehl mit der DN des Benutzerkontos in die Eingabeaufforderung ein (Sie erhalten bei erfolgreicher Anwendung sofort den Bestätigungstext): C:\>dsmove "cn=Karl Mueller,ou=MKT-D-2,ou=MKT-D,ou=MKT,dc=pearson,dc=de" -newname "Manfred Becker" dsmove war erfolgreich:cn=Karl Mueller,ou=MKT-D-2,ou=MKT-D,ou=MKT,dc=pearson,dc=de C:\> Listing 6.8: Bildschirmausdruck bei Verwendung des dsmove-Befehls

Autorisierende Wiederherstellung In dieser Übung haben Sie mit dem Windows-Sicherungsprogramm einen Teil von Active Directory wiederhergestellt, den Sie vorher »aus Versehen« gelöscht hatten. Sie haben die Wiederherstellung erfolgreich durchgeführt und testen das Ergebnis mit folgendem Befehl: repadmin /showmeta "ou=Vertrieb,dc=pearson,dc=de"

Sie betrachten das Ergebnis der autorisierenden Wiederherstellung mit dem Befehl repadmin /showmeta an. Folgende Fragen werten das Ergebnis aus. 1. Woran kann man das wiederhergestellte Objekt erkennen? Antwort: Sie können das wiederhergestellte Objekt an der Versionsnummer des Attributs erkennen, die auf 200.000 +1 (für die Neuerstellung) gesetzt ist. Das Objekt erhält die neue USN 49153. Loc.USN ======= 49153

Originating DC Ver Attribute =============== Berlin\SERVER02 200001 ou

Org.USN ========= 49153

Org.Time/Date ============= 2004-02-14 19:21:48

Listing 6.9: Auszug aus der Bildschirmausgabe

492



2. Zu welcher Zeit wurde eine Wiederherstellung durchgeführt? Antwort: Die Wiederherstellung wurde hier zu folgender Zeit durchgeführt: 19:21:48. Sie finden die Zeit unter der Spalte Org.Time/Date. Diese Zeit deckt sich mit den Angaben aus dem ntdsutil-Dienstprogramm. 3. Wie hoch ist die USN des ursprünglichen Objekts? Antwort: Die USN des ursprünglichen Objekts war hier: 20530 (siehe Listing 6.10). Loc.USN ======= 8367

Originating DC Org.USN Ver Attribute =============== ========= Hamburg\SERVER01 20530 1 whenCreated

Org.Time/Date ============= 2004-01-15 12:34:04

Listing 6.10: Auszug aus der Bildschirmausgabe

4. Nach welchen Kriterien wird die Wiederherstellung durchgeführt? Antwort: Objekte höherer Versionsnummern haben Vorrang vor Objekten niedriger Versionsnummern. Durch das massive Erhöhen der Versionsnummer bei der Wiederherstellung wird vermieden, dass andere Datenbanken auf anderen Domänencontrollern die neu überspielten Daten erneut überschreiben, weil sie selbst höhere Versionsnummern besitzen.

6.6.4


Hier finden Sie die Antworten zu den Wiederholungsfragen (Kapitel 6.6.1). Der Übersichtlichkeit halber ist die Frage hier noch einmal aufgeführt. 1. In welchem Zusammenhang mit einer Datensicherung steht das Attribut tombstoneLifetime? Antwort: Das Attribut tombstoneLifetime wird auch als Lebensdauer veralteter Objekte übersetzt. Die Active Directory-Verzeichnisdienste erlauben keine Wiederherstellung eines Backups, das älter als die Lebensdauer veralteter Objekte ist. 2. Sie wollen die Active Directory-Datenbank sichern. Sie führen eine Sicherung mit dem Sicherungsprogramm durch und möchten die Datenbank einzeln zurücksichern. Sie Booten den Computer mit (F8) und melden sich als Administrator an. Welche Schritte müssen Sie anschließend durchführen? Antwort: Sie können die Active Directory-Datenbank nicht separat zurücksichern. Sie müssen sie mit dem Systemstatus komplett zurücksichern. Auch ein Auswählen eines alternativen Verzeichnisses bei der Wiederherstellung funktioniert nicht. 3. Welche Berechtigungen erhält ein Benutzer, der ein Objekt in Active Directory erstellen kann (die Objektverwaltung wurde ihm vorher delegiert)? Antwort: Der Benutzer, der ein Objekt erstellt, wird per Voreinstellung der Besitzer dieses Objekts. Auch wenn er nur ein Leserecht von übergeordneten Objekten erbt, kann er sich selbst höhere Privilegien erteilen.


493

MCSE Examen 70-294

4. Welchen Einfluss hat die Garbage Collection auf die Active Directory-Datenbank? Antwort: Der Garbage Collection-Prozess löscht nicht mehr benötigte Protokolldateien. Zum Schluss startet er einen Defragmentierungsthread, um zusätzlichen Speicherplatz in der Datenbank freizumachen. Dieser Vorgang wird auch als Onlinedefragmentierung bezeichnet. 5. In welchem Zusammenhang steht die Garbage Collection mit dem tombstoneLifetimeIntervall? Antwort: Das Intervall der Garbage Collection bestimmt, wie oft ein Domänencontroller seine Datenbank nach veralteten Objekten durchsucht. Findet er solche Objekte, sammelt er diese. Das Intervall zur Sammlung ist demnach nur die Vorstufe zur endgültigen Löschung, die durch das tombstoneLifetime-Intervall eingeleitet wird. Die Voreinstellung ist hier 12 Stunden, Sie können es jedoch bis auf ein Minimum von 1 Stunde heruntersetzen. 6. Welche Bedeutung haben Kontingente? Antwort: Mit Kontingenten wird die Anzahl der Objekte bestimmt, die ein Sicherheitsprinzipal, wie zum Beispiel ein Benutzer, auf einer gegebenen Verzeichnispartition besitzen kann. Benutzer, die Mitglied der Gruppen Domänen-Admins oder Organisations-Admins sind, sind nicht von der Kontingentierung betroffen. 7. Welchen Einfluss hat die SID-Filterung auf die Sicherheit einer Domäne in einer Gesamtstrukturvertrauensstellung? Antwort: Die voreingestellte SID-Filterung filtert SIDs aus, die mit der Zugehörigkeit eines Benutzers zu universellen Gruppen verknüpft sind, wenn diese Gruppen nicht in der Kontendomäne des Benutzers angelegt sind. Durch diese Überprüfung können Angriffe mit erhöhten Berechtigungen verhindert werden, die sich ein Administrator der vertrauten Domäne geben könnte. Außerdem wird auf diese Weise gewährleistet, dass die andere Gesamtstruktur nur für autorisierte Domänen Autorisierungsinformationen ausgibt und keine nicht autorisierten SIDs vergibt. Die SID-Filterung wird automatisch für die ganze Gesamtstrukturvertrauensstellung aktiviert.

494


7 Installieren und Verwalten von Gruppenrichtlinien Lernziele Gruppenrichtlinien sind ein Feature von Active Directory und sind in Windows Server 2003und Windows 2000 Server-basierten Netzwerken verfügbar. Mit Hilfe von Gruppenrichtlinien können Sie Benutzer- und Computerkonten in einem Standorte einer Domäne und in Organisationseinheiten verwalten. Gruppenrichtlinien greifen direkt in die Registrierung auf dem Clientcomputer ein, können viele Einstellungen vornehmen und ersparen so dem Administrator die Konfiguration vor Ort. In diesem Kapitel stellen wir Ihnen von der Planung bis zu ausgewählten Beispielen die Funktionsweise von Gruppenrichtlinien dar. Folgende Lernziele werden angesprochen: T Konzept von Gruppenrichtlinien T Verarbeitung von Gruppenrichtlinien in einer Active Directory-Infrastruktur T Planen von Einsatzmöglichkeiten T Einrichten und Verwalten von Gruppenrichtlinienobjekten (GPOs) T Einsatz eines Richtlinienergebnissatzes (Resultant Set of Policy, RSoP) T Der praktische Einsatz von Gruppenrichtlinien anhand von:

Kontorichtlinien Richtlinien zur Softwareverteilung Richtlinien zur Softwareeinschränkung Überwachungsrichtlinien Richtlinien für das Umleiten von Spezialordnern 495

MCSE Examen 70-294

Lernstrategien Wir empfehlen Ihnen, das Kapitel 7 sehr sorgfältig durchzuarbeiten und beim ersten Durcharbeiten chronologisch bis zum Kapitel 7.5 vorzugehen. In Kapitel 7.6 finden Sie ausgewählte Beispiele für den Einsatz von Gruppenrichtlinien, die Sie nach Bedarf und Kenntnisstand durcharbeiten können. Folgende Querverweise sollen Ihnen helfen: Thema in früheren Kapiteln

Referenz in diesem Kapitel

Kapitel 3.4.6 (OU-Design für Delegation)

Kapitel 7.1 ff.

Kapitel 5.1 (Organisationseinheiten)

Kapitel 7.1 ff.

Kapitel 5.5.3 (Drucker in Standorten über ein GPO veröffentlichen)

Kapitel 7.1 ff.

Tabelle 7.1: Guide durch das Kapitel

Voraussetzungen für dieses Kapitel Gruppenrichtlinien stellen ein Kernthema zur Verwaltung von Active Directory-fähigen Clients dar. Das Thema Gruppenrichtlinien ist auch deshalb das abschließende Kapitel von Teil 1, da Sie sehr vielfältige Voraussetzungen für dieses Kapitel mitbringen müssen: Wir empfehlen Ihnen daher, sich zuvor mit den Inhalten aus den vorangegangenen Kapiteln vertraut gemacht zu haben. Sie müssen insbesondere Kenntnisse über folgende Themen besitzen: T Planung und Einsatz von Standorten, Domänen und Organisationseinheiten T Kenntnisse über Benutzer- und Gruppenverwaltung T Kenntnisse über das Verhalten von Clientsystemen wie Windows 2000 Professional und Windows XP Professional T Kenntnisse über die Kernfunktionen eines Windows Server 2003

TIPP

T Kenntnisse über Sicherheitsbestimmungen und Sicherheitsrichtlinien

Sie werden in der Prüfung 70-294 eine Reihe von Fragen zur Planung, Einrichtung und Verwaltung von Gruppenrichtlinien gestellt bekommen.

7.1

Einführung in Gruppenrichtlinien

Gruppenrichtlinien wurden erstmalig in Windows 2000 Server vorgestellt. Sie dienen dazu, Computer und Benutzer innerhalb der Domäne zu verwalten. Das folgende Kapitel widmet sich den Grundlagen der Richtlinien.

496

7.1 Einführung in Gruppenrichtlinien

7 – Installieren und Verwalten von Gruppenrichtlinien

7.1.1

Konzept

Mit Gruppenrichtlinieneinstellungen definieren Sie eine Vielzahl von Komponenten der Desktop-Umgebung, wie beispielsweise Programme, die Benutzern zur Verfügung stehen sollen. Die Konfiguration erzielen Sie im Gruppenrichtlinien-Snap-In bzw. im Gruppenrichtlinienobjekt-Editor. Die Gruppenrichtlinien umfassen Einstellungen für die Benutzerund die Computerkonfiguration. Mit den Gruppenrichtlinien und deren Erweiterungen können Sie die folgenden Aufgaben lösen: T Sie verwalten die Richtlinien, die auf Registrierungseinträgen beruhen, über sog. administrative Vorlagen. Bei Gruppenrichtlinien wird von den Active Directory-Diensten eine Datei mit Registrierungseinstellungen erstellt, die in die Registrierungsdatenbank des Teils für den Benutzer oder den lokalen Computer geschrieben wird. T Sie beeinflussen Profileinstellungen für Benutzer, die sich an einer bestimmten Arbeitsstation oder einem bestimmten Server anmelden. Die Benutzerprofileinstellungen schreibt Windows in die Registrierung unter dem Hive (Registrierungsschlüssel) HKEY_CURRENT_USER (HKCU) und die computerspezifischen Einstellungen unter HKEY_LOCAL_MACHINE (HKLM). T Sie leiten Ordner aus dem Verzeichnis Dokumente und Einstellungen auf dem lokalen Computer an einen beliebigen Netzwerkpfad um. T Sie weisen Skripte für das Hoch- und Herunterfahren eines Computers oder für das Anund Abmelden eines Benutzers zu. T Sie legen Sicherheitsoptionen fest, die die Kontooptionen betreffen oder die Datenübertragung über das Internet-Protokoll.

ACH TUNG

T Sie verwalten beliebige Anwendungen, die Sie über die Softwareinstallation auf Clientcomputer verteilen. Das Prinzip ähnelt dem Systems Management Server 2.0 bzw. 2003, ist allerdings bei weitem nicht so komfortabel.

Einstellungen in den Gruppenrichtlinien setzen Profileinstellungen außer Kraft.

7.1.2

Auswählen der richtigen Gruppenrichtlinien

Gruppenrichtlinien sind Einstellungen für Computer- und Benutzerkonten in Active Directory. Sie beeinflussen das Betriebssystem, angewendete Applikationen und die persönlichen Einstellungen von Benutzern. Gruppenrichtlinien sind nicht mit Benutzergruppen gleichzusetzen. Die Bezeichnung »Gruppen« ist insofern etwas irreführend. Da Gruppenrichtlinien in Gruppenrichtlinienobjekten gespeichert werden, verwendet man für diese sehr oft die englische Abkürzung GPO (Group Policy Objects).


497

MCSE Examen 70-294

Lokale und nicht lokale Gruppenrichtlinien Sie finden zwei Arten von Gruppenrichtlinien vor: Die lokalen und die nicht lokalen Gruppenrichtlinienobjekte (Group Policy Objects, GPO). Ein GPO ist immer gleich aufgebaut, sobald sie die gleichen Vorlagen verwendet. Sie finden die verwendeten Vorlagen auf jedem Domänencontroller der Domäne im Verzeichnis %systemroot%\SYSVOL\sysvol\\Policies\. Die Vorlagen werden auch als Group Policy Template (GPT) bezeichnet. Per Voreinstellung verwendet Microsoft die »Haupt«-Knoten COMPUTERKONFIGURATION und BENUTZERKONFIGURATION im GPO. Jeder dieser Haupt-Knoten enthält wiederum weitere untergeordnete Knoten. Programmierer können den Inhalt der GPOs beeinflussen, indem sie die Vorlagen verändern. Das Verändern der GPOs ist allerdings nicht Thema der Prüfung und wird hier auch nicht weiter beschrieben. Nicht lokale GPOs stehen nur in der Active Directory-Umgebung zur Verfügung und gelten für Benutzer und Computer am Standort, in der Domäne oder in der Organisationseinheit, der das Gruppenrichtlinienobjekt zugeordnet ist. Zu den nicht lokalen Gruppenrichtlinien gehören standardmäßig die Standarddomänenrichtlinie und die Standard-Domänencontrollerrichtlinie. Beide GPOs sind entsprechend ihrer Namensgebung verknüpft und beeinflussen die Domäne bzw. die Domänencontroller in der Domäne. Sie werden auf dem Domänencontroller im Verzeichnis %systemroot%\Sysvol\domain\Policies\\Adm gespeichert. Sie können die Richtlinie unter START/Alle Programme/Verwaltung/Sicherheitsrichtlinie für Domänen aufrufen. Lokale Gruppenrichtlinienobjekte werden auf jedem Computer gespeichert, auf dem Windows 2000, Windows XP oder Windows Server 2003 ausgeführt wird. Es kann immer nur ein lokales Gruppenrichtlinienobjekt auf dem Computergeben. Dieses Objekt umfasst eine Teilmenge der Einstellungen für ein nicht lokales Gruppenrichtlinienobjekt. Falls Konflikte zwischen lokalen und nicht lokalen Gruppenrichtlinienobjekten bestehen, werden per Voreinstellung die lokalen Gruppenrichtlinien überschrieben. Das lokale GPO wird in das Verzeichnis %systemroot%\System32\GroupPolicy gespeichert. Sie können die Richtlinie unter START/Alle Programme/Verwaltung/Sicherheitsrichtlinie für Domänencontroller aufrufen. Abbildung 7.1 zeigt Ihnen am Beispiel der Standard-Domänensicherheitseinstellungen die verwendete Vorlage. In ihr können Sie alle Einstellungen zur Sicherheit bis hin zu den IPSecEinstellungen vornehmen. Hier können Sie zum Beispiel für Ihre Testumgebung Ihre Domänencontroller so einstellen, dass sich auch normale Benutzer interaktiv an dem Computer anmelden dürfen. Sie können auch die Kennwortrichtlinien dahingehend ändern, dass Sie auch mit leeren Kennwörtern arbeiten können.

498



Abbildung 7.1: Standard-Domänensicherheitseinstellungen

Gruppenrichtlinienobjekt-Editor Der Gruppenrichtlinienobjekt-Editor dient zum Verwalten der Gruppenrichtlinien. Sie können mit dem Editor immer nur ein GPO laden und es bearbeiten. Wenn Sie die benutzerdefinierte Managementkonsole einrichten, müssen Sie das GPO auswählen, mit dem Sie sich verbinden wollen. Hierfür stehen Ihnen folgende Möglichkeiten zur Verfügung: T Sie öffnen das lokale GPO, das auf dem Computer gespeichert ist, an dem Sie gerade arbeiten. T Sie öffnen das lokale GPO eines anderen Computers, indem Sie sich über das Netzwerk mit diesem Computer verbinden. Hierfür müssen Sie administrative Privilegien auf dem Zielcomputer besitzen. T Sie öffnen ein GPO, das einem Standort zugewiesen wurde. T Sie öffnen ein GPO, das einer Domäne zugewiesen wurde. T Sie öffnen ein GPO, das einer Organisationseinheit zugewiesen wurde.

Sie können auch aus den Eigenschaften des Objekts im Register GRUPPENRICHTLINIEN den Gruppenrichtlinienobjekt-Editor starten.


499

HIN WEIS

Als Beispiel finden Sie in Abbildung 7.2 eine benutzerdefinierte Managementkonsole mit der Standarddomänenrichtlinie (Default Domain Policy).

MCSE Examen 70-294

Abbildung 7.2: Darstellung der Standarddomänenrichtlinie

7.1.3

Gruppenrichtlinieneinstellungen für die Computerkonfiguration

Im folgenden Abschnitt finden Sie Informationen über den Aufbau des Knotens COMPUTERKONFIGURATION (siehe auch Abbildung 7.2): Der Knoten beinhaltet die wichtigen untergeordneten Knoten SOFTWAREEINSTELLUNGEN, WINDOWS-EINSTELLUNGEN und ADMINISTRATIVE VORLAGEN. Die Abbildungen 7.2 bis 7.9 zeigen Ihnen die Default Domain Policy. Da die GPOs im Aufbau alle gleich gestaltet sind, können Sie die Einstellungen auch auf alle anderen GPOs übertragen.

Allgemeines zu den administrativen Vorlagen Administrative Vorlagen sind eine Zusammenfassung von Gruppenrichtlinieneinstellungen, die die Windows-Registrierung überschreiben bzw. modifizieren. Wie bereits erwähnt, kontrollieren Sie mit den Richtlinien das Computer- und Benutzerverhalten. Dies können Sie durchführen, indem Sie die Registrierungsschlüssel T HKEY_LOCAL_MACHINE (HKLM) T HKEY_CURRENT_USER (HKCU) manipulieren. 500



Sie verändern den Registrierungsschlüssel HKEY_LOCAL_MACHINE (HKLM) beim Booten den Computers und den Registrierungsschlüssel HKEY_CURRENT_USER (HKCU) beim Anmelden des Benutzers. Da es mittlerweile drei Betriebssysteme (Windows 2000, Windows XP und Windows Server 2003) gibt, die diese Art der Steuerung unterstützen, liegt es auf der Hand, dass nicht alle Leistungsmerkmale für jedes Betriebssystem anwendbar sind. Je aktueller das Betriebssystem ist, desto mehr Leistungsmerkmale können Sie verwenden. Microsoft unterscheidet zwischen drei Typen administrativer Vorlagen: T Standardvorlagen, die bei einer Installation zur Verfügung stehen T Benutzerdefinierte Vorlagen, die Sie selbst erstellen T Durch einen Hersteller bereitgestellte Vorlagen GPOs sind entsprechend ihrer Namensgebung verknüpft und beeinflussen die Domäne bzw. die Domänencontroller in der Domäne. Sie werden im Verzeichnis %systemroot%\Sysvol\ domain\Policies\\Adm gespeichert. Alle Vorlagendateien lassen sich mit einem normalen Editor öffnen und bearbeiten. Bevor Sie hier Änderungen vornehmen, empfehlen wir Ihnen, Informationen auf der Microsoft-Website einzuholen. Sie finden dort bei den 32-Bit-Versionen von Windows Server 2003 folgende Vorlagendateien: Datei

Beschreibung

System.adm

Standardvorlagendatei für viele Einstellungen

Inetres.adm

Enthält die Richtlinien für den Windows Explorer.

Wmplayer.adm

Enthält die Richtlinien für den Windows Media Player.

Conf.adm

Enthält die Richtlinien für das Windows NetMeeting.

Wuau.adm

Enthält die Richtlinien für das Windows Update.

Tabelle 7.2: Vorlagendateien, die sich standardmäßig im SYSVOL-Verzeichnis befinden.

Softwareeinstellungen Im Knoten SOFTWAREINSTALLATION legen Sie fest, auf welche Weise Sie die Anwendungen in Ihrem Unternehmen installieren und warten. Die Anwendungen werden von den Active Directory-Diensten innerhalb des Gruppenrichtlinienobjekts verwaltet, das wiederum mit einem bestimmten Active Directory-Container verbunden ist. Dies kann, wie bereits erwähnt wurde, ein Standort, eine Domäne oder eine Organisationseinheit sein. Es steht Ihnen nur der Modus Zuweisung zur Verfügung. Die Veröffentlichung ist deaktiviert, da es sich um eine Computerkonfiguration handelt. Sie verwenden das Zuweisen von Anwendungen, wenn alle Benutzer die betreffende Anwendung auf dem Computer besitzen sollen. Möchten Sie zum Beispiel, dass alle Benutzer, die sich in der Organisationseinheit (OU) MKT befinden, das Microsoft Small Business 2002Paket installiert bekommen, konfigurieren Sie das GPO so, dass es die Microsoft InstallerDatei SBERET.MSI verwendet. Wenn Sie das Softwarepaket innerhalb des Gruppenrichtlinienobjekts zuweisen und Sie es für die Computerkonfiguration durchführen, wird die Software


501

MCSE Examen 70-294

installiert, wenn der Computer bootet bzw. startet. Stellen Sie bei dieser Installationsart sicher, dass während der Installation keine Programmeingaben getätigt werden müssen.

Abbildung 7.3: Softwareinstallation eines Pakets mit dem Bereitstellungsmodus Zuweisung.

HIN WEIS

Sie sollten an die hier gezeigte Softwareverteilung keine allzu hohen Anforderungen stellen. Sie benötigen für die Softwareverteilung über Active Directory nach Möglichkeit ein Microsoft Installer-Paket, das Sie an der Dateiendung *.msi erkennen können. Verwenden Sie andere Software, wird die Verteilung etwas komplizierter (siehe Kapitel 7.5.2). Sie benötigen auch den Windows Installer Service. Des Weiteren ist die Softwareverteilung nicht in der Lage, zeit- und bandbreitengesteuert Datenpakete zu installieren, wie es zum Beispiel der Systems Management Server durchführen kann. Verwenden Sie die Softwareverteilung nur in kleinen Umgebungen mit einer geringen Anzahl von Computergeräten, sonst kann es vorkommen, dass morgens alle Mitarbeiter ihren Computer anschalten und zur selben Zeit ein Softwarepaket anfordern. Die Netzwerkkapazität würde sehr schnell erreicht sein, und Anwendungen würden wegen der Überlastung nicht richtig installiert werden.

Weitere Informationen zur Softwareverteilung finden Sie in Kapitel 7.5.2. Dort ist der Einsatz einer Softwareverteilung beschrieben.

Windows-Einstellungen Im Knoten COMPUTERKONFIGURATION\WINDOWS-EINSTELLUNGEN befinden sich die Windows-Einstellungen, die auf alle Benutzer am Computer angewandt werden. Dieser Knoten umfasst zwei Unterknoten: SKRIPTS und SICHERHEITSEINSTELLUNGEN, wie Sie aus Abbildung 7.4 erkennen können. In dem Knoten SKRIPTS (Start/Herunterfahren) können Sie jeweils für das Starten und Herunterfahren des Computers Skripte verwenden, die in einer beliebigen Skriptsprache (Batchdatei, Visual Basic, VBScript, Microsoft JScript usw.) verfasst sind. Sie können unter anderem wichtige Einstellungen vornehmen, die die Sicherheit des Computergeräts betreffen, wie Kontooptionen (Kennwortlänge, Kennworthistorie, minimale Kennwortlänge usw.), oder festlegen, welche Gruppen voreingestellte Benutzerrechte (auch Privilegien genannt) erhalten.

502



Abbildung 7.4: Windows-Einstellungen betreffen lokale Richtlinien und andere Einstellungen von Windows.

Administrative Vorlagen Der Knoten COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN in den Gruppenrichtlinien enthält die Richtlinieninformationen, die auf Registrierungseinträgen des Hives HKEY_LOCAL_MACHINE (HKLM) beruhen. Die administrativen Vorlagen befinden sich, wie bereits erwähnt, im Verzeichnis %systemroot%\Sysvol\domain\Policies\\Adm.

Abbildung 7.5: Administrative Vorlagen für den Computer


503

MCSE Examen 70-294

Damit Sie sich als Administrator bei der Vielzahl der Einstellungen noch zurechtfinden, hat Microsoft für die administrativen Vorlagen eine Art Online-Hilfe eingeführt. Sie finden daher das Detailfenster (rechte Fensterseite) in zwei Registerkarten unterteilt. Die Register ERWEITERT und STANDARD befinden sich am unteren Ende des Fensters. Wenn Sie die Registerkarte ERWEITERT auswählen, finden Sie zu jeder ausgewählten Einstellung einen Hilfetext. Des Weiteren finden Sie für jede Einstellung in der Registerkarte ERKLÄRUNG weitere Informationen zu ihrer Verwendung (siehe Abbildung 7.6). Die Einstellungen in den Administrativen Vorlagen lassen für die Einstellungen folgende Optionen zu: T Nicht konfiguriert – Sie ändern die Voreinstellung in der Registrierung nicht. T Aktiviert – Sie ändern die Registrierung nach der betreffenden Richtlinieneinstellung. T Deaktiviert – Sie ändern die Registrierung, indem Sie das betreffende Feature deaktivieren. Am Beispiel der Deaktivierung von automatischen Updates können Sie die Funktionsweise der administrativen Vorlagen erkennen. Die Voreinstellung ist hier Nicht konfiguriert, d.h., Sie akzeptieren die in der Registrierung eingestellten Werte. Wenn Sie das hier gezeigte »automatische Update« verhindern wollen, müssen Sie Aktiviert einstellen. Typischerweise müssen Sie eine Einstellung, die als Verneinung einer Aktion erklärt ist, mit einem Aktiviert quittieren, damit diese in Kraft tritt.

Abbildung 7.6: Verhindern von automatischen Updates des Media Players im Knoten Administrative Vorlagen/Windows-Komponenten/Windows Media Player

504



7.1.4

Gruppenrichtlinieneinstellungen für die Benutzerkonfiguration

Neben den Einstellungen für den Computer gibt es die Einstellungen für den Benutzer, die bei der Anmeldung des Benutzers am Computer wirksam werden. Der Knoten BENUTZERKONFIGURATION ist wiederum in drei Knoten unterteilt: SOFTWAREEINSTELLUNGEN, WINDOWS-EINSTELLUNGEN und ADMINISTRATIVE VORLAGEN.

Softwareeinstellungen Wie im Knoten COMPUTERKONFIGURATION/SOFTWAREEINSTELLUNGEN können Sie Software auf Computer verteilen. Es stehen Ihnen allerdings zwei Optionen zur Bereitstellung zur Verfügung: Sie können zwischen den Bereitstellungsmodi Veröffentlicht und Zugewiesen auswählen. Bei dem Bereitstellungsmodus handelt es sich um den bereits bekannten Modus, bei dem der Benutzer keine Möglichkeit hat, in den Installationsvorgang einzugreifen. Die Software wird installiert, sobald sich der Benutzer anmeldet. Das Veröffentlichen hingegen bezieht den Benutzer mehr in die Installation ein, wie folgendes Beispiel erläutert. Bleiben wir wieder beim Beispiel des Office-Pakets. Benutzer, die der Organisationseinheit (OU) MKT zugewiesen worden sind, sollen ein Microsoft Small Business 2002Paket erhalten. Konfigurieren Sie das GPO so, dass es die Microsoft Installer-Datei SBERET.MSI verwendet. Sie verwenden die Option Veröffentlicht. Bei einer Ankündigung im Modus Veröffentlicht wird die zugewiesene Anwendung noch nicht auf dem Computer installiert. Es wird im Verlauf der Ankündigung nur so viel vom Office-Paket installiert, dass eine Programmverknüpfung im Menü START eingerichtet werden kann. Des Weiteren werden die notwendigen Dateizuordnungen für das Office-Paket in die Registrierung eingetragen. Wenn Sie sich an einem Computer anmelden, der innerhalb der OU gruppiert ist, sehen Sie im Startmenü das angekündigte Programm. Sobald Sie das neu angekündigte Programm anklicken oder eine Datei mit der entsprechenden Dateizuordnung öffnen wollen (zum Beispiel ein Word-Dokument mit der Endung *.doc), wird das Programm automatisch auf Ihrem Computer installiert. Falls Sie die zugewiesene Anwendung nicht haben möchten, können Sie diese in der Startleiste löschen. Beim nächsten Anmelden wird sie jedoch erneut angekündigt und beim ersten Auswählen aus dem Menü START automatisch installiert werden. Auch für diese Art der Softwareverteilung gilt die Empfehlung, sie nur mit Bedacht und sorgfältiger Planung einzusetzen, damit das Netzwerk und der Server nicht überlastet werden.

Windows-Einstellungen Im Knoten BENUTZERKONFIGURATION/WINDOWS-EINSTELLUNGEN befinden sich die WindowsEinstellungen, die benutzerspezifisch zu sehen sind. Genau wie bei den Computereinstellungen können hier auch Skripte für das Anmelden und/oder Abmelden definiert werden. Mit dieser Einstellung können Sie die Einstellungen für das Anmeldeskript im Register PROFIL in den Eigenschaften eines Benutzers hinfällig werden lassen, wenn die Einstellungen auf eine Organisationseinheit angewendet werden können.


505

MCSE Examen 70-294

Weiterhin finden Sie noch folgende Einstellungsmöglichkeiten T Sie finden den (Unter-)Knoten REMOTEINSTALLATIONSDIENSTE, in dem Sie Einstellungen für die Remoteinstallation, wie Automatische Installation, benutzerdefinierte Installation, Neustart oder Extras vornehmen können. T Sie stellen im Knoten SICHERHEITSEINSTELLUNGEN Ihre PKI (Public Key Infrastructure) und die Installation von Software ein. Diese Einstellungen können dazu beitragen, von nicht vertrauenswürdigen Stellen Software installiert zu bekommen. T Sie können hier die bereits beschriebene Ordnerumleitung einrichten. Der Ordner Eigene Dateien, der sich auf der lokalen Festplatte des Clientcomputers befindet, wird für den Benutzer transparent auf einen Server umgeleitet. Der Benutzer merkt von der Umleitung folglich nichts. T Hinsichtlich der Wartung und Sicherheit können Sie im Knoten INTERNET EXPLORERWARTUNG Einstellungen für die Oberfläche und Sicherheit vornehmen. Positiv ist zu sehen, dass die Standardrichtlinie für Domänencontroller den Internet Explorer so einschränkt, dass keine ActiveX-Steuerelemente und auch keine VB-Skripte ausgeführt werden dürfen. Die Sicherheitsstufe ist hier für die Zone Internet auf Hoch festgelegt, während die Intranetzone auf Niedrig gesetzt ist.

Abbildung 7.7: Benutzerabhängige Einstellungen in Windows

Administrative Vorlagen Der Aufbau des Knotens BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN unterscheidet sich vom Knoten COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN, obwohl sich beide auf den ersten Blick sehr ähnlich sehen. Sie finden in den jeweiligen Knoten benutzerspezifische Einstellungen, wie zum Beispiel Proxy-Einstellungen beim Internet Explorer. Weiterhin finden Sie auch neue Knoten, die die Verwaltung der Systemsteuerung und der freigegebenen Order regeln. Hingegen sind andere Knoten, wie INTERNETINFORMATIONSDIENSTE, WINDOWS MEDIA DIGITAL RIGHTS MANAGEMENT oder WINDOWS-DATEISCHUTZ weggefallen.

506



ACH TUNG

Abbildung 7.8: Administrative Vorlagen für Benutzer

Merken Sie sich für die Prüfung die Struktur des GPO. Sie brauchen nicht alle der über 500 Einstellungen auswendig zu wissen. Wichtig ist es, dass Sie Kenntnisse über die Softwareverteilung, Ordnerumleitungen, Anmeldeskripte oder das Veröffentlichen von Druckern (siehe Kapitel 5.5) besitzen und den Vorgang schon einmal praktisch durchgeführt haben. Weiterhin wird gern nach Aspekten der Sicherheit gefragt, die Sie hauptsächlich in den Computereinstellungen finden können.

7.1.5

Filtern von Gruppenrichtlinieneinstellungen

Da der Knoten ADMINISTRATIVE VORLAGEN sehr viele Einstellungen enthält, hat Microsoft in Windows Server 2003 eine Filterfunktion entwickelt. Verwechseln Sie diese Funktion jedoch nicht mit einer Filterung der GPOs hinsichtlich der Sicherheitsgruppenmitgliedschaft. Die hier besprochene Filterfunktion erstellt Ihnen einen übersichtlichen Bildschirm, in dem Sie bestimmen, welche Eigenschaften Sie angezeigt bekommen wollen. Sind im Gültigkeitsbereich des GPO beispielsweise nur Windows 2000 Professional-basierte Computer vorhanden, klicken Sie das entsprechende Kontrollkästchen an und deaktivieren die anderen.


507

MCSE Examen 70-294

Sie steuern die Filterung an, indem Sie mit der rechten Maustaste auf den Knoten ADMINISTRATIVE VORLAGEN klicken und unter Ansicht die Filterung auswählen (siehe Abbildung 7.9).

Abbildung 7.9: So rufen Sie die Filterung auf

Wie Sie in Abbildung 7.10 erkennen können, sind Per Voreinstellung alle Anzeigekriterien ausgewählt. Folgende Einstellungen können Ihnen empfohlen werden: T Aktivieren Sie das Kontrollkästchen Nach Anforderungsinformationen filtern, und wählen Sie die Elemente aus, die angezeigt werden sollen. Wenn Sie beispielsweise nur sichergehen wollen, dass die Einstellungen auf Windows 2000 funktionieren, dann aktivieren Sie nur das Kontrollfeld Funktioniert nur ... und deaktivieren die anderen. T Aktivieren Sie das Kontrollkästchen Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen, wenn Sie die nicht konfigurierten Einstellungen ausblenden wollen. Dies kann wichtig sein, wenn Sie Einstellungen wieder rückgängig machen wollen. T Aktivieren Sie das Kontrollkästchen Nur vollständig verwaltbare Richtlinieneinstellungen anzeigen, wenn Sie zu Windows NT 4.0 gehörende Systemrichtlinieneinstellungen ausblenden wollen. Diese Einstellung ist per Voreinstellung aktiviert.

Abbildung 7.10: Per Voreinstellung sind alle Einträge aktiviert.

508



7.1.6

Auswirkungen auf den Clientcomputer beim Booten und Anmelden

Gruppenrichtlinien beeinflussen die Registrierung auf den Clients. Sie werden beim Starten eines Clientcomputers und beim Anmelden eines Benutzers in der folgenden Reihenfolge angewandt: 1. Die Netzwerkdienste des Clients werden hochgefahren. Der Remote Procedure Call-Systemdienst (RPCSS) und der Multiple Universal Naming Convention Provider (MUP) werden gestartet. 2. Die Gruppenrichtlinienobjekte für den Computer werden in einer bestimmten Reihenfolge zu einer Liste zusammengestellt. Die Liste ist von den folgenden Faktoren abhängig: 1. Gehört der Computer zu einer Windows 2000 Server- oder Windows Server 2003basierenden Domäne, so dass er über »Active Directory« den Gruppenrichtlinien unterliegt? 2. An welcher Position bzw. in welchem Container befindet sich der Computer in dem Active Directory-Verzeichnisdienst? 3. Wenn die Liste der Gruppenrichtlinienobjekte nicht geändert wurde, erfolgt keine Verarbeitung. 3. Die Computerrichtlinien werden angewendet. Hierzu werden die Einstellungen unter Computerkonfiguration aus der vorher zusammengestellten Liste herangezogen. Per Voreinstellung wird dieser Vorgang synchron in der folgenden Reihenfolge ausgeführt: Lokaler Computer, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Während der Verarbeitung der Computerrichtlinien wird die Benutzeroberfläche nicht angezeigt. 4. Die Skripte zum Hochfahren werden ausgeführt. Dieser Vorgang wird standardmäßig synchron und verborgen ausgeführt. Bevor das nächste Skript gestartet wird, muss es beendet oder wegen Zeitüberschreitung abgebrochen werden. Der Standardwert für diese Zeitüberschreitung beträgt 600 Sekunden, er kann jedoch über eine Richtlinieneinstellung auch verändert werden kann. 5. Der Benutzer leitet den Anmeldevorgang mit den Tasten (Strg)+(Alt)+(Entf) ein. Er gibt seinen Benutzernamen, sein Kennwort und die Domäne ein. 6. Nach der Überprüfung des Benutzerkontos wird das entsprechende Benutzerprofil geladen. Hierbei werden die bereits gültigen Richtlinieneinstellungen berücksichtigt: 7. Die Gruppenrichtlinienobjekte für den Benutzer werden ebenfalls hier in der nachfolgend gezeigten Reihenfolge zu einer Liste zusammengestellt und gespeichert. 1. Gehört der Benutzer zu einer Active Directory-Domäne? 2. Ist das Loopback aktiviert? Wenn ja: Welche Einstellung wurde für die LoopbackRichtlinie festgelegt (Zusammenführen oder Ersetzen)? 3. An welcher Position befindet sich der Benutzer in Active Directory? 4. Wenn die Liste der Gruppenrichtlinienobjekte nicht geändert wurde, erfolgt keine Verarbeitung. 7.1 Einführung in Gruppenrichtlinien

509

MCSE Examen 70-294

8. Die Benutzerrichtlinien werden für den Benutzer auf dem Computer angewendet. Genauso, wie in Schritt 3 werden die Einstellungen unter der Benutzerkonfiguration synchron und in der folgenden Reihenfolge ausgeführt: Lokaler Computer, Standort, Domäne, Organisationseinheit, untergeordnete Organisationseinheit usw. Auch hier wird die Verarbeitung der Benutzerrichtlinien an der Benutzeroberfläche nicht angezeigt. 9. Anmeldeskripte für den Computer und den Benutzer werden im Hintergrund und asynchron ausgeführt. Benutzeranmeldeskripte werden immer nach den Computeranmeldeskripten gestartet. 10. Das Benutzerprofil wird für den Benutzer angezeigt. Was passiert, wenn der Computer bereits angemeldet ist und Sie die Gruppenrichtlinie verändern? Für diesen Fall werden die Gruppenrichtlinien auf einem Client alle 90 Minuten und auf einem Domänencontroller alle 5 Minuten aktualisiert. Darüber hinaus werden die Einstellungen alle 16 Stunden aktualisiert. Unter dem Betriebssystem Windows Server 2003 können Sie mit dem Befehl GPUpdate.exe die Aktualisierung erzwingen. GPUpdate ersetzt den aus Windows 2000 Server bekannten Befehl secedit.exe /refreshpolicy. Syntax: GPUpdate [/Target:{Computer | User}] [/Force] [/Wait:<Wert>] [/Logoff] [/Boot] [/Sync]

Der Befehl enthält folgende Parameter: Parameter

Beschreibung

/Target:{Computer|User}

Sie führen die Aktualisierung nur an den angegebenen Computern bzw. Benutzern durch. Per Voreinstellung werden beide Richtlinieneinstellungen aktualisiert.

/Force

Sie wenden alle Richtlinieneinstellungen erneut an. Standardmäßig werden nur geänderte Richtlinieneinstellungen angewendet.

Wait:{Wert}

Sie legen die Wartezeit für die Richtlinienverarbeitung in Sekunden fest. Der Wert 0 bedeutet keine Wartezeit, und -1 bedeutet eine unbegrenzte Wartezeit. Sie sollten den Wert auf 0 belassen.

/Logoff

Sie sorgen für eine Abmeldung nach der Aktualisierung der Gruppenrichtlinien. Diese Einstellung kann verwendet werden, wenn eine Gruppenrichtlinie die Credentials eines anderen Benutzers benötigt. Die Option hat keine Auswirkungen, wenn keine Erweiterungen aufgerufen werden, die eine Abmeldung erfordern.

/Boot

Sie bewirken einen Neustart nach der Aktualisierung. Einige clientseitigen Erweiterungen der Gruppenrichtlinie benötigen einen Neustart, wie zum Beispiel nach einer Softwareinstallation.

/Sync

Sie stellen ein, dass die nächste Richtlinienanwendung im Vordergrund synchron ausgeführt wird. Richtlinienanwendungen im Vordergrund treten beim Systemstart und bei der Benutzeranmeldung auf. Sie können dies nur für Benutzer bzw. Computer oder für beide mit dem Parameter /Target festlegen. Die Parameter /Force und /Wait werden gegebenenfalls ignoriert.

Tabelle 7.3: Befehlszeilenparameter von GPUpdate

510



7.2

Planen von Gruppenrichtlinien

Bei der Planung von Gruppenrichtlinien berücksichtigen Sie die verschiedenen Richtlinien und die Objekte, auf die sie angewendet werden.

7.2.1

Verarbeitung der Gruppenrichtlinieneinstellungen

Die Gruppenrichtlinieneinstellungen werden in dieser Reihenfolge verarbeitet: T Lokales Gruppenrichtlinienobjekt – Auf jedem Windows 2000-, Windows XP- und Windows Server 2003-basierten Computer ist genau ein Gruppenrichtlinienobjekt lokal gespeichert. T Standort – Es werden alle Gruppenrichtlinienobjekte verarbeitet, die dem Standort zugeordnet sind. Die Verarbeitung erfolgt synchron in der vom Administrator festgelegten Reihenfolge. T Domäne – Bei einer Domäne gelten die gleichen Regeln wie beim Standort. T Organisationseinheit – Es werden zuerst die Gruppenrichtlinienobjekte verarbeitet, die der Organisationseinheit an der obersten Position in der Active Directory-Hierarchie zugeordnet sind. Anschließend kommen die Gruppenrichtlinienobjekte, die der nächst untergeordneten Organisationseinheit dieser Einheit zugeordnet sind, an die Reihe usw. Abschließend werden diejenigen Gruppenrichtlinienobjekte verarbeitet, die der Organisationseinheit zugeordnet sind, in der sich der betreffende Benutzer oder Computer befindet. Die vollständige Hierarchie bis zur betreffenden OU wird also durchlaufen.

Voreingestelltes Vererbungsprinzip Per Voreinstellung werden Gruppenrichtlinien innerhalb einer Domäne vom übergeordneten Container zum untergeordneten vererbt, wie bei der Delegation von Berechtigungen. Es macht auch Sinn, sich bei der Vererbung nach der Verarbeitungsreihenfolge zu richten, wie es die Abbildung 7.11 zeigt.

Abbildung 7.11: Vererben von Gruppenrichtlinien

7.2 Planen von Gruppenrichtlinien

511

MCSE Examen 70-294

Es sei an dieser Stelle nochmals darauf hingewiesen, dass die Vererbung die folgende Reihenfolge durchläuft: 1. Standort 2. Domäne 3. Organisationseinheit(en) Achten Sie bei der Richtlinienvergabe auf die Richtlinieneinstellungen. Wir hatten bereits gesagt, dass die administrativen Vorlagen die folgenden Einstellungen zulassen: T Nicht konfiguriert – Sie ändern die Voreinstellung in der Registrierung nicht. T Aktiviert – Sie ändern die Registrierung nach der betreffenden Richtlinieneinstellung. T Deaktiviert – Sie ändern die Registrierung, indem Sie das betreffende Feature deaktivieren. Die Einstellung Nicht konfiguriert bewirkt keine Änderung des bestehenden Wertes in der Registrierung des Computers. Das bedeutet, dass das untergeordnete Objekt die Einstellungen nicht erbt. Eine Vererbung findet nur statt, wenn Sie die Einstellungen Aktiviert und Deaktiviert verwenden. Die Vererbung bedeutet in diesem Zusammenhang, dass die Einstellungen in der Richtlinie des übergeordneten Objekts (in der Reihenfolge Standort, Domäne, OU, untergeordnete OU usw.) die des untergeordneten Objekts überschreiben, wenn der untergeordneten OU keine Gruppenrichtlinie mit der entsprechenden Einstellung zugewiesen ist. Sobald die untergeordnete OU die gleichen Richtlinien mit anderen Einstellungen vorgibt, gelten per Voreinstellung immer die Einstellungen der untergeordneten OU, d.h., ein Überschreiben findet statt.

ACH TUNG

Das Überschreiben der Einstellungen findet grundsätzlich auch nur dann statt, wenn die Einstellungen kompatibel sind.

Sie müssen die Reihenfolge der Vererbung für die Prüfung kennen. Sie müssen auch wissen, dass die Richtlinieneinstellung Nicht konfiguriert keine Wirkung bei der Vererbung hat.

Vererbung von Gruppenrichtlinien In dem vorliegenden Beispiel sollen zwei GPOs in einer Hierarchie von Gruppenrichtlinien angewendet werden: T Das GPO1 wird der OU1 zugeordnet. Es beschränkt die Profilgröße der Benutzer auf 500 MB (Knoten BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/ BENUTZERPROFILE). T Das GPO2 wird der OU2 zugeordnet. Es verhindert den Zugriff auf Windows UpdateFunktionen (Knoten BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN/WINDOWSKOMPONENTEN/WINDOWS UPDATE). T Der OU3 ist kein Gruppenrichtlinienobjekt zugewiesen.

512



Wie werden sich die Gruppenrichtlinien vererben?

Abbildung 7.12: Gruppenrichtlinienvererbung

Die OU1 erhält die Einstellungen des GPO1, in dem die Profilgröße der authentifizierten Benutzer auf 500 MB beschränkt ist. OU2 und OU3 erhalten die Einstellungen von OU1 bzw. des GPO1: Für alle OUs gilt, dass die Profilgröße der authentifizierten Benutzer auf 500 MB beschränkt ist, wenn sie einen Computer mit den Betriebssystemen Windows 2000, XP oder Windows Server 2003 verwenden. Die OU2 erhält nicht nur die Einstellungen des GPO1, sondern auch die der GPO2. Dies gilt, wenn der Benutzer Windows XP- oder Windows 2003-basierte Computergeräte verwendet. Für Windows 2000 muss mindestens das Service Pack 4 installiert sein. Die OU3 erhält die Einstellungen des GPO1 und der GPO2, da die Voreinstellung des Knotens ADMINISTRATIVE VORLAGE auf Nicht konfiguriert.

Richtlinienvererbung blockieren Sie können die Richtlinienvererbung blockieren, indem Sie die Einstellung Richtlinienvererbung deaktivieren (block inheritance) verwenden. Sie können diese Einstellung nur für Standorte, Domänen und Organisationseinheiten (OUs) festlegen, nicht jedoch für einzelne Gruppenrichtlinienobjekte (GPOs). Die GPOs, die dem Objekt direkt zugewiesen sind, können mit der Einstellung nicht deaktiviert werden. Der Begriff Richtlinienvererbung deaktivieren ist etwas verwirrend; etwas besser haben es die Benutzer der englischen Windows-Version getroffen. In Wirklichkeit wird mit dieser Einstellung die typische Vererbungsstrategie zu 100% blockiert, d.h., es betrifft alle Einstellungen aller Richtlinien übergeordneter Objekte. Sie müssen nach einer Blockierung Gruppenrichtlinienobjekte (GPOs) erneut zuweisen. 7.2 Planen von Gruppenrichtlinien

513

MCSE Examen 70-294

Die Blockade ist insbesondere notwendig, wenn Sie landestypische Einstellungen nicht weitervererben möchten oder wenn ein Administrator für einen Container die volle Kontrolle über sämtliche Eigenschaften einschließlich der GPOs besitzen muss. Die Einstellung Richtlinienvererbung deaktivieren kann jedoch mit der Einstellung Kein Vorrang überschrieben werden (siehe Kapitel 7.2.2, Planen von Einsatzmöglichkeiten).

Abbildung 7.13: Deaktivieren der Vererbung

Gruppenrichtlinieneinstellungen erzwingen Sie können mit der Einstellung Kein Vorrang (No override) festlegen, dass die übergeordneten GPOs mit ihren Einstellungen immer die Einstellungen der untergeordneten GPOs überschreiben. Das gilt auch dann, wenn untergeordnete Objekte die Einstellung Richtlinienvererbung deaktivieren verwenden. Ist die Einstellung Kein Vorrang für mehrere GPOs festgelegt, hat das am höchsten gelegene Objekt den Vorrang. Daher wird diese Einstellung gern von Administratoren verwendet, die verhindern wollen, dass gewisse Richtlinien in delegierten Objekten überschrieben werden. Im Gegensatz zum Blockieren von Richtlinien kann die Einstellung Kein Vorrang in Abhängigkeit vom GPO gesetzt werden.

514



Abbildung 7.14: Einstellung zum Durchsetzen von Gruppenrichtlinien

Gruppenrichtlinie deaktivieren Mit dieser Einstellung können Sie die Gruppenrichtlinie in Ruhe bearbeiten und verhindern, dass sie sich innerhalb der Hierarchie vererbt (siehe Abbildung 7.14). Deaktivierte Richtlinieneinstellungen werden als deaktiviert vererbt.

Loopback-Einstellung Die erweiterte Einstellung Loopback findet bei Computern Anwendung, die sich in straff verwalteten Umgebungen wie Labors, Klassenzimmern oder Empfangsbereichen befinden, wo die Benutzereinstellungen je nach Computer geändert werden müssen. Unabhängig davon, welcher Benutzer sich anmeldet, überschreiben Sie (je nach Einstellung) die benutzerbasierten Gruppenrichtlinien mit computerbasierten Gruppenrichtlinien und bewirken hierbei, dass die Desktopkonfiguration stets identisch ist. Diese Einstellung finden Sie in dem Knoten COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/GRUPPENRICHTLINIEN.

Abbildung 7.15: Loopback für eine alternative Benutzereinstellung beim Anmelden des Computers


515

MCSE Examen 70-294

Die Einstellung Loopbackverarbeitungsmodus für Benutzergruppenrichtlinien wendet alternative Benutzereinstellungen an, wenn ein Benutzer sich an einem von dieser Einstellung betroffenen Computer anmeldet. Per Voreinstellung wird durch das Gruppenrichtlinienobjekt festgelegt, welche Benutzereinstellungen angewendet werden. Wenn Sie diese Einstellung aktivieren, bestimmt jedoch das Gruppenrichtlinienobjekt des Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienobjekten angewendet wird. Für die Einstellung verwenden Sie das Feld Modus (siehe Abbildung 7.15), in dem Sie zwei Einstellungen vornehmen können: Ersetzen und Zusammenführen. Diese Einstellung gilt nur, wenn sich das Computer- und das Benutzerkonto in der gleichen Windows 2000- oder Windows Server 2003-Domäne befinden. T Mit der Option Ersetzen geben Sie an, dass die in den GPOs für diesen Computer festgelegten Benutzerprofile die Benutzereinstellungen ersetzen, die normalerweise auf den Benutzer angewendet werden würden. T Mit der Option Zusammenführen geben Sie an, dass die in den GPOs für diesen Computer festgelegten Benutzerprofile und die Benutzergruppenrichtlinien gemeinsam angewendet werden. Falls sich die Gruppenrichtlinien widersprechen sollten, setzen die Benutzereinstellungen in den Gruppenrichtlinien des Computers die normalen Einstellungen des Benutzers außer Kraft.

HIN WEIS

T Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren wählen, bestimmen die Gruppenrichtlinienobjekte des Benutzers, welche Benutzereinstellungen angewendet werden.

Bei Computern, die zu einer Arbeitsgruppe gehören, wird lediglich das lokale Gruppenrichtlinienobjekt verarbeitet.

Filtern des Wirkungsbereichs der Richtlinien anhand von Sicherheitsgruppen Per Voreinstellungbeeinflusst ein GPO, das einem Standort, einer Domäne oder einer OU zugewiesen ist, alle in dem Objekt befindlichen Benutzer und Computer. In Abbildung 7.16 ist zu erkennen, dass die Gruppe Authentifizierte Benutzer die Berechtigung Gruppenrichtlinie übernehmen erhält. Verändern Sie die Gruppenzuordnungen in den Eigenschaften des GPOs, filtern Sie den Wirkungsbereich der Richtlinien. Dies kann in folgenden Fällen sinnvoll sein: T Sie wollen eine Softwareverteilung durchführen und beabsichtigen, dass nur bestimmte Benutzer oder Computer eine Software verwenden sollen. Mit den Zugriffssteuerungseinträgen (ACEs) im Gruppenrichtlinienobjekt können Sie genau steuern, welche Benutzer die Software erhalten sollen, indem Sie die Voreinstellung deaktivieren (nicht verweigern) und anstelle der Sondergruppe authentifizierte Benutzer die betreffenden Sicherheitsgruppen hinzufügen. T Sie wollen, dass gewisse Mitglieder einer Sicherheitsgruppe von einem Gruppenrichtlinienobjekt ausgeschlossen sind, um verschiede Sicherheitseinstellungen vorzunehmen. Das kann zum Beispielvorkommen, wenn Sie dem Azubi nur ganz bestimmte Einstellungen erlauben wollen, während den normalen Mitarbeitern eine andere Richtlinie zugewiesen wird. 516



Abbildung 7.16: Für alle authentifizierten Benutzer werden per Voreinstellung die Richtlinien des GPOs angewendet (Einstellung ist auf Zulassen gesetzt)

Je nach Einstellungen können Sie den Sachverhalt auch wie in Tabelle 7.4 zusammenfassen: Ziel

Berechtigung: Zugriffsart

Ergebnis

Sie wenden das Gruppenrichtlinienobjekt auf die Mitglieder einer bestimmten Sicherheitsgruppe an.

Lesen: Zulassen Gruppenrichtlinie übernehmen: Zulassen

Das GPO wird auf Mitglieder dieser Sicherheitsgruppe angewandt. Dies gilt allerdings nicht, wenn ein Mitglied auch zu einer anderen Sicherheitsgruppe gehört, bei der die Berechtigung Gruppenrichtlinie übernehmen und/oder die Berechtigung Lesen auf Verweigern gesetzt ist.

Sie möchten, dass Mitglieder einer bestimmten Sicherheitsgruppe ausgeschlossen werden.

Lesen: Verweigern Gruppenrichtlinie übernehmen: Verweigern

Das GPO wird nicht auf Mitglieder dieser Sicherheitsgruppe angewandt, unabhängig davon, welche Berechtigungen diese Mitglieder in anderen Sicherheitsgruppen besitzen.

Sie möchten einstellen, dass die Mitgliedschaft einer bestimmten Sicherheitsgruppe sich nicht darauf auswirkt, ob das Gruppenrichtlinienobjekt angewandt werden soll oder nicht.

Gruppenrichtlinie übernehmen: Feld leer lassen Lesen: Feld leer lassen

Da der Zugriff nicht explizit verweigert wird, kann der Benutzer oder die Benutzergruppe über andere Gruppenmitgliedschaften einen Zugriff auf das GPO bzw. die Berechtigung Gruppenrichtlinie übernehmen erlangen.

Tabelle 7.4: Einstellungsmöglichkeiten in den Eigenschaften eines GPOs


517

MCSE Examen 70-294

WMI-Filter Sie können mit einem WMI-Filter eine WMI-basierte Abfragestellen, um die Auswirkungen des Gruppenrichtlinienobjekts auf Benutzer und/oder Benutzergruppen zu filtern. WMI ist die Abkürzung für Windows Management Instrumentation, eine Verwaltungsschnittstelle für das Common Information Model (CIM). Der Filter kann über eine Datei, die in der WQL (WMI Query Language) geschrieben ist, aktiviert werden. Sie haben hier über ein Dialogfenster die Möglichkeit, in der WQL einen Filter zu erstellen oder diesen über eine *.mofDatei einzulesen. WMI-Filter können nur auf Clientcomputern unter den Betriebssystemen Windows XP Professional, Windows XP 64-Bit Edition und der Windows Server 2003-Produktfamilie verwendet werden. WMI-Filter, die mit einem Gruppenrichtlinienobjekt verbunden sind, werden von Windows 2000-Clients ignoriert.

7.2.2

Planen von Einsatzmöglichkeiten

Anhand der Informationen aus diesem Kapitel haben Sie nun die Möglichkeit, Ihre Gruppenrichtlinien-Strategie zu definieren. Sie haben in Kapitel 3.4.6 bereits Informationen über das OU-Design erhalten. Stellen Sie sich nochmals die Frage des Designs! Wir fassen an der Stelle noch einmal zusammen: T Sie können eie oder mehrere GPOs zu den folgenden Objekten zuordnen: Standort, Domäne und/oder Organisationseinheit (OU). T Sie können eine oder mehrere Einstellungen in eine GPO durchführen: Stellen Sie nur eine Änderung ein, können Sie die Aufteilung übersichtlich gestalten, wenn die Anzahl der GPOs überschaubar bleibt. Stellen Sie viele Änderungen ein, kann es unübersichtlich werden, denn Sie sehen nicht auf den ersten Blick, welche Richtlinien die effektiven sind. Abhilfe schafft hier allerdings das Tool Richtlinienergebnissatz. T Sie können GPOs intern so aufteilen, dass Sie entweder Computer oder Benutzerkonten konfigurieren. T Der Nachteil vieler GPOs besteht in einer erheblichen Verlängerung der Anmeldezeit, die insbesondere bei Windows 2000-basierenden Computern auftritt.

TIPP

T Sie haben sich bereits Gedanken über die OU-Struktur gemacht: Soll es eine Kombination aus allem oder nur nach Verwaltungsaufgaben, Orten oder Geräten aufgeteilt sein?

Sie werden in der Prüfung voraussichtlich mehrere Fragen zur GPO-Planung erhalten.

Einleitung in die GPO-Planung Mit den Informationen revidieren Sie vielleicht Ihr Modell. Stellen Sie die folgenden Fragen: T Benötigt Ihre Firma ein zentrales Verwaltungsmodell? – Dann haben Administratoren auf alle Objekte Vollzugriff. Die Berechtigungen auf den GPOs vererben sich. Es gibt Delegierungen an Benutzer der ersten OU-Ebene, der zweiten OU-Ebene usw. 518



T Benötigen Sie ein dezentrales Verwaltungsmodell? – Viele sehr große Firmen wenden es an. OUs, die nach Aufgabenbereichen gegliedert sind, werden an Mitarbeiter delegiert, die nicht Mitglied der Gruppe Administratoren sind. Hier kann über ein Blockieren von Richtlinien und/oder Berechtigungen nachgedacht werden.

Die OU-Struktur entscheidet in der Regel über den Einsatz von Gruppenrichtlinien (Standortrichtlinien und Domänenrichtlinien beeinflussen lediglich die Auswertung der effektiven Richtlinien). Verwenden Sie so wenige Richtlinien wie möglich.

TIPP

T Benötigen Sie ein aufgabenbasiertes Verwaltungsmodell? – Dieses Modell eignet sich auch für große Organisationen; Kompetenzen können an verschiedene Personen delegiert werden. Aufgaben können dann an Personen verteilt werden, die beispielsweise nur für die Sicherheit oder für die Softwareverteilung zuständig sind.

Planen von Richtlinientypen mit einer Einstellung In diesem Modell enthält das GPO nur eine Richtlinieneinstellung, wie beispielsweise die Installation von Software. Der Container kann entweder mit T Nur Benutzerkonten – für Richtlinien für Benutzer T Nur Computerkonten – für Richtlinien für Computer T Benutzer- und Computerkonten – für Richtlinien für Computer oder Benutzer gefüllt sein. Wichtig für das Modell ist, dass Sie pro GPO immer nur eine Einstellung vornehmen. Das Modell schließt ein, dass Sie mehrere GPOs auf einer OU verknüpfen. Hier gilt die Reihenfolge der GPOs in der Verknüpfungsliste. Das GPO mit der höchsten Priorität steht immer an erster Stelle. Sie sollten beim Verwenden vieler GPOs immer daran denken, dass sie die Verarbeitungsgeschwindigkeit herabsetzen. Benutzer werden sich infolgedessen bei Ihnen beschweren, dass ihre Computer sehr lange für den Startvorgang benötigen.

Das Modell eignet sich für Unternehmen, deren Verwaltungszuständigkeiten aufgabenbasiert sind. Dieses Modell arbeitet daher auch dezentral.

Abbildung 7.17: Pro GPO gibt es immer nur eine Einstellung.


519

TIPP

Sie arbeiten in diesem dezentralen Modell sehr oft mit der Vererbung und dem Filtern von Gruppenrichtlinieneinstellungen, damit bestimmte Benutzergruppen von der Anwendung der Richtlinien ausgenommen werden können.

MCSE Examen 70-294

Planen von Richtlinientypen mit fest zugeordneten Einstellungen Bei einem GPO mit mehreren Einstellungen definieren Sie entweder GPOs für die Benutzer oder für Computer. Der aus Abbildung 7.18 sollte mit Benutzer- und Computerkonten gefüllt sein, damit nicht nur Benutzer-, sondern auch Computerrichtlinien greifen können. Falls Sie einer Organisationseinheit verschiedene GPOs zuweisen, wird zunächst das GPO mit der höchsten Priorität abgearbeitet. Das GPO, das die Computereinstellungen enthält, wird bei allen Benutzern gleichermaßen ausgeführt. Bei dem Benutzer-GPO können Sie einen Filter einbauen, der zum Beispiel bewirkt, dass Administratoren keine Beschränkung durch eine Sicherheitsrichtlinie erhalten wie andere Benutzer. Auch hier ist die Gefahr groß, dass Sie sehr viele GPOs verwenden.

Abbildung 7.18: GPOs, die entweder für Benutzer oder für Computer definiert sind

Planen von Richtlinientypen mit mehreren Einstellungen In diesem Modell sind alle notwendigen Einstellungen für Computer- und Benutzerrichtlinien in einem GPO zusammengefasst. Der große Vorteil dieses Modells besteht in der Minimierung der GPOs, wodurch die Anmeldegeschwindigkeit auf den Clientcomputern optimiert wird. Richten Sie es so ein, dass jede OU sein spezifisches GPO erhält.

TIPP

Abbildung 7.19: Alle Einstellungen sind in einer GPO integriert.

Dieses Modell eignet sich für Firmen, deren Verwaltungszuständigkeiten zentralisiert sind und in denen ein Administrator alle Aufgaben bzgl. der Gruppenrichtlinienwartung und -erstellung durchführen muss.

520



7.2.3

Regeln und empfohlene Vorgehensweisen

Sie können Gruppenrichtlinien sehr variabel einsetzen und mit folgenden 6 Regeln variieren: 1. GPOs vererben ihre Einstellungen an untergeordnete Objekte, es sei denn, die folgenden Situationen treten auf: 1. Sie überschreiben die Einstellung, die von einem übergeordneten GPO vererbt wird. 2. Sie blockieren die Vererbung (Einstellung Richtlinienvererbung deaktivieren), damit Sie nach der Blockade ein neues GPO erstellen können, das sich seinerseits weitervererben kann. 2. Sie filtern Sicherheitsgruppen aus dem Gültigkeitsbereich der Richtlinien heraus. 3. Sie erstellen mehrere GPOs und verknüpfen sie mit einem Standort-, Domänen,- oder OU-Objekt. Das GPO, das sich an der höchsten Stelle befindet, hat den Vorrang, wenn Sie dort die Einstellung Kein Vorrang wählen. 4. Sie können ein Blockieren der Vererbung (Einstellung Richtlinienvererbung deaktivieren) verhindern, indem Sie Kein Vorrang einstellen und somit die Vererbung von höchster Stelle aus erzwingen. 5. Sie können GPOs speziell für Computer- oder für Benutzereinstellungen definieren. 6. Sie können das GPO deaktivieren, um es zu bearbeiten. Selbstverständlich vererbt sich diese Einstellung. Neben den Regeln können wir Ihnen folgende Vorgehensweise empfehlen: T Verwenden Sie aus Gründen der Übersichtlichkeit die Funktionen Kein Vorrang und Richtlinienvererbung deaktivieren nur selten. T Deaktivieren Sie die nicht verwendeten GPOs, damit der Anmeldevorgang auf den Clients beschleunigt wird. T Filtern Sie die Richtlinien basierend auf Sicherheitsgruppen, damit nur auf diese die GPO angewendet werden kann. Für diesen Vorgang müssen Sie die Gruppe Authentifizierte Benutzer aus der Liste der voreingestellten Gruppen entfernen. T Verwenden Sie Systemrichtlinien nur für Computer unter Windows NT, 95, 98 und ME. Die Verwendung von Systemrichtlinien sollte ansonsten deaktiviert bleiben. T Verwenden Sie das Loopback nur dann, wenn die Desktop-Umgebung benutzerunabhängig immer gleich aussehen soll. T Vermeiden Sie domänenweite GPO-Verknüpfungen, weil dies das Booten des Computers verlangsamt. T Verwenden Sie ein GPO nur einmal in demselben Standort, derselben Domäne oder derselben OU, damit Richtlinien nicht unterschiedlich interpretiert werden können.


521

MCSE Examen 70-294

7.3

Einrichten von Gruppenrichtlinien

Das folgende Unterkapitel zeigt Ihnen den Gebrauch der Dialogfenster und Einstellungen. In der MCSE-Prüfung werden Sie auch nach Einstellungsdetails gefragt.

7.3.1

Das Register Gruppenrichtlinie

Das Einrichten eines GPOs ist relativ einfach. Sie klicken in die Eigenschaften einer der folgenden Objekte: Standort, Domäne oder Organisationseinheit. Sie wählen in den Eigenschaften des Objekts das Register GRUPPENRICHTLINIE aus und klicken auf die Schaltfläche NEU, wenn Sie ein neues Gruppenrichtlinienobjekt erstellen wollen. Möchten Sie hingegen ein bestehendes mit der OU verknüpfen, dann klicken Sie auf HINZUFÜGEN. Sie erhalten eine Kopie der Gruppenrichtlinienvorlage (GPT) mit dem Namen Neues Gruppenrichtlinienobjekt. Das neue GPO ist noch nicht konfiguriert und verändert daher untergeordnete Instanzen nicht. Anschließend können Sie das neue Gruppenrichtlinienobjekt umbenennen, indem Sie mit der rechten Maustaste auf das GPO klicken und das Kontextmenü aufrufen. Per Voreinstellung haben folgende Benutzer die erforderlichen Privilegien, GPOs zu erstellen: Objekt

Dürfen GPOs erstellen

Standort

Mitglieder der Gruppe Domänen-Admins der Stammdomäne. Per Voreinstellung ist dort das Konto Administrator (der Stammdomäne) Mitglied.

Domäne

Mitglieder der Gruppen Organisations-Admins, Domänen-Admins der jeweiligen Domäne und das Konto Administrator (der jeweiligen Domäne).

OU

Einstellungen vererben sich per Voreinstellung vom Domänen-Objekt.

Tabelle 7.5: Standardberechtigungen der jeweiligen Objekte

Abbildung 7.20: Richtlinienobjekte, die einer OU zugeordnet sind

522

7.3 Einrichten von Gruppenrichtlinien


Verknüpfen Sie mehrere GPOs mit einem GPO-fähigen Objekt, muss das GPO mit der höchsten Priorität an erster Stelle stehen, wie es Abbildung 7.20 zeigt. Falls Sie die Priorität ändern wollen, können Sie mit den Schaltflächen NACH OBEN und NACH UNTEN die Reihenfolge verändern. Abbildung 7.20 zeigt Ihnen am Beispiel zweier GPOs, dass Sie zwei GPOs so benennen können, dass sie selbstbeschreibend für zwei unterschiedliche Aufgaben stehen. Sie können folgende Aufgaben ausführen: Schaltfläche

Beschreibung/Zweck

Neu

Sie erhalten ein nicht konfiguriertes GPO aus der Vorlage (GPT).

Hinzufügen

Sie verknüpfen ein bereits bestehendes GPO mit dem betreffenden Objekt. Weitere Informationen finden Sie anschließend in Kapitel 7.2.2.

Bearbeiten

Sie bearbeiten die Richtlinie, indem Sie den Gruppenrichtlinienobjekt-Editor aufrufen. Weitere Informationen finden Sie in Kapitel 7.2.3.

Optionen

Sie definieren hier die Einstellung Kein Vorrang und Deaktiviert. Mehr zu diesem Themen finden Sie in Kapitel 7.2.4.

Löschen

Sie haben die Option, entweder nur die Verknüpfung zu entfernen oder das vollständige Gruppenrichtlinienobjekt inklusive seiner Einstellungen zu löschen.

Eigenschaften

Sie bearbeiten die Eigenschaften des GPOs. Hier können Sie das »Filtern von Benutzern oder Gruppen hinsichtlich der Ausführung der GPO« einrichten. Sie finden eine Beschreibung der Eigenschaften in Kapitel 7.2.5.

Tabelle 7.6: Schaltflächen des Registers Gruppenrichtlinien

Sie blockieren die Vererbung von übergeordneten GPOs mit der Einstellung Richtlinienvererbung deaktivieren, mit Ausnahme denjenigen GPOs, die ein Administrator übergeordneter Instanzen mit der Einstellung Kein Vorrang aktiviert hat. Es kann bei dieser Kombination auch vorkommen, dass trotz der Einstellung kein Vorrang GPO-Einstellungen vererbt werden. Wie bereits erwähnt, heißt die Einstellung Richtlinienvererbung deaktivieren in der englischen Serverversion Block Inheritance, was den Vorgang treffender beschreibt. Sie können in den Eigenschaften des Objekts oder in der GPO nicht erkennen, ob übergeordnete GPOs Richtlinieneinstellungen vererben. Um dieses Problem in den Griff zu bekommen, hat Microsoft dem Windows Server 2003-Betriebssystem den Richtlinienergebnissatz-Assistent hinzugefügt. Mit diesem Assistenten können Sie die effektiven Richtlinieneinstellungen von Sicherheitsgruppen im betreffenden Container diagnostizieren. Sie können die Blockierung der Richtlinien nur auf Domänen- und OU-Objekte anwenden, da dieser Vorgang bei Standorten keinen Sinn machen würde.

Abbildung 7.21: Blockieren der Richtlinienvererbung


523

MCSE Examen 70-294

7.3.2

Hinzufügen von GPOs

Sie gelangen aus dem Register GRUPPENRICHTLINIE (Abbildung 7.20) über die HINZUFÜGENSchaltfläche in das Dialogfenster Gruppenrichtlinienobjekt-Verknüpfung hinzufügen (Abbildung 7.22). Das neue Dialogfenster ist wiederum in drei Reiter unterteilt, die alle die Aufgabe haben, Ihnen das Auffinden eines bereits bestehenden GPOs zu erleichtern. Sie finden in Abbildung 7.22 GPOs zur Auswahl, die bereits erstellt wurden und mit einem Standort, einer Domäne oder einer OU verknüpft wurden. Sie können die dortigen Einstellungen bzw. die GPOs verwenden, um sie erneut an anderer Stelle zu benutzen. Obwohl Sie GPOs mehrfach mit verschiedenen GPO-fähigen Objekte verknüpfen können, ist es empfehlenswert, das GPO nur einmal in demselben Standort, derselben Domäne oder demselben OU zu verwenden, damit die darin enthaltenen Richtlinien nicht unterschiedlich interpretiert werden können.

HIN WEIS

Abbildung 7.22: Bestehende GPOs mit dem betreffenden Objekt verknüpfen.

Sie können jedes GPO aus allen Domänen und OUs der Gesamtstruktur auswählen und es mit demjenigen Objekt verknüpfen, das die Richtlinie erhalten soll. Dies geschieht unabhängig von der Position des Objekts in der Domänenhierarchie. Eine OU in der untergeordneten Domäne berlin.pearson.de kann beispielsweise genauso gut mit einem GPO aus der Stammdomäne verknüpfen werden, wie umgekehrt.

7.3.3

Bearbeiten von GPOs

Der Gruppenrichtlinienobjekt-Editor öffnet sich, wenn Sie auf die BEARBEITEN-Schaltfläche klicken. Alternativ können Sie den Vorgang auch mit einem Doppelklick ausführen. Im Gruppenrichtlinienobjekt-Editor bearbeiten Sie die Einstellungen, die bereits in Kapitel 7.1.3 vorgestellt wurden. Abbildung 7.23 zeigt Ihnen, wie Sie den Eintrag für die Kontensperrungsschwelle einstellen können. Sobald Sie einen Wert in die Sicherheitsrichtlinie eingegeben und

524



bestätigen, werden die Einstellungen sofort aktiv, was auch bedeutet, dass sie sich gemäß den Vererbungsregeln auf untergeordnete Objekte vererben.

Abbildung 7.23: Die Sicherheitsrichtlinie in einem GPO bearbeiten.

7.3.4

Optionen

Wenn Sie ein GPO erstellen, verknüpfen Sie zunächst ein nicht konfiguriertes GPO zu einem Standort-, Domänen- oder OU-Objekt. Das bedeutet, dass sich das GPO zum Zeitpunkt des Entstehens zwar an untergeordnete Instanzen vererbt, aber keine nennenswerte Auswirkung auf diese hat. Sobald Sie jedoch das GPO bearbeiten, können die Einstellungen untergeordnete Objekte verändern. Es ist daher empfehlenswert, gleich dafür Sorge zu tragen, dass das GPO für die Zeit der Konfiguration deaktiviert ist, indem Sie es unter OPTIONEN oder über das Kontextmenü (siehe Abbildung 7.24) deaktivieren.

Abbildung 7.24: Ausschnitt aus den Eigenschaften einer OU: Optionen Kein Vorrang und Deaktiviert


525

MCSE Examen 70-294

Eine weitere Einstellung, die Sie über das Dialogfenster Optionen oder über das gezeigte Kontextmenü durchführen können, ist die Kein Vorrang- Einstellung (engl. No Override) , mit der Sie erreichen, dass die Vererbungskette unterbrochen wird. Achten Sie zur Kontrolle der Einstellungen immer auf die Häkchen, die Sie erhalten, wenn Sie Kein Vorrang oder Deaktiviert einstellen (siehe Abbildung 7.24).

7.3.5

Eigenschaften von GPOs

Da Richtlinien in einem Objekt gespeichert werden, können Sie auch die typischen Objekteigenschaften, wie die Reiter ALLGEMEIN und SICHERHEIT, konfigurieren. Verwechseln Sie hierbei nicht die Eigenschaften eines GPOs mit den Eigenschaften einer OU, Domäne oder eines Standorts.

Allgemeine Einstellungen In dem Reiter ALLGEMEIN können Sie mit folgenden zwei Einstellungen den Startvorgang der Gruppenrichtlinie auf einem Client beschleunigen: T Konfigurationseinstellungen des Computers deaktivieren – Sie deaktivieren mit dieser Einstellung den vollständigen Knoten COMPUTERKONFIGURATION in dem GPO. Alle Einstellungen, die Sie in diesem Knoten vornehmen, werden hiermit deaktiviert. T Benutzerdefinierte Konfigurationseinstellungen deaktivieren – Sie deaktivieren mit dieser Einstellung den vollständigen Knoten BENUTZERKONFIGURATION in der GPO und alle dort eingestellten Richtlinien. In Abbildung 7.25 wird beispielsweise bei dem GPO GPO Vertrieb Berlin für Benutzer, die nur Einstellungen für Benutzer beinhaltet, das Kontrollkästchen Konfigurationseinstellungen des Computers deaktivieren eingestellt, um den nicht verwendeten Teil des GPOs zu deaktivieren.

Abbildung 7.25: Nicht verwendete Teile des Gruppenrichtlinienobjekts deaktivieren.

526



Weiterhin finden Sie in der Registerkarte ALLGEMEIN zusammenfassende Informationen über das GPO, wie Erstellungsdatum, Änderungsdatum, Revision, Domäne und den eindeutigen Namen. Anhand des eindeutigen Namens können Sie das Verzeichnis des GPOs lokalisieren: Es befindet sich in C:\WINDOWS\SYSVOL\domain\Policies\{E71CCC7F-D3B5-4787-864857A4912A92F8}. Nachdem Sie einen Teil des GPOs deaktiviert haben, erscheint in den Eigenschaften des Active Directory-Objekts (Standort, Domäne oder OU) das Gruppenrichtliniensymbol mit einem gelben Warndreieck.

Abbildung 7.26: Das gelbe Ausrufezeichen markiert eine Teildeaktivierung des GPOs.

Verknüpfungen des GPOs Mit dem Register suchen Sie in Abhängigkeit von Domänen nach Standorten, Domänen oder Organisationen, mit denen das GPO verknüpft ist. Wie Sie am Beispiel des GPOs GPO Vertrieb Berlin für Benutzer erkennen, ist das GPO nur mit der OU Vertrieb Berlin verknüpft.

Abbildung 7.27: Kontrolle der Verknüpfungen für ein GPO


527

MCSE Examen 70-294

GPO-Sicherheit bzw. Filtern von Gruppen einrichten Das Register SICHERHEIT hat, wie wir bereits in Kapitel 7.2.1 beschrieben haben, wichtige Aufgaben: Zum einen können Sie den GPO-Bereich mit Hilfe von Sicherheitsgruppen filtern, und zum andern können Sie eine Objektdelegation einrichten bzw. modifizieren. Über die Taste ENTFERNEN löschen Sie die voreingestellte Gruppe Authentifizierte Benutzer und setzen über HINZUFÜGEN eine neue Sicherheitsgruppe ein. Anschließend erteilen Sie der neuen Gruppe die Berechtigung Lesen: Zulassen und Gruppenrichtlinie übernehmen: Zulassen. Die voreingestellte Gruppe Organisations-Admins hat zwar ein Leserecht auf das GPO, aber nicht die Einstellung Gruppenrichtlinie übernehmen (Kontrollkästchen ist leer).

Abbildung 7.28: Filtern des GPO-Bereichs über Sicherheitsgruppen

Beim Hinzufügen von Sicherheitsgruppen muss ein Administrator seinem Gruppenmanagement vertrauen – oder darauf, dass er oder seine Mitarbeiter Gruppen nachvollziehbar verwaltet haben. Um allerdings bei der Zuweisung von Sicherheitsgruppen eine gewisse Kontrolle zu besitzen, müssen Sie als Administrator mit der Schaltfläche ERWEITERT arbeiten. Wie bei allen anderen Objektberechtigungen auch, können Sie mit speziellen Berechtigungen einen differenzierten Objektzugriff definieren. Anders als bei den Objektberechtigungen auf eine OU greifen bei einem GPO leicht geänderte Berechtigungen. Insbesondere das Recht Gruppenrichtlinie übernehmen ist hier neu. Achten Sie also auf dieses Recht, wenn Sie Gruppen- oder Benutzernamen überprüfen.

528



Abbildung 7.29: Überprüfung der effektiven Berechtigungen

7.3.6

Sicherheitsvorlagen

Windows Server 2003 bietet, wie sein Vorgänger auch, sog. Sicherheitsvorlagen, die Sie in einem beliebigen GPO importieren können. Des Weiteren können Sie mit einer Sicherheitsvorlage einen Vergleich mit der bestehenden Richtlinie durchführen und somit Informationen über eventuelle Schwachstellen in Ihrer Konfiguration erhalten.

Überblick über Sicherheitsvorlagen Die Sicherheitsvorlage ist in einer INF-Datei gespeichert, die Sie mit einem beliebigen Editor bearbeiten können. Die Datei besteht aus Sektionen, die durch Schlüsselwörter in eckigen Klammern gekennzeichnet sind, wie zum Beispiel [Profile Description]. Unterhalb der Sektion befindet sich der Eingabewert mit der Eingabedefinition. Sie dürfen weder Sektionsnamen noch definierte Namen verändern. Wenn Sie zum Beispiel den Eintrag MinimumPasswordAge (minimales Kennwortalter) verändern möchten, tragen Sie statt der 2 (wie in der Vorlage) einen anderen Wert ein. Sie finden die Vorlagendateien im Verzeichnis %windir%\security\templates.


529

MCSE Examen 70-294

Das Listing 7.1 zeigt Ihnen am Beispiel der Vorlagendatei hisecdc.inf die prinzipielle Arbeitsweise von Vorlagen: [Profile Description] %SCEHiSecDCProfileDescription% [version] signature="$CHICAGO$" revision=1 DriverVer=10/01/2002,5.2.3790.0 [System Access] ;---------------------------------------------------------------;Account Policies - Password Policy ;---------------------------------------------------------------MinimumPasswordAge = 2 MaximumPasswordAge = 42 MinimumPasswordLength = 8 PasswordComplexity = 1 PasswordHistorySize = 24 ClearTextPassword = 0 LSAAnonymousNameLookup = 0 EnableGuestAccount = 0 ;---------------------------------------------------------------;Account Policies - Lockout Policy ;---------------------------------------------------------------LockoutBadCount = 5 ResetLockoutCount = 30 LockoutDuration = -1 Listing 7.1: Auszug aus der Sicherheitsvorlage hisecdc.inf.

Die Sicherheitsrichtlinie hilft Ihnen bei den folgenden Sicherheitseinstellungen: T Kennwortrichtlinien (Password Policy) T Kennwortsperrungsrichtlinien (Lockout Policy) T Lokale Richtlinien, Sicherheitsoptionen (Security options) T Ereignisprotokoll (Log Settings) T Lokale Richtlinien (Überwachungsrichtlinien – Audit Policy) T Berechtigungen auf die Registrierung (Registry) T Berechtigungen auf das Dateisystem T Eingeschränkte Gruppen

530



Leider bietet Ihnen die Vorlagendatei nicht die Möglichkeit, Einstellungen für die IP-Sicherheit (IPSec), öffentliche Schlüssel, ein Drahtlosnetzwerk und Softwareeinsschränkungen vorzunehmen. Je nach Verwendungszweck hat Microsoft folgende Vorlagendateien im Vorlagenverzeichnis abgelegt: Sicherheitsvorlagen für Domänencontroller

Beschreibung

DC security.inf

Diese Vorlage wird automatisch verwendet, wenn Sie einen Mitgliedsserver zu einem Domänencontroller heraufstufen. Sie finden hier die Standardeinstellungen für die Sicherung von Datei- und Registrierungsobjekten und Systemdiensten.

Hisecdc.inf

Domänencontroller werden mit der höchsten Sicherheitsstufe konfiguriert. Mit dieser Vorlage stellen Sie die Abwärtskompatibilität ab und erlauben eine Konnektivität nur mit Computern ab Windows NT 4.0 mit Service Pack 4. Alle Domänencontroller der Domäne und vertrauenden Domänen müssen mindestens das Windows 2000 Server-Betriebssystem hosten. Bei dieser Sicherheitsvorlage sind alle Sicherheits-Features ab Windows 2000 Server (wie das NTLMv2 und die SMB-Paketsignierung) aktiviert.

Iesacls.inf

Die Vorlage setzt Berechtigungen auf Registrierungsschlüssel, die den Internet-Explorer betreffen.

Rootsec.inf

Diese Vorlage setzt die neuen, von Windows XP eingeführten Stammberechtigungen für das Systemlaufwerk. Sie kann verwendet werden, falls die Stammverzeichnisberechtigungen aus Versehen geändert wurden. Die Vorlage überschreibt keine für untergeordnete Objekte definierten expliziten Berechtigungen.

Securedc.inf

Diese Vorlage entspricht einer mittleren Sicherheitsstufe. Ein Benutzer kann nicht von einem Computer mit einem LAN-Manager-Dienst auf einen Server zugreifen. Eine SMB-Signierung wird verwendet, wenn der Client dies ebenfalls unterstützt, andernfalls wird auf eine normale SMB-(Server Message Block-)Kommunikation zurückgegriffen.

Setup security.inf

Die Vorlage enthält die aktualisierten Standardsicherheitseinstellungen des Domänencontrollers, die während der Installation des Betriebssystems verwendet wurden. Sie enthält Dateiberechtigungen für das Stammverzeichnis des Systemlaufwerks, wodurch diese Vorlage eine sehr hohe Anzahl von Einstellungen erreicht.

Tabelle 7.7: Sicherheitsvorlagen für Domänencontroller


531

MCSE Examen 70-294 Sicherheitsvorlagen für eine Workstation oder Mitgliedsserver

Beschreibung

Compatws.inf

Die Vorlage enthält Einstellungen für kompatible Windows NT 4.0Arbeitsstationen und -Server. Sie erhalten ein Sicherheitsmodell, das hauptsächlich auf Administratoren-, Hauptbenutzer (Power User)und Benutzerkonten basiert. Importieren Sie daher diese Richtlinie auf keinen Fall in die Sicherheitsrichtlinie für Domänen bzw. Domänencontroller.

Hisecws.inf

Diese Richtlinie konfiguriert die höchste Sicherheitsstufe. Diese Vorlage wird clientseitig verwendet, während Hisecdc.inf serverseitig eingerichtet wird.

Securews.inf

Diese Vorlage ähnelt der Vorlage Securedc.inf und ist für die Verwendung von Mitgliedscomputern vorgesehen. Alle Domänencontroller müssen mindestens Windows Server NT 4.0 mit Service Pack 4 ausführen.

Tabelle 7.8: Sicherheitsvorlagen für Workstations und Mitgliedsserver

Verwalten von Sicherheitsvorlagen Sie können Sicherheitsvorlagen anstelle eines normalen Editors über die Managementkonsole verwalten. Hierfür starten Sie mit dem mmc.exe-Befehl eine neue Managementkonsole und fügen anschließend das Snap-In Sicherheitsvorlagen der Konsole hinzu (siehe Abbildung 7.30). Nach Aufruf des Snap-Ins werden automatisch die bereits beschriebenen Vorlagen aus dem Verzeichnis %windir%\security\templates aufgelistet. Mit der neuen Konsole können Sie die jeweilige Sicherheitsvorlage nach Ihren Wünschen bearbeiten. Das es sich lediglich um eine Vorlage handelt, werden Änderungen nur dann wirksam, wenn Sie diese in ein GPO importieren. In Abbildung 7.30 sind die Sicherheitsoptionen im Knoten LOKALE RICHTLINIEN dargestellt. Sie finden unter diesem Knoten eine Reihe von Richtlinien, wie auch die Richtlinie Netzwerksicherheit: LAN Manager-Authentifizierungsebene.

Abbildung 7.30: Benutzerdefinierte Konsole Sicherheitsvorlagen

532



Sie können die Voreinstellungen über einen Doppelklick in einfacher Weise verändern. Sie haben zum Beispiel für die Netzwerksicherheit: LAN Manager-Authentifizierungsebene die Möglichkeit, verschiedene Einstellungen mit oder ohne NTLM (NT LAN Manager) auszuwählen. Diese Sicherheitseinstellung bestimmt, welches Anfrage/Antwort-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird: Richtlinieneinstellung

Beschreibung

LM- und NTLM-Antworten senden

Sie verzichten auf eine Sicherheit, denn selbst ein einfacher LANManager-Client kann auf eine Ressource zugreifen. Die NTLMv2Authentifizierung ist verfügbar, wird jedoch nicht verwendet. Diese Einstellung verwenden Sie, wenn Sie Windows 95-Clients benutzen. Computer unter Windows 95 und Windows 98 unterstützten kein NTLM.

LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)

Auch diese Einstellung birgt eine Unsicherheit, da eine Kommunikation mit alten LM-Clients stattfinden kann. Sobald ein NTLMv2fähiger Client eine Verbindung mit dem Server aufbauen möchte, wird eine sichere Verbindung aufgebaut.

Nur NTLM-Antworten senden

Clients verwenden nur die NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird. Diese Einstellung eignet sich für Windows NT 4.0 Clients bis einschließlich Service Pack 3. Die verwendete Authentifizierung ist schwach verschlüsselt. Die Domänencontroller akzeptieren nach wie vor auch noch eine LM- und NTLM-Authentifizierung.

Nur NTLMv2-Antworten senden

Clients verwenden nur die NTLMv2-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird. Die Domänencontroller akzeptieren nach wie vor auch noch eine LM- und NTLM-Authentifizierung.

Nur NTLMv2-Antworten senden\LM verweigern

Clientcomputer verwenden nur die NTLMv2-Sitzungssicherheit. Der Domänencontroller verweigert eine LM-Authentifizierung, sodass nur NTLM- und NTLMv2-Authentifizierungen akzeptiert werden.

Nur NTLMv2-Antworten senden\LM & NTLM verweigern

Diese Einstellung repräsentiert die höchste Sicherheitsstufe. Clients verwenden nur die NTLMv2-Sitzungssicherheit, und der Domänencontroller akzeptiert auch nur die NTLMv2-Authentifizierung. Sie können Windows NT 4.0-Computer verwenden, wenn Sie mindestens das Service Pack 4 aufgespielt haben.

Sie können diese Einstellung auch direkt über ein GPO vornehmen. Wählen Sie hierfür folgenden Pfad aus: Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen.


533

HIN WEIS

Tabelle 7.9: Einstellungen für die LAN-Manager-Authentifizierungsebene

MCSE Examen 70-294

Abbildung 7.31: Einrichten der Netzwerksicherheit

Sicherheitsanalyse Bei der Vielzahl von Richtlinien fällt es manchmal schwer, ein Optimum an Sicherheit zu konfigurieren. Damit Sie entscheiden können, wie gut Ihre aktuell gültige Einstellung an Ihrem Computer ist, können Sie eine Sicherheitsanalyse durchführen. Als Vorlage zum Prüfen Ihrer Einstellungen verwenden Sie eine Sicherheitsvorlage. Diese fügen Sie in eine Datenbank ein. In Abbildung 7.32 sehen Sie einen Vergleich der Hisecdc-Vorlage mit einem Ist-Zustand. Das SnapIn Sicherheitsanalyse zeigt Ihnen alle Unterschiede und Übereinstimmungen mit der Vorlage, wobei die Richtlinieneinstellungen der Vorlage in der Spalte Datenbankeinstellung und der IstZustand in der Spalte Computereinstellung dargestellt werden. Symbol Richtlinie

Beschreibung

Grüner Haken

Die Datenbankeinstellung der Vorlage stimmt mit der Computereinstellung überein.

Roter Kreis mit weißem Kreuz

Die Einträge sind unterschiedlich.

Schwarzes Fragezeichen

Der Eintrag in der Analysedatenbank ist nicht definiert und deshalb auch nicht analysiert worden. Es kann auch sein, dass der betreffende Benutzer, der die Analyse durchführt, unzureichende Berechtigungen besitzt.

Rotes Fragezeichen

Der Eintrag in der Datenbank ist definiert, aber in der Computereinstellung nicht vorhanden.

Kein Symbol

Die Sicherheitsrichtlinie ist nicht in der Vorlage/Datenbank vorhanden. Sie wurde daher auch nicht analysiert.

Tabelle 7.10: Auswertung der Sicherheitsanalyse

534



Abbildung 7.32: Sicherheitsanalyse mit der Vorlage Hisecdc

Für jede angezeigte Richtlinie können Sie bestimmen, ob Sie diese in der Datenbank definieren: Sie haben hierfür die Optionen Aktiviert oder Deaktiviert. Nach Bearbeitung der Datenbank können Sie die Einstellungen wieder in eine Vorlagendatei (Datei mit der Endung *.inf) exportieren.

Abbildung 7.33: Verändern der Datenbankeinstellungen

Die Einträge beeinflussen erst dann die Computereinstellungen oder ein GPO, wenn Sie Folgendes explizit durchführen: T In der Konsole Sicherheitskonfiguration und -analyse wählen Sie im Knoten SICHERHEITSKONFIGURATION UND -ANALYSE das Kontextmenü (mit der rechten Maustaste) und wählen den Eintrag Computer jetzt konfigurieren aus. 7.3 Einrichten von Gruppenrichtlinien

535

MCSE Examen 70-294

T In der Konsole Gruppenrichtlinienobjekt-Editor wählen Sie den Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN aus und wählen dort im Kontextmenü den Eintrag Richtlinie importieren.

Verwendung von Secedit Zur Konfiguration der Systemeinstellungen können Sie auch das Kommandozeilendienstprogramm Secedit.exe verwenden. Sie starten das Programm mit folgender Syntax: secedit [/configure | /analyze | /import | /export | /validate | /generaterollback]

Wenn Sie zum Beispiel eine Analyse der bestehenden Einstellungen wünschen, geben Sie secedit /analyze in die Eingabeaufforderung ein, um eine weitere Hilfestellung zu erhalten. Sie können den Befehl anschließend mit dieser Syntax verwenden: secedit /analyze /db [/cfg ] [/overwrite] [/log ] [/quiet]

Hierbei können Sie folgenden Parameter verwenden: Eingabeparameter

Beschreibung

/db

Dateiname der Datenbank, die Sie zur Analyse verwenden.

/cfg

Dateiname der Sicherheitsvorlage, die Sie vor der Durchführung der Analyse in die Datenbank importieren.

/log

Name der Protokolldatei für den Konfigurationsprozess. Falls Sie einen Namen eingeben, wird die Konfigurationsverarbeitung in die Datei %windir%\security\logs\scesrv.log protokolliert.

/quiet

Gibt an, dass der Analyseprozess ohne Bestätigungsfragen stattfindet.

Tabelle 7.11: Eingabeparameter von Secedit /analyze.

Wenn Sie zum Beispiel eine Analyse mit der Vorlage Hisecdc.inf tätigen wollen und die Datenbank Hisecdc.sdb benennen, müssen Sie Folgendes eingeben: secedit /analyze /db hisecdc.sdb /cfg hisecdc.inf

7.4

Richtlinienergebnissatz-Assistent

Der Richtlinienergebnissatz (Resultant Set of Policy, RSoP) ist eine Ergänzung zur Gruppenrichtlinie, um das Einrichten und die Problembehandlung von Gruppenrichtlinien zu erleichtern. Der Richtlinienergebnissatz ist ein Abfragemodul, das bestehende und geplante Richtlinien abfragt und dann deren Ergebnisse meldet. Er fragt vorhandene Richtlinien in Abhängigkeit von Standort, Domäne, Domänencontroller und Organisationseinheiten ab. Für das Erstellen des Richtlinienergebnissatzes hat Microsoft den RichtlinienergebnissatzAssistenten für den Windows Server 2003 eingeführt. Alternativ zum Assistenten können Sie für den Protokolliermodus das Kommandozeilendienstprogramm Gpresult verwenden, das es bereits für die Windows 2000 Server-Version gab. 536

7.4 Richtlinienergebnissatz-Assistent


Der Richtlinienergebnissatz sammelt Informationen über die WMI-(Windows Management Instrumentation-)Schnittstelle aus der CIMOM-(Common Information Management Object Model-)Datenbank. Für die Simulation über den Richtlinienergebnissatz-Assistenten können Sie daher auch WMI-Filter für den Computer und/oder den Benutzer einbeziehen. Weitere Informationen über WMI finden Sie in der Microsoft Knowledgebase auf der Microsoft Technet- oder auf der Microsoft-Website.

Sie können Richtlinienergebnissatz-Abfragen auch mit dem Hilfe- und Supportcenter in einem begrenzten Umfang ausführen. Sie erhalten dort einen HTML-generierten Bericht, der einen RSoP im Protokolliermodus erstellt. Die Anfrage enthält allerdings nicht so viele Informationen wie der Richtlinienergebnissatz-Assistent.

7.4.1

RSoP im Protokolliermodus

Sie prüfen mit dem Protokolliermodus vorhandene GPO-Einstellungen von Benutzer- und Computerkonten, die an der jeweiligen Domäne angemeldet sind. Eine Überprüfung von Gruppenkonten oder anderen Objekten ist nicht möglich. Der Richtlinienergebnissatz (Resultant Set of Policy, RSoP) im Protokolliermodus verwendet für seine Abfrage die CIMOM-Datenbank über den WMI-Provider, wie wir bereits eingehend beschrieben haben. Meldet sich ein Computer an einem Netzwerk an, werden Informationen, die Hardware des Computers oder andere Benutzereinstellungen in die CIMOM-Datenbank geschrieben. Der RSoP kann daher die Benutzereinstellungen nicht in der Active DirectoryDatenbank abfragen, sondern nur das RSoP-Objekt in der CIMOM-Datenbank. Der Richtlinienergebnissatz-Assistent kann Ihnen auch nur dann Informationen liefern, wenn der betreffende Computer oder Benutzer sich bereits an der Domäne angemeldet hat. Fehlt der Knoten COMPUTERKONFIGURATION oder Benutzerinformation in der CIMOM-Datenbank des betreffenden Computers, wird nur der bereits bekannte Teil angezeigt. Sie steuern den RSoP im Protokolliermodus auf zwei Weisen an: T Sie klicken auf den Benutzer oder das Computerkonto, das Sie überprüfen möchten. Anschließend wählen Sie im Kontextmenü (rechte Maustaste) unter Alle Tasks den Eintrag Richtlinienergebnissatz (Protokollierung) aus. Sie müssen nachfolgend entsprechend Ihrer Überprüfung den Computer und den Benutzer angeben. T Sie erstellen eine benutzerdefinierte Managementkonsole über den mmc-Befehl und fügen dort das Snap-In Richtlinienergebnissatz (rsop.msc) ein. Vorteilhaft bei dieser Vorgehensweise ist, dass Sie mehrere Snap-Ins zur Konsole hinzufügen können und entsprechend mehrere Benutzer und Computer protokollieren können.


537

HIN WEIS

Der Richtlinienergebnissatz besteht aus dem Planungsmodus und dem Protokollierungsmodus. Im Planungsmodus können Sie die Auswirkungen von Richtlinieneinstellungen simulieren, die Sie auf einen Computer und Benutzer anwenden möchten, während Sie im Protokollierungsmodus die vorhandenen Richtlinieneinstellungen für einen Computer und einen bereits angemeldeten Benutzer aufzeichnen.

MCSE Examen 70-294

Abbildung 7.34: Richtlinienergebnissatz im Protokolliermodus

Wie bereits erwähnt, beinhalten Gruppenrichtlinien die Softwareeinstellungserweiterungen, die die Softwareinstallation auf dem Computer bzw. benutzerabhängig überwachen. In dem Richtlinienergebnissatz finden Sie Informationen darüber, welche Anwendungen für einen bestimmten Benutzer oder Computer verfügbar sind, sowie alle Softwareeinstellungsänderungen, die angekündigt sind oder angewendet wurden. Weiterhin ist es wichtig zu erfahren, in welcher Reihenfolge Gruppenrichtlinien auf ein Objekt wirken. GPOs vererben sich, wie bereits bekannt, automatisch, es sei denn, die Vererbung wird aufgehoben. Neben der Vererbung wirken noch Filter auf das Resultat. In den Eigenschaften des Richtlinienergebnissatzes für Computer (siehe Abbildung 7.35) finden Sie die dem Computer zugeordnete Gruppenrichtlinie so, wie sie effektiv ausgeführt wird. Durch Anklicken der Kontrollkästchen im unteren Teil des Dialogs können Sie die Anzeige nach Ihren Erfordernissen gestalten. Sie können sich die GPOs und deren Filterstatus anzeigen lassen, um zu überprüfen, ob die Richtlinien eines bestimmten GPOs übernommen worden sind. Sie können sich den Verwaltungsbereich anzeigen lassen, um den Ort herauszufinden, mit dem das angewendete GPO verknüpft ist. Damit Sie die Filterung und ggf. die Richtlinien bearbeiten können, sind die Schaltflächen SICHERHEIT und BEARBEITEN in den Dialog integriert worden. Hierfür klicken Sie das GPO an, das Sie im Gruppenrichtlinienobjekt-Editor bearbeiten wollen, und führen BEARBEITEN aus. Entsprechend führen Sie den Vorgang aus, wenn Sie die Eigenschaften des GPOs im Register SICHERHEIT bearbeiten wollen. Des Weiteren finden Sie in diesem Dialog die Revisionsnummern des GPOs hinsichtlich Active Directory (AD) und dem Sysvol-Verzeichnis.

538



Abbildung 7.35: Überprüfung der Reihenfolge der verwendeten GPOs

Zur Fehlersuche kann das Register FEHLERINFORMATIONEN hilfreich sein, wie Sie in Abbildung 7.36 sehen. Hier wurde als Beispiel ein GPO eingerichtet, das eine Softwareinstallation durchführen sollte. Sie können sich im Feld DETAILS informieren, ob die Installation zu einem bestimmten Datum erfolgreich bzw. nicht erfolgreich abgeschlossen wurde.

Abbildung 7.36: Überprüfung der Softwareinstallation


539

HIN WEIS

MCSE Examen 70-294

Sollten Sie aufgrund der Ergebnisse im Richtlinienergebnissatz das GPO verändern, müssen die Änderungen erst auf dem Clientcomputer aktiv werden. Da die Benutzereinstellungen mit der Anmeldung bzw. mit der CIMOM-Datenbank zusammenhängen, muss der Benutzer sich neu anmelden, damit Sie im RSoP die veränderten Richtlinien protokollieren können.

7.4.2

RSoP im Planungsmodus

Sie verwenden den Richtlinienergebnissatz-(RSoP-)Assistenten im Planungsmodus, wenn Sie beabsichtigen, eine Gruppenrichtlinie zu implementieren, und vorher die Auswirkungen der Richtlinie auf Benutzer oder/und Computer simulieren wollen.

Ausführen des RSoP SCHRITT FÜR SCHRITT

Sie verwenden den RSoP (Resultant Set of Policy) im Planungsmodus, indem Sie folgende Schritte ausführen:

1

(Optional) Sie erstellen eine neue OU, in der Sie Richtlinien einführen wollen.

2

Sie erstellen eine neue Richtlinie in einem GPO, das Sie mit einer neuen oder einer bestehenden OU, Domäne oder einem Standort verknüpfen. Oder: Sie verwenden eine bestehende Richtlinie in einem GPO, das mit einer OU, Domäne oder einem Standort verknüpft ist.

3

Sie führen den Richtlinienergebnissatz-Assistenten aus, indem Sie simulieren, dass Benutzer oder Computer diese Richtlinie anwenden.

Sie verwenden wie beim Planungsmodus die Konsole Active Directory-Benutzer und -Computer zur Ausführung. Alternativ zu dieser Methode können Sie den RSoP über eine benutzerdefinierte Managementkonsole mit dem Snap-In Richtlinienergebnissatz starten. Im Unterschied zum Planungsmodus können Sie die Simulation auch am Standort-, Domänen- oder einem beliebigen Organisationseinheit-Objekt ausführen. Der Benutzer oder Computer muss nicht angemeldet sein. Sie können den Planungsmodus starten, indem Sie am Objekt mit der rechten Maustaste das Kontextmenü öffnen und unter Alle Tasks den Eintrag Richtlinienergebnissatz (Planung) auswählen. Im Planungsmodus wird der Windows-Anmeldedienst nachgeahmt, indem simuliert wird, wie Benutzer- und Computereinstellungen ihre Sicherheitsdaten in die CIMOM-Datenbank schreiben. Der RSoP-Assistent enthält eine Reihe von Dialogen, die sich je nach Eingabe ändern. Um Ihnen einen Überblick zu verschaffen und die Navigation zu erleichtern, finden Sie in Abbildung 7.37 die Reihenfolge der Dialoge aufgelistet. Die Dialoge erkennen Sie am jeweiligen Dialogtitel.

540



Abbildung 7.37: Navigation durch die Dialoge

Auswahl von Benutzer, Computer oder Container Anhand des folgenden Beispiels soll die Funktionsweise von RSoP demonstriert werden. Für die Container OU=MKT,DC=Berlin,DC=pearson,DC=de möchten Sie die Auswirkung eines GPOs auf Computer und Gruppen simulieren. Da Sie in dem Feld Benutzerinformationen in Abbildung 7.38 keine Benutzergruppe direkt auswählen können, führen Sie die Simulation für alle authentifizierten Benutzer aus. Wählen Sie in beiden Einstellungen den Container aus. Möchten Sie hingegen den Test für einen bestimmten Benutzer oder Computer durchführen, fügen Sie entsprechend Ihrer Simulation die erforderlichen Objekte mit der Schaltfläche DURCHSUCHEN zu den Feldern Benutzerinformationen und Computerinformationen hinzu.


541

MCSE Examen 70-294

Abbildung 7.38: Eingabe, welche Benutzer- und Computerinformationen simuliert werden sollen. Im Eingabefeld wird automatisch der DN eingesetzt.

Erweiterte Simulationsoptionen Da GPOs auch mit Standorten verknüpft werden können, können Sie in diesem Fall auch den Standort in der Simulation berücksichtigen (siehe Abbildung 7.39).

Abbildung 7.39: Erweiterte Simulationsoptionen für Container

542



Wählen Sie für die Loopback-Verarbeitung die Option Ersetzen, wenn die bestehende GPOListe beim Booten des Computers ersetzt werden soll. Wählen Sie Zusammenführen, wenn Sie alle GPOs beim Starten des Computers zusammenführen wollen. Geben Sie einen anderen Standort ein, um alternative Benutzer- und Computerstandorte zu simulieren. Sie gewinnen aus dieser Einstellung Vorhersagen, wie sich ein Verschieben von Benutzerkonten bzw. Computerkonten auf die Richtlinien auswirkt. Simulation, für Benutzer und/oder Computer Möchten Sie eine Simulation basierend auf Benutzern oder Computern durchführen, erhalten Sie statt des Bildschirms aus Abbildung 7.39 die Ansicht aus Abbildung 7.40, wo Sie eine Angabemöglichkeit für alternative Benutzer- bzw. Computerstandorte haben. Diese Option simuliert Ihnen das Verschieben von Benutzern bzw. Computern an andere Standorte bzw. in andere Container. Je nach Eingabe variiert das Erscheinungsbild dieses Dialogs. Die Felder Benutzerstandort bzw. Computerstandort sind immer dann grau hinterlegt, wenn Sie in dem Feld (siehe Abbildung 7.38) Benutzerinformationen bzw. Computerinformationen einen Container auswählen.

Abbildung 7.40: Erweiterte Simulationsoptionen für alternative Benutzerstandorte eines Benutzers. Benutzerstandort und Computerstandort sind unterschiedlich, um ein Verschieben zu simulieren.

Abschluss der Simulation (für alle Auswahlkriterien gleich) Nachfolgend geben Sie in Abhängigkeit von Ihrer Simulation Sicherheitsgruppen ein, in denen der ausgewählte Computer oder Benutzer Mitglied ist. Wenn Sie eine Simulation in Abhängigkeit eines Containers durchführen, erhalten Sie per Voreinstellung nur die Sicherheitsgruppen Authentifizierte Benutzer und Jeder. Beide Sicherheitsgruppen können Sie nicht entfernen. Sie können jedoch auch andere Benutzer- und Computergruppen des Typs Global und lokale Domäne hinzufügen, um zu simulieren, wie sich die Richtlinien verhalten würden, wenn Sie eine Filterung des GPO-Bereichs vornehmen. 7.4 Richtlinienergebnissatz-Assistent

543

MCSE Examen 70-294

Sie geben auch Informationen über WMI-Filter ein, um die Auswirkungen dieser Filter auf Benutzer und/oder Computer zu testen. Abschließend erhalten Sie eine Zusammenfassung mit der Einstellmöglichkeit, erweiterte Fehlerinformationen zu ermitteln (siehe Abbildung 7.41)

Abbildung 7.41: Zusammenfassung mit der Einstellung Erweiterte Fehlerinformationen ermitteln.

Auswerten des RSoP Der RSoP-Assistent liefert Ihnen als Ergebnis das Snap-In Richtlinienergebnissatz. Auf den ersten Blick ähnelt die RSoP-Abfrage im Planungsmodus der im Protokollierungsmodus, sie kann jedoch mangels Abfrage an die CIMOM-Datenbank nur theoretische Werte über die Richtlinie liefern. Sie erkennen folglich nur: T Richtlinieneinstellungen, die in einem GPO vorgenommen worden sind. T Die Rangfolge der GPOs, aus denen eine Richtlinieneinstellung resultiert. T GPO-Revisionsinformationen T Informationen über den Verwaltungsbereich Abbildung 7.42 zeigt Ihnen den Richtlinienergebnissatz einer OU, die von zwei GPOs beeinflusst wird: von der Default Domain Policy und der GPO-MKT. Da sich die Richtlinien von höheren Instanzen zu niedrigeren vererben, beeinflusst die Default Domain Policy die GPOMKT, die benutzerdefiniert für die Organisationseinheit MKT erstellt wurde. Das Zeichen »weißes Kreuz auf rotem Kreis« charakterisiert in Abbildung 7.42 nicht etwa einen Fehler, sondern zeigt an, dass das Richtlinienmodul nicht versucht hat, die entsprechende Einstellung zu ändern. Da es sich hierbei um eine Simulation handelt, ist dieses Ergebnis durchaus gewollt und korrekt. Alle anderen Einstellungen werden in den Windows-Einstellungen in der Computerkonfiguration als Nicht definiert ausgewiesen. Im Detailfenster erkennen Sie in diesem Beispiel beim Knoten KENNWORTRICHTLINIEN die definierten Richtlinien. In der 544



Spalte Computereinstellung finden Sie die resultierenden Einstellungen und in der Spalte Quell-Gruppenrichtlinien das GPO, das für die Richtlinieneinstellung verantwortlich ist. Das Snap-In trägt also zu Recht seine englische Bezeichnung Resultant Set of Policy (RSoP).

Abbildung 7.42: Richtlinienergebnissatz (RSoP): Auswertung für lokale Kontorichtlinien

Kontorichtlinien Die Verwendung von Kontorichtlinien stellt eine Ausnahme von den sonst angewendeten Regeln dar: Wenn Sie Kontorichtlinien wie z.B. Kennwort- oder Kontosperrungsrichtlinien in Active Directory einstellen, sollten Sie berücksichtigen, dass nur die Standarddomänenrichtlinie (Default Domain Policy) Gültigkeit hat. Diese Richtlinie wird zur standardmäßigen Kontorichtlinie auf allen Windows 2000/XP-basierten Arbeitsstationen, Windows 2000 Server- oder Windows Server 2003-basierten Servern, die Mitglied der Domäne sind. Es gibt jedoch auch eine Ausnahme für diese Regel: Sie können eine weitere Kontorichtlinie für eine Organisationseinheit konfigurieren. Die Einstellungen der Kontorichtlinie für die OU wirken sich auf die lokalen Richtlinien aller in der OU befindlichen Computer aus. Sie können also ein Gruppenrichtlinienobjekt mit einer von der Standarddomänenrichtlinie abweichenden Einstellung (hinsichtlich der Kontorichtlinie) erstellen. In diesem Fall sind die Kontorichtlinieneinstellungen der standardmäßigen Domänenrichtlinie wirksam, wenn sich ein Benutzer an der Domäne anmeldet. Falls sich ein Benutzer lokal auf der Arbeitsstation anmeldet, wird die lokale Kontorichtlinie verwendet, die vom betreffenden Gruppenrichtlinienobjekt für die OU definiert ist. Beachten Sie, dass die Kontorichtlinien, die in der OU des standardmäßigen DomänenControllers definiert sind, keine Wirksamkeit besitzen, da Domänencontroller, anders als Arbeitsstationen und Server, nicht über lokale Konten verfügen. Weitere Informationen über Kontorichtlinien finden Sie in Kapitel 7.5.1.


545

MCSE Examen 70-294

Wählen Sie die Eigenschaften einer Richtlinie aus, die definiert ist, erkennen Sie im Register SICHERHEITSRICHTLINIE die Computereinstellung und im Register RANGFOLGE (siehe Abbildung 7.43) das Richtlinienobjekt, das für die Einstellung verantwortlich ist.

Abbildung 7.43: Rangfolge bei Richtlinien

Ähnlich wie bei dem Protokolliermodus finden Sie unter den Eigenschaften der Knoten COMPUTERKONFIGURATION und BENUTZERKONFIGURATION weitere wertvolle Hinweise. Wie Sie aus der Auswertung in der Abbildung 7.43 schon erkennen, verändert die GPO-MKT mit höchster Priorität die Richtlinieneinstellungen. Der Reiter ALLGEMEIN in Abbildung 7.44 zeigt Ihnen den entsprechenden Sachverhalt.

Abbildung 7.44: Eigenschaften des Knotens Computerkonfiguration

546



Haben Sie eine Softwareverteilung vorgenommen, zeigt Ihnen der RSoP im Planungsmodus auch Informationen über den Namen des Softwarepakets mit der Version an. Sie erhalten hier ebenfalls Informationen über den Paketstatus (Zugewiesen oder Veröffentlicht), der Quelle des bereitgestellten Pakets und dem des GPOs, das das Paket bereitstellt.

Sie erhalten die administrativen Vorlagen für Benutzer und Computer nur dann, wenn eine Richtlinieneinstellung vorgenommen wurde.

RSoP über das Dienstprogramm Gpresult Das Dienstprogramm Gpresult entspricht der Kommandozeilenversion des Richtlinienergebnissatz-Assistenten im Protokolliermodus. Es zeigt die Informationen des Gruppenrichtliniensatzes für einen Zielbenutzer und -computer an. gpresult [/s [/u [/p ]]] [/scope ] [/user ] [/v | /z] Gpresult besitzt folgende Parameter: Parameter mit Wert

Beschreibung

/s

Sie geben den Namen oder die IP-Adresse des Remotesystems an. In der Hilfe wird der Wert auch als System bezeichnet. Die Standardeinstellung ist der lokale Computer.

/u

Geben Sie hier den Benutzernamen in folgender Form an: Domäne\Benutzername. Sie führen den Befehl mit den Credentials des angegebenen Benutzers aus. Per Voreinstellung wird der aktuell angemeldete Benutzer verwendet.

/p

Geben Sie das Kennwort für das Benutzerkonto ein, das Sie unter /u Benutzername angeben. Der Parameter ist nur in Verbindung dem /u-Parameter gültig. Fehlt der Wert, werden Sie zur Kennworteingabe aufgefordert.

/scope

Sie legen fest, ob die Benutzer- oder Computereinstellungen angezeigt werden sollen. Gültige Werte für den Bereich sind user und computer. Wenn Sie den Parameter /scope weglassen, zeigt Gpresult Ihnen beide Einstellungen an.

/user

Geben Sie hier den Zielbenutzernamen in folgender Form an: Domäne\Benutzername. Sie legen hiermit fest, für welchen Benutzer die RSoP-Daten angezeigt werden sollen.

/v

Sie legen mit dem /v-Parameter (verbose, v) fest, dass Sie sich ausführliche Informationen anzeigen lassen wollen.

Tabelle 7.12: Befehlsparameter von Gpresult


547

HIN WEIS

Weisen Sie Benutzern ein Anmeldeskript zu, finden Sie Informationen über den Skriptnamen inklusive der Skriptparameter. Weiterhin zeigt Ihnen der RSoP an, wann das Skript zum letzten Mal ausgeführt worden ist und welche GPO das Skript zuweist.

MCSE Examen 70-294 Parameter mit Wert

Beschreibung

/z

Sie legen mit diesem Parameter fest, dass Sie sich besonders ausführliche Informationen mit detaillierten Einstellungen anzeigen lassen wollen.

/?

Zeigt die Hilfe des Programms an.

Tabelle 7.12: Befehlsparameter von Gpresult (Forts.)

Die einfachste Möglichkeit, diesen Befehl zu verwenden, ist die Eingabe von Gpresult ohne zusätzliche Parameter. In diesem Fall werden die RSoP-Daten des zurzeit angemeldeten Benutzers im Protokolliermodus ausgelesen. Sie können die Ausgabe in eine beliebige Textdatei (Endung *.txt) schreiben, indem Sie Gpresult > Textdatei.txt eingeben. C:\>gpresult /user berlin\administrator Betriebssystem Microsoft (R) Windows (R) Gruppenrichtlinienergebnis-Tool v2.0 Copyright (C) Microsoft Corp. 1981-2001 Am 10.03.2004, um 12:04:03 erstellt

RSOP-Daten für BERLIN\administrator auf SERVER02: Protokollmodus ----------------------------------------------------------------Betriebssystemtyp:

Microsoft(R) Windows(R) Server 2003 Enterprise Edition Betriebssystemkonfiguration: Primärer Domänencontroller Betriebssystemversion: 5.2.3790 Terminalservermodus: Remoteverwaltung Standortname: Hamburg Zwischengespeichertes Profil: Lokales Profil: C:\Dokumente und Einstellungen\administrator Langsame Verbindung? Nein COMPUTEREINSTELLUNGEN ---------------------CN=SERVER02,OU=Domain Controllers,DC=berlin,DC=pearson,DC=de Letzte Gruppenrichtlinienanwendung: 10.03.2004, um 12:02:30 Gruppenrichtlinieanwendung von: Server02.berlin.pearson.de Schwellenwert für langsame Verbindung:500 kbps Domänenname: BERLIN Domänentyp: Windows 2000 Angewendete Gruppenrichtlinienobjekte -------------------------------------Default Domain Controllers Policy Default Domain Policy Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet. ----------------------------------------------------------------

548


7 – Installieren und Verwalten von Gruppenrichtlinien Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Computer ist Mitglied der folgenden Sicherheitsgruppen ---------------------------------------------------------Administratoren Jeder Benutzer Prä-Windows 2000 kompatibler Zugriff Windows-Autorisierungszugriffsgruppe NETZWERK Authentifizierte Benutzer Diese Organisation SERVER02$ Domänencontroller DOMÄNENCONTROLLER DER ORGANISATION BENUTZEREINSTELLUNGEN ---------------------CN=Administrator,CN=Users,DC=berlin,DC=pearson,DC=de Letzte Gruppenrichtlinienanwendung: 17.03.2004, um 20:00:58 Gruppenrichtlinieanwendung von: Server02.berlin.pearson.de Schwellenwert für langsame Verbindung:500 kbps Domänenname: BERLIN Domänentyp: Windows 2000 Angewendete Gruppenrichtlinienobjekte -------------------------------------Default Domain Policy Folgende herausgefilterte Gruppenrichtlinien werden nicht angewendet. ---------------------------------------------------------------Richtlinien der lokalen Gruppe Filterung: Nicht angewendet (Leer) Der Benutzer ist Mitglied der folgenden Sicherheitsgruppen ---------------------------------------------------------Domänen-Benutzer Jeder Administratoren Benutzer Prä-Windows 2000 kompatibler Zugriff INTERAKTIVE REMOTEANMELDUNG INTERAKTIV Authentifizierte Benutzer Diese Organisation LOKAL Domänen-Admins Richtlinien-Ersteller-Besitzer Listing 7.2: Auszug (Anfangsdaten) aus der Bildschirmausgabe von Gpresult


549

MCSE Examen 70-294

Fehler, die in Verbindung mit RSoP auftreten können Beim Ausführen von RSoP oder des Programms können Fehler auftreten, wenn zum Beispiel keine CIMOM-Abfrage durchgeführt werden kann. Benutzer ist nicht vorhanden Ursache

Lösung

Sie erhalten diese Fehlermeldung, wenn Sie einen RSoP im Protokolliermodus ausführen und der Benutzer sich auf dem ausgewählten Computer noch nicht angemeldet hat.

Für eine Abfrage muss sich der Benutzer mindestens einmal auf dem betreffenden Computer angemeldet haben.

Abbildung 7.45: Der RSoP-Assistent meldet einen Fehler, wenn der betreffende Benutzer sich noch nie auf dem ausgewählten Computer angemeldet hat.

Der Client-Computer ist nicht erreichbar oder existiert nicht Ursache

Lösung

Sie erhalten diese Fehlermeldung, wenn Sie einen RSoP im Protokolliermodus ausführen und der Computer nicht erreichbar ist.

Ein Grund für die Nicht-Erreichbarkeit kann zum Beispiel ein Versagen der Netzwerkverbindung sein oder die Tatsache, dass der Computer ausgeschaltet ist.

Abbildung 7.46: Fehlermeldung, wenn der Computer nicht erreichbar ist

550



Sie können sich nicht zu einer Domäne verbinden Ursache

Lösung

Falls Sie den RSoP-Assistenten von einem Clientcomputer (Mitgliedsserver oder Workstation) aus ausführen, kann es sein, dass Sie zwar alle Abfragen im Protokolliermodus durchführen können, es aber nicht möglich ist, den Ursprung der Richtlinien zu ermitteln.

Sie wählen in der Managementkonsole Richtlinienergebnissatz die Eigenschaften des Knotens COMPUTERKONFIGURATION aus, überprüfen den Filterstatus und die Meldungen im Register FEHLERINFORMATIONEN. Anschließend überprüfen Sie die Netzwerkverbindung.

Die Richtlinie ist nicht auf dem Zielcomputer aktiviert worden Ursache

Lösung

Sie haben eine Richtlinie geändert und möchten diese überprüfen. Sie wundern sich, dass Ihre Änderungen nicht durchgeführt wurden.

Hier kann es sein, dass der Benutzer sich erst neu anmelden muss, bevor Sie die Änderungen mit dem Gpresult-Tool oder mit dem RSoP-Assistenten erhalten. Es kann allerdings auch sein, dass die Änderungen noch gar nicht auf dem Client aktualisiert worden sind. In diesem Fall wenden Sie das GPUpdate-Dienstprogramm an. Weitere Informationen über die Aktualisierung finden Sie in Kapitel 7.1.6.

Die lokale Richtlinie wird nicht aktiv Ursache

Lösung

Lokale Richtlinien verfügen über die niedrigste Priorität und werden u.U. von anderen Richtlinien überschrieben.

Prüfen Sie mit dem RSoP-Assistenten die Auswirkung der Richtlinien auf den betreffenden Benutzer bzw. Computer. Klicken Sie in die Eigenschaften der betreffenden Richtlinieneinstellung, und verfolgen Sie, wie oder ob die Richtlinie überschrieben worden ist.

7.5

Beispiele für den Einsatz von Gruppenrichtlinien

Gruppenrichtlinien können das Betriebssystem verändern oder erweitern es um einige Intelli-Mirror-Features. Das folgende Unterkapitel zeigt Ihnen die Funktionsweise der Einstellungen anhand einiger Beispiele.

7.5 Beispiele für den Einsatz von Gruppenrichtlinien

551

MCSE Examen 70-294

7.5.1

Kontorichtlinien

Kontorichtlinien dienen der Anmeldesicherheit, indem bestimmte Vorgaben verhindern, dass unbefugte Dritte allzu schnell Kenntnis über ein bestimmtes Konto erlangen. Sie verhindern keinen Kennwortmissbrauch, haben aber die wichtige Aufgabe, einen Missbrauch wesentlich zu erschweren. Kontorichtlinien werden auf Computern eingerichtet, d.h., Sie konfigurieren in einem GPO den Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN, um diese Richtlinien zu aktivieren. Sie unterscheiden zwischen drei Sicherheitseinstellungen: T Kennwortrichtlinien – Für die Einstellung der Eigenschaften eines Kennworts T Kontosperrungsrichtlinien – Für die Einstellung von Umständen und der Zeitdauer einer Kontosperre T Kerberos-Richtlinien – Für die Kerberos-bezogenen Einstellungen, wie die Gültigkeitsdauer von Tickets. Kerberos-Richtlinien sind nicht in den lokalen Computerrichtlinien vorhanden. Sie können für Domänenkonten immer nur eine Kontorichtlinie festlegen. Sie muss in der Standarddomänenrichtlinie (Default Domain Policy) definiert werden und wird von den Domänencontrollern erzwungen, aus denen die Domäne besteht. Ein Domänencontroller ruft auch dann die Kontorichtlinie von der GPO der Standarddomänenrichtlinie ab, wenn Sie für die OU, die den Domänencontroller enthält, eine andere Kontorichtlinie verwenden.

HIN WEIS

Standardmäßig erhalten Arbeitsstationen und Server, die einer Domäne angehören, dieselbe Kontorichtlinie für ihre lokalen Konten. Die lokalen Kontorichtlinien können sich jedoch von den Domänenkontorichtlinien unterscheiden, da sie nicht die Konten der Domäne betreffen.

Folgende Richtlinien verhalten sich ähnlich: T Netzwerkzugriff – Anonyme SID-/Namensübersetzung zulassen T Netzwerksicherheit – Abmeldung nach Ablauf der Anmeldezeit erzwingen

Erzwingen einer Kennwortrichtlinie Sie erzwingen eine Kennwortrichtlinie für die Anmeldung an die Domäne, wenn Sie die Default Domain Policy bearbeiten. Wie Sie aus Abbildung 7.47 erkennen können, müssen Benutzer spätestens alle 42 Tage ihr Kennwort ändern. Damit die Benutzer ihr altes Kennwort nicht sofort wieder verwenden, wird nicht nur eine Kennwortchronik von 24 Kennwörtern, sondern auch ein minimales Kennwortalter definiert. Bei einer Einstellung von einem Tag für das Kennwortalter ergibt sich, dass ein Anwender frühestens nach 24 Tagen sein altes Kennwort wiederhaben kann. Tabelle 7.13 zeigt Ihnen die gültigen Eingabewerte:

552


7 – Installieren und Verwalten von Gruppenrichtlinien Richtlinie

Wert

Richtlinieneinstellung

Kennwort muss Komplexitätsvoraussetzungen entsprechen

Aktiviert oder Deaktiviert

Diese Einstellung ist auf Domänencontrollern standardmäßig aktiviert und auf Mitgliedsservern und allein stehenden Servern deaktiviert.

Kennwortchronik erzwingen

0

Keine Kennwortchronik führen

1–24

Kennwortchronik mit bis zu 24 gespeicherten Kennwörtern pro Benutzerkonto


Aktiviert oder Deaktiviert

Sie sollten aus Sicherheitsgründen diese Einstellung auf Deaktiviert belassen. Die Richtlinie ist nur bei der Verwendung einer CHAP-Authentifizierung über den RAS-Dienst, den IAS-Dienst oder bei Verwendung der Digestauthentifizierung über den IIS erforderlich.

Maximales Kennwortalter

0

Das Kennwort läuft nie ab.

1–998

Das Kennwort läuft nach spätestens 998 Tagen ab. Nach der Zeit muss der Anwender sein Kennwort ändern. Die Voreinstellung beträgt 42 Tage.

0

Es ist kein Kennwort erforderlich.

1–14

Das Kennwort muss mindestens die entsprechende Länge besitzen.

0

Das Kennwort kann sofort geändert werden. Benutzer können ihr Kennwort so oft ändern, wie sie wollen. Mit dieser Einstellung können sie die Kennwortchronik problemlos umgehen, indem sie ihr Kennwort so oft ändern, bis sie wieder ihr altes Kennwort nehmen dürfen.

1–998

Das Kennwort darf erst ab 1 bis 998 Tagen wieder geändert werden. Die Voreinstellung beträgt 1 Tag.

Minimale Kennwortlänge

Minimales Kennwortalter

Tabelle 7.13: Gültige Richtlinieneinstellungen für Kontorichtlinien

Abbildung 7.47: Einrichten einer Kennwortrichtlinie in der Default Domain Policy


553

HIN WEIS

MCSE Examen 70-294

Soll die Richtlinie Kennwortchronik führen wirksam ein, muss das minimale Kennwortalter mindestens auf 1 Tage eingestellt sein.

Erzwingen einer Kontosperrungsrichtlinie Sie verwenden Kontosperrungsrichtlinien für Domänenkonten oder lokale Benutzerkonten, indem Sie die Umstände und die Zeitdauer für eine Kontosperre bestimmen. Tabelle 7.14 zeigt Ihnen die Einstellungsmöglichkeiten. Richtlinie

Wert


Kontensperrungsschwelle

0

Das Konto wird nicht gesperrt, wenn falsche Angaben gemacht werden.

1–999

Der Wert entspricht der maximalen Anzahl der ungültigen Anmeldeversuche. Der Standardwert beträgt 5.

0

Das Konto ist gesperrt, bis der Administrator die Sperrung aufhebt.

1–99.999 Minuten

Der Wert entspricht dem Zeitraum, für den ein Konto gesperrt ist. Nach Ablauf der Zeit wird das Konto automatisch wieder aktiviert. Der Standardwert beträgt 30 Minuten.

1–99.999 Minuten

Der Wert entspricht der Zurücksetzungsdauer des Kontosperrungszählers. Der Standardwert beträgt 30 Minuten.

Kontosperrdauer

Zurücksetzungsdauer des Kontosperrungszählers

Tabelle 7.14: Richtlinieneinstellungen für Kontorichtlinien

7.5.2

Softwareverteilung

Microsoft hat für die Bereitstellung von Software IntelliMirror-Funktionen in Active Directory integriert. Diese Softwareverteilungsfunktionen basieren auf Gruppenrichtlinien und weitgehend auf dem Windows Installer-Dienst. Durch die Active Directory-Integration ermöglicht die Softwareinstallation eine zentrale Verwaltung.

Einführung Neben der Bereitstellung von Software hat der Knoten SOFTWAREINSTALLATION in einem GPO noch folgende Leistungsmerkmale: T Sie stellen Software für einen Computer oder einen Benutzer erstmalig bereit. T Sie aktualisieren Anwendungen und das Betriebssystem mit Service Packs, Patches oder Fixes. T Sie entfernen nicht mehr benötigte Software.

554



Die Installation über Gruppenrichtlinien betrifft ausschließlich Microsoft-Produkte bzw. Hersteller, die sich nach den Vorgaben von Microsoft richten. Wie eingangs erwähnt wurde, können Sie mit dem Windows Installer-Dienst, der sich auf dem Clientcomputer befindet, eine Microsoft-Applikation installieren. Die Datei erkennen Sie an der Endung *.msi. Eine weitere Neuerung sind die Anwendungsdateien, die Sie über das Microsoft Zero Administration Kit erstellen können. Eine Anwendungsdatei ist eine Datei im Textformat mit der Endung *.zap, die Anweisungen enthält, wie ein normales Setup-Programm veröffentlicht werden kann. Sie verwenden also die Anwendungsdatei immer dann, wenn Sie keine InstallerDatei zur Verfügung haben. Allerdings können Sie keine Anwendungsdatei mit dem Windows Installer ausführen. Ein Benutzer erhält im Zuge der Verarbeitung seiner Richtlinien sein Installationspaket, indem er sich über seinen Computer an der Domäne anmeldet. Hierbei unterscheiden Sie zwei Methoden: 1. Zuweisen von Anwendungen 2. Veröffentlichen von Anwendungen Beim Zuweisen von Anwendungen müssen Sie zwischen dem benutzerabhängigen Zuweisen und dem computerabhängigen Zuweisen unterscheiden. Weisen Sie einem Benutzer ein Softwarepaket zu, wird es angekündigt, wenn der Benutzer sich an seiner Arbeitsstation anmeldet. Die Ankündigung geschieht im Startmenü im Profil des Benutzers. Der Benutzer hat anschließend die Möglichkeit, das Softwarepaket zu akzeptieren, indem er auf den Link im Startmenü klickt, oder er kann diesen Eintrag ignorieren. Die Zuweisung ist hier so lange aktiv, wie das Paket in dem GPO des Benutzers konfiguriert ist. Die lokale Registrierung wird modifiziert, denn die Software soll immer dann installiert werden, wenn der Benutzer eine Datei mit der entsprechenden Endung anklickt. Soll zum Beispiel Word installiert werden, kann der Benutzer auf ein Word-Dokument mit der Endung *.doc klicken und automatisch wird Microsoft Word installiert. Bei einer Zuweisung an Computer wird das Softwarepaket während der Aktivierung der Richtlinie auf dem Computer installiert. Die Installationsroutine muss hierfür so programmiert sein, dass eine Installation im Hintergrund möglich ist. Soll ein Programm deinstalliert werden, wird dieser Vorgang beim nächsten Starten des Computers durchgeführt. Beim Veröffentlichen von Anwendungen werden Softwarepakete nicht installiert, sondern nur angekündigt. Sie können daher einem Computer keine Softwarepakete veröffentlichen, sondern immer nur einem Benutzer. Anders als beim Zuweisen finden Sie keine Links auf dem Desktop des Benutzers, die auf ein Softwarepaket schließen lassen, sondern einen Eintrag in der Systemsteuerung unter Software. Die lokale Registrierung auf dem Clientcomputer wird nicht modifiziert. Hinter dem Icon Software in der Systemsteuerung verbirgt sich das Dienstprogramm Software. Damit Sie Windows Installer-Pakete, bzw. Dateien anpassen können, bietet Ihnen Microsoft die Möglichkeit, diese mit einem Assistenten zu verändern, wie dies zum Beispiel mit dem Office XP-Software-Paket der Fall ist. Das Windows Installer Paket kann mit einer sog. Transformationsdatei (*.mst) oder einer Patchdatei (*.msp) verändert werden.


555

MCSE Examen 70-294

Verteilen von Software SCHRITT FÜR SCHRITT

Bei beiden Methoden, Zuweisen oder Veröffentlichen, müssen Softwarepakete von einem Server heruntergeladen werden. Diesen Server bezeichnet man als Softwareverteilungspunkt, auf dem ein freigegebenes Verzeichnis mit den Installationsdateien bereitstellt ist (siehe Abbildung 7.48).

Abbildung 7.48: Prinzip der Softwareverteilung über ein GPO

Zur Planung der Softwareverteilung müssen Sie folgende Schritte beachten:

1

Für die zu verteilende Applikation existiert ein Windows Installer Paket bzw. eine Anwendungsdatei.

2

Sie erstellen einen Softwareverteilungspunkt, indem Sie ein Verzeichnis auf einem Dateiserver freigeben und dort die Software ablegen. Vorteilhaft ist es auch, als Freigabe eine DFS-Freigabe zu verwenden. Für den Dateizugriff ist eine Leseberechtigung für die Benutzer erforderlich.

3

Sie erstellen ein GPO in dem Sie das Softwarepaket für Benutzer oder Computer bereitstellen.

Die Softwareinstallation mittels Gruppenrichtlinien ist nicht für große Softwareverteilungen geeignet, da die Installation nicht bandbreiten- und zeitabhängig gesteuert werden kann. Sie haben auch keine detaillierten Kontrollmechanismen, ob und wie ein Client Software installiert bekommen hat. Die Softwareverteilung über Active Directory verwendet ein Pull-Modell, d.h., die Software wird nur dann vom Verteilungspunkt installiert, wenn ein Client dies anfordert. Im schlechtesten Fall fordern alle Clients zur selben Zeit ein Softwarepaket an, was zur Folge hat, dass Ihr Firmennetzwerk »zusammenbricht«. Für größere Installationen empfiehlt Microsoft das Systems Management Server-Produkt in der aktuellen Version »2003«, das auch die Push-Methode unterstützt, in der Clients automatisch installiert werden können. Auf dem Markt gibt es allerdings noch eine Reihe von 556



Softwareinstallationsprodukten, die sehr komfortabel Software und komplette Computer aufsetzen können.

Allgemeine Einstellungen der Softwareinstallation In einem GPO existieren zwei Knoten, die für eine Softwareinstallation in Frage kommen: T COMPUTERKONFIGURATION/SOFTWAREEINSTELLUNGEN/SOFTWAREINSTALLATION T BENUTZERKONFIGURATION/SOFTWAREEINSTELLUNGEN/SOFTWAREINSTALLATION In beiden Knoten finden Sie Eigenschaften, die Sie konfigurieren können. In den 4 Reitern der Eigenschaften können Sie Einstellungen vornehmen, die alle verwendeten Pakete im Knoten betreffen. Im ersten Register ALLGEMEIN finden Sie allgemeine Einstellungen zum Installationspfad und der Installationsart (siehe Abbildung 7.49). Sie können in dem Feld Standardpfad für Pakete den UNC-Namenspfad zu den Windows Installer-Paketen eingeben. Falls Sie das Feld leer lassen, müssen Sie beim Hinzufügen von Paketen immer den Ort der Quelldateien manuell eingeben. Für die Softwareverteilung für Benutzer stehen insgesamt 4 Optionen zur Verfügung: T Dialogfeld »Software bereitstellen« anzeigen – Diese Option zeigt das entsprechende Dialogfeld an. Sie können mit dem Dialog die Paketeigenschaften bearbeiten. Diese Einstellung ist der Standard. T Veröffentlichen – Beim Hinzufügen neuer Pakete wird standardmäßig eine Veröffentlichung verwendet. Diese Option ist nicht für die Computerkonfiguration verfügbar. T Zuweisen – Beim Hinzufügen neuer Pakete wird per Voreinstellung die Zuweisung verwendet. T Erweitert – Beim Hinzufügen neuer Pakete wird das Eigenschaftsdialogfeld des Pakets angezeigt.

Abbildung 7.49: Darstellung der Eigenschaften des Knotens Softwareinstallation


557

MCSE Examen 70-294

Mit dem Eintrag Benutzeroberflächenoptionen für die Installation legen Sie fest, ob Benutzer während der Installation nur eine Basisanzeige (Option Einfach) oder eine Installationsmeldung (Option Maximum) angezeigt bekommen. Im Register ERWEITERT können Sie Optionen festlegen, die dann wirksam werden, wenn Anwendungen automatisch vom Client wieder entfernt werden sollen, wenn Sie das Paket aus dem Knoten SOFTWAREINSTALLATION löschen. Diese Einstellung aktivieren Sie mit der Einstellung Anwendungen deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegen. Falls Sie Informationen zu den COM-Komponenten (Component Object Model – der Nachfolger vom OLE-2 (Object Linking and Embedding)) mit dem Paket bereitstellen wollen, setzen Sie einen Haken im Kontrollkästchen OLE-Informationen beim Bereitstellen von Anwendungen einbeziehen. OLE, COM, DCOM oder COM+ sind Modelle, die Objekte innerhalb eines Betriebssystems definieren und Funktionen wie ein Drag&Drop oder das Starten eines Programms innerhalb eines anderen ermöglichen.

Abbildung 7.50: Erweiterte Eigenschaften für die Softwareverteilung

Das Register DATEIERWEITERUNGEN benötigen Sie nur dann, wenn Sie ein GPO mit einer Softwareverteilung mit mehreren Applikationen konfiguriert haben, die alle den gleichen Dateityp verwenden. Um die Zuordnung zu regeln, welches Programm zuerst gestartet werden soll, wenn der Benutzer eine Datei mit einer bestimmten Endung auswählt, können Sie die Startreihenfolge der Programme festlegen. In Abbildung 7.51 verwenden sowohl Microsoft Office XP als auch Frontpage die gleiche Dateierweiterung. Falls dies der Fall ist, können Sie die Reihenfolge der Anwendungen für die jeweiligen Dateierweiterungen verändern, indem Sie zuerst im einzeiligen Listenfeld Dateierweiterungen auswählen die gewünschte Dateiendung auswählen und anschließend die Reihenfolge verändern.

558



Abbildung 7.51: Verändern der Reihenfolge von verknüpften Anwendungen

Beachten Sie, dass nur das Programm installiert wird, das an oberster Stelle angeordnet ist. Wenn im Dialogfenster aus Abbildung 7.51 ein Anwender eine Datei mit der Endung *.mpf anklickt, wird das Office XP Small Business-Softwarepaket installiert und nicht FrontPage. In der Registerkarte KATEGORIEN können Sie Kategorien angeben, unter denen veröffentlichte Anwendungen in der Systemsteuerung unter Software gruppiert werden können. Die endgültige Zuordnung, zu welcher Kategorie Ihr Softwarepaket gehören soll, stellen Sie in den Paketeigenschaften ein.

Abbildung 7.52: Angabe von Kategorien


559

MCSE Examen 70-294

Angabe von Softwarepaketen in einem GPO Wie am Anfang des Kapitels 7.5.2 bereits beschrieben wurde, erstellen Sie neue Softwarepakete in folgenden beiden Knoten: T COMPUTERKONFIGURATION/SOFTWAREEINSTELLUNGEN/SOFTWAREINSTALLATION T BENUTZERKONFIGURATION/SOFTWAREEINSTELLUNGEN/SOFTWAREINSTALLATION Sie klicken auf einen der o.g. Knoten und erstellen so über das Kontextmenü ein neues Paket. Sie haben im Öffnen-Dialogfester die Möglichkeit, eine Datei vom Typ Windows InstallerPakete (*.msi) oder ZAP-Pakete (*.zap) zu öffnen. Anschließend wählen Sie die Bereitstellungsmethode aus. Sie haben dabei folgende Optionen zur Auswahl: T Veröffentlicht (nicht für den Knoten COMPUTERKONFIGURATION/...) T Zugewiesen T Erweitert (für das sofortige Bearbeiten des Pakets) Wenn Sie das Softwarepaket anschließend bearbeiten möchten, wählen Sie die Einstellung Erweitert aus. Sie können allerdings auch später in die Eigenschaften des Softwarepakets gehen. Dort können Sie Folgendes ändern: T Register ALLGEMEIN – Name des Softwarepakets und URL T Register BEREITSTELLUNG VON SOFTWARE – Hier können Sie die bereits bekannten Einträge für die Bereitstellungsart und für die Bereitstellungsoptionen eingeben bzw. verändern. Unter der Schaltfläche ERWEITERT verbirgt sich ein weiteres Dialogfenster, in dem Sie Diagnoseinformationen erhalten und angeben können, ob Sie die Sprache des Softwarepakets ignorieren möchten. Per Voreinstellung ist dieses Feld nicht aktiviert, d.h., Sie dürfen nur die gleiche Sprachversion wie das Betriebssystem installieren. Achten Sie auf den Haken bei Automatischen installieren, .... Das Kontrollkästchen muss aktiviert sein, damit Benutzer die Applikation installieren können, sobald Sie die entsprechende Datei öffnen.

Abbildung 7.53: Eigenschaften eines Softwarepakets

560



T Register AKTUALISIERUNGEN – In diesem Register geben Sie ein Softwarepaket an, das aktualisiert werden soll. Sie können hierbei auswählen, ob Sie das bestehende Softwarepaket vor der Aktualisierung deinstallieren wollen, oder ob Sie das neue Paket über die bestehende Software installieren möchten. Damit Sie ein bestehendes Softwarepaket aktualisieren können, müssen Sie in dem GPO ein geeignetes Paket bereitstellen, das fähig ist, diesen Vorgang durchzuführen. T Register KATEGORIEN – Sie wählen für Ihr Softwarepaket die Kategorie aus, die Sie unter den Eigenschaften des Knotens SOFTWAREINSTALLATION definiert haben. T Register ÄNDERUNGEN – Für das Ändern bzw. Patchen des Softwarepakets benötigen Sie eine Transformationsdatei (*.mst). Sie fügen die Transformationsdateien in das Dialogfenster ein und können anschließend die Reihenfolge bearbeiten.

Das Softwarepaket wird sofort nach der Bearbeitung zugewiesen bzw. veröffentlicht. Seien Sie also vorsichtig, denn falsch zugewiesene Softwarepakete können großen Schaden anrichten. Testen Sie daher den Vorgang, bevor Sie die Softwarepakete in der Produktionsumgebung einrichten. Eine Schwierigkeit besteht in Active Directory auch darin, dass Sie keinen Überblick über die eingesetzte Hardware auf den Clientcomputern besitzen. Sie können keine Installation in Abhängigkeit von gewissen Hardwarefaktoren durchführen, wie es zum Beispiel beim Systems Management Server der Fall ist.

7.5.3

Softwareeinschränkung

Die Softwareeinschränkung erlaubt eine Steuerung von Programmen, die auf einem Clientcomputer erlaubt sind. Die Richtlinien für die Softwareeinschränkung sind neue Funktionen für Windows XP- und Windows Server 2003-basierende Computer, um den Einsatz von unbekannten und nicht erlaubten Programmcodes zu verhindern. Sie setzen mit einer Softwareeinschränkung Ihre Betriebsrichtlinie, nur lizenzierte Software einzusetzen, genauso durch, wie Sie auch verhindern können, dass virenverseuchte Software auf die Computer eingespielt wird. Die Softwareeinschränkung funktioniert allerdings nicht auf Windows NToder Windows 2000-basierenden Computern. Über die Richtlinien für die Softwareeinschränkung können Sie Folgendes steuern: T Benutzer dürfen nur ganz bestimmte Dateien und Programme verwenden. T Sie können verhindern, dass bestimmte Dateitypen, die sich in der E-Mail-Anlage befinden, ausgeführt werden. T Nur bestimmte Benutzer dürfen vertrauenswürdige (Zertifikats-)Herausgeber auswählen.


561

HIN WEIS

T Register SICHERHEIT – Hier können Sie Berechtigungen für Sicherheitsgruppen vergeben. Damit Benutzern das Softwarepaket zugewiesen werden kann, müssen Sie diesen die Berechtigung Lesen:Zulassen erteilen.

MCSE Examen 70-294

HIN WEIS

Abbildung 7.54: Richtlinien für Softwareeinschränkung betreffen zu installierende Applikationen

Sie finden den Knoten SOFTWAREEINSCHRÄNKUNG/SICHERHEITSSTUFEN sowohl im Knoten COMPUTERKONFIGURATION als auch in der BENUTZERKONFIGURATION.

Sicherheitsstufen Im Knoten RICHTLINIEN FÜR SOFTWAREEINSCHRÄNKUNG/Sicherheitsstufen gibt es zwei Standardsicherheitsstufen: T Nicht erlaubt – Sie verbieten unabhängig von den Privilegien des Benutzers eine Installation von Software. T Nicht eingeschränkt – Sie erlauben eine Softwareinstallation mit den Privilegien des jeweils angemeldeten Benutzers. Diese Sicherheitsstufe ist die Standardeinstellung.

Abbildung 7.55: Sie erkennen die gerade aktive Sicherheitsstufe am weißem Häkchen auf schwarzem Grund.

Wenn Sie neue Richtlinien für Softwareeinschränkung erstellen, wird automatisch die Standardeinstellung Nicht eingeschränkt definiert. Sie können dann durch die Anwendung von Regeln die Ausführung bestimmter Softwareprogramme einschränken. Sollten Sie jedoch die Standardsicherheitsstufe auf Nicht erlaubt festlegen, schränken Sie einen Großteil der Software ein. Durch vier automatisch erstellte Registrierungspfadregeln soll verhindert werden, dass Sie das System vollständig sperren und sich selbst davon aussperren. Für alle anderen Softwareprogramme, die ausgeführt werden sollen, müssen Sie Regeln anwenden. Sie finden die neuen Registrierungspfadregeln im Knoten ./RICHTLINIEN FÜR SOFTWAREEINSCHRÄNKUNG/ZUSÄTZLICHE REGELN:

562



T %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SystemRoot% T %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SystemRoot%\*.exe T %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SystemRoot%\System32\*.exe T %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ ProgramFilesDir% Um es noch einmal zu betonen: Die voreingestellten Registrierungspfadregeln dienen als Schutzvorkehrung, um zu verhindern, dass das System für Sie und alle anderen Benutzer gesperrt ist! Wenn Sie sich für Richtlinien für Softwareeinschränkung mit der Sicherheitsstufe Nicht erlaubt entscheiden, sollten Sie folgende Aspekte beachten: T Sie müssen alle verwendeten Programme genau untersuchen. Einige Programme starten andere (auch teilweise im Hintergrund), um bestimmte Aufgabenteile zu gewährleisten. Sie finden beispielsweise in Microsoft Word Programmelemente wie ClipArt, die über einen zusätzlichen Prozess gestartet werden. T Sie müssen eine neue Registrierungspfadregel für den Fall erstellen, dass Sie Startelemente ausführen müssen. Die Systemstartelemente werden in der Registrierung unter HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run abgelegt. T Sie müssen eine neue Registrierungspfadregel für den Fall erstellen, dass Sie Anmeldeskripte ausführen lassen wollen.

Allgemeine Einstellungen zur Softwareeinschränkung Unter den allgemeinen Einstellungen sind die in Abbildung 7.54 dargestellten Einträge Erzwingen, Designierte Dateitypen und Vertrauenswürdigen Herausgebern zusammengefasst. Unter Erzwingen können Sie Einstellungen vornehmen, die sich auf alle Regeln in der Softwareeinschränkung beziehen. Abbildung 7.55 zeigt Ihnen die Voreinstellung, die zusammen mit der Sicherheitsstufe Nicht eingeschränkt Gültigkeit hat. Beachten Sie bei einer Einschränkung von Softwarebibliotheken (DLLs), dass Programme oft eine Reihe von DLLs benötigen, die Sie alle in einer Regel konfigurieren müssen, damit das Programm ordnungsgemäß funktioniert. Per Voreinstellung wenden Sie die Richtlinie auf alle Benutzer an. In diese Richtlinie ist auch die Gruppe Administratoren mit einbezogen. Um dies zu ändern, müssen Sie das entsprechende Optionsfeld auswählen (siehe Abbildung 7.56). Eine weitere Einstellung für alle Regeln der Softwareeinschränkung finden Sie in den Eigenschaften von Designierte Dateitypen. Mit designierten Dateitypen sind solche gemeint, die von allen Pfadregeln, Hashregeln und Zertifikatsregeln gemeinsam verwendet werden. Darunter fallen alle Dateiendungen, wie zum Beispiel *.exe (ausführbare Datei), *.dll (Programmbibliothek) oder *.vbs (Visual Basic-Script).


563

MCSE Examen 70-294

Abbildung 7.56: Eigenschaften der Einstellung Erzwingen

In den Eigenschaften von Vertrauenswürdigen Herausgebern können Sie bestimmten Benutzern erlauben, vertrauenswürdige Zertifikatsherausgeber auszuwählen (siehe Abbildung 7.57). In der Voreinstellung wird allen Benutzern vertraut, dass sie verantwortungsvoll mit Zertifikaten vertrauenswürdiger Herausgeber umgehen können. Diese Einstellung umfasst nicht die nicht vertrauenswürdigen Herausgeber, die Sie u.U. im Internet vorfinden können. Sie haben, wie die Abbildung zeigt, die Möglichkeit, zwischen Endbenutzer, Administratoren oder Mitgliedern von Organisations-Admins auszuwählen. Per Voreinstellung haben lokale Computeradministratoren das Recht, vertrauenswürdige Herausgeber auf einem lokalen Computer anzugeben. Organisations-Admins können vertrauenswürdige Herausgeber auf Organisationseinheitsebene (OU-Ebene) angeben.

Abbildung 7.57: Vertrauenswürdige Herausgeber

564



Regeln Damit eine Softwareeinschränkung wirksam sein kann, muss die Richtlinie die verwendete Software zuerst identifizieren. Dies geschieht anhand folgender Kriterien: Hash-Algorithmus, Zertifikat, Pfad zu der Datei, Zone (Internetzone, Intranetzone, eingeschränkte Sites, vertrauenswürdige Sites oder Arbeitsplatz). Entsprechend der Kriterien existieren 4 Regeln, um eine Softwareerkennung durchzuführen. Sollten Sie auf dieselbe Software mehrere Regeln anwenden, gilt die folgende Reihenfolge: 1. Hashregel 2. Zertifikatregel 3. Pfadregel 4. Internetzonenregel Hashregel Ein Hash ist eine Bytefolge mit einer konstanten Länge, die eine Datenstruktur eindeutig identifiziert. Sie können mit einem Hash Nachrichten, Programme oder eine beliebige Datei beschreiben. Ein Hash ist mit einer Prüfsumme vergleichbar, die allerdings von einem Hashalgorithmus verarbeitet wird. Beim Erstellen einer Hashregel für ein bestimmtes Softwareprogramm wird von den Richtlinien für Softwareeinschränkung ein Hash des Programms berechnet. Hierfür klicken Sie auf DURCHSUCHEN und fügen ein Programm hinzu. Es wird anschließend sofort ein Hash berechnet. Versucht ein Benutzer, ein Softwareprogramm zu öffnen, wird ein Hash des Programms mit vorhandenen Hashregeln für die Richtlinien für Softwareeinschränkung verglichen. Der Hash des Programms ist, unabhängig vom Speicherort, immer identisch. Wird dieses Programm durch irgendeinen Einfluss verändert, wie beispielsweise durch einen Virus oder ein Trojanisches Pferd, verändert sich auch der Hashwert des Programms. Ein Überlisten der Hashregel ist auch dann nicht möglich, wenn die Datei umbenannt wurde. Durch einen Vergleich der Werte kann somit sofort erkannt werden, ob das Original verändert wurde. Sie können über eine Hashregel einstellen, dass ein Benutzer eine bestimmte Datei nicht ausführen darf, indem Sie die Sicherheitsstufe Nicht erlaubt angeben (siehe Abbildung 7.58). Im vorliegenden Beispiel ist es der Windows Media Player.


565

MCSE Examen 70-294

Abbildung 7.58: Eine Hashregel kann die Verwendung bestimmter Software oder Dateien verhindern.

Zertifikatregel Sie können eine Zertifikatregel erstellen, damit die Richtlinien für Softwareeinschränkung die Software über ihr Signaturzertifikat identifizieren können. Zertifikatregeln sind standardmäßig nicht aktiviert.

Abbildung 7.59: Erstellen einer neuen Zertifikatregel

566



Da Sie auch hier wieder zwei Sicherheitsstufen zur Verfügung haben, können Sie einstellen, ob Sie einer Software aus einer vertrauenswürdigen Quelle automatisch vertrauen, ohne dass das Zertifikat vom Benutzer bestätigt werden muss, oder ob Sie dem angegebenen Zertifikat nicht vertrauen. Tragen Sie im letzteren Fall die Sicherheitsstufe Nicht erlaubt in das Feld Sicherheitsstufe ein. In Abbildung 7.59 sehen Sie ein Zertifikat der Firma VeriSign, das über DURCHSUCHEN eingefügt wurde. Für das Hinzufügen von Zertifikaten benötigen Sie eine Zertifikatdatei (*.cer oder *.crt). Beachten Sie auch, dass Sie Zertifikatregeln auf Skripte und Windows Installer-Pakete, jedoch nicht auf ausführbare Dateien oder Programmbibliotheken anwenden können. Internetzonenregel Die Zonenregel kann Software aus einer Zone identifizieren, die über den Internet Explorer angegeben wurde. Sie können folgende Zonen mit den Sicherheitsstufen Nicht erlaubt oder Nicht eingeschränkt angeben: T Internet T Lokales Intranet T Eingeschränkte Sites T Vertrauenswürdige Sites

HIN WEIS

T Arbeitsplatz

Zonenregeln gelten nur für Windows Installer-Pakete.

Pfadregel Die Pfadregel identifiziert Software über ihren Registrierungs- oder Dateipfad. Auch hier können Sie mit den zwei Sicherheitsstufen Nicht erlaubt und Nicht eingeschränkt den Zugriff auf die Software steuern. Wenn Sie den Computer mit der Standardsicherheitsstufe Nicht erlaubt konfiguriert haben, müssen Sie anschließend die restliche Software »erlauben«, damit Benutzer ihre speziellen Programme auf dem Computer ausführen können. Sie erlauben über mehrere Pfadregeln und die Sicherheitsstufe Nicht eingeschränkt die Verwendung von Benutzersoftware. Da Installationsverzeichnisse variieren können, geben Sie im Pfad Variablen an. Übliche Variablen sind zum Beispiel: %userprofile%, %windir%, %appdata%, %programfiles% und %temp%. Sie können auch Registrierungspfadregeln erstellen, in denen Sie den Registrierungsschlüssel der Software als Pfad verwenden. Jeder Registrierungsschlüssel muss mit einem %-Zeichen beginnen und enden. Nach dem schließenden Prozentzeichen kann die Regel ein Suffix enthalten. Verwenden Sie im Suffix keinen umgekehrten Schrägstrich (\).


567

MCSE Examen 70-294

Gültige Hives sind zum Beispiel: T %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\SystemRoot% T %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MediaPlayer% T %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders\My Music% T %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\Shell Folders\Cache%OLK* Der Registrierungsschlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache OLK* bestimmt den Ordner, den Microsoft Outlook XP zum Speichern von Anlagen verwendet1.

Abschließende Bemerkungen: T Da diese Regeln durch den Pfad angegeben sind, gilt die Pfadregel nach dem Verschieben eines Softwareprogramms nicht mehr. T Zum Aktualisieren von Richtlinien für Softwareeinschränkung muss der Benutzer sich am Computer ab- und erneut anmelden. T Um den korrekten Pfad einer Registrierung anzugeben, können Sie den gewünschten Hive in der Registrierung auswählen und diesen exportieren. Starten Sie hierfür das Programm regedit.exe.

7.5.4

Überwachungsrichtlinien

Überwachungsrichtlinien helfen, Benutzer- oder Computeraktivitäten zu protokollieren. Sie können zur Fehlersuche, aber auch zum Überwachen von Benutzeraktivitäten verwendet werden.

Einführung Um eine Überwachung einzustellen, müssen Sie in einem verknüpften Gruppenrichtlinienobjekt Ereigniskategorien in einer Überwachungsrichtlinie einstellen. Per Voreinstellung sind auf Mitgliedsservern und Arbeitsstationen keine Überwachungseinstellungen für die Ereigniskategorien definiert. Auf Domänencontrollern ist die Überwachung jedoch standardmäßig definiert, d.h., sie ist zugleich aktiviert. Sie finden diese Überwachungsrichtlinie im GPO Default Domain Controllers Policy. In jedem GPO finden Sie Überwachungsrichtlinien im folgenden Knoten: COMPUTERKONFIGURATION\WINDOWS-EINSTELLUNGEN\SICHERHEITSEINSTELLUNGEN\ LOKALE RICHTLINIEN\ÜBERWACHUNGSRICHTLINIE\

1. MS Technet August 2002, Windows XP Professional »Using Software Restriction Policies to Protect Against Unauthorized Software«

568



Je nach Sicherheitsanforderung Ihres Unternehmens können Sie die voreingestellte Richtlinie verändern bzw. Richtlinien für Mitgliedsserver oder Workstations definieren. Sie können folgende Ereigniskategorien auswählen: Richtlinie

Auswirkungen auf Benutzer und Computer

Anmeldeereignisse überwachen

Jede Instanz eines Benutzers, der sich an einem Computer an- oder abmeldet, wird mit dieser Einstellung überwacht. Gleiches gilt auch für einen externen Zugriff über das Netzwerk, wenn der Benutzer sich anmelden muss, um Zugriff auf eine Freigabe zu erhalten.

Anmeldeversuche überwachen

Sie überwachen jede Instanz eines Benutzers, der sich an einem Computer an- oder abmeldet. Es werden Kontoanmeldeereignisse generiert, wenn ein Domänenbenutzerkonto auf einem Domänencontroller authentifiziert wird. Kontoabmeldeereignisse werden nicht generiert. Ein typisches Ereignis wird unter der Nummer 672 beschrieben: Ein AS-Ticket (Authentication Service, Authentifizierungsdienst) wurde erfolgreich ausgestellt und überprüft.

Kontenverwaltung überwachen

Sie bestimmen mit dieser Sicherheitseinstellung, ob die Ereignisse der Kontenverwaltung auf einem Computer überwacht werden sollen. Dies umfasst beispielsweise folgende Aktionen: Erstellen, Ändern oder Löschen eines Benutzerkontos oder einer Gruppe.

Objektzugriffsversuche überwachen

Sie überwachen mit dieser Einstellung alle Benutzerzugriffe auf ein Objekt, für das eine eigene Zugriffssteuerungsliste für das System (System Access Control List, SACL) angegeben wurde. Das kann eine Datei, ein Ordner, ein Registrierungsschlüssel oder ein Active DirectoryObjekt sein. Für eine erfolgreiche Überwachung müssen Sie zusätzlich im Register SICHERHEIT des jeweiligen Objekts die Überwachungsart einstellen.

Prozessverfolgung überwachen

Die Prozessverfolgung bestimmt, ob Ereignisse, wie beispielsweise eine Programmaktivierung oder ein indirekter Objektzugriff überwacht werden sollen. Besonders bei der Programmentwicklung können diese Ereignisse Aufschluss über die Funktionsweise von Software geben.

Rechteverwendung überwachen

Sie bestimmen, ob die Verwendung von Benutzerrechten überwacht werden soll. Sie können mit dieser Einstellung erkennen, welcher Benutzer/ Administrator von seinen Privilegien Gebrauch gemacht hat.

Richtlinienänderungen überwachen

Sie überwachen, ob Veränderungen an Zuweisungsrichtlinien für Benutzerrechte, Überwachungsrichtlinien oder Richtlinien für Vertrauensstellungen stattgefunden haben.

Systemereignisse überwachen

Sie überwachen Systemereignisse, indem Sie protokollieren, welche Benutzer den betreffenden Computer neu gestartet haben oder ob ein Administrator die Einträge des Sicherheitsprotokolls gelöscht hat.

Verzeichnisdienstzugriff überwachen

Diese Einstellung entspricht der Einstellung von Objektzugriffsversuche überwachen, sie gilt jedoch nur für Active Directory-Objekte und nicht für Dateisystem- und Registrierungsobjekte.

Tabelle 7.15: Richtlinien zur Überwachung


569

MCSE Examen 70-294

Voreingestellte Richtlinien In dem GPO Default Domain Controllers Policy, das standardmäßig für Domänencontroller gilt, sind folgende Richtlinien eingestellt: Richtlinie


Anmeldeereignisse überwachen

Erfolgreich, Fehlgeschlagen

Anmeldeversuche überwachen


Kontenverwaltung überwachen




Prozessverfolgung überwachen

Keine Überwachung

Rechteverwendung überwachen


Richtlinienänderungen überwachen


Systemereignisse überwachen



Erfolgreich

Tabelle 7.16: Standardüberwachungsrichtlinien auf Domänencontrollern in der Default Domain Controllers Policy

Abbildung 7.60 zeigt die Auswirkungen der Richtlinie auf das Protokoll Sicherheit in der Ereignisanzeige.

Abbildung 7.60: Überwachung der Ereignisse am Domänencontroller

570



Weitere Informationen zu Sicherheitsereignissen finden Sie in der Microsoft Technetoder auf der Microsoft Windows Resource Kits-Website.

Einrichten einer Richtlinie zur Objektüberwachung Wenn Sie eine Richtlinie zur Objektüberwachung planen, müssen Sie folgende Schritte durchführen: 1. Erstellen eines GPOs und Einrichten einer Richtlinie im Knoten COMPUTERKONFIGURATION\WINDOWS-EINSTELLUNGEN\SICHERHEITSEINSTELLUNGEN\LOKALE RICHTLINIEN\ ÜBERWACHUNGSRICHTLINIE 2. Einstellen von Überwachungseinträgen in dem zu überwachenden Objekt Für das Einrichten der Richtlinie haben Sie folgende Möglichkeiten: Wenn Sie nur das Active Directory überwachen wollen, wählen Sie Objektzugriffsversuche überwachen, und wenn Sie alle Objekte überwachen wollen, wählen Sie Verzeichnisdienstzugriff überwachen aus. Für beide Einstellungen können Sie eine Überwachung bei erfolgreichen und/oder bei fehlgeschlagenen Zugriffen auswählen. Richtlinie

Mögliche Richtlinieneinstellungen





Tabelle 7.17: Objektüberwachung

Nach dem Aktivieren der Richtlinie in einem GPO müssen Sie in dem zu überwachenden Objekt Überwachungseinträge definieren. Wie Sie aus Abbildung 7.61 erkennen können, sind die erweiterten Sicherheitseinstellungen aus den Eigenschaften des Objekts MKT ausgewählt worden. Dort finden Sie die voreingestellten Überwachungseinträge des Typs Erfolgreich für die Benutzergruppe Jeder. Durch Bearbeiten dieser Einträge kann eine Objektüberwachung definiert werden, so dass auch ein Ändern des Besitzrechtes und ein Ändern der Berechtigungen protokolliert werden. Der Benutzer, der diesen Kriterien entspricht, wird mit seinem Kontonamen erfasst und in der Ereignisanzeige im Protokoll Sicherheit mit dem entsprechenden Ereignis aufgelistet.


571

HIN WEIS

Sie erhalten im Protokoll Sicherheit Informationen über den Typ der Überwachung, d.h. darüber, ob es sich um einen Fehler oder um eine erfolgreiche Aktion gehandelt hat. Die Ereignisse sind Kategorien zugeordnet und besitzen Ereignisnummern. Falls ein Benutzer überwacht wird, erscheint unter der Spalte Benutzer der Name des Benutzers, der den Vorgang verursacht hat. Der Benutzer erscheint auch dann mit seinem Kontonamen, wenn in den Überwachungseinträgen bei einer Objektüberwachung die Gruppe Jeder angegeben worden ist. Das Betriebssystem erscheint unter dem Benutzer SYSTEM.

MCSE Examen 70-294

HIN WEIS

Abbildung 7.61: Einrichten der Überwachung von Objektzugriffen

Eine direkte Überwachung von Benutzern muss nach deutschem Arbeitsrecht durch triftige Gründe gerechtfertigt sein. Falls Sie solch eine Überwachung einrichten, sollten Sie sich vorab mit Ihren Vorgesetzten und dem Betriebsrat (falls vorhanden) besprechen.

7.5.5

Umleiten von Ordnern

Sie leiten über eine Gruppenrichtlinie Spezialordner (wie Eigene Dateien usw.), die sich auf der lokalen Festplatte befinden, auf einen Server Ihrer Wahl um. Dies geschieht für den Benutzer völlig transparent, d.h., der Benutzer merkt von der Umleitung nichts.

Einführung Wer kennt das Problem nicht? Microsoft Office bestimmt per Voreinstellung den Ordner Eigene Dateien als Pfad zum Speichern der Dokumente, Excel-Tabellen usw. Ein unerfahrener Benutzer kümmert sich nicht um den Speicherort der Dateien und legt diese im lokalen Ordner Eigene Dateien ab. Da der Benutzer auch auf dem Server arbeitet, findet er seine erstellten Dateien (vermutlich) später nicht mehr. Auch kann es passieren, dass durch einen Systemabsturz oder einen Rechnerwechsel das lokale Verzeichnis Eigene Dateien nicht mehr verfügbar ist. Um diesen Missstand zu beheben, bietet sich ein Umleiten des Spezialordners

572



Eigene Dateien (bzw. Dateien von ) auf einen Server an. Gleiches können Sie selbstverständlich auch mit den Spezialordnern Anwendungsdaten, Desktop, Eigene Bilder und Startmenü durchführen. Auf der linken Seite der Abbildung 7.62 sehen Sie das persönliche Profil eines Benutzers auf einem Windows Server 2003-basierten Computer mit seinen Spezialordnern. Sie richten eine Ordnerumleitung in einem Gruppenrichtlinienobjekt (GPO) im Knoten BENUTZERKONFIGURATION/WINDOWS-EINSTELLUNGEN/ORDNERUMLEITUNG ein, den Sie in Abbildung 7.62 auf der rechten Seite erkennen können. Dort finden Sie die untergeordneten Knoten ANWENDUNGSDATEN, DESKTOP, EIGENE DATEIEN und STARTMENÜ. Für das Einrichten der jeweiligen Umleitungen müssen Sie die Eigenschaften der Objekte ansteuern.

Abbildung 7.62: Das Einstellen von Ordnerumleitungen betrifft Verzeichnisse des persönlichen Profils eines Benutzers.

Eine Umleitung der Ordner kann folgende Vorteile bringen: T Der Benutzer erhält unabhängig von seinem Computergerät seine persönlichen Dokumente. T Die auf dem Server gespeicherten Dokumente des Benutzers können über die tägliche Sicherung erfasst werden. T Die Funktion Offlinedateien ermöglicht Benutzern den Zugriff auf den Ordner Eigene Dateien auch dann, wenn sie nicht mit dem Netzwerk verbunden sind. T Durch die Verwaltung über die Gruppenrichtlinien ist ein hohes Maß an Flexibilität erreicht. Sie können die Umleitung zentral über ein GPO verwalten, und Sie können durch ein Filtern des Wirkungsbereichs die Sicherheitsgruppen auswählen, die auf das GPO zutreffen sollen. T Bei Windows XP Professional-Clients haben Sie die Möglichkeit, das Verzeichnis Eigene Dateien zum Basisordner des Benutzers umzuleiten. Diese Option funktioniert ausschließlich ab dem Betriebssystem Windows XP Professional. Wie sieht es beim Umleiten der Dateien mit den Dateiberechtigungen und den Attributen aus? Beim Umleiten von Eigene Dateien zum Basisordner erfolgt keine Überprüfung des Besitzers. Ist der Benutzer allerdings nicht Besitzer des Basisordners, schlägt die Ordnerumleitung fehl. Die Sicherheit wird bei den Dateien und Verzeichnissen nicht überprüft, d.h., es werden auch 7.5 Beispiele für den Einsatz von Gruppenrichtlinien

573

MCSE Examen 70-294

keine Berechtigungen geändert. Wenden Benutzer das verschlüsselte Dateisystem (Encripting File System, EFS) an, ist diese Ordnerumleitung auf keinen Fall zu empfehlen, da der Benutzer anschließend seine Dateien nicht mehr entschlüsseln kann. Die Entschlüsselung kann dann nur von einem Mitglied der Gruppe Domänen-Admins durchgeführt werden. Bei der Ordnerumleitung sollten Sie die Zugriffsrechte auf die Benutzer beschränken, für die ein Zugriff erforderlich ist. Alternativ können Sie anstelle des Benutzers eine Sicherheitsgruppe verwenden. Umgeleitete Ordner können persönliche Informationen wie vertrauliche Dokumente enthalten. Daher sollten Sie freigegebene Ordner vor unbefugtem Zugriff schützen. Damit der freigegebene Ordner nicht in der Netzwerkumgebung sichtbar ist, können Sie ihn ausblenden, indem Sie dem Freigabenamen ein $-Zeichen nachstellen. Die folgenden Betriebssysteme besitzen unterschiedliche Speicherorte der Spezialordner: Betriebssystem

Speicherort auf dem Volume <Systemlaufwerk>

<Systemlaufwerk>\Dokumente und Neuinstallation von Windows Server 2003 oder Einstellungen Windows 2000 Server Aktualisierung der folgenden Betriebssysteme auf Windows Server 2003 oder Windows 2000 Server: Windows Me oder Windows 98/95 bei deaktivierten Benutzerprofilen Aktualisierung der folgenden Betriebssysteme auf Windows Server 2003 oder Windows 2000 Server: Windows NT 4.0 oder Windows NT 3.51

%SystemRoot%\Profiles (in der Regel c:\winnt\Profiles)

Aktualisierung der folgenden Betriebssysteme auf Win- %SystemRoot%\Profiles dows Server 2003 oder Windows 2000 Server: Windows (in der Regel c:\Windows\System32\ Me oder Windows 98/95 bei aktivierten Benutzerprofi- Profiles) len Tabelle 7.18: Speicherorte für Spezialordner

Einrichten einer Ordnerumleitung für eigene Dateien Sie richten die Ordnerumleitung von Eigenen Dateien in den Eigenschaften des Knotens BENUTZERKONFIGURATION/WINDOWS-EINSTELLUNGEN/ORDNERUMLEITUNG/EIGENE DATEIEN ein. In diesem Dialogfenster sind Sie in der Lage, alle betreffenden Ordnerumleitungen zu erstellen, d.h., Sie erstellen keine weitere Objektinstanz des Knotens. Sie haben hier drei Einstellungsmöglichkeiten: T Sie leiten für alle Benutzer im Gültigkeitsbereich des GPOs alle Ordner zu einem Speicherort um. Diese Einstellung wird als Standard empfohlen. T Sie leiten für verschiedene Benutzergruppen im Gültigkeitsbereich des GPOs die jeweiligen Ordner zu einem Speicherort um. T Sie stellen die Ordnerumleitung ab, indem Sie Nicht konfiguriert auswählen. Diese Einstellung ist die Voreinstellung.

574



Je nach Auswahl der Einstellungen verändert sich das Dialogfenster Eigenschaften von Eigene Dateien. In der Standardeinstellung, in der alle Ordner an den gleichen Pfad umgeleitet werden, wählen Sie im einzeiligen Listenfeld Zielordner Ihre gewünschte Option aus: T In das Basisverzeichnis des Benutzers kopieren – Diese Option ermöglicht das Umleiten des Ordners Eigene Dateien in ein bereits vorhandenes Basisverzeichnis. Diese Option ist eine Neuerung von Windows Server 2003. T Einen Ordner für jeden Benutzer im Stammpfad erstellen – Sie geben einen Stammpfad in Form eines UNC-Pfads oder in Form eines gültigen Pfads auf dem lokalen Computer des Benutzers ein (wobei diese Option nicht sinnvoll ist). T An folgenden Pfad umleiten – Sie geben den UNC-Pfad ein, in den umgeleitet werden soll. T An lokalen Benutzerprofilpfad umleiten – Diese Option ermöglicht das Umleiten des Ordners zum Standardordnerpfad, wenn keine Umleitung durch den Administrator erfolgt. In Abbildung 7.63 ist eine Umleitung in ein Stammverzeichnis \\Server02\Ordnerumleitung$ durchgeführt worden. Der Ordner in der UNC-Schreibweise ist durch den Servernamen (Server02) und dem Freigabenamen (Ordnerumleitung$) definiert. Das $-Zeichen am Namensende bewirkt, dass der Name in der Netzwerkumgebung nicht sichtbar ist. Für jeden Benutzer wird mit dieser Einstellung eine Verzeichnisstruktur erstellt, die seinen Anmeldenamen und den Ordner Eigene Dateien enthält.

Abbildung 7.63: Standardeinstellung mit der Option, dass jeder Benutzer ein Verzeichnis für seine eigenen Dateien erhält


575

MCSE Examen 70-294

Möchten Sie hingegen die Option Erweitert – Gibt Pfade für verschiedene Benutzergruppen an verwenden, können Sie, in Abhängigkeit von einer anzugebenden Sicherheitsgruppe, einen Zielordner auswählen. Auch hier haben Sie die Möglichkeit – ähnlich wie in Abbildung 7.63 – folgende Optionen auszuwählen: T In das Basisverzeichnis des Benutzers kopieren T Einen Ordner für jeden Benutzer im Stammpfad erstellen T An folgenden Pfad umleiten T An lokalen Benutzerprofilpfad umleiten Nach der Auswahl des Zielordners erhalten Sie in Abbildung 7.64 einen Überblick über die Gruppen und den jeweils zugehörigen Pfad. Damit die Daten auf einem Server abgelegt werden können, wurde ein UNC-Pfad verwendet.

HIN WEIS

Abbildung 7.64: Ordnerumleitung in Abhängigkeit von Sicherheitsgruppen

Sie sollten den Ordner Eigene Bilder immer im Ordner Eigene Dateien ablegen.

576



Wenn Sie Ordner umleiten, gelten die Einstellungen, die Sie im Register EINSTELLUNGEN vornehmen. Aktivieren Sie das Kontrollkästchen Dem Benutzer exklusive Zugriffsrechte für Eigene Dateien erteilen, damit dem Benutzer ein exklusiver Vollzugriff auf seine Ordner gewährt wird. Dies bedeutet, dass nur der Benutzer und das System Zugriff auf die Ordner haben. Dem Administrator wird mit dieser Einstellung der Zugriff verweigert. Des Weiteren können Sie folgende Einstellungen in den Kontrollkästchen vornehmen: T Sie können den Inhalt des Verzeichnisses Eigene Dateien an den neuen Ort verschieben (per Voreinstellung aktiviert). T Sie können bestimmen, was nach dem Entfernen der Richtlinie mit dem Ordner passieren soll. Per Voreinstellung wird er an seinem ursprünglichen Ort belassen. Sie können allerdings auch per Option einstellen, dass der Ordner des Benutzers wieder zurück zum Benutzerprofil geleitet wird. Die Daten des Benutzers liegen anschließend auf der lokalen Festplatte im Profil des Benutzers.

Welche Einstellung ist nun die sinnvollste? Wir meinen, dass die Einstellung Standard – Leitet alle Ordner auf den gleichen Pfad um und die Zielordnereinstellung Einen Ordner für jeden Benutzer im Stammpfad erstellen eine gute Lösung ist, weil damit jeder Benutzer sein eigenes Verzeichnis unter einer Freigabe erhält. Die Verzeichnisse werden automatisch erstellt, so dass für Sie als Administrator wenig Arbeit anfällt. Wenn Sie für die Freigabe ein Distributed Filesystem (DFS) einrichten, können Sie die Benutzerverzeichnisse auf mehrere Server verteilen. Beachten Sie, dass es sich hierbei um eine Einstellung für ein GPO handelt. Es gelten alle Regeln eines GPOs, das Sie verwenden können, um den Personenkreis zu definieren, auf den diese Regelung angewendet werden soll.

Berechtigungen für die Ordnerumleitung Wenn Sie Ordnerumleitungen vornehmen, müssen Sie sich Gedanken über die Sicherheit im Dateisystem machen. Aus Gründen des Datenschutzes ist es in vielen Fällen notwendig, dass Administratoren keinen Zugriff auf persönliche Verzeichnisse erhalten. In einigen Fällen existiert eine Betriebsvereinbarung, die einen Zugriff des Administrators für Wartungszwecke vorsieht. T Wenn Sie exklusive Zugriffsrechte für den Benutzer festlegen, können Sie zwar das Basisverzeichnis erstellen und verwalten, nicht jedoch die unter diesem Verzeichnis liegenden privaten Ordner. T Beachten Sie auch, dass durch die Umleitung des Ordners Eigene Dateien an das Basisverzeichnis eine geringere Sicherheit gewährleistet ist als durch die Standardordnerumleitung.


577

TIPP

T Per Voreinstellung finden Sie auch die Einstellung, dass der Ordner Eigene Bilder unterhalb des Ordners Eigene Dateien angeordnet werden soll.

MCSE Examen 70-294

Tabelle 7.19 demonstriert den Sachverhalt in der Standardeinstellung: Benutzerkonten

Standardwerte für den Ordner/ untergeordnete Ordner

Erforderliche Mindestberechtigungen

Administratoren

Keine Berechtigungen


Ersteller/Besitzer

Vollzugriff Zugriff auf diesen Ordner, Unterordner und Dateien


Jeder



Lokales System



Sicherheitsgruppen, die Daten auf dem freigegebenen Netzwerkserver speichern müssen.

–

Ordner auflisten/Daten lesen Ordner erstellen/Daten anhängen – Nur diesen Ordner

Tabelle 7.19: Berechtigungen auf dem NTFS-Volume

Neben den NTFS-Berechtigungen müssen Sie die Freigabeberechtigungen verwalten. Tabelle 7.20 beschreibt den Sachverhalt: Benutzerkonten

Standardwerte für den Ordner Erforderliche Mindestberechtigungen

Jeder

Vollzugriff

Keine Berechtigungen (Sicherheitsgruppe verwenden)

Sicherheitsgruppen, die Daten auf dem freigegebenen Netzwerkserver speichern müssen

–

Vollzugriff

Tabelle 7.20: Freigabeberechtigungen

Neben den Berechtigungen auf das Stammverzeichnis sind die Berechtigungen auf die untergeordneten Verzeichnisse von Interesse. Tabelle 7.21 beschreibt die erforderlichen Mindestberechtigungen für den Zugriff auf diese Ordner, wobei das Konto für den jeweiligen Namen des Benutzers steht. Benutzerkonten

Standardwerte für den Ordner/ untergeordnete Ordner

Erforderliche Mindestberechtigungen

Vollzugriff, Besitzer des Ordners

Vollzugriff, Besitzer des Ordners

Administratoren



Jeder



Lokales System

Vollzugriff

Vollzugriff

Tabelle 7.21: Berechtigungen auf das NTFS-Volume für den umgeleiteten Ordner des jeweiligen Benutzers

578



Einrichten einer Ordnerumleitung für das Startmenü, den Desktop und Anwendungsdaten Das Umleiten von Dateien erfolgt ähnlich wie beim Ordner Eigene Dateien. Auch hier haben Sie die zwei Konfigurationsmöglichkeiten (neben Nicht konfiguriert): T Standard – Leitet alle Ordner auf den gleichen Pfad um. T Erweitert – Gibt Pfade für verschiedene Benutzergruppen an. Im Gegensatz zu der Ordnerumleitung Eigene Dateien fehlt bei den Ordnerumleitungen der Zielordner-Eintrag In das Basisverzeichnis des Benutzers kopieren.

Abbildung 7.65: Ordnerumleitung für Dateien aus dem Ordner Desktop

7.5.6

Einsatz von Gruppenrichtlinieneinstellungen in einer Richtlinie

Sie können in einer Gruppenrichtlinie bestimmen, wie sie selbst angewendet werden soll. Diese Einstellungen können Sie sowohl im Knoten COMPUTERKONFIGURATION als auch unter Benutzerkonfiguration einstellen.


579

MCSE Examen 70-294

Computereinstellungen Folgende Einstellungen sind im Knoten COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/GRUPPENRICHTLINIEN möglich: Richtlinieneinstellung

Beschreibung

Hintergrundaktualisierung der Gruppenrichtlinie deaktivieren

Verhindert die Aktualisierung von Gruppenrichtlinien, solange der Computer verwendet wird. Aktivieren Sie die Einstellung, wartet das System, bis sich der angemeldete Benutzer abgemeldet hat.

GruppenrichtlinienAktualisierungsintervall für Computer

Legt das Intervall fest, wie oft Gruppenrichtlinien im Hintergrund aktualisiert werden sollen. Die Voreinstellung beträgt 90 Minuten bei einer Verzögerungszeit von 30 Minuten, um zu verhindern, dass alle Clients zur gleichen Zeit eine Aktualisierung durchführen.

GruppenrichtlinienAktualisierungsintervall für Domänencontroller

Legt das Intervall fest, wie oft Gruppenrichtlinien auf Domänencontrollern aktualisiert werden sollen. Die Voreinstellung beträgt 5 Minuten. Es ist keine Verzögerungszeit voreingestellt.

Loopbackverarbeitungsmodus für Benutzergruppenrichtlinie

Wendet alternative Benutzereinstellungen an. Per Voreinstellung wird durch das Gruppenrichtlinienobjekt festgelegt, welche Benutzereinstellungen angewendet werden. Bei Aktivierung dieser Einstellung bestimmt das Gruppenrichtlinienobjekt des Computers bei der Benutzeranmeldung, welcher Satz von Gruppenrichtlinienobjekten angewendet wird.

Gesamtstrukturübergreifende Benutzerrichtlinien und servergespeicherte Benutzerprofile zulassen

Diese Einstellung lässt servergespeicherte Profile und Benutzerobjektanmeldeskripts für gesamtstrukturübergreifende interaktive Anmeldungen zu. Die Einstellung ist für alle Benutzerkonten wirksam, die sich interaktiv an einem Computer in einer anderen Gesamtstruktur anmelden, vorausgesetzt, es besteht eine Gesamtstrukturvertrauensstellung.

Gruppenrichtlinien zur Erkennung von langsamen Verbindungen

Legt den Wert in KB fest, um eine langsame Verbindung zu definieren. Wird eine Verbindung mit geringerer Bandbreite erkannt, wird die Gruppenrichtlinienanwendung und Aktualisierung außer Kraft gesetzt. Die voreingestellte Bandbreite beträgt 500 KB. Stellen Sie den Wert auf 0, wird die Erkennung deaktiviert. Die Verbindung wird immer dann als langsam bezeichnet, wenn die festgelegte Rate unterschritten wird.

Protokollierung des Richtlinienergebnissatzes deaktivieren

Die Protokollierung über das RSoP kann deaktiviert werden. Standardmäßig ist die Richtlinienergebnissatz-Protokollierung immer eingeschaltet.

Aktualisierung der Computerrichtlinie durch Benutzer entfernen

Legt fest, ob ein Benutzer eine Aktualisierung der Computerrichtlinie durchführen kann. Wenn Sie diese Einstellung aktivieren, können Benutzer keine Aktualisierung der Computerrichtlinie durchführen. Die Computerrichtlinie wird jedoch weiterhin beim Booten des Computers oder im Falle einer manuellen Richtlinienaktualisierung angewendet. Die Computerrichtlinie wird per Voreinstellung beim Starten des Computers angewendet. Sie wird außerdem in festgelegten Aktualisierungsintervallen (siehe oben) oder bei manueller Aktivierung angewendet.

Generieren von Richtlinienergebnissatzdaten durch interaktive Benutzer nicht zulassen

Legt fest, ob Benutzer ihre Richtlinienergebnissatzdaten anzeigen können, denn standardmäßig können interaktiv angemeldete Benutzer sich ihre eigenen Richtlinienergebnissatzdaten anzeigen lassen.

Tabelle 7.22: Gruppenrichtlinieneinstellungen für Computer

580


7 – Installieren und Verwalten von Gruppenrichtlinien Richtlinieneinstellung

Beschreibung

Registrierungsrichtlinienverarbeitung

Legt fest, wann Registrierungsrichtlinien aktualisiert werden. Die Einstellung betrifft alle Richtlinien im Knoten ADMINISTRATIVE VORLAGEN und alle Richtlinien, die Werte in der Registrierung speichern. Sie haben zwei Einstellungsmöglichkeiten: Während regelmäßiger Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten. Die erste Option verhindert, dass betroffene Richtlinien im Hintergrund aktualisiert werden, während der Computer verwendet wird, da sich Hintergrundaktualisierungen störend auf den Benutzer auswirken können. Auch könnte ein Benutzer, ohne es zu wissen, eine Installation beschädigen. In der zweiten Option werden Richtlinien aktualisiert und neu angewendet, wenn sich die Richtlinien nicht verändert haben. Sie sollten auch unveränderte Richtlinien aktualisieren, damit sichergestellt ist, dass eine bevorzugte Einstellung immer ausgeführt wird.

Verarbeitung der Richtlinie für die Internet Explorer-Wartung

Legt fest, wann Internet Explorer-Wartungsrichtlinien aktualisiert werden. Hierfür stehen drei Einstellungen zur Verfügung: Verarbeitung über eine langsame Verbindung zulassen, Während regelmäßiger Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

SoftwareinstallationsRichtlinienverarbeitung

Legt fest, ob Softwareinstallationsrichtlinien in Active Directory aktualisiert werden. Die Einstellung hat Einfluss auf alle Richtlinien, die die SoftwareinstallationskKomponente der Gruppenrichtlinie verwenden. Die Einstellung hat keine Auswirkung auf lokale GPOs. Sie können festlegen, ob Sie eine Installation von Softwarepaketen über eine langsame Netzwerkverbindung zulassen möchten. Mit der zweiten Einstellung Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten werden die Einstellungen auch dann aktualisiert, wenn diese nicht geändert wurden.

OrdnerumleitungsRichtlinienverarbeitung

Legt fest, ob eine Ordnerumleitungsrichtlinie in Active Directory aktualisiert wird. Die Einstellung hat Einfluss auf alle Richtlinien, die die Ordnerumleitungskomponente der Gruppenrichtlinie verwenden. Die Einstellung hat keine Auswirkung auf lokale GPOs. Sie haben zwei Einstellungsmöglichkeiten: Verarbeitung über eine langsame Verbindung zulassen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Skriptrichtlinienverarbeitung

Legt fest, wann Richtlinien, die Skripts zuweisen, aktualisiert werden. Auch hier gilt die Einstellung wieder für alle Richtlinien, die die Skriptkomponente der Gruppenrichtlinie verwenden. Durch Aktivieren dieser Einstellung können Sie die Optionen ändern. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat dies keine Auswirkungen auf die Grundeinstellung. Sie haben drei Einstellungsmöglichkeiten: Verarbeitung über eine langsame Verbindung zulassen, Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Tabelle 7.22: Gruppenrichtlinieneinstellungen für Computer (Forts.)


581

MCSE Examen 70-294 Richtlinieneinstellung

Beschreibung

Sicherheitsrichtlinienverarbeitung

Legt fest, wann Sicherheitsrichtlinien aktualisiert werden. Auch hier gilt die Einstellung wieder für alle Richtlinien, die die Sicherheitsrichtlinienverarbeitung der Gruppenrichtlinie verwenden. Sie finden diese Einstellungen zum Beispiel unter dem Knoten W INDOWS-EINSTELLUNGEN/ SICHERHEITSEINSTELLUNGEN. Durch Aktivieren dieser Einstellung können Sie die Optionen ändern. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, hat dies keine Auswirkungen auf die Grundeinstellung. Sie haben zwei Einstellungsmöglichkeiten: Während regelmäßiger Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

IP-Sicherheitsrichtlinienverarbeitung

Legt fest, wann IP-Sicherheitsrichtlinien (IPSec) aktualisiert werden. Sie haben drei Einstellungsmöglichkeiten (Beschreibung s.o.): Verarbeitung über eine langsame Verbindung zulassen, Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Verarbeitung der Richtlinien für Drahtlosnetzwerke

Legt fest, wann Richtlinien, die Einstellungen für Drahtlosnetzwerke zuweisen, aktualisiert werden. Wie bei der IP-Sicherheitsrichtlinienverarbeitung haben Sie die Möglichkeit, folgende Einstellungen zu verwenden: Verarbeitung über eine langsame Verbindung zulassen, Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Richtlinienverarbeitung der EFS-Wiederherstellung

Legt fest, wann Verschlüsselungsrichtlinien aktualisiert werden. Auch hier haben Sie die Möglichkeit, über drei Einstellungen das Verhalten der Einstellung zu steuern. Sie haben folgende Einstellungsmöglichkeiten: Verarbeitung über eine langsame Verbindung zulassen, Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

DatenträgerkontingentRichtlinienverarbeitung

Legt fest, wann Datenträgerkontingentrichtlinien aktualisiert werden. Auch hier haben Sie die Möglichkeit über drei Einstellungen das Verhalten der Einstellung zu steuern. Sie haben folgende Einstellungsmöglichkeiten: Verarbeitung über eine langsame Verbindung zulassen, Hintergrundverarbeitung nicht übernehmen und Gruppenrichtlinienobjekte auch ohne Änderungen bearbeiten.

Immer lokale ADMDateien für den GruppenrichtlinienEditor verwenden

Legt fest, dass Sie immer lokale ADM-Dateien (Administrative VorlagenDateien) für den Gruppenrichtlinienobjekt-Editor verwenden. Diese Einstellung ist Standard. Dies ist insbesondere beim Bearbeiten von Betriebssystemversionen anderer Sprachen von Vorteil. Wenn Sie zum Beispiel ein lokales GPO auf einem englischen System erstellt haben, erhalten Sie die englische ADM-Datei, d.h., Ihre Einträge erscheinen auf Englisch. Bearbeiten Sie dieses GPO mit dem System einer anderen Sprache, verändert sich das ursprüngliche GPO nicht, d.h., es bleibt in englischer Sprache erhalten. Wenn Sie diese Einstellung aktivieren, verwendet das Snap-In Gruppenrichtlinienobjekt-Editor bei der Bearbeitung immer lokale ADMDateien aus dem Verzeichnis %windir%\inf. Wenn Sie diese Einstellung deaktivieren oder nicht konfigurieren, lädt das Snap-In stets alle ADMDateien von dem aktuellen Gruppenrichtlinienobjekt.

Tabelle 7.22: Gruppenrichtlinieneinstellungen für Computer (Forts.)

582



Benutzereinstellungen Folgende Einstellungen sind im Knoten BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/GRUPPENRICHTLINIEN möglich: Richtlinieneinstellung

Beschreibung

GruppenrichtlinienAktualisierungsintervall für Benutzer

Das Gruppenrichtlinien-Aktualisierungsintervall für Benutzer legt das Intervall fest, wie oft Gruppenrichtlinien im Hintergrund aktualisiert werden sollen. Die Voreinstellung beträgt 90 Minuten bei einer Verzögerungszeit von 30 Minuten, um zu verhindern, dass alle Clients zur gleichen Zeit eine Aktualisierung durchführen. Diese Einstellung entspricht dem Gruppenrichtlinien-Aktualisierungsintervall für Computer.

Gruppenrichtlinien zur Erkennung von langsamen Verbindungen

Legt den Wert in KB fest, um eine langsame Verbindung zu definieren. Wird eine Verbindung mit geringerer Bandbreite erkannt, wird die Gruppenrichtlinienanwendung und Aktualisierung außer Kraft gesetzt. Die voreingestellte Bandbreite beträgt 500 KB. Stellen Sie den Wert auf 0, wird die Erkennung deaktiviert. Die Verbindung wird immer dann als langsam bezeichnet, wenn die festgelegte Rate unterschritten wird.

Auswahl der Gruppenrichtlinien-Domänencontroller

Legt fest, welchen Domänencontroller das Snap-In Gruppenrichtlinienobjekt-Editor verwenden soll. In der Voreinstellung (oder wenn Sie die Einstellung deaktivieren oder nicht konfigurieren) verwendet das Snap-In Gruppenrichtlinienobjekt-Editor den PDC-Betriebsmaster. Sie haben drei Optionen in einem einzeiligen Listenfeld zur Verfügung: T Die Option Den primären Domänencontroller verwenden gibt vor, dass das Snap-In den PDC-Betriebsmaster zum Lesen oder Schreiben verwendet. T Die Option Von Active Directory-Snap-Ins erben gibt vor, dass das Snap-In den Domänencontroller zum Lesen oder Schreiben verwendet, der auch von den anderen Verwaltungs-Snap-Ins verwendet wird (z.B. das Snap-In Active Directory-Benutzer und -Computer) T Die Option Verfügbare Domänencontroller verwenden gibt vor, dass das Snap-In zum Lesen oder Schreiben alle verfügbaren Domänencontroller verwenden darf.

Verknüpfungen für neues Gruppenrichtlinienobjekt (standardmäßig deaktiviert) erstellen

Diese Einstellung erstellt neue deaktivierte Gruppenrichtlinien-Objektverknüpfungen. Per Voreinstellung ist diese Option jedoch deaktiviert.

Standardname für neue Gruppenrichtlinienobjekte

Legt den Standardanzeigenamen für neue GPOs fest. Per Voreinstellung heißt der Name Neues Gruppenrichtlinienobjekt. Sie können im Anzeigenamen Umgebungsvariablen eintragen. Insgesamt darf der Name maximal 255 Zeichen lang sein.

Tabelle 7.23: Gruppenrichtlinieneinstellungen für Benutzer


583

MCSE Examen 70-294 Richtlinieneinstellung

Beschreibung

»Nur Richtlinien anzeigen« erzwingen

Administratoren können die bevorzugten Gruppenrichtlinieneinstellungen nicht lesen oder verwenden. Eine verwendete Datei mit der Endung *.adm kann neben echten auch bevorzugte Einstellungen enthalten. Echte Einstellungen sind solche, die von der Gruppenrichtlinie vollständig unterstützt werden. Sie müssen in der Registrierung den Schlüssel (mit seinen Unterschlüsseln) Software\ Policies oder Software\Microsoft\Windows\ CurrentVersion\Policies verwenden. Bevorzugte Einstellungen sind solche, die in anderen Unterschlüsseln abgelegt sind, da sie nicht vollständig unterstützt werden. Durch das Aktivieren dieser Einstellung werden nur echte Einstellungen in der Gruppenrichtlinie angezeigt, aber keine bevorzugten. Im Gruppenrichtlinienobjekt-Editor werden bevorzugte Einstellungen mit einem roten Symbol hervorgehoben, während echte Einstellungen mit einem blauen Symbol angezeigt werden.

Automatische Aktualisierung von ADMDateien deaktivieren

Diese Einstellung verhindert, dass die Quelldateien der administrativen Vorlagen (*.adm) beim Starten des Gruppenrichtlinienobjekt-Editors automatisch aktualisiert werden. Sie können diese Option verwenden, um die Speichernutzung auf dem Systemlaufwerk des Domänencontrollers zu reduzieren, denn per Voreinstellung werden Quelldateien aus dem Verzeichnis %systemroot%\inf in das Gruppenrichtlinienobjekt kopiert.

Generieren von Richtlinienergebnissatzdaten durch interaktive Benutzer nicht zulassen

Legt fest, ob Benutzer ihre Richtlinienergebnissatzdaten anzeigen können. Standardmäßig können interaktiv angemeldete Benutzer sich ihre eigenen Richtlinienergebnissatzdaten anzeigen lassen.

Tabelle 7.23: Gruppenrichtlinieneinstellungen für Benutzer (Forts.)

GPOs und langsame WAN-Strecken Moderne Firmen bestehen heute aus verschiedenen Standorten, die über WAN-Strecken miteinander verbunden sind. Diese besitzen mindestens ISDN-Qualität, werden aber immer mehr von ADSL und SDSL-Verbindungen abgelöst. Die SDSL-Verbindungen gibt es in Abstufungen von 0,5 MBit, 1 MBit usw. Die Problematik heute ist daher zu entscheiden, ob die WAN-Strecke als langsam eingestuft werden soll oder als normales Intranet. Per Voreinstellung ist Active Directory in der Lage, langsame WAN-Strecken zu erkennen. Der Schwellenwert beträgt hierbei 500 KB/s. Liegt der Wert unter diesem Schwellenwert, wird die Netzwerkverbindung als langsam definiert. Sie können den Schwellenwert verändern, indem Sie den Wert von Nicht konfiguriert auf Aktiviert setzen und einen neuen Wert für die Verarbeitungsgeschwindigkeit angeben (siehe Abbildung 7.66). Als gültige Werte können Sie Zahlen zwischen 0 und 4.294.967.200 angeben (In der Registrierung wird daraus 0xFFFFFFA0.) Wenn Sie den Wert 0 angeben, wird die Erkennung deaktiviert, und alle Verbindungen werden als schnell angesehen.

584



Abbildung 7.66: Die Erkennung langsamer Verbindungen (Standardeinstellung) konfigurieren

Diese Einstellung bildet die Grundlage für viele Anwendungen und Einstellungen, die auf der Erkennung langsamer Verbindungen basieren. Darunter fallen: T Verarbeitung der Richtlinie für die Internet Explorer-Wartung T Softwareinstallations-Richtlinienverarbeitung T Ordnerumleitungs-Richtlinienverarbeitung T Skriptrichtlinienverarbeitung T IP-Sicherheitsrichtlinienverarbeitung T Verarbeitung der Richtlinien für Drahtlosnetzwerke T Richtlinienverarbeitung der EFS-Wiederherstellung T Datenträgerkontingent-Richtlinienverarbeitung Wenn Sie eine Gruppenrichtlinie, die eine Softwareverteilung durchführt, so konfigurieren, dass sie langsame Netzwerke erkennt, können Sie verhindern, dass die Softwareverteilung an Clients durchgeführt wird, die nur über eine langsame Verbindung zum Domänencontroller bzw. zum Softwareverteilungspunkt verfügen.


585

MCSE Examen 70-294

Zusammenfassung In diesem Kapitel haben Sie die Grundlagen und die Anwendung von Gruppenrichtlinien kennen gelernt. Hier fassen wir für Sie die wichtigsten Aspekte zusammen. Die Zusammenfassung besteht aus den folgenden Teilen: T Grundlagen T Vererbung von Richtlinien T Planung einer Infrastruktur mit Gruppenrichtlinien T Erstellen und Konfigurieren von Gruppenrichtlinien

Grundlegendes Sie definieren mit Gruppenrichtlinien eine Reihe von Einstellungen, die Client- und Serversysteme und Benutzer betreffen. Diese Einstellungen haben Auswirkungen auf die DesktopUmgebung von Benutzern und den Funktionsumfang der Computer. Da die Richtlinien Auswirkungen auf das Benutzerprofil haben, wird auch die Registrierung unter dem Hive HKEY_CURRENT_USER (HKCU) modifiziert. Die computerspezifischen Einstellungen werden dagegen unter HKEY_LOCAL_MACHINE (HKLM) verändert. Gruppenrichtlinien werden in Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) gespeichert. Daher geschieht die Bearbeitung der GPOs im GruppenrichtlinienobjektEditor, der die schönere Art darstellt, die Registrierung zu bearbeiten. Gruppenrichtlinienobjekte sind im Verzeichnis %systemroot%\Sysvol\domain\Policies\\Adm auf dem Domänencontroller gespeichert. Sie finden zwei Arten von Gruppenrichtlinien vor: die lokalen und die nichtlokalen Gruppenrichtlinienobjekte. Ein GPO ist immer gleich aufgebaut, sobald es die gleichen Vorlagen (Group Policy Template, GPT) verwendet. Sie finden die verwendeten Vorlagen im Verzeichnis %systemroot%\SYSVOL\sysvol\\Policies\. Ein Gruppenrichtlinienobjekt ist in zwei »Hauptknoten« unterteilt: in COMPUTERKONFIGURATION und in BENUTZERKONFIGURATION. In beiden finden Sie untergeordnete Knoten, die die Softwareeinstellungen, Windows-Einstellungen und administrative Vorlagen betreffen. Auch wenn diese Knoten die gleichen Namen besitzen, so haben sie verschiedene Aufgaben. Der eine ist für die Computerkonfiguration und der andere für die Benutzerverwaltung zuständig. Diese untergeordneten Knoten haben folgende Aufgaben: T Softwareeinstellungen – Zum Verteilen von Software in Abhängigkeit von Computer und Benutzer. T Windows-Einstellungen – Unter diesem Knoten sind Computer- und Benutzeranmeldeskripte, sowie alle Aspekte der Sicherheit untergebracht. Sie finden hier die Knoten SICHERHEITSEINSTELLUNGEN für Computer- und Benutzerkonten und die Ordnerumleitung für den Benutzer. T Administrative Vorlagen – Sie finden diesen Knoten sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration. Hier können Sie einige hundert Einstellungen zu Windows-Applikationen und -Systemprogrammen vornehmen.

586



Richtlinien vererben sich Sie können GPOs nur mit Standorten, Domänen oder Organisationseinheiten verknüpfen. Die darin enthaltenen Richtlinien vererben sich per Voreinstellung in folgender Reihenfolge: 1. Standort 2. Domäne 3. Organisationseinheit(en) Per Voreinstellung kann ein untergeordnetes GPO Richtlinieneinstellungen eines übergeordneten GPOs überschreiben. Achten Sie daher bei der Richtlinienvergabe auch auf die Richtlinieneinstellungen, denn die administrativen Vorlagen lassen die folgenden Einstellungen zu: T Nicht konfiguriert – Sie ändern keine bestehenden Werte in der Registrierung des Computers. T Aktiviert – Sie ändern die Registrierung nach der betreffenden Richtlinieneinstellung. T Deaktiviert – Sie ändern die Registrierung, indem Sie das betreffende Feature deaktivieren. Beachten Sie, dass ein Überschreiben der Einstellungen nur dann stattfindet, wenn die Einstellungen kompatibel sind, d.h., eine Einstellung für Windows XP Professional wird für Windows 2000 Professional ignoriert. Beachten Sie auch, dass die Einstellung Nicht konfiguriert keine bestehenden Einstellungen überschreibt. Gruppenrichtlinien können sehr variabel eingesetzt werden. Die folgenden Regeln helfen Ihnen bei der Planung und beim Festlegen der Vererbungsstrategie: 1. GPOs vererben ihre Einstellungen an untergeordnete Objekte, es sei denn, die folgende Situation tritt auf: 1. Sie überschreiben die Richtlinieneinstellung, die von einem übergeordneten GPO vererbt wird. Verwenden Sie hierfür nicht die Einstellung Nicht konfiguriert. 2. Sie blockieren die Vererbung (Einstellung Richtlinienvererbung deaktivieren), damit Sie nach der Blockade ein neues GPO erstellen können, das sich seinerseits weitervererben kann. 2. Sie filtern Sicherheitsgruppen aus dem Gültigkeitsbereich der Richtlinien heraus, indem Sie in den Eigenschaften des GPOs die Berechtigung Gruppenrichtlinie übernehmen auf Zulassen oder Verweigern setzen. 3. Sie erstellen mehrere GPOs und verknüpfen sie mit einem Standort-, Domänen- oder OU-Objekt. Das GPO, das sich an der höchsten Stelle befindet, hat den Vorrang, wenn Sie dort die Einstellung Kein Vorrang vornehmen. 4. Sie können ein Blockieren der Vererbung (Einstellung Richtlinienvererbung deaktivieren) verhindern, indem Sie Kein Vorrang einstellen und somit die Vererbung von höchster Stelle aus erzwingen.


587

MCSE Examen 70-294

5. Sie können GPOs speziell für Computer- oder für Benutzereinstellungen definieren. Dadurch resultieren u.U. mehrere GPOs für einen Standort, eine Domäne oder OU. 6. Sie können das GPO deaktivieren, um es zu bearbeiten. Selbstverständlich vererbt sich diese Einstellung. TIPP: Diese »Regeln« sind Ihr Handwerkzeug für die Planung von Gruppenrichtlinien!

Planungsaspekte Für die Planung von GPOs müssen Sie noch folgende Aspekte berücksichtigen: T Sie können ein oder mehrere GPOs den folgenden Objekten zuordnen: Standort, Domäne und/oder Organisationseinheit (OU). T Sie können eine oder mehrere Einstellungen in einem GPO durchführen: Stellen Sie nur eine Änderung ein, können Sie die Aufteilung übersichtlich gestalten, wenn die Anzahl der GPOs überschaubar bleibt. Stellen Sie viele Änderungen ein, kann es unübersichtlich werden, denn Sie sehen auf den ersten Blick nicht, welche Richtlinien die effektiven sind. T Sie können GPOs intern so aufteilen, dass Sie entweder Computer- oder Benutzerkonten konfigurieren. T Der Nachteil vieler GPOs ist eine erhebliche Verlängerung der Anmeldezeit, die insbesondere bei Windows 2000-basierenden Computern auftritt. T Sie haben sich bereits Gedanken über die OU-Struktur gemacht: Soll es eine Kombination aus allen OU-Modellen sein? Oder soll Ihr Modell nur nach Verwaltungsaufgaben, Orten oder Geräten aufgeteilt sein? T Beachten Sie auch die Regeln für die Vererbung der Richtlinien.

Erstellen und Konfigurieren Sie erstellen ein GPO in den Eigenschaften (Register GRUPPENRICHTLINIE) eines der folgenden Objekte: Standort, Domäne oder Organisationseinheit. Sie klicken auf die Schaltfläche NEU, wenn Sie ein neues GPO erstellen, oder auf die Schaltfläche HINZUFÜGEN, wenn Sie ein GPO verknüpfen möchten. Ein GPO besitzt eine Reihe von Eigenschaften, die sich nur auf das betreffende Objekt beziehen. Darunter fallen auch die allgemeinen Einstellungen, in denen Sie die bereits beschriebenen Hauptknoten jeweils deaktivieren können. Um den Anmeldevorgang auf Clientcomputern zu beschleunigen, wenn Sie in den betreffenden Knoten keine Einstellung vornehmen wollen, aktivieren Sie folgende Kontrollkästchen: T Konfigurationseinstellungen des Computers deaktivieren T Benutzerdefinierte Konfigurationseinstellungen deaktivieren

588



Des Weiteren können Sie den Wirkungsbereich der Richtlinien anhand von Sicherheitsgruppen steuern. Setzen Sie im Register SICHERHEIT Gruppen- oder Benutzerkonten ein, die die Berechtigung Gruppenrichtlinie übernehmen: Zulassen oder Verweigern besitzen. Wenn Sie also möchten, dass nur eine bestimmte Gruppe oder ein bestimmter Benutzer die Richtlinien übernehmen soll, entfernen Sie die voreingestellte Gruppe Authentifizierte Benutzer, fügen den entsprechenden Sicherheitsprinzipal in die Liste ein und erteilen diesem die Berechtigung Gruppenrichtlinie übernehmen: Zulassen. Beachten Sie auch hier, dass die Berechtigungen kumulativ sind, es sei denn, Sie haben den Zugriff auf Verweigern gesetzt. Sie überprüfen oder simulieren bestehende GPOs auf Benutzer- oder Computereinstellungen mit dem sog. Richtlinienergebnissatz (Resultant Set of Policy, RSoP), der ein Abfragemodul darstellt, das bestehende und geplante Richtlinien über die CIMOM-Datenbank abfragt und dann die Ergebnisse im Richtlinienergebnissatz-Assistenten anzeigt. Der Richtlinienergebnissatz besteht aus dem Planungsmodus und Protokollierungsmodus. Im Planungsmodus können Sie die Auswirkungen von Richtlinieneinstellungen simulieren, die Sie auf einen Computer und Benutzer anwenden möchten, während Sie im Protokollierungsmodus die vorhandenen Richtlinieneinstellungen für einen Computer und einen bereits angemeldeten Benutzer aufzeichnen. Hat sich der Benutzer im Protokolliermodus noch nicht an dem betreffenden Computergerät angemeldet, schlägt diese Abfrage fehl. Beispiele für den Einsatz von GPOs sind: T Das Einrichten von Kontorichtlinien, die zur Anmeldesicherheit beitragen können. T Das Aktivieren einer Überwachungsrichtlinie, um bestimmte Aktionen zu protokollieren (Anmeldeereignisse, Änderung der Berechtigungen durch Administratoren usw.). T Das Einrichten einer automatischen Softwareverteilung, um Servicearbeiten zu automatisieren. T Das Implementieren einer Softwarebeschränkung, um unerwünschte Software abzuwehren. T Das Umleiten von Spezialordnern aus dem persönlichen Benutzerprofil.

7.6

Lernzielkontrolle

In der Lernzielkontrolle werden Sie neben Übungen zur Prüfung auch Prüfungsfragen und Antworten zu finden.

7.6.1

Wiederholungsfragen

Die folgenden Fragen helfen Ihnen beim Durcharbeiten des Kapitels. Wir haben auch hier die Reihenfolge für Sie etwas gemischt. Die Antworten zu den Fragen finden Sie in Kapitel 7.6.4.


589

MCSE Examen 70-294

1. Macht es Sinn, einer Organisationseinheit mehrere GPOs zuzuweisen? 2. Wie können Sie verhindern, dass eine Richtlinie auf eine bestimmte Gruppe (z.B. LaptopNutzer) angewendet wird? 3. Über welche Mechanismen kann eine Software auf einem Computer verteilt werden? Hinweis: Sie bearbeiten den Knoten COMPUTERKONFIGURATION in einem GPO. 4. Wie kann über die Softwareverteilung über den Knoten COMPUTERKONFIGURATION ein Datenpaket auf dem Clientcomputer installiert werden? 5. Sie haben eine Ordnerumleitung erstellt. Es stehen allerdings keine Dateien und Ordner zur Verfügung. Wie können Sie die Fehlerquelle eingrenzen? 6. Welche Dateitypen unterstützt eine Softwareverteilung über Gruppenrichtlinien? 7. Sie möchten eine Softwareverteilung auf Computern durchführen. Damit keine unnötig langen Wartezeiten beim Starten entstehen, suchen Sie nach der bestmöglichsten Lösung. Wie gehen Sie vor? 8. Sie haben eine Softwareverteilung durchgeführt. Wie können Sie erkennen, dass eine Installation erfolgreich durchgeführt wurde? 9. Sie möchten verhindern, dass Administratoren von untergeordneten OUs die Domänenrichtlinie verändern. Wie gehen Sie vor? 10. Wie können Sie verhindern, dass durch eine Softwareverteilung eine (relativ) langsame WAN-Strecke überlastet wird? 11. In Ihrer Firma gibt es Laptopbenutzer, die über eine ISDN-Leitung häufig auf das Firmennetz zugreifen müssen. Sie haben für Ihre Domäne eine Gruppenrichtlinie mit einer Softwareverteilung erstellt. Sie möchten vermeiden, dass Ihre Laptopbenutzer eine bestimmte Software installiert bekommen, wenn sie sich remote anmelden. Wie gehen Sie vor? 12. Sie benötigen verschiedene angepasste Versionen des Office XP-Softwarepakets. Wie können Sie vorgehen, damit Benutzer ihre angepasste Version erhalten? 13. Eine Gruppenrichtlinie wird nicht auf Benutzer einer Sicherheitsgruppe angewendet, obwohl Sie das GPO mit einer OU verknüpft haben. Liegt ein Fehler vor und wenn ja, wie können Sie diesen beheben? 14. Sie möchten eine Kontorichtlinie einführen. Sie nehmen alle notwendigen Einstellungen in dem GPO Vertrieb West vor. Das GPO Vertrieb West verknüpfen Sie anschließend mit der OU VertriebW. Nach einiger Zeit wundern Sie sich, dass die Richtlinien für Kennwörter und die Kennwortchronik keine Gültigkeit haben. Wie können Sie diesen Fehler beheben? 15. Sie erstellen eine Softwareeinschränkung. Unter welchen zwei Sicherheitsstufen können Sie wählen? 16. Sie erstellen eine Softwareeinschränkung und müssen die verwendete Software identifizieren. Anhand welcher Kriterien können Sie dies tun? Wenn Sie diese Kriterien anwenden, in welchem Zusammenhang stehen sie zueinander?

590



17. Sie erhalten den Auftrag, Gruppenrichtlinien für ein zentrales Verwaltungsmodell zu konzipieren. Wie gehen Sie prinzipiell vor? 18. In welchen Fällen setzen Sie die Loopback-Einstellung ein? 19. Mit welcher vordefinierten Sicherheitsvorlage wird ein Domänencontroller installiert, wenn er vorher ein Mitgliedsserver in der Domäne war? 20. Sie möchten die Sicherheitseinstellungen in Ihrem GPO verschärfen. 1. Wie können Sie vorgehen, um auf einem Domänencontroller zu prüfen, welche Sicherheitsrichtlinien gerade aktiv sind und ob diese den verschärften Sicherheitsbestimmungen entsprechen? 2. Sie haben die Sicherheitsrichtlinien überprüft und möchten die verschärften Sicherheitsbestimmungen in ein GPO übernehmen. Wie können Sie mit dem geringsten Aufwand vorgehen?

7.6.2

Übungen

Die folgenden Übungen helfen Ihnen beim praktischen Einsatz von Gruppenrichtlinien und hinsichtlich der MCSE-Prüfung. Die Antworten zu den hier gestellten Fragen finden Sie im Anschluss an den Übungsteil in Kapitel 7.6.3.

Einrichten eines Gruppenrichtlinienobjekt-Editors Nach dieser Übung sind Sie in der Lage, eine beliebige Gruppenrichtlinie aufzurufen und zu bearbeiten. Hierfür werden Sie eine benutzerdefinierte Managementkonsole erstellen. Sie üben diesen Vorgang, indem Sie die Standarddomänenrichtlinie aufrufen. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Handhabung der Managementkonsole Für die Übung benötigen Sie folgende Computergeräte: T Einen Windows Server 2003, der als Domänencontroller konfiguriert ist. Durchführung SCHRITT FÜR SCHRITT

1

Klicken Sie auf START und anschließend im Menü auf AUSFÜHREN.

2

Geben Sie den Befehl mmc ein. (Sie können Groß- oder Kleinbuchstaben verwenden; Sie können auch die Endung .exe an den Befehl anhängen.) Es erscheint die leere Konsole mit einem Konsolenstamm.

3

Klicken Sie auf Snap-In hinzufügen/entfernen (Taste STRG+M) im Menü der Managementkonsole.

4

Im Fenster Snap-In hinzufügen/entfernen klicken Sie auf HINZUFÜGEN.


591

MCSE Examen 70-294

5

Wählen Sie im Fenster Eigenständiges Snap-In hinzufügen das Snap-In Gruppenrichtlinienobjekt-Editor aus, und klicken Sie auf HINZUFÜGEN (siehe Abbildung 7.67).

Abbildung 7.67: Einrichten einer Managementkonsole mit dem Gruppenrichtlinienobjekt-Editor

6

Sie erhalten das Dialogfenster Gruppenrichtlinienobjekt auswählen. Per Voreinstellung ist hier das GPO Lokaler Computer ausgewählt. Klicken Sie auf DURCHSUCHEN, um ein anderes GPO auszuwählen.

7

Sie erhalten das in der Abbildung 7.68 gezeigte Fenster, wo Sie das gesuchte GPO auswählen können. Wählen Sie laut Aufgabenstellung die Default Domain Policy. Falls Sie das GPO nicht auf Anhieb finden, können Sie sich im Register STANDORT alle GPOs anschauen, die dem Standort zugewiesen wurden. Im Register COMPUTER können Sie sich mit dem Computer verbinden, um das lokale GPO herauszusuchen. Im Register ALLE finden Sie alle GPOs der Domäne.

Abbildung 7.68: Auswahl von bestehenden GPOs

592



8

Klicken Sie auf OK und anschließend auf FERTIG STELLEN.

9

Schließen Sie das Fenster Eigenständiges Snap-In hinzufügen mit SCHLIESSEN.

10 Optional können Sie nun noch weitere Snap-Ins zur Managementkonsole hinzufügen. Beenden Sie den Vorgang mit OK. Sie erhalten anschließend das in Abbildung 7.69 gezeigte Fenster.

11 Beachten Sie, dass Sie spätestens beim Beenden die Konsole abspeichern müssen. Erweitern Sie ggf. die Startleiste oder Ihren Desktop um den Link zur neuen Konsole, um sie schnell und komfortabel aufrufen zu können.

Abbildung 7.69: Richtlinienobjekt Default Domain Policy

Implementieren eines GPOs mit einer Kontorichtlinie In dem folgenden Beispiel erstellen Sie eine Gruppenrichtlinie und verknüpfen diese mit einen GPO-fähigen Objekt. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Theoretische Grundlagen von GPOs T Planung und Handhabung von Organisationseinheiten (OU) Für die Übung benötigen Sie folgende Computergeräte: T Einen Windows Server 2003, der als Domänencontroller konfiguriert ist T Es wird auch davon ausgegangen, dass das u. g. GPO im Zustand »Nicht definiert« ist. Szenario Sie administrieren die In&Export-Company in Hamburg. Die Firma hat 3 Standorte, die auf Hamburg, Berlin und Essen verteilt sind. Jeder der Standorte besitzt ein eigenes Supportpersonal, das mit administrativen Berechtigungen ausgestattet ist. Die Domäne ist in verschiedene OUs unterteilt, die die Unternehmensbereiche charakterisieren. Zur Anmeldesicherheit möchten Sie in Ihrer Firma Kennwortrichtlinien und Kontosperrungsrichtlinien einrichten. 7.6 Lernzielkontrolle

593

MCSE Examen 70-294

Sie möchten folgende Kennwortrichtlinien einrichten: Richtlinie



Aktiviert


24 gespeicherte Kennwörter


Deaktiviert


42 Tage


7 Zeichen


1 Tage

Tabelle 7.24: Aufgabenstellung zu den Kennwortrichtlinien

Weiterhin möchten Sie folgende Kontosperrungsrichtlinien vorgeben: Richtlinie



Nach 3 ungültigen Anmeldeversuchen

Kontosperrdauer

Konto ist gesperrt, bis ein Administrator die Sperrung aufhebt.

Zurücksetzungsdauer des Kontosperrungszählers 65 Minuten Es ist davon auszugehen, dass der Standard (30 Minuten) jedem bekannt ist. Daher macht es Sinn, auch diesen zu verändern. Tabelle 7.25: Aufgabenstellung zu den Kontosperrungsrichtlinien


Um in Ihrer Firma Kennwortrichtlinien und Kontosperrungsrichtlinien einzurichten, müssen Sie ein GPO erstellen oder modifizieren. Obwohl Sie Standorte und diverse OUs besitzen, müssen Sie das GPO mit der Domäne verknüpfen. Modifizieren Sie daher die Default Domain Policy.

1

Klicken Sie auf START und anschließend auf ALLE PROGRAMME/VERWALTUNG/Active Directory-Benutzer und -Computer.

2

Wählen Sie mit der rechten Maustaste den Knoten mit dem Domänennamen aus (zum Beispiel pearson.de), und wählen Sie im Kontextmenü den Eintrag Eigenschaften aus.

3

In den Eigenschaften des Domänenobjekts wählen Sie die Registerkarte GRUPPENRICHTLINIEN aus.

4

Doppelklicken Sie auf Default Domain Policy, oder wählen Sie das Element normal aus, und klicken Sie auf BEARBEITEN. Sie öffnen hiermit den Gruppenrichtlinienobjekt-Editor.

594



5

Öffnen Sie im Gruppenrichtlinienobjekt-Editor den Knoten COMPUTERKONFIGURATION/ WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/KONTORICHTLINIEN. Sie erkennen folgende untergeordnete Knoten: KENNWORTRICHTLINIEN, KONTOSPERRUNGSRICHTLINIEN und KERBEROS-RICHTLINIE (siehe Abbildung 7.70).

Abbildung 7.70: Navigation zum Knoten Kontorichtlinien

6

Tragen Sie die entsprechenden Werte der Tabelle 7.24 in den Knoten KENNWORTRICHTLINIEN ein. 1. Aktivieren Sie die Richtlinieneinstellung Kennwort muss Komplexitätsvoraussetzungen entsprechen, indem Sie das Optionsfeld auf Aktiviert setzen (siehe Abbildung 7.71)

Abbildung 7.71: Aktivieren von Kennwort muss Komplexitätsvoraussetzungen entsprechen

2. Aktivieren Sie die Sicherheitsrichtlinie Kennwortchronik erzwingen, indem Sie in das entsprechende Feld (siehe Abbildung 7.72) den Wert 24 eingeben.

Abbildung 7.72: Kennwortchronik (Wird »0« eingeben, würde keine Kennwortchronik geführt werden)


595

MCSE Examen 70-294

3. Definieren Sie folgende Einstellungen laut Aufgabenstellung. (Das Eingeben der weiteren Werte ist so einfach, dass wir auf Abbildungen und genaue Anweisungen verzichtet haben.)

7

Kennwörter mit umkehrbarer Verschlüsselung speichern Maximales Kennwortalter Minimale Kennwortlänge Minimales Kennwortalter

Tragen Sie die entsprechenden Werte der Tabelle 7.25 in den Knoten KONTOSPERRUNGSRICHTLINIEN ein. 1. Aktivieren Sie die Richtlinieneinstellung Kontensperrungsschwelle, indem Sie das entsprechende Kontrollkästchen aktivieren und den Wert 3 eintragen (siehe Abbildung 7.73).

Abbildung 7.73: Eingabe der Kontensperrungsschwelle

2. Aktivieren Sie die Sicherheitsrichtlinie Kontosperrdauer, indem Sie in das entsprechende Feld (siehe Abbildung 7.74) eine 0 eingeben.

Abbildung 7.74: Einstellen der Kontosperrdauer

3. Aktivieren Sie die Sicherheitsrichtlinie Zurücksetzungsdauer, indem Sie die Richtlinie aktivieren und 65 Minuten eingeben.

596



Schließen Sie den Gruppenrichtlinienobjekt-Editor.

8

Überprüfen Sie abschließend die Registerkarte GRUPPENRICHTLINIE. Wenn Sie nur Einstellungen in der Computerkonfiguration durchführen, können Sie die Benutzerkonfiguration deaktivieren: Klicken Sie auf Default Domain Policy und anschließend auf EIGENSCHAFTEN.

9

In den Eigenschaften von Default Domain Policy wählen Sie das Register ALLGEMEIN aus. Dort wählen Sie das Kontrollkästchen Benutzerdefinierte Konfigurationseinstellungen deaktivieren. Sofort erscheint eine Warnmeldung (siehe Abbildung 7.75).

Abbildung 7.75: Warnmeldung beim Deaktivieren

10 Bestätigen Sie die Warnmeldung mit JA. 11 Bestätigen Sie das Fenster Eigenschaften von Default Domain Policy mit OK. 12 Beachten Sie, dass das Gruppenrichtliniensymbol sich nun geändert hat!

Abbildung 7.76: Achten Sie auf die Änderung im GPO-Symbol

Fragen zur Übung 1. Wie finden Sie heraus, welche Richtlinien auf Ihrem Domänencontroller gerade aktiv sind? 2. Was passiert mit dem Konto Administrator, wenn Sie dreimal das falsche Kennwort eingeben? 3. Welche Schritte müssen Sie durchführen, um ein gesperrtes Konto zu aktivieren? 4. Welchen Einfluss hat die Default Domain Controller Policy, die mit dem Objekt Domain Controllers verknüpft ist, auf die Default Domain Policy? Wie sieht der Einfluss auf die Kontorichtlinien aus?


597

MCSE Examen 70-294

Durchführen eines RSoP im Protokolliermodus Im folgenden Beispiel erstellen Sie einen Richtlinienergebnissatz (Resultant Set of Policy, RSoP) im Protokolliermodus. Diese Übung baut darauf auf, dass Sie sich bereits mit einem Benutzernamen an Ihrem Domänencontroller angemeldet haben und dass Sie die vorangegangene Übung zur Einrichtung einer Kontorichtlinie durchgeführt haben. Voraussetzungen Sie benötigen die folgenden Vorkenntnisse: T Theoretische Grundlagen über GPOs T Theoretische Grundlagen über RSoP T Planung und Handhabung von Organisationseinheiten (OU) Für die Übung benötigen Sie folgende Computergeräte und Vorkonfigurationen: T Einen Windows Server 2003, der als Domänencontroller konfiguriert ist T (Optional) einen Clientcomputer, der Mitglied der Domäne ist T Die Übung zum Implementieren eines GPOs mit einer Kontorichtlinie Szenario Sie haben die Aufgabe, die tatsächlichen Auswirkungen eines GPOs auf einen Benutzer zu bestimmen. Der Benutzer existiert in Active Directory und hat sich bereits an seinem Computersystem angemeldet. Für die Überprüfung der Richtlinien haben Sie zwei Möglichkeiten: T Die Überprüfung der Richtlinien über Gpresult.exe T Die Überprüfung über den Richtlinienergebnissatz-Assistenten im Protokolliermodus. Sie entscheiden sich für den Gebrauch des Richtlinienergebnissatz-Assistenten im Protokolliermodus. Sie können für die Übung auch einen Domänencontroller einsetzen. Falls Sie jedoch einen Clientcomputer besitzen, verwenden Sie diesen zum Bestimmen des RSoP. Nach der Durchführung finden Sie noch einige Fragen zum Ist-Zustand. Die Lösungen zu den Fragen finden Sie in Kapitel 7.8.4. Durchführung SCHRITT FÜR SCHRITT

1

Klicken Sie auf START und anschließend auf ALLE PROGRAMME/VERWALTUNG/Active Directory-Benutzer und -Computer.

2

Wählen Sie mit der rechten Maustaste den Knoten mit dem Computernamen aus (zum Beispiel Server02), und wählen Sie im Kontextmenü den Eintrag Alle Tasks/Richtlinienergebnissatz (Protokollierung).

598



Abbildung 7.77: Startfenster des RSoP-Assistenten. Sie können diesen Vorgang immer nur für einen bestimmten Computer starten.

3

Wählen Sie nun den Benutzer aus, für den Sie die effektiven Richtlinien berechnen wollen. In Abbildung 7.78 erkennen Sie, dass sich an dem Domänencontroller Server01 bisher nur der Benutzer Administrator angemeldet hat. Wenn sich auf dem Computergerät mehrere Benutzer angemeldet hätten, wäre die Liste der Benutzer länger. Jeder erfolgreich angemeldete Benutzer erscheint dann mit seinem Prä-Windows 2000- Anmeldenamen in Form von Domänenname\Benutzername.

Abbildung 7.78: Auswahl der Benutzer, die sich bereits auf dem Computer angemeldet haben


599

MCSE Examen 70-294

4

Klicken Sie im nächsten Dialogfenster auf Erweiterte Fehlerinformationen ermitteln, um eine aussagekräftigere Meldung in den Eigenschaften des RSoP-Assistenten zu erhalten. Klicken Sie auf WEITER.

5

Wählen Sie den Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/KENNWORTRICHTLINIEN, und werten Sie die Ergebnisse aus. Entsprechen diese Ihrer Voraussage über die effektiven Sicherheitsrichtlinien? Ihr Ergebnis sollte wie folgt aussehen:

Richtlinie

Computereinstellung

Quell-Gruppenrichtlinienobjekt


Aktiviert

Default Domain Policy


24 gespeicherte Kennwörter



Deaktiviert



42 Tage



7 Zeichen



1 Tage


Tabelle 7.26: Ergebnisse für den RSoP für den Knoten Kennwortrichtlinie

6

Wählen Sie den Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/KONTOSPERRUNGSRICHTLINIEN aus, und werten Sie die Ergebnisse aus. Entsprechen diese Ihrer Voraussage über die effektiven Sicherheitsrichtlinien? Ihr Ergebnis sollte wie folgt aussehen:

Richtlinie

Computereinstellung

Quell-Gruppenrichtlinienobjekt


3 ungültige Anmeldeversuche


Kontosperrdauer

0


Zurücksetzungsdauer des Kontosperrungszählers

65 Minuten


Tabelle 7.27: Ergebnisse für den RSoP für den Knoten Kontosperrungsrichtlinien

7

Um zu überprüfen, welche Richtlinie die effektiven Einstellungen liefert und welche Richtlinien überschrieben werden, klicken Sie in die Eigenschaften der Richtlinien. Wählen Sie zum Beispiel auf die Richtlinie Kontosperrdauer aus.

8

In den Eigenschaften von Kontosperrdauer erkennen Sie im Register RANGFOLGE die Richtlinien, die die effektive Kontosperrdauer verursachen.

600



Abbildung 7.79: Effektive Richtlinie für die Kontosperrdauer

9

Um zu erkennen, welche Gruppenrichtlinien einen Einfluss auf die OU (in der der Computer Mitglied ist) haben, klicken Sie auf den Knoten COMPUTERKONFIGURATION und öffnen die Eigenschaften von Computerkonfiguration.

10 Aktivieren Sie die Kontrollkästchen Gruppenrichtlinienobjekte und Filterstatus anzeigen (Sie erhalten die Spalte Filterung) und Verwaltungsbereich anzeigen (Sie erhalten die Spalte Verwaltungsbereich). Sie erkennen in Abbildung 7.80 die Reihenfolge der angewendeten Richtlinien.

Abbildung 7.80: Überprüfung der GPOs, die einen Einfluss im RSoP besitzen


601

MCSE Examen 70-294

11 Um die Fehlerinformationen zu erhalten, wählen Sie das Register FEHLERINFORMATIONEN aus.

Abbildung 7.81: Auswertung der Fehlerinformationen

Fragen zur Übung 1. Wie kann es sein, dass Sie in Abbildung 7.79 nur das GPO Default Domain Policy aufgelistet finden, obwohl Sie in Abbildung 7.80 erkennen können, dass neben der Default Domain Policy auch noch die Default Domain Controllers Policy eine Rolle spielt? Bedenken Sie, dass die Default Domain Controllers Policy sogar an erster Stelle steht. 2. Sie verändern die Gruppenrichtlinie Default Domain Policy. Welche Benutzer und Computer sind von dieser Richtlinie betroffen? 3. Wie können Sie sicherstellen, dass alle Mitglieder der Domäne diese Richtlinie erhalten? 4. Sie möchten, dass für eine Reihe von Benutzern eine andere Kontorichtlinie gilt. Wie müssen Sie vorgehen?

7.6.3


Hier finden Sie die Antworten zu den Fragen, die in den Übungen im Kapitel 7.6.2 gestellt wurden.

Implementieren einer Gruppenrichtlinie In dem Beispiel erstellten Sie eine Gruppenrichtlinie und verknüpften diese mit der Domäne, da Sie eine Kontorichtlinie für Domänencontroller nur mit einem Domänen-Objekt verknüpfen können. Für die durchgeführten Aufgaben benötigen Sie selbstverständlich administrative Privilegien. 602



Die folgenden Fragen wurden am Ende der Übung gestellt: 1. Wie finden Sie heraus, welche Richtlinien auf Ihrem Domänencontroller gerade aktiv sind? Antwort: Sie müssen einen Richtlinienergebnissatz (RSoP) im Protokolliermodus für den betreffenden Domänencontroller erstellen. 2. Was passiert mit dem Konto Administrator, wenn Sie dreimal das falsche Kennwort eingeben? Antwort: Das Konto ist gesperrt. Sie können sich jedoch trotzdem anmelden. Nach der erfolgreichen Anmeldung wird das Konto automatisch entsperrt. Sie können diesen Vorgang überprüfen, indem Sie sich mit einem anderen administrativen Konto anmelden und die Kontoeigenschaften des Benutzers Administrator überprüfen. Im Register KONTO finden Sie das aktivierte Kontrollkästchen Konto ist gesperrt. 3. Welche Schritte müssen Sie durchführen, um ein gesperrtes Konto zu aktivieren? Antwort: Öffnen Sie die Eigenschaften des Kontos, das gesperrt wurde. Klicken Sie in das Register KONTO, und löschen Sie den Haken im Kontrollkästchen Konto ist gesperrt. 4. Welchen Einfluss hat die Default Domain Controller Policy, die mit dem Objekt Domain Controllers verknüpft ist, auf die Default Domain Policy? Wie sieht der Einfluss auf die Kontorichtlinien aus? Antwort: Die Kontorichtlinien sind per Voreinstellung bei einer Default Domain Controller Policy nicht aktiviert. Bis auf diese Einstellungen überschreibt per Voreinstellung die Default Domain Controller Policy die Einstellungen der Default Domain Policy. Würden Sie in dem GPO Default Domain Controller Policy eine von der Default Controller Policy abweichende Kontorichtlinie erstellen, würden nur die Kontorichtlinien der Default Domain Controller Policy ignoriert werden.

Durchführen eines RSoP im Protokolliermodus In diesem Beispiel erstellten Sie einen Richtlinienergebnissatz (Resultant Set of Policy, RSoP) im Protokolliermodus. Sie identifizierten die Ergebnisse im RSoP-Assistenten und erkannten, dass nur das GPO Default Domain Policy für die Kontorichtlinien verwendet wurde. Sie stellten sich nach der Auswertung die folgende Frage: 1. Wie kann es sein, dass Sie in Abbildung 7.79 nur das GPO Default Domain Policy aufgelistet finden, obwohl Sie in Abbildung 7.80 erkennen können, dass neben der Default Domain Policy auch noch die Default Domain Controllers Policy eine Rolle spielt? Bedenken Sie, dass die Default Domain Controllers Policy sogar an erster Stelle steht. Antwort: In der Default Domain Controllers Policy sind die betreffenden Richtlinieneinstellungen nicht definiert. Die Einstellung Nicht definiert kann generell keine bestehenden Richtlinieneinstellungen überschreiben. Ein weiterer Grund ist die Sonderstellung der Kennwort- und Kontosperrungsrichtlinien. Diese müssen in der Default Domain Policy definiert sein, damit sie auf Domänencontroller angewendet werden können. Andere Einstellungen in untergeordneten OUs könnten zwar Richtlinien übergeordneter OUs überschreiben, sie können jedoch keine der beschriebenen Kennwort- und Kontosperrungsrichtlinien verändern. 7.6 Lernzielkontrolle

603

MCSE Examen 70-294

2. Sie verändern die Gruppenrichtlinie Default Domain Policy. Welche Benutzer und Computer sind von dieser Richtlinie betroffen? Antwort: Von der Gruppenrichtlinie sind alle Benutzer und Computer betroffen, die Mitglied der Domäne sind, außer Sie filtern den Wirkungsbereich von Richtlinien mittels Sicherheitsgruppen heraus. 3. Wie können Sie sicherstellen, dass alle Mitglieder der Domäne die Kontorichtlinie erhalten? Antwort: Sie benötigen keine weitere Einstellung, da es nur eine Kontorichtlinie in der Domäne gibt. 4. Sie möchten, dass für eine Reihe von Benutzern eine andere Kontorichtlinie gilt. Wie müssen Sie vorgehen? Antwort: Da es nur eine Kontorichtlinie für die Domäne gibt, müssen Sie eine weitere Domäne für diese Benutzer einrichten. Erstellen Sie daher eine untergeordnete Domäne und konfigurieren Sie die Default Domain Policy der untergeordneten Domäne entsprechend.

7.6.4


1. Macht es Sinn einer Organisationseinheit mehrere GPOs zuzuweisen? Antwort: Ja, wenn Sie Richtlinien mit fest zugeordneten Einstellungen planen bzw. verwenden oder wenn Sie sich entscheiden, zwei oder mehrere GPOs mit unterschiedlichen Einstellungen zu verwenden. Bei einer GPO mit mehreren Einstellungen definieren Sie entweder GPOs für die Benutzeroder Computereinstellungen. Es besteht hier jedoch die Gefahr, dass Sie einer OU zu viele GPOs zuweisen. Je mehr GPOs mit einer OU verknüpft sind, desto länger benötigen Clientcomputer für ihren Startvorgang. 2. Wie können Sie verhindern, dass eine Richtlinie auf eine bestimmte Gruppe (z.B. LaptopNutzer) angewendet wird? Antwort: Sie bearbeiten die Eigenschaften des betreffenden GPOs. Sie finden dort das Register SICHERHEIT. Ändern Sie den Wirkungsbereich der Richtlinien, indem Sie die Sicherheitsgruppen einschränken. Entfernen Sie die voreingestellte Gruppe Authentifizierte Benutzer und setzen Sie stattdessen die gewünschte Gruppe ein, auf die die Richtlinie angewendet werden soll. Geben Sie dieser Benutzergruppe die Berechtigung Gruppenrichtlinie übernehmen: Zulassen. Achten Sie darauf, dass die Gruppe Laptop-Nutzer über eine Gruppenmitgliedschaft nicht den Zugriff Zulassen erhält. Um diesen Fall auszuschalten, können Sie der Gruppe LaptopNutzer die Berechtigung Gruppenrichtlinie übernehmen: Verweigern zuweisen. 3. Über welche Mechanismen kann eine Software auf einem Computer verteilt werden? Hinweis: Sie bearbeiten den Knoten COMPUTERKONFIGURATION in einem GPO. Antwort: Sie können Softwarepakete nur auf Computer zuweisen, jedoch nicht veröffentlichen. Die Installation der Software erfolgt beim Starten des Computers im Hintergrund. Demzufolge muss das Softwarepaket eine Installationsart unterstützen, die eine Installation im Hintergrund ermöglicht. 4. Wie kann über die Softwareverteilung über den Knoten COMPUTERKONFIGURATION einDatenpaket auf dem Clientcomputer installiert werden?

604



Antwort: Die Installation beruht hauptsächlich auf dem Windows Installer-Dienst, der sich auf dem Clientcomputer befinden muss. Sie erkennen eine Windows Installer-Paketdatei an der Endung *.msi. Beachten Sie, dass nur diese Pakete auf Computer zugewiesen werden. 5. Sie haben eine Ordnerumleitung erstellt. Es stehen allerdings keine Dateien und Ordner zur Verfügung. Wie können Sie die Fehlerquelle eingrenzen? Antwort: Zunächst können Sie vermuten, dass es Probleme mit dem Netzwerk gibt. Verwenden Sie daher das Dienstprogramm ping, um dies zu testen. Erhalten Sie ein Echo, ist die Leitung in Ordnung. Als nächsten Schritt können Sie testen, ob die Netzwerkfreigabe verfügbar ist. Überprüfen Sie anschließend die Benutzerrechte. Der Benutzer muss Vollzugriff auf seine umgeleiteten Spezialordner (Eigene Dateien usw.) besitzen. 6. Welche Dateitypen unterstützt eine Softwareverteilung über Gruppenrichtlinien? Antwort: Für die Veröffentlichung können Sie Windows Installer-Paketdateien (Endung *.msi) oder Anwendungsdateien (Endung *.zap) verwenden, die Sie zuvor mit dem Windows Zero Administration Kit erstellt haben. Für die Zuweisung von Software können Sie nur Windows Installer-Paketdateien benutzen. 7. Sie möchten eine Softwareverteilung auf Computern durchführen. Damit keine unnötig langen Wartezeiten beim Starten entstehen, suchen Sie nach der bestmöglichsten Lösung. Wie gehen Sie vor? Antwort: Sie entscheiden sich für ein Modell, in dem das GPO nur eine Richtlinieneinstellung enthält, wie beispielsweise für die Installation von Software. Das GPO verändert nur Computerkonten und deren Einstellungen. Folglich benötigen Sie nur Einträge aus dem Knoten COMPUTERKONFIGURATION. Erstellen Sie die notwendige Softwareverteilung im dortigen Knoten SOFTWAREVERTEILUNG. Um den Startvorgang zu beschleunigen, klicken Sie auf EIGENSCHAFTEN und wählen im Register ALLGEMEIN den Eintrag Benutzerdefinierte Konfigurationseinstellungen deaktivieren aus. Bestätigen Sie die nachfolgende Meldung mit JA. Nachfolgend erscheint das GPO mit dem normalen Richtliniensymbol und einem zusätzlichen gelben Warndreieck. 8. Sie haben eine Softwareverteilung durchgeführt. Wie können Sie erkennen, dass eine Installation erfolgreich durchgeführt wurde? Antwort: Die Kontrolle über den Status der Installation ist nicht komfortabel gestaltet worden. Neben der Kontrolle der Ereignisanzeige auf dem jeweiligen Clientcomputer können Sie das RSoP im Protokolliermodus starten. Wählen Sie einen bestimmten Benutzer aus, und führen Sie das RSoP im Protokolliermodus aus. Das RSoP führt seine Diagnose in Abhängigkeit von der CIMOM-Datenbank aus. In den Eigenschaften der Softwareverteilung können Sie den Status der Installation ablesen. Eine bessere Lösung, Software zu verteilen, ist die über den Systems Management Server 2003 oder über ein adäquates Produkt eines anderen Herstellers (zum Beispiel NetInstall). 9. Sie möchten verhindern, dass Administratoren von untergeordneten OUs die Domänenrichtlinie verändern. Wie gehen Sie vor? Antwort: Sie öffnen die Eigenschaften der Domäne. Im Register GRUPPENRICHTLINIE erscheint in der Liste der Gruppenrichtlinienobjekt-Verknüpfungen die Default Domain Policy. Klicken Sie auf OPTIONEN, und stellen Sie Kein Vorrang (engl. No override) ein. 7.6 Lernzielkontrolle

605

MCSE Examen 70-294

10. Wie können Sie verhindern, dass durch eine Softwareverteilung eine (relativ) langsame WAN-Strecke überlastet wird? Antwort: Die beste Lösung ist hier der Einsatz eines anderen Produkts. Falls Sie dies nicht ermöglichen können, müssen Sie Standorte und Organisationseinheiten konfigurieren, die der Physik des Netzwerks entsprechen. Innerhalb eines schnellen Netzes platzieren Sie den Softwareverteilungspunkt, damit die WAN-Strecke nicht überlastet ist. Oder verwenden Sie eine DFS-Topologie. Hier können Sie für alle Installationen eine gemeinsame Freigabe definieren. Die Clientcomputer werden dadurch automatisch an den Softwareverteilungspunkt im eigenen Standort verwiesen. 11. In Ihrer Firma gibt es Laptopbenutzer, die über eine ISDN-Leitung häufig auf das Firmennetz zugreifen müssen. Sie haben für Ihre Domäne eine Gruppenrichtlinie mit einer Softwareverteilung erstellt. Sie möchten vermeiden, dass Ihre Laptopbenutzer eine bestimmte Software installiert bekommen, wenn sie sich remote anmelden. Wie gehen Sie vor? Antwort: Über die Gruppenrichtlinien wird per Voreinstellung eine Bandbreite von 500 KB/s als Schwellenwert für ein langsames Netzwerk angenommen. Sie finden diese Einstellung im Knoten COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/GRUPPENRICHTLINIEN/ GRUPPENRICHTLINIEN ZUR ERKENNUNG VON LANGSAMEN VERBINDUNGEN. Ändern Sie diesen Wert auf 128 KB/s. Sie können basierend auf diesem Wert im Knoten COMPUTERKONFIGURATION/ADMINISTRATIVE VORLAGEN/SYSTEM/GRUPPENRICHTLINIEN/SOFTWAREINSTALLATIONS-RICHTLINIENVERARBEITUNG festlegen, ob Softwareinstallationsrichtlinien in Active Directory aktualisiert werden. Deaktivieren Sie die Einstellung in dem Kontrollkästchen Verarbeitung über eine langsame Verbindung zulassen. Die Einstellung hat Einfluss auf alle Richtlinien, die die Softwareinstallationskomponente der Gruppenrichtlinie verwenden. 12. Sie benötigen verschiedene angepasste Versionen des Office XP-Softwarepakets. Wie können Sie vorgehen, damit Benutzer ihre angepasste Version erhalten? Antwort: Sie benötigen Transformationsdateien, mit denen Sie eine bestehende Windows Installer-Datei verändern können. Transformationsdateien besitzen die Endung *.mst und sind nicht zum Verteilen von Softwarepaketen geeignet. Eine *.mst-Datei kann nur einem verteilbaren *.msi-Paket hinzugefügt werden. Die geschieht über die Registerkarte ÄNDERUNGEN in den Eigenschaften des Softwarepakets. 13. Eine Gruppenrichtlinie wird nicht auf Benutzer einer Sicherheitsgruppe angewendet, obwohl Sie das GPO mit einer OU verknüpft haben. Liegt ein Fehler vor, und wenn ja, wie können Sie diesen beheben? Antwort: Sie haben nicht bedacht, dass sich Gruppenrichtlinien nicht auf Sicherheitsgruppen, sondern nur auf Standorte, Domänen oder Organisationseinheiten auswirken. Das Verhalten ist somit normal. Platzieren Sie die Gruppe in eine OU. Weisen Sie das GPO der OU zu. Anschließend können Sie den Wirkungsbereich der Richtlinien anhand von Sicherheitsgruppen einschränken. Es liegt also nahe, dass Sie das Filtern des Wirkungsbereichs mit einer Verknüpfung verwechselt haben. Mehr Informationen zu diesem Thema finden Sie in Kapitel 7.2.1.

606



14. Sie möchten eine Kontorichtlinie einführen. Sie nehmen alle notwendigen Einstellungen in dem GPO Vertrieb West vor. Das GPO Vertrieb West verknüpfen Sie anschließend mit der OU VertriebW. Nach einiger Zeit wundern Sie sich, dass die Richtlinien für Kennwörter und die Kennwortchronik keine Gültigkeit haben. Wie können Sie diesen Fehler beheben? Antwort: Es kann nur eine Richtlinie in der Domäne geben: Diese stellen Sie in der Standarddomänenrichtlinie (Default Domain Policy) ein. Sie gilt für alle Domänencontroller der Domäne. Wenn Sie einer OU Kontorichtlinien zuweisen, wirken diese sich nur auf die lokalen Richtlinien der Computer aus, die sich im Geltungsbereich des GPOs befinden. Die Richtlinien treten also nur dann auf, wenn ein Benutzer sich am Computer (nicht an der Domäne) anmeldet. Weitere Informationen über Kontorichtlinien erhalten Sie in Kapitel 7.5.1. 15. Sie erstellen eine Softwareeinschränkung. Unter welchen zwei Sicherheitsstufen können Sie wählen? Antwort: Im Knoten RICHTLINIEN FÜR SOFTWAREEINSCHRÄNKUNG/SICHERHEITSSTUFEN gibt es zwei Standardsicherheitsstufen: Nicht erlaubt und Nicht eingeschränkt (Standardeinstellung). 16. Sie erstellen eine Softwareeinschränkung und müssen die verwendete Software identifizieren. Anhand welcher Kriterien können Sie dies tun? Wenn Sie diese Kriterien anwenden, in welchem Zusammenhang stehen sie zueinander? Antwort: Damit eine Softwareeinschränkung wirksam sein kann, muss die Richtlinie die verwendete Software zuerst identifizieren. Dies geschieht anhand folgender Kriterien: HashAlgorithmus, Zertifikat, Pfad zu der Datei, Zone (Internetzone, Intranetzone, Zone Eingeschränkte Sites, Zone Vertrauenswürdige Sites oder Arbeitsplatz). Entsprechend der Kriterien existieren 4 Regeln, um eine Softwareerkennung durchzuführen. Sollten Sie auf dieselbe Software mehrere Regeln anwenden, gilt die folgende Reihenfolge: 1. Hashregel, 2. Zertifikatregel, 3. Pfadregel und 4. Internetzonenregel. 17. Sie erhalten den Auftrag, Gruppenrichtlinien für ein zentrales Verwaltungsmodell zu konzipieren. Wie gehen Sie prinzipiell vor? Antwort: Planen Sie Folgendes: Administratoren haben Vollzugriff auf alle Objekte. Alle Objektberechtigungen vererben sich wie voreingestellt. Sie delegieren Berechtigungen an Benutzer der ersten OU-Ebene, der zweiten OU-Ebene usw. Administratoren der höheren Ebene können immer Objekte untergeordneter Ebenen verwalten. Dies gilt für die Sicherheit der OU genauso wie für das mit der OU verknüpfte GPO. 18. In welchen Fällen setzen Sie die Loopback-Einstellung ein? Antwort: Die erweiterte Einstellung Loopback findet bei Computern Anwendung, die sich in streng verwalteten Umgebungen wie Labors, Klassenzimmern oder Empfangsbereichen befinden, wo die Benutzereinstellungen je nach Computer geändert werden müssen. Sie können mit der Loopback-Einstellung bewirken, dass computerbasierte Gruppenrichtlinien die benutzerbasierten Gruppenrichtlinien überschreiben. Dies bewirkt, dass die Desktopkonfiguration auf dem betreffenden Computer stets identisch ist. 19. Mit welcher vordefinierten Sicherheitsvorlage wird ein Domänencontroller installiert, wenn er vorher ein Mitgliedsserver in der Domäne war? 7.6 Lernzielkontrolle

607

MCSE Examen 70-294

Antwort: Es wird die Vorlage DC security.inf verwendet, die sich im Verzeichnis %windir%\ security\templates befindet. Diese Vorlage enthält die Standardeinstellungen für die Sicherung von Datei- und Registrierungsobjekten und Systemdiensten, ist jedoch nicht die sicherste. Falls Sie eine sichere Sicherheitsvorlage benötigen, müssen Sie die Vorlage Hisecdc.inf verwenden. 20. Sie möchten die Sicherheitseinstellungen in Ihrem GPO verschärfen. 1. Wie können Sie vorgehen, um auf einem Domänencontroller zu prüfen, welche Sicherheitsrichtlinien gerade aktiv sind und ob diese den verschärften Sicherheitsbestimmungen entsprechen? 2. Sie haben die Sicherheitsrichtlinien überprüft und möchten die verschärften Sicherheitsbestimmungen in ein GPO übernehmen. Wie können Sie mit dem geringsten Aufwand vorgehen? Zu 20.1.: Gehen Sie wie folgt vor: SCHRITT FÜR SCHRITT

1

Erstellen Sie eine benutzerdefinierte Konsole, und fügen Sie das Snap-In Sicherheitskonfiguration und -analyse hinzu.

2

Öffnen Sie eine Datenbank, indem Sie im Kontextmenü des Knotens SICHERHEITSKONFIGURATION UND -ANALYSE den Eintrag Datenbank öffnen auswählen.

3

Falls Sie noch keine Datenbankdatei haben, geben Sie einen neuen Namen für die Datenbank ein, und bestätigen Sie die Eingabe mit ÖFFNEN.

4

Tragen Sie die Vorlage ein, die Sie importieren möchten: Die Vorlage Hisecdc.inf entspricht den höchsten Sicherheitsanforderungen. Bestätigen Sie die Eingabe mit ÖFFNEN.

5

Öffnen Sie im Kontextmenü des Knotens SICHERHEITSKONFIGURATION UND -ANALYSE den Eintrag Computer jetzt analysieren.

6

Tragen Sie den Fehlerprotokollpfad ein, und bestätigen Sie die Eingabe.

7

Nachfolgend analysiert der Computer die Sicherheitseinstellungen und vergleicht den Ist-Zustand mit dem Soll-Zustand der Vorlage.

8

Sie wählen in der Konsole den Knoten SICHERHEITSKONFIGURATION aus und überprüfen Kennwortrichtlinien und Kontosperrungsrichtlinien.

Zu 20.2: Gehen Sie wie folgt vor: SCHRITT FÜR SCHRITT

1

Öffnen Sie das gewünschte GPO mit dem Gruppenrichtlinienobjekt-Editor, und wählen Sie den Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN aus.

2

Wählen Sie hier im Kontextmenü den Eintrag Richtlinie importieren aus, und öffnen Sie die Sicherheitsvorlage Hisecdc.inf.

3

Importieren Sie hiermit die vollständige Sicherheitsvorlage in das GPO. Sie müssen die Einträge nicht manuell erstellen.

608


Teil 2 Zusammenfassung des Prüfungsstoffs Kapitel 8

Schnellwiederholung 70-294

611

Kapitel 9

Testprüfung

647

8 Schnellwiederholung 70-294 »Planen, Implementieren und Warten einer Active DirectoryInfrastruktur unter Windows Server 2003« Für die Vorbereitung auf die Prüfung 70-294 müssen Sie folgende Themenbereiche abdecken: T Planen und Implementieren einer Active Directory-Infrastruktur T Verwalten und Warten einer Active Directory-Infrastruktur T Planen und Implementieren von Benutzer-, Computer- und Gruppen-Richtlinien T Planen und Implementieren von Gruppenrichtlinien T Verwalten und Warten von Gruppenrichtlinien Die aufgelisteten Bereiche sind offizielle Prüfungsabschnitte. In Teil II wiederholen wir für Sie die wichtigsten Aspekte, um Ihnen wertvolle Hilfen zum Bestehen der Prüfung zu geben.

Lernstrategien In Kapitel 8 sprechen wir den versierten Leser an, der mit der Active Directory-Infrastruktur bereits sehr vertraut ist. Wir fassen hier für Sie die wichtigsten Themen zusammen und gliedern diese in die Abschnitte, die Sie auch in der Prüfung 70-294 wiederfinden werden. Beachten Sie aber auch, dass in der Prüfung gerne nach Details gefragt wird, die Sie nur in den vorangegangenen Kapiteln erläutert finden. Insofern kann Kapitel 8, die vorangegangenen Kapitel nicht ersetzen.

611

MCSE Examen 70-294

8.1

Planen und Implementieren einer Active Directory-Infrastruktur

Unter diesem Thema finden Sie alle Aspekte der Planung, des Designs und der Einrichtung von Active Directory zusammengefasst. Für die Planung und Implementierung wird vorausgesetzt, dass Sie die Grundlagen von Active Directory beherrschen, d.h., die Fachtermini identifizieren können und die Aufgaben von Active Directory prinzipiell verstanden haben.

8.1.1

Planung im Überblick

Sie planen für Active Directory eine logische und eine physikalische Struktur. Hier stellen Sie folgenden Plan auf: Logische Struktur: T Bestimmen der Voraussetzungen T Gesamtstruktur-Design T Struktur-Design T Domänen-Design T DNS-Design T OU-Design Physische Struktur: T Standort-Design

Bestimmen der Voraussetzungen Was ist bereits vorhanden? Welche Applikationen müssen auf Windows Server 2003 laufen? Sie bereiten den Projektplan vor und bestimmen Projektgruppen.

Gesamtstruktur-Design Sie bestimmen folgende Aspekte: T Die Gesamtstrukturvoraussetzungen T Die Anzahl der Gesamtstrukturen T Die Namen der Gesamtstrukturen Folgende Gründe machen eine zusätzliche Gesamtstruktur notwendig: 1. Ein Bereich Ihres Unternehmens muss vollständig separat verwaltet werden. 2. Die Anzahl von Vertrauensstellungen zwischen den Domänen muss begrenzt werden. Hiermit wurde eine Teilisolierung durchgeführt. 3. Applikationen verändern das Active Directory-Schema in der Weise, dass eine Isolation in einer Gesamtstruktur notwendig wird. 612

8.1 Planen und Implementieren einer Active Directory-Infrastruktur

8 – Schnellwiederholung 70-294

Struktur-Design Strukturen bzw. Domänenstrukturen sind Teilstrukturen einer Gesamtstruktur. Eine Struktur besteht aus Domänen, die sich ihren DNS-Namensraum teilen. Während des Strukturdesigns müssen Sie folgende Punkte klären: T Anzahl der Strukturen T Namen der Struktur(en) – identisch mit dem DNS-Namensraum T Anzahl der Domänen innerhalb der Struktur T Überprüfen Sie der (unter Zuhilfenahme des Domänen-Designs)

Domänen-Design Sie durchlaufen in der Planung folgende Schritte: T Domänenmodelle T Anzahl der Domänen T Entscheidung, ob Domänen aktualisiert oder neu installiert werden müssen T Bestimmen des Domänennamens T Konsolidierung von Domänen Hinsichtlich der Domänenmodelle und Anzahl der Domänen richten Sie sich nach folgenden Aspekten: 1. Die Sicherheit – Eine Domäne stellt eine Sicherheitsgrenze dar. 2. Netzwerkkapazität – Jede Domäne benötigt mindestens einen Windows-Server, der als Domänencontroller konfiguriert ist. 3. Anzahl der Benutzer – Wenn die Anzahl der Benutzer derart groß ist, dass Netzwerkkapazitäten oder Serverkapazitäten überschritten werden, kann über mehrere Domänen die Anmeldelast auf verschiedene Domänen verteilt werden. 4. Die Kosten – Die Administration in einer einzelnen Domäne (Singe Domain Model) ist immer die einfachste. 5. Firmenpolitik und ausländische Dependencen – Historisch gewachsene Unternehmensstrukturen müssen meistens eingehalten werden.

Der Windows Server 2003 DNS Bereitstellungsprozess Folgende Designschritte sind für eine Implementierung von Active Directory notwendig. Beachten Sie, dass die Namensauflösung eng mit der Namensgebung von Active DirectoryDomänen verknüpft ist. Ein Versagen von DNS hat demnach auch ein Versagen der Kommunikation zwischen Domänencontrollern und Clientcomputern zur Folge. 1. Überprüfen der Netzwerkinfrastruktur (Netzwerktopologie, Internetanbindung etc.) 2. Design eines DNS-Namensraums


613

MCSE Examen 70-294

3. Bestimmen der DNS-Namenserver 4. Design der DNS-Zonen 5. Konfigurieren und Verwalten der DNS-Clients 6. Sichern der DNS-Infrastruktur 7. Integrieren mit anderen Windows Server System-Applikationen Berücksichtigen Sie folgende entscheidende Punkte im Hinblick auf eine Active Directory Installation: 1. Bevor Sie eine Active Directory-Struktur planen, konzipieren Sie den DNS-Namensraum! 2. Falls Sie einen Internetauftritt haben oder planen, sollten Sie unterschiedliche Namensräume für interne und externe Namen verwenden. Wählen Sie am besten eine untergeordnete Domäne des externen Namens für Ihre Microsoft-Stammdomäne. 3. Verwenden Sie für Computer, die im Internet freigegeben sind, externe und von diesen verschiedene interne DNS-Namen. Verwenden Sie einen Webproxy. 4. Der DNS-Server muss die Fähigkeit haben, SRV-Einträge zu unterstützen. 5. Windows Server 2003 DNS bietet Active Directory-integrierte Zonen mit einigen Vorteilen, die Sie in Betracht ziehen sollten. 6. Wenn Sie eine erhöhte Sicherheit und eine verbesserte Replikation planen, sind Active Directory-integrierte Zonen die bessere Wahl. Die Konsequenz hieraus ist, dass der Domänencontroller auch gleichzeitig DNS-Server wird.

OU-Design für Delegation und Administration Organisationseinheiten sind keine Sicherheitsprinzipale. Sie können mit OUs eine verschachtelte hierarchische Struktur aufbauen, ähnlich wie die Verzeichnisse beim Dateisystem. Sie können OUs daher nur für die folgenden Zwecke verwenden: T Zur Delegation von Verwaltungsaufgaben. Sie delegieren administrative Aufgaben an Benutzer oder Benutzergruppen, die nicht zwangsläufig administrative Privilegien besitzen. T Sie möchten Objektberechtigungen setzen, um den betreffenden Container und alle darunter liegenden Container auszublenden. T Zur Verwendung bzw. Zuweisung von Gruppenrichtlinien, die differenziert nur Mitglieder der OU betreffen. Die Gruppenrichtlinie kann sich auch auf darunter liegende OUs vererben. Berücksichtigen Sie immer Gruppenrichtlinien! Bei der Wahl, wie die Organisationseinheiten strukturiert werden können, können Sie sich nach folgenden Modellen richten:

614



T Sie wählen eine Gliederung nach verwaltungstechnischen Aspekten aus, wie zum Beispiel Vertrieb, Vertriebsgruppe I, usw. Es wird nicht auf den Ort der in der OU enthaltenen Objekte eingegangen, sondern nur auf die Funktion der Mitarbeiter und Computer. Verwaltungsdelegierung nach Geschäftsfunktionen

Vorteile

Nachteile

Verwaltbarkeit

Einfach

–

Gruppenrichtlinie: Sicherheit (Kennwortlänge, Browsereinstellungen,...)


Alle Mitglieder der OU oder untergeordneter OUs bekommen die Richtlinie, egal von welchem Standort sie sich anmelden.


Sie kann vorteilhaft sein, wenn eine bestimmte Berufsgruppe eine bestimmte Software benötigt.

Es wird keine Unterscheidung stattfinden, von wo aus sich der Benutzer/Computer anmeldet. Eventuell ist die WAN-Strecke überlastet.

Tabelle 8.1: Vergleich der Vor- und Nachteile der »OU-Hierarchie nach Geschäftsfunktionen«.

T Sie wählen eine Gliederung nach Standorten bzw. Locations aus, wie zum Beispiel Europa, Deutschland, usw. Diese Anordnung ist immer dann sinnvoll, wenn die Administration nach geografischen Gesichtspunkten durchgeführt wird. Vorteilhaft ist, dass diejenigen Benutzer und Ressourcen dort zu finden sind, wo sie sich auch in Wirklichkeit befinden. Nachteilig ist, dass Gruppenrichtlinien nicht die Funktion der Mitarbeiter reflektieren. Verwaltungsdelegierung nach geografischen Aspekten gegliedert

Vorteile

Nachteile

Verwaltbarkeit

Einfach

–


Alle Computer und Benutzer eines Standorts oder einer Filiale können eigene Sicherheitsstandards verwenden.

Alle Mitglieder bekommen unabhängig von ihrer Funktion die gleiche Gruppenrichtlinie. Dieser Fall ist oft nicht gewünscht, da ein Administrator dann genauso wenig darf wie ein normaler Benutzer.


Gut geeignet, da alle Computer in einem Ort meistens in einem Standort/ Subnetz untergebracht sind.

Keine – Nur bei falscher Konfiguration ist das Netz oder die WAN-Strecke überlastet.

Tabelle 8.2: Vergleich der Vor- und Nachteile der »OU-Hierarchie nach Geografie«


615

MCSE Examen 70-294

T Sie können eine OU-Struktur nach Objekttypen unterteilen, wenn Sie entweder nur Benutzer, Gruppen oder Computer verwalten möchten. In dem Active Directory können Sie die OUs so gliedern, dass sie nur Konten oder nur Ressourcen enthalten. Wenn sie nur Konten enthalten, nennt man sie auch Konten-OUs. Entsprechend enthalten RessourcenOUs nur Ressourcen wie Mitgliedsserver und andere Computer. Die Vorteile dieses Mischmodells liegen auf der Hand: Sie können Konten und Computer separieren und sie an getrenntes (oder gleiches) Verwaltungspersonal delegieren. Verwaltungsdelegierung nach Objekttyp

Vorteile

Verwaltbarkeit

Einfach bis unübersichtlich

Allgemein

Kontakte und Mailinglisten können in Verbindung mit Exchange Server einfach separiert werden. Das Modell eignet sich besonders gut während der Migration von Windows NT auf Windows Server 2003.




Sehr gut geeignet, da Computer und Benutzer getrennt über Gruppenrichtlinien angesprochen werden.

Nachteile

Je nach Gruppenrichtlinie sind Konten und Computer nicht zu trennen. Daher müssen Sie im Vorfeld das Modell prüfen. Eventuell muss die gleiche Gruppenrichtlinie sowohl auf Computer als auch auf diejenigen Benutzer angewendet werden, die diese Computer verwenden.

Tabelle 8.3: Vergleich der Vor- und Nachteile der »OU-Hierarchie nach Objekten« (hier Konto)

Wenn Sie alle drei oben beschriebenen Modelle zusammen einsetzen, können Sie für jeden Aspekt die Vorteile für sich nutzen: T Je nach Verschachtelung einfach bis unübersichtlich zu administrieren T Sie müssen die Gruppenrichtlinien den Anforderungen optimal anpassen.

616



Standorte Eine Standorttopologie hat zum Ziel, die Domänencontroller in Abhängigkeit von Subnetzen so zu platzieren, dass sie eine optimale Replikation gemäß der Bandbreite des Netzes durchführen. Der folgende Vergleich demonstriert die unterschiedlichen Schwerpunkte der beiden Modelle für die standortinterne und die standortübergreifende Replikation: Schwerpunkt

Standortintern

Standortübergreifend

Optimiert auf:

Geschwindigkeit

Netzwerkbandbreite

Replikationsverzögerung

15 Sekunden

Benutzerdefinierte Intervalle (zwischen 15 Minuten und 1 Woche)

Zeitintervall, bis der nächste Domänencontroller angesprochen wird.

3 Sekunden

–

Replikationszeiten

Immer verfügbar

Benutzerdefiniert

Benachrichtigungen bei unmittelbaren Änderungen

Sofort

Keine, es werden die normalen Intervalle verwendet.

Komprimierung

keine

Ja, für Daten über 50 KB.

Transportprotokoll

Remote Procedure Call (RPC)

IP (Internet Protocol) oder SMTP (Simple Mail Transfer Protocol)

Tabelle 8.4: Vergleich zwischen standortinterner und standortübergreifender Replikation

Standorttopologie-Design: Domänencontroller Berücksichtigen Sie folgende Designschritte: T Locations von Domänencontrollern – Für eine maximale Kosteneffizienz sollten Sie so wenig regionale Domänen einrichten wie möglich. Planen Sie Ihre Locations für Ihre Domänencontroller in Abhängigkeit von der verfügbaren Bandbreite T Für eine Filiale stellt sich immer die Frage nach der Anzahl der Domänencontroller. Möchten Sie den Replikationsverkehr über die WAN-Strecke gering halten, dürfen Sie keinen zusätzlichen Domänencontroller einsetzen. T Bei folgenden Bedingungen sind ein neuer Standort und ein weiterer Domänencontroller notwendig:

Langsame WAN-Strecke oder geringe Bandbreite zur Verfügung Ausfallsicherheit: WAN-Strecke nicht 100% verfügbar + Benutzer müssen sich immer anmelden können IntelliMirror: Offline-Verzeichnisse, serverbasierte Profile, Softwareverteilung über Richtlinien usw. Anmeldeverkehr über WAN-Strecke gering halten


617

MCSE Examen 70-294

Standorttopologie-Design: Globale Katalogserver Wenn Sie den ersten Domänencontroller in der Stammdomäne einrichten, wird dieser per Voreinstellung als globaler Katalogserver eingerichtet. Der globale Katalog dient als gemeinsame Datenbank für alle Domänen in der Gesamtstruktur. In ihm sind die wichtigsten Informationen über die vorhandenen Objekte und Attribute enthalten. Seine Aufgabe ist vergleichbar mit dem Glossar in einem Buch vergleichbar. Der globale Katalogserver speichert zweierlei Dinge: T Ein vollständiges Replikat aller Objektattribute des Verzeichnisses der eigenen Domäne T Ein Teilreplikat aller Objektattribute von anderen Domänen des Verzeichnisses (Gesamtstruktur). Im Teilreplikat sind alle wichtigen Eigenschaften enthalten, die notwendig sind, um eine Ressource in einer remoten Domäne anzusprechen. Sie verwenden den globalen Katalog für: T das Auffinden von Objekten der Gesamtstruktur T das lokale Anmelden eines Benutzers, der in einer anderen Domäne sein Konto hat T das Bereithalten von Gruppen des Typs Universal Sie benötigen demnach keinen globalen Katalogserver, wenn Sie nur eine Domäne verwalten. Beachten Sie, dass es auch Applikationen gibt, die unabhängig von der Domänenanzahl den globalen Katalog benötigen. Wann benötigen Sie einen globalen Katalogserver? T Wenn Sie mehr als eine Domäne besitzen. T Wenn Sie Microsoft Exchange Server oder Microsoft Message Queuing (MSMQ) einsetzen T Beachten Sie: Per Voreinstellung bekommt kein untergeordneter Domänencontroller die Rolle als globaler Katalogserver zugeteilt. Wenn Sie einen globalen Katalogserver benötigen, T müssen Sie genügend Ressourcen auf einem Server bereitstellen, T können Sie mehrere globale Katalogserver einrichten und T können Sie die Funktion auf einen anderen Domänencontroller übertragen. Wie viele globale Katalogserver pro Standort benötigen Sie? T Einen globalen Katalogserver pro Standort, wenn mindestens 100 wechselnde Benutzer (Roaming User) vorhanden sind oder eine hohe Ausfallsicherheit gewährleistet werden muss. T Ab 15 Standorten sollten Sie einen zusätzlichen globalen Katalogserver je Standort bereitstellen. T Um ein Einzelpunktversagen auszuschließen, benötigen Sie einen zusätzlichen globalen Katalogserver.

618



Standorttopologie-Design: Zwischenspeichern von Mitgliedschaften von universellen Gruppen Gruppen vom Typ Universal sind wichtig für den domänenweiten Zugriff auf Ressourcen. Das Cachen dieser Informationen verursacht nur einen einmaligen Datenverkehr über die WAN-Strecke, die sich zwischen Standorten befindet. Das Zwischenspeichern der Mitgliedschaften von universellen Gruppen stellt eine Alternative zum globalen Katalogserver dar. Sie haben mehrere Domänen und mehrere Standorte: Wann benötigen Sie dieses Feature? T Sie haben geringe Benutzeranzahlen. T Ihre Benutzer wechseln den Standort selten oder gar nicht. T Wenn Benutzer keinen Zugriff auf den globalen Katalogserver benötigen, d.h., Sie verwenden kein Exchange 2000 Server oder ähnliche Produkte.

Standorttopologie-Design: Betriebsmasterrollen Betriebsmasterrollen sind eine besondere Funktion eines Domänencontrollers. Per Voreinstellung besitzt der erste Domänencontroller der Stammdomäne folgende Funktionen: T Schema-Master T Domänennamenmaster T RID-Master T Infrastrukturmaster T PDC-Emulation Diese Funktionen dürfen in der Stammdomäne nur einmal vorhanden sein. Ein Verschieben der Rollen ist möglich. Sobald Sie eine untergeordnete Domäne einrichten, erhält der erste Domänencontroller drei der fünf Rollen automatisch zugewiesen: RID-Master, Infrastrukturmaster und PDC-Emulation. Auch diese Rollen dürfen in der Domäne nur einmal vorhanden sein. Wenn Sie mehrere Domänen einrichten, sollten Sie über einen Wechsel der Betriebsmasterrollen nachdenken: Der Stammdomänencontroller der Stammdomäne bekommt bei der Installation nicht nur die Betriebsmasterrollen, sondern auch die Funktion eines globalen Katalogs. Weitere Informationen zur Wartung von Betriebsmasterrollen finden Sie in Kapitel 4.3 oder in der Zusammenfassung in Kapitel 8.2.1.

Standorttopologie-Design: Replikation vieler Standorte Die Replikation einer großen Anzahl von Standorten vergrößert die Arbeitslast auf den Domänencontrollern. Prüfen Sie daher, ob Sie weitere Domänencontroller zur Entlastung einsetzen müssen. Microsoft empfiehlt, ab 15 Standorten einen zusätzlichen Domänencontroller je Standort bereitzustellen.


619

MCSE Examen 70-294

Standorttopologie-Design: Standortverknüpfungen Standorte sind mit sog. Standortverknüpfungen verbunden. Sie bündeln und regeln den Replikationsverkehr zwischen den Standorten, die über eine WAN-Strecke miteinander verbunden sind. Für die optimale Anbindung der Standorte sind Bridgeheadserver verantwortlich. Ein Bridgeheadserver ist ein Domänencontroller, der den standortübergreifenden Replikationsverkehr verwaltet.

8.1.2

Implementieren von Active Directory

Im folgenden Abschnitt sind alle Installationsaspekte zusammengefasst.

Installation eines Domänencontrollers Domänencontroller benötigen neben dem Betriebssystem noch zusätzlichen Festplattenplatz für die Active Directory-Verzeichnisdatenbank, für die Transaktionsdateien und für das SYSVOL-Verzeichnis. Sie können die minimalen Voraussetzungen für den freien Speicher anhand folgender Überschlagsrechnung bestimmen: T Je 1.000 Benutzer müssen Sie mit 0,4 GB Speicherplatz für die Active Directory-Datenbank rechnen. Sie ist somit sehr gut auf handelsüblichen Festplatten unterzubringen. T Für das Active Directory-Transaktionsprotokoll müssen Sie auf der Festplatte 0,5 GB verfügbaren Speicherplatz reservieren. T Auf der Festplatte oder Partition mit dem Betriebssystem sollten Sie immer etwa 2 GB Speicherplatz freihalten. T Für die Rolle des globalen Katalogservers benötigt der Domänencontroller zusätzlichen Speicherplatz. Kalkulieren Sie für jede weitere Domäne etwa 50% der Datenbankgröße der jeweiligen Domäne hinzu. Die gängigste Art der Installation ist die mit dem Assistenten zum Installieren von Active Directory (dcpromo.exe). Sie können das Programm mit folgenden Befehlszeilenparametern starten: Befehlszeile

Beschreibung

Dcpromo

Normaler Aufruf der manuellen Installation

Dcpromo /adv

Erweiterte Optionen der manuellen Installation

dcpromo /answer[:Dateiname]

Unbeaufsichtigte Installation über eine Antwortdatei


Installation eines weiteren Domänencontrollers Bei der Einrichtung eines weiteren Domänencontrollers können Sie die Installation mit den erweiterten Benutzeroptionen starten: Geben Sie dcpromo /adv ein. Der wesentliche Unterschied zwischen der normalen und der erweiterten Installationsmethode ist die Option Von

620



folgenden wiederhergestellten Sicherungsdateien kopieren, die Sie hier zusätzlich zur Verfügung haben. Hiermit kopieren Sie die Verzeichnisdienste aus einer bestehenden Sicherungsdatei.

Fehlersuche Nach einer Hochstufung oder Abstufung eines Domänencontrollers finden Sie im Ordner %SystemRoot%\Debug die Protokolldateien, die vom Installationsprogramm dcpromo.exe ausgegeben werden. Protokoll

Beschreibung

Dcpromo.log

Normaler Statusbericht

Dcpromos.log

Statusbericht nach einem Upgrade

Dcpromoui.log

Detaillierter Statusbericht während der GUI-Installation


8.2

Verwalten und Warten einer Active Directory-Infrastruktur

Dieses Kapitel behandelt die Funktionsebenen von Domänen und Gesamtstrukturen sowie die Verwaltung von Standorten und Betriebsmasterfunktionen.

8.2.1

Verwalten und Warten von Domänen

Im folgenden Abschnitt werden alle Verwaltungs- und Wartungsaspekte von Domänen zusammengefasst.

Domänenfunktionsebenen Sie haben folgende Funktionsebenen für Domänencontroller zur Verfügung: Funktionsebene

Verwendete Domänencontroller

Windows 2000 gemischt

Windows NT 4.0, Windows 2000 Server und Windows Server 2003

Windows 2000 pur

Windows 2000 Server und Windows Server 2003


Die Funktionsebene wird nur während einer Aktualisierung von Windows NT 4.0 auf Windows Server 2003 verwendet.

Windows Server 2003

Nur Windows Server 2003-Server. Sie nutzen alle Leistungsmerkmale.

Tabelle 8.7: Funktionsebenen und Betriebssysteme

8.2 Verwalten und Warten einer Active Directory-Infrastruktur

621

MCSE Examen 70-294

Gesamtstrukturfunktionsebenen Die Gesamtstrukturfunktionsebenen ermöglichen es, Funktionen für alle Domänen innerhalb der Gesamtstruktur festzulegen. In der höchsten Ebene sind alle Active Directory-Leistungsmerkmale von Windows Server 2003 in der Gesamtstruktur verfügbar. Funktionsebene

Beschreibung

Windows 2000 (Standard)

Standardeinstellung bei einem neu installierten Domänencontroller.


Wird nur für die Aktualisierung von Windows NT-basierten auf Windows Server 2003-basierte Domänen verwendet.

Windows Server 2003

Die neuen domänen- und gesamtstrukturweiten Active DirectoryFunktionen können nur aktiviert werden, wenn auf allen Domänencontrollern in einer Domäne bzw. einer Gesamtstruktur Windows Server 2003 ausgeführt wird.

Tabelle 8.8: Gesamtstrukturfunktionsebenen und deren Voraussetzungen

Benutzerprinzipalnamen-Suffixe Beim Einsatz alternativer Domänennamen verwenden Sie Benutzerprinzipalnamen-Suffixe (User Principal Name, UPN). Mit diesem Feature kann sich ein Benutzer mit einem alternativen Anmeldenamen an der Domäne anmelden. Ein Umbenennen von Domänen kann hiermit überflüssig werden.

Vertrauensstellungen Eine Vertrauensstellung dient dazu, zwei Domänen untereinander zu verknüpfen. Sie ist eine logische Beziehung, um einen Zugriff auf Ressourcen anderer Domänen über die Domänengrenze hinweg zu ermöglichen. Die Benutzerauthentifizierung wird hierbei quasi durchgereicht. Bei Vertrauensstellungen gibt es immer zwei Rollen, die die Domänen einnehmen: T Die vertrauende Domäne (Trusting Domain) T Die vertraute Domäne (Trusted Domain) Hierbei existieren uni- und bidirektionale Vertrauensverhältnisse. In einer Domänenstruktur ist das Vertrauensverhältnis immer bidirektional und transitiv. Ein bidirektionales Vertrauensverhältnis stellt ein gegenseitiges unidirektionales Vertrauensverhältnis dar.

622



Die Windows Server 2003-Familie kennt die sechs Formen von Vertrauensstellungen: Vertrauensstellung

Beschreibung

Überordnungs-Unterordnungs-Vertrauensstellung (Parent-Child-Vertrauensstellung)

Standardvertrauensstellung. Diese transitive, bidirektionale Vertrauensstellung wird immer automatisch beim Erstellen einer untergeordneten Domäne (Child Domain) eingerichtet.

Strukturstamm-Vertrauensstellung

Standardvertrauensstellung. Eine transitive, bidirektionale Strukturstamm-Vertrauensstellung wird erstellt, wenn Sie einer Gesamtstruktur eine neue Domänenstruktur hinzufügen.

Externe Vertrauensstellung

Sie haben Zugriff auf Ressourcen einer Domäne einer separaten Gesamtstruktur oder einer Windows NT 4.0-Domäne. Externe Vertrauensstellungen sind nicht transitiv. Je nach Bedarf können sie uni- oder bidirektional sein, und sie können in allen Domänenfunktionsebenen eingerichtet werden. Aus Sicherheitsgründen ist eine SID-Filterung aktiviert.


Es handelt sich um eine Vertrauensstellung zwischen einer Windows Server 2003-Domäne und einem Nicht-Microsoft-Windows-Kerberos-Bereich (beispielsweise von Linux oder anderen UNIX-Implementierungen). Bereichsvertrauensstellungen können unidirektional oder bidirektional, transitiv oder nicht transitiv sein.

Gesamtstrukturvertrauensstellung

Diese uni- oder bidirektionale Vertrauensstellung wird zwischen zwei Gesamtstrukturen in der Windows Server 2003-Gesamtstrukturfunktionsebene hergestellt. Im Gegensatz zu externen Vertrauensstellungen ist sie transitiv. Aus Sicherheitsgründen ist eine SID-Filterung aktiviert.

Verknüpfungsvertrauensstellungen (ShortcutVertrauensstellung)

Diese uni- oder bidirektionalen transitiven Vertrauensstellungen dienen zur Verkürzung des Vertrauenspfades. Sie optimieren den Zugriff zwischen zwei Domänen innerhalb einer Gesamtstruktur.

Tabelle 8.9: Vertrauensstellungen in Windows Server 2003

Betriebsmasterrollen (FSMO-Rollen) Eine Betriebsmasterrolle (Flexible Single Master Operations Role, FSMO) ist eine spezielle Funktion, die einem Domänencontroller vom Betriebssystem zugewiesen wird. Es gibt zwei Rollen, die für die vollständige Gesamtstruktur nur einmal vorhanden sein dürfen, nämlich Schemamaster und Domänennamenmaster: Betriebsmasterrolle für die Gesamtstruktur

Beschreibung

Schemamaster

Hostet das Active Directory Schema der Gesamtstruktur.

Domänennamenmaster

Erstellt/Entfernt Domänen in der Gesamtstruktur.

Tabelle 8.10: Diese Betriebsmaster dürfen nur einmal in der Gesamtstruktur vorhanden sein!


623

MCSE Examen 70-294

Folgende Rollen dürfen nur einmal in einer Domäne vorhanden sein: Betriebsmasterrolle für die Domäne

Beschreibung

RID-Master

Ist für die Verwaltung von SIDs (Security IDentifier) auf den Domänencontrollern zuständig. Der RID-Master gewährleistet die Eindeutigkeit der Objekte in der Domäne. Sie benötigen ihn für das Erstellen von Objekten. Der RID-Master hostet einen Pool von IDs (RID-Pool), die für die Erstellung von Objekten verwendet werden.

Infrastrukturmaster

Ist für die Konsistenz der Objekte und für alle Zwischendomänenoperationen zuständig. Ein zeitweiliger Ausfall des Infrastrukturmasters ist für Netzwerkbenutzer nicht erkennbar. Lediglich beim Verschieben von Objekten fällt der Ausfall auf.

PDC-Emulation

Ist für das Emulieren eines primären Domänencontrollers unter Windows NT zuständig. Der PDC-Emulator hat folgende Aufgaben: T Synchronisation mit NT-Backup-Domänencontrollern T Kennwortänderungen für Windows NT-Clients T Hauptsuchdienstserver der Domäne (Domain Master Browser) T Alle PDC-Emulatoren synchronisieren ihre Zeit mit dem PDC-Emulator der Stammdomäne.

Tabelle 8.11: Diese Betriebsmaster dürfen nur einmal in der Domäne vorhanden sein!

Sie müssen folgende Einschränkungen im Betrieb beachten: T Der Domänennamenmaster muss in einer Gesamtstrukturfunktionsebene Windows 2000 als globaler Katalogserver aktiviert sein. In der Funktionsebene Windows Server 2003 ist dies allerdings nicht notwendig. T Idealerweise sollte sich der Infrastrukturmaster im gleichen Standort befinden wie der globale Katalogserver, jedoch nicht auf dem gleichen Computergerät.

Ausfall von Betriebsmasterrollen Falls eine Betriebsmasterrolle ausfällt, sollten Sie prüfen, ob Sie die betreffende Betriebsmasterrolle in Kürze benötigen. Falls nicht, können Sie den entsprechenden Server in Ruhe wieder herrichten. Falls der Server nicht mehr im Original über ein Backup wiederhergestellt werden kann, müssen Sie die Rollen über das Dienstprogramm Ntdsutil.exe auf einem andern Domänencontroller neu setzen. Beachten Sie: Falls der vorhergehende Betriebsmaster dennoch wieder ins Netz gehen sollte, können irreparable Schäden durch doppelte Betriebsmasterfunktionen entstehen. Ein Verschieben der Funktion ist jedoch immer möglich und ungefährlich.

624



Verschieben von Betriebsmasterrollen Sie verschieben Betriebsmasterrollen mit dem Befehl Ntdsutil und über folgende Konsolen: Betriebsmasterrolle für die Domäne

Beschreibung

Schemamaster

Active Directory-Schema

Domänennamenmaster

Directory-Domänen und -Vertrauensstellungen

RID-Master


Infrastrukturmaster


PDC-Emulation


Tabelle 8.12: Verschieben von Betriebsmasterrollen

Verwaltungsdienstprogramme für Betriebsmasterrollen Folgende Programme benötigen Sie für die Überprüfung und Durchführung von FSMO-Rollen: Dienstprogramm

Beschreibung

Ntdsutil.exe

Ntdsutil ist ein umfangreiches Dienstprogramm, das das Active Directory verwalten kann. Sie können mit Ntdsutil FSMO-Rollen verschieben oder überschreiben.

dsquery server -hasfsmo

Die Befehle der Tool-Sammlung ermöglichen es Ihnen, das Verzeichnis anhand angegebener Kriterien zu durchsuchen. Die Option hasfsmo sucht die nachfolgend angegebene Betriebsmasterfunktion. Für die Ausführung des Befehls benötigen Sie keine Administratorrechte.

Netdom.exe

Testen Sie mit Hilfe des Befehls netdom query fsmo die Flexible Single Master Operations (FSMO).

Repadmin.exe

Das Dienstprogramm ermöglicht über die Kommandozeile einer Reihe von Parametern die Überprüfung der Replikation. Sie können auch eine Replikation erzwingen, indem Sie Repadmin /replicate verwenden.

Replmon.exe

Replmon ist ein komfortables grafisches Dienstprogramm zum Überprüfen der Replikationstopologie und zum Erzwingen von Replikationen. Es ist mit Repadmin vergleichbar.

Tabelle 8.13: Dienstprogramme zur Verwaltung von FSMO

8.2.2

Standorte und Replikation

Ein Standort ist von der logischen Gruppierung (Gesamtstruktur, Domäne...) der Computer unabhängig und richtet sich ausschließlich nach den physischen Bedingungen. Sie finden folgende Replikationen vor: T Standortinterne Replikation – Optimierung der Geschwindigkeit der Replikation T Standortübergreifende Replikation – Optimierung der Netzwerkbandbreite


625

MCSE Examen 70-294

Die Domänencontroller innerhalb eines Standorts bilden Replikationsgruppen, die auch Routinggruppen genannt werden. Die Standorte untereinander sind mit sog. Standortverknüpfungen verbunden. Sie sind in der Konsole Active Directory-Standorte und -Dienste im Verwaltungsknoten INTER-SITE-TRANSPORT abgelegt.

Standorterstellung SCHRITT FÜR SCHRITT

Die Konfiguration von Standorten wird über die Konsole Active Directory-Standorte und -Dienste durchgeführt, die sich der Programmgruppe Verwaltung befindet. Für die Einrichtung sind folgende Schritte notwendig:

1

Erstellen eines neuen Standorts und Umbenennen des voreingestellten Standorts

2

Erstellen von Subnetzen (mindestens pro Standort ein Subnetz)

3

Verknüpfen der jeweiligen Subnetze mit den dazugehörenden Standorten

4

Verschieben der jeweiligen Domänencontroller in die entsprechenden Standorte (passend zum Subnetz, in dem sie sich befinden)

5

Einstellen und Konfigurieren der Standortverknüpfung bzw. des Inter-Site Transports (bevorzugterweise IP)

6

Konfigurieren der Replikation bzw. der Verbindungsobjekte

7

Einrichtung von globalen Katalogservern bei Multidomänen

8

Einrichtung eines Standortlizenzservers

Verbindungsobjekte Das Verbindungsobjekt ist ein Active Directory-Objekt, das die Replikation von einem zum anderen Domänencontroller repräsentiert. Das Verbindungsobjekt wird vom Microsoft-internen Prozess Knowledge Consistency Checker (KCC) automatisch erstellt, sobald ein weiterer Domänencontroller der Gesamtstruktur beitritt. Verbindungsobjekte steuern nicht nur die Verbindungen bzw. die Replikation zu anderen Domänencontrollern, sondern auch die Aktivierung des globalen Katalogs. In den Eigenschaften der NTDS Settings können Sie die Funktion des globalen Katalogs durch Aktivierung eines Kontrollkästchens einschalten.

Standortverknüpfung Um eine Replikation über eine schnelle zuverlässige und eine nicht schnelle, unzuverlässige Verbindung durchführen zu können, stehen Ihnen folgende Protokolle zur Verfügung: T RPC (Remote Procedure Call) – Für eine zuverlässige Verbindung. T SMTP (Simple Mail Transfer Protocol) – Für eine unzuverlässige Verbindung.

626



Wählen Sie das RPC über IP, wenn Sie eine zuverlässige Verbindung innerhalb und zwischen den Standorten besitzen. Es findet bei RPC-Verbindungen eine synchrone Kommunikation statt, d.h., jede Datentransaktion muss abgeschlossen sein, bevor die nächste gestartet wird. Dieses Verfahren funktioniert nur bei schnellen und zuverlässigen Leitungen, da sonst TimeOut-Fehler auftreten können. SMTP-Verbindungen stellen die Alternative zu RPC-Verbindungen dar. Falls die Verbindung unzuverlässig ist (zum Beispiel über das Internet), kann eine SMTP-Verbindung verwendet werden. SMTP-Standortverknüpfungen arbeiten asynchron, d.h., eine Datentransaktion muss nicht zwingend abgeschlossen sein, bevor eine weitere gestartet werden kann. Eine Replikation nach Zeitplänen, wie bei RPC über IP, macht daher keinen Sinn. Verwenden Sie hier eine Zertifizierungsstelle, um die Authentizität der Verzeichnisaktualisierungen zu garantieren. Alle Replikationsverbindungen eines Domänencontrollers sind in den Verbindungsobjekten unter NTDS Settings gespeichert. Das Verbindungsobjekt beschreibt die Replikation des Quellservers zu einem Zielserver. Falls Sie mehrere Standortverknüpfungen zu einem Standort besitzen, können Sie verschiedene Kostenwerte (per Voreinstellung ist der Wert 100) definieren, die die Geschwindigkeit einer WAN-Strecke zwischen den Standorten widerspiegeln.

Standortverknüpfungsbrücke Eine Standortverknüpfungsbrücke verbindet zwei- oder mehrere Standortverknüpfungen. Mit ihnen richten Sie eine zusätzliche Transitivität zwischen Standortverknüpfungen ein. Standortverknüpfungen sind allerdings per Voreinstellung schon transitiv, d.h., Sie müssen Standortverknüpfungsbrücken nur selten einrichten.

Bridgeheadserver Sie können bestimmen, zu welchen Tagen und Tageszeiten eine Replikation stattfinden kann bzw. darf. Verbindungsobjekte werden vom betriebssystem-internen Dienst KCC automatisch erstellt. Sie haben die Möglichkeit, manuell Verbindungsobjekte zu erstellen und somit die Replikation anzupassen. Der KCC bestimmt automatisch den Bridgeheadserver des Standorts. Der Bridgeheadserver arbeitet wie ein Brückenkopf zwischen den Standorten, indem er den Replikationsverkehr bündelt und plant. Der KCC erstellt auch automatisch Verbindungsobjekte zwischen den Bridgeheadservern.

Bevorzugte Bridgeheadserver Um eine optimale physische Verbindung zu dem anderen Domänencontroller des Partnerstandorts zu konfigurieren, können Sie den bevorzugten Bridgeheadserver angeben. Um die Fehleranfälligkeit herabzusetzen, können Sie auch mehrere bevorzugte Bridgeheadserver angeben, wobei Sie allerdings beachten sollten, dass immer nur einer aktiv wird. Diese Vorgehensweise ist empfehlenswert, da mit der Angabe des bevorzugten Bridgeheadservers der KCC keinen Bridgeheadserver mehr automatisch auswählt. Wurden keine weiteren Bridgeheadserver angegeben, kann bei dem Ausfall des bevorzugten Bridgeheadservers kein anderer Server mehr angesprochen werden. Es findet also keine Replikation mehr statt.


627

MCSE Examen 70-294

Folgende zwei Fälle resultieren aus den oben genannten Überlegungen: 1. Sie konfigurieren keinen Bridgeheadserver und lassen einen automatisch auswählen. Vorteil: Falls ein Server ausfällt, wird ein anderer verwendet. Nachteil: Die Netzwerktopologie kann u.U. nicht optimal ausgenutzt werden. 2. Sie konfigurieren mehrere bevorzugte Bridgeheadserver. Vorteil: Die Netzwerktopologie kann besser ausgenutzt werden. Nachteil: Bei einem Ausfall aller bevorzugten Bridgeheadserver findet keine Replikation statt. Das Einrichten eines bevorzugten Bridgeheadservers führen Sie im Snap-In Active DirectoryStandorte und -Dienste aus. Dort können Sie in den Eigenschaften des betreffenden Servers den Server als bevorzugten Bridgeheadserver für die Protokolle IP und/oder SMTP (Simple Mail Transfer Protocol) einstellen. Bedenken Sie, dass Sie für jeden bevorzugten Server diese Einstellung manuell in den Eigenschafen des Serverobjekts vornehmen müssen.

Standortlizenzserver Die Softwarelizenzbestimmungen werden von einem Lizenzserver im Standort überwacht. Dieser Server wird auch als Standortlizenzserver bezeichnet. Er wird vom Lizenzprotokolldienst derjenigen Server angesprochen, die sich im gleichen Standort befinden. Das Einrichten und Verwalten von Standortlizenzservern führen Sie in der Konsole Active Directory-Standorte und -Dienste aus. Unter dem Standort-Knoten finden Sie die LICENSING SITE SETTINGS.

Globale Katalogserver und Zwischenspeichern von universellen Gruppenmitgliedschaften Eine weitere wichtige Einstellung in der Konsole Active Directory-Standorte und -Dienste müssen Sie vornehmen, wenn Sie mehrere Standorte besitzen und in einem anderen Standort einen globalen Katalogserver einrichten wollen. Die Entscheidung, ob Sie einen globalen Katalogserver einrichten oder nicht, richtet sich nach der verfügbaren Netzwerkbandbreite, den Gepflogenheiten der Anwender, dem Sicherheitskonzept der Firma und letztendlich nach den eingesetzten Applikationen, die den globalen Katalog benötigen. Wägen Sie alle Argumente ab, und entscheiden Sie, ob Sie eventuell das neue Feature Zwischenspeichern von universellen Gruppenmitgliedschaften verwenden können.

Überwachung der Replikation Falls die Replikation fehlschlägt, können Domänencontroller Ihre Active Directory-Datenbank nicht mehr auf dem aktuellen Stand halten. Verwenden Sie folgende Dienstprogramme, um den Fehler zu identifizieren oder zu beheben: T Konsole Active Directory-Standorte und -Dienste T Dienstprogramm Replikationsmonitor T Kommandozeilenprogramm Repadmin.exe T Kommandozeilenprogramm Dsastat.exe T Ereignisanzeige – Protokolle Verzeichnisdienst, Dateireplikationsdienst und DNS-Server

628



8.2.3

Objekte in Active Directory

In Active Directory werden Informationen strukturiert in Objekten abgelegt. Dieses Unterkapitel bildet die Grundlage für die Wartung der Active Directory-Datenbank. Objekte werden in der Active Directory-Datenbank anhand ihres Namens identifiziert. Die Active Directory-Verzeichnisdienste verwenden für den Zugriff verschiedene Namenskonventionen. Darunter fallen folgende Formen: T Definierte Namen (Distinguished Name, DN) T Relativ definierte Namen (Relative Distinguished Name, RDN) T Global eindeutige Kennungen (Globally Unique Identifier, GUID) T Benutzerprinzipalnamen (User Prinzipal Name, UPN)

Definierte Namen In Active Directory-Domänen werden Objekte nach einem hierarchischen Pfad angeordnet. Der Pfad schließt den Domänennamen genauso ein wie jede Ebene der Containerobjekte. Diese Namen werden daher definierte Namen genannt. Der definierte Name (DN) enthält alle Informationen, um ein Objekt eindeutig zu identifizieren. Beispiel: Das Objekt »MKT II« erhält nach der Namenskonvention den folgenden DN: ou=MKT II,dc=pearson,dc=de

Bei der Angabe des Namens muss nach dem LDAP-Trennzeichen ein Gleichheitszeichen stehen. Zwischen den Bestandteilen des Namens muss immer ein Komma stehen. Gegebenenfalls müssen Sie den LDAP-Namen mit Anführungszeichen in das Kommandozeilenprogramm eingeben. LDAP-Trennzeichen

Attribut/Objekt

Beschreibung

DC

Domain Component

Domänenkomponente. Jede Domänenebene erhält einen Eintrag mit dem LDAP-Trennzeichen. Leerzeichen im Namen sind nicht erlaubt, da hier die DNS-Namenskonvention greift. Beispiel: DC=Microsoft

OU

Organizational Unit

Eine Organisationseinheit, die auch andere Objekte beinhalten kann. Jede OU erhält einen Eintrag mit dem LDAP-Trennzeichen. Leerzeichen im Namen sind erlaubt. Beispiel: OU=Muenchen Win2003

CN

Common Name

Allgemeiner Name. Dieser Name beschreibt alle weiteren Namen außer Domänenkomponenten oder Organisationseinheiten. Dies können zum Beispiel Benutzer- oder Computernamen oder auch Kontakte sein. Leerzeichen im Namen sind erlaubt. Beispiel: CN=Bill Gates

Tabelle 8.14: LDAP-Trennzeichen und ihre Bedeutung


629

MCSE Examen 70-294

Relativ definierte Namen Der LDAP-relativ definierte Name (Relative Distinguished Name) ist ein Teil des definierten Namens (DN). Er besteht aus dem ersten Teil des DN, wenn Sie von links nach rechts lesen.

Global eindeutige Kennungen (GUID) Mit einer GUID (Globally Unique Identifier) werden Objekte eindeutig identifiziert und mit einer weltweit eindeutigen Identität versehen. Die Identität wird mit Hilfe einer 128-Bit-Nummer definiert, die bei der Objekterstellung durch den Verzeichnissystem-Agenten (Directory System Agent, DSA) dem Objekt zu gewiesen wird. Im Gegensatz zu dem DN (Definierter Name) oder dem RDN (Relativer Definierter Name) kann sich eine GUID nicht ändern. Genau wie bei Sicherheitsbeschreibern auch, können Anwendungen die GUID abrufen und benötigen den definierten Namen des Objekts nicht.

Sicherheitsbeschreiber Die Active Directory-Verzeichnisdienste verwenden innerhalb der Domäne Sicherheitsbeschreiber, die die Sicherheitsinformationen des zu sichernden Objekts beinhalten. Der Sicherheitsbeschreiber identifiziert einen Objektbesitzer anhand seiner Sicherheitskennung (SID). Sobald Berechtigungen für das Objekt definiert sind, enthält der Sicherheitsbeschreiber die sog. Discretionary Access Control List (DACL). Diese Zugriffssteuerungsliste enthält die Sicherheitskennungen und die zugehörigen Zugriffsberechtigungen. Ein Sicherheitsbeschreiber ist eine binäre Datenstruktur variabler Länge, die die Zugriffssteuerungslisten (ACLs) enthält. In einer ACL befinden sich die Zugriffssteuerungseinträge (Access Control Entries, ACEs), in denen Sie die eigentlichen Zugriffsberechtigungen vorfinden.

Sicherheitskennung (SID) Eine SID (Security IDentifier) ist eine Datenstruktur variabler Länge, die Benutzer-, Gruppen- und Computerkonten identifiziert. Jedem dieser Konten wird bei der Erstellung eine eindeutige SID zugewiesen, damit eine Verwechselung durch gleiche Namen vermieden wird. Auch wird die Namensänderung eines Sicherheitsprinzipals sehr einfach: Der relative Name (RDN) wird geändert, und die SID bleibt erhalten.

SID-Filterung Zur Sicherung der Ressourcen hat Microsoft ab Windows 2000 Server Service Pack 3 die SID-Filterung eingeführt, um Administratoren einen unbefugten Zugriff auf eine vertrauende Domäne unmöglich zu gestalten. Die SID-Filterung ist in Windows Server 2003 eine Voreinstellung und hat zur Folge, dass nur universelle Gruppen der vertrauten Domäne in den Zugriffssteuerungslisten eingesetzt werden dürfen.

630



8.2.4

Verwalten von Objekten

Unter die Verwaltung von Objekten fällt die Delegierung an Benutzer, die nicht zwangsläufig Mitglied der Gruppe Administratoren sind. Auch die Überwachung und die Abfrage von Active Directory-Objekten gehören zu diesen Aufgaben.

Standardberechtigungen Standardberechtigungen wirken auf Objekte in Active Directory, d.h., sie werden auf Standortobjekte, Domänenobjekte, Organisationseinheiten oder auf Gruppenrichtlinienobjekte angewendet. Folgende Standardberechtigungen sind definiert: Berechtigung

Beschreibung

Vollzugriff

Dies ist die Summe aller Berechtigungen. Darunter fällt auch die Besitzübernahme eines Objekts.

Lesen

Anzeigen eines Objekts und der dazugehörigen Attribute und Berechtigungen.

Schreiben

Ändern von Objektattributen.

Alle untergeordneten Objekte erstellen

Die Berechtigung, alle untergeordneten Objekte (wie Organisationseinheiten, Gruppen- und Benutzerobjekte, Kontakte usw.) zu erstellen. Da der Ersteller eines Objekts automatisch den Besitzerstatus erhält, kann er somit auch einen Vollzugriff auf untergeordnete Objekte erhalten.

Alle untergeordneten Objekte löschen

Löschen von untergeordneten Objekten.

Richtlinienergebnissatz erstellen (Planung)

Simulieren von Richtlinieneinstellungen, die auf Computer oder Benutzer mit Gruppenrichtlinien angewendet werden.

Richtlinienergebnissatz erstellen (Protokollierung)

Protokollieren von Richtlinienergebnissätzen.

Spezielle Berechtigungen

Wie der Name schon andeutet, finden Sie hier spezielle Berechtigungen vor.

Tabelle 8.15: Standardberechtigungen für Active Directory-Objekte

Spezielle Berechtigungen Wenn Sie die Schaltfläche ERWEITERT im Dialogfeld Eigenschaften von auswählen, erhalten Sie das Dialogfeld Erweiterte Sicherheitseinstellungen für... das ausgewählte Objekt. Mit den speziellen Berechtigungen gelangen Sie in einen Dialog, in dem Sie folgende Aufgaben durchführen können: T Setzen von detaillierten Berechtigungen T Überwachen von Objektzugriffen T Übernehmen des Objektbesitzes T Ermittlung der effektiven Berechtigungen


631

MCSE Examen 70-294

Assistent zum Zuweisen von Berechtigungen Zur Vereinfachung der Rechtevergabe auf Objekte bietet Microsoft den Assistenten zum Zuweisen von Berechtigungen an. Sie erhalten diesen Assistenten aus dem Kontextmenü, wenn Sie das zu verwaltende Objekt mit der rechten Maustaste anklicken. Der Eintrag erscheint am Anfang der Auswahlliste unter Objektverwaltung zuweisen. Das zu verwaltende Objekt kann beispielsweise eine Domäne, eine Organisationseinheit oder ein Gruppenrichtlinienobjekt sein.

Active Directory-Abfragen Sie können Active Directory-Objekte über die Konsole Active Directory-Benutzer und -Computer oder über das Kommandozeilenprogramm dsquery.exe aufrufen. Innerhalb der Managementkonsole haben Sie zwei Möglichkeiten: T Sie können über das Kontextmenü und den Eintrag Alle Tasks/Suchen eine Suche nach Benutzer- oder Gruppenkonten starten. Anschließend können Sie diese direkt zur Bearbeitung auswählen. T Sie verwenden gespeicherte Abfragen. Mit ihnen können Sie je nach Container (Eintrag Abfragestamm und Schaltfläche DURCHSUCHEN) und je nach Suchmuster (Schaltfläche FESTLEGEN) eine Abfrage gestalten.

Kontingente Mit Kontingenten wird die Anzahl der Objekte bestimmt, die ein Sicherheitsprinzipal, zum Beispiel ein Benutzer, auf einer gegebenen Verzeichnispartition besitzen kann. Mit dieser Funktion eines Domänencontrollers kann einer Dienstverweigerung (Denial of Service, DoS) vorgebeugt werden. Der Fall einer DoS-Attacke würde dann eintreten, wenn von einem Sicherheitsprinzipal ausgehend so lange eine Reihe von Objekten erstellt wird, bis der Domänencontroller überlastet ist oder bis er keinen freien Speicherplatz mehr zur Verfügung hat. Beachten Sie bitte, dass auf allen Domänencontrollern die Windows Server 2003-Version laufen muss. Für das Einrichten von Quoten können Sie den Befehl dsadd quota und zum Verwalten den Kommandozeilenbefehl dsmod quota verwenden. Für eine Abfrage verwenden Sie dsquery quota.

8.2.5

Veröffentlichen von Ressourcen

Wir stellen Ihnen hier das Veröffentlichen und Verwalten von Druckerobjekten und freigegebenen Ordnern in den Active Directory-Verzeichnisdiensten vor.

Ordner veröffentlichen Sie benötigen für die Veröffentlichung eine Freigabe, die in Form des UNC-Namens (Universal Naming Convention, UNC) vorliegen muss. Die Zielgruppe, die auf die Veröffentlichung zugreifen darf, muss auch Zugriffsberechtigungen auf die Ressource besitzen. Sie erstellen ein neues von der Ressource völlig unabhängiges Objekt in Active Directory.

632



Beachten Sie: Sowohl das Active Directory-Objekt als auch das freigegebene Verzeichnis verfügen über ihre eigenen DACLs (Discretionary Access Control Lists). Ein Benutzer benötigt daher mindestens das Leserecht in beiden DACLs, um die Veröffentlichung zu lesen und sich mit der Ressource zu verbinden. Besitzt der Benutzer die entsprechende Berechtigung, kann er sich mit der Ressource verbinden, indem er das Kontextmenü des betreffenden Objekts öffnet und anschließend die Befehlszeile Öffnen auswählt.

Drucker veröffentlichen In Windows 2000 Server und in Windows Server 2003 gibt der Druckerinstallations-Assistent den Drucker frei und veröffentlicht ihn standardmäßig in den Active Directory-Verzeichnisdiensten. Drucker, die auf älteren Computergeräten, wie Windows NT-Servern oder Windows 98/MeClients eingerichtet und freigegeben sind, veröffentlichen ihren Drucker nicht automatisch. Auf dem Clientcomputer sollte der Windows Scripting Host (WSH) installiert sein, um mit Hilfe eines Skripts auf einfachste Weise Drucker zu veröffentlichen. Sie starten das Skript Pubprn, das alle freigegebenen Drucker auf dem Computer veröffentlicht.

Drucker in Standorten über ein GPO veröffentlichen Sie können mit diesem GPO erreichen, dass Benutzer sich mit Druckerstandorten verbinden, die ihnen physikalisch am nächsten liegen. Zum Einrichten dieses Features führen Sie folgende Schritte durch: 1. Sie benötigen mindestens zwei Standorte mit zwei oder mehreren IP-Subnetzen. 2. Sie müssen Ihre IP-Adressierung so konfigurieren, dass sie mit der physikalischen Struktur des Netzwerks übereinstimmt. 3. Setzen Sie den Druckserver ins gleiche Subnetz wie seine Clients. 4. Sie müssen für jeden Active Directory-Standort ein Subnetz definieren. Nur so können Sie den Bezug zwischen Standort und Druckerstandort herstellen. 5. Estellen Sie ein Gruppenrichtlinienobjekt für den gewünschten Standort. 6. Bearbeiten Sie das GPO, indem Sie den Knoten BENUTZERKONFIGURATION/ADMINISTRATIVE VORLAGEN öffnen und die Einstellung Druckerstandortsuchtext im Vorhinein ausfüllen aktivieren.

8.2.6

Wartung einer Active Directory-Datenbank

Obwohl viele Aufgaben vom Betriebssystem automatisch erledigt werden, müssen Sie einige manuell einstellen. Auf diese wichtigen administrativen Aufgaben werden wir hier eingehen.


633

MCSE Examen 70-294

Gelöschte Objekte Wenn Sie ein Objekt in Active Directory löschen, wird es nicht sofort entfernt, sondern nur als gelöscht markiert. Wenn ein Objekt als gelöscht markiert wird, wird diese Änderung auf alle anderen Domänencontroller repliziert. Erst wenn diese Zeit, die auch als Lebensdauer veralteter Objekte (engl. Tombstone Lifetime) bezeichnet wird, für das Objekt abgelaufen ist, wird es vollständig gelöscht. Die Lebensdauer gelöschter Objekte beträgt per Voreinstellung 60 Tage. (Der Wert im Attribut tombstoneLifetime ist nicht gesetzt.)

Garbage Collection Die Garbage Collection ist ein Active Directory-interner Verwaltungsprozess, der per Voreinstellung alle 12 Stunden ausgeführt wird und das Bereinigen der Active Directory-Verzeichnisdienste zur Aufgabe hat. Der Garbage Collection-Prozess beginnt nach seinem Start zunächst mit dem Entfernen veralteter Objekte aus der Datenbank. Im nächsten Schritt löscht der Garbage Collection-Prozess nicht mehr benötigte Protokolldateien. Zum Schluss startet er einen Defragmentierungsthread, um zusätzlichen Speicherplatz in der Datenbank freizusetzen. Sie können das Intervall zur Garbage Collection benutzerdefiniert anpassen, indem Sie das Attribut garbageCollPeriod im organisationsweiten Verzeichnisdienst-Konfigurationsobjekt (NTDS) ändern. Verwenden Sie hierfür ein Programm, das direkt in Active Directory eingreifen kann, wie zum Beispiel Ldp.exe oder die ADSI-Konsole (Adsiedit.msc).

Defragmentierung Sie können eine Active Directory-Datenbank mit Hilfe folgender Methoden defragmentieren: T Onlinedefragmentierung – siehe Garbage Collection T Offlinedefragmentierung Bei der Offlinedefragmentierung müssen Sie zunächst den Domänencontroller offline schalten, um ihn anschließend über das Ntdsutil.exe-Dienstprogramm zu defragmentieren. Der Vorteil dieser Methode besteht darin, dass die Größe der Datenbank verkleinert wird, indem ungenutzter Speicherplatz entfernt wird. Dies zeigt sich an der Größe der Datenbankdatei ntds.dit. Sie bleibt bei der Onlinedefragmentierung immer konstant groß.

Sichern der Active Directory-Datenbank Sie starten die Sicherung mit dem Programm Ntbackup.exe. Beachten Sie bei der Sicherung folgende Aspekte: T Wegen der Einstellung des TombstoneLifetime-Intervalls (es ist auf 60 Tage voreingestellt) müssen Sie mindestens eine Sicherung innerhalb dieses Intervalls durchführen. T Die Active Directory-Datenbank ist ein Teil des Windows-Systemstatus (System State), der eine Sammlung der Systemkomponenten darstellt. Sie können diese Systemkomponenten aber nur leider zusammen sichern.

634



Die Systemstatus-(System State-)Komponenten beinhalten fünf Module: Systemkomponente

Beschreibung

Active Directory

Der Eintrag beinhaltet die Active Directory-Datenbank Ntds.dit, die Checkpoint-Dateien, die Transaktionsprotokolle und die Reservetransaktionsprotokolle.

Boot Files (Startdateien)

Gemeint sind die System Start-up-(Boot-)Dateien, die Windows Server 2003 zum Starten benötigt. Darunter fallen auch die Dateien für das DNS und andere Dienste, wie zum Beispiel der Windows ClusterDienst.

COM+ Class Registration Database

Die Datenbank für die Klassenregistration von Komponentendiensten. Das Component Object Model (COM) ist die Weiterentwicklung des OLE-Modells (Object Linking and Embedding).

Registry (Registrierung

Die Windows Registry umfasst Dateien aus dem Verzeichnis %windir%\system32\config, wie Software, System, etc.

SYSVOL (Sys Vol)

Das SYSVOL-Verzeichnis ist ein voreingestellter freigegebener Ordner, in dem Serverkopien der öffentlichen Domänendateien gespeichert werden. Diese Dateien werden auf alle Domänencontroller derselben Domäne repliziert. Das Verzeichnis enthält die folgenden Inhalte: Freigegebene Ordner des Netlogon-Dienstes, Benutzeranmeldeskripte für Active Directoryfähige Clients, Windows 2003 GPOs, Dateisystemverbindungen und den Dateireplikationsdienst (File Replication Service, FRS oder NTFrs)

Tabelle 8.16: Systemkomponenten zur Sicherung

Nicht autorisierende Wiederherstellung Die nicht autorisierende Wiederherstellung (auch nicht maßgebende Wiederherstellung genannt) stellt das normale Zurückspielen der Systemstatusdateien dar. Alle Dateien werden genauso auf dem Domänencontroller wiederhergestellt, wie sie sich auf dem Sicherungsmedium befinden. Für die nicht autorisierende Wiederherstellung starten Sie den Computer im Modus Verzeichnisdienste wiederherstellen (Taste (F8)) und rufen anschließend das Sicherungsprogramm Ntbackup auf.

Autorisierende Wiederherstellung Die autorisierende Wiederherstellung, auch maßgebende Wiederherstellung genannt, verhindert ein Überschreiben von Aktualisierungen anderer Domänencontroller. Sie speichern Objekte (wie Container, Organisationseinheiten oder die Domäne) exakt zu dem Zeitpunkt zurück, an dem die Sicherung aufgenommen wurde. Sie verwenden nach der nicht autorisierenden Wiederherstellung das kommandozeilenorientierte Dienstprogramm Ntdsutil.exe.


635

MCSE Examen 70-294

Active Directory Diagnose-Programm Ntdsutil Ntdsutil ist ein kommandozeilenorientiertes Dienstprogramm, das eine umfassende War-

tung von Active Directory ermöglicht. Sie können mit Ntdsutil folgende Aufgaben durchführen: T Sie führen eine autorisierende Wiederherstellung der Active Directory-Datenbank aus. T Sie verwalten konfigurierbare Einstellungen. T Sie bereiten das Erstellen von neuen Domänen vor. T Sie verwalten NTDS-Datenbankdateien. T Sie verwalten LDAP-Protokollrichtlinien. T Sie bereinigen Objekte der ungültigen Server. T Sie ändern Betriebsmaster-Rollen (FSMO-Rollen). T Sie bereinigen duplizierte SIDs in der Sicherheits-Kontendatenbank. T Sie führen eine Semantikprüfung durch.

8.3

Planen und Implementieren von Benutzer-, Computer- und Gruppen-Richtlinien

In diesem Unterkapitel zeigen wir Ihnen Strategien zum Planen und Verwalten von Benutzer-, Computer- und Gruppenkonten.

8.3.1

Planung und Einrichtung von Benutzerkonten

Im folgenden Abschnitt fassen wir die Grundzüge der Benutzerkontenerstellung und -Verwaltung zusammen.

Anmeldung an Active Directory Ein Benutzer benötigt bei der Anmeldung an die Active Directory-Verzeichnisdienste nur ein einziges Benutzerkonto. Mit dem Anmeldenamen und einem Kennwort oder einem Zertifikat über eine Smartcard wird die gültige Identität des Benutzers festgestellt. Dieser Vorgang wird als Authentifizierung bezeichnet. Für den vollständigen Zugriff auf die Gesamtstruktur wird demnach nur ein einziger Anmeldevorgang benötigt.

Benutzerrechte Mit der Einrichtung von Active Directory erstellt das Betriebssystem automatisch eine Reihe von Konten. Sie befinden sich im Container Users und werden auch als vordefinierte Konten bezeichnet. Sie besitzen vordefinierte Benutzerrechte.

636

8.3 Planen und Implementieren von Benutzer-, Computer- und Gruppen-Richtlinien


Konto

Beschreibung

Administrator

Standardkonto mit höchsten Privilegien

Gast

Standardkonto mit den wenigsten Privilegien (per Voreinstellung deaktiviert)

TsInternetUser

Standardkonto für die Verwendung der Terminaldienste.

krbtgt

Dienstkonto des Schlüsselverteilungscenters (per Voreinstellung deaktiviert)

IUSR_Computername

Standardkonto für den anonymen Zugriff auf die Internet Information Services (IIS)

IWAM_Computername Standardkonto für den anonymen Zugriff auf prozessinterne IIS-Anwendungen Tabelle 8.17: Beschreibung der vordefinierten Konten

Sie können die Benutzerrechte von Konten über ein Gruppenrichtlinienobjekt (GPO) in Active Directory oder über eine lokale Gruppenrichtlinie am Computer verändern. Verändern Sie im GPO-Editor die Einstellungen für Benutzerrechte im Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN/LOKALE RICHTLINIEN/ZUWEISEN VON BENUTZERRECHTEN.

Smartcards Smartcards sind Karten in Kreditkartengröße, die Kennwörter speichern. Sie bieten den großen Vorteil, dass Benutzer sich keine langen Kennwörter merken müssen, wodurch die Gefahr wesentlich verringert wird, dass die Benutzer sich die Kennwörter aufschreiben oder unter die Tastatur malen. Für die Einrichtung von Smartcards benötigen Sie folgende Hard- und Software: T Ein Lesegerät für jeden Client T Einen Computer als Smartcard-Registrierungsstelle T Eine Zertifizierungsstelle

Erstellen von Benutzerkonten Sie können Benutzer über verschiedene Methoden erstellen und verwalten: T Managementkonsole Active Directory-Benutzer und -Computer T Kommandozeilenprogramm dsadd user T Kommandozeilenprogramm Csvde.exe für den Massenimport T Kommandozeilenprogramm Ldifde.exe für den Massenimport


637

MCSE Examen 70-294

Verwalten von Benutzerprofilen Benutzerprofile sorgen bei Windows-Betriebssystemen dafür, dass Benutzer ihre persönliche Desktop-Umgebung bei jedem Neuanmelden so erhalten, wie sie sie vorher verlassen haben. Per Voreinstellung speichert Windows das Profil lokal auf der Festplatte ab. Bei Windows 2000 und bei Windows Server 2003 wird das Profil zum Beispiel im Verzeichnis C:\Dokumente und Einstellungen abgelegt, wenn sich das Betriebssystem auf der Partition C: befindet. In dem Benutzerprofilordner befindet sich auch die Datei ntuser.dat, die den Teil des Registrierungshives HKEY_CURRENT_USER enthält. Für einen Netzwerkadministrator stellt sich die Frage, ob er einen Eingriff in die Speicherung der Benutzerprofile durchführen soll. Microsoft unterscheidet vier Arten von Benutzerprofilen: T Lokale Profile T Servergespeicherte Profile T Verbindliche Profile T Temporäre Profile Ein Benutzerprofil ist keine Gruppenrichtlinie! Sie können jedoch eine Gruppenrichtlinie erstellen, die ähnliche Auswirkungen wie ein verbindliches Profil hat. Daher wird von der Verwendung von verbindlichen Profilen abgeraten.

Basisordner Basisordner sind persönliche Verzeichnisse, die nur der Person einen Vollzugriff erlauben, der das Benutzerkonto gehört. Die Verwaltung eines Basisordners geschieht in den Eigenschaften des jeweiligen Benutzerkontos. Der Benutzer bekommt nach seiner Anmeldung automatisch das angegebene Laufwerk zugewiesen. Auf dem Basisordner können und dürfen beliebige Informationen gespeichert werden. Damit die Größe der Basisordner nicht zu hoch wird, ist es empfehlenswert, den Festplattenplatz durch Kontingente zu limitieren. Basisordner bieten Benutzern folgende Vorteile: T Sie können von jedem Clientcomputer auf den Basisordner zugreifen. (Mit der Option Verbinden von) T Eine Sicherung der Daten kann zentral erfolgen. Wichtig: Sie können Basisordner auch über eine Gruppenrichtlinie steuern!

8.3.2

Planung und Einrichtung von Benutzergruppen

Wir stellen Ihnen u.a. die Benutzer- und Gruppenstrategien in Active Directory vor.

638



Benutzergruppen im Überblick Microsoft hat zwei Gruppentypen vorgesehen: Die eine ist vom Typ Sicherheit und die andere vom Typ Verteilung. Tabelle 8.18 stellt die Funktionen beider Gruppen gegenüber. Sicherheitsgruppe

Verteilergruppe

Dient zur Erteilung von Berechtigungen für den Ressourcenzugriff.

Nicht für Berechtigungen verwendbar.



Kann für sicherheitsbezogene Anwendungen verwendet werden.

Kann nicht für sicherheitsbezogene Anwendungen verwendet werden.

Kann für die Verteilung von E-Mail verwendet werden.

Ist für die Verteilung von E-Mail empfohlen.

Kann auch für Verteilerlisten von Exchange Server verwendet werden.

Für Verteilerlisten von Microsoft Exchange Server empfohlen.

Tabelle 8.18: Gegenüberstellung von Sicherheits- und Verteilergruppen

Des Weiteren sind sog. Gruppenbereiche definiert: Gruppenbereich

Gruppenbezeichnung

Beschreibung

Lokal (in Domäne)

lokale Domänengruppen

Mitglieder dieser Gruppe können Gruppen und Konten aus einer Active Directory- oder Windows NT-Domäne sein. Sie sollten diese Gruppen nur dann verwenden, wenn Sie Berechtigungen innerhalb einer Domäne erteilen. In lokalen Gruppen können Sie Gruppen vom Typ Global, Universal oder Lokale Domäne einfügen.

Global

globale Gruppen

Mitglieder dieser Gruppe können ausschließlich Gruppen und Konten aus derselben Domäne sein, in der die Gruppe definiert wurde. Verwenden Sie globale Gruppen, um Benutzer zusammenzufassen, die sich gleiche Aufgaben teilen und daher auch gleiche Netzwerkzugriffe benötigen. Sie können folgende Mitglieder einer globalen Gruppe hinzufügen: Gruppen mit dem Bereich Global aus derselben Domäne und Konten aus derselben Domäne.

Universal

universelle Gruppen

Mitglieder dieser Gruppe können Gruppen und Konten aus beliebigen Active Directory-Domänen in der Gesamtstruktur sein. Sie können folgende Objekte einer universellen Gruppe hinzufügen: Gruppen mit dem Bereich Global von jeder Domäne der Gesamtstruktur, Gruppen mit dem Bereich Universal und Konten beliebiger Domänen.

Tabelle 8.19: Beschreibung der Gruppenbereiche: Der Umfang der Mitgliedschaft richtet sich jedoch nach der Domänenfunktionsebene.


639

MCSE Examen 70-294

Gruppenstrategien im Ein-Domänenmodell Microsoft empfiehlt Ihnen die folgende Strategie, globale und lokale Domänengruppen in einem Ein-Domänenmodell anzuwenden: 1. Erstellen Sie Benutzerkonten. 2. Fügen Sie Benutzer(konten) in globale Gruppen ein. 3. (Optional) Fügen Sie die globale Gruppe in eine weitere globale Gruppe ein. 4. Fügen Sie die globale Gruppe in eine Gruppe vom Typ Lokale Domäne (lokale Domänengruppe) ein. 5. Weisen Sie der lokalen Domänengruppe Ressourcenberechtigungen zu. Um sich diese Regel zu merken, können Sie sich folgende Gedächtnisstütze merken: B G (G) DL für Benutzer in Global, (in Global), in Domänen-Lokal.

Gruppenstrategien im Multi-Domänenmodell Microsoft empfiehlt Ihnen die folgende Strategie, wenn Sie universelle globale- und lokale Domänengruppen in einer Gesamtstruktur mit einem domänenübergreifenden Zugriff auf Ressourcen zu verwenden: 1. Erstellen Sie Benutzerkonten. 2. Fügen Sie Benutzer(konten) in globale Gruppen ein. 3. (Optional) Fügen Sie die globale Gruppe in eine weitere globale Gruppe ein. 4. Fügen Sie die globale Gruppe in eine Gruppe vom Typ Universal (universelle Gruppe) ein. 5. Fügen Sie die universelle Gruppe in eine lokale Domänengruppe ein. 6. Weisen Sie der lokalen Domänengruppe Ressourcenberechtigungen zu. Wir empfehlen Ihnen hierfür folgende Gedächtnisstütze: B G U DL für Benutzer in Global, in Universal, in Domänen-Lokal.

Standardgruppen Die Active Directory-Verzeichnisdienste von Windows Server 2003 kennen eine Reihe von Standardgruppen, die sich in folgende Container oder Sparten aufteilen: Gruppen in...

Beschreibung

Container Builtin

Die Gruppen in diesem Container dienen hauptsächlich dazu, Benutzer mit administrativen Fähigkeiten zusammenzufassen. Sie dienen zum lokalen Zugriff auf die Domänencontroller-Computer. Sie haben maximal den Gruppenbereich Lokal (in Domäne). Sie finden hier u. a. auch die Gruppe Administratoren.

Tabelle 8.20: Zusammenfassung der Standardgruppen

640



Gruppen in...

Beschreibung

Container User

Sie finden hier Standardsicherheitsgruppen, die auch als Default-Container für aktualisierte Benutzerkonten fungieren. Die Standardsicherheitsgruppen dienen zum Zuweisen von administrativen Privilegien in der Domäne. Sie finden hier u. a. auch die Gruppen Domänen-Admins und Organisations-Admins

Spezialidentitätsgruppen in Active Directory

Hier sind diejenigen Gruppen aufgelistet, die keine Privilegien bzw. keine Standardbenutzerrechte besitzen. Sie finden hier u. a. auch die Gruppe Schema-Admins.

Sonstige lokale Gruppen in Active Directory

Sondergruppen weisen keine bestimmten Mitgliedschaften auf, die Sie ändern können. Die Sondergruppen können abhängig von den jeweiligen Umständen und dem jeweiligen Zeitpunkt für unterschiedliche Benutzer stehen. Sie können zwar Sondergruppen Rechte und Berechtigungen für Ressourcen zuweisen, aber die Mitgliedschaften dieser Gruppen können nicht angezeigt oder geändert werden. Verwenden Sie daher diese Gruppen nicht zum Setzen von Berechtigungen.

Tabelle 8.20: Zusammenfassung der Standardgruppen (Forts.)

Erstellen und Verwalten von Gruppen Sie können Gruppen über verschiedene Methoden erstellen und verwalten: T Mit der Managementkonsole Active Directory-Benutzer und -Computer T Mit dem Kommandozeilenprogramm dsadd group zum Erstellen von Gruppen. T Mit dem Kommandozeilenprogramm dsmod group zum Ändern der Gruppenmitgliedschaften und Umwandeln des Gruppentyps T Mit dem Kommandozeilenprogramm dsrm zum Löschen von Gruppen T Durch Erstellen und Modifizieren über ein Visual-Basic-Skript

8.3.3

Planung und Einrichtung von Computerkonten

Jedes Computergerät mit den Betriebssystemen Windows Server 2003, Windows 2000 Server, Windows XP und Windows 2000 Professional weist ein Computerkonto auf, wenn es der Domäne hinzugefügt wird. Ähnlich wie bei Benutzerkonten muss ein Computerkonto im Netzwerk eindeutig sein. Computer müssen sich genauso wie Benutzerkonten an den Active Directory-Verzeichnisdiensten anmelden. Sie können Computerkonten mit der Konsole Active Directory-Benutzer und -Computer hinzufügen, deaktivieren, zurücksetzen und löschen. Wie bei den Benutzerkonten auch können Sie Befehlszeilenprogramme oder Visual-Basic-Skripte verwenden, um einen Massenimport von Computerkonten zu bewirken. Beachten Sie, dass Computer unter Windows 95 und Windows 98 über keine Computerkonten in der Domäne verfügen können.


641

MCSE Examen 70-294

8.4

Planen und Implementieren von Gruppenrichtlinien

Gruppenrichtlinien sind ein wirkungsvolles Instrument zur Verwaltung von Computer- und Benutzereinstellungen. Sie sind in sog. Gruppenrichtlinienobjekten (GPOs) zusammengefasst. Dieses Kapitel beschäftigt sich mit der Planung und Einrichtung von Gruppenrichtlinien.

8.4.1

Grundlegendes

Der folgende Teil beschreibt Konzepte und Grundlagen von Gruppenrichtlinien.

Gruppenrichtlinien Sie definieren mit Gruppenrichtlinien eine Reihe von Einstellungen, die Client- und Serversysteme und Benutzer betreffen. Diese Einstellungen haben Auswirkungen auf die DesktopUmgebung von Benutzern und auf den Funktionsumfang der Computer. Da die Richtlinien Auswirkungen auf das Benutzerprofil haben, wird auch die Registrierung unter dem Hive HKEY_CURRENT_USER (HKCU) modifiziert. Die computerspezifischen Einstellungen werden dagegen unter HKEY_LOCAL_MACHINE (HKLM) verändert.

Gruppenrichtlinienobjekte Gruppenrichtlinien werden in Gruppenrichtlinienobjekten (Group Policy Objects, GPOs) gespeichert. Daher geschieht die Bearbeitung der GPOs im Gruppenrichtlinienobjekt-Editor, der die schönere Art darstellt, die Registrierung zu bearbeiten. Gruppenrichtlinienobjekte finden Sie im Verzeichnis %systemroot%\Sysvol\domain\Policies\\Adm auf dem Domänencontroller gespeichert. Sie finden zwei Arten von Gruppenrichtlinien vor: die lokalen und die nichtlokalen Gruppenrichtlinienobjekte. Ein GPO ist immer gleich aufgebaut, sobald es die gleichen Vorlagen (Group Policy Template, GPT) verwendet. Sie finden die verwendeten Vorlagen im Verzeichnis %systemroot%\SYSVOL\sysvol\\Policies\.

Aufbau des Gruppenrichtlinienobjekts Ein Gruppenrichtlinienobjekt ist in zwei »Hauptknoten« unterteilt: COMPUTERKONFIGURATION und der BENUTZERKONFIGURATION. In beiden finden Sie untergeordnete Knoten, die die Softwareeinstellungen, Windows-Einstellungen und administrativen Vorlagen betreffen. Auch wenn diese Knoten die gleichen Namen besitzen, so haben sie verschiedene Aufgaben. Der eine ist für die Computerkonfiguration und der andere für die Benutzerverwaltung zuständig. Diese untergeordneten Knoten haben folgende Aufgaben: T Softwareeinstellungen – Er dient zum Verteilen von Software in Abhängigkeit von Computer und Benutzer.

642

8.4 Planen und Implementieren von Gruppenrichtlinien


T Windows-Einstellungen – Unter diesem Knoten sind Computer- und Benutzeranmeldeskripte, sowie alle Aspekte der Sicherheit untergebracht. Sie finden hier die Knoten SICHERHEITSEINSTELLUNGEN für Computer- und Benutzerkonten und die Ordnerumleitung für den Benutzer. T Administrative Vorlagen – Sie finden diesen Knoten sowohl unter Computerkonfiguration als auch unter Benutzerkonfiguration. Hier können Sie einige hundert Einstellungen zu Windows-Applikationen und -Systemprogrammen tätigen.

8.4.2

Planen von Gruppenrichtlinien

Die Planung von Gruppenrichtlinien geht mit der Planung von Standorten, Domänen und Organisationseinheiten einher. Wie in der Zusammenfassung beschrieben (Kapitel 8.2.1), setzen Gruppenrichtlinien auf eine bestehende OU-Struktur auf. Daher ist es unerlässlich, diese OU-Strukturmodelle hinsichtlich des Einsatzes von Gruppenrichtlinien erneut zu prüfen.

Voreingestellte Vererbungsstrategie Sie können GPOs nur mit Standorten, Domänen oder Organisationseinheiten verknüpfen. Die darin enthaltenen Richtlinien vererben sich per Voreinstellung in folgender Reihenfolge: 1. Standort 2. Domäne 3. Organisationseinheit(en) Per Voreinstellung kann ein untergeordnetes GPO Richtlinieneinstellungen eines übergeordneten überschreiben.

Richtlinieneinstellungen bei administrativen Vorlagen Achten Sie bei der Richtlinienvergabe auf die Richtlinieneinstellungen, denn die administrativen Vorlagen lassen die folgenden Einstellungen zu: T Nicht konfiguriert – Sie ändern keine bestehenden Werte in der Registrierung des Computers. T Aktiviert – Sie ändern die Registrierung nach der betreffenden Richtlinieneinstellung. T Deaktiviert – Sie ändern die Registrierung, indem Sie das betreffende Feature deaktivieren. Beachten Sie, dass ein Überschreiben der Einstellungen nur dann stattfindet, wenn die Einstellungen kompatibel sind. Das heißt, eine Einstellung für Windows XP Professional wird für Windows 2000 Professional ignoriert. Beachten Sie auch, dass die Einstellung Nicht konfiguriert keine bestehenden Einstellungen überschreibt.


643

MCSE Examen 70-294

Regeln für den Einsatz von Gruppenrichtlinien Gruppenrichtlinien können sehr variabel eingesetzt werden. Die folgenden Regeln aus Kapitel 7.2.3 helfen Ihnen bei der Planung und bei der Entwicklung einer Vererbungsstrategie: 1. GPOs vererben ihre Einstellungen an untergeordnete Objekte, es sei denn, die folgende Situation tritt auf: 1. Sie überschreiben die Richtlinieneinstellung, die von einem übergeordneten GPO vererbt wird. Verwenden Sie hierfür nicht die Einstellung Nicht konfiguriert. 2. Sie blockieren die Vererbung (Einstellung Richtlinienvererbung deaktivieren), damit Sie nach der Blockade ein neues GPO erstellen können, das sich seinerseits weitervererben kann. 2. Sie filtern Sicherheitsgruppen aus dem Gültigkeitsbereich der Richtlinien heraus, indem Sie in den Eigenschaften des GPOs die Berechtigung Gruppenrichtlinie übernehmen auf Zulassen oder Verweigern setzen. 3. Sie erstellen mehrere GPOs und verknüpfen sie mit einem Standort-, Domänen- oder OU-Objekt. Das GPO, das sich an der höchsten Stelle befindet, hat den Vorrang, wenn Sie dort die Einstellung Kein Vorrang vornehmen. 4. Sie können ein Blockieren der Vererbung (Einstellung Richtlinienvererbung deaktivieren) verhindern, indem Sie Kein Vorrang einstellen und somit die Vererbung von höchster Stelle aus erzwingen. 5. Sie können GPOs speziell für Computer- oder für Benutzereinstellungen definieren. Dadurch resultieren u.U. mehrere GPOs für einen Standort, eine Domäne oder OU. 6. Sie können das GPO deaktivieren, um es zu bearbeiten. Selbstverständlich vererbt sich diese Einstellung.

Planungsaspekte Für die Planung von GPOs müssen Sie noch folgende Aspekte berücksichtigen: T Sie können ein oder mehrere GPOs den folgenden Objekten zuordnen: Standort, Domäne und/oder Organisationseinheit (OU). T Sie können eine oder mehrere Einstellungen in einem GPO durchführen: Stellen Sie nur eine Änderung ein, können Sie die Aufteilung übersichtlich gestalten, wenn die Anzahl der GPOs überschaubar bleibt. Stellen Sie viele Änderungen ein, kann es unübersichtlich werden, denn Sie sehen auf den ersten Blick nicht, welche Richtlinien die effektiven sind. T Sie können GPOs intern so aufteilen, dass Sie entweder Computer- oder Benutzerkonten konfigurieren. T Der Nachteil vieler GPOs ist eine erhebliche Verlängerung der Anmeldezeit, die insbesondere bei Windows 2000-basierenden Computern auftritt. T Sie haben sich bereits Gedanken über die OU-Struktur gemacht: Soll es eine Kombination aus allen OU-Modellen sein? Oder soll Ihr Modell nur nach Verwaltungsaufgaben, Orten oder Geräten aufgeteilt sein? T Beachten Sie auch die Regeln für die Vererbung der Richtlinien. 644



8.5

Verwalten und Warten von Gruppenrichtlinien

Das Verwalten und Warten von Gruppenrichtlinien bezieht sich auf den praktischen Einsatz von Gruppenrichtlinien.

Erstellen Sie erstellen ein GPO in den Eigenschaften (Register GRUPPENRICHTLINIE) eines der folgenden Objekte: Standort, Domäne oder Organisationseinheit. Sie klicken auf die Schaltfläche NEU, wenn Sie eine neue GPO erstellen oder auf die Schaltfläche HINZUFÜGEN, wenn Sie ein GPO verknüpfen möchten. Ein GPO besitzt eine Reihe von Eigenschaften, die sich nur auf das betreffende Objekt beziehen. Darunter fallen auch die allgemeinen Einstellungen, in denen Sie die bereits beschriebenen Hauptknoten jeweils deaktivieren können. Um den Anmeldevorgang auf Clientcomputern zu beschleunigen, wenn Sie in den betreffenden Knoten keine Einstellung vornehmen wollen, aktivieren Sie folgende Kontrollkästchen: T Konfigurationseinstellungen des Computers deaktivieren T Benutzerdefinierte Konfigurationseinstellungen deaktivieren

Filtern des Wirkungsbereichs von Richtlinien Des Weiteren können Sie den Wirkungsbereich der Richtlinien anhand von Sicherheitsgruppen steuern. Setzen Sie im Register SICHERHEIT Gruppen- oder Benutzerkonten ein, die die Berechtigung Gruppenrichtlinie übernehmen: Zulassen oder Verweigern besitzen. Wenn Sie also möchten, dass nur eine bestimmte Gruppe oder ein bestimmter Benutzer die Richtlinien übernehmen soll, entfernen Sie die voreingestellte Gruppe Authentifizierte Benutzer, fügen den entsprechenden Sicherheitsprinzipal in die Liste ein und erteilen diesem die Berechtigung Gruppenrichtlinie übernehmen: Zulassen. Beachten Sie auch hier, dass die Berechtigungen kumulativ sind, es sei denn, Sie haben den Zugriff auf Verweigern gesetzt.

Richtlinienergebnissatz Sie überprüfen oder simulieren bestehende GPOs auf Benutzer- oder Computereinstellungen mit dem sog. Richtlinienergebnissatz (Resultant Set of Policy, RSoP), der ein Abfragemodul darstellt, das bestehende und geplante Richtlinien über die CIMOM-Datenbank abfragt und dann die Ergebnisse im Richtlinienergebnissatz-Assistenten anzeigt. Der Richtlinienergebnissatz besteht aus dem Planungsmodus und dem Protokollierungsmodus. Im Planungsmodus können Sie die Auswirkungen von Richtlinieneinstellungen simulieren, die Sie auf einen Computer und/oder Benutzer anwenden möchten, während Sie im Protokollierungsmodus die vorhandenen Richtlinieneinstellungen für einen Computer und einen bereits angemeldeten Benutzer aufzeichnen. Hat sich der Benutzer im Protokolliermodus noch nicht an dem betreffenden Computergerät angemeldet, schlägt diese Abfrage fehl.

8.5 Verwalten und Warten von Gruppenrichtlinien

645

MCSE Examen 70-294

Sicherheitsanalyse Mit der Sicherheitsanalyse überprüfen Sie Ihre aktuell gültigen Einstellungen für den Knoten SICHERHEITSEINSTELLUNGEN. Als Vorlage zum Prüfen Ihrer Einstellungen verwenden Sie eine Sicherheitsvorlage. Diese fügen Sie in eine Datenbank ein, um zu einem späteren Zeitpunkt die vorgenommenen Einstellungen wieder in das Snap-In Sicherheitsanalyse einlesen zu können. Dieses Snap-In zeigt Ihnen alle Unterschiede und Übereinstimmungen mit der Vorlage, wobei die Richtlinieneinstellungen der Vorlage in der Spalte Datenbankeinstellung und der Ist-Zustand in der Spalte Computereinstellung dargestellt werden. Die Einträge beeinflussen erst dann die Computereinstellungen oder ein GPO, wenn Sie dies explizit durchführen: T In der Konsole Sicherheitskonfiguration und -analyse wählen Sie im Knoten SICHERHEITSKONFIGURATION UND -ANALYSE das Kontextmenü (mit der rechten Maustaste) und wählen den Eintrag Computer jetzt konfigurieren aus. T In der Konsole Gruppenrichtlinienobjekt-Editor wählen Sie den Knoten COMPUTERKONFIGURATION/WINDOWS-EINSTELLUNGEN/SICHERHEITSEINSTELLUNGEN aus und wählen dort im Kontextmenü den Eintrag Richtlinie importieren. Zur Konfiguration der Systemeinstellungen können Sie auch das Kommandozeilendienstprogramm Secedit.exe verwenden.

Einsatz von GPOs Beispiele für den Einsatz von GPOs sind: Das Einrichten von Kontorichtlinien, die zur Anmeldesicherheit beitragen können. Dieses GPO können Sie nur mit einer Domäne verknüpfen, da es in T einer Domäne nur eine Kontorichtlinie geben darf. T Das Aktivieren einer Überwachungsrichtlinie, um bestimmte Aktionen zu protokollieren (Anmeldeereignisse, Änderung der Berechtigungen durch Administratoren usw.). T Das Einrichten einer automatischen Softwareverteilung, um Servicearbeiten zu automatisieren. Die Softwareverteilung kann unbeaufsichtigt beim Booten des Computers erfolgen oder mit Zustimmung des jeweils angemeldeten Benutzers. T Das Implementieren einer Softwarebeschränkung, um unerwünschte Software abzuwehren. Hierfür stellen Sie Regeln auf, um die eingesetzte Software zu identifizieren. T Das Umleiten von Spezialordnern aus dem persönlichen Benutzerprofil. Sie können Ordner, wie Eigene Dateien, auf ein freigegebenes Verzeichnis auf einem Server umleiten, ohne dass Benutzer etwas von dem Vorgang bemerken.

646

8.5 Verwalten und Warten von Gruppenrichtlinien

9 Testprüfung Prüfung »Planen, Implementieren und Warten einer Active Directory-Infrastruktur unter Windows Server 2003« Wie bereits in Kapitel 8 erwähnt, müssen Sie für die Prüfung 70-294 folgende Themenbereiche abdecken: T Planen und Implementieren einer Active Directory-Infrastruktur T Verwalten und Warten einer Active Directory-Infrastruktur T Planen und Implementieren von Benutzer-, Computer- und Gruppen-Richtlinien T Planen und Implementieren von Gruppenrichtlinien T Verwalten und Warten von Gruppenrichtlinien Die aufgelisteten Bereiche sind offizielle Prüfungsabschnitte.

Tipps für die Prüfung Die Prüfung 70-294 besteht (zum Zeitpunkt der Veröffentlichung) aus ca. 35 Fragen. Sie haben für die deutsche Version 90 Minuten Zeit. Für die englische Version wird Ihnen ein Bonus von weiteren 30 Minuten gewährt. Die Prüfung kann nicht gestoppt werden. Sie ist kein adaptiver Test. Zum Bestehen der Prüfung benötigen Sie 700 Punkte. Die Prüfung besteht aus einem Satz von Fragen im Multiple-Choice-Verfahren. Sie müssen einen oder mehrere richtige Lösungsvorschläge per Mausklick auswählen. In einigen Fällen müssen Sie mit der Maus Felder bewegen, um Situationen zu simulieren. Es lohnt sich, sehr gut vorbereitet in die Prüfung zu gehen. Teilen Sie sich während der Prüfung die Zeit sehr gut ein. Wenn Sie eine Antwort nicht genau wissen, markieren Sie die Aufgabe und fahren Sie mit dem Test fort. Sie können anschließend anhand einer Übersicht die markierte Frage erkennen und zu dieser wechseln.

647

MCSE Examen 70-294

Leider kann es immer wieder passieren, dass einige Fragen schlecht übersetzt sind. Es kann auch vorkommen, dass einige Fragen durch Fehler in der Testsoftware nicht lösbar sind. In diesen Fällen sollten Sie sich nach der Prüfung an das Personal des jeweiligen Testcenters wenden. Bei Beschwerden hinsichtlich des Prüfungsinhalts können Sie sich innerhalb von 3 Tagen unter folgender Adresse an Microsoft wenden: [email protected] Tel: 0800-7563210

9.1

Prüfungsfragen

Mit den folgenden Prüfungsfragen können Sie Ihr Wissen überprüfen. Die Fragen sind vom Schwierigkeitsgrad und vom Umfang ähnlich konzipiert wie bei der Prüfung 70-294. Natürlich sind die Fragen beispielhaft zu sehen. Sie spiegeln die eigenen Erfahrungen des Autors beim Ablegen der Prüfung wieder. Wenn Sie eine möglichst echte Prüfungssituation simulieren wollen, müssen Sie die folgenden 35 Fragen innerhalb von 90 Minuten bearbeiten. 1. Sie haben eine neue Gruppenrichtlinie erstellt, die das Ziel hat, den Desktop von Benutzern zu normieren. Nach einiger Zeit überprüfen Sie, ob die Einstellungen auf den Computern der Benutzer auch wirklich durchgeführt worden sind. Nachdem Sie erfahren haben, dass die Einstellungen auf dem Computer des Benutzers Mike Müller nicht durchgeführt wurden, erstellen Sie einen Richtlinienergebnissatz (RSoP) im Protokolliermodus für den betreffenden Benutzer. Sie wählen den Computer MKT-45 aus und erhalten folgende Fehlermeldung: Benutzer ist nicht vorhanden. Welcher der folgenden Gründe ist für diesen Fehler verantwortlich? A. Mikes Konto ist korrupt. B. Die Replikation der Gruppenrichtlinie zwischen dem Clientcomputer und den Domänencontrollern ist fehlgeschlagen. C. Mikes Computer ist nicht Mitglied der Domäne. D. Mike hat sich niemals auf dem Computer MKT-45 angemeldet. 2. Sie sind Administrator der Firma Ost-West-Verkauf und haben gerade Ihre Windows NT 4.0-Domäne zu Windows Server 2003 migriert. Sie möchten Gruppenrichtlinien implementieren. Welche der folgenden Computer können Sie für Gruppenrichtlinien verwenden? Wählen Sie alle möglichen Antworten aus. A. Windows 2000 Professional B. Windows XP Professional C. Windows 2000 Server D. Windows NT 4.0 Server E. Windows 98 F. Windows NT 4.0 Workstation 648

9.1 Prüfungsfragen

9 – Testprüfung

3. Sie wurden beauftragt, eine Active Directory-Infrastruktur zu erstellen. Die Infrastruktur, die Sie erstellen müssen, muss den Ansprüchen einer Firma genügen, die in verschiedenen Ländern ihre Dependancen besitzt. Bedingt durch die Unternehmensstruktur, muss die Gesamtstruktur in mehrere Domänen unterteilt werden, die sich alle in derselben Gesamtstruktur befinden sollen. Welche der folgenden Argumente rechtfertigen die Erstellung einer weiteren Domänenstruktur? A. Sie benötigen Domänen, die sich mit der Stammdomäne der Gesamtstruktur einen fortlaufenden Namensraum teilen. B. Sie benötigen Domänen, die sich mit der Stammdomäne der Gesamtstruktur einen unterschiedlichen Namensraum teilen. C. Sie benötigen Domänen, die sich einen fortlaufenden Namensraum teilen und in einer anderen Gesamtstruktur liegen. D. Die benötigen Domänen, die sich mit der Stammdomäne der Gesamtstruktur einen externen Namensraum teilen. 4. Sie sind Administrator einer großen internationalen Organisation, die für die Computerund Benutzerverwaltung Active Directory einsetzt. Sie haben eine gemischte Betriebssystemumgebung, die aus Windows 2000-Servern, Windows Server 2003 und Windows NT Server-Produkten besteht. Wegen der Windows NT 4.0-basierenden Domänencontroller befindet sich die Domänenfunktionsebene in der Einstellung Windows 2000 gemischt. Sie werden von einem Benutzer um Hilfe gebeten. Der Benutzer möchte sich auf seinem Windows NT Workstation-Computer anmelden. Er wird sofort nach der Anmeldung aufgefordert, sein Kennwort zu ändern. Die Änderung des Kennworts wird jedoch nicht akzeptiert. Welcher Fehler liegt vor, und was sollten Sie zuerst prüfen? A. Sie sollten zuerst überprüfen, ob der Domänencontroller die Rolle des Infrastrukturmasters ausführt. B. Sie sollten überprüfen, ob der Domänencontroller die Rolle des PDC-Emulators ausführt. C. Sie sollten überprüfen, ob das Konto des Benutzers gesperrt ist. Sie überprüfen in den Eigenschaften des Benutzerkontos das Register KONTO. D. Sie sollten auf dem Domänencontroller die Domänenfunktionsebene auf Windows 2000 pur stellen. 5. Susan ist Netzwerkadministratorin einer Firma, die mehrere Filialen in 4 deutschen Städten unterhält: Bonn, Köln, Düsseldorf und Dortmund. Weiterhin besitzt die Firma eine Filiale in Warschau. Die Filialen innerhalb Deutschlands sind mit einem Netzwerk von SDSL-Leitungen verbunden, die über eine Bandbreite von 1 MBit/s verfügen. Von der Filiale Bonn ausgehend führt eine ISDN-Leitung nach Warschau. Aus Verwaltungsgründen hat man sich für ein Einzeldomänenmodell entschieden. In jeder Filiale befindet sich ein Domänencontroller, auf dem sich die Benutzer anmelden können. Wie sollten Sie Ihr Netzwerk gestalten, damit Sie eine möglichst effektive Replikation nach Warschau gewährleisten? Wählen Sie zwei Lösungen aus: A. Sie konfigurieren die ISDN-Leitung so, dass die Replikation nur zu Geschäftszeiten möglich ist. B. Sie konfigurieren die ISDN-Leitung so, dass die Replikation nur zu Nachtzeiten möglich ist. 9.1 Prüfungsfragen

649

MCSE Examen 70-294

C. Sie erstellen eine neue Standortverknüpfung zwischen Bonn und Warschau über SMTP und konfigurieren diese so, dass eine Replikation zwischen 24 Uhr und 4 Uhr möglich ist. D. Sie konfigurieren auf dem Domänencontroller in Bonn in den NTDS Settings das automatische Verbindungsobjekt, so dass eine Replikation zwischen 24 Uhr und 4 Uhr möglich ist. E. Sie konfigurieren auf dem Domänencontroller in Bonn in den NTDS Settings das automatische Verbindungsobjekt zum Domänencontroller in Warschau so, dass eine Replikation zwischen 24 Uhr und 4 Uhr möglich ist. Weiterhin erstellen Sie eine Standortverknüpfung nach Warschau über RPC. F. Sie erstellen für jede Filiale einen Standort. 6. Sie sind beauftragt worden, eine neue Active Directory-Infrastruktur aufzubauen. Sie nennen Ihre Stammdomäne export-meier.de. Die Netzwerkumgebung, auf die aufgebaut werden soll, besteht aus Unix-basierten Computern, die auch künftig – neben Windows Server 2003 – bestehen sollen. Nachdem Sie den ersten Domänencontroller installiert haben, möchten Sie überprüfen, ob Active Directory ordnungsgemäß installiert wurde. Welche Aufgaben haben Sie durchzuführen? Wählen Sie alle zutreffenden Lösungen aus: A. Sie öffnen die Konsole Active Directory-Benutzer und -Computer und überprüfen, ob die OU Domain Controllers vorhanden ist. B. Sie öffnen die Konsole Active Directory-Benutzer und -Computer und überprüfen, ob die OU Users vorhanden ist. C. Sie öffnen die Konsole DNS und überprüfen die zwei Forward-Lookupzonen ExportMeier.de und _msdcs.export-meier.de. D. Sie öffnen die DNS-Konsole, überprüfen die Eigenschaften der Zone export-meier.de und vergewissern sich, dass die Zone nur sichere dynamische Updates zulässt und dass die Zone Active Directory-integriert ist. E. Im Ordner %systemroot% überprüfen Sie die Existenz der Active Directory-Datenbank ntds.dit. F. Sie öffnen im Ordner %systemroot%\debug die Datei dcpromo.log. G. Sie öffnen im Stammverzeichnis der Festplatte die Datei boot.ini und werten die Installationsschritte aus. 7. Sie administrieren drei Domänen, die wie folgt angeordnet sind (siehe Abbildung 9.1): #

Abbildung 9.1: Domänen

650

9.1 Prüfungsfragen

9 – Testprüfung

Welche Vertrauensverhältnisse bestehen zwischen den Domänen? A. Zwischen den Active Directory-Domänen 1 und 2 besteht eine Überordnungs-Unterordnungs-Vertrauensstellung. B. Zwischen den Active Directory-Domänen 2 und 3 besteht eine Überordnungs-Unterordnungs-Vertrauensstellung. C. Zwischen der Active Directory-Domäne 1 und der NT-Domäne besteht eine Gesamtstrukturverstrauensstellung. D. Zwischen der Active Directory-Domäne 1 und der NT-Domäne besteht eine externe Vertrauensstellung. E. Zwischen der Active Directory-Domäne 1 und der NT-Domäne besteht eine Bereichsvertrauensstellung. 8. Sie sind Netzwerkadministrator einer Firma, die ihre Dependancen in Bern und in London unterhält. Beide Dependancen sind jeweils in zwei Standorte und zwei Domänen unterteilt. Die Standorte sind über eine ISDN-Leitung miteinander verbunden (siehe Abbildung 9.2). Die Filiale in London beherbergt die Domäne London und die in Bern die Domäne Bern. Jede Domäne hat zwei Domänencontroller. Sie haben die Aufgabe, globale Katalogserver zu erstellen und zu platzieren. Sie wollen eine maximale Ausfallsicherheit und minimale Reaktionszeiten bei der Anmeldung der Benutzer. Welche der nachfolgenden Lösungsvorschläge sollten Sie verwenden?

Abbildung 9.2: Standort-Szenario

A. Sie stellen in den Standort London zwei globale Katalogserver auf. B. Sie stellen in den Standort Bern einen globalen Katalogserver auf. C. Sie platzieren jeweils in beiden Standorten einen globalen Katalogserver. D. Sie richten im Standort London einen globalen Katalogserver ein und konfigurieren im Standort Bern einen Domänencontroller so, dass er ein Cachen der universellen Gruppenmitgliedschaften erlaubt. 9. Sie sind Administrator und haben die Aufgabe, Richtlinien (siehe Abbildung 9.3) zu erstellen. Sie müssen erreichen, dass nach 3 ungültigen Anmeldeversuchen das Konto des jeweiligen Benutzers sofort gesperrt wird und dies so lange bestehen bleibt, bis Sie es wieder entsperren. Es soll allerdings auch so sein, dass Sie trotz eines oder zweier ungültiger Anmeldeversuche nach 30 Minuten wieder die Möglichkeit haben, 2 falsche Kennwörter einzugeben, ohne dass sich das Konto sperrt. Sie haben folgende Werte zur Auswahl, die Sie in die Richtlinieneinstellung schreiben können:

9.1 Prüfungsfragen

651

MCSE Examen 70-294

2 3 1800 0 30 6

Setzen Sie in der folgenden Abbildung die richtigen Werte ein:

Abbildung 9.3: Hier sind Richtlinieneinstellungen gesucht

10. Sie verwalten die Domänenstrukturen Ihrer Firma (siehe Abbildung 9.4). Alle Domänen besitzen Domänencontroller, die unter dem Betriebssystem Windows Server 2003 laufen. Sie besitzen die Domänenfunktionsebene Windows Server 2003.

Abbildung 9.4: Domänen, die Sie verwalten

Zwischen den Domänen dunkel.de und licht.de haben Sie eine Gesamtstrukturvertrauensstellung eingerichtet. Sie möchten erreichen, dass die Benutzer Mike, Tom und Petra aus der Marketingabteilung in der Domäne bonn.dunkel.de auf einen freigegebenen Ordner der Domäne licht.de zugreifen können. Wie gehen Sie vor? A. Sie erstellen eine universelle Gruppe dunkel und fügen dort die Benutzer Mike, Tom und Petra ein. Sie setzen dann die Gruppe dunkel in die Gruppe licht der Domäne licht.de ein. Die Gruppe licht besitzt die notwendigen Zugriffsrechte auf den benötigten Ordner. B. Sie erstellen eine lokale Domänengruppe bonn-dunkel und fügen Mike, Tom und Petra dort ein. Sie machen die Gruppe bonn-dunkel zum Mitglied der universellen Gruppe MKT, die wiederum Mitglied der Gruppe LICHT in der Domäne licht.de ist. Die lokale Domänengruppe LICHT besitzt die erforderlichen Zugriffrechte auf das Verzeichnis. 652

9.1 Prüfungsfragen

9 – Testprüfung

C. Sie erstellen eine globale Gruppe bonn-mkt und fügen Mike, Tom und Petra in diese Gruppe ein. Anschließend erstellen Sie die universelle Gruppe MKT und fügen die Gruppe bonn-mkt dort ein. Danach fügen Sie diese Gruppe in licht-mkt ein, die Zugriff auf das freigegebene Verzeichnis besitzt. D. Sie erstellen eine lokale Domänengruppe MKT in der Domäne bonn und fügen diese in die lokale Domänengruppe marketing der Domäne licht ein. Die Gruppe marketing ist berechtigt, auf das freigegebene Verzeichnis zuzugreifen. 11. Sie sind ein neuer Netzwerkadministrator der Export GmbH, die ihre Infrastruktur in einer Domäne export.net zusammengefasst hat. In der Domäne befinden sich folgende OUs: Zentrale, Buch, Leit, Zürich und Berlin, die wie in der folgenden Abbildung angeordnet sind.

Abbildung 9.5: Anordnung der OUs innerhalb der Domäne export.net

Sie erstellen folgende Richtlinien in einem GPO. Für jede Richtlinie verwenden Sie nur ein GPO: 1. Sie definieren eine Sicherheitsrichtlinie für Kennwortlänge, Komplexität und Kontosperrung. 2. Sie definieren Einschränkungen für Desktop und Systemsteuerung. 3. Sie definieren eine Richtlinie für Softwareverteilung für das Office Paket »Office XP«. Sie wenden die Richtlinie 1 auf export.net an. Richtlinie 2 wenden Sie auf Buch an. Richtlinie 3 wenden Sie auf Leit an. Es existieren jedoch auch noch andere Gruppenrichtlinien in der Domäne, die Ihr Vorgänger bereits eingerichtet hat. Wie können Sie die Ergebnisse Ihrer neuen GPOs am besten simulieren? A. Sie führen den Befehl Gpotool.exe aus. B. Sie konfigurieren die Überwachung in der Ereignisanzeige.

9.1 Prüfungsfragen

653

MCSE Examen 70-294

C. Sie führen eine Abfrage mit Hilfe des Tools Richtlinienergebnissatz aus. D. Sie führen den Gruppenrichtlinienobjekt-Editor aus, klicken auf ERWEITERT und lassen sich die effektiven Gruppenrichtlinien anzeigen. 12. Sie haben den Lizenzvertrag für ein Grafikprogramm gekündigt, das Sie vorher über die Softwareverteilung an Mitarbeiter der Abteilung Design verteilt haben. Sie haben hierfür ein GPO erstellt und im Knoten SOFTWAREINSTALLATION ein entsprechendes Softwarepaket eingerichtet. Die Mitarbeiter der Abteilung Design sind in allen anderen Abteilungen der Firma tätig, d.h., sie melden sich an verschiedenen Computern der Firma an und erhalten ihr Grafikprogramm automatisch installiert. Das Softwarepaket steht jedoch nur den Mitarbeitern dieser Abteilung zur Verfügung, andere erhalten es nicht. Sie möchten, dass die verteilte Software von allen Computern der Firma entfernt wird. Welche Aktionen müssen Sie durchführen? Wählen Sie alle Lösungen aus, die zutreffen: A. Sie erstellen eine neue *.msi-Datei, um die Software zu entfernen. B. Sie verknüpfen das ursprüngliche GPO für die Design-Abteilung mit allen Benutzern, deren Computer betroffen sein könnten. C. Sie erstellen ein neues GPO für die Design-Abteilung und stellen die Software bereit, die nur für die Computer der Design-Abteilung relevant ist. D. Sie bearbeiten das ursprüngliche GPO, das für die Mitarbeiter der Grafik-Abteilung ausgeführt wird, indem Sie den Knoten SOFTWAREINSTALLATION auswählen und die Option Software sofort von Benutzern und Computern deinstallieren anklicken. 13. Ihr Netzwerk besteht aus einer Domäne, die wie folgt in Organisationseinheiten unterteilt ist:

Abbildung 9.6: Aufteilung der Domäne in OUs

Die Benutzerkonten aller Netzwerkadministratoren sind in der OU NetAdmins zusammengefasst. Die Benutzerkonten der Führungskräfte sind der OU Leitung und die der restlichen Benutzer der OU Mitarbeiter angegliedert. Um den Benutzern Hilfestellungen zu geben, ist eine Gruppe Support eingerichtet worden. Der Gruppe Support wird erlaubt, Kennwörter von allen Benutzern zurückzusetzen, die nicht Mitglied von Administratoren und Leitung sind. Weitere administrative Privilegien erhält die Gruppe Support in der Domäne nicht. Wie müssen Sie vorgehen, um die gewünschten Berechtigungen zu delegieren? A. Sie delegieren den Task Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderungen für die OU Mitarbeiter. B. Sie delegieren den Task Erstellt, entfernt und verwaltet Benutzerkonten für das Domänenobjekt und aktivieren die Option Richtlinienvererbung deaktivieren für die OUs NetAdmins und Leitung. 654

9.1 Prüfungsfragen

9 – Testprüfung

C. Sie delegieren den Task Setzt Kennwörter für die inetOrgPerson zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung für das Domänenobjekt. Sie deaktivieren die Vererbungsberechtigungen für die OUs NetAdmin und Leitung. D. Sie delegieren den Task Liest alle Benutzerinformationen für die OU Mitarbeiter. 14. Ihr Netzwerk besteht aus einer Domäne. Die Abteilungen Verkauf und Vertrieb verwenden jeweils 5 Terminalserver und 2 Druckserver. Sie möchten eine OU-Struktur erstellen, die es Ihnen erlaubt, verschiedene Richtlinien auf Computern zu verwenden. Einige Einstellungen sollen auf alle Server von Marketing und Verkauf angewendet werden. Andere Einstellungen sollen nur auf den Servern von Verkauf ausgeführt werden. Diese Einstellungen sollen nicht von anderen Richtlinieneinstellungen überschrieben werden. Andere Einstellungen sollen jedoch auf allen Servern in jeder Abteilung ausgeführt werden. Sie müssen weiterhin die Anzahl der OUs minimieren. Gleiches gilt auch für die Anzahl von GPOs und deren Verknüpfungen. Sie möchten sich gleichermaßen die Administration erleichtern. Sie suchen nach einer Lösung, die Ihre Anforderungen am besten erfüllt. Welche der folgenden OU-Strukturen sollten Sie erstellen?

Abbildung 9.7: Lösung A

Abbildung 9.8: Lösung B

9.1 Prüfungsfragen

655

MCSE Examen 70-294

Abbildung 9.9: Lösung C

15. Sie sind für die Planung der Betriebsmasterrollen in Ihrer Firma zuständig, die eine Stammdomäne und zwei untergeordnete Domänen besitzt. Sie müssen entscheiden, auf welchem Server Sie die Rolle des Infrastrukturmasters platzieren müssen. Auf welchen Server können Sie diese Rolle setzen? Wählen Sie die beste Lösung. A. Auf Server01, der bereits 4 der anderen Betriebsmasterrollen hostet. Zudem führt dieser Server auch den globalen Katalog aus. B. Auf Server02, der bereits die Rolle des RID-Masters ausführt. Zudem ist dieser Server auch als bevorzugter Bridgeheadserver konfiguriert. Der Server02 hat eine direkte Verbindung zum Server01. C. Auf Server03, der keine weiteren Rolle ausführt, der aber über eine relativ langsame WAN-Verbindung angeschlossen ist. D. Auf Server04, der nur die Rolle des globalen Katalogs ausführt. Er ist über eine schnelle Leitung mit dem Server01 verbunden. 16. Sie verwalten eine Domäne, die bereits aus 2 Domänencontrollern besteht. Die beiden Domänencontroller befinden sich im Standort Wien. Ihre Firma expandiert und möchte eine Filiale in München errichten. Sie besitzen zwar eine schnelle DSL-Leitung zwischen den Standorten, entscheiden sich jedoch aus Gründen der Ausfallsicherheit für einen Domänencontroller im Standort München. Der Standort in München ist relativ klein. Daher haben Sie einen Mitarbeiter, der die Verwaltung der Benutzer vor Ort nur in Teilzeit durchführt. Die hauptsächliche Verwaltung der Domäne müssen Sie aus Wien durchführen. Wie können Sie vorgehen, um einen weiteren Domänencontroller in München zu installieren? Wählen Sie alle Vorschläge aus, die die Aufgabe lösen: A. Sie installieren im Standort München einen DNS-Server, um die Namensauflösung zu optimieren. Sie führen Dcpromo aus und wählen die Option Domänencontroller für eine neue Domäne. Anschließend stellen Sie sicher, dass die Replikation zwischen dem neuen Domänencontroller und dem Stammdomänencontroller erfolgreich ist.

656

9.1 Prüfungsfragen

9 – Testprüfung

B. Sie tragen in den Eigenschaften der Netzwerkkarte des Mitgliedsservers in München seine eigene IP-Adresse als bevorzugten DNS-Server ein. Sie führen dann den Befehl Dcpromo aus und installieren gleichzeitig einen DNS-Server, um die Namensauflösung innerhalb des Standorts München sicherzustellen. C. Sie tragen in den Eigenschaften der Netzwerkkarte des Mitgliedsservers in München einen DNS-Server aus dem Standort Wien ein. Sie führen anschließend in den späten Nachmittagsstunden den Befehl Dcpromo aus und wählen die Option Zusätzlicher Domänencontroller für eine bestehende Domäne. D. Sie führen den Befehl Dcpromo /adv aus und verwenden die Option Von folgenden wiederhergestellten Sicherungsdateien kopieren. 17. Sie arbeiten für eine Firma, die Standorte in Bern, Berlin, London und Zürich unterhält. Die Firma hat eine Domäne namens firma.com. Die Standorte sind alle über Standortverknüpfungsbrücken miteinander verbunden. Es existiert ebenfalls eine Standortverknüpfungsbrücke, die alle Verknüpfungen umfasst. Sie haben zunächst alle Standardwerte beibehalten. Zum Testen einer Anwendung haben Sie ein Benutzerkonto erstellt, das keine administrativen Privilegien besitzt. Sie haben das Benutzerkonto in Berlin auf einem dortigen Domänencontroller erstellt. Sie reisen am nächsten Tag nach London und versuchen, sich mit diesem Konto anzumelden, was leider nicht funktioniert. Sie beginnen mit der Fehlersuche. Welche der folgenden Maßnahmen müssen Sie ergreifen? A. Sie erstellen mit der Konsole Active Directory-Benutzer und -Computer in London ein neues Benutzerkonto mit demselben Namen und den gleichen Eigenschaften wie in Berlin. B. Sie ändern mit Hilfe des Dienstprogramms Repadmin den Replikationspartner von Berlin auf Zürich. C. Sie erzwingen die Replikation über die Konsole Active Directory-Standorte und -Dienste im Knoten INTER-SITE-TRANSPORTS/IP. Dort klicken Sie auf die Standortverknüpfung DEFAULTIPSITELINK und erzwingen eine Replikation. D. Sie erzwingen die Replikation über die Konsole Active Directory-Standorte und -Dienste im Objekt . 18. Sie sind Domänen-Administrator einer Firma, die über drei Domänen in einer Domänenstruktur verfügt. Sie haben nun Ihre neue Mitarbeiterin Christina beauftragt, Attribute so zu ändern, dass sie in den globalen Katalog repliziert werden. Welche Schritte müssen Sie durchführen? A. Sie fügen Christinas Benutzerkonto zu der Gruppe Schema-Admins hinzu B. Sie erhöhen die Domänenfunktionebene auf Windows Server 2003. C. Sie führen folgenden Befehl an Christinas Clientcomputer aus: regsvr 32 schmmgmt.dll. D. Sie führen das Dienstprogramm Ntdsutil aus, um Änderungen am globalen Katalog zu erwirken. 19. Sie besitzen zwei Standorte: Bonn und Hamburg. In jedem Standort befinden sich jeweils zwei Domänencontroller, die Anmeldeaufgaben übernehmen. Die Mitarbeiter reisen sehr selten zwischen den Standorten. Sie erstellen einen neuen Benutzer auf einem Domänen-

9.1 Prüfungsfragen

657

MCSE Examen 70-294

controller im Standort Bonn. Der betreffende Benutzer meldet sich am Standort Bonn erfolgreich an seiner Arbeitsstation an. Nach einer Woche muss dieser Benutzer nach Hamburg reisen und meldet sich an dort an seiner Domäne an. Die Anmeldung schlägt fehl. Sie überprüfen sofort die Netzwerkverbindung zum Standort Bonn, die allerdings in Ordnung ist. Sie überprüfen mit der Konsole Active Directory-Standorte und -Dienste die Verbindungsobjekte des Servers in Bonn, um eine Replikation zu erzwingen. Sie beobachten, dass in den NTDS-Settings nur ein Verbindungsobjekt vorhanden ist. Wie gehen Sie vor, um den Fehler zu diagnostizieren und zu beheben? Wählen Sie alle möglichen Lösungsvorschläge aus: A. Sie führen das Dienstprogramm Dsastat aus. B. Sie tun nichts: Sie warten das Wartungsintervall des betriebssystem-internen Dienstes KCC ab, der dann automatisch ein neues Verbindungsobjekt erstellt. C. Sie löschen das betreffende Serverobjekt in der Konsole Active Directory-Standorte und -Dienste und erstellen es neu, um auch das fehlende Verbindungsobjekt wiederherzustellen. D. Sie klicken auf das Objekt NTDS-Settings und führen im Kontextmenü des Objekts Alle Tasks/Replikationstopologie aus. 20. Sie sind Sicherungsadministrator einer großen Firma, die über 20 Standorte verteilt ist und 5 Domänen unterhält. Sie haben die Aufgabe, den Domänencontroller DC-12 zu verwalten. Sie führen eine tägliche Sicherung der Active Directory-Datenbank durch. Durch einen technischen Defekt haben Sie nur Sicherungsbänder zur Verfügung, die Sie vor genau einer Woche erstellt haben. Zufällig meldet gerade in diesem Augenblick der Domänencontroller DC-12 einen schwerwiegenden Fehler in Active Directory. Sie entscheiden sich, eine Wiederherstellung mit Ihrem jüngsten Band durchzuführen. Nach der Wiederherstellung wundern Sie sich, dass Ihre vormals gelöschten Objekte nicht mehr gelöscht sind. Welche Ursache ist am wahrscheinlichsten? A. Das tombstoneLifetime-Attribut beträgt 6 Tage und die garbageCollPeriod 36 Stunden. B. Das tombstoneLifetime-Attribut beträgt 6 Tage und die garbageCollPeriod 12 Stunden. C. Das tombstoneLifetime-Attribut beträgt 7 Tage und die garbageCollPeriod 6 Stunden. D. Das tombstoneLifetime-Attribut beträgt 12 Stunden und die garbageCollPeriod 6 Tage. 21. Sie administrieren eine Domäne, die sich über 2 Standorte erstreckt. In den Standorten befinden sich jeweils zwei Domänencontroller. Die Standorte sind über ein Glasfasernetzwerk miteinander verbunden. In dem ersten Standort befindet sich der Stammdomänencontroller. Die Betriebsmasterrollen haben Sie seit der Einrichtung der Domäne nicht verändert. Wegen eines Hardwarefehlers müssen Sie den Stammdomänencontroller herunterfahren und ausstellen. Zum gleichen Zeitpunkt erstellt ein Administrator am zweiten Standort eine OU mit mehreren Benutzer- und Gruppenkonten. Nach Einrichtung einiger Konten bemerkt er, dass sich keine Benutzerkonten mehr einrichten lassen. Wie kann der Fehler behoben werden?

658

9.1 Prüfungsfragen

9 – Testprüfung

A. Sie beschleunigen die Reparatur des Stammdomänencontrollers. B. Sie verwenden den Befehl dsquery server -hasfsmo rid auf dem Domänencontroller des zweiten Standorts. C. Sie verschieben die Betriebsmasterrolle des RID-Masters zu einem Domänencontroller, der aktiv ist. D. Sie überschreiben mit dem Befehl Ntdsutil den RID-Master auf einen anderen Domänencontroller und setzen die Reparatur des Stammdomänencontrollers fort. 22. Die Firma TransAtlantik hat ihren Hauptsitz in Hamburg und je eine Filiale in New York und Bilbao. Die lokalen Administratoren der Zweigstellen müssen Benutzer und lokale Ressourcen verwalten. Es soll jedoch verhindert werden, dass die lokalen Administratoren Ressourcen der anderen Zweigstelle verwalten können. Sie sind Consultant und müssen nach dieser Kundenvorgabe eine Active Directory-Struktur implementieren. Wie sollten Sie vorgehen? A. Sie fügen alle lokalen Administratoren der Gruppe Domänen-Admins hinzu. B. Sie erstellen eine Organisationseinheit auf oberster Ebene und delegieren die Verwaltung dieser Organisationseinheit an die Administratoren in Hamburg. C. Sie erstellen für alle Zweigstellen untergeordnete Organisationseinheiten und delegieren die Verwaltung jeder Organisationseinheit an die lokalen Administratoren in New York und Bilbao. D. Sie erstellen für jede Zweigstelle Benutzergruppen und gewähren den lokalen Administratoren die entsprechenden Berechtigungen zur Verwaltung von Benutzergruppen. E. Sie erstellen für alle Zweigstellen untergeordnete Organisationseinheiten und delegieren die Verwaltung dieser Organisationseinheiten an Administratoren in Hamburg. 23. Sie wollen einen Windows Server 2003, der als allein stehender Server konfiguriert ist, zum Domänencontroller heraufstufen. Ihr Computer besitzt 4 Festplatten, die zu zwei RAID-1Konfigurationen zusammengefasst sind. Zwei Festplatten haben eine Größe von 15 GBytes (erstes RAID-1) und zwei Festplatten eine Größe von 30 GBytes (zweites RAID-1). Die Bootpartition wurde auf dem ersten RAID mit 15 GBytes angelegt. Sie verwenden einen Hardware-RAID-Festplattencontroller, der die Verwaltung der Festplatten übernimmt. Sie wollen Active Directory für einen möglichst hohen Datendurchsatz optimieren. Wie gehen Sie vor? Wählen Sie alle zutreffenden Lösungsvorschläge aus: A. Sie installieren die Protokolldateien von Active Directory auf die zweite Festplatte. B. Sie installieren die Protokolldateien von Active Directory auf die erste Festplatte. C. Sie installieren Active Directory auf die Festplatte C. D. Sie ändern in den Eigenschaften der Netzwerkkarte die Eigenschaften von Datei- und Druckerfreigaben und wählen dort die Einstellung Datendurchsatz für Netzwerkanwendungen maximieren aus. E. Sie installieren Active Directory auf das erste Volume und das Verzeichnis SYSVOL auf das zweite.

9.1 Prüfungsfragen

659

MCSE Examen 70-294

24. Sie sind als Administrator für die Sicherheit der Computer und Server in Ihrer Firma zuständig. Sie möchten die Anmeldesicherheit in der Domäne durch eine Kontorichtlinie auf den Domänencontrollern erhöhen. Sie entschließen sich zu einer benutzerdefinierten Anpassung der Registrierung auf den Windows XP-basierten Clientcomputern. Wie können Sie mit möglichst geringem Aufwand eine benutzerdefinierte Gruppenrichtlinie erstellen? A. Sie konfigurieren eine ADM-Vorlage und fügen die Vorlage dem GPO Default Domain Controllers Policy hinzu. B. Sie konfigurieren eine INF-Vorlage und importieren die Vorlage in das lokale Gruppenrichtlinienobjekt des Domänencontrollers hinzu. C. Sie konfigurieren eine ADM-Vorlage und fügen die Vorlage dem GPO Default Domain Policy hinzu. D. Sie konfigurieren die Sicherheitsrichtlinie über den Gruppenrichtlinien-Editor. 25. Tom und Mike sind Administratoren eines Netzwerks. Sie betreuen unterschiedliche Standorte: Tom den Standort Hamburg, Mike den Standort London. Das Windows Server 2003-basierende Netzwerk besteht aus insgesamt vier Domänencontrollern: zwei befinden sich in Hamburg und zwei in London (siehe Tabelle 9.1). Domänencontroller

Standort

Funktion

Server01

Hamburg

Bevorzugter Bridgeheadserver

Server02

Hamburg

Voreinstellung

Server03

London

Voreinstellung

Server04

London

Voreinstellung

Tabelle 9.1: Serveraufstellung mit Funktion

Zur Optimierung der Replikation hat Tom einen Domänencontroller in Hamburg eingerichtet, der als bevorzugter Bridgeheadserver fungiert. Mike hat dagegen nur den Standort (Subnetz, Standort, Domänencontroller) eingerichtet, ohne eine weitere Konfiguration vorzunehmen. Ein Computervirus verursacht zur gleichen Zeit einen Ausfall von Server01 und Server03. Welche Auswirkung hat dies für die Replikation in den Standorten? Wählen Sie alle möglichen Antworten aus: A. Im Standort Hamburg fällt die Replikation aus, da der bevorzugte Bridgeheadserver ausgefallen ist. B. Im Standort London fällt die Replikation aus, da der bevorzugte Bridgeheadserver ausgefallen ist. C. Im Standort London fällt die Replikation aus, da der Server03 ausgefallen ist.

660

9.1 Prüfungsfragen

9 – Testprüfung

D. Der Standort London kann theoretisch eine Replikation durchführen, da jedoch das Verbindungsobjekt in Hamburg ausgefallen ist, kann keine Replikation durchgeführt werden. E. Eine Replikation zwischen Hamburg und London kann stattfinden, da beide Reservedomänencontroller die Rolle des Bridgeheadservers übernehmen. 26. Sie betreuen eine Domäne mit der folgenden Struktur (siehe Abbildung 9.10):

Abbildung 9.10: OU-Struktur der TransNet

Sie müssen eine Richtlinie für Softwareverteilung einrichten, die unternehmensweit ein Softwarepaket für Mitarbeiter der Supportabeilung – mit Ausnahme von Mitarbeitern in Düsseldorf und Barcelona – zur Verfügung stehen soll. Wie gehen Sie möglichst effektiv vor? A. Sie erstellen ein Gruppenrichtlinienobjekt und verknüpfen es mit den jeweiligen OUs, die für eine Softwareverteilung in Frage kommen. B. Sie erstellen ein Gruppenrichtlinienobjekt und verknüpfen es mit den jeweiligen OUs, mit Ausnahme von Düsseldorf und Barcelona. Für die GPOs in Düsseldorf und Barcelona stellen Sie die Einstellung Kein Vorrang ein. C. Sie erstellen ein Gruppenrichtlinienobjekt und verknüpfen es mit der Domäne. In den OUs Düsseldorf und Barcelona stellen Sie die Einstellung Richtlinienvererbung deaktivieren ein. D. Sie erstellen ein Gruppenrichtlinienobjekt für Düsseldorf und Barcelona, das die Einstellungen zur Softwareverteilung außer Kraft setzt. 27. Sie konfigurieren und warten einen Schulungsraum. Es soll verhindert werden, dass die Teilnehmer in den Seminaren auf die Netzwerkumgebung zugreifen und Einstellungen in der Systemsteuerung im Programm (Icon) System tätigen können. Trainer und Supportpersonal sollen allerdings uneingeschränkten Zugriff auf die Computer erhalten.

9.1 Prüfungsfragen

661

MCSE Examen 70-294

Wie können Sie diese Aufgabe ausführen? A. Sie fügen die Gruppe Teilnehmer zur Zugriffssteuerungsliste der Gruppenrichtlinie hinzu und deaktivieren dort die Gruppe Trainer und Support. B. Sie erteilen den Gruppen Trainer und Support in der Zugriffssteuerungsliste des GPOs die Berechtigung, Einstellungen in der Systemsteuerung im Programm (Icon) System vornehmen zu können. C. Sie erstellen zwei Gruppenrichtlinien: eine für Benutzer und die andere für Trainer und Support. Anschließend entfernen Sie jeweils die Gruppe Authentifizierte Benutzer aus der Liste der Benutzer, auf die die Gruppenrichtlinie angewendet werden soll. Sie setzen stattdessen bei der ersten Richtlinie die Gruppe der Benutzer hinzu und erteilen ihnen die Berechtigungen Lesen: Zulassen und Gruppenrichtlinie übernehmen: Zulassen. D. Sie erstellen in der betreffenden Organisationseinheit eine Gruppenrichtlinie für Teilnehmer. Sie entfernen die Gruppe Authentifizierte Benutzer aus der Liste der Benutzer, auf die die Gruppenrichtlinie angewendet werden soll. Sie fügen stattdessen die Gruppe Teilnehmer hinzu und geben ihr die Berechtigungen Lesen:Zulassen und Gruppenrichtlinie übernehmen:Zulassen. 28. Tom und Jerry sind Administratoren eines Netzwerks. Sie betreuen unterschiedliche Standorte: Tom den Standort Berlin, Jerry den Standort London. Das Windows Server 2003-basierende Netzwerk besteht aus insgesamt 4 Domänencontrollern: 2 befinden sich in Berlin und 2 in London (siehe Tabelle 9.2). Domänencontroller

Standort

Server01

Berlin

Server02

Berlin

Server03

London

Server04

London

Tabelle 9.2: Serveraufstellung mit Funktion

Abbildung 9.11: OU-Struktur

Beide Administratoren haben die Berechtigung, die OU MKT und deren untergeordnete OUs zu administrieren. Tom verschiebt die Gruppe Marketing Berlin II in die OU MKT und löscht die OU MKT II. Zur gleichen Zeit richtet Jerry in London einen Benutzer namens Susan in derselben OU ein und fügt diesen der Gruppe Marketing Berlin II hinzu.

662

9.1 Prüfungsfragen

9 – Testprüfung

Welche Auswirkungen hat diese Situation? A. Der Benutzer Susan wird von Active Directory in die OU LostAndFound gesetzt. B. Der Benutzer Susan wird automatisch von Active Directory gelöscht, da nach einem Abgleich der Domänencontroller erkannt wird, dass die OU MKT II gelöscht wurde. C. Die OU MKT II wird von Active Directory wiederhergestellt, nachdem erkannt worden ist, dass hier eine Inkonsistenz besteht. Das Konto von Susan wird außerdem noch deaktiviert. D. Der Benutzer Susan wird in den Container LostAndFound gesetzt, und alle ihre Gruppenmitgliedschaften bleiben erhalten. 29. Sie verwalten ein Windows Server 2003-basiertes Netzwerk und möchten ein Softwarepaket mithilfe einer Gruppenrichtlinie zuweisen. Sie möchten außerdem, dass nur die Gruppe Buchhaltung dieses Softwarepaket erhält. Das Softwarepaket hat das normale Windows Installer-Format. Sie benötigen jedoch ein Softwarepaket, das nur einige Funktionen des ursprünglichen Softwarepakets enthält. Welche Art von Installationsdateien benötigen Sie? Geben Sie zwei Lösungen an. A. Eine Installer-Datei mit der Endung *.msi. B. Eine Installer-Datei mit der Endung *.zap. C. Eine Installer-Datei mit der Endung *.msp. D. Eine Installer-Datei mit der Endung *.mst. 30. Sie sind Administrator und haben die Aufgabe, die tägliche Sicherung der drei Domänencontroller in Ihrer Firma vorzunehmen. Ihr Sicherungsplan weist folgende Merkmale auf (siehe Tabelle 9.3): Domänencontroller

Standort

Sicherungsart

Server01

Dortmund

Tägliche Sicherung um 24 Uhr

Server02

Dortmund

Wöchentliche Sicherung am Sonntag um 18 Uhr

Server03

Essen

Wöchentliche Sicherung am Mittwoch um 20 Uhr

Tabelle 9.3: Sicherungsplan der Domänencontroller

Die Domänencontroller Server01 und Server02 befinden sich im Standort Dortmund, während sich der Server03 im Standort Essen befindet. Zwischen den Standorten findet alle 180 Minuten eine Replikation statt. Sie verwalten außerdem auch alle Objekte in Active Directory. Sie haben am Montag aus Versehen die OU Vertrieb West auf dem Domänencontroller Server03 gelöscht. Die OU Vertrieb West ist eine OU, die bereits seit einem Jahr besteht. Erst am Dienstagmorgen, nachdem Sie eine Vielzahl von Benutzern erstellt haben, bemerken Sie Ihren Fehler. Was müssen Sie tun, um das Löschen rückgängig zu machen und die aktuellste Version von Active Directory zu erhalten? Sie möchten weiterhin den Aufwand der Wiederherstellung so gering wie möglich halten.

9.1 Prüfungsfragen

663

MCSE Examen 70-294

A. Sie führen eine autorisierende Wiederherstellung vom Domänencontroller Server01 durch, indem Sie eine nicht autorisierende Wiederherstellung ausführen und anschließend über das Dienstprogramm Ntdsutil das gelöschte Objekt wiederherstellen. B. Sie führen eine nicht autorisierende Wiederherstellung vom Domänencontroller Server01 durch. C. Sie führen eine nicht autorisierende Wiederherstellung vom Domänencontroller Server03 durch und führen das Dienstprogramm Ntdsutil aus, um das gelöschte Objekt wiederherzustellen. D. Sie führen eine autorisierende Wiederherstellung vom Domänencontroller Server03 durch. 31. Sie sind Administrator eines Netzwerks, das aus Windows Server 2003-Domänencontrollern besteht. Weiterhin haben Sie noch einen Windows NT-Druckserver, an dem sechs Drucker angeschlossen sind. Sie möchten, dass diese Drucker auch in Active Directory veröffentlicht werden, damit Benutzer sich mit diesen verbinden können. Wie können Sie vorgehen? Wählen Sie alle zutreffenden Lösungsvorschläge aus. A. Sie überprüfen, ob sich der Druckserver im gleichen Subnetz befindet wie die Clientcomputer. Sie erstellen eine Gruppenrichtlinie mit der Einstellung Druckerstandortsuchtext im Vorhinein ausfüllen. B. Sie überprüfen, dass auf dem Druckserver der Windows Scripting Host installiert ist. Sie führen dann mit Hilfe des WSH das Skript Pubprn aus. C. Sie veröffentlichen den Drucker in Active Directory, indem Sie ein neues Druckerobjekt erstellen. D. Sie bearbeiten die DACL des freigegebenen Druckers in Active Directory derart, dass nur Benutzer drucken dürfen, die auch dazu berechtigt sind. 32. Sie administrieren eine Firma, die bereits über eine Active Directory-Infrastruktur verfügt. Eine externe Consultant-Firma hat Ihr Firmennetzwerk in fünf Domänen unterteilt. Sie verwenden unternehmensweit Microsoft Exchange 2000 Server. Unter diesen Domänen befinden sich zwei NT-4.0 Domänen. Auf einem Windows NT 4.0-Server läuft eine wichtige Windows NT-Applikation, die in die Verzeichnisdienste von NT integriert ist. Die Domänen sind über jeweils eine externe Vertrauensstellung an die Windows 2000 Server-Domänen Bern und Berlin angeschlossen. Sie möchten Ihre Firmeninfrastruktur aktualisieren und alle Features von Windows Server 2003 ausnutzen. A. Sie aktualisieren die Windows 2000 Server-Domänen zu Windows Server 2003-Domänen und stellen die Domänenfunktionsebene Windows Server 2003 ein. B. Sie aktualisieren die Windows 2000 Server-Domänen zu Windows Server 2003-Domänen und aktualisieren die Domänenfunktionsebene auf Windows 2000 pur. C. Sie aktualisieren die Windows 2000 Server- und die Windows NT 4.0-Domänen zu Windows Server 2003-Domänen und aktualisieren die Domänenfunktionsebene auf Windows Server 2003.

664

9.1 Prüfungsfragen

9 – Testprüfung

D. Sie migrieren die Windows NT 4.0-Domäne in die bestehende Windows 2000Domäne und aktualisieren anschließend Active Directory auf Windows Server 2003. Danach setzen Sie die Domänenfunktionsebene auf Windows Server 2003. 33. Sie möchten unter der bestehenden Stammdomäne dunkel.de eine neue Domänenstruktur einrichten (siehe Abbildung 9.12).

Abbildung 9.12: Geplante Gesamtstruktur der Firma Licht & Dunkel

Welche Aussagen sind hinsichtlich der Planung richtig? A. Die in der Gesamtstruktur enthaltenen Domänen sind zwar voneinander unabhängig, können jedoch über Vertrauensverhältnisse innerhalb der Gesamtstruktur kommunizieren. B. Die Anzahl der Namensräume ist nur auf zwei beschränkt. C. Sie benötigen für die zwei Namensräume auch zwei globale Katalogserver. D. Sie benötigen für jeden Namensraum zwei eigenständige und voneinander unabhängige DNS-Server. E. Für eine erhöhte Sicherheit ist eine SID-Filterung zwischen den Domänenstrukturen eingestellt. F. Sie können zur Namensauflösung BIND-Server mit der Version 8.1.2 oder höher verwenden. 34. Sie sind Administrator einer Organisationseinheit (OU) und verändern ein Gruppenrichtlinienobjekt, das mit Ihrer OU verknüpft ist. Welche Maßnahmen müssen Sie ergreifen, damit die Änderung auf Clientcomputern, Mitgliedsservern und Domänencontrollern aktiv wird? Wählen Sie alle zutreffenden Lösungsvorschläge aus. A. Sie führen auf einem Mitgliedsserver den Befehl GPUpdate.exe aus. B. Sie warten auf einem Mitgliedsserver 15 Minuten. C. Sie warten auf einem Mitgliedsserver 90 Minuten. D. Sie führen auf einem Domänencontroller den Befehl Gpresult.exe aus. E. Sie warten auf einem Domänencontroller 5 Minuten. F. Sie warten auf einem Domänencontroller 15 Minuten.

9.1 Prüfungsfragen

665

MCSE Examen 70-294

35. Die Geschäftsleitung beauftragt Sie als Domänenadministrator der Firma Machtnix , ein neues Richtlinienkonzept zu erarbeiten. Machtnix besteht aus einer Domäne mit dem Domänennamen machtnix.de. Sie besteht aus folgenden sieben OUs (siehe Abbildung 9.13):

Geschäftsleitung Verkauf mit Verkauf Ersatzteile und Verkauf Maschinen Produktion IT mit Helpdesk

In den OUs sind sowohl Gruppen- und Benutzerkonten als auch Computerkonten zusammengefasst.

Abbildung 9.13: Aufbau der Firma Machtnix.de

In der Domäne existieren bereits Gruppenrichtlinien bzw. GPOs:

Es existiert für die Domäne eine Kontorichtlinie, die von allen Benutzern verlangt, alle 30 Tage ihr Kennwort zu ändern. Der OU Geschäftsleitung wird ein Softwarepaket über eine Routenplanung veröffentlicht. Mit der OU Verkauf ist ein GPO verknüpft, das ein Anmeldeskript startet, um alle notwendigen Verkauf-Links im Intranet und Internet darzustellen. Den Computern in der OU Verkauf wird ein Office-Paket zugewiesen.

Der Geschäftsführer hat beim Golfen erfahren, dass die Gefahr von Viren und Trojanischen Pferden sehr hoch ist und dass dadurch vermutlich Betriebsgeheimnisse an einen Mitbewerber gelangt sind. Der Geschäftsführer bittet Sie, geeignete Maßnahmen zu ergreifen. Sie haben zudem entdeckt, dass Mitarbeiter der Abteilung Produktion unerlaubt Software vom Internet herunterladen und auf Clientcomputern der Firma installieren.

666

9.1 Prüfungsfragen

9 – Testprüfung

Sie entschließen sich zu Folgendem:

Sie verschärfen die Sicherheitsrichtlinien für die ganze Firma. Sie erwerben ein Antivirenprogramm für Workstations und möchten es auf allen Clients verteilen. Sie wollen die Richtlinien für Softwareeinschränkung einsetzen.

Sie führen folgende Schritte durch:

Sie ändern das GPO, das mit der Domäne verknüpft ist, indem Sie die Vorlage Hisecdc.inf importieren. Sie erstellen für die OU Produktion eine Richtlinie für Softwareeinschränkung in einem neuen GPO namens GPO Produktion, das Dateianhänge von E-Mails über Outlook XP nicht zulässt. Sie erstellen hierfür eine entsprechende Pfadregel. Sie verknüpfen dieses GPO mit der OU Produktion. Sie erstellen anschließend in GPO Produktion im Knoten INTERNET-EXPLORER-WARTUNG/SICHERHEIT eine Richtlinie, die ein Herunterladen von Software nicht erlaubt. Gleichzeitig stellen Sie ein, dass Benutzer keine Einstellungen an den Sicherheitszonen vornehmen können. Sie verknüpfen das GPO mit der Domäne. Sie erstellen ein weiteres Gruppenrichtlinienobjekt und konfigurieren im Knoten COMPUTERKONFIGURATION/SOFTWAREEINSTELLUNGEN die Softwareinstallation derart, dass allen Computern der Domäne das Antivirenprogramm zugewiesen wird.

Welche der erwähnten Anforderungen wurde durch Ihre Lösung erfüllt? Wählen Sie alle zutreffenden aus. A. Auf allen Computern in der Domäne wurde das Antivirenprogramm erfolgreich installiert. B. Alle Benutzer erhalten die gleichen Kennwortrichtlinien und die gleichen Kontosperrungsrichtlinien. C. Ein Benutzerkonto ist nach fünf ungültigen Anmeldeversuchen gesperrt. Nur ein Administrator kann die Sperrung wieder aufheben. D. Benutzer aus der Abteilung Produktion können keine Software mehr über den Internet-Explorer herunterladen. E. Benutzer aus der Abteilung Produktion können keine Dateianhänge über Outlook XP öffnen. F. Die neuen GPOs bzw. Richtlinien setzen die alten nicht außer Kraft. G. Administratoren aus der IT-Abteilung können uneingeschränkt ihrer Verwaltungstätigkeit nachgehen. H. Mitarbeiter des Vertriebs können uneingeschränkt ihrer Tätigkeit nachgehen.

9.1 Prüfungsfragen

667

MCSE Examen 70-294

9.2

Antworten auf die Prüfungsfragen

Nachfolgend finden Sie die Lösungen zu den Prüfungsfragen aus Kapitel 9.1. 1. D. Um das RSoP im Protokolliermodus ausführen zu können, muss sich der Benutzer mindestens einmal auf dem betreffenden Computer angemeldet haben. Das RSoP stellt keine Abfrage an Active Directory, sondern an die CIMOM-Datenbank. Die Antwort A ist unsinnig. Die Antworten B und C sind falsch, denn wenn der Computer von Mike nicht Mitglied der Domäne wäre oder keine Verbindung zum Domänencontroller hätte, erhielten Sie die Meldung, dass der RPC-Server nicht verfügbar wäre. Weitere Informationen finden Sie in Kapitel 7.4. 2. A, B, C. Gruppenrichtlinieneinstellungen können nur ab Computern mit dem Betriebssystem Windows 2000 eingerichtet werden. Demnach können Sie für die Computer unter D, E, F Systemrichtlinien einrichten (die allerdings voreingestellt deaktiviert sind). Weitere Informationen finden Sie in Kapitel 7.2.2. 3. B. Eine weitere Domänenstruktur ist dadurch charakterisiert, dass sie zwar der Stammdomäne untergeordnet ist, sich jedoch nicht den gleichen Namensraum mit der Stammdomäne teilt. Antwort A beschreibt die Einrichtung einer untergeordneten Domäne, da sich diese den gleichen Namensraum mit der Stammdomäne teilt. Es liegt somit keine weitere Domänenstruktur vor. Antwort C beschreibt eine Domäne in einer anderen Gesamtstruktur und ist wie Antwort D hier unsinnig. Weitere Informationen finden Sie in Kapitel 3.2. 4. B. Antwort B ist richtig, da Prä-Windows 2000-Computer Änderungen des Kennworts am PDC-Emulator durchführen. Sie verwenden hierfür keine eventuell vorhandenen NT-Sicherungsdomänencontroller. Antwort A ist falsch, da ein Infrastrukturmaster die Änderungen in der Gruppenmitgliedschaft oder das Verschieben von Benutzerkonten verwaltet. Die Antwort C ist genauso falsch, weil das Konto nicht gesperrt sein kann, denn es wird nach einem Wechsel des Kennworts gefragt. Wäre das Konto gesperrt, könnte der Benutzer sich nicht anmelden. Antwort D würde katastrophale Folgen für die Windows NT/Windows 2000/Windows Server 2003-Domäne haben: Diese Einstellung dürfen Sie nur verwenden, wenn Sie keine Windows NT 4.0-Domänencontroller in der Domäne einsetzen. Weitere Informationen finden Sie in Kapitel 4.3. 5. C, F. Sie erstellen eine Standortverknüpfung zwischen zwei Standorten, um den Replikationsverkehr zu optimieren. Über die Standortverknüpfung können Sie die Replikationszeiten steuern. Sie wählen als Transport das SMTP, da die ISDN-Leitung nach Warschau keine hohe Bandbreite besitzt und zurzeit als unsicher gelten kann. Die Antworten A und B sind unsinnig, da eine ISDN-Leitung nicht derart konfiguriert werden kann. Die Antworten D und E sind falsch, da das Verbindungsobjekt per Voreinstellung eine Replikation über RPC durchführt. Weitere Informationen finden Sie in Kapitel 4.4. 668

9.2 Antworten auf die Prüfungsfragen

9 – Testprüfung

6. A, C, D, F. Antwort B ist falsch, da Users nicht eine OU ist, sondern nur ein Container. Die Antwort E ist ebenso falsch, da sich die Datei ntds.dit im Verzeichnis %systemroot%\NTDS befindet. Antwort G ist falsch, da die Datei boot.ini zum Starten des Servers verwendet wird. Besonders die Datei dcpromo.log bietet Ihnen Informationen zur Installation eines Domänencontrollers. Auch die Überprüfung des DNS-Servers ist wichtig, denn es müssen für jede Stammdomäne zwei Forward-Lookupzonen (hier: Export-Meier.de und _msdcs.export-meier.de) erstellt werden. Weitere Informationen finden Sie in Kapitel 3.5.2. 7. A, D. Zwischen zwei Active Directory-Domänen innerhalb einer Domänenstruktur besteht immer eine Überordnungs-Unterordnungs-Vertrauensstellung. Sie verwenden eine externe Vertrauensstellung, um den Zugriff auf Ressourcen einer Domäne innerhalb einer separaten Gesamtstruktur oder auf eine Windows NT 4.0-Domäne zu ermöglichen. Die Antwort E ist falsch, da Sie eine Bereichsvertrauensstellung dann verwenden, wenn eine Vertrauensstellung zwischen einer Windows Server 2003-Domäne und einem NichtMicrosoft-Windows-Kerberos-Bereich (beispielsweise von Linux oder anderen UnixImplementierungen) hergestellt werden soll. Eine Gesamtstrukturvertrauensstellung kann nur unter zwei Gesamtstrukturen hergestellt werden, die unter Windows Server 2003 laufen. Daher ist Antwort C falsch. Die Antwort B ist falsch, da es sich nicht um Active Directory-Domänen innerhalb einer Domänenstruktur handelt. Weitere Informationen finden Sie in Kapitel 3.3.4. 8. C. Die Antwort C ist richtig, da nur diese Lösung eine maximale Ausfallsicherheit garantiert. Würden Sie einen oder zwei globale Kataloge in einem Standort platzieren, müssten Benutzer des anderen Standorts (und der anderen Domäne) eine Anfrage über die langsame ISDN-Strecke zum globalen Katalogserver stellen. Dies widerspricht der Anforderung nach minimalen Reaktionszeiten. Antwort D macht dann Sinn, wenn in einem Standort (und einer Domäne) wenige Benutzer platziert sind und diese sich nur anmelden. Da die Aufgabenstellung jedoch lautet, globale Katalogserver zu verwenden (da vermutlich ein Messaging-System wie Exchange verwendet wird), ist die Antwort D deshalb falsch, weil sie an den Anforderungen »vorbeigeht«. Weitere Informationen erhalten Sie im Kapiteln 3.3.7, 3.4.7 und 4.4.7. 9. Sie müssen folgende Richtlinieneinstellungen tätigen:

Abbildung 9.14: Kontorichtlinieneinstellungen (Weitere Informationen finden Sie in Kapitel 7.5.1)


669

MCSE Examen 70-294

10. C. Es liegt ein domänenübergreifender Zugriff vor. Bei einer Gesamtstrukturvertrauensstellung kann nur die Antwort C passen, da alle anderen nicht zu der Gruppenstrategie von Microsoft passen. Gehen Sie immer wie folgt vor: 1. Erstellen Sie Benutzerkonten. 2. Fügen Sie Benutzer(konten) in globale Gruppen ein. 3. Fügen Sie die globale Gruppe in eine universelle Gruppe ein. 4. Fügen Sie die universelle Gruppe in eine lokale Domänengruppe ein. 5. Weisen Sie der lokalen Domänengruppe Ressourcenberechtigungen zu. Verwenden Sie zum Beispiel folgende Gedächtnisstütze: B G U DL für Benutzer in Global, in Universal, in Domänen-Lokal. Weitere Informationen finden Sie in Kapitel 5.3.2. 11. C. Das Tool Richtlinienergebnissatz bietet Ihnen die besten Ergebnisse von angewendeten Richtlinien auf OUs. Die Antwort A ist falsch, da Sie mit dem Tool Gpotool Replikationsprobleme bei Gruppenrichtlinien ermitteln können, jedoch keine Simulation von Gruppenrichtlinienergebnissen. Antwort B ist falsch, da eine Überwachung nicht in der Ereignisanzeige angezeigt wird. Antwort D ist Unsinn, da es diese Funktion so nicht gibt. Weitere Informationen zum Richtlinienergebnissatz erhalten Sie in Kapitel 7.4. 12. B, D. Damit eine Änderung auf den betroffenen Computern durchgeführt werden kann, müssen Sie zuerst das ursprüngliche Gruppenobjekt, das Auswirkungen auf die entsprechenden Benutzer hat, mit einer Domäne (auch Standort) oder OU verknüpfen. Damit die Software wieder von den Computern entfernt wird, muss die Option Software sofort von Benutzern und Computern deinstallieren aktiviert sein. Die Antwort A ist falsch, da kein neues Microsoft Installer-Paket erstellt werden muss. Die Antwort C trifft ebenfalls nicht zu, da diese Einstellung nicht bewirkt, dass die Software auf Computern außerhalb der Design-Abteilung entfernt wird. Weitere Informationen erhalten Sie in den Kapiteln 7.2 und 7.3. 13. A. Dadurch, dass die Konten der Sicherheitsgruppe Administratoren in der OU NetAdmins und die Konten der Führungskräfte in der OU Leitung bereits in OUs separiert wurden, ist es nicht erforderlich, der Domäne ein GPO zuzuweisen und mit irgendeiner Blockierung von Richtlinien zu arbeiten. Daher sind die Antworten B, C und D falsch. Sie sind auch deshalb nicht richtig, da die Tasks nicht der Aufgabenstellung genügen. Weitere Informationen erhalten Sie in Kapitel 6.2.2. 14. A. Die Antwort A ist richtig, da Gruppenrichtlinien mit den Objekten verknüpft werden müssen, in die die Computer oder Benutzer integriert sind. Sie können GPOs nur mit Standorten, Domänen oder OU-Objekten verknüpfen. Falls Sie ein GPO mit einem, in der Hierarchie höher gelegenen Objekt verknüpfen, werden sich die Gruppenrichtlinieneinstellungen vom höheren zu niedrigeren Objekten vererben, es sei denn, Sie verhindern 670


9 – Testprüfung

diese Vererbung mit der Einstellung Richtlinienvererbung deaktivieren (engl. Block Policy inheritance). Damit Richtlinien im Einzelfall nicht überschrieben werden können, können Sie mit der Einstellung Kein Vorrang das Deaktivieren von Richtlinienvererbungen in untergeordneten Objekten verhindern. Mit diesen beiden Sondereinstellungen vereinfachen Sie jedoch nicht die Administration, wie in der Aufgabenstellung gewünscht ist. Mit Hilfe dieser Einstellungsmöglichkeiten können Sie theoretisch jeden Lösungsvorschlag benutzen, um die Aufgabe zu lösen. Suchen müssen Sie nach einem Modell, in dem möglichst keine Sondereinstellungen verwendet werden! Es war auch verlangt, die Anzahl der GPOs, die Anzahl der Verknüpfungen und die Anzahl der OUs zu minimieren! Sie haben die Wahl zwischen Strukturen mit 2 oder 3 Ebenen. Da jedoch gefordert ist, die Anzahl der GPOs und deren Verknüpfungen zu minimieren, sollten Sie eine Top-LevelOU erstellen, in dem alle Server platziert sind. Die Abteilungsfunktionen sollten Sie hingegen an das unterste Ende der Hierarchie setzen. Durch die normale Vererbungsstrategie verkleinern Sie somit die Anzahl der Verknüpfungen auf 5 bei der Verwendung von 4 GPOs (Server, Terminal, Drucken und Vertrieb). Bei allen anderen Lösungsvorschlägen ist die Anzahl der GPOs höher oder Sie arbeiten mit Kein Vorrang bzw. Richtlinienvererbung deaktivieren. Weitere Informationen zum Thema Gruppenrichtlinien erhalten Sie im Kapitel 7. 15. B. Ein Domänencontroller, der die Rolle des Infrastrukturmasters ausführt, muss immer eine schnelle Verbindung zum RID-Master besitzen. Idealerweise sollte sich der Infrastrukturmaster im gleichen Standort befinden wie der globale Katalogserver, jedoch nicht auf dem gleichen Computergerät. Teilen Sie die Funktionen Infrastrukturmaster und globaler Katalogserver auf zwei Server auf. Falls Sie dies nicht durchführen, so wie in Lösung A und D, funktioniert der Infrastrukturmaster nicht mehr. Die Lösung C wäre eine machbare, jedoch keine gute Lösung, da die Verbindung zum Server01 (globaler Katalog) recht langsam ist. Die Rolle des bevorzugten Bridgeheadservers beeinträchtigt die Funktion des Infrastrukturmasters nicht. Weitere Informationen über Betriebsmasterrollen finden Sie in Kapitel 4.3. 16. C, D. Die Antwort D ist sicherlich die beste Lösung, da ein Domänencontroller über ein bereits bestehendes Sicherungsmedium erstellt werden kann. Die Lösung ist deshalb so gut, weil kein Replikationsverkehr zwischen Wien und München stattfindet. Antwort C ist ebenfalls korrekt, da die WAN-Verbindung zwischen Wien und München für eine Replikation ausreichend ist, zumal die Installation in den Abendstunden stattfindet, in denen normalerweise kein Mitarbeiter die Leitung beansprucht. Die Lösung A ist falsch, da die Option Domänencontroller für eine neue Domäne eine neue untergeordnete Domäne erstellt, was nicht gewünscht ist. Die Lösung B ist falsch, weil während der Installation die Namensauflösung zur Stammdomäne funktionieren muss. Weitere Informationen finden Sie in den Kapiteln 3.5 und 3.6.2 (Übung). 17. D. Sie erzwingen die Replikation über die Konsole Active Directory-Standorte und -Dienste im Knoten NTDS SETTINGS. Dort finden Sie das untergeordnete Objekt . Sie können dort die Replikation erzwingen, indem Sie im Kontextmenü auf Jetzt replizieren klicken. 9.2 Antworten auf die Prüfungsfragen

671

MCSE Examen 70-294

Die Antwort A ist falsch, da diese Lösung zu einem Namenskonflikt führen würde, wenn beide Domänencontroller aus den Standorten sich abgeglichen haben. Die Antwort B ist falsch, da sie einfach unsinnig ist: Sie können mit Repadmin eine Konsistenzprüfung durchführen, was zum gleichen Ergebnis führen würde, wie es schon vorhanden ist. Die Lösung C ist falsch, da Sie im aufgeführten Knoten keine Replikation erzwingen können (so gut die Lösung auch klingt). Weitere Informationen zum Thema Standorte und Replikation finden Sie in den Kapiteln 3.3.6 und 4.4. 18. A, C. Die Antwort A ist richtig, denn die Gruppe Schema-Admins hat ein Zugriffsrecht und Änderungsrecht auf das Schema. Um einen Zugriff auf das Schema zu erlangen, muss die Konsole Active Directory Schema eingerichtet werden. Sie führen hierfür den Befehl regsvr 32 schmmgmt.dll aus, wie in der Antwort C beschrieben wurde. Die Antwort B ist falsch, weil die Domänenfunktionsebene nichts mit der gewünschten Aufgabe zu tun hat. Ähnlich ist es auch bei der Antwort D. Das Dienstprogramm Ntdsutil hat die Aufgabe, die Active Directory-Datenbank zu warten. Änderungen am globalen Katalog hinsichtlich der Attribute können nicht vorgenommen werden. Weitere Informationen zum Thema Active Directory-Schema finden Sie in Kapitel 3.3.2. 19. A, B, D. Das Kommandozeilenprogramm Dsastat.exe vergleicht Verzeichnispartitionen auf Domänencontrollern und ermittelt eventuell vorhandene Unterschiede. Es kann somit leicht festgestellt werden, ob ein angegebener Domänencontroller auf dem neuesten Stand ist. Wenn Sie die Replikationstopologie im Objekt NTDS-Settings mit der Anweisung Alle Tasks/Replikationstopologie überprüfen, ersetzt der KCC automatisch das fehlende Objekt. Die Antwort D ist also richtig. Die Antwort B ist ebenfalls richtig, da der KCC alle 15 Minuten die Replikationstopologie überprüft und das vormals automatisch erstellte Verbindungsobjekt neu erstellt. Die Antwort C ist falsch, da das Serverobjekt nicht gelöscht werden kann. Weitere Informationen zum Thema Replikation finden Sie in Kapitel 4.4. 20. B. Die Active Directory-Verzeichnisdienste erlauben keine Wiederherstellung eines Backups, das älter als die Lebensdauer veralteter Objekte ist. Die Wiederherstellung einer Sicherungskopie würde sonst eine Verzeichnispartition erstellen, die noch keine Replikation hinsichtlich der veralteten Objekte durchgeführt hat. Sobald eine Sicherung durchgeführt wird, die älter als ein Wert für die TombstoneLifetime ist, wären die zum jetzigen Zeitpunkt als gelöscht markierten Objekte nicht als gelöscht markiert. Das Löschen des Objekts wäre fehlgeschlagen. Durch die Garbage Collection wird das Objekt endgültig gelöscht. Die garbageCollPeriod bestimmt das Intervall der Garbage Collection. Sie können daher folgende Näherungsformel anwenden: TombstoneLifetime + garbageCollPeriod > Zeit des Backups. Da die garbageCollPeriod ein Intervall darstellt, kann es im schlechtesten Fall (WorstCase) sofort eintreten: Dann ist die garbageCollPeriod=0. Im besten Fall ist die garbageCollPeriod=max. Intervall.

672


9 – Testprüfung

Die Analyse der Antworten ergibt folgende Werte: a. Das tombstoneLifetime-Attribut beträgt 6 Tage und die garbageCollPeriod 36 Stunden. Rechnung: 6 T + 36 h = 7,5 T im günstigsten Fall und 6 T im schlechtesten Fall. Hier kann der Wert u.U. die benötigten 7 Tage erreichen. b. Das tombstoneLifetime-Attribut beträgt 6 Tage und die garbageCollPeriod 12 Stunden. Rechnung: 6 T + 12 h = 6,5 T im günstigsten Fall und 6 T im schlechtesten Fall. Hier kann der Wert nie die benötigten 7 Tage erreichen! c. Das tombstoneLifetime-Attribut beträgt 7 Tage und die garbageCollPeriod 6 Stunden. Rechnung: 7,0 T + 6 h = 7,25 T im günstigsten Fall und 7 T im schlechtesten Fall. Hier erreicht der Wert immer die benötigten 7 Tage. d. Das tombstoneLifetime-Attribut beträgt 12 Stunden und die garbageCollPeriod 6 Tage. Dies funktioniert nicht, da das größte Intervall der Garbage Collection höchstens ein Drittel des Intervalls der Lebensdauer veralteter Objekte (tombstoneLifetime) betragen darf. Weitere Informationen zum Thema Garbage Collection finden Sie in Kapitel 6.1.3. Informationen zum Thema Sicherung finden Sie in Kapitel 6.4. 21. A. Die Antwort A ist richtig, da ein kurzzeitiger Ausfall des Servers keinen Schaden anrichtet. Um neue Objekte einzurichten, benötigen Sie dringend den RID-Master. Wenn der ursprüngliche RID-Master permanent ausfallen sollte, können Sie die Betriebsmasterrolle über den Befehl Ntdsutil auf einen anderen Server überschreiben. Sie müssen dann dafür Sorge tragen, dass der ursprüngliche RID-Master nicht mehr ins Netz geht. Aus diesem Grund ist auch die Antwort D falsch. Antwort B ist falsch, da über den Befehl dsquery eine Abfrage des RID-Masters stattfindet, was aber den Fehlerfall nicht behebt. Die Antwort C ist ebenfalls nicht richtig, da die Betriebsmasterrolle nur dann verschoben werden kann, wenn der ursprüngliche RIDMaster aktiv ist. Weitere Informationen zu den Betriebsmasterrollen finden Sie in Kapitel 4.3. 22. C. Alle Ressourcen können problemlos in untergeordnete Organisationseinheiten gegliedert werden. Die OUs New York und Bilbao stehen am Ende der OU-Hierarchie. Sie delegieren entsprechende Verwaltungsaufgaben an die lokalen Administratoren der jeweiligen OUs. Die Lösung A ist falsch, da ein Domänenadministrator alle Objekte verwalten kann. Antwort B ist falsch, da die Administratoren in Hamburg in diesem Fall alles allein verwalten würden. Antwort D ist falsch, da Zweigstellenmitarbeiter hier nur Benutzerkonten verwalten können. Antwort E ist falsch, da auch hier die Administratoren von Hamburg aus alle Organisationseinheiten verwalten können. Weitere Informationen zur Planung von Organisationseinheiten finden Sie in Kapitel 3.4.6.


673

MCSE Examen 70-294

23. A, C, D. Das hardware-basierte RAID mit den 2x2 Festplatten wird von Windows Server 2003 als 2 Festplatten mit 15 und 30 Gbyte erkannt. Die Boot-Partition liegt auf Volume C. Sie erhalten grundsätzlich einen Leistungsgewinn, wenn Sie Active Directory auf mehrere Festplatten aufteilen. Da es sich bereits um ein Hardware-RAID handelt, reicht es aus, Active Directory auf ein normales Volume (C oder D) zu installieren. Daher ist Antwort C richtig. Um die Leistung weiterhin zu erhöhen, können die Protokolldateien auf eine andere Festplatte als Active Directory gespeichert werden. Daher ist Antwort A eine richtige Aussage. Die Antwort D ist richtig, da hier der Datendurchsatz für Netzwerkanwendungen maximiert wird. Unter die Netzwerkanwendungen fällt auch Active Directory. Antwort B ist aus o.g. Gründen falsch. Die Antwort E ist falsch, da Sie die Active DirectoryDatenbank und das SYSVOL-Verzeichnis auf derselben Festplattenpartition bzw. auf demselben RAID-Array speichern müssen. Mehr Informationen über die Planung von Domänencontrollern finden Sie in Kapitel 3.5.1. 24. C. Sie können für Domänenkonten immer nur eine Kontorichtlinie festlegen. Sie muss in der Standarddomänenrichtlinie (Default Domain Policy) definiert werden und wird von den Domänencontrollern erzwungen, aus denen die Domäne besteht. Ein Domänencontroller ruft auch dann die Kontorichtlinie von dem GPO der Standarddomänenrichtlinie ab, wenn Sie für die OU, die den Domänencontroller enthält, eine andere Kontorichtlinie verwenden. Daher ist Antwort A falsch, da sie für die gewünschte Kontorichtlinie nicht funktioniert. Antwort B ist falsch, da die INF-Vorlagen, wie Hisecdc.inf nur auf bestehende Registrierungsschlüssel zurückgreifen. Antwort D ist insofern falsch, da Sie mit dem Gruppenrichtlinien-Editor keine benutzerdefinierte Anpassung des Gruppenrichtlinien-Objekts erreichen (wohl aber eine Anpassung der bestehenden Vorlage, die aus einem Group Policy Template (GPT) kommt). Weitere Informationen zu Kontorichtlinien finden Sie in Kapitel 7.5.1. 25. D. Antwort D ist richtig, da in Windows Server 2003 der KCC ein neues Verbindungsobjekt verwenden kann, wenn das Verbindungsobjekt eines Domänencontrollers ausfällt. In London wird automatisch Server04 zum Bridgeheadserver des Standorts. Dieser versucht anschließend vergebens, den Bridgeheadserver im Standort Hamburg zu erreichen. Hier ist der bevorzugte Bridgeheadserver ausgefallen und kann nicht automatisch ersetzt werden. Tom hat vergessen, den zweiten Domänencontroller ebenfalls als bevorzugten Bridgeheadserver zu konfigurieren. Alle anderen Antworten treffen daher nicht zu. Weitere Informationen finden Sie in Kapitel 4.4.4 (Replikation) und in Kapitel 4.4.5 (Bridgeheadserver). 26. C. Die Antwort C ist richtig, da sich voreingestellt die Richtlinie zur Softwareverteilung vom Objekt Transnet.com auf die untergeordneten Objekte vererbt. Damit die Softwareverteilung nicht auf die OUs Düsseldorf und Barcelona angewendet wird, müssen Sie die Einstellung Richtlinienvererbung deaktivieren aktivieren. Antwort A ist falsch, da hier die voreingestellte Vererbung nicht außer Kraft gesetzt wird. Die Antwort B ist aus dem gleichen Grund wie A falsch. Weiter kommt hinzu, dass die 674


9 – Testprüfung

Einstellung Kein Vorrang nur verhindert, dass die voreingestellte Richtlinienvererbung außer Kraft gesetzt wird. Die Antwort D ist falsch, da die Softwareverteilung nicht durch untergeordnete GPOs außer Kraft gesetzt wird. Es gibt hier keine festen Werte, die überschrieben werden können. Weitere Informationen zum Planen von Gruppenrichtlinien finden Sie in Kapitel 7.2. 27. D. Sie filtern Richtlinien basierend auf Sicherheitsgruppen, damit das GPO nur auf bestimmte Benutzer oder Computer angewendet werden kann. Für diesen Vorgang müssen Sie die Gruppe Authentifizierte Benutzer aus der Liste der voreingestellten Gruppen entfernen. Mit dieser Regel benötigen Sie nur eine Richtlinie für alle Computer, die Mitglied einer OU sind und zu den Schulungsrechnern gehören. Antwort A ist völliger Blödsinn. Antwort B funktioniert nicht, da in der Zugriffssteuerungsliste des GPOs keine solche Berechtigung eingestellt werden kann. Die Antwort C klingt zuerst ganz gut, hat allerdings den Nachteil, dass das GPO auf Benutzer angewendet wird, d.h., es wird dadurch auch auf Support und Trainer wirksam. Außerdem ist eine zweite Richtlinie für Trainer und Support nicht notwendig, da sie absolut nichts bringt. Informationen zum Thema Gruppenrichtlinien und Filtern von Richtlinien finden Sie in Kapitel 7.2.1. 28. D. Wir sind gemein! Lesen Sie auch gegen Ende des Tests die Fragen noch genau durch! Antwort A ist falsch, da LostAndFound keine Organisationseinheit ist! Die Antworten B und C treffen nicht zu, da es solche Features nicht gibt. Antwort D ist richtig, da diese Replikationskonflikte derart gelöst werden, dass neu erstellte Objekte in den Container LostAndFound verschoben werden. Da es sich bei LostAndFound um einen Container handelt, können Sie diesen auch nicht mit Gruppenrichtlinien verknüpfen. Mehr zu diesem Thema finden Sie in Kapitel 4.5.4. 29. A, D. Sie veröffentlichen ein Softwarepaket über eine Gruppenrichtlinie. Sie verwenden hierfür eine *.msi-Datei. Diese Dateien müssen vom Softwarehersteller zur Verfügung gestellt werden und benötigen auf der Clientseite den Windows Installer-Dienst. Sie können eine *.mst-Datei zusammen mit der *.msi-Datei verwenden, um festzulegen, welche Programmteile installiert werden sollen. Die Antwort B ist falsch, da *.zap-Dateien nur veröffentlicht werden können und auch nicht über ein GPO benutzerdefiniert angepasst werden können. Antwort C ist falsch, da Sie diese Dateien verwenden, um eine bestehende *.msi-Datei durch eine Patch-Datei, z.B. ein Servicepack zu modifizieren, was allerdings nur außerhalb eines GPOs geschehen kann. Weitere Informationen zur Softwareverteilung finden Sie in Kapitel 7.5.2. 30. A. Laut Sicherungsplan haben Sie vom Domänencontroller Server01 die aktuellste Kopie von Active Directory. Sie wurde am Sonntag um 24 Uhr getätigt. Da Sie die Sicherung nur auf dem Domänencontroller durchführen können, von dem die Sicherung stammt, können Sie keinen anderen Server als Server01 verwenden Hintergrund: Sie sichern mit der Active Directory-Datenbank auch noch den Systemstatus und 9.2 Antworten auf die Prüfungsfragen

675

MCSE Examen 70-294

können beide auch nur zusammen wiederherstellen. Sie könnten allerdings auch den Server03 zum Mitgliedsserver herabstufen und mit dcpromo /adv und über die Sicherung einen neuen Domänencontroller der Domäne erstellen. Dieser Aufwand wäre viel jedoch viel zu groß. Die einfachste Lösung ist, eine autorisierende Wiederherstellung durchzuführen. Hierfür müssen Sie zuerst im abgesicherten Modus eine nicht autorisierende Wiederherstellung ausführen und anschließend mit dem Dienstprogramm Ntdsutil durch die autorisierende Wiederherstellung das gelöschte Objekt wiederherstellen. Die autorisierende Wiederherstellung bewirkt, dass der Tombstone (der das Objekt als gelöscht markiert) entfernt und die USN (Update Sequence Number) des Objekts um den Wert 100.000 erhöht wird. Damit wird gewährleistet, dass das Objekt auf jeden Fall die höchste USN aller Datenbanken innerhalb der Domäne hat und somit auch das aktuellste Objekt ist. Antwort B ist falsch, da eine nicht autorisierende Wiederherstellung die Datenbank in den Zustand der letzten Sicherung versetzt. Das klingt so weit gut: Nach der Replikation mit anderen Sicherungsdomänencontrollern werden alle Änderungen (die neuen Benutzer) auf den gesicherten Domänencontroller repliziert. Das zurückgesicherte Objekt wird wieder gelöscht. Das Zurückspielen ist somit nicht erfolgreich. Warum? Bei jeder Änderung erhält ein Active Directory-Objekt eine USN. Wenn zum Beispiel das Original vom Server03 vom Montag die USN 10.000 hat, so hat das gelöschte Objekt zum Beispiel die USN 10.001. Bei jeder Änderung wird die USN um 1 inkrementiert. Die Sicherung vom Sonntag enthält aber nur die USN 10.000. Alle anderen Datenbanken besitzen das Objekt mit höherer Nummer, die zum Beispiel 10.001 sein kann. (Das ist mit einem Tombstone gekennzeichnet.) Das als gelöscht markierte Objekt hat somit auch nach dem Zurücksichern die niedrigere USN und wird daher nach einer Replikation wieder gelöscht. Die Lösungen C und D kommen nicht in Frage, da das Backup von Server03 nicht das Aktuellste ist. Weitere Informationen zur Sicherung von Active Directory finden Sie in Kapitel 6.4 und zur Replikation in Kapitel 4.4.4. 31. B, C. Wenn Sie Drucker auf Windows NT 4.0 Server einrichten, werden diese nicht automatisch in Active Directory freigegeben. Sie können diese über das Skript Pubprn automatisch in Active Directory veröffentlichen (Antwort B). Diese Methode lohnt sich besonders bei vielen Druckern. Sie können aber auch die jeweiligen Drucker manuell dem Active Directory hinzufügen, indem Sie ein neues Druckerobjekt erstellen. Sie benötigen hierfür den UNC-Namenspfad des Druckers. Der Lösungsvorschlag A ist falsch, da hier eine Vorbelegung des Standorts bei der Druckersuche durchgeführt wird. Die Voraussetzung dafür ist allerdings, dass der Drucker bereits veröffentlicht ist. Die Antwort D ist falsch, da das Setzen von Berechtigungen auf ein Druckerobjekt nichts mit dem Veröffentlichen zu tun hat. Weitere Informationen finden Sie in Kapitel 5.5.2.

676


9 – Testprüfung

32. A. Sie können zunächst davon ausgehen, dass sich die externe Consultant-Firma bei der Strukturierung des Netzwerks viele Gedanken gemacht hat. Insbesondere die Windows NT 4.0-Domäne ließ sich nicht in eine Windows 2000 Server-Active Directory-Infrastruktur integrieren. Sie finden hier die Konstellation einer Active Directory-integrierten Applikation »Exchange« auf der einen Seite und einer weiteren NT-Applikation auf der anderen Seite vor. Diese ist in der Regel nicht kompatibel zu Windows Active Directory, was eine Migration unmöglich macht. Isolieren Sie die Windows NT-Domäne in der Form, dass sie über eine externe Vertrauensstellung an die Windows Server 2003-Gesamtstruktur angebunden ist. Durch diese Isolation ist es Ihnen möglich, alle Funktionen von Windows Server 2003 zu verwenden, denn Sie haben dort weder Windows NT-, noch Windows 2000 Server-basierende Domänencontroller. Die Antwort B ist falsch, da Sie auf die neuen Features von Windows Server 2003 verzichten. Die Antwort C verursacht sogar einen erheblichen Schaden: Die Windows NT-kompatible Applikation würde bei einer Aktualisierung auf Windows Server 2003 nicht mehr funktionieren. Die Antwort D ist genauso schädlich, da davon auszugehen ist, dass die Applikation unter Windows 2000 Server schon nicht mehr funktioniert. Weitere Informationen zu externen Vertrauensstellungen und Domänenfunktionsebenen finden Sie im Kapitel 4.3; Informationen zum Domänendesign finden Sie in Kapitel 3.4.4. 33. A, F. Antwort A beschreibt eine der wichtigen Eigenschaften von Domänenstrukturen in Gesamtstrukturen. Für die Namensauflösung und das Hosten von Active Directory-Zonen können Sie auch einen BIND-Server der Version 8.1.2 oder höher verwenden. Somit ist auch die Aussage F richtig. Aussage B ist falsch, da Sie selbstverständlich auch mehrere Domänenstrukturen bzw. Namensräume in einer Gesamtstruktur einrichten können. Die Aussage C ist falsch, da der Bezug Namensraum und globaler Katalogserver nicht hergestellt werden kann. Sie verwenden einen globalen Katalogserver zum Speichern der Gruppenmitgliedschaften von universellen Gruppen und nicht zur Verwaltung von Namensräumen. Die Aussage D ist falsch, da Sie zur Namensauflösung einen Abgleich der Zonendaten erwirken müssen. Falls beide DNS-Server völlig unabhängig voneinander arbeiten würden, könnte kein Benutzer von licht.de eine Ressource in dunkel.de erreichen. Die Domänencontroller könnten sich nicht abgleichen bzw. Informationen zum globalen Katalogserver der »anderen Seite« senden. Die Aussage E ist falsch, da per Voreinstellung nur für neue externe Vertrauensstellungen und Gesamtstrukturvertrauensstellungen unter Windows Server 2003 eine SID-Filterung eingestellt wird. Da es sich hierbei um eine Strukturstamm-Vertrauensstellung handelt, ist die SID-Filterung ausgestellt.


677

MCSE Examen 70-294

Sie finden Informationen zu den jeweiligen Themen in den folgenden Kapiteln: Thema

Kapitel

Gesamtstrukturen und Domänenstrukturen

3.2.3, 3.2.4

Namensauflösung über BIND

2.1.3

Globale Katalogserver

3.3.7, 3.47, 4.4.7

SID-Filterung

4.2.4

Tabelle 9.4: Kapitelreferenz

34. A, C, E. Wenn Computer bereits an der Domäne angemeldet sind, werden die Gruppenrichtlinien auf einem Client alle 90 Minuten und auf einem Domänencontroller alle 5 Minuten aktualisiert. Darüber hinaus werden die Einstellungen unabhängig von Veränderungen alle 16 Stunden aktualisiert. Unter dem Betriebssystem Windows Server 2003 können Sie mit dem Befehl GPUpdate.exe eine sofortige Aktualisierung erzwingen. Die Antwort D ist falsch, da der Befehl Gpresult die Gruppenrichtlinieneinstellungen und den Richtlinienergebnissatz (RSoP) für einen Benutzer anzeigt. Informationen zu der Aktualisierung von Gruppenrichtlinien finden Sie in Kapitel 7.1.6. 35. B, C, D, E. Die Richtlinie Hisecdc.inf kann in das GPO importiert werden, so dass die Vorlageneinstellungen für die Sicherheitseinstellungen des Computers wirksam werden. Aus diesen Einstellungen folgt, dass ein Benutzerkonto nach 5 ungültigen Versuchen gesperrt ist und nur ein Administrator die Sperrung wieder aufheben kann. Daher sind die Antworten B und C richtig. Die Antwort D ist richtig, da Sie über diese Richtlinie die Einstellungen des InternetExplorers verändern. Dort können Sie die Sicherheitsstufe der Internet Zone auf Hoch stellen, oder benutzerdefiniert anpassen. Die Antwort E ist richtig, da der Registrierungsschlüssel HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache OLK* den Ordner bestimmt, den Microsoft Outlook XP zum Speichern von Anlagen verwendet. Die Antwort A ist falsch, da das Antivirenprogramm nur für Workstations konzipiert ist und nicht auf alle Computer angewendet werden kann. Wird das Softwarepaket auf Server zugewiesen, wird es nicht installiert. Die Antworten F, G und H sind falsch, weil Sie bei der Verwendung von Gruppenrichtlinien einen Fehler machen: Sie verknüpfen GPO Produktion mit der Domäne. Dadurch vererben sich die Einstellungen von GPO Produktion auch auf die OU IT und Vertrieb. Da Vertrieb auf das Internet und Dateianhänge angewiesen ist, kann der Betrieb nicht mehr reibungslos funktionieren. Weitere Informationen erhalten Sie in Kapitel 7.3.6.

678


Teil 3 Anhang A

Objektklassen

681

B

Der Weg zur Zertifizierung

697

C

Glossar

701

D

Die Testsoftware auf der CD-ROM

719

E

Über den Autor

723


725

A Objektklassen Alle Klassen des Active Directory-Schemas werden von der Sonderklasse Top abgeleitet. Mit Ausnahme von dieser Sonderklasse sind alle anderen Klassen Teilklassen einer anderen Klasse. Das Vererbungsprinzip ermöglicht es Ihnen, vorhandene Klassen als Vorlagen für neue Klassen zu verwenden. Die ursprüngliche Klasse wird daraufhin zur Superklasse oder übergeordneten Klasse der neuen Klasse. Eine Teilklasse erbt die Attribute der übergeordneten Klasse, einschließlich der Struktur- und Inhaltsregeln. Mit dieser Regelung kann eine untergeordnete Klasse Attribute von mehr als einer übergeordneten Klasse erben.

A.1

Attribute der Objektklasse User

Sie verwenden die im Folgenden aufgelisteten Attribute für die Dienstprogramme Ldifde.exe und Csvde.exe. Die in den Tabellen aufgelisteten Attribute sind aus dem Active DirectorySchema über die Exportfunktion ausgelesen und anschließend in die jeweiligen Klassen geordnet worden.

A.1 Attribute der Objektklasse User

681

MCSE Examen 70-294

A.1.1

Quellklasse: User

Name

Typ

System

Beschreibung

accountExpires

Optional

Ja

Account-Expires

aCSPolicyName

Optional

Ja

ACS-Policy-Name

adminCount

Optional

Ja

Admin-Count

Audio

Optional

Nein

The Audio attribute type allows the storing of sounds in the Directory.

badPasswordTime

Optional

Ja

Bad-Password-Time

badPwdCount

Optional

Ja

Bad-Pwd-Count

businessCategory

Optional

Ja

Business-Category

carLicense

Optional

Nein

Vehicle license or registration plate.

codePage

Optional

Ja

Code-Page

controlAccessRights

Optional

Ja

Control-Access-Rights

dBCSPwd

Optional

Ja

DBCS-Pwd

defaultClassStore

Optional

Ja

Default-Class-Store

departmentNumber

Optional

Nein

Identifies a department within an organization.

desktopProfile

Optional

Ja

Desktop-Profile

displayName

Optional

Nein

Display-Name

dynamicLDAPServer

Optional

Ja

Dynamic-LDAP-Server

employeeNumber

Optional

Nein

Employee-Number

employeeType

Optional

Nein

Employee-Type

givenName

Optional

Nein

Given-Name

groupMembershipSAM

Optional

Ja

Group-Membership-SAM

groupPriority

Optional

Ja

Group-Priority

groupsToIgnore

Optional

Ja

Groups-to-Ignore

homeDirectory

Optional

Ja

Home-Directory

homeDrive

Optional

Ja

Home-Drive

homePhone

Optional

Ja

Phone-Home-Primary

homePostalAddress

Optional

Nein

Address-Home

initials

Optional

Ja

Initials

jpegPhoto

Optional

Nein

Used to store one or more images of a person using the JPEG File Interchange Format [JFIF].

Tabelle A.1: Attribute der Quellklasse User

682


A – Objektklassen

Name

Typ

System

Beschreibung

labeledURI

Optional

Nein

A Uniform Resource Identifier followed by a label. The label is used to describe the resource to which the URI points, and is intended as a friendly name fit for human consumption.

lastLogoff

Optional

Ja

Last-Logoff

lastLogon

Optional

Ja

Last-Logon

lastLogonTimestamp

Optional

Ja

Last-Logon-Timestamp

lmPwdHistory

Optional

Ja

Lm-Pwd-History

localeID

Optional

Ja

Locale-ID

lockoutTime

Optional

Ja

Lockout-Time

logonCount

Optional

Ja

Logon-Count

logonHours

Optional

Ja

Logon-Hours

logonWorkstation

Optional

Ja

Logon-Workstation

mail

Optional

Ja

E-mail-Addresses

manager

Optional

Ja

Manager

maxStorage

Optional

Ja

Max-Storage

mobile

Optional

Ja

Phone-Mobile-Primary

msCOM-UserPartitionSetLink

Optional

Ja

Link from a User to a PartitionSet. Default = adminDisplayName

msDRM-IdentityCertificate

Optional

Ja

The XrML digital rights management certificates for this user.

msDS-Cached-Membership

Optional

Ja

ms-DS-Cached-Membership

msDS-Cached-MembershipTime-Stamp

Optional

Ja

ms-DS-Cached-Membership-Time-Stamp

mS-DS-CreatorSID

Optional

Ja

MS-DS-Creator-SID

msDS-Site-Affinity

Optional

Ja

ms-DS-Site-Affinity

msDS-User-Account-ControlComputed

Optional

Ja

ms-DS-User-Account-Control-Computed

msIIS-FTPDir

Optional

Ja

Relative user directory on an FTP Root share.

msIIS-FTPRoot

Optional

Ja

Virtual FTP Root where user home directory resides.

mSMQDigests

Optional

Ja

MSMQ-Digests

mSMQDigestsMig

Optional

Ja

MSMQ-Digests-Mig

mSMQSignCertificates

Optional

Ja

MSMQ-Sign-Certificates

mSMQSignCertificatesMig

Optional

Ja

MSMQ-Sign-Certificates-Mig

Tabelle A.1: Attribute der Quellklasse User (Forts.)


683

MCSE Examen 70-294 Name

Typ

System

Beschreibung

msNPAllowDialin

Optional

Ja

msNPAllowDialin

msNPCallingStationID

Optional

Ja

msNPCallingStationID

msNPSavedCallingStationID

Optional

Ja

msNPSavedCallingStationID

msRADIUSCallbackNumber

Optional

Ja

msRADIUSCallbackNumber

msRADIUSFramedIPAddress

Optional

Ja

msRADIUSFramedIPAddress

msRADIUSFramedRoute

Optional

Ja

msRADIUSFramedRoute

msRADIUSServiceType

Optional

Ja

msRADIUSServiceType

msRASSavedCallbackNumber

Optional

Ja

msRASSavedCallbackNumber

msRASSavedFramedIPAddress

Optional

Ja

msRASSavedFramedIPAddress

msRASSavedFramedRoute

Optional

Ja

msRASSavedFramedRoute

networkAddress

Optional

Ja

Network-Address

ntPwdHistory

Optional

Ja

Nt-Pwd-History

o

Optional

Ja

Organization-Name

operatorCount

Optional

Ja

Operator-Count

otherLoginWorkstations

Optional

Ja

Other-Login-Workstations

pager

Optional

Ja

Phone-Pager-Primary

photo

Optional

Nein

An object encoded in G3 fax as explained in recommendation T.4, with an ASN.1 wrapper to make it compatible with an X.400 BodyPart as defined in X.420.

preferredLanguage

Optional

Nein

The preferred written or spoken language for a person.

preferredOU

Optional

Ja

Preferred-OU

primaryGroupID

Optional

Ja

Primary-Group-ID

profilePath

Optional

Ja

Profile-Path

pwdLastSet

Optional

Ja

Pwd-Last-Set

roomNumber

Optional

Nein

The room number of an object.

scriptPath

Optional

Ja

Script-Path

secretary

Optional

Nein

Specifies the secretary of a person.

servicePrincipalName

Optional

Ja

Service-Principal-Name

terminalServer

Optional

Ja

Terminal-Server

uid

Optional

Nein

A user ID.

unicodePwd

Optional

Ja

Unicode-Pwd

userAccountControl

Optional

Ja

User-Account-Control

userCertificate

Optional

Ja

X509-Cert


684


A – Objektklassen

Name

Typ

System

Beschreibung

userParameters

Optional

Ja

User-Parameters

userPKCS12

Optional

Nein

PKCS #12 PFX PDU for exchange of personal identity information.

userPrincipalName

Optional

Ja

User-Principal-Name

userSharedFolder

Optional

Ja

User-Shared-Folder

userSharedFolderOther

Optional

Ja

User-Shared-Folder-Other

userSMIMECertificate

Optional

Nein

User-SMIME-Certificate

userWorkstations

Optional

Ja

User-Workstations

x500uniqueIdentifier

Optional

Nein

Used to distinguish between objects when a distinguished name has been reused. This is a different attribute type from both the "uid" and "uniqueIdentifier" types.


A.1.2

Erweiterungsklasse: securityPrincipal

Name

Typ

System

Beschreibung

accountNameHistory

Optional

Ja

Account-Name-History

altSecurityIdentities

Optional

Ja

Alt-Security-Identities

msDS-KeyVersionNumber

Optional

Ja

The Kerberos version number of the current key for this account. This is a constructed attribute.

nTSecurityDescriptor

Optional

Ja

NT-Security-Descriptor

objectSid

Verbindlich

Ja

Object-Sid

rid

Optional

Ja

Rid

sAMAccountName

Verbindlich

Ja

SAM-Account-Name

sAMAccountType

Optional

Ja

SAM-Account-Type

securityIdentifier

Optional

Ja

Security-Identifier

sIDHistory

Optional

Ja

SID-History

supplementalCredentials

Optional

Ja

Supplemental-Credentials

tokenGroups

Optional

Ja

Token-Groups

tokenGroupsGlobalAndUniversal

Optional

Ja

Token-Groups-Global-And-Universal

tokenGroupsNoGCAcceptable

Optional

Ja

Token-Groups-No-GC-Acceptable

Tabelle A.2: Attribute der Quellklasse securityPrincipal


685

MCSE Examen 70-294

A.1.3

Erweiterungsklasse: mailRecipient

Name

Typ

System

Beschreibung

cn

Verbindlich

Ja

Common-Name

garbageCollPeriod

Optional

Ja

Garbage-Coll-Period

info

Optional

Ja

Comment

labeledURI

Optional

Nein


legacyExchangeDN

Optional

Ja

Legacy-Exchange-DN

msExchAssistantName

Optional

Nein

ms-Exch-Assistant-Name

msExchLabeledURI

Optional

Nein

ms-Exch-LabeledURI

secretary

Optional

Nein


showInAddressBook

Optional

Ja

Show-In-Address-Book

telephoneNumber

Optional

Ja

Telephone-Number

textEncodedORAddress

Optional

Ja

Text-Encoded-OR-Address

userCert

Optional

Ja

User-Cert

userCertificate

Optional

Ja

X509-Cert


Optional

Nein


Tabelle A.3: Attribute der Quellklasse mailRecipient

A.1.4

Übergeordnete Klasse: organizationalPerson

Name

Typ

System

Beschreibung

assistant

Optional

Ja

Assistant

c

Optional

Ja

Country-Name

co

Optional

Ja

Text-Country

comment

Optional

Ja

User-Comment

company

Optional

Ja

Company

countryCode

Optional

Ja

Country-Code

department

Optional

Ja

Department

destinationIndicator

Optional

Ja

Destination-Indicator

division

Optional

Ja

Division

employeeID

Optional

Ja

Employee-ID

Tabelle A.4: Attribute der Quellklasse organizationalPerson

686


A – Objektklassen

Name

Typ

System

Beschreibung

facsimileTelephoneNumber

Optional

Ja

Facsimile-Telephone-Number

generationQualifier

Optional

Ja

Generation-Qualifier

givenName

Optional

Ja

Given-Name

homePhone

Optional

Ja

Phone-Home-Primary

homePostalAddress

Optional

Nein

Address-Home

houseIdentifier

Optional

Nein

The houseIdentifier attribute type specifies a linguistic construct used to identify a particular building, for example a house number or house name relative to a street, avenue, town or city, etc.

initials

Optional

Ja

Initials

internationalISDNNumber

Optional

Ja

International-ISDN-Number

ipPhone

Optional

Ja

Phone-Ip-Primary

l

Optional

Ja

Locality-Name

mail

Optional

Ja

E-mail-Addresses

manager

Optional

Ja

Manager

mhsORAddress

Optional

Ja

MHS-OR-Address

middleName

Optional

Ja

Other-Name

mobile

Optional

Ja

Phone-Mobile-Primary

msDS-AllowedToDelegateTo

Optional

Ja

Allowed-To-Delegate-To contains a list of SPNs that are used for Constrained Delegation

msExchHouseIdentifier

Optional

Nein

ms-Exch-House-Identifier

o

Optional

Ja

Organization-Name

otherFacsimileTelephoneNumber

Optional

Ja

Phone-Fax-Other

otherHomePhone

Optional

Ja

Phone-Home-Other

otherIpPhone

Optional

Ja

Phone-Ip-Other

otherMailbox

Optional

Ja

Other-Mailbox

otherMobile

Optional

Ja

Phone-Mobile-Other

otherPager

Optional

Ja

Phone-Pager-Other

otherTelephone

Optional

Ja

Phone-Office-Other

ou

Optional

Ja

Organizational-Unit-Name

pager

Optional

Ja

Phone-Pager-Primary

personalTitle

Optional

Ja

Personal-Title

physicalDeliveryOfficeName

Optional

Ja

Physical-Delivery-Office-Name

Tabelle A.4: Attribute der Quellklasse organizationalPerson (Forts.)


687


Typ

System

Beschreibung

postalAddress

Optional

Ja

Postal-Address

postalCode

Optional

Ja

Postal-Code

postOfficeBox

Optional

Ja

Post-Office-Box

preferredDeliveryMethod

Optional

Ja

Preferred-Delivery-Method

primaryInternationalISDNNumber

Optional

Ja

Phone-ISDN-Primary

primaryTelexNumber

Optional

Ja

Telex-Primary

registeredAddress

Optional

Ja

Registered-Address

st

Optional

Ja

State-Or-Province-Name

street

Optional

Ja

Street-Address

streetAddress

Optional

Ja

Address

teletexTerminalIdentifier

Optional

Ja

Teletex-Terminal-Identifier

telexNumber

Optional

Ja

Telex-Number

thumbnailLogo

Optional

Ja

Logo

thumbnailPhoto

Optional

Ja

Picture

title

Optional

Ja

Title

x121Address

Optional

Ja

X121-Address

Tabelle A.4: Attribute der Quellklasse organizationalPerson (Forts.)

A.1.5

Quellklasse: person

Name

Typ

System

Beschreibung

attributeCertificateAttribute

Optional

Nein

A digitally signed or certified identity and set of attributes. Used to bind authorization information to an identity. X.509

cn

Verbindlich

Ja

Common-Name

seeAlso

Optional

Ja

See-Also

serialNumber

Optional

Ja

Serial-Number

sn

Optional

Ja

Surname

telephoneNumber

Optional

Ja

Telephone-Number

userPassword

Optional

Ja

User-Password

Tabelle A.5: Attribute der Quellklasse person

688


A – Objektklassen

A.1.6

Quellklasse: top

Name

Typ

System

Beschreibung

adminDescription

Optional

Ja

Admin-Description

adminDisplayName

Optional

Ja

Admin-Display-Name

allowedAttributes

Optional

Ja

Allowed-Attributes

allowedAttributesEffective

Optional

Ja

Allowed-Attributes-Effective

allowedChildClasses

Optional

Ja

Allowed-Child-Classes

allowedChildClassesEffective Optional

Ja

Allowed-Child-Classes-Effective

bridgeheadServerListBL

Optional

Ja

Bridgehead-Server-List-BL

canonicalName

Optional

Ja

Canonical-Name

cn

Optional

Ja

Common-Name

createTimeStamp

Optional

Ja

Create-Time-Stamp

description

Optional

Ja

Description

directReports

Optional

Ja

Reports

displayName

Optional

Ja

Display-Name

displayNamePrintable

Optional

Ja

Display-Name-Printable

distinguishedName

Optional

Ja

Obj-Dist-Name

dSASignature

Optional

Ja

DSA-Signature

dSCorePropagationData

Optional

Ja

DS-Core-Propagation-Data

extensionName

Optional

Ja

Extension-Name

flags

Optional

Ja

Flags

fromEntry

Optional

Ja

From-Entry

frsComputerReferenceBL

Optional

Ja

Frs-Computer-Reference-BL

fRSMemberReferenceBL

Optional

Ja

FRS-Member-Reference-BL

fSMORoleOwner

Optional

Ja

FSMO-Role-Owner

instanceType

Verbindlich

Ja

Instance-Type

isCriticalSystemObject

Optional

Ja

Is-Critical-System-Object

isDeleted

Optional

Ja

Is-Deleted

isPrivilegeHolder

Optional

Ja

Is-Privilege-Holder

lastKnownParent

Optional

Ja

Last-Known-Parent

managedObjects

Optional

Ja

Managed-Objects

masteredBy

Optional

Ja

Mastered-By

memberOf

Optional

Ja

Is-Member-Of-DL

modifyTimeStamp

Optional

Ja

Modify-Time-Stamp

Tabelle A.6: Attribute der Quellklasse top


689


Typ

System

Beschreibung

msCOM-PartitionSetLink

Optional

Ja

Link from a Partition to a PartitionSet. Default = adminDisplayName

msCOM-UserLink

Optional

Ja

Link from a PartitionSet to a User. Default = adminDisplayName

msDS-Approx-ImmedSubordinates

Optional

Ja

ms-DS-Approx-Immed-Subordinates

mS-DS-ConsistencyChildCount

Optional

Ja

MS-DS-Consistency-Child-Count

mS-DS-ConsistencyGuid

Optional

Ja

MS-DS-Consistency-Guid

msDs-masteredBy

Optional

Ja

Back link for msDS-hasMasterNCs.

msDS-MembersForAzRoleBL

Optional

Ja

Back-link from member application group or user to Az-Role object(s) linking to it

msDS-NCReplCursors

Optional

Ja

ms-DS-NC-Repl-Cursors

msDS-NCReplInboundNeighbors

Optional

Ja

ms-DS-NC-Repl-Inbound-Neighbors

msDS-NCReplOutboundNeighbors

Optional

Ja

ms-DS-NC-Repl-Outbound-Neighbors

msDS-NonMembersBL

Optional

Ja

MS-DS-Non-Members-BL

msDS-ObjectReferenceBL

Optional

Nein

Back link for ms-DS-Object-Reference.

msDS-OperationsForAzRoleBL

Optional

Ja

Back-link from Az-Operation to Az-Role object(s) linking to it

msDS-OperationsForAzTaskBL

Optional

Ja

Back-link from Az-Operation to Az-Task object(s) linking to it

msDS-ReplAttributeMetaData

Optional

Ja

ms-DS-Repl-Attribute-Meta-Data

msDS-ReplValueMetaData

Optional

Ja

ms-DS-Repl-Value-Meta-Data

msDS-TasksForAzRoleBL

Optional

Ja

Back-link from Az-Task to Az-Role object(s) linking to it

msDS-TasksForAzTaskBL

Optional

Ja

Back-link from Az-Task to the Az-Task object(s) linking to it

name

Optional

Ja

RDN

netbootSCPBL

Optional

Ja

netboot-SCP-BL

nonSecurityMemberBL

Optional

Ja

Non-Security-Member-BL


Verbindlich

Ja


objectCategory

Verbindlich

Ja

Object-Category

objectClass

Verbindlich

Ja

Object-Class

objectGUID

Optional

Ja

Object-Guid

objectVersion

Optional

Ja

Object-Version

otherWellKnownObjects

Optional

Ja

Other-Well-Known-Objects

ownerBL

Optional

Ja

ms-Exch-Owner-BL

Tabelle A.6: Attribute der Quellklasse top (Forts.)

690


A – Objektklassen

Name

Typ

System

Beschreibung

partialAttributeDeletionList Optional

Ja

Partial-Attribute-Deletion-List

partialAttributeSet

Optional

Ja

Partial-Attribute-Set

possibleInferiors

Optional

Ja

Possible-Inferiors

proxiedObjectName

Optional

Ja

Proxied-Object-Name

proxyAddresses

Optional

Ja

Proxy-Addresses

queryPolicyBL

Optional

Ja

Query-Policy-BL

replPropertyMetaData

Optional

Ja

Repl-Property-Meta-Data

replUpToDateVector

Optional

Ja

Repl-UpToDate-Vector

repsFrom

Optional

Ja

Reps-From

repsTo

Optional

Ja

Reps-To

revision

Optional

Ja

Revision

sDRightsEffective

Optional

Ja

SD-Rights-Effective

serverReferenceBL

Optional

Ja

Server-Reference-BL

showInAdvancedViewOnly

Optional

Ja

Show-In-Advanced-View-Only

siteObjectBL

Optional

Ja

Site-Object-BL

structuralObjectClass

Optional

Ja

The class hierarchy without auxiliary classes

subRefs

Optional

Ja

Sub-Refs

subSchemaSubEntry

Optional

Ja

SubSchemaSubEntry

systemFlags

Optional

Ja

System-Flags

url

Optional

Ja

WWW-Page-Other

uSNChanged

Optional

Ja

USN-Changed

uSNCreated

Optional

Ja

USN-Created

uSNDSALastObjRemoved

Optional

Ja

USN-DSA-Last-Obj-Removed

USNIntersite

Optional

Ja

USN-Intersite

uSNLastObjRem

Optional

Ja

USN-Last-Obj-Rem

uSNSource

Optional

Ja

USN-Source

wbemPath

Optional

Ja

Wbem-Path

wellKnownObjects

Optional

Ja

Well-Known-Objects

whenChanged

Optional

Ja

When-Changed

whenCreated

Optional

Ja

When-Created

wWWHomePage

Optional

Ja

WWW-Home-Page



691

MCSE Examen 70-294

A.2

Attribute der Objektklasse Group

Sie verwenden die im Folgenden aufgelisteten Attribute für die Dienstprogramme Ldifde.exe und Csvde.exe. Die Attribute sind ebenfalls aus dem Active Directory-Schema ausgelesen worden.

A.2.1

Quellklasse: group

Name

Typ

System

Beschreibung

adminCount

Optional

Ja

Admin-Count

controlAccessRights

Optional

Ja

Control-Access-Rights

desktopProfile

Optional

Ja

Desktop-Profile

groupAttributes

Optional

Ja

Group-Attributes

groupMembershipSAM

Optional

Ja

Group-Membership-SAM

groupType

Verbindlich

Ja

Group-Type

Mail

Optional

Ja

E-mail-Addresses

managedBy

Optional

Ja

Managed-By

Member

Optional

Ja

Member

msDS-AzLDAPQuery

Optional

Ja

ms-DS-Az-LDAP-Query

msDS-NonMembers

Optional

Ja

ms-DS-Non-Members

nonSecurityMember

Optional

Ja

Non-Security-Member

nTGroupMembers

Optional

Ja

NT-Group-Members

operatorCount

Optional

Ja

Operator-Count

primaryGroupToken

Optional

Ja

Primary-Group-Token

Tabelle A.7: Attribute der Quellklasse group

A.2.2

Erweiterungsklasse: mailRecipient

Name

Typ

System

Beschreibung

userCertificate

Optional

Ja

X509-Cert

userCert

Optional

Ja

User-Cert

textEncodedORAddress

Optional

Ja

Text-Encoded-OR-Address

telephoneNumber

Optional

Ja

Telephone-Number

showInAddressBook

Optional

Ja

Show-In-Address-Book

legacyExchangeDN

Optional

Ja

Legacy-Exchange-DN


692

A.2 Attribute der Objektklasse Group

A – Objektklassen

Name

Typ

System

Beschreibung

garbageCollPeriod

Optional

Ja

Garbage-Coll-Period

info

Optional

Ja

Comment


Optional

Nein


secretary

Optional

Nein


msExchLabeledURI

Optional

Nein

ms-Exch-LabeledURI

msExchAssistantName

Optional

Nein

ms-Exch-Assistant-Name

labeledURI

Optional

Nein


cn

Verbindlich

Ja

Common-Name


A.2.3

Erweiterungsklasse: securityPrincipal

Name

Typ

System

Beschreibung

accountNameHistory

Optional

Ja

Account-Name-History

altSecurityIdentities

Optional

Ja

Alt-Security-Identities

msDS-KeyVersionNumber

Optional

Ja

The Kerberos version number of the current key for this account. This is a constructed attribute.


Optional

Ja


objectSid

Verbindlich

Ja

Object-Sid

rid

Optional

Ja

Rid

sAMAccountName

Verbindlich

Ja

SAM-Account-Name

sAMAccountType

Optional

Ja

SAM-Account-Type

securityIdentifier

Optional

Ja

Security-Identifier

sIDHistory

Optional

Ja

SID-History

supplementalCredentials

Optional

Ja

Supplemental-Credentials

tokenGroups

Optional

Ja

Token-Groups

tokenGroupsGlobalAndUniversal

Optional

Ja

Token-Groups-Global-And-Universal

tokenGroupsNoGCAcceptable

Optional

Ja

Token-Groups-No-GC-Acceptable

Tabelle A.9: Attribute der Quellklasse securityPrincipal (Forts.)


693

MCSE Examen 70-294

A.2.4

Übergeordnete Klasse: top

Name

Typ

System

Beschreibung

adminDescription

Optional

Ja

Admin-Description

adminDisplayName

Optional

Ja

Admin-Display-Name

allowedAttributes

Optional

Ja

Allowed-Attributes

allowedAttributesEffective

Optional

Ja

Allowed-Attributes-Effective

allowedChildClasses

Optional

Ja

Allowed-Child-Classes

allowedChildClassesEffective Optional

Ja

Allowed-Child-Classes-Effective

bridgeheadServerListBL

Optional

Ja

Bridgehead-Server-List-BL

canonicalName

Optional

Ja

Canonical-Name

cn

Optional

Ja

Common-Name

createTimeStamp

Optional

Ja

Create-Time-Stamp

description

Optional

Ja

Description

directReports

Optional

Ja

Reports

displayName

Optional

Ja

Display-Name

displayNamePrintable

Optional

Ja

Display-Name-Printable

distinguishedName

Optional

Ja

Obj-Dist-Name

dSASignature

Optional

Ja

DSA-Signature

dSCorePropagationData

Optional

Ja

DS-Core-Propagation-Data

extensionName

Optional

Ja

Extension-Name

flags

Optional

Ja

Flags

fromEntry

Optional

Ja

From-Entry

frsComputerReferenceBL

Optional

Ja

Frs-Computer-Reference-BL

fRSMemberReferenceBL

Optional

Ja

FRS-Member-Reference-BL

fSMORoleOwner

Optional

Ja

FSMO-Role-Owner

instanceType

Verbindlich

Ja

Instance-Type

isCriticalSystemObject

Optional

Ja

Is-Critical-System-Object

isDeleted

Optional

Ja

Is-Deleted

isPrivilegeHolder

Optional

Ja

Is-Privilege-Holder

lastKnownParent

Optional

Ja

Last-Known-Parent

managedObjects

Optional

Ja

Managed-Objects

masteredBy

Optional

Ja

Mastered-By

memberOf

Optional

Ja

Is-Member-Of-DL

modifyTimeStamp

Optional

Ja

Modify-Time-Stamp

Tabelle A.10: Attribute der Quellklasse top

694


A – Objektklassen

Name

Typ

System

Beschreibung

msCOM-PartitionSetLink

Optional

Ja

Link from a Partition to a PartitionSet. Default = adminDisplayName

msCOM-UserLink

Optional

Ja

Link from a PartitionSet to a User. Default = adminDisplayName

msDS-Approx-ImmedSubordinates

Optional

Ja

ms-DS-Approx-Immed-Subordinates

mS-DS-ConsistencyChildCount

Optional

Ja

MS-DS-Consistency-Child-Count

mS-DS-ConsistencyGuid

Optional

Ja

MS-DS-Consistency-Guid

msDs-masteredBy

Optional

Ja

Back link for msDS-hasMasterNCs.

msDS-MembersForAzRoleBL

Optional

Ja

Back-link from member application group or user to Az-Role object(s) linking to it

msDS-NCReplCursors

Optional

Ja

ms-DS-NC-Repl-Cursors

msDS-NCReplInboundNeighbors

Optional

Ja

ms-DS-NC-Repl-Inbound-Neighbors

msDS-NCReplOutboundNeighbors

Optional

Ja

ms-DS-NC-Repl-Outbound-Neighbors

msDS-NonMembersBL

Optional

Ja

MS-DS-Non-Members-BL

msDS-ObjectReferenceBL

Optional

Nein

Back link for ms-DS-Object-Reference.

msDS-OperationsForAzRoleBL

Optional

Ja

Back-link from Az-Operation to Az-Role object(s) linking to it

msDS-OperationsForAzTaskBL

Optional

Ja

Back-link from Az-Operation to Az-Task object(s) linking to it

msDS-ReplAttributeMetaData

Optional

Ja

ms-DS-Repl-Attribute-Meta-Data

msDS-ReplValueMetaData

Optional

Ja

ms-DS-Repl-Value-Meta-Data

msDS-TasksForAzRoleBL

Optional

Ja

Back-link from Az-Task to Az-Role object(s) linking to it

msDS-TasksForAzTaskBL

Optional

Ja

Back-link from Az-Task to the Az-Task object(s) linking to it

name

Optional

Ja

RDN

netbootSCPBL

Optional

Ja

netboot-SCP-BL

nonSecurityMemberBL

Optional

Ja

Non-Security-Member-BL


Verbindlich

Ja


objectCategory

Verbindlich

Ja

Object-Category

objectClass

Verbindlich

Ja

Object-Class

objectGUID

Optional

Ja

Object-Guid

objectVersion

Optional

Ja

Object-Version

otherWellKnownObjects

Optional

Ja

Other-Well-Known-Objects



695


Typ

System

Beschreibung

ownerBL

Optional

Ja

ms-Exch-Owner-BL

partialAttributeDeletionList Optional

Ja

Partial-Attribute-Deletion-List

partialAttributeSet

Optional

Ja

Partial-Attribute-Set

possibleInferiors

Optional

Ja

Possible-Inferiors

proxiedObjectName

Optional

Ja

Proxied-Object-Name

proxyAddresses

Optional

Ja

Proxy-Addresses

queryPolicyBL

Optional

Ja

Query-Policy-BL

replPropertyMetaData

Optional

Ja

Repl-Property-Meta-Data

replUpToDateVector

Optional

Ja

Repl-UpToDate-Vector

repsFrom

Optional

Ja

Reps-From

repsTo

Optional

Ja

Reps-To

revision

Optional

Ja

Revision

sDRightsEffective

Optional

Ja

SD-Rights-Effective

serverReferenceBL

Optional

Ja

Server-Reference-BL

showInAdvancedViewOnly

Optional

Ja

Show-In-Advanced-View-Only

siteObjectBL

Optional

Ja

Site-Object-BL

structuralObjectClass

Optional

Ja

The class hierarchy without auxiliary classes

subRefs

Optional

Ja

Sub-Refs

subSchemaSubEntry

Optional

Ja

SubSchemaSubEntry

systemFlags

Optional

Ja

System-Flags

url

Optional

Ja

WWW-Page-Other

uSNChanged

Optional

Ja

USN-Changed

uSNCreated

Optional

Ja

USN-Created

uSNDSALastObjRemoved

Optional

Ja

USN-DSA-Last-Obj-Removed

USNIntersite

Optional

Ja

USN-Intersite

uSNLastObjRem

Optional

Ja

USN-Last-Obj-Rem

uSNSource

Optional

Ja

USN-Source

wbemPath

Optional

Ja

Wbem-Path

wellKnownObjects

Optional

Ja

Well-Known-Objects

whenChanged

Optional

Ja

When-Changed

whenCreated

Optional

Ja

When-Created

wWWHomePage

Optional

Ja

WWW-Home-Page


696


B Der Weg zur Zertifizierung In diesem Anhang finden Sie Informationen zu Microsoft-Zertifizierungen und darüber, wie Sie sich für eine Prüfung anmelden können.

B.1

Microsoft-Zertifizierungen

Für Microsoft-Zertifizierungen müssen Sie eine bestimmte Anzahl von Prüfungen ablegen. Je nach Art und Umfang der bestandenen Prüfungen erhalten Sie automatisch die erreichte Zertifizierung. Eine besondere Anmeldung zum MCP, MCSE usw. ist nicht notwendig. Microsoft bietet eine Reihe von Firmenzertifizierungen an: T Als Microsoft Certified Trainer (MCT) sind Sie in der Lage, als Schulungsleiter im Rahmen des Microsoft Official Curriculums (MOC) in Microsoft Certified Technical Education Centers (CTECs) tätig zu sein. Dies erfordert jährlich aktualisierte Zertifizierungsanforderungen. T Als Microsoft Certified Database Administrator (MCDBA) sind Sie fähig, Microsoft SQL Server-Datenbanken zu entwerfen, zu implementieren und zu verwalten. Sie benötigen drei Haupt- und eine Wahlprüfung. T Mit dem Microsoft Certified Systems Administrator (MCSA) sind Sie in der Lage, Netzwerk- und Systemumgebungen auf der Grundlage von Windows- und Windows Server 2003-Betriebssystemen zu verwalten. Sie müssen dafür drei Hauptprüfungen und eine Wahlprüfung absolvieren. T Sie können als Microsoft Certified Systems Engineer (MCSE) die Geschäftsanforderungen eines Kunden analysieren und eine kundenspezifische Infrastruktur entwerfen und implementieren. Sie legen hierfür sechs Haupt- und eine Wahlprüfung ab. T Als Microsoft Certified Application Developer (MCAD) sind Sie qualifiziert, mit den Entwicklungstools und Technologien von Microsoft Anwendungen zu entwickeln, zu testen,

B.1 Microsoft-Zertifizierungen

697

MCSE Examen 70-294

bereitzustellen und zu warten. Dies schließt Microsoft Visual Studio .NET und XMLWebdienste mit ein. Sie benötigen hierzu fünf Hauptprüfungen und eine Wahlprüfung. T Sie sind als Microsoft Certified Solution Developer (MCSD) befähigt, kundenspezifische Unternehmenslösungen mit Hilfe der Entwicklungstools und Technologien, einschließlich .NET Framework von Microsoft, zu analysieren, zu entwerfen und zu entwickeln. Sie legen dafür drei Hauptprüfungen (und für .NET vier Prüfungen) sowie eine Wahlprüfung ab.

TIPP

T Mit dem Microsoft Certified Professional (MCP) erlangen Sie umfangreiches Wissen über mindestens ein Betriebssystem oder eine architektonische Plattform. Damit sind Sie befähigt, das entsprechende Produkt im Rahmen einer Geschäftslösung für eine Organisation zu implementieren. Sie müssen dafür eine Zertifizierungsprüfung absolvieren und können sich danach auf Wunsch weiterqualifizieren.

Wenn Sie den MCP-Status erreichen wollen, sind Sie mit der Prüfung 70-294 automatisch zertifiziert.

B.2

Prüfungen zum MCSE

Für die Firmenzertifizierung MCSE müssen Sie sechs Hauptprüfungen und eine Wahlprüfung ablegen. Sie haben hierfür einen Prüfungspool zur Verfügung, in dem Sie wie folgt Prüfungen auswählen müssen. Die Reihenfolge der Prüfungen bleibt Ihnen überlassen. Sie müssen folgende Hauptprüfungen für Microsoft Windows Server 2003 absolvieren: T Prüfung Nr. 70-290: Managing and Maintaining a Microsoft Windows Server 2003 Environment T Prüfung Nr. 70-291: Implementing, Managing, and Maintaining a Microsoft Windows Server 2003 Network Infrastructure T Prüfung Nr. 70-293: Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastrukture T Prüfung Nr. 70-294: Planning, Implementing, and Maintaining a Microsoft Windows Server 2003 Active Directory Infrastructure Sie müssen aus folgenden Prüfungen eine auswählen: T Prüfung Nr. 70-270: Installing, Configuring, and Administering Microsoft Windows XP Professional T Prüfung Nr. 70-210: Installing, Configuring, and Administering Microsoft Windows 2000 Professional Sie müssen aus zwei Design-Examen eines auswählen: T Prüfung Nr. 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure T Prüfung Nr. 70-298: Designing Security for a Microsoft Windows Server 2003 Network

698

B.2 Prüfungen zum MCSE

B – Der Weg zur Zertifizierung

Bei der Wahlprüfung müssen Sie eine unter folgenden Prüfungen wählen: T Exam 70–086: Implementing and Supporting Microsoft Systems Management Server 2.0 T Exam 70-227: Installing, Configuring, and Administering Microsoft Internet Security and Acceleration (ISA) Server 2000, Enterprise Edition T Exam 70-228: Installing, Configuring, and Administering Microsoft SQL Server™ 2000 Enterprise Edition T Exam 70-229: Designing and Implementing Databases with Microsoft SQL Server 2000 Enterprise Edition T Exam 70-232: Implementing and Maintaining Highly Available Web Solutions with Microsoft Windows 2000 Server Technologies and Microsoft Application Center 2000 T Exam 70-281: Planning, Deploying, and Managing an Enterprise Project Management Solution T Exam 70-282: Designing, Deploying, and Managing a Network Solution for a Small- and Medium-Sized Business T Exam 70-284: Implementing and Managing Microsoft Exchange Server 2003 T Exam 70-297: Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure T Exam 70-298: Designing Security for a Microsoft Windows Server 2003 Network T Exam 70-299: Implementing and Administering Security in a Microsoft Windows Server 2003 Network

B.3

Anmeldung zur Prüfung

Sie können sich zur Prüfung an einen Microsoft-zertifizierten Testanbieter wenden, um Ihre Zertifizierung abzulegen. Sie benötigen hierfür keinen Nachweis über eine Microsoft-Schulung o.Ä. Die Testcenter sind nicht für den Inhalt der Prüfungsfragen verantwortlich. Microsoft ändert hin und wieder kurzfristig seine Prüfungsmodalitäten. Informieren Sie sich bitte über folgende Internetseiten: http://www.microsoft.com/germany/ms/zertifizierung/default.htm http://www.microsoft.com/germany/ms/zertifizierung/windowsserver2003/default.htm

Hier erhalten Sie auch Adressen der Testanbieter. Zurzeit können Sie Ihre Tests bei folgenden Anbietern durchführen: Anbieter

Telefon

Web-Adresse

Pearson-Vue

0800-62 78 37 87

www.vue.com

Thomson-Prometric

0800-18 39 708

www.prometric.com

Tabelle B.1: Testanbieter, die Sie an die Testcenter weiterleiten.

B.3 Anmeldung zur Prüfung

699

MCSE Examen 70-294

Die Testanbieter verweisen Sie an ein ihnen angeschlossenes Testcenter, das Sie nach Ihren Wünschen auswählen können. Hier lohnt sich der Einsatz einer Kreditkarte. Sie können sich dann in Abhängigkeit von freien Plätzen beim Testcenter sofort einen Testtermin aussuchen. Sie erhalten vom Testcenter anschließend in der Regel eine E-Mail, in der Sie über die Testmodalitäten (Pünktlichkeit, Dauer und Anfahrtsweg zum Testcenter) informiert werden. Falls Sie keine Mail erhalten sollten, empfehlen wir Ihnen einen sofortigen Anruf beim Testanbieter. Bei der Firma Pearson-Vue können Sie über ein Login Ihren Prüfungsstatus per Internet überprüfen. Auch eine Umbuchung des Tests ist bei Pearson-Vue möglich. Weitere Informationen zum Umbuchen erhalten Sie mit Ihrer Bestätigungsmail oder können Sie bei Pearson-Vue erfragen.

700

B.3 Anmeldung zur Prüfung

C Glossar Abgesicherter Modus

Eine Startoption des Windows Server-Betriebssystems, die über die Taste (F8) beim Start aufgerufen werden kann. Sie dient zur Wartung des Kernbetriebssystems und kann auch zur Reparatur von Active Directory verwendet werden.

Active Directory Services Interface (ADSI)

Ein Dienstmodell, das auf COM (Component Object Model) basiert. ADSIkompatible Anwendungen haben die Möglichkeit, auf eine Vielzahl von Protokollen in Active Directory zuzugreifen.

Active Directory

Auch Verzeichnisdienst genannt. Active Directory ist im Lieferumfang einer Windows Server 2003 Standard-, Enterprise- oder Datacenter-Edition enthalten und bietet eine zentrale Verwaltung diverser Ressourcen in einem Netzwerk. Als Basis dieser Verwaltung dient eine relationale Datenbank, die Active Directory-Datenbank, in der alle Elemente objektorientiert abgelegt sind.

Active DirectoryBenutzer und -Computer

Eine Managementkonsole, die eine zentrale Verwaltung von Objekten erlaubt, die im Zusammenhang mit Benutzern und Computern stehen. Dazu gehören Organisationseinheiten, Gruppenrichtlinienobjekte, Gruppen-, Benutzer-, Computer- oder Kontaktobjekte.

Active DirectoryEine Managementkonsole, mit der Sie Vertrauensstellungen zwischen DomäDomänen und -Ver- nen und Gesamtstrukturen erstellen und verwalten können. trauensstellungen Active Directoryintegrierte Zone

Eine primäre DNS-Zone, die in Active Directory anstelle einer Zonendatei gespeichert wird. Die Integration in Active Directory verbessert die Sicherheit, Performance und die Ausfallsicherheit. Sie benötigen hierfür einen DNSDienst auf einem Domänencontroller.

Active DirectorySchema

Siehe Schema

Active DirectoryStandorte und -Dienste

Eine Managementkonsole, die die physikalische Struktur einer Active DirectoryInfrastruktur verwaltet. Sie können hier Standorte und Verbindungsobjekte zur Replikation erstellen und verwalten.

ADM

Eine Dateierweiterung für administrative Vorlagen.

701

MCSE Examen 70-294

Administrative Vorlagen

Eine ASCII-Datei, die als ADM-Datei von der Gruppenrichtlinie als Quelle zum Generieren der Einstellungen für die Benutzeroberfläche verwendet wird.

Algorithmus

Eine Regel oder Prozedur zum Lösen von Aufgaben. Die IP-Sicherheit (IPSec) verwendet beispielsweise Kryptographiealgorithmen zum Verschlüsseln von Daten.

Antwortdatei

Eine Datei, die für die unbeaufsichtigte Installation verwendet wird. Sie können dort alle Informationen abspeichern, die das Programm dcpromo.exe für die Installation benötigt.

Anwendungsverzeichnispartition

Teil von Active Directory. Hier werden die anwendungsspezifischen Daten von Active Directory gespeichert. Anwendungsverzeichnispartitionen sind nicht standardmäßig Bestandteil des Verzeichnisdatenspeichers. Sie stellen eine Option dar, um benutzerdefiniert eine Replikation von beliebigen Objekten (mit Ausnahme von Sicherheitsprinzipalen) an beliebige Domänencontroller zu steuern.

Arbeitsgruppe

Eine einfache Gruppierung von Computern, die lediglich eingerichtet wird, um Benutzern die Suche nach Objekten, wie beispielsweise Druckern oder Freigaben, zu erleichtern. Arbeitsgruppen in Windows bieten keine zentralisierte Administration und Authentifizierung, wie sie beispielsweise über Active Directory vorgenommen werden. Ein Netzwerk mit einer Arbeitsgruppe wird auch als Peer-to-Peer-Netzwerk bezeichnet.

Attribut

Eine Eigenschaft, die ein Objekt ähnlich beschreibt, wie ein Adjektiv ein Substantiv. In vielen Fällen kann es auch als Eigenschaft bezeichnet werden.

Authentifizierung

Ein Prozess, der die Aufgabe hat, die Benutzer- und Computeranmeldung an die Domäne zu überprüfen. Es kann beispielsweise die Echtheit und Integrität einer Informationsquelle oder eine digitale Signatur geprüft werden.

Autorisierende Wiederherstellung

Ein Wiederherstellungsvorgang auf einem Domänencontroller, der Active Directory ausführt. Eine autorisierende Wiederherstellung wird mithilfe von Ntdsutil.exe ausgeführt und hat immer eine nicht autorisierende Wiederherstellung als Basis. Die Objekte in dem wiederhergestellten Verzeichnis werden als autorisierend behandelt, um sie vor einem Überschreiben durch Replikation zu schützen.

Autorisierender Namenserver

Ein DNS-Server, der Abfragen nach DNS-Namen beantworten kann. Er hat somit die Autorität, DNS-Abfragen für eine bestimmte Zone aufzulösen. Ein autorisierender Namenserver hostet eine lokale Zonendatei oder ist in Active Directory integriert.

Bandbreite

Die Menge an Daten, die in einem festgelegten Zeitraum über einen Kommunikationskanal übertragen wird. Je höher die Bandbreite des Netzwerks ist, desto schnellere Datenübertragungen sind möglich. Die Bandbreite wird in Einheiten von Bit/s angegeben (z.B. MBit/s).

Basisordner

Eine Art Standardordner für Benutzer. Administratoren können Benutzern oder Gruppen einen Basisordner auf einem Server zuweisen, um die Verwaltung der Daten in einem Netzwerk zu vereinfachen.


Kann ein autorisierender Namenserver die DNS-Anfrage eines DNS-Clients nicht beantworten, wird eine Weiterleitung initiiert. Bei der bedingten Weiterleitung wird eine Bedingung an die Weiterleitung verknüpft. Die Weiterleitung übergibt die Abfrage nun an einen DNS-Server in der angegebenen Domäne. DNSServer, die für die bedingte Weiterleitung konfiguriert sind, müssen zur Namensauflösung nicht auf die Rekursion zurückgreifen.

702

C – Glossar

Benutzerkonto

Ein Objekt in Active Directory oder in einer anderen Sicherheitsdatenbank, das alle Informationen enthält, um einen Benutzer zu definieren. Darunter fallen Eigenschaften, wie Anmeldename, Kennwort oder Gruppenmitgliedschaften. In Active Directory werden Benutzerkonten in die Active DirectoryDatenbank abgelegt.

Benutzername

Ein eindeutiger Name zur Festlegung eines Benutzerkontos. Der Name darf nicht mit einem anderen Gruppen- oder Benutzernamen identisch sein.

Benutzerprinzipalname (User Principal Name, UPN)

Ein Benutzerkontenname bzw. Benutzeranmeldename, der aus einem normalen Namen und der Domänenkennung besteht, in der das Benutzerkonto gespeichert ist. Sie können sich über einen UPN an einer Active DirectoryDomäne anmelden. Das Format lautet ähnlich wie bei einer E-Mail-Adresse Benutzer@Domäne.de.

Benutzerrechte

Sie definieren Aufgaben, die ein Benutzer in einer Domäne oder auf Computersystemen vornehmen darf. Darunter fallen solche Aufgaben wie das Durchführen von Sicherungen oder das Verwalten (Erstellen, Modifizieren oder Löschen) von Sicherheitsprinzipalen (Gruppen-, Benutzer,- oder Computerkonten). Benutzerrechte werden oft auch als Privilegien (engl. Privileges) bezeichnet.

Berechtigung

Eine einem Objekt zugewiesene Regel, die festlegt, welche Benutzer auf welche Art und Weise auf das Objekt zugreifen können. Objekte können beispielsweise Active Directory-Objekte, Dateien, Ordner, Freigaben oder Drucker sein.


Eine Form von Vertrauensstellung. Sie besteht zwischen einem Nicht-Windows-Kerberos-Bereich und einer Windows Server 2003-Domäne. Sie kann transitiv oder nicht transitiv, uni- oder bidirektional sein.

Betriebsmasterfunktion

Ein Domänencontroller, dem eine oder mehrere spezielle Funktionen zugewiesen sind. Diese Funktionen werden Einzelmasteroperationen genannt (Flexible Single Master Operations, FSMO). Zu den Betriebsmasterrollen der Domänen gehören: RID-Master, Infrastrukturmaster und PDC-Emulation (oder PDC-Emulator). Nur die Stammdomäne hat noch zwei zusätzliche Rollen: Schemamaster und Domänennamenmaster.

Bevorzugter Bridgeheadserver

Ein Domänencontroller, der die Standortverknüpfung verwaltet. Er unterscheidet sich von einem Bridgeheadserver dadurch, dass er von einem Administrator bestimmt worden ist. Fällt ein bevorzugter Bridgeheadserver aus, verwendet der KCC automatisch einen weiteren bevorzugten Bridgeheadserver. Gibt es keinen bevorzugten Bridgeheadserver mehr, wird die Replikation im Standort ausgesetzt.

BIND-Server

Ein leistungsfähiger DNS-Namenserver, der auf einem Linux- oder Unix-Server ausgeführt wird. BIND ist die Abkürzung für Berkeley Internet Name Domain.

Bridgeheadserver

Ein Domänencontroller, der die Standortverknüpfung verwaltet. Bridgeheadserver bilden einen Brückenkopf zwischen den Standorten. Sie kommunizieren per Voreinstellung sowohl über das Internet-Protokoll (IP), als auch über das SMTP (Simple Mail Transfer Protocol). Bridgeheadserver werden vom Prozess Knowledge Consistency Checker (KCC) verwaltet und ggf. ersetzt.

CIM-ObjektManager

Die primäre Komponente in der Verwaltungsinfrastruktur der WBEM-Technologie (Web Based Enterprise Management). Clientanwendungen greifen auf den CIM-Objekt-Manager zu, um den richtigen Anbieter (WBEM-Provider) zu finden. Der CIM-Objekt-Manager verwaltet die CIMOM-Datenbank, die auch für den Richtlinienergebnissatz (RSoP) benötigt wird.

703

MCSE Examen 70-294

Client

Computer oder Programme, die eine Verbindung zu anderen Computern oder Programmen herstellen bzw. auf anderen Computern (insbesondere Servern) oder Programmen Abfragen ausführen.

COM (Component Object Model)

Ein objektorientiertes Programmiermodell, in dem bestimmt ist, wie Objekte innerhalb einer Anwendung oder zwischen verschiedenen Anwendungen interagieren. In COM greift Clientsoftware über einen Schnittstellenzeiger auf ein Objekt zu.

Containerobjekt

Ein Objekt in Active Directory, das andere Objekte logisch enthalten kann. Ein Beispiel für einen Container ist ein Ordner.

DACL

Siehe Unumschränkte Zugriffssteuerungsliste.

Dateireplikationsdienst

Ein Dienst, der von DFS (Distributed File System) zum Synchronisieren von Daten zwischen zugeordneten Replikaten sowie von Active Directory-Standorten und -Diensten zum Replizieren von topologischen und globalen Katalogdaten der Domänencontroller verwendet wird.

Defragmentierung

In Active Directory ordnet die Defragmentierung an, wie die Daten in die Active Directory-Datenbank geschrieben werden müssen, um die Datei zu komprimieren. Bei einer Offline-Defragmentierung wird noch zusätzlich die Dateigröße der Datenbankdatei ntds.dit verkleinert.

Delegierung

DNS-Namensräume können in zusätzliche Zonen aufgesplittet werden. Beim DNS bedeutet Delegierung die Zuweisung der Verantwortung für eine DNSZone. Sie findet statt, wenn der Ressourceneintrag eines Namenservers in der übergeordneten Zone denjenigen DNS-Server auflistet, der autorisierend für die untergeordnete Zone ist. Der gleiche Vorgang kann auch verwendet werden, um die Verantwortung für Domänennamen zwischen den DNS-Servern im Netzwerk zu verteilen.

DFS (Distributed File System)

Ein Dienst von Windows Server 2003 und Windows 2000 Server, der freigegebene Ordner auf verschiedenen Dateiservern zu einem Namensraum transparent verknüpft, um den Lastenausgleich und die Datenverfügbarkeit zu optimieren. Ein DFS sieht aus Sicht eines Benutzers immer wie eine einzige Freigabe aus, obwohl die Daten aus verschiedenen Freigaben stammen.

Diensttickets

Sind Anmeldeinformationen, die ein Client einem Dienst im KerberosAuthentifizierungsprotokoll zur Verfügung stellt. Die Dienstticketausstellung ist Teil der Authentifizierung von Windows Server 2003 Active Directory.

Distributed Component Object Model (DCOM)

Eine Weiterentwicklung des COM von Microsoft. Diese COM-Spezifikation definiert, wie Komponenten über Windows-basierte Netzwerke miteinander kommunizieren. Das DCOM ist die Weiterentwicklung des Object Linking and Embedding-Modells (OLE).

DNS-Namensraum

Ist eine hierarchische, baumartige Struktur von Namen. Jeder Name bezeichnet eine Domäne bzw. Zone. Die Schreibweise hierfür ist ein vollqualifizierter Domänenname (Fully Qualified Domain Name, FQDN). Der DNS-Namensraum wird auch als DNS-Namespace bezeichnet.

DNS-Resolver

Der DNS-Resolver ist ein Dienst, der auf DNS-Clients ausgeführt wird. Er ist für die DNS-Abfragen an den DNS-Servern zuständig.

704

C – Glossar

DNS-Server

Hiermit ist ein Computergerät gemeint, das den DNS-Serverdienst ausführt. FQDNs werden in IP-Adressen aufgelöst. Als Betriebssysteme kommen Windows NT, Windows 2000 Server oder Windows Server 2003, aber auch andere Betriebssysteme in Betracht.

Domänenfunktionsebenen

Dienen dazu, Microsoft Windows NT- und Windows 2000 Server-Domänen in das Windows Server 2003 Active Directory zu integrieren. Die Domänenfunktionsebenen betreffen nur den Betrieb der Domänencontroller. Sie haben folgende Funktionsebenen zur Verfügung: Windows 2000 gemischt, Windows 2000 pur, Windows Server 2003 interim und Windows Server 2003. Nur in der höchsten Ebene stehen alle Windows Server 2003-Features zur Verfügung.

Domänenkonsolidierung

Das Zusammenführen mehrerer Domänen zu einer größeren Domäne.

Domänennamenmaster

Verwaltet das Erstellen und Entfernen von Domänen innerhalb der Gesamtstruktur. In dieser darf es immer nur einen Domänennamenmaster geben.

Domänenpartition

Beschreibt den logischen Aufbau der Domäne. Hier finden Sie Informationen zu Objekten in einer Domäne, d.h. Sicherheitsprinzipale, wie beispielsweise Benutzer- oder Computerkonten. Die Informationen sind domänenspezifisch und werden daher auf alle Domänencontroller derselben Domäne repliziert. Andere Domänen der Gesamtstruktur werden nicht angesprochen.

Dsastat.exe

Ein Dienstprogramm auf Befehlszeilenebene, das die Verzeichnispartitionen von Domänencontrollern vergleicht und vorhandene Unterschiede ermittelt. Es kann überprüft werden, ob Domänencontroller miteinander synchronisiert und auf dem neuesten Stand sind.

Eigenständiger Server

Ein Computer, auf dem ein Windows Server-Produkt ausgeführt wird und der nicht Mitglied einer Domäne ist. Er verfügt über eine autonome Benutzerdatenbank und verarbeitet Anmeldeinformationen eigenständig.

Explizite Vertrauensstellung

Eine Vertrauensstellung, die manuell erstellt wurde.

Externe Vertrauensstellung

Eine Vertrauensstellung, die zwischen zwei Active Directory-Domänen in unterschiedlichen Gesamtstrukturen oder zwischen einer Active Directory-Domäne und einer Windows NT-Domäne erstellt wird. Externe Vertrauensstellungen sind nicht transitiv. Sie können uni- oder bidirektional sein.

Externer Namensraum

Ein öffentlicher Namensraum (Namespace) wie das Internet. Der Namensraum wird von der Internet Corporation for Assigned Names and Numbers (ICANN) und anderen, wie zum Beispiel DENIC, verwaltet.

Firewall

Eine Kombination aus Hard- und Software, um einen unberechtigten Zugriff von außen auf ein internes Netzwerk oder Intranet zu verhindern.

Freigabe

Ermöglicht das Veröffentlichen von freigegebenen Ordnern und Druckerressourcen in Active Directory, damit Benutzer sie einfacher finden können.

Garbage Collection

Ein Active Directory-interner Verwaltungsprozess, der das Bereinigen der Active Directory-Verzeichnisdienste zur Aufgabe hat. Er wird auf Windows Server 2003-basierenden Domänencontrollern Per Voreinstellung alle 12 Stunden ausgeführt.

Gastkonto

Ein vordefiniertes Konto für die Anmeldung bei einem Computer unter Windows 2000 und Windows Server 2003. Gastkonten können mit oder ohne Kennwort verwendet werden. Per Voreinstellung ist ein Gastkonto deaktiviert.

705

MCSE Examen 70-294

Gesamtstruktur

Eine logische Gruppierung oder hierarchische Anordnung von einer oder mehreren Strukturen, die durch getrennte Namensräume charakterisiert sind und über eine beidseitige transitive Vertrauensstellung zwischen den Stammdomänen der jeweiligen Strukturen verbunden sind. Alle Strukturen der Gesamtstruktur verwenden gemeinsam ein Schema, eine Konfiguration und einen globalen Katalog. Wenn eine Gesamtstruktur mehrere Strukturen enthält, bilden diese Strukturen keinen fortlaufenden Namensraum.

Gesamtstrukturfunktionsebenen

Ermöglichen Funktionen für alle Domänen innerhalb der Gesamtstruktur. Sie müssen in Ihren Domänen mindestens die Domänenfunktionsebene Windows 2000 pur eingestellt haben, damit Sie die Gesamtstrukturfunktionsebene auf Windows Server 2003 heraufstufen können. Sie müssen weiterhin alle vorhandenen Windows 2000 Domänencontroller innerhalb der Gesamtstruktur auf Windows Server 2003 aktualisieren. Es stehen drei Gesamtstrukturfunktionsebenen zur Verfügung: Windows 2000 (Standard), Windows Server 2003 interim und Windows Server 2003. Nur in der höchsten Ebene stehen alle Windows Server 2003-Features zur Verfügung.

GesamtstrukturStammdomäne

Ist die erste Domäne, die in einer Active Directory-Gesamtstruktur erstellt wird. Innerhalb einer Gesamtstruktur kann es nur eine GesamtstrukturStammdomäne geben. Sie teilt sich mit einer einzigen Struktur (Domänenstruktur) einen Namensraum.

Gesamtstrukturvertrauensstellung

Eine Vertrauensstellung, die zwischen den Stammdomänen zweier Gesamtstrukturen manuell erstellt werden kann. Sie ermöglicht es allen Domänen in einer Gesamtstruktur, eine transitive Vertrauensstellung mit allen Domänen in der anderen Gesamtstruktur einzurichten. Die Transitivität besteht maximal über 2 Gesamtstrukturen. Sie benötigen hierfür den Einsatz von Windows Server 2003-Domänencontrollern, die in der Gesamtstrukturfunktionsebene Windows Server 2003 eingestellt sind.

Globale Gruppe

Eine Gruppe in Active Directory, die in ihrer eigenen Domäne, in Mitgliedsservern und Arbeitsstationen der Domäne sowie in vertrauenden Domänen eingesetzt werden kann. Einer globalen Gruppe können Rechte und Berechtigungen an den jeweiligen Ressourcen erteilt werden. Außerdem kann die Gruppe Mitglied von lokalen Domänengruppen werden. Eine globale Gruppe kann jedoch nur Benutzerkonten aus der eigenen Domäne enthalten. Laut Microsoft-Gruppenstrategie wird allerdings empfohlen, anstelle globaler Gruppen lokale Domänengruppen zum Erteilen von Berechtigungen zu verwenden.

Globaler Katalog

Ein Active Directory-Dienst, der Verzeichnisdaten von allen Quelldomänen auf einen Speicherort der Installationsstruktur ablegt. Die Benutzer können Abfragen zu Objekten an den globalen Katalog richten, wobei der logische oder physikalische Speicherort des Objekts nicht von Bedeutung ist. Der globale Katalog wurde für die leistungsstarke Auflösung von Abfragen konzipiert. Er speichert die Attribute, die bei Suchvorgängen am häufigsten verwendet werden, und solche Attribute, die zur Suche einer vollständigen Objektreplikation notwendig sind. Er enthält auch die Liste der Mitgliedschaften in universellen Gruppen, die für einen domänenübergreifenden Zugriff notwendig ist.

Globaler Katalogserver

Ein Domänencontroller, der die Kopie eines globalen Katalogs hostet.

GPO

Siehe Gruppenrichtlinienobjekt (Group Policy Object, GPO)

706

C – Glossar

Gpresult.exe

Ein Dienstprogramm auf Befehlszeilenebene, mit dem eine Richtlinienergebnissatz-Abfrage durchgeführt werden kann. Sie erhalten weiterhin allgemeine Informationen über das Betriebssystem, den Benutzer und den Computer.

GPUpdate.exe

Ein Dienstprogramm auf Befehlszeilenebene, mit dem Gruppenrichtlinien sofort auf Domänencontrollern und Mitgliedsservern (der Betriebssystemfamilie Windows Server 2003) aktualisiert werden können. Gleiches gilt auch für Windows XP-Workstations. GPUpdate ersetzt den Befehl secedit.exe /refreshpolicy aus Windows 2000 Server.

Gruppe

Eine Auflistung von Computern, Kontakten, Benutzern und anderen Gruppen. Gruppen in Active Directory können in Sicherheitsgruppen und in Verteilergruppen unterteilt werden. Verteilergruppen werden nur für die Verteilung von E-Mail (in Verbindung mit Exchange Server) verwendet. Sicherheitsgruppen werden für die Erteilung von Zugriffsberechtigungen und für die E-Mail-Verteilung eingesetzt. In einem Servercluster handelt es sich bei einer Gruppe um eine Auflistung von Ressourcen und um die Grundeinheit für das Failover. Siehe auch: lokale Domänengruppe oder globale Gruppe.

Gruppenbereich

Jede Sicherheits- und Verteilergruppe in Active Directory verfügt über einen Bereich, der bestimmt, in welchem Umfang die Gruppe verwendet wird. Es gibt drei Gruppenbereiche: Universal, Global und Lokale Domäne.

Gruppenrichtlinie

Mit Hilfe von Gruppenrichtlinien können Sie Standardeinstellungen festlegen, die automatisch auf Benutzer- und Computerkonten in Active Directory angewendet werden. Sie können beispielsweise mit Gruppenrichtlinien die Darstellung des Desktops verwalten, Benutzer- und Computerskripte zuweisen oder Ordner von lokalen Computern an Netzwerkpfade umleiten. Die Gruppenrichtlinieneinstellungen (oder auch Richtlinieneinstellungen genannt) werden in Gruppenrichtlinienobjekten (Group Policy Objects) gespeichert.

Gruppenrichtlinienobjekt

Eine Auflistung von Einstellungen für Gruppenrichtlinien (Group Policy). Bei Gruppenrichtlinienobjekten handelt es sich um die vom Snap-In Gruppenrichtlinien erstellten Dokumente. Diese Objekte werden auf der Domänenebene gespeichert und gelten für Benutzer und Computer in Standorten, Domänen und Organisationseinheiten. Jeder Computer besitzt weiterhin ein lokal gespeichertes Gruppenrichtlinienobjekt (lokales Gruppenrichtlinienobjekt).

Gruppentyp

Gibt an, wie die Gruppe verwendet werden soll. Es existieren zwei Gruppentypen: Sicherheitsgruppen und Verteilergruppen. Siehe auch: Sicherheitsgruppe und Verteilergruppe.

GUI

Das Kürzel GUI (Graphical User Interface) bezeichnet die grafische Benutzeroberfläche.

GUID

Der Globally Unique Identifier ist eine global eindeutige Kennung. Er ist ein 16-Byte-Wert, der aus der eindeutigen Kennung auf einem Gerät, dem Datum und der Uhrzeit sowie einer Sequenznummer generiert wird. Ein GUID bezeichnet eine bestimmte Komponente oder ein bestimmtes Gerät.

Hash

Eine Reihe von Bytes mit fester Länge, die ein Programm, eine Datei oder einen Sitzungsschlüssel eindeutig identifizieren. Siehe auch: Hashalgorithmus.

Hashalgorithmus

Ein Algorithmus, der seinen Hashwert aus einer Datenmenge erzeugt. Dies kann beispielsweise eine Datei oder ein Sitzungsschlüssel sein. Siehe auch: Hash.

707

MCSE Examen 70-294

Hashregel

Eine Regel zur Softwareeinschränkung, die eine Datei oder ein Programm anhand eines generierten Hashs erkennt. Der Hash einer Datenstruktur ist ein so charakteristisches Merkmal wie zum Beispiel ein Fingerabdruck.

IETF (Internet Engineering Task Force)

Eine offene Gemeinschaft aus Herstellern, Netzwerkentwicklern, Operatoren und Forschern, die sich mit der Weiterentwicklung der Internetarchitektur beschäftigen. Der technische Teil wird von Arbeitsgruppen ausgeführt, die innerhalb themenorientierter Abteilungen (zum Beispiel Sicherheit, Routing oder Übertragung) und über Verteilerlisten zusammenarbeiten. Die IETF entwickelt Internetstandards, die in RFC-Dokumenten veröffentlicht werden. Diese Dokumente enthalten Informationen zur Computerkommunikation und sind vor allem auf Netzwerkprotokolle, Programme und Konzepte ausgerichtet.

Implizite Vertrauensstellung

Eine automatisch erzeugte Vertrauensstellung.

Infrastruktur öffentlicher Schlüssel (PKI)

PKI (Public Key Infrastructure) ist ein Oberbegriff für die Verwendung von öffentlichen und privaten Schlüsseln. In der Praxis handelt es sich um ein System von Zertifizierungsstellen und anderen Registrierungsstellen, die die Gültigkeit der Parteien einer elektronischen Transaktion prüfen und authentifizieren. Eine populäre Anwendung von PKI sind digitale Zertifikate, die bei Internetbanking-Anwendungen eingesetzt werden.

Infrastrukturmaster

Stellt die Konsistenz der Objekte für alle Zwischendomänenoperationen sicher. Er wird nur für die Verwaltung von Verweisen auf Objekte in anderen Domänen benötigt. Sobald ein Verweis für ein Objekt von einer anderen Domäne erstellt wird, beinhaltet dieser Verweis die GUID (Globaly Unique Identifier), die SID (Security Identifier) und den DN (Distinguished Name oder bestimmter Name) des Objekts. Falls Objekte verschoben werden, werden die Einträge entsprechend der Zieldomäne angepasst.

Interner Namensraum

Der Namensraum (Namespace), der von einer Organisation (Firma, Privat etc.) genutzt werden kann. Interne Namensräume schirmen den Zugriff vom Internet ab. Eine öffentliche Vergabe existiert nicht.

Internetzonenregel Die Zonenregel kann Software aus einer Zone identifizieren, die über den Internet Explorer angegeben wurde. KDC (Key Distribution Center)

Siehe Schlüsselverteilungscenter.

Kerberos

Ein Authentifizierungsprotokoll. Dient zur Prüfung der Benutzer- oder Hostidentität. Das Protokoll Kerberos V5 (Version 5) ist der Standardauthentifizierungsdienst für Windows 2000 Server und Windows Server 2003. Es ist eine Eigenart von Microsoft, seine Dienste wie ein Protokoll zu benennen. Mit dem Kerberos-Protokoll verschlüsselt das Betriebssystem vertrauliche Daten wie beispielsweise Kennwörter. Auch IPSec und der QoS-Zugangssteuerungsdienst verwenden das Kerberos-Protokoll für die Authentifizierung.

Knoten

Ein Knoten ist ein Standort in einer Active Directory-Struktur, der Verknüpfungen mit weiteren untergeordneten Elementen haben kann. In der Managementkonsole wird ein Knoten durch ein Verzeichnissymbol dargestellt. In der LAN-Terminologie hingegen handelt es sich um ein Gerät, das mit dem Netzwerk verbunden ist und mit anderen Netzwerkgeräten kommunizieren kann. Bei Serverclustern handelt es sich um einen Server mit installierter Clusterdienstsoftware, der ein Teil eines Clusters ist.

708

C – Glossar

Konfigurationspartition

Hier befinden sich Domänenstruktur und Replikationstopologie. Es befindet sich dort eine Auflistung aller Domänen, Strukturen, Gesamtstrukturen sowie die Standorte der Domänencontroller und der globalen Katalogserver. Diese Informationen werden auf alle Domänencontroller der Gesamtstruktur repliziert.

Konfigurationspartition

Eine Active Directory-Partition, in der sich die Domänenstruktur und die Replikationstopologie wiederfinden. Die Konfigurationspartition enthält eine Auflistung aller Domänen, Strukturen, Gesamtstrukturen sowie die Standorte der Domänencontroller und des globalen Katalogservers. Diese Informationen werden auf alle Domänencontroller der Gesamtstruktur repliziert.

Konsolenstruktur

Der Bereich auf der linken Seite einer Managementkonsole. Die Elemente der Konsolenstruktur (beispielsweise Knoten, Ordner und Steuerelemente) und deren hierarchische Organisation bestimmen die Verwaltungsfähigkeit einer Konsole.

Konsolidieren

Siehe Domänenkonsolidierung.

Kontendomäne

Eine Windows NT-Domäne, die die Daten für die Benutzerkonten enthält. Diese Domäne wird auch Masterdomäne genannt.

Kontingent

Mit einem Kontingent legen die Anzahl der Objekte fest, deren Besitzer ein Sicherheitsprinzipal sein darf. Sie verhindern das Blockieren des Systembetriebs, das eintreten kann, wenn ein Sicherheitsprinzipal zu viele Objekte erstellt. Dies kann bewirkten, dass der Speicherplatz erschöpft ist und der Computer abstürzt.

Kontingente

Mit Kontingenten wird die Anzahl der Objekte bestimmt, die ein Sicherheitsprinzipal, zum Beispiel ein Benutzer, auf einer gegebenen Verzeichnispartition besitzen kann. Mit dieser Funktion eines Domänencontrollers kann einer Dienstverweigerung (Denial of Service, DoS) vorgebeugt werden.

Kosten

Eine Metrik ohne Einheit, die in Standortverknüpfungen verwendet wird und die Bevorzugung einer bestimmten Verbindung angibt. Kosten werden auch für Routerverbindungen verwendet.

Kryptographie mit öffentlichen Schlüsseln

Ein Kryptographieverfahren, bei dem zwei verschiedene Schlüssel verwendet werden: ein öffentlicher Schlüssel zum Verschlüsseln von Daten und ein privater Schlüssel für die Entschlüsselung. Die Kryptographie mit öffentlichen Schlüsseln wird auch asymmetrische Kryptographie genannt.

Kryptographie

Die Wissenschaft von der Informationssicherheit. Zur Kryptographie gehören vier grundlegende Sicherheitsfunktionen: Vertraulichkeit, Integrität, Authentifizierung und Zulassung.

LAN (Local Area Network)

Ein Netzwerk, das netzwerkfähige Geräte (Computer, Netzwerkdrucker etc.) miteinander verbindet, die sich in einem relativ begrenzten Gebiet befinden. Das Gebiet kann beispielsweise in einem Firmengebäude liegen. Über das LAN kann jedes verbundene Gerät mit anderen Geräten im Netzwerk agieren. Siehe auch WAN.

709

MCSE Examen 70-294

LAN Manager

Ein Netzwerkbetriebssystem, das von Microsoft und IBM entwickelt wurde. Ziel war es, zur zentralen Benutzerauthentifizierung einen LAN-ManagerServer einzusetzen, der somit den Vorläufer eines modernen Domänencontrollers darstellt. Der IBM LAN Manager wurde auf OS/2- und UNIX-Computern ausgeführt. Der LAN Manager ist die Basis von Windows NT Server und wurde für Windows 2000 Server bzw. Windows Server 2003 hinsichtlich Performance und Sicherheit weiterentwickelt. Die aktuelle Version hat Microsoft NT LAN Manager Version 2 (NTLMv2) genannt. Unter gewissen Umständen kann immer noch eine Kommunikation zwischen alten LAN Manager 2.x-Systemen hergestellt werden. Hierfür muss allerdings auf die Sicherheit (Verschlüsselung etc.) verzichtet werden. Die Einstellung erfolgt in einer Richtlinie bzw. in der Registrierung des betreffenden Servers.

LDAP (Lightweight Directory Access Protocol)

Das primäre Zugriffsprotokoll für Active Directory. LDAP ist ein für den TCP/IP-Stack entwickeltes Kommunikationsprotokoll. Es legt fest, auf welche Weise Verzeichnisclients auf Verzeichnisserver zugreifen, Verzeichnisaktionen durchführen und freigegebene Verzeichnisdaten nutzen können. Active Directory unterstützt die LDAP-Versionen 2 und 3. LDAP ist ein offener Internetstandard und ist u. a. im RFC-Dokument 2251 (Version 3) definiert.

Lokale Domänengruppe

Auch Gruppen der lokalen Domäne genannt. Sie sind nur in ihrer eigenen Domäne sichtbar und werden verwendet, um Berechtigungen für Ressourcen zu erteilen. In diesen lokalen Domänengruppen können Sie Gruppen vom Typ Global, Universal oder Lokale Domäne einfügen. Sie sind nicht mit lokalen Gruppen zu verwechseln, da diese nur in der lokalen Sicherheitsdatenbank der jeweiligen Workstations oder Mitgliedsserver definiert sind.

Lokale Gruppe

Eine Gruppe bei Mitgliedservern und bestimmten Clientbetriebssystemen, die nur in der lokalen Sicherheitsdatenbank des betreffenden Computers existiert. Sie wird verwendet, um Berechtigungen auf lokale Ressourcen zu gewähren. Sie kann nicht selbst Mitglied anderer Gruppen sein. Lokale Gruppen sind nicht mit lokalen Domänengruppen zu verwechseln, da sie nicht in Active Directory abgespeichert und verwaltet werden.

Lokales Gruppenrichtlinienobjekt (GPO)

Wird auf jedem Computer gespeichert, auf dem Windows 2000, Windows XP oder Windows Server 2003 ausgeführt wird. Es kann immer nur ein lokales Gruppenrichtlinienobjekt (GPO) auf dem Computer vorliegen. Dieses Objekt umfasst eine Teilmenge der Einstellungen für ein nichtlokales Gruppenrichtlinienobjekt. Falls Konflikte zwischen lokalen und nichtlokalen Gruppenrichtlinienobjekten bestehen, werden per Voreinstellung die lokalen Gruppenrichtlinien überschrieben. Siehe auch: Nichtlokales Gruppenrichtlinienobjekt.

Loopbackoption

Administratoren können die Einstellungen für Gruppenrichtlinien auf der Basis des Computers zuweisen, bei dem sich der Benutzer anmeldet. Dieser Vorgang kann auch dann ausgeführt werden, wenn die Benutzereinstellungen bereits verarbeitet wurden.

Masternamenserver

Ein DNS-Server, der die Kopie seiner Zonendatei anderen sog. sekundären Namenservern (DNS-Servern) zur Verfügung stellt. Ein Masternamenserver kann seinerseits auch ein sekundärer Namenserver sein.

710

C – Glossar

Mitgliedsserver

Ein Computer unter Windows Server 2003, Windows 2000 Server oder Windows NT Server, der nicht als Domänencontroller konfiguriert, jedoch ein Mitglied der Domäne ist. Mitgliedsserver werden typischerweise als Datei-, Web-, Mail- oder Druckserver verwendet. Ein Mitgliedsserver hostet keine Kopie der Verzeichnisdatenbank. Es können für die Ressourcennutzung auf einem Mitgliedsserver Benutzern Berechtigungen zum Herstellen einer Verbindung zum Server erteilt werden. Ressourcenberechtigungen können für globale Domänengruppen und Benutzerkonten, lokale Domänengruppen sowie für lokale Gruppen und lokale Benutzer erteilt werden.

Multimasterreplikation

Ein Replikationsmodell, das es erlaubt, dass eine Aktualisierung von jedem Domänencontroller aus initiiert werden kann. Im Idealfall besitzen alle Domänencontroller die exakte Kopie der Verzeichnisdatenbank (Active DirecoryDatenbank). Ein primärer Domänencontroller, der bei Windows NT noch benötigt wurde, ist somit überflüssig.

Namenskontext

Ein Namenskontext ist eine beliebige zusammenhängende Unterstruktur des Active Directory-Verzeichnisses. Namenskontexte sind die Einheiten der Replikation. In Active Directory verfügt ein einzelner Domänencontroller immer über mindestens 4 Namenskontexte: Schemapartition, Konfigurationspartition (Replikationstopologie und zugehörige Metadaten) und Domänenpartition (enthält Objekte der Domäne). Weiterhin kann ein Active Directory-Verzeichnis noch aus benutzerdefinierten Anwendungspartitionen bestehen.

Nameserver/ Namenserver

Ein DNS-Server, der auf DNS-Auflösungsanforderungen von Clients innerhalb einer vordefinierten Zone antwortet. Anmerkung: Bei der Übersetzung des Begriffs ist sich Microsoft selbst nicht schlüssig. In anderen Übersetzungen können Sie auch die Übersetzung Namensserver finden. In diesem Werk wird die Übersetzung Namenserver verwendet.

Netdiag.exe

Ein Dienstprogramm auf Befehlszeilenebene, das für die Diagnose der Netzwerkverbindungen eines Servers unter Windows Server 2003 verwendet werden kann. Netdiag befindet sich unter den Support-Tools auf der Windows Server 2003-Produkt-CD.

Netdom.exe

Ein Dienstprogramm auf Befehlszeilenebene, das zum Verwalten von Verstrauensstellungen und zum Umbenennen von Domänencontrollern verwendet werden kann. Netdom ist eine Alternative zur Managementkonsole Active Directory-Standorte und -Dienste. Netdom befindet sich unter den SupportTools auf der Windows Server 2003-Produkt-CD.

Nicht autorisierende Wiederherstellung

Stellt das normale Zurückspielen der Systemstatusdateien dar. Die wiederhergestellten Objekte unterliegen anschließend der normalen Replikation anderer Datenbanken (der anderen Domänencontroller). Der so wiederhergestellte Domänencontroller erhält somit immer eine Kopie der Active Directory-Datenbank anderer Domänencontroller. Diese Aktualisierung kann u.U. von der gesicherten Version abweichen. Möchten Sie dies verhindern, müssen Sie eine autorisierende Wiederherstellung durchführen.

Nichtlokales Gruppenrichtlinienobjekt (GPO)

Nichtlokale GPOs stehen nur in der Active Directory-Umgebung zur Verfügung und gelten für Benutzer und Computer am Standort, in der Domäne oder in der Organisationseinheit, der das Gruppenrichtlinienobjekt zugeordnet ist. Zu den nicht lokalen Gruppenrichtlinien gehören standardmäßig die Standarddomänenrichtlinie (Default Domain Policy) und die Standard-Domänencontrollerrichtlinie (Default Domain Controllers Policy).

711

MCSE Examen 70-294

Ntdsutil.exe

Ein Dienstprogramm auf Befehlszeilenebene, das eine Vielzahl von Verwaltungsfunktionen für Active Directory bereitstellt. Sie können mit Ntdsutil u. a. eine autorisierende Wiederherstellung oder ein Überschreiben von FSMORollen (Betriebsmasterrollen) durchführen.

Objekt

Eine Software kann als eine Kollektion diskreter Objekte betrachtet werden, die sowohl Datenstruktur als auch Kollektion in sich vereinen. Dies steht im Gegensatz zur konventionellen Programmierung, bei der die Datenstruktur und das Verhalten nur lose miteinander verbunden sind. Die wichtigsten Objekte in Active Directory sind Standorte, Domänen, Organisationseinheiten (OUs) sowie Gruppen- und Benutzerkonten.

Objektklasse

Eine logische Gruppe von Objekten.

Organisationseinheit (OU)

Ein spezielles Containerobjekt in Active Directory, in dem andere Organisationseinheiten und Objekte platziert werden können. Organisationseinheiten (Organizational Units, OUs) benötigen eine Active Directory-Domäne. Eine OU ist der kleinste Bereich, auf den eine Gruppenrichtlinie oder eine Delegation angewendet werden kann.

PDC-Emulator

Dient zur Abwärtskompatibilität mit Windows NT-Domänencontrollern. Ein Domänencontroller mit der Rolle PDC-Emulator emuliert einen primären Windows NT-Domänencontroller (PDC) der Versionen 3.51 und 4.0. Der PDCEmulator kann u. a. folgende Aufgaben durchführen: Synchronisation mit NTBackup-Domänencontrollern, Kennwortänderungen für Windows NT-Clients oder Hauptsuchdienstserver der Domäne (Domain Master Browser).

Pfadregel

Eine Regel zur Softwareeinschränkung, die eine Datei oder ein Programm anhand des Speicherorts der Software erkennt.

Primärer Namenserver

Der primäre Namenserver hostet die Masterkopie der Ressourcendatenbank. Es ist ein Server, der für die Namensauflösung in derjenigen Zone verantwortlich ist, für die er die Autorität besitzt. Die Ressourcendatenbank ist in einer lokalen Zonendatei gespeichert, jedoch nicht in einer Active Directory-Datenbank.

RAID

Eine Methode zum Standardisieren und Kategorisieren fehlertoleranter Datenträgersysteme. Die Leistung und Zuverlässigkeit wird auf sechs Ebenen dargestellt. Windows Server 2003 enthält drei dieser RAID-Ebenen: 0 (Striping), 1 (Spiegeln) und 5 (Striping mit Parität).

RAID-5-Datenträger

Ein fehlertoleranter Datenträger mit Daten und Parität, die fortlaufend auf drei oder mehrere physikalische Datenträger als Stripeset verteilt werden. Die Parität ist ein berechneter Wert, der zum Wiederherstellen der Daten nach einem Ausfall benötigt wird. Falls ein Datenträger aus dem Set ausfällt, kann der fehlende Datenträger (bzw. können die Daten) anhand dieser Informationen wieder rekonstruiert werden.

Replikation

Ein Prozess, der Daten aus einem Datenspeicher oder Dateisystem auf einen oder mehrere Computer kopiert, um den Datenbestand auf allen Computern zu synchronisieren. In Active Directory ist der Verzeichnisreplikationsdienst für die Replikation zuständig. Es findet eine Multimasterreplikation des Verzeichnisses zwischen den Domänencontrollern in einer bestimmten Domäne statt. Die Replikation des Dateisystems erfolgt hingegen durch die DFS-Replikation.

712

C – Glossar

Replmon

Ein grafisches Dienstprogramm, das den Lowlevel-Status der Active DirectoryReplikation anzeigt. Auch das Erzwingen einer Replikation zwischen allen oder bestimmten Replikationspartnern kann durchgeführt werden. Sie können ebenfalls die FSMO-Rollen überwachen. Replmon befindet sich unter den Support-Tools auf der Windows Server 2003-Produkt-CD.

Ressourcendomäne

Eine Windows NT-Domäne, in der nur Kontendaten für Arbeitsstationen und Ressourcencomputer (beispielsweise Datei- und Druckserver) abgelegt sind.

Ressourceneintrag

RR-Typen (Ressource Record-Typen) werden in der DNS-Datenbankstruktur verwendet. Ein A-Record enthält beispielsweise einen Hostnamen und eine IP-Adresse.

Richtlinienergebnissatz

Auch Resultant Set of Policy (RSoP) genannt. RSoP dient zur Einrichtung und zur Problembehandlung von Gruppenrichtlinien, indem bestehende und geplante Richtlinien ermittelt werden. Der Richtlinienergebnissatz sammelt Informationen über die WMI-(Windows Management Instrumentation-) Schnittstelle aus der CIMOM-(Common Information Management Object Model-)Datenbank. Für die Simulation über den RichtlinienergebnissatzAssistenten können Sie daher auch WMI-Filter für den Computer und/oder den Benutzer einbeziehen.

RID (Relative Identifier)

Ein relativer Bezeichner, der Bestandteil einer SID (Security IDentifier) ist. RIDs sind relativ zu der Domäne eindeutig, in der die Konten oder Gruppen erstellt wurden. RIDs werden vom RID-Master der Domäne verwaltet. Siehe auch: RID-Master.

RID-Master

Gewährleistet die Eindeutigkeit der Objekte in der Domäne. Jedes Objekt wird anhand seiner SID (Security IDentifier, auch Sicherheits-ID genannt) eindeutig identifiziert. Der RID-Master hostet einen Pool von IDs, die für die Erstellung von Objekten verwendet werden. Da die IDs relativ zu der Domäne gehören, wird der Pool auch als RID-Pool (Relative IDentifier-Pool) der Domäne bezeichnet.

SACL (System Access Control List)

Siehe Zugriffssteuerungsliste für das System.

Schema

Eine Beschreibung der Objektklassen und Attribute in Active Directory. Das Schema definiert für jede Objektklasse, welche Attribute eine Objektklasse benötigt, welche zusätzlichen Attribute vorhanden sein können und welche Objektklasse ein übergeordnetes Element von einer anderen Klasse sein kann. Schemaobjekte haben, wie alle Active Directory-Objekte, eine Zugriffssteuerungsliste, so dass nur berechtigte Benutzer das Schema ändern können. Voreingestellt können nur Mitglieder der Gruppe Schema-Admins und Administratoren das Schema bearbeiten. Eine Anwendung kann beispielsweise das Schema um neue Klassen und Attribute erweitern und die Erweiterungen sofort verwenden. Diese Änderungen am Schema werden anschließend auf alle Domänencontroller der Domäne repliziert.

Schemamaster

Besondere Rolle eines Domänencontrollers, die es nur einmal in einer Gesamtstruktur geben darf. Der Schemamaster hostet die Hauptkopie des Schemas, die auf alle anderen Domänencontroller repliziert wird.

713

MCSE Examen 70-294

Schlüsselverteilungscenter

Ein Netzwerkdienst, der Diensttickets und temporäre Sitzungsschlüssel liefert, die vom Kerberos-Authentifizierungsprotokoll verwendet werden. Unter Windows Server 2003 wird der KDC als privilegierter Prozess auf allen Domänencontrollern ausgeführt. Das KDC verwendet Active Directory zum Verwalten von vertraulichen Kontendaten, wie zum Beispiel von Kennwörtern für Benutzerkonten.

Sekundärer Namenserver

Ein Server, der eine Kopie der primären Zone von einem primären Namenserver erhält. Die Zonendatei ist nur lesbar, d.h., sie kann nicht beschrieben werden. Sekundäre Namenserver können zur Redundanz und zum Lastenausgleich, aber auch als Masternamenserver verwendet werden.

Servergespeichertes Benutzerprofil

Ein Benutzerprofil, das auf den lokalen Computer geladen wird, wenn sich ein Benutzer anmeldet. Dieses Profil wird sowohl lokal als auch auf dem Server aktualisiert, wenn sich der Benutzer wieder abmeldet. Serverprofile müssen in Active Directory unter den Eigenschaften des Benutzerkontos eingerichtet werden. Dies bewirkt, dass Benutzer unabhängig vom angemeldeten Computer immer ihr gleiches Profil vorfinden. Voraussetzung hierfür ist eine Vereinheitlichung der Hardware.

Serverkonfigurations-Assistent

Ein Assistent, der viele Bereiche der Serveradministration abdeckt. Er soll die Arbeit mit Windows Server 2003 erleichtern. Der Serverkonfigurations-Assistent wird automatisch gestartet, wenn sich ein Administrator zum ersten Mal an einer Domäne anmeldet.

Sicherheitsbeschreiber

Ist eine binäre Datenstruktur variabler Länge, die die Zugriffssteuerungslisten (ACLs) enthält. In einer ACL befinden sich die Zugriffssteuerungseinträge (Access Control Entries, ACEs), in denen Sie die eigentlichen Zugriffsberechtigungen wiederfinden. Der Sicherheitsbeschreiber enthält folgende Felder: Kopfzeile (mit Revisionsnummer und einem Satz von Flags), Besitzer (beschreibt die SID des Besitzers), Primäre Gruppe (SIDs der primären Gruppe des Besitzers), Unumschränkte Zugriffssteuerungsliste (DACL) und Systemzugriffssteuerungsliste (SACL).

Sicherheitsgruppe

Ein Gruppentyp in Active Directory, der zum Verwalten von Berechtigungen für Benutzer und andere Objekte verwendet werden kann.

Sicherheits-ID

Siehe auch: Sicherheitskennung (SID).

Sicherheitskennung (SID)

Eine SID (Security IDentifier) ist eine Datenstruktur variabler Länge, die Benutzer-, Gruppen- und Computerkonten identifiziert. Jedem dieser Konten wird bei der Erstellung eine eindeutige SID zugewiesen, damit eine Verwechselung durch gleiche Namen vermieden wird. Auch ist die Namensänderung eines Sicherheitsprinzipals sehr einfach: Der relative Name (RDN) wird geändert, und die SID bleibt erhalten. Die SID ist somit eine eindeutige Kennung des Objekts, die nicht verändert werden darf.

Sicherheitsprinzipal

Ein Konto, das eine Sicherheitskennung besitzt. Sicherheitsprinzipale können Benutzer-, Gruppen- oder Computerkonten sowie Dienste sein.

Sicherheitsvorlage

Die vordefinierte Einstellung einer Sicherheitskonfiguration, die erst dann wirksam wird, wenn sie über eine GPO oder über die Konsole Sicherheitsvorlagen importiert wird. Jede Sicherheitsvorlage wird als textbasierte INFDatei gespeichert.

714

C – Glossar

Smartcard

Ein Gerät in Kreditkartenformat, das zusammen mit einer PIN (Personal Identification Number) zur Authentifizierung eingesetzt werden kann. Eine Smartcard wird von einem speziellen Lesegerät ausgewertet, das an den Computer angeschlossen ist.

Softwareeinschränkung

Richtlinien zur Softwareeinschränkung. Eine Reihe von Richtlinieneinstellungen, die, basierend auf der Standardsicherheitsstufe für ein GPO, definieren, welche Software auf einem Computer ausgeführt werden darf. Ausnahmen für die Standardsicherheitsstufe können anschließend über Hashregeln, Zertifikatregeln, Pfadregeln oder Internetzonenregeln eingestellt werden.

Softwareverteilungspunkt

Begriff aus dem System Management Server: Ein Server, auf dem ein Ordner freigegeben ist, damit eine netzwerkbasierte Softwareinstallation durchgeführt werden kann. Softwareverteilungspunkte werden auch für die Softwareverteilung über Active Directory benötigt.

Standardgruppen

Gruppen in Active Directory, die über vordefinierte Gruppenmitgliedschaften oder Benutzerrechte verfügen.

Standortinterne Replikation

Replikation innerhalb eines Active Directory-Standorts. Sie ist auf Geschwindigkeit innerhalb von Hochgeschwindigkeitsnetzwerken optimiert.

Standortübergreifende Replikation

Replikation zwischen Active Directory-Standorten. Sie ist auf Netzwerkbandbreite innerhalb von WAN-Strecken optimiert.

Standortverknüpfung

Eine Verbindung zwischen Standorten, um eine standortübergreifende Replikation durchzuführen. Die Standortverknüpfung enthält einen Zeitplan, in dem festgelegt werden kann, ob und wann eine Replikation durchgeführt werden soll. Da auch mehrere Verknüpfungen zu einem Standort eingerichtet werden können, kann ein Kostenwert eine Priorität zwischen den betreffenden Verbindungen festlegen.

Standortverknüpfungsbrücke

Ein Active Directory-Objekt, das eine Gruppe von Standortverknüpfungen darstellt, deren Standorte alle über ein bestimmtes Transportprotokoll kommunizieren können. Eine Standortverknüpfungsbrücke entspricht einem Router oder einer Gruppe von Routern in einem IP-basierten Netzwerk. Per Voreinstellung kann der Windows-interne Dienst Konsistenzprüfung (Knowledge Consistency Checker oder KCC) eine transitive Route durch alle Standortverknüpfungen berechnen und herstellen. Wenn dieses Verhalten jedoch deaktiviert ist, stellt jede Standortverknüpfung ein eigenes und isoliertes Netzwerk dar. Diese Gruppen von Standortverknüpfungen, die als einzelne Route behandelt werden können, werden durch eine Standortverknüpfungsbrücke ausgedrückt. Jede Standortverknüpfungsbrücke stellt eine isolierte Kommunikationsumgebung für den Netzwerkverkehr dar.

StrukturstammVertrauensstellung

Wird erstellt, wenn einer Gesamtstruktur eine neue Domänenstruktur hinzugefügt wird. Sie ist transitiv und bidirektional.

Stubzone

Die Teilkopie einer Zone. Mit einer Stubzone und bedingter Weiterleitung lässt sich das Routing des DNS-Datenverkehrs in einem Netz kontrollieren. Eine Stubzone erlaubt es einem DNS-Server, die Namen und Adressen von zuständigen DNS-Servern zu erkennen, ohne dass der Server mit der Stubzone selbst eine vollständige Kopie der Zone besitzen muss.

Systemstatus

Eine Bezeichnung, die im Programm Sicherung (Ntbackup.exe) verwendet wird, um alle systemspezifischen Daten zu beschreiben, die zusammen gesichert werden können. Darunter fallen bei Domänencontrollern auch die Active DirectoryDatenbank Ntds.dit, die Protokolldateien und der Sysvol-Ordner.

715

MCSE Examen 70-294

Sysvol

Freigegebenes Systemvolume auf Domänencontrollern. Darin sind Gruppenrichtlinienobjekte, Gruppenrichtlinienvorlagen und weitere Dateien abgelegt, die auf andere Domänencontroller repliziert werden.

Topologie

Ist bei Windows-Betriebssystemen die Beziehungen zwischen einer Gruppe aus Netzwerkkomponenten. In Hinblick auf die Replikation innerhalb von Active Directory bezeichnet der Begriff Topologie die Verbindungen, die Domänencontroller zum Replizieren von Informationen untereinander benötigen.

UNC-Name

UNC ist die Abkürzung von Universal Naming Convention. UNC ist ein Name für eine Netzwerkressource, die über die Syntax \\servername\ sharename beschrieben ist. Hierbei ist servername der Name des Servers und sharename der Name der freigegebenen Ressource. UNC-Namen von Verzeichnissen oder Dateien können auch den Verzeichnispfad unter dem Namen für die freigegebene Ressource mit folgender Syntax enthalten: \\servername\sharename\directory\filename.

Universelle Gruppe

Eine Gruppe in Active Directory, die hauptsächlich verwendet wird, um globale Gruppen zusammenzufassen. Gruppen vom Typ Universal benötigen die Domänenfunktionsebene Windows 2000 pur oder Windows Server 2003. Universelle Gruppen sind innerhalb der Gesamtstruktur verfügbar. Universelle Gruppenmitgliedschaften werden im globalen Katalog gespeichert und insbesondere für den domänenweiten Zugriff auf Ressourcen benötigt.

UNIX

Ein leistungsstarkes Multitaskingbetriebssystem für mehrere Benutzer, das ursprünglich im Jahr 1969 von den AT&T Bell Laboratories für Minicomputer entwickelt wurde. UNIX gilt als äußerst portables Betriebssystem, weil es in der Programmiersprache C geschrieben wurde. Neuere UNIX-Versionen wurden an der University of California in Berkeley und von AT&T entwickelt. Die Bedeutung des ursprünglichen UNIX geht zurzeit zu Gunsten von Linux, einer UNIX-Variante, zurück.

Unumschränkte Auch Discretionary Access Control List (DACL) genannt. Die DACL ist eine Zugriffssteuerungs- Liste von ACLs, die einen Zugriff erlauben oder verbieten. liste Siehe auch: Sicherheitsbeschreiber. UPN (User Principal Name)

Siehe Benutzerprinzipalname.

Vererbung von Berechtigungen

Das Weitergeben von Berechtigungen von übergeordneten Objekten zu untergeordneten. Hierfür werden die ACEs (Access Control Entries) vom übergeordneten Objekt (zum Beispiel von einer Domäne oder einer Organisationseinheit) zu den untergeordneten kopiert.

Verteilergruppe

Gruppe, die nur mit Unterstützung von E-Mail-Anwendungen, wie beispielsweise Microsoft Exchange, E-Mails an eine Gruppe von Benutzern senden kann. Verteilergruppen sind keine Sicherheitsgruppen, d.h., es können ihnen keine Berechtigungen erteilt werden. Sie können nicht in DACLs aufgeführt werden.

Vertrauenspfad

Eine Anzahl verknüpfter Vertrauensstellungen, über die eine Authentifizierungsanforderung gesendet wird.

716

C – Glossar

Vertrauensstellung

Eine logische Beziehung zwischen Domänen, die es Benutzern ermöglicht, sich auf Computern der vertrauenden Domäne anmelden zu können. Benutzer von vertrauten Domänen können auf Ressourcen der vertrauenden Domäne zugreifen. Es gibt in Gesamtstrukturen zwei Standardvertrauensstellungen: die Überordnungs-Unterordnungs-Vertrauensstellung (Parent-ChildVertrauensstellung) und die Strukturstamm-Vertrauensstellung. Weitere Vertrauensstellungen können sein: die externe Vertrauensstellung, die Bereichsvertrauensstellung, die Gesamtstrukturverstrauensstellung oder Verknüpfungsvertrauensstellungen (Shortcut-Vertrauensstellung).

Verzeichnis

Siehe Active Directory.

Vollqualifizierter Domänenname

Das ist die deutsche Übersetzung von Fully Qualified Domain Name (FQDN). Es ist ein Standard, nach dem Zonen, Domänen und Hosts benannt werden. Der FQDN eines Hosts im Internet ist zum Beispiel www.microsoft.com.

WAN (Wide Area Network)

Ein Netzwerk, das netzwerkfähige Geräte (Computer, Netzwerkdrucker etc.) miteinander verbindet, die sich an verschiedenen Standorten befinden. Hierbei sind die Standorte relativ weit voneinander entfernt. Über ein WAN kann jedes verbundene Gerät mit anderen Geräten im Netzwerk agieren. In der Regel besitzen WANs eine geringere Bandbreite als LANs. Siehe auch: LAN.

Warteschlange

Programme oder Tasks, die auf die Ausführung warten. In der Druckerterminologie von Windows 2000 Server und Windows Server 2003 bezieht sich eine Warteschlange auf eine Dokumentgruppe, die auf das Druckerereignis wartet. Der Drucker stellt die Schnittstelle (Softwaremodul!) dar. Das Dokument wird nicht an eine Warteschlange, sondern an den Drucker gesendet. Somit verwendet Microsoft eine andere Terminologie als beispielsweise Novell oder IBM. Der eigentliche »Drucker« wird bei Microsoft immer als Druckgerät bezeichnet.

WindowsSupporttools

Zusätzliche Dienstprogramme, die sich auf der Windows Server 2003Produkt-CD im Ordner \Support\Tools befinden.

WMI (Windows Management Instrumentation)

Auch Windows-Verwaltungsinstrumentation genannt. Eine Microsoft-Technologie zum Erweitern der DMTF WBEM-Initiative. WBEM ist die Abkürzung von Web Based Enterprise Management. WBEM ist eine Sammlung von Technologien, die dazu dienen, die Verwaltung einer Organisation zu erleichtern. Alle Managementkonsolen benötigen das WMI als Schnittstelle.

Zertifikatregel

Regel für Softwareeinschränkung, die digital signierte Software anhand eines Zertifikats erkennt.

Zertifizierungsstelle

Eine anerkannte Institution, die für die Erstellung und Authentizität von öffentlichen Schlüsseln für einen Antragsteller (Benutzer oder Computer) verantwortlich ist. Zertifizierungsstellen werden im Rahmen einer PKI (Public Key Infrastruktur) angewendet.

Zone

Ein zusammengehöriger Bereich eines Namensraums in einer Ressourcendatenbankdatei. Die Zone enthält die Ressourceneinträge für alle Namen und Dienste innerhalb der Zone. Die Zone kann noch in weitere Domänen unterteilt sein.

Zonenübertragung

Wird eine Zonendatei von einem primären Namenserver auf einen sekundären Namenserver übertragen, heißt der Prozess Zonenübertragung. Die Zonenübertragung findet im Zusammenhang mit der Synchronisation vom primären auf sekundäre Namenserver statt.

717

MCSE Examen 70-294

Zugriffssteuerung

Bestimmt, welche Operationen ein Sicherheitsprinzipal auf einem Computer oder auf einem bestimmten Objekt anwenden darf.

Zugriffssteuerungseinträge (ACE)

Ein Eintrag in einer DACL (Discretionary Acces Control List). Wenn einem Benutzer Zugriffsberechtigungen auf ein Objekt erteilt werden, werden die in der DACL befindlichen Zugriffssteuerungseinträge (ACEs) bearbeitet. In ihnen ist definiert, welche SID den von Ihnen definierten Zugriff tätigen kann bzw. darf. Zugriffssteuerungseinträge finden sich sowohl in den DACLs als auch in den SACLs. Sie besitzen einen gleichen Aufbau.

Zugriffssteuerungsliste für das System

Auch SACL (System Access Control List) genannt. Die SACL stellt den Bestandteil der Sicherheitsbeschreibung eines Objekts dar, der angibt, welche Ereignisse pro Benutzer oder Gruppe überwacht werden sollen. Dies kann zum Beispiel einen Dateizugriff oder Anmeldevorgänge betreffen.

Zugriffstoken

Ein Objekt, das die Sicherheitsinformationen für eine Anmeldesitzung enthält. Ein Zugriffstoken wird erstellt, wenn sich ein Benutzer an Active Directory anmeldet. Er wird jedem Prozess angehängt, den der jeweilige Benutzer ausführt. Das Token beschreibt den Benutzer, die Gruppen des Benutzers (in Form seiner SIDs) sowie seine Benutzerprivilegien.

Zwischenspeichern (Caching)

Ein DNS-Begriff, der die serverseitige Fähigkeit von DNS-Servern bezeichnet, Informationen zum Domänennamensraum zu speichern, die während der Verarbeitung und Auflösung von Namensabfragen ausgegeben werden. Unter Windows Server 2003 können universelle Gruppenmitgliedschaften zwischengespeichert werden, um einen Standort auch ohne einen globalen Katalogserver betreiben zu können.

718

D Die Testsoftware auf der CD-ROM Die dem Buch beiligende CD-ROM enthält ein Testprogramm, dass es Ihnen ermöglicht, zusätzlich zum Buch Ihr Wissen zu überprüfen, indem Sie einige Testfragen beantworten und eine entsprechende Auswertung dazu erhalten. Obwohl die Testfragen ähnlich zu einer »richtigen« Prüfung aufgebaut sind, können sie diese jedoch nicht ersetzen bzw. entsprechen auch nicht einer solchen. Die hier gestellten Fragen sind allerdings in ähnlicher Form auch in einer realen Prüfung zu erwarten.

Systemvoraussetzungen Die MCSE-Kursbuch-Testsoftware stellt folgende Minimalanforderungen an Ihr System: T Pentium CPU, mind. 266 MHz T Arbeitsspeicher mind. 128 MB T Windows 98/ME/NT4SP6/2000/XP/Server 2003 T Auflösung 1024 x 768 oder höher

D.1

Wie ist die Software aufgebaut?

Es gibt einen Prüfungs- und einen Lernmodus mit dem Sie den gelernten Stoff überprüfen können. Grundsätzlich ist zu beachten, dass es bei Fragen, bei denen die Antwortmöglichkeiten mit Kreisen gekennzeichnet sind nur eine richtige Antwort gibt, bei einer Kennzeichung mit Quadraten jedoch mehrere Antworten richtig sind.

D.1 Wie ist die Software aufgebaut?

719

MCSE Examen 70-294

D.1.1

Prüfungsmodus

Nach dem Start des Programms sehen Sie zunächst das Hauptfenster, wie in Abbildung D.1 dargestellt. Sie können jetzt direkt loslegen, wenn Sie wollen – auch die Eingabe eines Namens ist nicht notwendig. Klicken Sie einfach in der Symbolleiste auf den Eintrag »Prüfungsmodus starten« und Sie können sofort mit der Prüfung beginnen.

Abbildung D.1: Das Hauptfenster des Testprogramms

Im Prüfungsmodus steht Ihnen nur eine bestimmte Zeitspanne (90 Minuten) zur Verfügung, um den Test zu absolvieren. Die Fragen werden für jeden Testdurchlauf neu gemischt, d.h. Sie sollten nie die gleiche Abfolge von Fragen erhalten. Bei einer Gesamtanzahl von 54 Fragen kann es jedoch zu Überschneidungen kommen. Die Symbole auf den Schaltflächen entsprechen in etwa denen eines Videorekorders (auch wenn diese wohl nicht mehr zeitgemäß sind). Sie können also die Prüfung pausieren lassen – in diesem Fall werden jedoch die Frage sowie mögliche Antworten ausgeblendet, um ein »Schummeln« zu vermeiden. Ein erneuter Klick auf den Pause-Button setzt die Prüfung fort. Manche Fragen enthalten auch Grafiken. In diesem Fall wird eine weitere Schaltfläche angezeigt, die es ermöglicht, die in der Frage enthaltene Grafik anzuzeigen. Üblicherweise sind solche Grafiken zur Beantwortung einer Frage notwendig, Sie sollten sie sich also ansehen.

720


D – Die Testsoftware auf der CD-ROM

Sie können die Prüfung vorzeitig durch einen Klick auf den Stop-Button beenden. Sind nicht alle Fragen beantwortet, erscheint eine Sicherheitsabfrage; wenn Sie diese mit »Ja« beantworten, gelangen Sie auf die Auswertungsseite. Auf dieser sehen Sie eine kleine Statistik, die Ihnen anzeigt, welchen Erfolg Sie bei der Prüfung hatten.

D.1.2

Lernmodus

Der Lernmodus funktioniert ebenso wie der Prüfungsmodus – ein Umschalten in eine Pause ist allerdings nicht notwendig, da es kein Zeitlimit gibt. Außerdem finden Sie auf der linken Seite zwei weitere Buttons. Mit diesen können Sie sich Hinweise zur Frage sowie die korrekten Antworten anzeigen lassen. Die Hinweise werden in einem eigenen Fenster angezeigt, das sich bei einem Klick öffnet. Es bleibt so lange offen, bis Sie entweder den Lernmodus beenden (durch Klick auf den Stop-Button) oder das Fenster schließen. Bei Fragen, die eine Grafik beinhalten, wird der entsprechende Button ebenfalls wieder angezeigt. Es erfolgt keine Auswertung, wenn der Lernmodus beendet wird. Stattdessen wird auf die Ausgangsseite zurückgeschaltet. Eine Grafik, die den Lernmodus zeigt, sehen Sie in Abbildung D.2.

Abbildung D.2: Der Lernmodus des Programms


721

MCSE Examen 70-294

D.1.3

Die Auswertung

Die Auswertung zeigt Ihnen an, wieviel Prozent der gestellten Fragen richtig beantwortet wurden. Außerdem können Sie sich aus diesem Fenster eine detailliertere Auswertung exportieren lassen, die dann als HTML-Datei auf Ihrer Festplatte gespeichert wird. Enthalten ist auch ein Review-Modus, der dazu dient, die falsch beantworteten Fragen nochmals anzusehen. Im Review-Modus können Sie keine Änderungen mehr vornehmen, die korrekten Antworten werden entsprechend angezeigt und Sie können sich Hinweise zu den Fragen anzeigen lassen. Auf diese Weise können Sie aus den falsch beantworteten Fragen lernen.

D.1.4

Die Einstellungen

In den Einstellungen, erreichbar über die Hauptseite des Programms, können Sie z.B die Schriftarten festlegen, die innerhalb des Programms verwendet werden. Beachten Sie bitte, dass die Einstellungen nicht gespeichert werden, wenn das Programm von CD-ROM ausgeführt wird.

D.1.5

Fehler ...

Sollten Sie ein Problem erkennen, das wir noch nicht gefunden haben, schreiben Sie eine Mail an [email protected]. Das Programm wurde auf mehreren Systemen getestet; eine Garantie für eine fehlerfreie Applikation können wir jedoch nicht geben. Es werden jedoch keine Daten auf Ihrem Computer geändert oder über das Internet übertragen. Wenn Sie das Programm von der Festplatte starten, achten Sie darauf, dass Sie den gesamten Ordner samt aller Unterordner kopieren. Im Unterordner »Pictures« befinden sich die Grafiken zum Programm; werden diese nicht gefunden, wird der Button zum Anzeigen einer Grafik nie angezeigt. Fragen und Antworten sind in den .cds-Dateien enthalten, die sich im Programmverzeichnis befinden müssen. Da das Programm keine Registry-Einträge vornimmt, ist eine Installations mittels eines Installationsprogramms nicht notwendig – es genügt, das gesamte Verzeichnis einfach an einen beliebigen Ort auf Ihrer Festplatte zu kopieren und das Programm zu starten.

722


E Über den Autor Frank Castro Lieberwirth, Diplom-Ingenieur, absolvierte 1992 an der Universität Dortmund sein Studium der Elektrotechnik mit dem Schwerpunkt Nachrichtentechnik. Nach seinem Studium hat er sich der IT-Branche zugewandt, wo er seit 1993, mit einer zweijährigen Unterbrechung als Angestellter in einem IT-Systemhaus, selbstständig tätig ist. Frank Castro Lieberwirth ist Spezialist für Microsoft Windows Netzwerke und Microsoft ServerProdukte, angefangen von BackOffice 2.5 bis zu den heutigen Versionen. In dieser Eigenschaft war er bis 2002 als »Microsoft Certified Trainer« (MCT) im In- und Ausland tätig. Seit 2002 ist er erfolgreich als Consultant, Herausgeber und Autor aktiv. Seit 2001 wohnt er im schönen Schleswig-Holstein der Liebe und der guten Luft wegen. Zu erreichen ist er unter der E-Mail-Adresse: [email protected]

723

S Stichwortverzeichnis A Abgesicherter Modus 701 ACE 718 Acldiag 239 Active Directory 701 Active Directory Services Interface, ADSI 701 Active Directory-Benutzer und -Computer 701 Active Directory-Datenbank Arbeitsspeicher 195 Speicherbedarf 193 Active Directory-Domänen und -Vertrauensstellungen 701 Active Directory-integrierte Zone 97, 701 Active Directory-Objekt Definition 142 MicrosoftDNS 93 Active Directory-Schema 143 Active Directory-Standorte und -Dienste 701 Active Directory-Verzeichnisdienste 28 ADM 701 Administrative Vorlagen 497, 500, 702 Adminpak 236 ADSI-Bearbeitung 239 Adsiedit 239

Algorithmus 702 Aliasnamen 62 Anforderungen iterativ 69 rekursiv 68 Anmeldeinformationen gecacht 360 Anmeldeprozess sekundär 439 Anmeldeskripte 510 Anmeldung interaktiv 358 Antwortdatei 702 Anwendungspartition 154 Anwendungsverzeichnispartition 702 DNS-Zone 111 Arbeitsgruppe 25, 702 Assistenten zum Installieren von Active Directory 197 Attribut 702 Authentifizierung 360, 702 ausgewählte 262 domänenweite 262 Authentifizierungsbereich 332 Autorisierender Namenserver 57, 702

725

MCSE Examen 70-294

B

D

Bandbreite 702 Basisordner 383, 573, 702 Basisverzeichnis 575 Batchprogramm 243 Bedingte Weiterleitung 57, 702 Benachrichtigungsverzögerung 289 Benutzerkonto 358, 703 Benutzername 703 Benutzerobjekt Eigenschaften 376 erstellen 365 Benutzerprinzipalnamen 703 Suffix 254 Benutzerprofil 379 serverbasiert 380 servergespeichert 714 temporär 383 verbindliches 382 Benutzerrechte 703 Berechtigung 703 Vererben 716 Bereichsvertrauensstellung 703 Besitzübernahme 469 Betriebsmaster 160 Betriebsmasterfunktion 703 Betriebsmasterrollen 161, 186, 275 Domänennamenmaster 161 Infrastrukturmaster 161 PDC-Emulation 161 RID-Master 161 Schemamaster 161 Bevorzugter Bridgeheadserver 703 BIND-Server 57, 70, 703 Bridgeheadserver 156, 188, 294, 703

DACL 704 Dateireplikationsdienst 704 Datenträgerkontingent-Richtlinienverarbeitung 582 Dcdiag 207 Dcpromo 197 dcpromo /adv 221 Dcpromo-Protokolldateien 201 Default Domain Policy 544, 594 DEFAULTIPSITELINK 287 Definierter Name, DN 429 Defragmentierung 704 Delegation 175 Delegierung 57, 704 Dienstticket 704 Distinguished Name 354 Distributed Component Object Model, DCOM 704 Distributed File System, DFS 704 DNS-Namensraum 57, 704 DNS-Resolver 57, 704 DNS-Server 57, 705 DNS-Zonen Replikation 97 Domain Name System, DNS 39 Grundlegendes 58 Domäne 33, 137, 167 Domain Name System 78 vertrauende 145, 255 vertraute 145, 255 Domänencontroller 144 Domänenfunktionsebene 150, 245, 389, 705 Windows 2000 gemischt 246 Windows 2000 pur 246 Windows Server 2003 246 Windows Server 2003 interim 246 Domänenkonsolidierung 705 Domänennamen vollqualifiziert 61 Domänennamenmaster 161, 276, 277, 705 Domänennamensraum 59 Domänenpartition 154, 705 Domänenstruktur siehe Struktur

C Cache-only-Server 73 CIM-Objekt-Manager 703 Client 704 Component Object Model, COM 704 Computerkonto 406 Container Builtin 395 Containerobjekt 704 Credentials 438 Csvde 365, 367 726



doOnlineDefrag 447 Drucker 717 veröffentlichen 411 Dsacls 239 Dsadd user 365 Dsastat 239, 309, 705 dsmove 356 dsquery 473

E Eigene Dateien 573 Eigenständiger Server 705 Encripting File System 574 Ereignisanzeige 314 Externer Namensraum 57, 705

F Fehlersuche 200 Filtern von Ansichten 507 Firewall 705 Flexible Single Master Operation Roles siehe Betriebsmasterrollen forest root domain siehe Stammdomäne Forest siehe Gesamtstruktur Forwarder 73 Freigabe 705 FSMO-Rollen 141 siehe auch Betriebsmasterrollen Fully Qualified Domain Name, FQDN siehe Domänenname, vollqualifiziert

G Garbage Collection 200, 444, 705 garbageCollPeriod 445 Gastkonto 705 Gesamtstruktur 33, 140, 165, 706 Gesamtstrukturfunktionsebene 145, 250, 320, 325, 706 Windows 2000 251 Windows Server 251 Windows Server 2000-interim 252 Gesamtstruktur-Stammdomäne 706 Gesamtstrukturvertrauensstellung 327, 706


Getsid 241 Globale Gruppe 386, 388, 706 Globale Katalogserver 297 Globaler Katalog 286, 706 siehe auch Katalogserver Globaler Katalogserver 706 Globally Unique Identifier, GUID 431 Globally Unique Stamps 292 GPO 706 Gpresult 598, 707 GPUpdate 510, 707 Gruppe 384, 707 Befehlszeilenprogramme 404 verwalten 402 Gruppenbereich 707 Global 386 Lokale Domäne 386 Universal 386 Gruppenrichtlinie 180, 707 Administrative Vorlage 503, 506 Benutzerkonfiguration 505 Computerkonfiguration 500 Deaktiviert 526 Einrichten 522 Filtern 516 Hashregel 565 Kein Vorrang 514, 526 Kennwortrichtlinien 593 Kontosperrungsrichtlinien 594 Konzept 496 Langsame Verbindung 583 lokale 498 Modelle 519 nichtlokale 498 Objektüberwachung 571 Ordnerumleitung 572 Pfadregel 567 Planung 518 Softwareeinschränkung 561 Softwareinstallation 501 Überwachungsrichtlinien 568 Vererbung 511 Vererbung blockieren 513 Windows-Einstellungen 502 Zertifikatregel 566

727

MCSE Examen 70-294

Gruppenrichtlinien-Aktualisierungsintervall 580 Gruppenrichtlinieneinstellungen 580 Verarbeitung 511 Gruppenrichtlinienobjekt 498, 707 Standardname 583 Gruppenrichtlinienobjekt-Editor 499 Gruppenrichtlinien-Strategie 518 Gruppenstrategie 391 Gruppentyp 707 GUI 707 GUID 707

H Hardwareinventur 44 Hash 707 Hashalgorithmus 707 Hashregel 563, 708

I Industriestandard PC/SC 364 Infrastruktur öffentlicher Schlüssel (PKI) 708 Infrastrukturmaster 162, 186, 280, 708 Installation Aktualisieren 198 manuell 197 unbeaufsichtigt 198 Interner Namensraum 57, 708 Internet Engineering Task Force, IETF 708 Internetzonenregel 708 IP-Sicherheitsrichtlinienverarbeitung 582

K Katalogserver Globaler Katalogserver 160, 185 Kennwörter 363 Kennwortrichtlinie 552, 594 Kerberos 708 Kerberos-Bereich 152 Key Distribution Center, KDC 360, 439, 708 Knoten 708

728

Knowledge Consistency Checker, KCC 154, 188, 285 Konfigurationspartition 154, 709 Konsistenzprüfung 154 Konsolenstruktur 709 Konten vordefiniert 361 Kontendomäne 709 Kontensperrungsschwelle 524 Kontingent 447, 709 Konto Administrator 362 Gast 363 umbenennen 373 zurücksetzen 373 Kontooptionen 378 Kontorichtlinien 545, 552 Kontosperrungsrichtlinien 554 Kosten 709 Kryptographie 709 Kryptographie mit öffentlichen Schlüsseln 709

L LAN Manager 710 Ldifde 365, 370 Lightweight Directory Access Protocol, LDAP 133, 710 Lizenzmodelle 49 Pro-Gerät 50 Pro-Server 50 Local Area Network, LAN 709 Lokale Domänengruppe 386, 710 Lokale Gruppe 710 Lokale Sicherheitsautorität 360 Lokale Sicherheitsdatenbank 359 Lokale Standardgruppen 395 Lokales Gruppenrichtlinienobjekt 511, 710 Lookupzone Forward 64 Reverse 64 Loopback 509, 515, 710 Loopbackverarbeitungsmodus 580 LostAndFound 293



M

O

Managementkonsole 234 Masternamenserver 58, 710 Microsoft Technet 42 Microsoft Visio 40 Mitgliedsserver 29, 711 MoveTree 240, 356 MSMQ-Warteschlangenalias 136 Multimasterreplikation 145, 711

Objekt 712 Benutzer 136 Computer 136 Drucker 136 Freigegebener Ordner 136 Gruppe 136 InetOrgPerson 136 Kontakt 136 Nachrichtenwarteschlangenaliase 136 Organisationseinheit 136 Objektklasse 712 Objektüberwachung 469 Offlinedateien 573 OLE-2 558 Onlinedefragmentierung 444 Ordner Veröffentlichen 410 Ordnerumleitung 574 Berechtigungen 577 Ordnerumleitungs-Richtlinienverarbeitung 581 Organisationseinheit, OU 33, 135, 176, 352, 712 Verschieben 356

N Nachrichtenwarteschlangenaliase 136 Namensauflösung 79 Namenserver 711 primär 73 sekundär 73 Namenskontext 711 Namensraum 76 Namensuffixrouting 268 Nameserver 711 Nameserver/Namenserver 58 NetBIOS-Namensunterstützung 81 Netdiag 202, 711 Netdom 258, 711 Netdom trust 270, 437 Nichtlokales Gruppenrichtlinienobjekt 711 Nltest 266 Notification Delay-Parameter 289 Ntbackup 222 NTDS Settings 158, 286 Ntdsutil 199, 276, 445, 448, 712 Authoritative restore 450 Configurable setting 452 Domain management 452 Files 453 Ldap policy 454 Metadata cleanup 456 Roles 456 Security account management 460 Semantic database analysis 461 Ntfrsutl 240


P Patchdatei 555 PDC-Emulation 162, 187 PDC-Emulator 281, 712 Perimeternetzwerk 83 Pfadregel 563, 712 PIN-Nummer 358 Polymorphismus 143 Polymorphismus 142 Primärer Namenserver 58, 712 Public Key Infrastructure, PKI 364 Pubprn 413

729

MCSE Examen 70-294

R RAID 712 RAID-5-Datenträger 712 Registrierungsrichtlinienverarbeitung 581 Remotedesktop 237 Remoteunterstützung 237 Repadmin 240, 305 Replikation 712 Ports 317 standortintern 155, 715 standortübergreifend 155, 715 Replikationsmonitor 199 Replikationsplandienst 286 Replikationsprotokolle 287 Replikationstopologie 286 Replmon 240, 303, 713 Ressourcendomäne 713 Ressourceneintrag 58, 713 RFC 1035 316 RFC 1777 429 RFC 1995 67 RFC 2251 429 Richtlinien für Softwareeinschränkung 562 Richtlinienergebnissatz 536, 713 Planungsmodus 540 Protokolliermodus 537, 598 Richtlinienvererbung deaktivieren 523 RID 713 RID-Master 161, 187, 278, 713 RPC-Endpunktzuordnung 317 RSoP 536 Protokolliermodus 598

S SACL 713 Schema 713 Schemaattributobjekte 143 Schemaklassenobjekte 143 Schemamaster 161, 276, 335, 713 Schemapartition 154 Schlüsselverteilungscenter 714 Sdcheck 240, 242 Search.vbs 241 Secedit 536 Security Identifier, SID 264 730

Sekundärer Namenserver 58, 714 Serverkonfigurations-Assistent 714 Setspn 241 Sicherheitsbeschreiber 480, 714 Sicherheitsgruppe 385, 714 Sicherheits-ID 714 Sicherheitskennung 360, 714 Sicherheitsprinzipal 714 Sicherheitsrichtlinie DNS 93 Sicherheitsrichtlinienverarbeitung 582 Sicherheitsvorlage 529, 714 Sichern 474 SID-Filterung 264, 436 SID-Verlauf 272, 435 Sidwalk 242 Simple Mail Transport Protocol, SMTP 159 Sitzungsticket 439 Skriptrichtlinienverarbeitung 581 Smartcard 358, 364, 715 SMB-Signaturen 361 Software-Editionen 192 Softwareeinschränkung 715 Softwareinstallation 554 Veröffentlichen 557 Zuweisen 557 Softwareinstallations-Richtlinienverarbeitung 581 Softwareverteilungspunkt 556, 715 Spezialidentitätsgruppen 401 Stammdomäne 60, 140, 169 Entfernen 226 Installation 216 Standardbenutzerrechte 396 Standardberechtigungen 462 Standardgruppen 715 Standort 156 Routinggruppen 156 Standortlizenzserver 295, 322 Standortverknüpfung 156, 189, 715 Standortverknüpfungsbrücke 159, 189, 715 Struktur 33, 138, 167 Strukturstamm-Vertrauensstellung 715 Stubzone 58, 65, 715 Stichwortverzeichnis


Support Tools 238 Suptools 238 Systems Management Server, SMS 46 Systemstatus 474, 715 Sysvol 716 SYSVOL-Ordner Installation 219 SYSVOL-Verzeichnis 198

T Technische Trainings 42 Ticket 256 Tombstone-Lebensdauer 199 Tombstones 444 Topleveldomäne 60 Topologie 716 Transformationsdatei 555 Tree siehe Struktur Trust siehe Vertrauensstellung

U Überwachungsrichtlinien 568 UNC-Name 410, 716 Universelle Gruppe 386, 716 UNIX 716 Unumschränkte Zugriffssteuerungsliste 716 Update Sequence Number, USN 292 Updates sichere dynamische 100 User Principal Name, UPN 716

V Verbindungen Verarbeitungsgeschwindigkeit 584 Verbindungsobjekte 158, 285, 322 Vererbung Prinzip 34 Verknüpfungsvertrauensstellung 334 Verteilergruppe 385, 716 Verteiltes Dateisystem 38 Vertrauenspfad 256, 716 Vertrauensstellung 145, 320, 717


Bereichsvertrauensstellung 152, 265 bidirektional 147 erstellen 254 explizit 705 externe 149, 259, 705 Gesamtstrukturvertrauensstellung 150, 260 Implizit 708 Strukturstamm-Vertrauensstellung 149, 259 transitiv 147 Überordnungs-UnterordnungsVertrauensstellung 148, 258 unidirektional 146 Verknüpfungsvertrauensstellung 151, 264 Vertrauensverhältnis bidirektional 256 Transitivität 257 unidirektional 255 Vertrauenswürdige Herausgeber 564 Verzeichnis 717 Verzeichnis siehe Active DirectoryVerzeichnisdienste Verzeichnisdienste siehe Active Directory-Verzeichnisdienste Verzeichnisdienstprotokoll 212 Verzeichnissystem-Agent 431 Vollqualifizierter Domänenname 57, 717

W Warteschlange 717 Wide Area Network, WAN 717 Wiederherstellen 477 Wiederherstellung Autorisierend 479, 702 Nicht autorisierend 478, 711 Windows Installer Service 502 Windows Installer-Pakete 560 Windows Management Instrumentation, WMI 28 Windows-Supporttools 717 WMI 717

731

MCSE Examen 70-294

Z ZAP-Pakete 560 Zero Administration Kit 555 Zertifikatsdienste 38 Zertifikatsregeln 563, 717 Zertifizierungsstelle 364, 717 Zone 58, 62, 717 Zonenübertragung 58, 67, 717 Zugriffssteuerung 718

732

Zugriffssteuerungseinträge 176, 440, 718 Zugriffssteuerungsliste 176, 435 für das System 718 Zugriffstoken 360, 440, 718 Zwischenspeichern 718 von Mitgliedschaften von universellen Gruppen 186


Copyright Daten, Texte, Design und Grafiken dieses eBooks, sowie die eventuell angebotenen eBook-Zusatzdaten sind urheberrechtlich geschützt. Dieses eBook stellen wir lediglich als Einzelplatz-Lizenz zur Verfügung! Jede andere Verwendung dieses eBooks oder zugehöriger Materialien und Informationen, einschliesslich der Reproduktion, der Weitergabe, des Weitervertriebs, der Platzierung im Internet, in Intranets, in Extranets anderen Websites, der Veränderung, des Weiterverkaufs und der Veröffentlichung bedarf der schriftlichen Genehmigung des Verlags. Bei Fragen zu diesem Thema wenden Sie sich bitte an: mailto:[email protected]

Zusatzdaten Möglicherweise liegt dem gedruckten Buch eine CD-ROM mit Zusatzdaten bei. Die Zurverfügungstellung dieser Daten auf der Website ist eine freiwillige Leistung des Verlags. Der Rechtsweg ist ausgeschlossen.

Hinweis Dieses und andere eBooks können Sie rund um die Uhr und legal auf unserer Website

(http://www.informit.de)

herunterladen

MCSE Windows Server 2003 Active Directory Infrastruktur

Mastering Active Directory for Windows Server 2003

Active Directory Cookbook for Windows Server 2003 and Windows 2000

Active Directory Cookbook for Windows Server 2003 and Windows 2000

Windows .NET Server 2003 Domains & Active Directory

Active Directory для Windows Server 2003. Справочник администратора

Active Directory By The Numbers: Windows Server 2003

Windows Server 2008 Active Directory Resource Kit

MCSE Designing a Windows Server 2003 Active Directory and Network Infrastructure: Exam 70-297 Study Guide

MCSE Designing a Windows Server 2003 Active Directory and Network Infrastructure

MCSE Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure Exam Cram 2

MCSE: Windows Server 2003 Active Directory Planning, Implementation, and Maintenance Study Guide (70294)

MCSE: Windows Server 2003 Active Directory Planning, Implementation, and Maintenance Study Guide (70-294)

MCSE: Windows Server 2003 Active Directory and Network Infrastructure Design Study Guide (70-297)

Mike Meyers' MCSE MCSA Windows Server 2003 Active Directory Certification Passport (Exam 70-294)

MCSE (Exam 70-294) Windows Server 2003 Active Directory Planning Implementation

MCSE: Windows Server 2003 active directory planning, implementation, and maintenance: study guide

MCSE Training Kit, Microsoft Windows 2000 Active Directory Services

Mastering Windows Server 2003

Inside Windows Server 2003

Mastering Windows Server 2003

Windows Server 2003 Registry

Programming Windows Server 2003

Learning Windows Server 2003

Mastering Windows Server 2003

MCSE Windows Server 2003 Active Directory Infrastruktur

Mastering Active Directory for Windows Server 2003

Active Directory Cookbook for Windows Server 2003 and Windows 2000

Active Directory Cookbook for Windows Server 2003 and Windows 2000

Windows .NET Server 2003 Domains & Active Directory

Active Directory для Windows Server 2003. Справочник администратора

Active Directory By The Numbers: Windows Server 2003

Windows Server 2008 Active Directory Resource Kit

MCSE Designing a Windows Server 2003 Active Directory and Network Infrastructure: Exam 70-297 Study Guide

MCSE Designing a Windows Server 2003 Active Directory and Network Infrastructure

MCSE Designing a Microsoft Windows Server 2003 Active Directory and Network Infrastructure Exam Cram 2

MCSE: Windows Server 2003 Active Directory Planning, Implementation, and Maintenance Study Guide (70294)

MCSE: Windows Server 2003 Active Directory Planning, Implementation, and Maintenance Study Guide (70-294)

MCSE: Windows Server 2003 Active Directory and Network Infrastructure Design Study Guide (70-297)

Mike Meyers' MCSE MCSA Windows Server 2003 Active Directory Certification Passport (Exam 70-294)

MCSE (Exam 70-294) Windows Server 2003 Active Directory Planning Implementation

MCSE: Windows Server 2003 active directory planning, implementation, and maintenance: study guide

MCSE Training Kit, Microsoft Windows 2000 Active Directory Services

Mastering Windows Server 2003

Inside Windows Server 2003

Mastering Windows Server 2003

Windows Server 2003 Registry

Programming Windows Server 2003

Learning Windows Server 2003

Mastering Windows Server 2003

Recommend Documents