2008, Microsoft Österreich GmbH Seite 1

Transkript

1 2008, Microsoft Österreich GmbH Seite 1

2 Managing Microsoft School Infrastructures 2008 Labs Advanced Version 1, im Jänner 2009 Microsoft Österreich GmbH Am Euro Platz Wien Dieses Werk ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der Microsoft Österreich GmbH unzulässig und strafbar. Das gilt insbesondere für kommerzielle Nutzung dieses Skriptums. 2008, Microsoft Österreich GmbH Seite 2

3 Vorwort Bildung ist entscheidend für soziales und wirtschaftliches Wohlergehen aller Menschen. Die wechselnden Anforderungen der globalen Wirtschaft fordern gut ausgebildete, kreative und ausreichend flexible Menschen, die ihre zahllosen Chancen wahrnehmen können. 1 Unsere Vision der Bildung bietet allen Teilnehmern, unabhängig von Alter und Lebensabschnitt, unabhängig von Zeit und Ort, die Möglichkeiten, die sie suchen und brauchen: Lehren und Lernen im Geflecht von verteilter Information und vernetzter Zusammenarbeit, lernerzentriert und auf deren Fähigkeiten und Potentiale für die Zukunft fokussiert. Lehrer wollen nicht Fertigkeiten für heute vermitteln, sie wollen Kompetenzen und Fähigkeiten ihrer Schüler entwickeln, damit sie die morgen geforderten Fertigkeiten selbst erwerben und entwickeln können. Die Vielschichtigkeit der künftigen Herausforderungen formulieren die Anforderungen an Bildung heute. Wir sind der Überzeugung, dass IT ein wichtiger Faktor ist, nachhaltige soziale und wirtschaftliche Chancen wahrzunehmen. Unsere Vision umfasst eine qualitätsvolle Bildung die den Einsatz von innovativen Technologien ermöglicht und unterstützt Der eigentliche Ort des Geschehens sind unsere Schulen im Wandel. Hier werden Kustoden und IT-Verantwortliche gefordert, die technischen Rahmenbedingungen der Schule der Zukunft herzustellen. Das hohe Tempo der Erneuerungen und die zunehmende Zahl von Systemen erhöhen die Anforderungen an die IT Erhalter. Um die Schulnetzwerke konfigurieren und administrieren zu können, haben wir auch einfache Step-by-Step Anleitungen für die wichtigsten Prozesse erstellt. Mehr als Downloads im vergangenen Jahr beweisen, die Qualität und den Nutzen dieser Dokumente. Zu den praktischen Anleitungen kommt hiermit noch das notwendige Basiswissen über Netzwerk- und Servertechnologien in Form des MMSI (Managing Microsoft School Infrastructure) Skriptum mit eigenem Übungs- und Labteil. Download: Die vorliegenden Unterlagen sind in erster Linie zum Selbststudium gedacht und wie die Step-by-Step-Anleitungen unter obigem Link frei verfügbar. Darüber hinaus bietet die IT in der Bildung GmbH bundesweite MMSI-Schulungen an, sowie weitere Prüfungen zum Erwerb von Microsoft Zertifikaten. Für die Erstellung und die laufende Arbeit an diesem Dokument möchte ich den vielen Mitwirkenden für die engagierte und professionelle Arbeit danken: den Autoren Georg Steingruber (HAK Grazbachgasse, Graz), Thomas Hauser (Microsoft Österreich), Robert Beron (HTL Wr. Neustadt), Franz Furtschegger (BG Mössingerstrasse, Klagenfurt) und Otmar Haring (PH-OÖ), sowie MR Dr. Christian Dorninger und Dr. Ernst Karner für die langjährige, engagierte und gute Zusammenarbeit. Und besonders ihnen, lieber Leser, möchte ich danken, denn sie halten ein Exemplar des MMSI 2008 in Händen, um ihre Schule zu verbessern und einen Schritt weiterzuführen, nämlich einen der vielen Schritte hin zur Schule des 21. Jahrhunderts. Andreas Exner, MBA Education Manager, Microsoft Österreich GmbH Wien, Jänner A New World of Learning, Microsoft s Vision for Enabling a Quality Education for Everyone; A Microsoft White Paper; July , Microsoft Österreich GmbH Seite 3

4 Inhaltsverzeichnis 1 Was Sie erwarten dürfen Überblick Definition Vorausgesetzte Kenntnisse Konventionen Gedanken zum Thema Sicherheit Planung Überblick Definition Aufbau und Planung Standardkonfiguration für die Schule Allgemein Konfiguration IP-Adressen-Schema Domänencontroller Netzwerklayout LAB Installation Übersicht Definition Szenario Anforderungen Aufgabenliste Lösen der geforderten Aufgaben Installation von Windows Server Erster Start Oberfläche Desktop konfigurieren Festplatten konfigurieren Kennwortrücksetzdiskette erstellen Windows Server 2008 aktivieren LAB Benutzerverwaltung in einer Domäne Übersicht und Definition LAB 1: Grundlegende Arbeiten im Active Directory Szenario für LAB Lösen der geforderten Aufgaben LAB 2: Planung des Active Directory LAB Szenario für LAB , Microsoft Österreich GmbH Seite 4

5 4.3.3 Anforderungen Aufgabenliste Lösen der geforderten Aufgaben LAB 3: Einsatz von Management Tools für die Anlage von Benutzern LAB Szenario für LAB Anforderungen Aufgabenliste Lösen der geforderten Aufgaben LAB - Gruppenrichtlinien zuweisen Richtliniendateien Standardordner für Richtliniendateien Zentrales Verzeichnis für Richtliniendateien in der Domäne Zuweisen von Gruppenrichtlinien Definieren der Kennwortrichtlinien für die Domäne Den Benutzern ein Hintergrundbild zuweisen Drucker durch Gruppenrichtlinie bereitstellen Druckerbereitstellung aufheben Geräteinstallation (z.b. USB-Stick) mit Gruppenrichtlinie verweigern Netzwerkverkehr mit QoS (Quality of Service) regeln LAB Zugriffberechtigungen - Shares Übersicht Definition Szenario Anforderungen Aufgabenliste Lösen der geforderten Aufgaben Ordner freigeben Effektive Berechtigungen einer Gruppe anzeigen Windows Deployment Services mit XP Übersicht Definition: Szenario Anforderungen Aufgabenliste Lösen der geforderten Aufgaben Installation der WDS-Rolle Konfiguration der WDS-Rolle Erstellen eines Aufzeichnungsabbildes , Microsoft Österreich GmbH Seite 5

6 7.5.4 Erstellen eines Deploymentstartabbildes Clientpräparation für den Imagingvorgang Imagen eines Clients Vorbereitungen für den Clientrollout Multicastingübertragung von Images LAB Windows Server Update Services Übersicht Definition Szenario Anforderungen Aufgabenliste Lösen der geforderten Aufgaben Installation von Windows Server Update Services Computergruppen erstellen Computergruppen für automatische Zuweisung konfigurieren Automatische Genehmigung für Updates konfigurieren Manuelle Genehmigung von Updates Konfigurieren der Gruppenrichtlinie für den Client LAB ISA Übersicht und Definition LAB 1: Kontrolle der Vorbereitung für die Installation Szenario für LAB Lösen der geforderten Aufgaben LAB 2: Installation des ISA 2006 Servers Szenario für LAB Lösen der geforderten Aufgaben LAB 3: Erstellen von ISA Objekten mit Hilfe der ISA 2006 Server Toolbox Szenario für LAB Lösen der geforderten Aufgaben LAB 4: Erstellen von Firewall-Richtlinien Szenario für LAB Lösen der geforderten Aufgaben , Microsoft Österreich GmbH Seite 6

7 Was Sie erwarten dürfen 1 Was Sie erwarten dürfen Dieses Kapitel erläutert den allgemeinen Aufbau dieses Skriptums sowie die verwendeten Konventionen. 1.1 Überblick Definition Die Schulungsunterlagen sind in mehrere Teile gegliedert, die es ermöglichen, den Windows Server 2008 von der Installation bis zur Detailkonfiguration der einzelnen Dienste und Anwendungen kennenzulernen. Sie können dieses Werk aber auch als praktische Referenz nutzen: Sie finden darin Anleitungen zur Lösung spezifischer Probleme. Innerhalb eines Kapitels erhalten Sie allgemeine Informationen und Erklärungen zu den einzelnen Installations- und Verwaltungsvorgängen beim Windows Server Dazu gehören auch allgemein gehaltene Kurzanleitungen, die Ihnen helfen sollen, sich rasch einen Überblick über die jeweiligen Funktionen zu verschaffen. Die Kapitel behandeln folgende Inhalte und Themen: Kapitel 1 gibt einen kurzen Überblick über die Inhalte, die Sie in diesen Schulungsunterlagen erwarten. Wir werden uns in den darauf folgenden Kapiteln detailliert mit den einzelnen Punkten beschäftigen und diese genau erläutern. Kapitel 2 beschäftigt sich mit den Installationsvorbereitungen und der Planung einer Windows Server 2008-Installation. Wir werden über das Netzwerklayout und das Domänencontroller-Konzept nachdenken und diese anhand von Fallbeispielen erörtern. Kapitel 3 behandelt die Installation bis zum ersten Start von Windows Server In Kapitel 5 wird näher auf die Benutzerverwaltung in einer Domäne eingegangen. Sie lernen, wie Sie Benutzer und Gruppen anlegen und wie die Benutzerverwaltung im Active Directory aussieht. Kapitel 6 beschäftigt sich mit Zugriffsberechtigungen auf Ressourcen, und das Anlegen von Shares. Kapitel 7 behandelt das Ausrollen von Clients mit Windows Deployment Services, Sie lernen, wie man Abbilder mit WDS erstellt, und ausrollt. Kapitel 8 beschäftigt sich mit der Verwaltung von Microsoft Updates mit Windows Server Update Services. Sie erfahren, wie WSUS konfiguriert wird, und Sie Computer zentral mit Updates versorgen. In Kapitel 9 wird auf die Einrichtung von ISA Server 2006 eingegangen. Lernen Sie Ihr Netzwerk effektiv zu schützen, und den Zugriff auf Ihre Ressourcen dabei möglichst einfach zu gestalten. 1.2 Vorausgesetzte Kenntnisse Um die vorliegenden Schulungen in einem vernünftigen Rahmen zu halten, sind die Autoren beim Erstellen des MMSI- Labs von folgender Prämisse ausgegangen: Die Leser dieser Unterlage sind keine absoluten Neulinge im Bereich der Netzwerk-Administration. Insbesondere haben sich diese Personen bereits grundlegende Kenntnisse zu folgenden Themen angeeignet: Umgang mit einem Windows-Betriebssystem Netzwerktopologien und -technologien Einführende Kenntnisse über Netzwerkprotokolle 2008, Microsoft Österreich GmbH Seite 7

8 Was Sie erwarten dürfen Grundlagen von TCP/IP inklusive Konfiguration und Troubleshooting Darstellung von TCP/IP-Adressen mithilfe von CIDR 1.3 Konventionen Um die Lesbarkeit und das Verständnis zu erleichtern, werden verschiedene Schriftformate zum Hervorheben der unterschiedlichen Arten von Informationen verwendet. So werden die Menübefehle in Versalien geschrieben, wie z. B.: Wählen Sie aus dem Menü DATEI den Befehl EIGENSCHAFTEN. Schrittweise Anleitungen werden als nummerierte Aufzählungen dargestellt: So erstellen Sie ein XYZ: 1. Wählen Sie die Option ALLE ANZEIGEN aus. 2. So werden die NAMEN von Menübefehlen dargestellt. Hilfreich werden Sie vor allem die Tipps finden. Diese weisen auf Besonderheiten hin. Wichtige Informationen sind folgendermaßen hervorgehoben: Knifflige Details werden Sie häufig in einer solchen Hinweisbox lesen. 1.4 Gedanken zum Thema Sicherheit Obwohl diese Schulungsunterlagen mehr als 170 Seiten umfassen, erheben sie weder Anspruch auf Vollständigkeit noch darauf, eine allgemein gültige Universalanleitung für die perfekte Planung und Implementierung einer Windows Server 2008-Infrastruktur zu sein. Vor allem im Bereich der IT-Sicherheit mit all ihren Facetten, Stolpersteinen und Eigenheiten sollte man immer beachten, dass speziell in produktiven Systemen, also auch in einem Schulnetzwerk, individuelle und an die jeweilige Situation angepasste Vorkehrungen und Maßnahmen zu treffen sind. Sowohl in der Planungs-, Implementierungs-, Verwaltungs- als auch in der Wartungsphase ist es absolut notwendig, das System immer auf dem neuesten Stand und möglichst sicher zu halten. Die Websites der einzelnen Hard- und Softwarehersteller, allen voran Microsoft als Lieferant des Windows Server 2008, bieten dazu stets aktuelle Informationen. In Zeiten der Mailviren und RPC-Würmer macht die Sicherung und Verwaltung eines Netzwerks einen nicht unerheblichen Teil des Verwaltungsaufwandes aus, der auf keinen Fall unterschätzt werden sollte. Ein Virus kann innerhalb einer Organisation schnell die wichtigsten Kommunikationsmittel und -wege lahmlegen und einen nicht unbeträchtlichen wirtschaftlichen und immateriellen Schaden anrichten. Die Sicherheit kann und darf nicht außer Acht gelassen werden. 2008, Microsoft Österreich GmbH Seite 8

9 Was Sie erwarten dürfen Es sei hiermit nochmals ausdrücklich auf die Dringlichkeit dieses Themas hingewiesen, jedoch auch auf den Umstand, dass es nicht möglich ist, in Schulungsunterlagen wie dem vorliegenden alle sicherheitsrelevanten Informationen und Anweisungen unterzubringen. Dies würde nicht nur die Lesbarkeit und Handhabung erheblich stören, sondern auch den gegebenen Rahmen sprengen. Mit den richtigen Informationen und dem entsprechenden Wissen lassen sich jedoch die meisten der heute vorhandenen Sicherheitsrisiken minimieren, wenn nicht sogar neutralisieren. 2008, Microsoft Österreich GmbH Seite 9

10 Planung 2 Planung Dieses Kapitel erläutert die Grundsätze der Planung vor einer Implementierung von Windows Server Überblick Definition Jeder Aufbau eines Netzwerks, aber auch die Erweiterung oder Umkonfigurierung einer bestehenden Netzwerkinfrastruktur, bedarf einer guten Planung. In der heutigen Zeit gibt es viele Möglichkeiten, Netzwerke aufzubauen und Geräte miteinander zu verbinden, wobei nicht nur der Kostenfaktor einen wichtigen Entscheidungspunkt darstellt. 2.2 Aufbau und Planung Die grundlegende Vorgehensweise sollte in folgende Phasen aufgeteilt werden: Analyse Während dieser Phase legen Sie die IT-Ziele fest. Sie müssen sich Gedanken über die nötige Bandbreite machen, Sicherheitsanforderungen festlegen und das Kosten- Nutzen-Verhältnis berücksichtigen. Entwurf In dieser Phase bewerten Sie das Infrastrukturkonzept. Sie wägen ab, welche Funktionen Ihr Netzwerk bereitstellen muss. Die Entwurfsphase basiert auf der Analyse. Zu den Funktionen zählen unter anderem DNS, DHCP und die verwendeten Netzwerkprotokolle. Test Sie sollten ein Pilotprojekt in einer produktiven Umgebung mit einer geringen Zahl von Benutzern starten. Die Ergebnisse dieses Projekts zeigen Ihnen, ob Korrekturen am Netzwerkentwurf nötig sind, um eine stabile Netzwerkumgebung zu erreichen. Produktion In der letzten Phase können Sie das Pilot-Netzwerk auf die gesamte Umgebung ausweiten. Zusätzlich sollten Sie Notfallpläne erstellen, damit falls wider Erwarten Probleme auftreten sollten die zuständigen Personen das System wiederherstellen bzw. funktional halten können. Bei der Planung eines Netzwerks sind auch die folgenden Begriffe und Techniken von Bedeutung: Domänencontroller, Domänenhierarchie, Netzwerktopologie. 2.3 Standardkonfiguration für die Schule Allgemein Die in diesem Kurs verwendete Konfiguration beruht auf der Annahme, dass pro Schule zwei Domänencontroller verwendet werden. Als Clientrechner stehen mindestens 100 Desktop-PCs bereit, zuzüglich eventueller Notebook- Klassen. Das System sollte für etwa 500 bis 1000 Benutzer ausgelegt sein und die anfallende Arbeitslast tragen können. Grundsätzlich sollten die notwendigen Dienste und die damit verbundenen Lasten auf mehrere Serverinstanzen verteilt werden. 2008, Microsoft Österreich GmbH Seite 10

11 Planung Konfiguration Folgende Konfiguration besteht aus zwei Servern, auf denen die folgenden Dienste verteilt werden: Server 1 (SRV01): Normal Domänencontroller (Active Directory) DNS DHCP Internet Security & Acceleration Server (ISA-Server) - Installation/Konfiguration ist nicht Teil dieser Schulungsunterlage Dateiserver Applikationsserver Server 2 (SRV02): Domänencontroller (Active Directory) DNS Druckserver RRAS (falls Segmentierung gewünscht ist) Exchange Server - Installation/Konfiguration ist nicht Teil dieser Schulungsunterlage 2008, Microsoft Österreich GmbH Seite 11

12 A B C D E F G H SELECTED ON-LINE Planung Internet Router Exchange Server RRAS Domänencontroller DNS Druckserver Server 02 SELECTED ON-LINE A B C D E F G H PC 1 PC 2 Domänencontroller DNS DHCP Dateiserver Applikationsserver ISA-Server Server 01 SELECTED ON-LINE A B C D E F G H PC 3 PC 4 Abb. 1: Server-Konfiguration 2008, Microsoft Österreich GmbH Seite 12

13 Planung IP-Adressen-Schema Folgendes IP-Adressen-Schema wird für die Konfiguration einer Standardschule angenommen: Element IP-Adresse Domänencontroller und Subnetzmaske DNS-Server und DHCP-Server Standardgateway Exchange Server Externes Web Domänencontroller Ein Domänencontroller ist der Server-Computer in Microsoft-Netzwerken, der die Anmeldungen an einer Domäne verifiziert. Des Weiteren verwaltet er die Sicherheitsrichtlinien und die Datenbank, in der die Benutzer, Benutzergruppen und Computer einer Domäne enthalten sind. Domäne Eine Domäne hingegen ist nichts anderes als eine Sammlung von Computern und Benutzern, die eine gemeinsame Datenbank- und Sicherheitsrichtlinie verwenden. Verschiedene Domänen können auch hierarchisch miteinander verbunden sein. Domänencontroller (Domain Controller, DC) Jede Domäne muss mindestens einen Domänencontroller haben. Dieser Server verwaltet die Benutzerdatenbank der Domäne und überprüft die Anmeldungen. Aus Gründen der Fehlertoleranz werden in der Praxis meist zusätzliche Domänencontroller eingesetzt. Dafür sprechen mehrere Gründe: Fällt z. B. ein DC aus, so kann der andere die Validierung der Benutzer übernehmen. Des Weiteren wird die Anmeldelast auf mehrere Domänencontroller aufgeteilt. Damit im Falle des Ausfalles des ersten DC eine Benutzeranmeldung am zweiten DC möglich ist, ist dort ebenfalls die Global-Catalog-Funktion zu aktivieren. 2.5 Netzwerklayout Die Wahl des Netzwerklayouts betrifft auf der einen Seite die verwendete Hardware und auf der anderen Seite die Konfigurationsmöglichkeiten, die durch die Verwendung der Serversoftware gegeben sind. 2008, Microsoft Österreich GmbH Seite 13

14 Planung Sternförmiges Netzwerk Diese Form der Netzwerke ist die am weitesten verbreitete Topologie. Die Computer sind mittels Kabel sternförmig an ein Gerät gebunden, das die Weiterleitung des Netzwerkverkehrs übernimmt. Abb. 2: Sternförmiges Netzwerklayout Folgende Geräte kommen hierbei zum Einsatz: Hubs (Verteiler), Switches oder Router. Diese Geräte unterscheiden sich vor allem darin, wie sie den Verkehr weiterleiten. So schicken Hubs die ankommenden Datenpakete an jeden Anschluss im Gerät, wohingegen Switches genau wissen, hinter welchem Anschluss welcher Client hängt, und die Datenpakete entsprechend abliefern. Normalerweise sind die Geräte, die an Hubs bzw. Switches hängen, immer im selben Netzwerksegment. Router haben den Vorteil, dass diese hoch konfigurierbar sind und den Netzwerkverkehr auch zwischen verschiedenen Netzwerksegmenten weiterleiten können. In der heutigen Zeit ist diese Form der Vernetzung die am weitesten verbreitete. (Derzeitige) Geschwindigkeit: 100 Mbps bis 1 Gbps Andere Topologien Weitere Netzwerktopologien sind busförmige Netzwerke und Ringnetzwerke. Die Namen weisen schon auf die Art und Weise der Verkabelung hin. Diese Netzwerke bieten aber keine hohe Ausfallsicherheit, weswegen sie heutzutage nur noch in Spezialfällen angewandt werden. Ringstruktur Bei einem Netzwerk mit Ring-Topologie sind die Geräte über eine einzige vorstellbar als ringförmig verlaufende Leitung gleichberechtigt miteinander verbunden. In Wirklichkeit werden die einzelnen Rechner über ein hin- und 2008, Microsoft Österreich GmbH Seite 14

15 Planung rückführendes Kabel an einer sogenannten MAU (Medium Attachment Unit) angeschlossen. Es gibt keinen zentralen Rechner. Jedes Gerät verfügt über einen eigenen Netzanschluss und ist über diesen mit seinem linken und rechten Nachbarn verbunden. Die Übertragung der Informationen erfolgt immer in einer Richtung von Station zu Station. Jede Station untersucht bei einer empfangenen Nachricht die darin enthaltene Zieladresse und nimmt die Nachricht entgegen, wenn diese Adresse mit der eigenen übereinstimmt. Andernfalls regeneriert sie das Signal und leitet die Nachricht, wie ein Repeater, zur nächsten Station im Ring weiter. Der Ausfall eines Computers hat bei der Ringstruktur also Einfluss auf das gesamte Netzwerk. Abb. 3: Ringförmiges Netzwerk Busstruktur Die Bus-Topologie ist die einfachste und in der Vergangenheit am häufigsten verwendete Struktur für die Verkabelung. Auch hier gibt es keine Zentrale, die Verbindung aller Geräte erfolgt über eine gemeinsame Hauptkommunikationsleitung (Backbone). Die einzelnen Stationen verstärken die Signale bei dieser Topologie nicht, dadurch kommt es zu einer Dämpfung und Abschwächung. Die Länge der Bus-Topologie ist somit auf ca. 185 Meter begrenzt. Durch den Einsatz von Repeatern kann sie jedoch verlängert werden. An den beiden Kabelenden benötigen Bus-Netze einen Abschlusswiderstand, damit keine Echos auftreten, die zu Empfangsfehlern führen. In einem Bus-Netzwerk beobachtet jede Station die Aktivitäten auf der Leitung. Nachrichten werden von allen Stationen erkannt, aber nur von den Stationen angenommen, für die eine Nachricht bestimmt ist. Zu einem Zeitpunkt kann immer nur eine Nachricht über den Bus transportiert werden. Daher hängt die Leistung des Netzwerks davon ab, wie viele Geräte angeschlossen sind und in welchem Umfang die angeschlossenen Rechner das Netzwerk nutzen. Falls ein Rechner ausfällt, kann er zwar nicht mehr mit dem Netzwerk kommunizieren, die Funktionsfähigkeit des Netzwerks wird jedoch nicht beeinträchtigt. Die Unterbrechung des Kabels an einer Stelle führt jedoch zur Unterbrechung des gesamten Netzbetriebs. 2008, Microsoft Österreich GmbH Seite 15

16 Planung Abb. 4: Busförmiges Netzwerk Speziell bei der Wahl der Netzwerktopologie sollten Sie auch zukünftige Entwicklungen und Anforderungen an Ihr Netzwerk im Auge behalten, da ein Topologiewechsel häufig mit sehr hohen Kosten einhergeht. Empfehlung für Schulen: strukturierte Verkabelung Die Vergangenheit hat gezeigt, dass lokale Netze immer größer werden. Die oben beschriebenen Topologien können nur mit erheblichem Aufwand erweitert werden. Die strukturierte Verkabelung beschreibt eine hierarchische Baumstruktur. Von einem zentralen Kabelstrang, gewissermaßen dem Stamm des Baumes, gehen nach beliebigen Richtungen einzelne Verästelungen ab, an denen entweder ein einzelner Rechner oder ein ganzes sternförmiges Netz hängt. Diese kann sehr leicht erweitert werden und gilt deshalb als einzig zukunftssichere Topologie. 2008, Microsoft Österreich GmbH Seite 16

17 LAB Installation 3 LAB Installation Dieses LAB demonstriert die praktische Anwendung der im Skriptum vorgestellten Techniken und Methoden zur Installation von Windows Server Übersicht Definition Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Einholen der benötigten Daten über das System (Hardware, Software) Durchführen der Installation Abschließen der Installation 3.2 Szenario Ihre Schule benötigt eine funktionierende Instanz eines Windows Server 2008, um die erwartete Arbeitslast abfangen zu können. Sie sind verantwortlich für die Installation von Windows Server 2008 auf diesem Server, dessen Hardware- Ausstattung den Mindestanforderungen und der Planung aus Kapitel 2 Planung entspricht. In diesem Lab wird ein Übungsserver aufgesetzt, der auch mit den zur Verfügung gestellten Virtual PC Images übereinstimmt. Bei einem Server für den Echtbetrieb sollten geringfügige Änderungen vorgenommen werden, auf die allerdings hingewiesen wird. 3.3 Anforderungen Im vorliegenden Szenario ist eine funktionstüchtige Installation von Windows Server 2008 erforderlich. Zusätzlich soll im Anschluss an die Standardinstallation auch eine erste Domänenstruktur installiert und konfiguriert werden. Da für die endgültige Konfiguration und Verwaltung der Domäne erweitertes Wissen über Netzwerkdienste erforderlich ist, ist die Installation und Konfiguration des Domänencontrollers Gegenstand des nächsten LAB. 3.4 Aufgabenliste Um die Aufgaben erfüllen zu können benötigen Sie eventuell nachfolgende Informationen: Installationsmedien (DVD) in der richtigen Version (32/64 bit) 25-stellige Produktschlüssel (siehe Medienverpackung oder Lizenzvertrag) Hardwaretreibermedien (CD-ROM, Disketten, USB-Stick) Schema für die Vergabe von Computernamen (siehe Kapitel 2 Planung) Informationen über das bestehende Netzwerk (IP-Adressen der anderen Server, Domänencontroller, Gateway etc.) 2008, Microsoft Österreich GmbH Seite 17

18 LAB Installation 3.5 Lösen der geforderten Aufgaben Installation von Windows Server 2008 Nachfolgend finden Sie eine praktische Anleitung für die Neuinstallation von Windows Server 2008 Standard Edition. So installieren Sie Windows Server 2008 Standard Edition: 1. Starten Sie den Computer. 2. Stellen Sie sicher, dass der Computer vom DVD-Laufwerk bootet. Stellen Sie, wenn notwendig, die Boot- Reihenfolge im BIOS-Menü um. 3. Starten Sie gegebenenfalls den Rechner neu. 4. Legen Sie das Setup-Medium in das entsprechende Laufwerk. 5. Die Setup-Routine startet die Installation. 6. Wählen Sie als Tastaturlayout, als Währungsformat und als Installationssprache Deutsch aus und klicken auf den Button WEITER Abb. 5: Start des Setups 2008, Microsoft Österreich GmbH Seite 18

19 LAB Installation 7. Klicken Sie auf JETZT INSTALLIEREN um den eigentlichen Installationsvorgang zu starten Abb. 6: Start der eigentlichen Installation 8. Im nächsten Schritt wählen Sie das zu installierende Betriebssystem (im MS-ACH Agreement ist Windows Server 2008 Standard enthalten) und klicken auf den Button WEITER. Sofern Ihre Hardware es zulässt, verwenden Sie bitte unbedingt die 64-bit Version des Servers! Abb. 7: Auswahl des zu installierenden Betriebssystems 2008, Microsoft Österreich GmbH Seite 19

20 LAB Installation Server Core (neu ab Windows Server 2008) ist eine Servervariante ohne grafische Oberfläche, die ohne Explorer oder Shell ausschließlich über die Kommandozeile konfiguriert bzw. bedient wird. Der Vorteil ist eine schlankere Installation inkl. dem Einsparen von weiteren Sicherheitsupdates aufgrund einer geringeren Angriffsfläche. Mögliche Einsatzgebiete sind Domänencontroller, File-, DNS und DHCP-Server. Bei der Server-Core-Variante werden nur die Dateien installiert, die für die jeweilige Serverrolle benötigt werden. 9. Akzeptieren Sie die Lizenzbedingungen und klicken auf den Button WEITER. Abb. 8: Lizenzbedingungen 10. Da es sich hier um eine Neuinstallation von Windows Server 2008 handelt, klicken Sie in den blau-gehaltenen Textbereich und wählen somit BENUTZERDEFINIERT (ERWEITERT). 2008, Microsoft Österreich GmbH Seite 20

21 LAB Installation Abb. 9: Benutzerdefinierte Neuinstallation 11. Im nächsten Schritt definieren Sie den Installationsort von Windows Server Dabei wird geraten, dass Sie die Festplatte nicht mehr partitionieren, sondern dass die gesamte Platte als Laufwerk C: für den Server zur Verfügung steht. In diesem Fall klicken Sie einfach auf den Button WEITER. Wenn Sie es jedoch unbedingt wünschen, eine eigene Systempartition zu erstellen, wählen Sie die betreffende Festplatte aus und klicken auf den Link LAUFWERKSOPTIONEN (ERWEITERT). Im darauf erscheinenden Fenster können nun Partitionen angelegt werden. Abb. 10: Auswahl des Installationslaufwerkes 2008, Microsoft Österreich GmbH Seite 21

22 LAB Installation 12. Daraufhin wird die Festplatte formatiert, die Setup-Dateien auf den Zielrechner kopiert, Funktionen und Updates installiert. Abb. 11: Installation von Windows Server 2008 Abb. 12: Notwendiger Bootvorgang während der Installation 2008, Microsoft Österreich GmbH Seite 22

23 LAB Installation 13. Am Ende des Installationsvorganges werden Sie aufgefordert, das Passwort für den lokalen Administrator festzulegen. Bestätigen Sie diesen Hinweis, indem Sie auf den Button OK klicken und geben anschließend das Administratorkennwort ein. Abb. 13: Aufforderung zur Passworteingabe Erster Start Oberfläche 1. Automatisch nach dem ersten Anmelden am System erscheint nach einer kurzen Konfigurationsphase das Fenster AUFGABEN DER ERSTKONFIGURATION. In diesem Fenster werden geführt von diversen Assistenten die Grundeinstellungen von Windows Server 2008 vorgenommen. Abb. 14: Festlegen von Datum, Uhrzeit und Zeitzone 2008, Microsoft Österreich GmbH Seite 23

24 LAB Installation Standardmäßig wird beim Starten beziehungsweise Anmelden als Administrator das Fenster Aufgaben der Erstkonfiguration geöffnet. Sie können dieses Verhalten mit einem Klick in die Checkbox Dieses Fenster bei der Anmeldung nicht anzeigen am unteren linken Rand ändern. Über das Menü START, SUCHE STARTEN und OOBE.EXE ist dieses Fenster weiterhin erreichbar! 2. Um Datum und Uhrzeit korrekt einstellen zu können, klicken Sie auf den Link ZEITZONE FESTLEGEN und anschließend auf den Button DATUM UND UHRZEIT ÄNDERN. Die korrekte Zeitzone wählen Sie aus, indem Sie auf den Button ZEITZONE ÄNDERN klicken. Abb. 15: Festlegen von Datum, Uhrzeit und Zeitzone 3. Im Registerordner INTERNETZEIT können Sie einen beliebigen Zeitserver angeben und Ihre Systemzeit automatisch regelmäßig mit dem dort angegebenen Zeitserver abgleichen lassen. Bestätigen Sie alle offenen Fenster die Zeitzone betreffend mit OK. Abb. 16: Zeitserver einstellen 2008, Microsoft Österreich GmbH Seite 24

25 LAB Installation 4. Als nächstes klicken Sie im Fenster der Erstkonfiguration auf den Link NETZWERK KONFIGURIEREN, wählen dort die entsprechende LAN-Verbindung aus und klicken mit der rechten Maustaste auf EIGENSCHAFTEN. Abb. 17: Konfiguration der Netzwerkeinstellungen 5. Wählen Sie INTERNETPROTOKOLL VERSION 4 aus, klicken auf den Button EIGENSCHAFTEN und legen IP- Adresse, Subnetzmaske, Standardgateway und DNS-Server fest. Bestätigen Sie die Einstellungen in beiden Fenstern über die Button OK bzw. SCHLIEßEN und schließen dann das Fenster NETZWERKVERBINDUNGEN. Abb. 18: Festlegen der TCP/IP-Einstellungen 2008, Microsoft Österreich GmbH Seite 25

26 LAB Installation 6. Im nächsten Schritt wollen wir den Servernamen festlegen. Klicken Sie dazu auf den Link COMPUTERNAME UND DOMÄNE FESTLEGEN und anschließend auf der Registerkarte COMPUTERNAME des Fensters Systemeigenschaften auf den Button ÄNDERN und geben den Computernamen ein. (Hinweis: Für den Übungsserver verwenden Sie bitte den Computernamen SRV01) Da ihr Server später ein Domänencontroller wird, lassen Sie ihn zu diesem Zeitpunkt in der Arbeitsgruppe. Schließen Sie beide offenen Fenster und bestätigen Sie den Neustart des Servers, damit die soeben gemachten Änderungen aktiv werden. Abb. 19: Festlegen des Computernamens 7. Damit die Sicherheit des Betriebssystems ständig gewahrt bleibt, ist es wichtig, dass die neuesten Updates automatisch heruntergeladen und installiert werden. Nach einem Klick auf den Link AUTOMATISCHE AKTUALISIERUNG UND FEEDBACK AKTIVIEREN, können Sie sich im nächsten Fenster entscheiden, ob alle Einstellungen automatisch aktiviert werden sollen, oder ob Sie jede dieser Einstellungen manuell konfigurieren möchten. In diesem Beispiel klicken wir auf EINSTELLUNGEN MANUELL KONFIGURIEREN und wählen im nächsten Fenster im Bereich Automatische Updates für Windows den Button Einstellung ändern. Im daraufhin erscheinenden Fenster aktivieren Sie bitte die Einstellung Updates automatisch installieren (empfohlen). Ob die beiden weiteren Bereiche auch noch konfiguriert werden, bleibt Ihnen überlassen. 2008, Microsoft Österreich GmbH Seite 26

27 LAB Installation Abb. 20: Automatische Aktualisierung Abb. 21: Manuelle Konfiguration der einzelnen Punkte 8. Als letzten Schritt in diesem Fenster wird der Windows Server durch einen Klick auf den Link UPDATES HERUNTERLADEN UND INSTALLIEREN sofort mit den notwendigen Updates versorgt. Eventuell muss nach diesem Vorgang der Computer neu gestartet werden. 2008, Microsoft Österreich GmbH Seite 27

28 LAB Installation Abb. 22: Einspielen aktueller Windowsupdates 9. Wenn nun das Fenster der Erstkonfiguration über den Button SCHLIEßEN beendet wird, erscheint kurz darauf der SERVER-MANAGER. Auf den Server-Manager, mit dem sämtliche weiteren Konfigurationen durchgeführt werden, wird zu einem späteren Zeitpunkt noch genauer eingegangen. Eine Einstellung sollte allerdings zum jetzigen Zeitpunkt sofort durchgeführt werden: Da Sie auch als Administrator vom Server aus den Internet Explorer manchmal öffnen müssen, ist es sinnvoll, die verstärkte Sicherheitskonfiguration für Administratoren zu deaktivieren. Klicken Sie dazu auf den Link VERSTÄRKTE SICHERHEITSKONFIGURATION FÜR IE KONFIGURIEREN und wählen die Option AUS für Administratoren. Anschließend kann dieses Fenster minimiert werden. Abb. 23: Server-Manager 2008, Microsoft Österreich GmbH Seite 28

29 LAB Installation Desktop konfigurieren Da auf dem Desktop nach dem ersten Start (bis auf den Papierkorb) keine Elemente angezeigt werden, sollten die wichtigsten nun eingeblendet werden. Klicken Sie dazu mit der rechten Maustaste auf den leeren Desktop und wählen den Punkt ANPASSEN. Links unter den Aufgaben wählen Sie dann DESKTOPSYMBOLE ÄNDERN, wählen die gewünschten zusätzlichen Desktopelemente aus, bestätigen Ihre Auswahl mit OK und schließen das Fenster Anpassung. Abb. 24: Einblenden zusätzlicher Desktopsymbole Festplatten konfigurieren Nachdem die Installation und die ersten Konfigurationschritte abgeschlossen sind, sollten die Festplatten konfiguriert, d. h. in dynamische Datenträger umgewandelt werden. Erst dann ist es möglich, Ausfallsicherheit z.b. durch Festplattenspiegelung zu integrieren. Bemerkung: Damit Sie diese Übung vollständig (inkl. Punkt 7) absolvieren können, müssen sich mindestens zwei Festplatten in Ihrem Server befinden. 1. Öffnen bzw. maximieren Sie das Fenster SERVER-MANAGER, erweitern den Punkt SPEICHER und klicken anschließend auf DATENTRÄGERVERWALTUNG. 2008, Microsoft Österreich GmbH Seite 29

30 LAB Installation Abb. 25: Datenträgerverwaltung 2. Wählen Sie im mittleren Fenster einen Datenträger aus und klicken Sie mit der rechten Maustaste darauf. 3. Im erscheinenden Kontextmenü wird der Menüpunkt IN DYNAMISCHEM DATENTRÄGER KONVERTIEREN ausgewählt. Abb. 26: Konvertierung in dynamischen Datenträger 2008, Microsoft Österreich GmbH Seite 30

31 LAB Installation 4. Im daraufhin erscheinenden Fenster wählen Sie bitte alle vorhandenen Festplatten aus und bestätigen mit OK. Abb. 27: Festplatten auswählen 5. Das nächste Fenster zeigt eine Zusammenfassung der zu konvertierenden Datenträger. Dieses Fenster wird mit KONVERTIEREN bestätigt. Abb. 28: Anzeige der zu konvertierenden Datenträger 2008, Microsoft Österreich GmbH Seite 31

32 LAB Installation 6. Die daraufhin folgende Sicherheitsabfrage wird ebenfalls über den Button JA bestätigt. Abb. 29: Sicherheitsabfrage 7. Sofern mindestens zwei Festplatten im Server eingebaut sind, kann nun die Spiegelung eingerichtet werden. Klicken Sie dazu mit der rechten Maustaste auf das Volume C: und wählen den Punkt SPIEGELUNG HINZUFÜGEN aus. Abb. 30: Partitionsauswahl für die Spiegelung 2008, Microsoft Österreich GmbH Seite 32

33 LAB Installation 8. Wählen Sie den zweiten Datenträger für die Spiegelung des Volume C: aus und klicken auf den Button SPIEGELUNG HINZUFÜGEN Abb. 31: Einrichten der Spiegelung Abb. 32: Gespiegeltes Volume C: 2008, Microsoft Österreich GmbH Seite 33

34 LAB Installation Kennwortrücksetzdiskette erstellen Für den Fall, dass die Person, welche das Netzwerk administriert, die Schule wechselt oder aus einem anderen Grund diese Tätigkeit nicht mehr ausführen kann, ist es wichtig, dass trotzdem der Server weiterhin administriert werden kann. Dazu ist es natürlich notwendig, dass man sich mit Administratorrechten am System anmelden kann. Für solche Notfälle sollte man bereits im Voraus vorsorgen und eine Kennwortrücksetzdiskette erstellen, die natürlich an einem sicheren Ort aufbewahrt werden muss. 1. Öffnen Sie die SYSTEMSTEUERUNG, klicken anschließend auf BENUTZERKONTEN und daraufhin noch einmal auf BENUTZERKONTEN. Abb. 33: Erstellen der Kennwortrücksetzdiskette 2. Wählen Sie nun den Punkt KENNWORTRÜCKSETZDISKETTE ERSTELLEN. Abb. 34: Erstellen der Kennwortrücksetzdiskette 3. Bestätigen Sie die erste Seite des Assistenten mit WEITER und wählen daraufhin das Speichermedium aus, mit dem Sie das Administratorkennwort zurücksetzen möchten. 2008, Microsoft Österreich GmbH Seite 34

35 LAB Installation Abb. 35: Auswahl des Speichermediums 4. Geben Sie nun das lokale Administratorkennwort ein und klicken auf den Button WEITER. Abb. 36: Eingabe des Benutzerkontokennwortes 5. Nachdem die Speicherung durchgeführt wurde, bestätigen Sie dies ebenfalls mit WEITER UND BEENDEN DARAUFHIN DEN ASSISTENT MIT FERTIG STELLEN. AUF DEM SPEICHERMEDIUM BEFINDET SICH NUN EINE DATEI MIT DEM NAMEN USERKEY.PSW. Abb. 37: Erstellung der Kennwortrücksetzdiskette 2008, Microsoft Österreich GmbH Seite 35

36 LAB Installation Nun ist es ratsam, diese Kennwortrücksetzdiskette sofort zu testen, bevor sie an einem sicheren Ort aufbewahrt wird. 1. Melden Sie sich am Server ab und geben bei der nächsten Anmeldung ein falsches (oder leeres) Kennwort ein. Bestätigen Sie das nächste Fenster mit OK. Abb. 38: Testen der Kennwortrückstelldiskette 2. Im nun erscheinenden Fenster klicken Sie bitte auf den Punkt KENNWORT ZURÜCKSETZEN, welcher sich direkt unter dem Eingabebereich für das Kennwort befindet. Abb. 39: Testen der Kennwortrückstelldiskette 3. Nun erscheint wieder ein Assistent, dessen erste Seite Sie mit WEITER bestätigen. Anschließend wählen Sie das Speichermedium aus, auf welchem sich die entsprechende Datei befindet. 2008, Microsoft Österreich GmbH Seite 36

37 LAB Installation Abb. 40: Testen der Kennwortrückstelldiskette 4. Im nächsten Fenster haben Sie nun die Möglichkeit, ein neues Administratorkennwort zu vergeben. Zusätzlich besteht die Option, dass Sie sich einen Hinweis für das Kennwort speichern können. Abb. 41: Testen der Kennwortrückstelldiskette 5. Beenden Sie den Assistenten mit FERTIG STELLEN und geben anschließend bei der nächsten Anmeldung das soeben vergebene Administratorkennwort bei der Anmeldung an. Sofern Sie ein neues Kennwort definiert haben, müssen Sie natürlich den Vorgang der Kennwortrücksetzdiskette erstellen wiederholen. 2008, Microsoft Österreich GmbH Seite 37

38 LAB Installation Abb. 42: Testen der Kennwortrückstelldiskette 3.6 Windows Server 2008 aktivieren Da bei der Installation des Servers keine Aktivierung stattfand, muss diese nun im Anschluss durchgeführt werden. Variante A: Aktivierung über einen Produkt-Key 1. Rufen Sie die SYSTEMSTEUERUNG auf, und wählen anschließend die Punkte SYSTEM UND WARTUNG SYSTEM. Im unteren Teil dieses Fenster befindet sich der Punkt PRODUCT KEY ÄNDERN, welcher aufgerufen wird. Abb. 43: Windows aktivieren 2008, Microsoft Österreich GmbH Seite 38

39 LAB Installation 2. Nun geben Sie den Ihnen zur Verfügung gestellten Product-Key ein und bestätigen diesen mit WEITER. Sofern eine Internetverbindung besteht, wird daraufhin eine Verbindung zum Aktivierungsserver aufgebaut, und die Aktivierung online durchgeführt. Abb. 44: Product Key eingeben Variante B: Aktivierung über einen KMS 1. Einrichten einer VPN-Verbindung ins bm:ukk a. Klicken Sie auf START NETZWERK NETZWERK UND FREIGABECENTER EINE VERBINDUNG ODER EIN NETZWERK EINRICHTEN 2008, Microsoft Österreich GmbH Seite 39

40 LAB Installation Abb. 45: Netzwerk- und Freigabecenter b. Wählen Sie Verbindung mit dem Arbeitsplatz herstellen aus und klicken auf WEITER Abb. 46: Auswahl der Verbindungsoption c. Klicken Sie auf Die Internetverbindung (VPN) verwenden Abb. 47: VPN über die Internetverbindung herstellen 2008, Microsoft Österreich GmbH Seite 40

41 LAB Installation d. Geben Sie die KMS-Adresse unter Internetadresse und einen sprechenden Zielnamen ein und klicken auf WEITER. Abb. 48: Eingabe der KMS-Adresse e. Geben Sie nun Ihre Zugangsdaten zum KMS ein und klicken auf ERSTELLEN. Abb. 49: Eingabe der KMS-Zugangsdaten 2008, Microsoft Österreich GmbH Seite 41

42 LAB Installation Abb. 50: Herstellung der VPN-Verbindung 2. Für die Aktivierung des Windows Server 2008 über KMS muss dem Windows Server bekannt gegeben werden, mit welchem KMS er Kontakt aufnehmen muss. Klicken Sie auf START - AUSFÜHREN, geben das Kommando ein, und bestätigen Ihre Eingabe mit OK. SLMGR.VBS SKMS KMS.VOYAGER.OR.AT:1688 Nach wenigen Sekunden erhalten Sie folgende Meldung, die Sie mit OK bestätigen. Abb. 51: Festlegung des KMS-Eintrages 3. Als nächstes überprüfen Sie den korrekten Eintrag des KMS, indem Sie über START - AUSFÜHREN das Kommando eingeben und Ihre Eingabe mit OK bestätigen. SLMGR.VBS DLV 2008, Microsoft Österreich GmbH Seite 42

43 LAB Installation Abb. 52: Überprüfung des KMS-Eintrages 4. Nun starten Sie die Aktivierung Ihres Windows Server Klicken Sie dazu auf START - AUSFÜHREN, geben das Kommando SLMGR.VBS -ATO ein, und bestätigen Ihre Eingabe mit OK. Nach einigen Sekunden Wartezeit erhalten Sie eine Rückmeldung über den Aktivierungsversuch. 2008, Microsoft Österreich GmbH Seite 43

44 LAB Benutzerverwaltung in einer Domäne 4 LAB Benutzerverwaltung in einer Domäne Dieses LAB demonstriert die praktische Anwendung der im Skriptum vorgestellten Techniken und Methoden zur Benutzerverwaltung in Windows Server Übersicht und Definition Dieses LAB besteht aus drei Teilen: LAB 1: Grundlegende Arbeiten im Active Directory wie z. B. manuelle Anlage von Benutzern, Gruppen und Organisationseinheiten etc., Ändern einer oder mehrerer Eigenschaften, Zurücksetzen eines Kennworts. LAB 2: Planung des Active Directory LAB 3: Einsatz von Management Tools für die Anlage von Benutzern, Gruppen etc. LAB 4: Abfragen im Active Directory 4.2 LAB 1: Grundlegende Arbeiten im Active Directory Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Feststellen, in welchem Modus der Domänencontroller betrieben wird Anlegen eines Benutzers Anlegen einer Gruppe Anlegen einer Organisationseinheit Benutzer einer Gruppe hinzufügen Eigenschaften eines Benutzerkontos zuweisen Zurücksetzen eines Kennwortes Zuweisen eines Profil- und Basisverzeichnisses Szenario für LAB 1 Ihre Schule betreibt einen Windows Server Auf diesem ist eine Domäne mit dem DNS-Namen MeineSchule.at installiert. In den folgenden Aufgaben sollen Sie Arbeiten im Active Directory mittels dem SERVER MANAGERS erledigen Lösen der geforderten Aufgaben Aufgabe 1: Stellen Sie fest, in welchem Modus der Domänencontroller betrieben wird. Das Active Directory hat eine Gesamtstrukturfunktions- und eine Domänenfunktionsebene. Je nachdem, welche Gesamtstrukturfunktionsebene bei der Installation gewählt wurde, stehen drei, zwei oder nur ein Modus, in dem die Domäne betrieben werden kann, zur Verfügung. 2008, Microsoft Österreich GmbH Seite 44

45 LAB Benutzerverwaltung in einer Domäne Wurde bei der Installation der Gesamtstruktur die Funktionsebene Windows Server 2000 gewählt, dann stehen Ihnen die drei Modis Windows 2000, Windows Server 2003 und Windows Server 2008 für die Domänenfunktionsebene zur Verfügung. Die Gesamtstrukturfunktionsebene Windows 2000 werden Sie allerdings nur dann wählen, wenn Sie schon eine Domäne eingerichtet haben in der ein oder mehrere Domänencontroller unter Windows Server 2000 betrieben werden. Ziel sollte es sein, so bald als möglich die Domänenfunktionsebene Windows Server 2008 zu erreichen. Unterschied der Domänenfunktionsebenen der einzelnen Modi a) Windows 2000 einheitlich Die folgenden Features stehen auf der Domänenfunktionsebene von Windows 2000 einheitlich zur Verfügung: Universelle Gruppen Gruppenverschachtelung Gruppentypkonvertierung SID-Verlauf Für Domänencontroller, auf denen höhere Versionen von Windows Server ausgeführt werden, sind einige erweiterte Features nicht verfügbar, solange die Domäne sich auf der Funktionsebene von Windows 2000 pur befindet. b) Windows Server 2003 Neben den bereits oben aufgezählten Möglichkeiten sind auf der Domänenfunktionsebene von Windows Server 2003 zusätzlich verfügbar: Die eingeschränkte Delegierung zur Nutzung der sicheren Delegierung von Benutzeranmeldeinformationen mithilfe des Kerberos-Authentifizierungsprotokolls. Updates für "lastlogontimestamp": Das Attribut "lastlogontimestamp" wird mit der letzten Anmeldezeit des Benutzers oder des Computers aktualisiert und innerhalb der gesamten Domäne repliziert. Die Möglichkeit, das Attribut "userpassword" als effektives Kennwort für "inetorgperson" und Benutzerobjekte zu verwenden. Die Möglichkeit, die Benutzer- und Computercontainer zum Festlegen eines neuen, bekannten Speicherorts für Benutzer- und Computerkonten umzuleiten. c) Windows Server 2008 In dieser Domänenfunktionsebene sind alle Möglichkeiten, die Sie mit den Domänenfunktionsebenen Windows 2000 einheitlich und Windows Server 2003 hatten, verfügbar. Darüber hinaus stehen Ihnen noch folgende Möglichkeiten zur Verfügung: Replikationsunterstützung für SYSVOL durch das verteilte Dateisystem (DFS), das eine stabilere und genauer abgestimmte Replikation vom SYSVOL-Inhalt ermöglicht. Unterstützung des Kerberos-Protokolls durch die erweiterten Verschlüsselungsdienste (AES 128 und 256). 2008, Microsoft Österreich GmbH Seite 45

46 LAB Benutzerverwaltung in einer Domäne Letzte interaktive Anmeldeinformationen, mit denen der Zeitpunkt der letzten erfolgreichen interaktiven Anmeldung eines Benutzers, die Anzahl der fehlgeschlagenen Anmeldeversuche seit der letzten Anmeldung und der Zeitpunkt der letzten fehlgeschlagenen Anmeldung angezeigt werden. Abgestimmte Kennwortrichtlinien, die ermöglichen, dass Kennwort- und Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne angegeben werden können. Wenn bei der Installation der ersten Domäne eine Standard-Installation ohne Änderung der Gesamtstrukturfunktionsebene und der Domänenfunktionsebene vorgenommen wurde, dann wird der Domänencontroller im Modus Windows 2000 einheitlich betrieben. So lösen Sie die Aufgabe: 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf den Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 3. Öffnen Sie mit einem Rechtsklick das Kontext-Menü und wählen Sie die Menüoption DOMÄNENFUNKTIONSEBENE HERAUFSTUFEN aus. 4. In dem sich öffnenden Fenster können Sie die Domänenfunktionsebene ablesen. Abb. 1: Domänenfunktionsebene Aus der Abbildung können Sie erkennen, dass die Domäne derzeit im Modus Windows Server 2003 betrieben wird. Mit einem Klick auf die Schaltfläche HERAUFSTUFEN können Sie den Domänenfunktionsebenen-Modus auf Windows Server 2008 ändern. 2008, Microsoft Österreich GmbH Seite 46

47 LAB Benutzerverwaltung in einer Domäne Vorsicht: Sie können den Domänenfunktionsebenen-Modus durch Heraufstufen auf die nächste Ebene bringen. Es ist allerdings nicht möglich, denn Domänenfunktionsebenenmodus wieder herunterzustufen. Stufen Sie erst dann auf Windows Server 2008, wenn alle Domänencontroller unter Windows Server 2008 betrieben werden. Sie können sehr wohl Member-Server der Domäne unter Windows Server 2003 weiter betreiben! Aufgabe 2: Erstellen einer Organisationseinheit im AD Erstellen Sie unterhalb der Domäne MeineSchule.at eine Organisationseinheit mit dem Namen Benutzer. So lösen Sie die Aufgabe: 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auf über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 3. Wählen Sie aus dem Kontextmenü des Domänencontrollers NEU ORGANISATIONSEINHEIT. Abb. 2: Aufruf des Kontextmenüs zum Anlegen einer Organisationseinheit 4. Geben Sie als Namen der Organisationseinheit Benutzer ein. 5. Klicken Sie auf OK. Damit ist die Organisationseinheit angelegt worden. 6. Wiederholen Sie die Schritte 2 bis 4 für jede weitere Organisationseinheit, die Sie anlegen wollen. 2008, Microsoft Österreich GmbH Seite 47

48 LAB Benutzerverwaltung in einer Domäne Neu bei Windows Server 2008 ist die Option CONTAINER VOR ZUFÄLLIGEM LÖSCHEN SCHÜTZEN. Wenn Sie eine organisatorischen Einheit (kurz: OU) anlegen, dann ist diese Option normalerweise angehakt. Ein OU mit dieser gesetzten Option kann auch durch einen Administrator nicht so einfach gelöscht werden. Um eine derartig geschützte OU wieder löschen zu können, müssen Sie im Menü des Server-Mangers die Menüfunktion Ansicht Erweiterte Features aktivieren. Anschließend können Sie dann auf der OU über das Kontext-Menü die Funktion Eigenschaften aufrufen. In dem zusätzlichen Register OBJEKT können Sie die Option CONTAINER VOR ZUFÄLLIGEM LÖSCHEN SCHÜTZEN deaktivieren. Organisationseinheiten dienen der Organisation der Benutzer, Gruppen und Objekte der Active Directory. Neben der Organisation der Benutzer dienen Sie auch als Container für Gruppenrichtlinien. Sie können die Organisationseinheiten ineinander verschachteln und so die gewünschte Struktur aufbauen. Sollten Sie später jedoch die Struktur umgruppieren wollen, dann können Sie die Organisationseinheiten durch Drag und Drop verschieben. Aufgabe 3: Anlegen eines Benutzers Legen Sie in der Organisationseinheit Benutzer ein Benutzerkonto mit den nachfolgenden Daten an: Vorname:... Dominik Nachname:... Mustermann Benutzeranmeldename:... D.Mustermann Prä-Windows 2000:... D.Mustermann Das Benutzerkonto soll nach der Erstellung deaktiviert sein. Der Benutzer soll bei der nächsten Anmeldung das Kennwort ändern und als Einstiegskennwort wird das Kennwort Password5 gesetzt. So lösen Sie die Aufgabe: 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auf über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 3. Navigieren Sie im AD zur Organisationseinheit Benutzer. 4. Machen Sie auf die Organisationseinheit einen Rechtsklick und wählen Sie aus dem Kontextmenü die Menüfunktion NEU BENUTZER aus. 5. Geben Sie die Daten des Benutzers ein und klicken Sie auf WEITER. 2008, Microsoft Österreich GmbH Seite 48

49 LAB Benutzerverwaltung in einer Domäne Abb. 3: Kontextmenü zum Anlegen eines Benutzers Der vollständige Name wird aus Vor- und Nachname gebildet, wobei der Vorname zuerst und anschließend der Nachname automatisch eingetragen wird. Es ist empfehlenswert dies umzudrehen, den vollständigen Namen also in der Form Nachname Vorname einzugeben. Wenn Sie im SERVER-MANGER den Knoten ACTIVE DIRECTORY-BENUTZER UND -COMPUTER öffnen und der Inhalt der Organisationseinheit Benutzer angezeigt wird, werden auf der rechten Seite die Namen der Benutzer angezeigt. Die Anzeige erfolgt nach der Eigenschaft Anzeigename, die identisch ist mit den von Ihnen angelegten Vollständigen Namen. Weil die angezeigten Namen mit den Nachnamen beginnen, können Sie die Benutzer sehr schnell mit Hilfe der Tastatur auswählen, indem Sie die ersten Buchstaben eines Nachnamens eingeben. 6. Geben Sie das Kennwort Password5 ein. Die Default Domain Policy der Domäne MeineSchule.at, die bei der Installation des Active Directory eingerichtet wurde, verlangt ein Kennwort, das den nachfolgenden Regeln entsprechen muss: Das Kennwort muss Komplexitätsvoraussetzungen entsprechen: Dies bedeutet, dass Sie von vier Kategorien Großbuchstaben, Kleinbuchstaben Ziffern und Sonderzeichen drei unterschiedliche Kategorien wählen müssen. Die minimale Kennwortlänge beträgt 7 Zeichen. 7. Klicken Sie anschließend auf die Option KONTO DEAKTIVIERT. Danach klicken Sie auf WEITER. 2008, Microsoft Österreich GmbH Seite 49

50 LAB Benutzerverwaltung in einer Domäne 8. Eine Zusammenfassung wird angezeigt. Beenden Sie diese mit einem Klick auf FERTIG STELLEN. Abb. 4: Zusammenfassung der Informationen beim Anlegen eines Benutzers In der Praxis werden Sie mehrere hundert Konten anlegen müssen. Windows Server 2008 bietet eine Reihe von Tools, mit denen mehrere Benutzerkonten angelegt werden können. Bereits mit Windows Server 2003 wurden zusätzliche Tools mitgeliefert, mit deren Hilfe das Benutzermanagement automatisiert werden kann. Csvde und Ldifde verwenden als Eingabe zum Erstellen von Konten eine durch Trennzeichen getrennte Textdatei. dsadd user ist ein Befehlszeilentool zum Erstellen von Benutzerkonten über die Kommandozeile. Entsprechende Anweisungen finden Sie im Hilfe & Support Center von Windows Server 2008 und in einem späteren LAB. Aufgabe 4: Anlegen einer Gruppe Die übliche Vorgangsweise in einer Domäne, um Benutzern Rechte zu gewähren, lautet: A G (U) - DL - P Die Benutzerkonten (A) werden in globalen Gruppen (G) organisiert. Diese werden in domänenlokalen Gruppen (DL) organisiert. Den domänenlokalen Gruppen werden letztlich Berechtigungen im Dateisystem gewährt. Wenn Sie mehrere Domänen in einer Gesamtstruktur aufbauen, dann dienen die Universellen Gruppen (U) dem Export bzw. Import von Benutzern aus anderen Domänen der Struktur. Ihre Aufgabe ist es, eine globale und domänenlokale Gruppe für die Schüler der 1cHDV zu erstellen. Nach Erstellung der globalen und domänenlokalen Gruppe ist der Benutzer Mustermann Dominik aus der Aufgabe 2 in die globale Gruppe einzuordnen. 2008, Microsoft Österreich GmbH Seite 50

51 LAB Benutzerverwaltung in einer Domäne Vorüberlegung: Präfix für die globalen Gruppen:... Dom Präfix für domänenlokalen Gruppen:... (kein Präfix) So lösen Sie die Aufgabe: Anlegen der globalen Gruppe 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 3. Navigieren Sie im AD zur Organisationseinheit Benutzer. 4. Machen Sie auf die Organisationseinheit einen Rechtsklick und wählen Sie aus dem Kontextmenü die Menüfunktion NEU GRUPPE aus. Wenn Sie eine Gruppe anlegen, dann wird immer eine globale Gruppe per Standardeinstellung ausgewählt. Wenn Sie einen anderen Gruppentyp benötigen, dann müssen Sie dies bei der Anlage der Gruppe auswählen. Abb. 5: Anlegen einer Gruppe 3. Geben Sie den Namen der globalen Gruppe Dom1cHDV ein und klicken Sie abschließend auf OK. Anlegen der domänenlokalen Gruppe: 1. Wählen Sie aus dem Kontextmenü die Organisationseinheit Benutzer aus. Mit einem Rechtsklick auf die Organisationseinheit können Sie aus dem sich öffnenden Menü die Menüfunktion NEU GRUPPE auswählen. 2. Geben Sie den Namen 1c für die domänenlokale Gruppe ein. 3. Ändern Sie anschließend den Gruppenbereich auf LOKAL (IN DOMÄNE) und beenden Sie die Anlage der domänenlokalen Gruppe, indem Sie auf die Schaltfläche OK klicken. 2008, Microsoft Österreich GmbH Seite 51

52 LAB Benutzerverwaltung in einer Domäne Zuweisung des Benutzerkontos und der Gruppen: Um den Benutzer Mustermann Dominik in die globale Gruppe Dom1cHDV zu geben, gibt es drei unterschiedliche Vorgangsweisen: Variante 1: Über den Benutzer: 1. Rechtsklick auf das Benutzerkonto Mustermann Dominik und Auswahl des Menüpunktes EIGENSCHAFTEN. 2. In dem sich öffnenden Fenster Eigenschaften von Mustermann Dominik wählen Sie das Register MITGLIED VON aus. 3. Durch einen Klick auf die Schaltfläche HINZUFÜGEN gelangen Sie in das Fenster Gruppe auswählen. 4. Wenn Sie den Namen der globalen Gruppe kennen, dann können Sie diesen direkt in das Textfeld schreiben. Geben Sie bitte dom1chdv ein. Klicken Sie anschließend auf die Schaltfläche NAMEN ÜBERPRÜFEN. Wenn Sie eine gültige Gruppe angegeben haben, dann wird Ihr Eintrag unterstrichen. Abb. 6: Eingabe des Objektnamens (globale Gruppe) 5. Abschließend klicken Sie auf die Schaltfläche OK. Variante 2: Über die globale Gruppe: 1. Über das Kontextmenü der globalen Gruppe wird das Register MITGLIEDER ausgewählt. 2. Nach einem Klick auf die Schaltfläche HINZUFÜGEN können Sie in die Textbox den Namen des Benutzers, den Sie hinzufügen möchten, eintragen. 3. Klicken Sie anschließend auf die Schaltfläche NAMEN ÜBERPRÜFEN. Abb. 7: Eingabe des Objektnamens (Benutzerkonto) 2008, Microsoft Österreich GmbH Seite 52

53 LAB Benutzerverwaltung in einer Domäne Variante 3: Mittels Drag und Drop Das größte Vergnügen ist jedoch, diese Tätigkeiten per Drag und Drop zu tätigen. Sie können Benutzerkonten einer globalen Gruppe und eine globale Gruppe einer domänenlokalen Gruppe zuordnen, indem Sie im Active Directory mit Drag und Drop arbeiten. Damit Sie dies tun können, müssen Sie zuerst den Menüpunkt ANSICHT BENUTZER, KONTAKTE, GRUPPEN UND COMPUTER ALS CONTAINER aktivieren. Abb. 8: Änderung des Anzeigemodus der MMC Nachdem Sie den Menüpunkt aktiviert haben, werden nach einem Klick auf den Plus-Knoten einer organisatorischen Einheit die Objekte dieser organisatorischen Einheit auch im linken Teil des Fensters angezeigt. Um einen Benutzer Mustermann Dominik der globalen Gruppe Dom1cHDV zuzuweisen, gehen Sie folgendermaßen vor: 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 3. Navigieren Sie im AD zur Organisationseinheit Benutzer. 4. Öffnen Sie diese durch einen Klick auf dem + Knoten. 4. Wählen Sie ein oder mehrere Benutzerkonten im rechten Teil des Consolefensters aus. Dies können Sie mit Hilfe der Tasten [ ] oder [Strg] machen. Die ausgewählten Benutzerkonten werden dabei unterlegt. 5. Ziehen Sie die markierten Konten vom rechten Teil des Fensters auf das gewünschte Symbol in der linken Seite der MMC. Wenn Sie also den Benutzer Mustermann Dominik der globalen Gruppe Dom1cHDV zuweisen wollten, ziehen Sie das Benutzerkonto von der rechten Seite der MMC auf die globale Gruppe Dom1cHDV auf der linken Seite der MMC. 2008, Microsoft Österreich GmbH Seite 53

54 LAB Benutzerverwaltung in einer Domäne 6. Nachdem Sie per Drag und Drop die gewünschte Operation durchgeführt haben, erhalten Sie abschließend eine Meldung des Betriebssystems. Abb. 9: Abschließende Meldung des Betriebssystems nach der Drag & Drop Operation Aufgabe 5: Eigenschaften eines Benutzers bearbeiten Tragen Sie bei der Beschreibung des Benutzerkontos Mustermann Dominik die Klasse ein, in die der Schüler geht. Danach ist für den Schüler ein Basis- und ein Profilverzeichnis einzutragen. Das Basisverzeichnis wird sehr häufig auch als Homeverzeichnis oder persönliches Verzeichnis eines Benutzers bezeichnet. Anmerkung der Autoren: Im letzten Teil der Aufgabe wird vorgegriffen, da die Erstellung von Freigaben und die Zuweisung von Zugriffsberechtigungen erst in einem späteren Kapitel dieses Manuskripts dargestellt wird. So lösen Sie die Aufgabe: 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 3. Navigieren Sie im AD zur Organisationseinheit Benutzer. In dieser organisatorischen Einheit ist der gesuchte Benutzer Mustermann Dominik abgelegt. 4. Wählen Sie aus dem Kontextmenü des Benutzers den Menüpunkt EIGENSCHAFTEN aus. 2008, Microsoft Österreich GmbH Seite 54

55 LAB Benutzerverwaltung in einer Domäne Abb. 10: Änderung der Eigenschaften eines Benutzerkontos. Hinzufügen einer Beschreibung 5. Tätigen Sie Ihre gewünschten Änderungen bzw. ergänzen Sie gegebenenfalls zusätzliche Informationen und klicken Sie auf OK. So weisen Sie einem Benutzer ein Profil- und Basisverzeichnis zu 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 2008, Microsoft Österreich GmbH Seite 55

56 LAB Benutzerverwaltung in einer Domäne 3. Navigieren Sie im AD zur Organisationseinheit Benutzer. In dieser organisatorischen Einheit ist der gesuchte Benutzer Mustermann Dominik abgelegt. 4. Wählen Sie aus dem Kontextmenü des Benutzers den Menüpunkt EIGENSCHAFTEN aus. 5. Wechseln Sie auf das Register PROFIL. Abb. 11: Eintragen eines Profil- und Basisverzeichnisses 6. Geben Sie die Pfade für den Benutzer ein und schließen Sie mit OK. Damit den Benutzern ein servergespeichertes Profil zugewiesen werden kann, wird vorausgesetzt, dass auf dem Server eine entsprechende Freigabe vorhanden ist. Die Freigabe Profile$ wird für alle Benutzerprofile der Schüler verwendet. Wie Sie Freigaben erzeugen, erfahren Sie im nächsten Kapitel. Das $-Zeichen am Ende des Freigabenamens dient dazu, dass die Freigabe eine so genannte versteckte Freigabe in der Netzwerkumgebung nicht angezeigt wird. %Username% ist ein Platzhalter für den jeweiligen Benutzernamen. Beim Schließen des Fensters wird unter der Eigenschaft Profilpfad der Wert \\srv01\profile$\d.mustermann eingetragen. Homeverzeichnisse dienen zum Ablegen von Daten auf einem Server (ähnlich wie die Eigenen Dateien lokal). Aufgabe 6: Gleichzeitige Änderungen der Eigenschaften mehrerer Benutzer Seit Windows Server 2003 ist es möglich, dass Sie die Eigenschaften mehrerer Benutzer gleichzeitig ändern können. Stellen Sie fest, welche Eigenschaften mehrerer Benutzerkonten auf einmal geändert werden können. Legen Sie zu diesem Zweck ein zusätzliches Benutzerkonto nach Ihrer Wahl an und ändern Sie anschließend die gemeinsamen Eigenschaften der beiden Konten. 2008, Microsoft Österreich GmbH Seite 56

57 LAB Benutzerverwaltung in einer Domäne Stellen Sie anschließend durch einen Versuch fest, ob die gleichzeitige Änderung von Attributen nur bei Benutzerkonten möglich ist oder ob dies auch auf Gruppen angewandt werden kann. So lösen Sie die Aufgabe: 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf das Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 3. Navigieren Sie im AD zur Organisationseinheit Benutzer. 4. Erstellen Sie ein neues Benutzerkonto in der Organisationseinheit Benutzer. Die Daten für dieses Konto können Sie frei wählen. 5. Nachdem Sie das zusätzliche Benutzerkonto angelegt haben, müssen Sie beide Konten markieren. Klicken Sie auf das erste Benutzerkonto. Anschließend halten Sie [Strg] gedrückt und klicken dann auf das zweite Benutzerkonto. 6. Mit einem Rechtsklick auf eines der markierten Benutzerkonten können Sie anschließend das Kontextmenü und die Menüfunktion EIGENSCHAFTEN auswählen. Alternativ können Sie statt eines Rechtsklicks auch die Tastenkombination [Alt] und [Enter] verwenden, die immer die Eigenschaften eines Objekts aufruft. 7. In dem sich öffnenden Fenster EIGENSCHAFTEN FÜR MEHRFACHOBJEKTE erhalten Sie alle Attribute des Benutzerkontos, die Sie gemeinsam ändern können. Abb. 12: Gemeinsame Attribute mehrerer Benutzerkonten 2008, Microsoft Österreich GmbH Seite 57

58 LAB Benutzerverwaltung in einer Domäne Gemeinsame Änderung von Attributen einer Gruppe Die Möglichkeit ist nicht auf Benutzerkonten, ja nicht einmal auf die gleichzeitige Auswahl eines Objekttyps beschränkt. Je nach Ihrer Selektion (nur Benutzer, nur Gruppen oder Gruppen und Benutzer) werden Ihnen unterschiedliche Attribute angezeigt. Besonders hilfreich ist dies vor allem bei mehreren Benutzern, um z. B. einen alternativen Profilpfad einzutragen. Selektieren Sie nur Gruppen, so können Sie nur das gemeinsame Attribut Beschreibung der Gruppen ändern. Abb. 13: Gemeinsame Attribute zweier Gruppen Aufgabe 7: Kennwort eines Schülers ändern Ein Schüler hat sein Kennwort vergessen und bittet Sie, ihm wieder ein Einstiegskennwort zuzuweisen. Um das Benutzerkonto auszuwählen, sollten Sie bei dieser Aufgabe die Acitve Directory-Funktion SUCHEN verwenden. Setzen Sie das Kennwort des Schülers Mustermann Dominik auf Geheim4mi zurück und bestimmen Sie auch, dass der Schüler bei der nächsten Anmeldung das Kennwort ändern muss. Wahrscheinlich hat der Schüler mehrfach versucht, sich mit einem falschen Kennwort anzumelden. Je nach Einstellungen in den Sicherheitsrichtlinien müssen Sie auch das gesperrte Benutzerkonto wieder freigeben. So lösen Sie die Aufgabe: So ändern Sie das Kennwort eines Benutzers (und heben die Sperre des Kontos auf). 1. Öffnen Sie den SERVER-MANAGER durch einen Klick auf dem Symbol Sever-Manager in der Schnellstart- Symbolleiste. Alternativ können Sie den Server-Manger auch über das Start-Menü öffnen. 2. Navigieren Sie im linken Teil des Fensters im Strukturbaum des Server-Managers zum Knoten MeineSchule.at. Sie finden diesen, indem Sie Konten ROLLEN, ACTIVE DIRECTORY-DOMÄNENDIENSTE, ACTIVE DIRCTORY-BENUTZER UND COMPUTER durch einen Klick auf das Plus-Symbol öffnen. Klicken Sie anschließend auf Ihre Domäne MeineSchule.at. 2008, Microsoft Österreich GmbH Seite 58

59 LAB Benutzerverwaltung in einer Domäne Im nächsten LAB werden Sie ein Active Directory planen und die organisatorische Struktur Ihrer Schule im AD abbilden. In der schulischen Praxis werden Sie die Schüler in Klassen organisieren. Da bei dieser Aufgabe der Schüler vermutlich vor Ihnen steht, würden Sie ihn nach seiner Klasse und seinem Namen fragen. Mit diesen Informationen würden Sie im rechten Teil der MMC die Klasse des Schülers auswählen. Im linken Teil des Fensters würden dann die Schüler der Klasse angezeigt werden und Sie könnten den gesuchten Schüler selektieren. Eine alternative Vorgangsweise ist die Suche des Schülers mit Hilfe der Active Directory Funktion SUCHEN, die Sie bei der Lösung dieser Aufgabe einsetzen sollen. 3. Machen Sie einen Rechtsklick auf dem Namen Ihre Schule-Domäne und wählen Sie die Kontext-Menüfunktion SUCHEN aus. 4. In dem sich öffnenden Fenster BENUTZER, KONTAKTE UND GRUPPEN SUCHEN geben Sie in der Textbox NAME den Namen des gesuchten Benutzerkontos ein. Klicken Sie anschließend auf die Schaltfläche JETZT SUCHEN. Abb. 14: Suchen eines Benutzerkontos 4. Im unteren Teil des Fensters BENUTZER, KONTAKTE UND GRUPPEN SUCHEN wird das Suchergebnis dargestellt. Abb. 15: Unterer Fensterteil enthält das gesuchte Benutzerkonto 2008, Microsoft Österreich GmbH Seite 59

60 LAB Benutzerverwaltung in einer Domäne 5. Klicken Sie mit der rechten Maustaste auf das gesuchte und gefundene Benutzerkonto und wählen Sie die Funktion KENNWORT ZURÜCKSETZEN. 6. Geben Sie das Kennwort Geheim4mi ein und legen Sie fest, dass der Schüler beim nächsten Einstieg das Kennwort ändern muss. Falls das Benutzerkonto gesperrt ist, können Sie durch Anklicken der Option Sperre des Benutzerkontos aufheben die Sperre gleich beenden. Abb. 16: Eingabe des Einstiegskennworts und Setzen der Option Alternative Vorgangsweise um die Sperre eines Benutzerkontos aufzuheben Um die Sperre eines Benutzerkontos aufzuheben, muss die Option KONTO IST GESPERRT in den Eigenschaften eines Benutzerkontos deaktiviert werden. Die Optionsbox finden Sie im Register KONTO. Diese Option muss deaktiviert werden. Abb. 17: Zurücksetzen eines gesperrten Kontos 2008, Microsoft Österreich GmbH Seite 60

61 LAB Benutzerverwaltung in einer Domäne 4.3 LAB 2: Planung des Active Directory LAB 2 Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: die Struktur Ihres Active Directory auf dem Papier definieren. mit Hilfe des Server-Managers und dem Snap-In Active Directory-Benutzer und -Computer die Struktur des Active Directory erstellen Szenario für LAB 2 Ihre Schule betreibt eine Windows Server 2008-Domäne mit dem DNS-Namen MeineSchule.at. Sie sind verantwortlich für das Einrichten des Active Directory Anforderungen Im gegenständlichen Szenario soll das Active Directory Ihrer Schule geplant werden Aufgabenliste Um die Anforderungen bewältigen zu können, benötigen Sie folgende Informationen: Spezifische Informationen über Ihre Schule: Sie müssen Schüler, Lehrer und eventuell das Verwaltungspersonal gruppieren. Außerdem müssen Sie wissen, wie die Computer in der Schule angeordnet sind und wie Sie diese gruppieren wollen. Mögliche Gruppierungsmöglichkeiten wären Stockwerk, Abteilung, Räume, nach Funktionsgruppen etc. Des Weiteren ist wichtig zu wissen, welche Aufgaben im Active Directory delegiert werden können bzw. an wen diese delegiert werden sollen Lösen der geforderten Aufgaben Das Active Directory ist vergleichbar mit einem Telefonbuch. Es ist die Informations- und Sicherheitszentrale, in der Sie die Struktur Ihrer Schule abbilden sollen. Neben dem Erstellen einer Struktur aus Organisationseinheiten und den darin befindlichen Objekten, wie z. B. Benutzer- und Gruppenkonten oder Freigaben, hat das Active Directory aber eine noch viel wichtigere Aufgabe. Im Active Directory können Sie zentral Gruppenrichtlinien für Benutzer und Computer hinterlegen und administrative Aufgaben delegieren. Nachdem sich Ihre Schule wahrscheinlich an einem Standort mit einem Hochgeschwindigkeitsnetzwerk 100 bzw. 1 GBit befindet, spielen die Active Directory-Begriffe wie Forrest oder Standort keine Rolle. In dieser Übung wird davon ausgegangen, dass Sie nur eine einzige Domäne verwenden wollen, deren Active Directory Sie nun planen sollen. 2008, Microsoft Österreich GmbH Seite 61

62 LAB Benutzerverwaltung in einer Domäne Was ist zu planen? Es soll das pädagogische Netzwerk der Schule geplant werden, in dem Lehrer und Schüler arbeiten. Im Active Directory soll für jeden Benutzer ein Benutzerkonto eingerichtet werden. Die Benutzerkonten werden nach der Regel A-G-DL-P in globalen Gruppen organisiert, die sich wiederum in domänenlokalen Gruppen befinden. Auf diese Weise erhalten Sie die größte Flexibilität bei der Vergabe von Zugriffsrechten auf Ressourcen. Sicherheitsrichtlinien und Einstellungen für Benutzer und Computer sollen per Gruppenrichtlinien verteilt und zentral über das Active Directory verwaltet werden. Darüber hinaus sollten Sie das Active Directory gleich so einrichten, dass Sie später die Möglichkeit haben, administrative Aufgaben an andere Benutzer zu delegieren. Um das Active Directory Ihrer Schule zu planen, gehen Sie am besten folgendermaßen vor: 1. Computer und Server werden in eigenen, voneinander getrennten Organisationseinheiten hinterlegt. Wenn Sie die Computer raummäßig gruppieren, dann sollten Sie für jeden Raum, in dem sich ein oder mehrere Computer befinden, eine eigene Organisationseinheit anlegen. 2. Schüler und Lehrer werden ebenfalls in unterschiedlichen Organisationseinheiten gruppiert. Die Organisationseinheit wird dabei nach der Klasse des Schülers/der Schülerin benannt. Als Orientierung für die Organisationseinheiten kann das Organigramm Ihrer Schule dienen: Schüler werden in Organisationseinheiten, die ihrer Klasse oder ihrem Jahrgang entsprechen, zusammengefasst. Am Anfang sollten Sie für das Kollegium nur eine einzige Organisationseinheit bilden. Sie können jederzeit Organisationseinheiten ineinander verschieben oder auch zusätzliche Organisationseinheiten anlegen. Durch Drag und Drop können Sie diese Struktur leicht ändern und auch Benutzer in andere Organisationseinheiten verschieben. Die Organisationseinheit ist die kleinste Einheit, bei der Sie Gruppenrichtlinien hinterlegen können, oder die Sie benutzen können, um administrative Aufgabe zu delegieren. Fangen Sie einfach an Sie können später alles noch ändern! 2008, Microsoft Österreich GmbH Seite 62

63 LAB Benutzerverwaltung in einer Domäne Organisation der Benutzer. Unter der OU Benutzer sind Verwaltung Direktion und Kollegium - und Klassen 1aHDV... - angeordnet. Organisation der Computer. Die Computer befinden sich in Räumen die mit Namen gekennzeichnet sind (Zuse, Wirth, ) Abb. 18: Ein Vorschlag, wie Sie Ihr AD gestalten können 4.4 LAB 3: Einsatz von Management Tools für die Anlage von Benutzern LAB 3 Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Anlage von Benutzern und Gruppen mit Hilfe von beigelegten Tools Alternativ werden andere Tools für die Erstellung und Verwaltung des Benutzermanagements vorgestellt Szenario für LAB 3 Ihre Schule betreibt eine Windows Server 2003-Domäne mit dem DNS-Namen MeineSchule.at Anforderungen Nachdem Sie das Active Directory auf dem Papier geplant haben, sollten Sie die Organisationseinheiten, Gruppen und Benutzer auch tatsächlich anlegen. 2008, Microsoft Österreich GmbH Seite 63

64 LAB Benutzerverwaltung in einer Domäne Aufgabenliste Um die Anforderungen bewältigen zu können, benötigen Sie die nachfolgenden Informationen: Benutzerdaten (Schüler, Lehrer, evt. Verwaltungspersonal) Festlegen einer Konvention für die Vergabe von Benutzer- und Gruppennamen Lösen der geforderten Aufgaben Die Lösung der Aufgabe ist manuell mit Hilfe der MMC-Domänen Benutzer und Computer nicht möglich! Aus diesem Grund müssen so genannte Tools eingesetzt werden, die teils unentgeltlich, teils gegen geringes Entgelt angeschafft werden müssen. Tipp 1: Mit Hilfe von beigelegten Microsoft Commandline-Tools Durch die Installation von Windows Server 2008 sind bereits diverse Commandline-Tools wie dsadd, dsget u. a. auf die Platte des Domänencontrollers kopiert. Directory Service Commandline Tools: DSADD Hinzufügen eines einzelnen Benutzers, eines Computers, eines Kontakts, einer Gruppe oder eines Festplattenkontigents DSGET... Anzeige von Objekten und Attributen aus dem Active Directory DSMOD... Ändern von Objekten im Active Directory DSMOVE... Verschieben von Objekten in einer Domäne DSRM... Löschen von Objekten in einer Domäne DSQUERY... Abfrage von Objekten aus dem Acitve Directory. Bei der Installation von Windows Server 2008 werden zwei Programme im Verzeichnis %systemroot%\system32 installiert. Es handelt sich um die beiden Commandline-Programme CSVDE.EXE LDIFDE.EXE Mit Hilfe der beiden Programme können Objekte im Active Directory erstellt, verändert und gelöscht werden. Neben dem Importieren von Objekten in das Active Directory ist aber auch ein Export von Informationen aus dem Active Directory möglich. Der wesentliche Unterschied zwischen diesen Tools besteht darin, dass mit dem Programm csvde jeweils nur ein Objekt erstellt werden kann, während ldifde auf eine Importdatei zurückgreift. Syntax: csvde [-i] [-f FileName] [-s ServerName [-j Path] [-d BaseDN] [-p Scope] [-k] [-b UserName Domain Password] 2008, Microsoft Österreich GmbH Seite 64

65 LAB Benutzerverwaltung in einer Domäne Parameter für den Aufruf des Commandline-Programms csvde.exe -i Angabe des Import-Modus'. Fehlt dieser Parameter, dann wird der Standardwert Export-Modus angenommen. -f Dateiname für den Import oder Export. -s Name des Domänencontrollers. -j Pfad zur Logdatei. Standardverzeichnis ist das aktuelle Verzeichnis, in dem der Befehl ausgeführt wird. -d BaseDN. Angabe eines eindeutigen Namens als Basis für die Suche und den Export aus dem Active Directory. -p Bereich einer Suche. Typsiche Optionen sind Base, OneLevel oder SubTree. -k Ignorieren der Fehler während des Imports der Daten. -b UserName Domain Password. -? Ausgabe der Hilfe mit Erklärungen der Commandline-Parameter. Weitere Informationen zu diesem Commandline-Programm erhalten Sie in der Hilfe zu Windows Server Syntax: ldifde [-i] [-f FileName] [-s ServerName] [-v] [-j Path] [-k] [-b UserName Domain Password] [-?] Parameter für den Import von Daten mittels LDIFDE: -i Angabe des Import-Modus. Fehlt dieser Parameter, dann wird der Standardwert Export-Modus angenommen. -f Dateiname für den Import oder Export. -s Name des Domänencontrollers. -j Pfad zur Logdatei. Standardverzeichnis ist das aktuelle Verzeichnis, in dem der Befehl ausgeführt wird. -d BaseDN. Angabe eines eindeutigen Namens als Basis für die Suche und den Export aus dem Active Directory. -k Ignorieren der Fehler während des Imports. -b UserName Domain Password. Angabe des Accounts, mit dessen Credentials gearbeitet werden soll. Als Standard wird das angemeldete Benutzerkonto verwendet. -? Anzeige der Hilfe. Add: Mit dieser Option geben Sie an, dass Sie neuen Content im Active Directory erstellen möchten. Der neue Inhalt befindet sich in der Importdatei. Modify: Bestehender Content soll geändert werden. Delete: Angabe, dass das Objekt im Importfile zu löschen ist. Das dargestellte Beispiel zeigt die Importdatei im LDIF-Importformat, um den Account D.Mustermann zu erstellen. 2008, Microsoft Österreich GmbH Seite 65

66 LAB Benutzerverwaltung in einer Domäne Beispiel: dn: CN= Dominik Muster,DC=MeineSchule,DC=AC,DC=AT changetype: add cn: D.Mustermann description: Schüler der 1cHDV objectclass: User samaccountname: D.Mustermann Der Nachteil der beigelegten Commandline Tools liegt darin, dass die Importdateien erst erstellt werden müssen. Auch wenn die Daten bereits in elektronischer Form vorliegen, entspricht diese doch nicht den Formaten der jeweiligen Importdateien. Ohne ein Programm, das eines der gewünschten Importdateien automatisch erstellt, ist die Anlage von vielen Benutzern im Active Directory sehr mühevoll und zeitraubend. Tipp 2: euser 1.1 Usermanagement Bei diesem Programm handelt es sich um ein von Georg Steingruber entwickeltes Produkt. Im Rahmen seiner Tätigkeit bei Microsoft Österreich High School Advisor für den Raum Steiermark, Kärnten wurde dieses Tool für die Verwendung an österreichischen Schulen zum freien Download zur Verfügung gestellt. Sie finden das Programm auf Von dieser Webseite werden Sie auf den Web-Server umgeleitet auf dem sich die Ressourcen tatsächlich befinden. Zusätzlich benötigen Sie noch das Microsoft.Net Framework 1.1 Redistributable Package, welches Sie von Mircosft/Download herunterladen können. Abb. 19: euser (Version 1.1) Stand Dez , Microsoft Österreich GmbH Seite 66

67 LAB Benutzerverwaltung in einer Domäne Vorgehensweise Zuerst müssen die Benutzerdaten importiert werden. Entweder werden diese direkt aus der Datenbank des Verwaltungsprogramms importiert oder die Daten liegen in einem der alternativ angebotenen Formate wie z. B. Excel oder dem csv-format vor. Beim Import der Daten wird zwischen Schülerdaten und Lehrerdaten unterschieden. Für den Import der Daten sind Vorname Zuname Kennnummer (Katalognummer) Geschlecht Klasse nötig. Nachdem Sie die Daten importiert haben, wechseln Sie bitte in das nächste Register, um die Art und Weise zu bestimmen, wie die Benutzer automatisch generiert werden sollen. Im Register DATEN BEARBEITEN legen Sie Folgendes fest: den samaccount-name den vollständigen Namen das zu generierende Kennwort für den Einstieg des Benutzers Abb. 20: Register-Daten bearbeiten 2008, Microsoft Österreich GmbH Seite 67

68 LAB Benutzerverwaltung in einer Domäne Nachdem Sie die Einstellungen getroffen haben, müssen Sie auf die Schaltfläche ACCOUNTNAMEN GENERIEREN klicken. Vorteile: Keine Lizenzgebühren für österreichische Schulen Einfach in der Bedienung Zusätzliche Features für die Anbindung eines elektronischen Klassenbuches. Unterstützung von Web-Ordnern (Web-Dav) 2008, Microsoft Österreich GmbH Seite 68

69 LAB - Gruppenrichtlinien zuweisen 5 LAB - Gruppenrichtlinien zuweisen Dieses LAB demonstriert die praktische Anwendung der im Skriptum vorgestellten Techniken und Methoden für das Zuweisen von Gruppenrichtlinien unter Windows Server Richtliniendateien Standardordner für Richtliniendateien 1. Öffnen Sie den Windows Explorer 2. Wechseln Sie zum Ordner C:\WINDOWS\POLICYDEFINITIONS. 3. Die entsprechenden deutschen Sprachdateien befinden sich im Unterordner DE-DE. Abb. 53: Speicherort der Richtliniendateien 2008, Microsoft Österreich GmbH Seite 69

70 LAB - Gruppenrichtlinien zuweisen Zentrales Verzeichnis für Richtliniendateien in der Domäne Die seit Windows NT 4.0 verwendeten ADM-Dateien dienten als Vorlage für die entsprechenden Gruppenrichtlinien. Vor dem Erscheinen von Windows Vista wurden diese Definitionsvorlagen mit jedem mit jedem Gruppenrichtlinienobjekt im Ordner SYSVOL gespeichert. Dies bedeutete einen Overhead von ca. 4 MB pro Richtlinie, der neben dem erhöhten Speicherbedarf auch entsprechende Replikationszeit bei einer Änderung der Richtlinien beanspruchte. Mit der Einführung des neuen ADMX-Formats kann ein zentraler Speicher im Ordner SYSVOL am Domänencontroller verwendet werden. Sobald dieser Speicher erreichbar ist, verwendet die Gruppenrichtlinienverwaltungskonsole unter Windows Vista diesen automatisch, um GPOs zu erzeugen bzw. zu verwalten. 1. Erstellen Sie auf dem Domänencontroller zuerst den Stammordner für den zentralen Informationsspeicher: %SYSTEMROOT%\SYSVOL\DOMÄNENNAME\POLICIES\POLICYDEFINITIONS 2. Unterhalb dieses Ordners müssen nun die Ordner für die zu verwendende Sprache erstellt werden. Für die deutschen Einstellungen verwenden Sie \DE-DE. Wollen Sie auch die englischsprachige Variante installieren, dann erzeugen Sie zusätzlich den Ordner \EN-US. 3. Nun können Sie sämtliche Gruppenrichtliniendateien vom Windows Vista-Computer an diesen Ort kopieren. Die Originaldateien befinden sich im Ordner %SYSTEMROOT%\POLICYDEFINITIONS. 5.2 Zuweisen von Gruppenrichtlinien Die Verwaltung von Gruppenrichtlinien findet mit der im Server-Manager integrierten GPMC (Group Policy Management Console) statt Definieren der Kennwortrichtlinien für die Domäne Die Sicherheitseinstellungen für Kennwörter sind in einer Windows 2008-Domäne durch die vordefinierten Domänen- Richtlinien sehr hoch angesetzt. Diese Einstellungen sind vermutlich für den Schulbetrieb zu streng definiert und können daher auch ein wenig gelockert werden. 1. Öffnen Sie im Server-Manager den Bereich FEATURES GRUPPENRICHTLINIENVERWALTUNG GESAMTSTRUKTUR: DOMÄNENNAME DOMÄNEN DOMÄNENNAME GRUPPENRICHTLINIENOBJEKTE. 2. Markieren Sie die Richtlinie DEFAULT DOMAIN POLICY. 3. Klicken Sie entweder mit der rechten Maustaste direkt auf diesen Eintrag und anschließend auf BEARBEITEN oder im rechten Teil des Fensters auf WEITERE AKTIONEN BEARBEITEN. 4. Im nun erscheinenden Fenster Gruppenrichtlinienverwaltungs-Editor öffnen Sie folgende Bereiche: COMPUTERKONFIGURATION RICHTLINIEN WINDOWS-EINSTELLUNGEN SICHERHEITSEINSTELLUNGEN KONTORICHTLINIEN KENNWORTRICHTLINIEN 5. Definieren Sie jetzt die Kennwortrichtlinien für Ihre Schule. (Anmerkung: Wie Sie an anderer Stelle in dieser Unterlage lesen können, ist es mit Windows Server 2008 nun auch möglich, dass unterschiedliche Kennwortrichtlinien für bestimmte Personen oder Gruppen definiert werden können!) 2008, Microsoft Österreich GmbH Seite 70

71 LAB - Gruppenrichtlinien zuweisen Abb. 54: Festlegen der domänenweiten Kennwortrichtlinien Den Benutzern ein Hintergrundbild zuweisen In vielen Schulen ist es nicht erwünscht, dass sich die Schüler mit eigenen Hintergrundbildern (z.b. aus dem Internet) ihren Desktop gestalten. In diesem Fall kann ihnen mit Hilfe einer Gruppenrichtlinie ein spezielles Hintergrundbild zugewiesen werden, welches nicht verändert werden kann. 1. Erstellen oder speichern Sie ein Bild, welches als Hintergrund verwendet werden soll, in einem eigenen Ordner. Sie können auch mehrere Hintergrundbilder für unterschiedliche OUs speichern. 2. Geben Sie diesen Ordner mit Leserechten frei. 3. Öffnen Sie im Server-Manager den Bereich FEATURES GRUPPENRICHTLINIENVERWALTUNG GESAMTSTRUKTUR: DOMÄNENNAME DOMÄNEN DOMÄNENNAME GRUPPENRICHTLINIENOBJEKTE. 4. Klicken Sie im rechten Teil des Fensters auf WEITERE AKTIONEN NEU. 5. Im nächsten Fenster definieren Sie den Namen des Gruppenrichtlinienobjekts (z.b. Hintergrund 1. Klasse ). 6. Klicken Sie mit der rechten Maustaste auf das soeben erstellte Objekt und wählen den Punkt BEARBEITEN. 7. Im nächsten Fenster öffnen Sie die Bereiche BENUTZERKONFIGURATION RICHTLINIEN ADMINISTRATIVE VORLAGEN DESKTOP DESKTOP. 8. Wählen Sie im rechten Teil des Fensters den Eintrag DESKTOPHINTERGRUND mit der rechten Maustaste aus und klicken anschließend auf EIGENSCHAFTEN. 2008, Microsoft Österreich GmbH Seite 71

72 LAB - Gruppenrichtlinien zuweisen Abb. 55: Desktophintergrund definieren 9. Nun aktivieren Sie diese Richtlinie und geben im Feld Hintergrundname den gesamten UNC-Pfad zur Hintergrunddatei an. 10. Als Hintergrundstil wählen Sie STRECKEN. Abb. 56: Pfad zur Hintergrunddatei angeben 2008, Microsoft Österreich GmbH Seite 72

73 LAB - Gruppenrichtlinien zuweisen 11. Bestätigen Sie dieses Fenster mit OK und schließen daraufhin den Gruppenrichtlinienverwaltungs-Editor. 12. Um dieses Gruppenrichtlinienobjekt mit einer (oder mehreren) Organisationseinheit(en) zu verknüpfen, klicken Sie mit der rechten Maustaste auf die entsprechende OU und wählen den Menüpunkt VORHANDENES GRUPPENRICHTLINIENOBJEKT VERKNÜPFEN. Abb. 57: GPO mit einer OU verknüpfen 13. Wählen Sie die Gruppenrichtlinie aus und bestätigen das Fenster mit OK Drucker durch Gruppenrichtlinie bereitstellen Um diesen Vorgang durchführen zu können, muss bereits der Druckserver in der Rolle Druckdienste am Domänencontroller installiert sein. Zusätzlich muss auch mindestens ein Drucker installiert sein, der nun über eine Gruppenrichtlinie den entsprechenden Organisationseinheiten zugewiesen werden kann. 1. Öffnen Sie im Server-Manager den Bereich FEATURES GRUPPENRICHTLINIENVERWALTUNG GESAMTSTRUKTUR: DOMÄNENNAME DOMÄNEN DOMÄNENNAME GRUPPENRICHTLINIENOBJEKTE. 2. Klicken Sie im rechten Teil des Fensters auf WEITERE AKTIONEN NEU. 3. Im Fenster Neues Gruppenrichtlinienobjekt geben Sie im Feld Name einen beschreibenden Namen (z.b. LaserJet zuweisen ) ein. 4. Im nächsten Schritt wird dieses neu erstellte Gruppenrichtlinie mit einer Organisationseinheit verknüpft, indem Sie mit der rechten Maustaste jene OU (z.b. Benutzer ) auswählen und anschließend den Punkt VORHANDENES GRUPPENRICHTLINIENOBJEKT VERKNÜPFEN anklicken. 2008, Microsoft Österreich GmbH Seite 73

74 LAB - Gruppenrichtlinien zuweisen Abb. 58: GPO mit einer OU verknüpfen 5. Wählen Sie nun die vorhin erstellte Richtlinie aus. 6. Daraufhin wird der bereits installierte Drucker mit diesem Richtlinienobjekt verknüpft. Öffnen Sie dazu im Server- Manager den Bereich ROLLEN DRUCKDIENSTE DRUCKVERWALTUNG DRUCKSERVER DRUCKER. 7. Ein Rechtsklick auf den betreffenden Drucker öffnet das Kontextmenü, in welchem Sie MIT GRUPPENRICHTLINIE BEREITSTELLEN auswählen. Abb. 59: Drucker bereitstellen 2008, Microsoft Österreich GmbH Seite 74

75 LAB - Gruppenrichtlinien zuweisen 8. Im nächsten Fenster klicken Sie auf den Button Durchsuchen und wechseln im Fenster Gruppenrichtlinienobjekt suchen auf die Registerkarte ALLE. 9. Wählen Sie das vorhin erstellte GPO aus. Abb. 60: GPO für Druckerzuweisung auswählen 10. Nun können Sie sich entscheiden, ob mit dieser Gruppenrichtlinie der Drucker den Benutzern oder Computern (oder beiden) der in Schritt 4 ausgewählten Organisationseinheit zugewiesen werden soll. Aktivieren Sie dazu entweder das Kontrollkästchen DIE BENUTZER, AUF DIE DIESES GRUPPENRICHTLINIENOBJEKT ANGEWENDET WERDEN SOLL (PRO BENUTZER) oder DIE COMPUTER, AUF DIE DIESES GRUPPENRICHTLINIENOBJEKT ANGEWENDET WERDEN SOLL (PRO COMPUTER). 11. Bestätigen Sie daraufhin Ihre Auswahl mit einem Klick auf den Button HINZUFÜGEN und bestätigen das nächste Fenster mit OK. Abb. 61: Druckerverbindung mit dem GPO herstellen 2008, Microsoft Österreich GmbH Seite 75

76 LAB - Gruppenrichtlinien zuweisen 12. Zur Kontrolle klicken Sie im Server-Manager auf den Menüpunkt Bereitgestellte Drucker. Die soeben erstellte Zuweisung ist hier sichtbar. Abb. 62: Übersicht über die bereitgestellten Drucker 13. Sollten Sie weitere Drucker an andere Personen (oder Computer) per GPO zuweisen wollen, wiederholen Sie die eben aufgelisteten schritte Druckerbereitstellung aufheben 1. Öffnen Sie im Server-Manager den Bereich ROLLEN DRUCKDIENSTE DRUCKVERWALTUNG DRUCKSERVER DRUCKER und öffnen mit einem rechten Mausklick das Kontextmenü. 2. Wählen Sie den Punkt MIT GRUPPENRICHTLINIE BEREITSTELLEN, markieren anschließend die entsprechende Zeile im unteren Bereich des Fensters und klicken auf ENTFERNEN. Abb. 63: Aufheben der Druckerbereitstellung 2008, Microsoft Österreich GmbH Seite 76

77 LAB - Gruppenrichtlinien zuweisen Geräteinstallation (z.b. USB-Stick) mit Gruppenrichtlinie verweigern Damit ein Gerät (z.b. USB-Stick) nicht installiert werden kann ist es zuerst notwendig, den Geräte-Identifikations-String bzw. die Geräte-Setup-Klasse dieses Objekts zu kennen. Geräte-Identifikations-String: Auf Grund dieser Information entscheidet Windows, welcher Treiber installiert werden soll. Diese Strings liefern detaillierte Informationen über die Geräte (Name, Modell, Version). Geräte-Setup-Klasse: Unabhängig von der Hardware-ID werden alle Geräte einer gemeinsamen Klasse (z.b. DVD-Laufwerk) zusammengefasst und auch gleich installiert. Diese Information wird durch den GUID (Global Unique Identifier) angegeben. Diese beiden Informationen können besten über den Geräte-Manager aufgerufen werden, nachdem der entsprechende Treiber für die Hardware installiert wurde. 1. Schließen Sie einen USB-Stick an und öffnen anschließend den Geräte-Manager über SYSTEMSTEUERUNG SYSTEM UND WARTUNG SYSTEM GERÄTE-MANAGER. 2. Öffnen Sie den Bereich LAUFWERKE, klicken mit der rechten Maustaste auf den entsprechenden USB-Stick und wählen anschließend den Punkt EIGENSCHAFTEN. Abb. 64: Geräte-Manager 3. Im erscheinenden Eigenschaftsfenster wechseln Sie zur Registerkarte DETAILS und wählen HARDWARE-IDS aus. Die Ergebnisse im Feld Wert beschreiben von unten nach oben betrachtet das Objekt immer genauer. 2008, Microsoft Österreich GmbH Seite 77

78 LAB - Gruppenrichtlinien zuweisen Abb. 65: Hardware-IDs von unterschiedlichen USB-Sticks 4. Wählen Sie anschließend die Eigenschaft GERÄTEKLASSE-GUID. Hier ist das Ergebnis bei allen USB-Sticks identisch. 5. Kopieren Sie nun entweder die Hardware-ID oder die Geräteklasse-GUID in den Zwischenspeicher (je nachdem, ob sie einen spezifischen USB-Stick oder alle USB-Sticks sperren möchten). Nachdem die entsprechenden Informationen über das Gerät ermittelt wurden, kann nun die Installation über eine Gruppenrichtlinie verweigert werden. 1. Öffnen Sie dazu im Server-Manager den Bereich FEATURES GRUPPENRICHTLINIENVERWALTUNG GESAMTSTRUKTUR: DOMÄNENNAME DOMÄNEN DOMÄNENNAME GRUPPENRICHTLINIENOBJEKTE. 2. Klicken Sie mit der rechten Maustaste auf den Punkt GRUPPENRICHTLINIENOBJEKTE und wählen anschließend NEU. 3. Definieren Sie einen aussagekräftigen Namen (z.b. USB-Sticks verweigern ) 4. Klicken Sie mit der rechten Maustaste auf dieses neu erstellte Richtlinienobjekt und wählen den Menüpunkt BEARBEITEN. 5. Öffnen Sie folgende Bereiche: COMPUTERKONFIGURATION RICHTLINIEN ADMINISTRATIVE VORLAGEN SYSTEM GERÄTEINSTALLATION EINSCHRÄNKUNGEN BEI DER GERÄTEINSTALLATION. Wenn Sie die Installation von sämtlichen USB-Sticks verweigern möchten, fahren Sie mit Punkt 6 fort. Möchten Sie hingegen nur bestimmte USB-Sticks sperren (oder zulassen, nachdem alle anderen gesperrt wurden), machen Sie bitte bei Punkt 9 weiter. 6. Öffnen Sie mit einem Doppelklick die Richtlinie INSTALLATION VON GERÄTEN MIT TREIBERN VERHINDERN, DIE DIESEN GERÄTESETUPKLASSEN ENTSPRECHEN. 2008, Microsoft Österreich GmbH Seite 78

79 LAB - Gruppenrichtlinien zuweisen 7. Aktivieren Sie diese Richtlinie und klicken anschließend auf den Button ANZEIGEN. Im nächsten Fenster fügen Sie über den Button HINZUFÜGEN die vorhin kopierte Geräteklassen-GUID ein. 8. Bestätigen Sie alle Fenster mit OK und fahren mit Punkt 12 fort. Abb. 66: Eintragen der Geräteklassen-GUID 9. Öffnen Sie mit einem Doppelklick die Richtlinie INSTALLATION VON GERÄTEN MIT DIESEN GERÄTE-IDS VERHINDERN bzw. - wenn bestimmte USB-Stick zugelassen werden sollten - den Punkt INSTALLATION VON GERÄTEN MIT DIESEN GERÄTE-IDS ZULASSEN. 2008, Microsoft Österreich GmbH Seite 79

80 LAB - Gruppenrichtlinien zuweisen Abb. 67: Bestimmte Geräte-IDs sperren 10. Aktivieren Sie diese Richtlinie und klicken anschließend auf den Button ANZEIGEN. Im nächsten Fenster fügen Sie über den Button HINZUFÜGEN die vorhin kopierte Geräte-ID ein. 11. Bestätigen Sie alle Fenster mit OK. Abb. 68: Eintragen der Geräte-IDs 12. Nachdem das Richtlinienobjekt definiert wurden, muss es noch einer (oder mehreren) Organisationseinheit(en) zugewiesen werden. 13. Klicken Sie im Server-Manager im Bereich Gruppenrichtlinienverwaltung mit der rechten Maustaste die entsprechende Organisationseinheit und wählen anschließend den Punkt VORHANDENES GRUPPENRICHTLINIENOBJEKT VERKNÜPFEN, und wählen im nächsten Fenster das vorhin erstellt GPO aus. 2008, Microsoft Österreich GmbH Seite 80

81 LAB - Gruppenrichtlinien zuweisen Abb. 69: GPO mit einer OU verknüpfen Netzwerkverkehr mit QoS (Quality of Service) regeln Mit dieser Gruppenrichtlinie ist es möglich, den Netzwerkverkehr für bestimmte Benutzer und/oder Anwendungen zu beschränken. In diesem Beispiel wurde im Active Directory eine Organisationseinheit Schurken erstellt. Mit diesem GPO soll für sämtliche Mitglieder dieser OU die Netzwerkbandbreite für den Internet Explorer auf 20kB und sämtlicher anderer Anwendungen auf 200kB gedrosselt werden. 1. Öffnen Sie im Server-Manager den Bereich FEATURES GRUPPENRICHTLINIENVERWALTUNG GESAMTSTRUKTUR: DOMÄNENNAME DOMÄNEN DOMÄNENNAME GRUPPENRICHTLINIENOBJEKTE. 2. Klicken Sie mit der rechten Maustaste auf den Punkt GRUPPENRICHTLINIENOBJEKTE und wählen anschließend NEU. 3. Definieren Sie einen aussagekräftigen Namen (z.b. Netzwerkverkehr begrenzen ) 4. Klicken Sie mit der rechten Maustaste auf dieses neu erstellte Richtlinienobjekt und wählen den Menüpunkt BEARBEITEN. 5. Öffnen Sie folgende Bereiche: BENUTZERKONFIGURATION RICHTLINIEN WINDOWS-EINSTELLUNGEN. 6. Klicken Sie mit der rechten Maustaste auf den Eintrag RICHTLINIENBASIERTER QOS und wählen anschließend NEUE RICHTLINIE ERSTELLEN. 7. Tragen Sie im Feld Richtlinienname IE AUF 20 KB BEGRENZEN ein. 8. Bei der Drosselungsrate geben Sie 20 KB/SEK. ein. 2008, Microsoft Österreich GmbH Seite 81

82 LAB - Gruppenrichtlinien zuweisen Abb. 70: QoS definieren 9. Tragen Sie auf der nächsten Seite die Anwendung ein, für dieser Beschränkung gelten soll. Abb. 71: Anwendung definieren, für die diese Einschränkung gelten soll 2008, Microsoft Österreich GmbH Seite 82

83 LAB - Gruppenrichtlinien zuweisen 10. Auf der nächsten Seite belassen Sie die Standardeinstellungen (BELIEBIGE QUELL- BZW. ZIEL-IP- ADRESSE) und bestätigen mit OK. 11. Beim Protokoll wählen Sie TCP UND UDP und belassen die Einstellungen bei den Portnummern auf BELIEBIG. 12. Beenden Sie diesen Assistenten mit FERTIG STELLEN. 13. Klicken Sie erneut mit der rechten Maustaste auf den Eintrag RICHTLINIENBASIERTER QOS und wählen wieder NEUE RICHTLINIE ERSTELLEN. 14. Tragen Sie im Feld Richtlinienname ÜBERTRAGUNG AUF 200 KB BEGRENZEN ein. 15. Bei der Drosselungsrate geben Sie 200 KB/SEK. ein. 16. Belassen Sie auf den nächsten drei Seiten die Standardeinstellungen und beenden den Assistenten wieder mit FERTIG STELLEN. 17. Schließen Sie das Fenster Gruppenrichtlinienverwaltungs-Editor. 18. Im nächsten Schritt wird die soeben definierte Gruppenrichtlinie der OU Schurken zugewiesen, indem Sie diese Organisationseinheit mit der rechten Maustaste anklicken und VORHANDENES GRUPPENRICHTLINIENOBJEKT VERKNÜPFEN auswählen. Abb. 72: Gruppenrichtlinie mit OU verknüpfen 19. Wählen Sie die entsprechende Gruppenrichtlinie aus und bestätigen das Fenster mit OK. 2008, Microsoft Österreich GmbH Seite 83

84 LAB - Gruppenrichtlinien zuweisen 2008, Microsoft Österreich GmbH Seite 84

85 LAB Zugriffberechtigungen - Shares 6 LAB Zugriffberechtigungen - Shares Dieses LAB demonstriert die praktische Anwendung der im Skriptum vorgestellten Techniken und Methoden zur Verwaltung von Zugriffsberechtigungen und Freigaben unter Windows Server Übersicht Definition Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Zugriffsrechte bearbeiten Freigaben erzeugen 6.2 Szenario effektive Rechte für einen Benutzer anzeigen Ihre Schule betreibt eine funktionierende Instanz eines Windows Server Sie sind verantwortlich für die Installation und Wartung dieses Servers. Die Netzwerkdienste, die Domäne sowie andere Serverdienste sind bereits fertig konfiguriert und einsatzbereit. 6.3 Anforderungen Speziell die Freigaben und Sicherheitseinstellungen in einem Netzwerk sollten gut durchdacht werden. Als Vorbereitung für den realen Einsatz ist es ratsam, sich ausgiebig mit der Planung der Sicherheitsvorkehrungen zu beschäftigen. Die in diesem Lab genannten Beispiele sind als solche zu betrachten und können sich vom tatsächlichen Einsatz unterscheiden. Die Vorgangsweise als solche bleibt jedoch dieselbe. 6.4 Aufgabenliste Um die Anforderungen bewältigen zu können, benötigen Sie eventuell nachfolgende Informationen: Namen der Gruppen, Benutzer Passwörter der Benutzer 6.5 Lösen der geforderten Aufgaben Zur Verdeutlichung der Zugriffsrechte und Freigabeberechtigungen sollen diese nochmals an Hand eines Beispiels praktisch geübt werden: Ausgangspunkt: Es gibt einen Ordner namens Dokumente. Dieser soll im Netzwerk freigegeben und einer bestimmten Gruppe von Benutzern zugänglich gemacht machen. Für dieses Beispiel wird die globale Gruppe DomKollegium verwendet. Diese Gruppe soll das Recht Vollzugriff erhalten. 2008, Microsoft Österreich GmbH Seite 85

86 LAB Zugriffberechtigungen - Shares Mit Windows Server 2008 wurde ein Freigabe-Assistent eingeführt. Die Autoren dieses Skriptums finden jedoch, dass der Assistent der für Beginner durchaus verwendbar ist, deaktiviert werden sollte. Der so genannte erweiterte Freigabe-Modus bietet einfach mehr Möglichkeiten und verwendet obendrein keine neuen Bezeichnungen für die Freigaberechte. Um den Freigabe-Assistenten zu deaktivieren, gehen Sie folgendermaßen vor: 1. Öffnen Sie den Explorer. Sie können dies, indem Sie die Taste [ ] halten und die Taste [E] drücken. Eine Alternative dazu wäre auf den Menüeintrag COMPUTER im Startmenü zu klicken. 2. Wählen Sie aus dem Ordner-Menü die Menüfunktion EXTRAS ORDNEROPTIONEN aus. 3. Wechseln Sie in das Register Ansicht. 4. Enthaken Sie den Eintrag FREIGABE-ASSISTENT VERWENDEN (EMPFOHLEN. 5. Bei der Gelegenheit sollten Sie auch gleich die Option GESCHÜTZTE SYSTEMDATEIEN AUSBLENDEN (EMPFOHLEN) deaktivieren also enthaken und die Option ALLE DATEIEN UND ORDNER ANZEIGEN auswählen. Diese drei Einstellungen sollten Sie wählen. Abb. 21: Empfehlenswerte Einstellungen für das Arbeiten mit Dateien und Ordnern Ordner freigeben Legen Sie den Ordner Dokumente auf dem Server SRV01 an. So geben Sie einen Ordner frei 1. Klicken Sie den Ordner Dokumente mit der rechten Maustaste an und wählen Sie den Punkt FREIGABE. Das Register Freigabe des Ordners wird angezeigt. 2. Klicken Sie auf die Schaltfläche ERWEITERTE FREIGABE. Wie Sie aus dem Symbol der Schaltfläche erkennen können benötigen Sie dafür Administratorenrechte. 2008, Microsoft Österreich GmbH Seite 86

87 LAB Zugriffberechtigungen - Shares Abb. 22: Freigabe des Ordners 3. Klicken Sie anschließend auf BERECHTIGUNGEN. Die Standardberechtigung für freigegebene Ordner lautet Jeder /Lesen und muss im Regelfall angepasst werden. In der Praxis hat sich allgemein bewährt entweder Jeder/Vollzugriff oder Authentifizierte Benutzer/Vollzugriff zu setzen. Dies stellt kein Sicherheitsproblem dar, da Sie auf NTFS Dateiebene die Zugriffsberechtigungen setzen werden. Abb. 23: Geänderte Standardfreigabeberechtigung eines Ordners 4. Klicken Sie auf OK, um das Fenster der Freigabeberechtigungen zu schließen. 5. Schließen Sie alle Fenster. 2008, Microsoft Österreich GmbH Seite 87

88 LAB Zugriffberechtigungen - Shares Anpassen der NFTS-Zugriffsrechte auf den Ordner Dokumente Die Gruppe DomKollegium soll auf diesen Ordner das NTFS-Recht Vollzugriff erhalten. Dies setzt voraus, dass das effektive Zugriffsrecht der Gruppe DomKollegium nicht durch das Freigaberecht eingeschränkt wird. Dies wurde im Punkt 3 der vorigen Lösung sichergestellt. In weiterer Folge müssen nun die NTFS Zugriffsrechte auf diese Ordner und damit auf die Freigabe eingestellt werden. Um die NTFS-Zugriffsrechte anzupassen, gehen Sie folgendermaßen vor: 1. Machen Sie auf den Ordner Dokumente einen Rechtsklick und wählen Sie die Menüfunktion Eigenschaften aus. 2. Wechseln Sie in dem sich öffnenden Fenster EIGENSCHAFTEN VON DOKUMENTE in das Register SICHERHEIT. Abb. 24: NTFS Berechtigungen des Ordners Dokumente Windows Server 2008 verwendet im Dateisystem wie seine Vorgänger die Vererbung von Zugriffsberechtigungen. Beim Formatieren eines Volumes / einer Partition werden im Rootverzeichnis des Dateisystems Zugriffsberechtigungen eingetragen, die hierarchisch nach unten vererbt werden. Die vererbten Zugriffsberechtigungen für die Gruppe Benutzer müssen nun gelöscht und die für die Gruppe DomKollegium hinzugefügt werden. 3. Aufheben der Vererbung: Klicken Sie auf die Schaltfläche ERWEITERT, um die Vererbung der Zugriffsberechtigungen aufzuheben. 4. Es öffnet sich das Fenster ERWEITERTE SICHERHEITSEINSTELLUNGEN FÜR DOKUMENTE. In diesem Fenster ist im unteren Bereich zwar die Option für die Vererbung der Berechtigungen sichtbar, allerdings ist die Option nicht anklickbar. Um die Vererbung zu deaktivieren, müssen Sie nun auf die Schaltfläche BEARBEITEN klicken. 2008, Microsoft Österreich GmbH Seite 88

89 LAB Zugriffberechtigungen - Shares 5. Es wird ein zusätzliches Fenster Erweiterte Sicherheitseinstellungen für Dokumente geöffnet. In diesem Fenster ist allerdings die Option Vererbbare Berechtigungen des übergeordneten Objekts einschließen deaktivierbar. Klicken Sie auf die Option, um die Vererbung auszuschalten. 6. Es öffnet sich das Fenster der WINDOWS-SICHERHEIT. Durch KOPIEREN bzw. ENTFERNEN müssen Sie angeben, was mit den vererbten Berechtigungen geschehen soll. Im Falle des Kopierens werden alle Berechtigungen übernommen, bei Entfernen werden diese gelöscht. Abb. 25: Windows Sicherheit - mit der Frage, was mit Vererbung geschehen soll 7. Klicken Sie hierfür auf KOPIEREN. 8. Nachdem das Fenster der WINDOWS-SICHERHEIT geschlossen wurde, können Sie unmittelbar in dem Fenster ERWEITERTE SICHERHEITSEINSTELLUNGEN FÜR DOKUMENTE die Berechtigungen der Benutzer löschen. Markieren Sie dazu die beiden Einträge und klicken Sie zum Entfernen auf die Schaltfläche ENTFERNEN. Erweiterte Dokumente Gruppen Abb. 26: Sicherheitseinstellungen für nach dem markieren der 9. Über die Schaltfläche HINZUFÜGEN müssen Sie abschließend der Gruppe DomKollegium die Berechtigung Vollzugriff gewähren. 10. Nach dem Klick öffnet sich das Fenster Benutzer, Computer oder Gruppe wählen. Falls Sie den Namen der globalen Gruppe wissen in diesem Fall DomKollegium können Sie den nächsten Schritte 11 bis 15 - auslassen und in die Textbox direkt den Namen der Gruppe eingeben. 2008, Microsoft Österreich GmbH Seite 89

90 LAB Zugriffberechtigungen - Shares Falls Sie nicht den vollständigen Namen der Gruppe eingegeben haben, klicken Sie bitte unbedingt auf die Schaltfläche NAMEN ÜBERPRÜFEN, um den Namen zu überprüfen und ihn zu vervollständigen. Abb. 27: Eingabe der globalen Gruppe - mit Überprüfung 11. Wenn Sie nicht sicher sind wie man die Gruppe schreibt, klicken Sie auf ERWEITERT In dem sich öffnenden Fenster Benutzer und Gruppe wählen können Sie im mittleren Bereich einen Teilausdruck angeben nach dem gesucht werden soll. Im Beispiel wurde das Präfix dom eingegeben. 13. Klicken Sie auf JETZT SUCHEN. Abb. 28: Gefundene Objekte des AD in denen der Teilausdruck "dom" enthalten ist 14. Wählen Sie die globale Gruppe DomKollegium aus den Suchergebnissen aus und klicken auf OK. 15. Klicken Sie auf OK. 2008, Microsoft Österreich GmbH Seite 90

91 LAB Zugriffberechtigungen - Shares 16. Sie können nun die Berechtigungen für die globale Gruppe DomKollegium auf Vollzugriff ändern. Abb. 29: Vergabe der Berechtigung Vollzugriff an die Gruppe DomKollegium Das obige Userinterface wird eher selten verwendet. Der Grund dafür ist, dass hier nicht die gebündelten Standardberechtigungen angezeigt werden. Die Standardberechtigungen können Sie im Register Sicherheit setzen, wenn Sie auf die Schaltfläche BEARBEITEN klicken. Wenn Sie hier klicken, können Sie für Gruppen Standardberechtigungen setzen. Abb. 30: Register Sicherheit eines Ordners 2008, Microsoft Österreich GmbH Seite 91

92 LAB Zugriffberechtigungen - Shares 17. Schließen Sie alle geöffneten Fenster mit Klick auf die Schaltfläche OK Effektive Berechtigungen einer Gruppe anzeigen Unter dem Begriff effektive Berechtigung versteht man das tatsächliche Zugriffsrecht eines Benutzers oder einer Gruppe auf eine Datei oder einen Ordner. Die effektive Berechtigung setzt sich aus den NTFS-Berechtigungen und den Freigabeberechtigungen für das Objekt zusammen. Dabei gilt: Allen NTFS Berechtigungen kumulieren, d.h. es gilt die höchste NTFS-Berechtigung. Beachten Sie bitte, dass die Berechtigung Kein Zugriff höher ist als alle anderen. Gleiches gilt theoretisch für die Freigabe-Berechtigungen. Normalerweise wird in der Praxis allerdings der Gruppe Jeder die Berechtigung Vollzugriff erteilt. Der Gruppe Jeder gehören aber auch alle Personen oder Computer an, die auf eine Freigabe zugreifen dies könnte z.b. auch ein Linux Client sein, der sich nicht authentifiziert hat. Die effektive Berechtigung ist dann der Durchschnitt zwischen der NTFS Berechtigung und der Freigabe-Berechtigung. So zeigen Sie die effektiven Berechtigungen für den Ordner Dokumente an: 1. Klicken Sie mit der rechten Maustaste auf den Ordner Dokumente und wählen Sie aus dem Kontextmenü den Punkt EIGENSCHAFTEN aus. 2. Wechseln Sie in das Register SICHERHEIT. In Register Sicherheit können Sie die Gruppen- oder Benutzernamen sehen, für die derzeit definierte Berechtigungen definiert oder vererbt wurden. 4. Klicken Sie auf ERWEITERT. 5. Wechseln Sie in die Register EFFEKTIVE BERECHTIGUNGEN. 6. Klicken Sie auf der Schaltfläche AUSWÄHLEN. 7. Geben Sie die Gruppe DomKollegium in dem Textfeld ein. Überprüfen Sie Ihren Eintrag, indem Sie auf die Schaltfläche Überprüfen klicken und schließen Sie das Fenster BENUTZER, COMPUTER ODER GRUPPE WÄHLEN durch einen Klick auf die Schaltfläche OK. 2008, Microsoft Österreich GmbH Seite 92

93 LAB Zugriffberechtigungen - Shares 10. Sie können nun im Register Effektive Berechtigungen die NTFS-Berechtigung für die Gruppe DomKollegium ablesen. Abb. 31: Die ermittelten, effektiven Rechte der Gruppe DomKollegium Auf diese Weise können Sie die NTFS-Berechtigung für einen Benutzer, eine globale bzw. domänenlokale Gruppe überprüfen. NTFS-Berechtigungen sollten niemals direkt an Benutzer vergeben werden verwenden Sie dazu immer domänenlokale Gruppen. 2008, Microsoft Österreich GmbH Seite 93

94 Windows Deployment Services mit XP 7 Windows Deployment Services mit XP Dieses LAB demonstriert die Installation und Konfiguration eines WDS-Servers unter Windows Server 2008 für das automatische Deployment eines XP-Clients. 7.1 Übersicht Definition: Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Installation eines WDS-Servers Konfiguration eines Startabbildes und Deploymentabbildes unter WDS Automatisieren einer XP-Clientkonfiguration 7.2 Szenario Ihre Schule betreibt eine funktionierende Instanz eines Windows Server Sie sind verantwortlich für die Installation und Wartung dieses Servers. Sie haben bereits die Standardinstallation von Windows Server 2008 vorgenommen, sowie eine Domäne, den DNS- Serverdienst und den DHCP-Serverdienst eingerichtet. 7.3 Anforderungen Sie sollen die Serverrolle Windows-Bereitstellungsdienste installieren, konfigurieren und Antwortdateien für den automatischen XP-Clientrollout erstellen. 7.4 Aufgabenliste Um die gestellten Anforderungen bewältigen zu können, benötigen Sie eventuell nachfolgende Informationen: WAIK und DVD von Windows Server 2008 Setup-Medien für Windows XP Professional Produktschlüssel für das XP-Betriebssystem 7.5 Lösen der geforderten Aufgaben Nachfolgende Schritte beschreiben die Installation und Konfiguration des WDS-Servers und die Erstellung von Antwortdateien für das automatische XP-Clientrollout Installation der WDS-Rolle Starten Sie im Server-Manager den Assistenten für Rollen hinzufügen, wählen als Serverrolle Windows- Bereitstellungsdienste aus und klicken auf den Button WEITER. 2008, Microsoft Österreich GmbH Seite 94

95 Windows Deployment Services mit XP Abb. 73: Auswahl der WDS-Rolle im Serverrollen-Assistenten Das nächste Fenster gibt Ihnen einen Überblick über die Windows-Bereitstellungsdienste. Klicken Sie auf den Button WEITER. Abb. 74: Übersicht über die Bereitstellungsdienste 2008, Microsoft Österreich GmbH Seite 95

96 Windows Deployment Services mit XP Nun sind die zu installierenden Rollen auszuwählen. In unserem Fall wählen wir beide Rollendienste aus, obwohl für unsere Zwecke die Rolle Bereitstellungsserver vollkommen ausreichen würde. Die Rolle Transportserver würde von Dritthersteller-Rolloutsystemen verwendet werden. Bestätigen Sie die Auswahl mit WEITER. Abb. 75: Auswahl der Rollendienste Starten Sie nun die eigentliche Installation der Serverrolle WDS indem Sie auf den Button INSTALLIEREN klicken. Abb. 76: Bestätigung der Installationsauswahl 2008, Microsoft Österreich GmbH Seite 96

97 Windows Deployment Services mit XP Abb. 77: Installation von WDS Beenden Sie den Installationsassistenten, indem Sie auf den Button SCHLIEßEN klicken. Abb. 78: Erfolgreiche Installation von WDS 2008, Microsoft Österreich GmbH Seite 97

98 Windows Deployment Services mit XP Schließen Sie den Servermanager und starten Sie ihn anschließend wieder erneut, da erst dann die neue Serverrolle für die weitere Bearbeitung zur Verfügung steht. Abb. 79: Servermanager mit installiertem WDS Konfiguration der WDS-Rolle Als nächstes muss der WDS-Server für die Bereitstellung diverser Images konfiguriert werden. Dazu klicken Sie mit der rechten Maustaste (oder rechts im Fenster Aktionen) auf Server konfigurieren. Abb. 80: Starten des WDS-Konfigurationsassistenten Daraufhin erscheint ein Assistent, der Sie bei der Grundkonfiguration des WDS-Servers unterstützt. 2008, Microsoft Österreich GmbH Seite 98

99 Windows Deployment Services mit XP Auf der Willkommensseite werden Ihnen nochmals die notwendigen Voraussetzungen zusammengefasst dargestellt. Wenn alle Voraussetzungen erfüllt sind, klicken Sie auf den Button WEITER. Abb. 81: Notwendige Voraussetzungen für die Konfiguration von WDS Geben Sie Laufwerk und Pfad des Remoteinstallationsordners wie in Abbildung x ein und klicken auf WEITER. Abb. 82: WDS-Installationsordner 2008, Microsoft Österreich GmbH Seite 99

100 Windows Deployment Services mit XP In unserem Fall besitzt der Windows Server 2008 eine leere 100GB NTFS-Partition, die als Laufwerk W: angesprochen werden kann. Da sich auch der DHCP-Server am gleichen Windows Server 2008 befindet wie der WDS-Server (damit sind am DHCP- Server später keine zusätzlichen Konfigurationsschritte notwendig), sind beide Optionen Port 67 nicht abhören DHCP-Option 60 für PXEClient konfigurieren anzuwählen und dann auf den Button WEITER zu klicken. Abb. 83: Festlegung der DHCP-Optionen im Zusammenhang mit WDS Nun müssen Sie festlegen, wie der WDS auf Anfragen von Clients reagieren soll. Da wir zumindest zu Beginn wollen, dass jeder Client beim Start über das Netzwerk vom WDS bedient werden soll, wählen Sie den Punkt Allen (bekannten und unbekannten) Clientcomputern antworten an und klicken auf den Button FERTIGSTELLEN. 2008, Microsoft Österreich GmbH Seite 100

101 Windows Deployment Services mit XP Abb. 84: WDS-Einstellungen bzgl. PXE-Anfragen Daraufhin wird die durchgeführte Konfiguration abgespeichert und alle notwendigen Dienste gestartet. Abb. 85: Speichern der WDS-Konfigurationseinstellungen 2008, Microsoft Österreich GmbH Seite 101

102 Windows Deployment Services mit XP Entfernen Sie nun das Häkchen bei Abbilder jetzt dem Windows Deployment Server hinzufügen dies wird erst in einem späteren Schritt gemacht und klicken auf den Button FERTIGSTELLEN. Abb. 86: Abschließen der WDS-Grundkonfiguration Sie sollten nun folgende Ansicht im Servermanager vorfinden: Abb. 87: Servermanager mit einer WDS-Grundkonfiguration 2008, Microsoft Österreich GmbH Seite 102

103 Windows Deployment Services mit XP Als nächstes erstellen Sie auf Laufwerk C: des WDS-Servers ein Verzeichnis und benennen in WDS-Dateien um. Legen Sie nun die Windows-Server-2008-DVD (32-Bit-Version) am WDS-Server ein und kopieren Sie aus dem Verzeichnis sources der DVD die Datei boot.wim nach C:\WDS-Dateien. Laden Sie sich weiter von das WAIK herunter, öffnen daraus die Datei winpe.cab und kopieren daraus wieder die Datei F1_winpe.wim nach C:\WDS-Dateien. Danach sollte der Inhalt des Verzeichnisses C:\WDS-Dateien wie folgt aussehen: Abb. 88: Inhalt des Verzeichnisses WDS-Dateien Erstellen eines Aufzeichnungsabbildes Erstellen Sie nun ein Verzeichnis in W:\RemoteInstall und benennen es in Aufzeichnungsabbild um. Klicken Sie im Server-Manager mit der rechte Maustaste auf Startabbilder und wählen den Punkt Startabbild hinzufügen aus. Abb. 89: Startabbilder im Server-Manager hinzufügen 2008, Microsoft Österreich GmbH Seite 103

104 Windows Deployment Services mit XP Als Dateipfad geben Sie C:\WDS-Dateien\F1_winpe.wim an und klicken auf den Button WEITER. Abb. 90: Angabe der Abbilddatei Die Abbildmetadaten im folgenden Fenster lassen Sie unverändert und klicken auf den Button WEITER. Abb. 91: Angabe der Abbildmetadaten 2008, Microsoft Österreich GmbH Seite 104

105 Windows Deployment Services mit XP Bestätigen Sie die Zusammenfassung, indem Sie erneut auf den Button WEITER klicken. Abb. 92: Hinzufügendes Abbildes Nach dem erfolgreichen hinzufügen des Abbildes, klicken Sie auf den Button FERTIGSTELLEN. Abb. 93: Hinzufügendes Abbildes 2008, Microsoft Österreich GmbH Seite 105

106 Windows Deployment Services mit XP Als nächstes wird daraus ein Aufzeichnungsstartabbild erstellt. Klicken Sie dazu mit der rechten Maustaste auf das soeben hinzugefügte Startabbild (Microsoft Windows Vista PE (X86)) und wählen Aufzeichnungsstartabbild erstellen aus. Abb. 94: Erstellen eines Aufzeichnungsstartabbildes Im folgenden Fenster geben Sie als Abbildname XP auf Server Transferimage, als Abbildbeschreibung Aufzeichnungsabbild für XP und als Dateiname W:\RemoteInstall\Aufzeichnungsabbild\XP-Aufzeichnungsabbild.wim ein und klicken dann auf den Button WEITER. Abb. 95: Metadaten für das Aufzeichnungsstartabbild 2008, Microsoft Österreich GmbH Seite 106

107 Windows Deployment Services mit XP Nachdem das Aufzeichnungsabbild erfolgreich erstellt wurde, klicken Sie auf den Button FERTIGSTELLEN. Abb. 96: Fertigstellen des Aufzeichnungsstartabbildes Dieses nun gerade fertiggestellte Aufzeichnungsstartabbild muss nun im WDS-Server verfügbar gemacht werden. Klicken Sie dazu mit der rechten Maustaste auf Startabbilder und wählen den Punkt Startabbild hinzufügen aus. Abb. 97: Hinzufügen des neuen Aufzeichnungsabbildes 2008, Microsoft Österreich GmbH Seite 107

108 Windows Deployment Services mit XP Als Abbilddatei geben Sie das soeben erstellte Abbild an und klicken auf WEITER. W:\RemoteInstall\Aufzeichnungsabbild\XP-Aufzeichnungsabbild.wim Abb. 98: Auswahl des Aufzeichnungsstartabbildes Als Abbildname geben Sie XP auf Server Transferimage und als Beschreibung Aufzeichnungsstartabbild für XP an und klicken auf WEITER. Abb. 99: Metadaten für das Transferimage 2008, Microsoft Österreich GmbH Seite 108

109 Windows Deployment Services mit XP Bestätigen Sie die Zusammenfassung und klicken erneut auf WEITER. Ist das ausgewählte Abbild erfolgreich dem WDS-Server hinzugefügt worden, so klicken Sie auf den Button FERTIGSTELLEN. Abb. 100: Fertigstellen des Transferimages 2008, Microsoft Österreich GmbH Seite 109

110 Windows Deployment Services mit XP Am WDS-Server unter Startabbilder sollte nun das neue XP-Transferimage aufscheinen. Abb. 101: Servermanager mit XP-TransferImage Erstellen eines Deploymentstartabbildes Dazu klickt man erneut mit der rechten Maustaste auf Startabbilder und wählen den Punkt Startabbild hinzufügen aus. Abb. 102: Hinzufügen eines Deploymentstartimage Nun wählen Sie als Abbilddatei C:\WDS-Dateien\boot.wim aus und klicken auf den Button WEITER. 2008, Microsoft Österreich GmbH Seite 110

111 Windows Deployment Services mit XP Abb. 103: Auswahl des Deploymentstartabbildes Als Abbildname geben Sie XP auf Workstation Bootimage und als Abbildbeschreibung Bootimage zum Ausrollen von XP auf den Client ein und klicken dann auf den Button WEITER. Abb. 104: Auswahl des Deploymentstartabbildes 2008, Microsoft Österreich GmbH Seite 111

112 Windows Deployment Services mit XP Bestätigen Sie die Zusammenfassung, indem Sie auf Weiter klicken und das Hinzufügen des Abbildes durchführen. Abb. 105: Auswahl des Deploymentstartabbildes Nachdem auch dieses Abbild erfolgreich dem Server hinzugefügt wurde, beenden Sie den Assistenten, indem Sie auf den Button Fertigstellen klicken. Abb. 106: Auswahl des Deploymentstartabbildes 2008, Microsoft Österreich GmbH Seite 112

113 Windows Deployment Services mit XP Unter Startabbilder sollte nun das neu hinzugefügte Abbild in unserem Fall XP auf Workstation Bootimage aufscheinen. bb. 107: Auswahl des Deploymentstartabbildes Im nächsten Schritt erzeugen Sie einen Ordner, in dem die diversen Installationsabbilder zukünftig liegen werden. Klicken Sie dazu mit der rechten Maustaste auf Installationsabbilder, wählen den Punkt Abbildgruppe hinzufügen aus und geben als Namen für die Abbildgruppe Schulrechner ein. Abb. 108: Erstellen einer Abbildgruppe Clientpräparation für den Imagingvorgang Als nächstes ist eine konfigurierte XP-Workstation mit diversen Applikationen für den Imagevorgang herzurichten. Dazu ist als erstes im BIOS als erstes Bootdevice die Netzwerkkarte einzustellen. Als nächstes melden Sie sich an der XP- Workstation mit administrativen Rechten an und erstellen den Ordner C:\sysprep. Danach legen Sie die XP-CD ein, gehen zum Ordner \Support\Tools und entpacken den Inhalt der Datei deploy.cab nach C:\sysprep. Nun muss falls Sie es nicht bereits früher erledigt haben - die Datei sysprep.inf erzeugt werden. Dazu rufen Sie die Datei C:\sysprep\setupmgr.exe auf und erzeugen eine neue Antwortdatei für die Automatische Installation von Windows XP. 2008, Microsoft Österreich GmbH Seite 113

114 Windows Deployment Services mit XP Beispiel einer sysprep.inf: [Unattended] OemSkipEula=Yes DriverSigningPolicy=Ignore ExtendOemPartition=0 InstallFIlesPath=C:\sysprep\i386 TargetPath=\WINDOWS [GuiUnattended] AdminPassword=* AutoLogon=No AutoLogonCount=0 OEMSkipRegional=1 TimeZone=110 OemSkipWelcome=1 EncryptedAdminPassword=NO [RegionalSettings] LanguageGroup=1 SystemLocale=00000c07 UserLocale=00000c07 InputLocale=0c07: [Display] ConfigureAtLogon=0 BitsPerPel=32 Xresolution=1024 YResolution=768 Vrefresh=85 AutoConfirm=1 [UserData] ComputerName=%MACHINENAME% FullName="Schule XY" OrgName="Meine Schule" ProductKey=AAAAA-AAAAA-AAAAA-AAAAA-AAAAA [Networking] InstallDefaultComponents=Yes ProcessPageSections=Yes [Identification] JoinDomain=MEINESCHULE DomainAdminPassword=geheim DoOldStyleDomainJoin=Yes [Branding] BrandIEUsingUnattended=Yes Nachdem Sie die Antwortdatei sysprep.inf im Verzeichnis c:\sysprep abgespeichert haben, starten Sie das darin liegende Programm sysprep.exe. Dieses Programm entfernt die SID aus dem Image. Diese SID wird nach dem Rollout am neuen Client vom automatisch startenden Mini-Setup neu generiert. 2008, Microsoft Österreich GmbH Seite 114

115 Windows Deployment Services mit XP Wählen Sie unter den Optionen Mini-Setup verwenden an und klicken dann auf den Button Versiegeln. Danach fährt die XP-Workstation automatisch herunter und ist bereit für den Imagingvorgang. Abb. 109: Systemvorbereitung der Workstation Es ist nun wichtig, dass Sie auf keinen Fall diese Workstation vor Fertigstellung eines Images von der Festplatte starten Imagen eines Clients Starten Sie nun diese soeben versiegelte Workstation vom Netzwerk, d.h. Sie drücken die F12-TASTE, wenn Sie dazu aufgefordert werden. Abb. 110: PXE-Bootvorgang 2008, Microsoft Österreich GmbH Seite 115

116 Windows Deployment Services mit XP Daraufhin startet der PXE-Bootvorgang, die Workstation kontaktiert den WDS-Server und es erscheint der Windows Boot Manager. Wählen Sie den Punkt XP auf Server Transferimage aus und drücken die RETURN-Taste. Abb. 111: WDS-Bootmanager Nach Auswahl des betreffenden Images wird das Image vom WDS-Server in den Arbeitsspeicher des Clients geladen. Ist dieser Vorgang beendet und wurden diverse Dienste im Hintergrund erfolgreich gestartet, so erscheint ein Assistent zum Uploaden des lokalen Clients. Bestätigen Sie die Willkommensmeldung mit WEITER. Abb. 112: Assistent zur Abbildaufzeichnung 2008, Microsoft Österreich GmbH Seite 116

117 Windows Deployment Services mit XP Wählen Sie das Laufwerk c: aus das Laufwerk erscheint nur bei einer mit sysprep vorbereiteten XP-Workstation, geben diesem Image einen Namen und eine passende Beschreibung und klicken auf WEITER. Abb. 113:Auswahl der Quelle für die Abbildaufzeichnung Legen Sie nun Name und Speicherort des zu erstellenden Abbildes fest und bestimmen, dass nach Erstellung des Abbildes, dieses selbständig auf den WDS-Server geladen werden soll. Dazu klicken Sie auf den Button VERBINDEN und geben die entsprechenden Zugangsdaten zum WDS-Server bekannt. Abb. 114:Angabe des Zieles die Abbildaufzeichnung 2008, Microsoft Österreich GmbH Seite 117

118 Windows Deployment Services mit XP Sind die Zugangsdaten korrekt, können Sie die früher angelegte Abbildgruppe in unserem Fall Schulrechner auswählen. Starten Sie nun die Erstellung des Abbildes mit anschließendem automatischem Upload auf den WDS- Server, indem Sie auf den Button FERTIGSTELLEN klicken. Abb. 115:Auswahl der Abbildgruppe Abb. 116:Automatischer Upload des Abbildes auf den WDS 2008, Microsoft Österreich GmbH Seite 118

119 Windows Deployment Services mit XP Abb. 117:Erfolgreicher Upload des Abbildes auf den WDS Danach klicken Sie auf den Button SCHLIEßEN und die Workstation bootet. Danach startet der Minisetupassistent und konfiguriert den Client entsprechend den Vorgaben in der Datei sysprep.inf Vorbereitungen für den Clientrollout Erstellen Sie nun am WDS-Server im Verzeichnis W:\RemoteInstall\WdsClientUnatted eine Datei mit Namen unattend_xp.xml mit folgendem Inhalt: <?xml version="1.0" encoding="utf-8"?> <unattend xmlns="urn:schemas-microsoft-com:unattend"> <settings pass="windowspe"> <component name="microsoft-windows-setup" processorarchitecture="x86" publickeytoken="31bf3856ad364e35" language="neutral" versionscope="nonsxs" xmlns:wcm=" xmlns:xsi=" <DiskConfiguration> <WillShowUI>OnError</WillShowUI> <Disk> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>1</Order> <Type>Primary</Type> <Size>19000</Size> <Extend>false</Extend> </CreatePartition> 2008, Microsoft Österreich GmbH Seite 119

120 Windows Deployment Services mit XP </CreatePartitions> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>true</Active> <Format>NTFS</Format> <Label>System</Label> <Letter>C</Letter> <Order>1</Order> <PartitionID>1</PartitionID> <Extend>false</Extend> </ModifyPartition> </ModifyPartitions> </Disk> </DiskConfiguration> <WindowsDeploymentServices> <ImageSelection> <WillShowUI>OnError</WillShowUI> <InstallTo> <DiskID>0</DiskID> <PartitionID>1</PartitionID> </InstallTo> </ImageSelection> </WindowsDeploymentServices> </component> </settings> </unattend> Nun weisen Sie diese XML-Datei dem WDS-Server für das Clientrollout zu. Klicken Sie im Server-Manager mit der rechten Maustaste auf den entsprechenden WDS-Server und wählen den Punkt Eigenschaften aus. Abb. 118:Clientkonfiguration am WDS 2008, Microsoft Österreich GmbH Seite 120

121 Windows Deployment Services mit XP Wählen Sie den Reiter Client aus, aktivieren den Punkt Unbeaufsichtigte Installation aktivieren und geben unter x86- Architektur obige xml-datei aus dem Verzeichnis W:\RemoteInstall\WdsClientUnatted an. Speichern Sie diese Einstellungen, indem Sie auf den Button ÜBERNEHMEN klicken. Abb. 119:Aktivierung und Festlegung der Konfigurationsdatei für die unbeaufsichtigte XP-Installation Damit beim Clientrollout die Workstations automatisch mit den richtigen Rechnernamen belegt werden, starten Sie den Server-Manager, öffnen die Features und gehen zur Gruppenrichtlinienverwaltung. Dort wählen Sie die Domäne meineschule.local aus, gehen zu Domain Controllers und bearbeiten die Default Domain Controllers Policy. Abb. 120:Bearbeiten der Default Domain Controllers Policy 2008, Microsoft Österreich GmbH Seite 121

122 Windows Deployment Services mit XP Nehmen Sie folgende Einstellung in der Default Domain Controllers Policy vor: Unter Computerkonfiguration Richtlinien Administrative Vorlagen System Netzwerkanmeldung ist die Richtlinie Mit Windows NT 4.0 kompatible Kryptorafiealgorithmen zulassen zu aktivieren. Schließen Sie anschließend den Gruppenrichtlienverwaltungs-Editor und rufen den Befehl GPUPDATE /FORCE, um die Einstellung wirksam werden zu lassen. Abb. 121:Aktivierung des kompatiblen Kryptografiealgorithmus Multicastingübertragung von Images Aktiviert kann Multicasting im WDS-Server beim betreffenden Image. Klicken Sie dazu das betreffende Image mit der rechten Maustaste an und wählen den Punkt Multicastübertragung erstellen aus. Abb. 122:Aktivierung der Multicastingübetragung 2008, Microsoft Österreich GmbH Seite 122

123 Windows Deployment Services mit XP Tragen Sie dann einen beliebigen Namen als Bezeichner für die Multicastübertragung ein und klicken auf WEITER. Abb. 123:Festlegen eines Namens für die Multicastübertragung Im folgenden Fenster können Sie den Multicasttyp mit entsprechender Startoption auswählen. In normalen Fällen ist der automatische Castmodus die richtige Wahl. Klicken Sie auf den Button WEITER. Abb. 124:Auswahl des Multicasttyps 2008, Microsoft Österreich GmbH Seite 123

124 Windows Deployment Services mit XP Schließen Sie die Erstellung der Multicastübertragung ab, indem Sie auf den Button FERTIGSTELLEN klicken. Abb. 125:Erstellung einer Multicastübertragung Im Server-Manager können Sie unter Multicastübertragungen jederzeit den aktuellen Stand der Multicast- Registrierung und den Kopierstatus einsehen. Auch besteht hier die Möglichkeit, manuell eine Multicast-Übertragung zu starten, bzw. einzelne Clients wieder auf Unicast umzustellen. Abb. 126:Aktueller Status einer Multicastübertragung 2008, Microsoft Österreich GmbH Seite 124

125 LAB Windows Server Update Services 8 LAB Windows Server Update Services Dieses LAB demonstriert die praktische Anwendung der im Skriptum vorgestellten Techniken und Methoden zur Installation und Verwaltung der Windows Server Update Services. 8.1 Übersicht Definition Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Installieren der Windows Server Update Services auf Server 2008 Konfigurieren von Computergruppen Konfigurieren von Computern für Windows Server Update Services Verwalten von Updates 8.2 Szenario In Ihrer Schule wird eine Lösung gesucht um Updates für Microsoft Software zentral zu Verwalten. Sie wurden beauftragt, auf einem Windows Server 2008 die Windows Server Update Services zu installieren und einzurichten. 8.3 Anforderungen Im vorliegenden Szenario ist eine funktionstüchtige Installation von Windows Server 2008 mit allen aktuellen Updates erforderlich, welche einen Funktionierenden Internetzugang besitzt. Weiters benötigen Sie die Installationsdateien des Microsoft Report Viewer 2005 Redistributable. 8.4 Aufgabenliste Damit Sie die gestellten Aufgaben erfüllen können, benötigen Sie eventuell diese Informationen: Proxyserver für Internetzugang Anmeldedaten für den Proxyserver 2008, Microsoft Österreich GmbH Seite 125

126 LAB Windows Server Update Services 8.5 Lösen der geforderten Aufgaben Installation von Windows Server Update Services Nachfolgend finden Sie eine praktische Anleitung für die Installation von Windows Server Update Services 3.0 SP1. So installieren Sie den Microsoft Report Viewer Doppelklicken Sie auf die Installationsdatei ReportViewer.exe. 2. Bestätigen Sie die Sicherheitswarnung mit AUSFÜHREN. 3. Überspringen Sie die Willkommensseite mit einem Klick auf WEITER. 4. Stimmen Sie den Bedingungen des Lizenzvertrages zu, und klicken Sie auf INSTALLIEREN. 5. Wählen Sie nach erfolgreicher Installation FERTIG STELLEN. So installieren Sie die Microsoft Windows Server Update Services 1. Klicken Sie auf START > SERVER-MANAGER. 2. Klicken Sie mit der rechten Maustaste in der linken Navigationsstruktur auf den Knoten ROLLEN, und wählen Sie den Menüpunkt ROLLEN HINZUFÜGEN. 3. Klicken Sie im Assistenten Rollen hinzufügen auf Weiter, um die Seite Vorbemerkungen zu überspringen. 4. Aktivieren Sie auf der Seite Serverrollen auswählen das Kontrollkästchen vor WINDOWS SERVER UPDATE SERVICES. Es erscheint ein Dialogfeld, welches Sie darauf aufmerksam macht, dass weitere Rollendienste erforderlich sind. Bestätigen Sie dieses mit ERFORDERLICHE ROLLENDIENSTE HINZUFÜGEN. Abb. 127: Auswählen der Rolle Windows Server Update Services 5. Klicken Sie auf WEITER. 6. Überspringen Sie die Einführungsseite für den Webserver (IIS) mit einem Klick auf WEITER. 2008, Microsoft Österreich GmbH Seite 126

127 LAB Windows Server Update Services 7. Es erscheint die Seite Rollendienste auswählen für den Webserver (IIS). Sie können diese Einstellungen auf dem Standard belassen, da alle für WSUS benötigten Dienste für Sie bereits vorgewählt wurden. Klicken Sie zum Fortfahren auf WEITER. Abb. 128: Rollendienste für die Installation von IIS 8. Klicken Sie auf WEITER, um die Einführungsseite für Windows Server Update Services zu überspringen. 9. Um mit der Installation zu beginnen, wählen Sie auf der Seite Installationsauswähl bestätigen INSTALLIEREN. Abb. 129: Bestätigen der Installationsauswahl 10. Es wird nun begonnen, das neueste WSUS Installationspaket vom Microsoft Server herunterzuladen. Ist dies abgeschlossen, erscheint der Setup-Assistent für Windows Server Update Services 3.0 SP , Microsoft Österreich GmbH Seite 127

128 LAB Windows Server Update Services 11. Klicken Sie zum überspringen der Willkommensseite auf WEITER. 12. Stimmen Sie den Lizenzbedingungen zu, und fahren Sie mit WEITER fort. 13. Geben Sie im Eingabefeld Updates lokal speichern C:\WSUS ein, und bestätigen Sie dies mit WEITER. Abb. 130: Wählen des lokalen Speicherortes für Updates 14. Wählen Sie auf der Seite Datenbankoptionen WINDOWS INTERNAL DATABASE AUF DIESEM SERVER INSTALLIEREN, und tragen Sie in das Eingabefeld C:\WSUS ein. Abb. 131: Festlegen der Datenbankoptionen 2008, Microsoft Österreich GmbH Seite 128

129 LAB Windows Server Update Services 15. Aktivieren Sie auf der nächsten Seite Websiteauswahl die Option DIE VORHANDENE IIS- STANDARDWEBSEITE VERWENDEN (EMPFOHLEN). Klicken Sie danach auf WEITER. Abb. 132: Auswahl der Standardwebsite 16. Überprüfen Sie die finale Zusammenfassung der Installationsoptionen, und klicken Sie auf FERTIG STELLEN. 17. Nach erfolgreicher Installation können Sie auf FERTIG STELLEN klicken. 18. Der Rollen hinzufügen Assistent zeigt Ihnen nun eine Zusammenfassung der Installationsergebnisse an, welche Sie nun SCHLIEßEN. 19. Zeitgleich mit dem Fertigstellen des Setup-Assistenten, hat sich der Assistent für die Konfiguration von Windows Server Update Services geöffnet, und zeigt Ihnen eine Vorbemerkung an. Hinweis zur Vorbemerkung: Die Serverfirewall wurde durch den Servermanager automatisch bei der Installation des Webservers (IIS) konfiguriert. 20. Klicken Sie auf WEITER, um die Seite Vorbemerkung zu verlassen. 21. Treffen Sie eine Entscheidung, ob Sie am Programm zur Verbesserung von Microsoft Update teilnehmen möchten. Für die Labumgebung wählen Sie die Option bitte ab. 2008, Microsoft Österreich GmbH Seite 129

130 LAB Windows Server Update Services 22. Auf der Seite Upstreamserver auswählen aktivieren Sie die Option VON MICROSOFT UPDATE SYNCHRONISIEREN. Mit der zweiten Option können Sie mehrere WSUS Server verschachteln. Dies kann erforderlich sein, wenn Sie ein sehr großes Netzwerk betreiben welches Segmente mit sehr unterschiedlichen Updateszenarien enthält. Abb. 133: Auswahl des Upstreamservers 23. Falls es erforderlich ist, dass Sie für Ihre Internetverbindung einen Proxy Server verwenden, tragen Sie auf dieser Seite nun bitte den Namen und Port, sowie gegebenenfalls die Anmeldedaten ein. # Abb. 134: Eintragen des Proxyservers 2008, Microsoft Österreich GmbH Seite 130

131 LAB Windows Server Update Services 24. In diesem Schritt müssen nun Informationen über die verfügbaren Klassifizierungen und Produkte, vom Upstreamserver heruntergeladen werden. Klicken Sie dazu auf VERBINDUNG STARTEN, und warten Sie, bis der Download abgeschlossen ist. Klicken Sie sobald die Schaltfläche verfügbar ist auf WEITER. Abb. 135: Herunterladen der zusätzlich benötigten Informationen 25. Wählen Sie auf der Seite Sprachen auswählen die Option UPDATES NUR IN FOLGENDEN SPRACHEN HERUNTERLADEN, und aktivieren Sie das Kontrollkästchen DEUTSCH. Abb. 136: Auswahl der Sprache 2008, Microsoft Österreich GmbH Seite 131

132 LAB Windows Server Update Services 26. Nun können Sie die Produkte auswählen, für die WSUS Updates bereitstellen soll. Standardmäßig ist hier Office und Windows vorgewählt. Für die Labumgebung, wählen Sie bitte Office ab, und wählen ausschließlich WINDOWS SERVER 2008 und WINDOWS VISTA. Bestätigen Sie dies mit WEITER. Abb. 137: Auswahl der Produkte 27. Auf der Seite Klassifizierungen auswählen klicken Sie nun auf ALLE KLASSIFIZIERUNGEN, und danach auf WEITER. Abb. 138: Auswahl der Klassifizierungen 2008, Microsoft Österreich GmbH Seite 132

133 LAB Windows Server Update Services 28. Nun legen Sie fest, wann der Server nach Updates auf der Microsoft Updateseite sucht. Aktivieren Sie dazu die Option AUTOMATISCH SYNCHRONISIEREN, und tragen Sie im Eingabefeld Erste Synchronisierung 03:00:00 ein. Im Dropdown Synchronisierungen pro Tag wählen Sie bitte 1. Abb. 139: Erstellen des Synchronisierungszeitplanes. 29. Aktivieren Sie die Option ERSTSYNCHRONISIERUNG STARTEN, und klicken Sie auf FERTIG STELLEN. Abb. 140: Auswahl der Erstsynchronisierung 2008, Microsoft Österreich GmbH Seite 133

134 LAB Windows Server Update Services 8.6 Computergruppen erstellen Ihre Aufgabe besteht darin, Computergruppen für Server und für Clients zu erstellen, um für diese Updates getrennt verwalten zu können. So erstellen Sie Computergruppen für Server und Clients: 1. Klicken Sie auf START > VERWALTUNG > MICROSOFT WINDOWS SERVER UPDATE SERVICES 3.0 SP1. 2. Erweitern Sie in der linken Navigationsstruktur den Knoten COMPUTER, und rechtsklicken Sie AUF ALLE COMPUTER. Wählen Sie dann COMPUTERGRUPPE HINZUFÜGEN Abb. 141: Computergruppe hinzufügen 3. Geben Sie im Eingabefeld den Computergruppennamen SERVER ein, und klicken Sie auf HINZUFÜGEN. Abb. 142: Computergruppenname eingeben 4. Wiederholen Sie die Schritte 2 und 3, um eine weitere Computergruppe mit dem Namen CLIENTS zu erstellen. 5. Erweitern Sie den Knoten ALLE COMPUTER, um die neu erstellten Gruppen zu sehen. 2008, Microsoft Österreich GmbH Seite 134

135 LAB Windows Server Update Services 8.7 Computergruppen für automatische Zuweisung konfigurieren Ihre Aufgabe ist es, die Computergruppen so einzustellen, dass die Rechner automatisch über Gruppenrichtlinien den unterschiedlichen Computergruppen zugeordnet werden. So konfigurieren Sie die automatische Computergruppenzuweisung über Gruppenrichtlinien 1. Klicken Sie in der linken Navigationsstruktur auf den Knoten OPTIONEN, und wählen Sie in der Liste COMPUTER. Abb. 143: Computergruppen konfigurieren 1 2. Aktivieren Sie die Option GRUPPENRICHTLINIE ODER REGISTRIERUNGSEINSTELLUNGEN AUF COMPUTERN VERWENDEN, und bestätigen Sie dies mit OK. Abb. 144: Computergruppen konfigurieren , Microsoft Österreich GmbH Seite 135

136 LAB Windows Server Update Services 8.8 Automatische Genehmigung für Updates konfigurieren Die Aufgabe besteht darin, automatische Genehmigungen zu definieren, damit schnell auf neue Bedrohungen reagiert wird, und Sicherheutsuppdates sofort ohne Benutzereingriff für Clients genehmigt werden. So konfigurieren Sie eine Regel für die automatische Genehmigung 1. Klicken Sie in der linken Navigationsstruktur auf den Knoten OPTIONEN, und wählen Sie in der Liste AUTOMATISCHE GENEHMIGUNGEN. Abb. 145: Automatische Genehmigungen konfigurieren 2. Klicken Sie im Dialogfeld Automatische Genehmigungen auf NEUE REGEL. Abb. 146: Erstellen einer neuen Regel , Microsoft Österreich GmbH Seite 136

137 LAB Windows Server Update Services 3. Wählen Sie im Schritt1 des Dialogfeldes Regel hinzufügen die Option WENN EIN UPDATE IN EINER BESTIMMTEN KLASSIFIZIERUNG ENTHALTEN IST. Klicken Sie anschließend im Schritt 2 auf den Blau unterstrichenen Platzhalter BELIEBIGE KLASSIFIZIERUNG, wählen Sie die Klassifizierung SICHERHEITSUPDATES, und klicken Sie auf OK. Wählen Sie anschließend den Platzhalter ALLE COMPUTER, aktivieren Sie CLIENTS, und bestätigen Sie dies mit OK. Im letzten Schritt in diesem Dialogfeld, tragen Sie den Namen SICHERHEITSUPDATES FÜR CLIENTS für die Regel ein, und erstellen die Regel mit einem Klick auf OK. Abb. 147: Erstellen einer neuen Regel 2 4. Klicken Sie zum Abschluss auf OK. Abb. 148: Erstellen einer neuen Regel , Microsoft Österreich GmbH Seite 137

138 LAB Windows Server Update Services 8.9 Manuelle Genehmigung von Updates Nun ist es Ihre Aufgabe, einige Updates von Hand zu genehmigen. So genehmigen Sie Updates manuell: 1. Erweitern Sie in der linken Navigationsstruktur den Knoten UPDATES, und klicken Sie auf ALLE UPDATES. 2. Stellen Sie im Filter oben unter Genehmigung NICHT GENEHMIGT ein, und unter Status ALLE. Aktualisieren Sie die Liste mit einem Klick auf AKTUALISIEREN. Abbildung 149: Einstellen des Updatefilters 3. Wählen Sie die mehrere Updates mit gedrückter Steuerungstaste aus, und klicken Sie im Menü AKTIONEN auf GENEHMIGEN. Abb. 150: Genehmigen von Updates , Microsoft Österreich GmbH Seite 138

139 LAB Windows Server Update Services 4. Sobald Sie auf Genehmigen geklickt haben, erscheint der Dialog Updates genehmigen. In diesem Dialog Klicken Sie nun bei ALLE COMPUTER auf das Symbol und wählen den Menüpunkt FÜR DIE INSTALLATION GENEHMIGT. Abbildung 151: Genehmigen von Updates 5. Klicken Sie zum Abschließen auf OK, und danach auf SCHLIEßEN Konfigurieren der Gruppenrichtlinie für den Client Damit die Clients ihre Updates vom Windows Server Update Service beziehen, ist es nun Ihre Aufgabe, eine Gruppenrichtlinie am Client zu definieren. So erstellen Sie eine Gruppenrichtline, um einen Computer zu WSUS hinzuzufügen: 1. Öffnen Sie am Client den Gruppenrichtlinien Editor. Öffnen Sie dazu den Ausführen Dialog START > AUSFÜHREN oder auf der Tastatur WINDOWSTASTE + R, und geben Sie GPEDIT.MSC ein. 2. Öffnen Sie in der linken Navigationsstruktur die Knoten COMPUTERKONFIGURATION > ADMINISTRATIVE VORLAGEN > WINDOWS KOMPONENTEN > WINDOWS UPDATE. Abbildung 152: Gruppenrichtlinieneditor 2008, Microsoft Österreich GmbH Seite 139

140 LAB Windows Server Update Services 3. Doppelklicken Sie auf die Einstellung AUTOMATISCHE UPDATES KONFIGURIEREN. 4. Aktivieren Sie die Option Aktiviert, und wählen Sie unter Automatische Updates Konfigurieren 4 AUTOM. HERUNTERLADEN UND LAUT ZEITPLAN INSTALLIEREN AUS. 5. Geben Sie im Eingabefeld Geplanter Installationstag 0 TÄGLICH, und im Feld Geplante Installationszeit 10:00 ein. 6. Bestätigen Sie mit OK. 7. Öffnen Sie die Option INTERNEN PFAD FÜR DEN MICROSOFT UPDATEDIENST ANGEBEN, klicken Sie auf die Option AKTIVIERT, und tragen Sie in die Eingabefelder für den INTERNEN UPDATEDIENST und den INTRANETSERVER FÜR DIE STATISTIK die Adresse ein (Ersetzen Sie [IhrWSUS] durch den Namen Ihres WSUS-Servers, z.b Bestätigen Sie mit OK. 9. Um alle Updates über Ihren WSUS zu beziehen, öffnen Sie die Option EMPFOHLENE UPDATES ÜBER AUTOMATISCHE UPDATES AKTIVIEREN, klicken Sie auf die Option AKTIVIERT, und bestätigen Sie dies mit OK. 10. Öffnen Sie die Option CLIENTSEITIGE ZIELZUORDNUNG AKTIVIEREN. Aktivieren Sie diese Einstellung, und tragen Sie im Eingabefeld Zielgruppenname für diesen Computer den Namen CLIENTS ein. Klicken Sie auf OK, und schließen Sie den Gruppenrichtlinien-Editor. Ab diesem Zeitpunkt ist der Client für Ihre Windows Server Update Services eingerichtet. Er wird erst bei der nächsten Updateüberprüfung in der WSUS Verwaltungskonsole erscheinen. 2008, Microsoft Österreich GmbH Seite 140

141 LAB ISA LAB ISA 2006 Dieses LAB demonstriert die praktische Anwendung der im Skriptum vorgestellten Techniken und Methoden zum Einrichten und Betreiben eines Internet Security & Acceleration Server Übersicht und Definition Dieses LAB besteht aus vier Teilen: LAB 1: Kontrolle der Vorbereitung die Installation eines ISA 2006 Servers LAB 2: Installation des ISA 2006 Servers LAB 3: Erstellen von ISA Objekten mit Hilfe der ISA 2006 Server Toolbox LAB 4: Erstellen von Firewall-Richtlinien 9.2 LAB 1: Kontrolle der Vorbereitung für die Installation Wenn Sie dieses LAB durchgearbeitet haben, haben Sie folgende Arbeitsschritte bewältigt: Sie haben einen Windows Server Bit für die Installation des ISA 2006 Servers aufgesetzt Nach der Installation des Betriebssystems kontrollieren Sie alle Punkte, die für eine erfolgreiche Installation des ISA 2006 Server vorausgesetzt werden Szenario für LAB 1 Ihre Schule betreibt ein Microsoft Netzwerk unter Windows Server In dieser Domäne mit dem DNS-Namen MeineSchule.at soll ein ISA-Server als Firewall gegenüber dem Internet installiert werden. Für diesen Zweck wird ein eigener physischer Server mit zwei Netzwerkkarten bereitgestellt. Eine Alternative dazu wäre eine Virtualisierung des Firewall-Servers unter Hyper-V, in dem Sie in einer virtuellen Maschine einen 32-Bit Windows Server 2003 als Gast-Betriebssystem aufsetzen Lösen der geforderten Aufgaben Aufgabe 1: Der Internet Security & Acceleration Server 2006 kann nur auf einem Windows Server 2003 installiert werden. Beachten Sie bitte, dass dafür nur die 32-Bit Version der Windows Server CD für die Installation verwendet werden kann. 2 2 Wie Sie einen Windows Server 2003 installieren können, entnehmen Sie bitte dem MMSI-Skriptum 2003 bzw. dazugehörenden MMSI Lab , Microsoft Österreich GmbH Seite 141

142 LAB ISA 2006 Nach der Installation von Windows Server 2003 sind die üblichen Nacharbeiten wie: Vergabe von IP-Adressen an die beiden Netzwerkkarten Umbenennen der Bezeichnungen der Netzwerkkarten z.b. intern und extern um Änderung des Benutzernamens Administratoren-Kontos Vergabe eines sicheren Kennworts für das Administratoren-Konto Domänenbeitritt Einspielen aller Service Packs und Updates durchzuführen. Aufgabe: Bevor Sie mit der Installation des ISA Server 2006 beginnen können, müssen Sie alle Netzwerkkarten, deren Bindungen und die Reihenfolge kontrollieren. So lösen Sie die Aufgabe: 1. Machen Sie einen Rechtsklick auf das Symbol NETZWERKUMGEBUNG und wählen Sie die Menüfunktion EIGENSCHAFTEN aus. 2. In dem sich öffnenden Fenster wählen Sie anschließend aus dem Menü ERWEITERT die Menüfunktion ERWEITERTE EINSTELLUNGEN aus. 3. Im Register Netzwerkkarten und Bindungen können Sie die Reihenfolge der Netzwerkkarten und die darauf gebunden Dienste einsehen. Abbildung 153: Reihenfolger der Bindungen der internen bzw. externen Netzwerkkarte: Beachten Sie, dass die interne Netzwerkarte vor der externen Netzwerkkarte gereiht sein muss. Sie können die Reihenfolge durch einen Klick auf den Pfeil am rechten Rand des Fensters bei Bedarf ändern. Auf der externen Netzwerkkarte, also jener die mit dem Internet verbunden werden soll, sind alle Bindungen zu entfernen! 4. Schließen Sie nach der Kontrolle alle Fenster. 2008, Microsoft Österreich GmbH Seite 142

143 LAB ISA 2006 Aufgabe: Überprüfung der TCP/IP Einstellungen der Netzwerkkarten. Auf dem Firewall Server darf kein DNS oder WINS Server eingetragen sein. Des weiteren sollten LMHosts-Abfragen und NetBIOS über TCP/IP auf der externen Netzwerkkarte deaktiviert sein. So lösen Sie die Aufgabe: 1. Machen Sie einen Rechtsklick auf das Symbol NETZWERKUMGEBUNG und wählen Sie die Menüfunktion EIGENSCHAFTEN aus. 2. Machen Sie in dem sich öffnenden Fenster Netzwerkverbindungen einen Rechtsklick auf der externen Netzwerkkarte und wählen Sie erneut die Menüfunktion EIGENSCHAFTEN aus. 3. Es öffnet sich das Fenster der EIGENSCHAFTEN DER EXTERNEN NETZWERKKARTE. Durch die zuvor durchgeführte Aufgabenstellung sollten alle Bindungen von dieser Netzwerkkarte entfernt sein. 4. Machen Sie einen Doppelklick auf den Eintrag INTERNETPROTOKOLL (TCP/IP). Alternativ können Sie auch einen Klick auf den Eintrag machen und anschließend auf die Schaltfläche EIGENSCHAFTEN klicken. 5. Überprüfen Sie in dem sich öffnenden Fenster die IP-Adresseinstellungen. Abbildung 154: Adresseinstellungen der externen Netzwerkkarte Auf keinen Fall darf hier ein DNS Server eingetragen werden. Die IP-Adresse, die Subnetzmaske und das Standardgateway erhalten Sie von Ihrem Internet Service Provider. 6. Klicken Sie anschließend auf die Schaltfläche ERWEITERT. 7. Wechseln Sie zur Registerkarte DNS und deaktivieren Sie die Option ADRESSEN DIESER VERBINDUNG IN DNS REGISTRIEREN. 8. Wechseln Sie nun zur Registerkarte WINS und deaktivieren Sie die Option LMHOSTS-ABFRAGEN AKTIVIEREN. 9. Ebenfalls im Register WINS müssen Sie abschließend die Option NETBIOS ÜBER TCP/IP DEAKTIVIEREN anklicken. 2008, Microsoft Österreich GmbH Seite 143

144 LAB ISA 2006 Abbildung 155: Kontrolle der letzten beiden Punkte der Aufgabenstellung 10. Schließen Sie abschließend alle Fenster. Im Gegensatz zur externen Netzwerkkarte müssen Sie diese Punkte bei der internen Netzwerkkarte nicht durchführen. Beachten Sie, dass auf der internen Netzwerkkarte kein Standardgateway angegeben wird. Anders als bei der externen Netzwerkkarte ist aber sehr wohl der DNS-Server der Domäne MeineSchule.at anzugeben. 9.3 LAB 2: Installation des ISA 2006 Servers Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Sie können auf einem, im LAB 1 vorbereiteten Windows Server 2003, einen Internet Security & Acceleration Server 2006 installieren. Sie haben am ISA Server während der Installation das interne vom externen Netzwerk getrennt Szenario für LAB 2 Der Firewall-Server ist vorbereitet für die Installation. Sämtliche wesentlichen Installationsvoraussetzungen wurden im ersten LAB überprüft und sichergestellt. In weiterer Folge soll nun der ISA Server 2006 von der DVD installiert werden. 2008, Microsoft Österreich GmbH Seite 144

145 LAB ISA Lösen der geforderten Aufgaben Um die geforderte Aufgabe lösen zu können benötigen Sie: Ein Installationsmedium z.b. ISA Server 2006 DVD Einen Produktschlüssel für den ISA Server 2006 So lösen Sie die Aufgabe: 1. Legen Sie die CD oder DVD in das DVD Laufwerk. Durch die Autostart-Funktion wird automatisch das Setup gestartet. 2. Klicken Sie im rechten Teil des Fensters auf den Eintrag ISA SERVER 2006 INSTALLIEREN. 3. Es öffnet sich ein Fenster, in dem angezeigt wird, dass die Kernkomponenten des ISA Server installiert werden. Kurz darauf wird das Willkommens-Fenster des Microsoft ISA Server 2006 Installationsassistenten geöffnet. Klicken Sie die Schaltfläche WEITER. 4. Akzeptieren Sie den Lizenzvertrag, in dem Sie die richtige Option anklicken. Klicken Sie danach auf die Schaltfläche WEITER. 5. Vervollständigen Sie die Kundeninformationen und klicken Sie anschließend auf die Schaltfläche WEITER. 6. Sie befinden sich nun im Setup-Typ Teil des Assistenten. Hier haben Sie die Option einer STANDARD oder einer BENUTZERDEFINIERTEN Installation. Wählen Sie BENUTZERDEFINIERT aus und klicken Sie anschließend auf WEITER. 7. In dem sich öffnenden Fenster des Assistenten wird angezeigt welcher Teil der Software wo installiert wird. Sie können den Pfad für die zu installierende Software anpassen oder den vorgeschlagenen Ort C:\Programme\Microsoft ISA Server übernehmen. Klicken Sie anschließend auf WEITER. 8. Nun kommen Sie zum wichtigsten Teil der Installation. Sie müssen dem ISA Server bekannt geben, welcher IP- Bereich zum internen Netzwerk gehört. Dieser Punkt ist von essentieller Bedeutung, denn das interne Netzwerk soll geschützt werden. Alle nicht angegebenen Bereiche sind Bestandteil des externen, also des feindlichen Netzwerks. a. Klicken Sie auf die Schaltfläche ÄNDERN. b. In dem sich öffnenden Fenster haben Sie unterschiedliche Optionen. Nachdem Sie im ersten LAB die interne und externe Netzwerkkarte eingerichtet und kontrolliert haben, können Sie auf die Schaltfläche ADAPTER HINZUFÜGEN klicken. 2008, Microsoft Österreich GmbH Seite 145

146 LAB ISA 2006 Abbildung 156: Bekanntgabe der internen Netzwerkkarte c. Klicken Sie anschließend auf WEITER. 9. Im nächsten Fenster des Assistenten müssen Sie bekanntgeben ob Sie die Firewall-Verbindung verschlüsselt oder unverschlüsselt betreiben wollen. Dies hängt davon an, welches Betriebssystem Sie in Ihrem Netzwerk betreiben und ob Sie eine bereits installierte Basis von Firewall-Clients der Vorgängerversion betreiben. Wählen Sie die Option nach den Anforderungen an Ihrer Schule aus. Klicken Sie anschließend auf WEITER. 10. Es folgen zwei Informationsfenster, bei denen Sie nach dem Durchlesen auf die Schaltfläche WEITER klicken müssen. 11. Im nun letzten Fenster befindet sich die Schaltfläche INSTALLIEREN, mit der Sie den ISA Server 2006 nun endgültig installieren können. 12. Nach der erfolgreichen Installation des ISA Servers erhalten Sie ein abschließendes Fensters des Assistenten, in dem die Fertigstellung der Installation gemeldet wird. Aktivieren Sie die Option ISA SERVER-VERWALTUNG NACH DER FERTIGSTELLUNG DES ASSISTENTEN STARTEN und klicken Sie abschließend auf die Schaltfläche FERTIG STELLEN. Abbildung 157: Letztes Fenster des Assistenten der ISA-Server Installation 2008, Microsoft Österreich GmbH Seite 146

147 LAB ISA LAB 3: Erstellen von ISA Objekten mit Hilfe der ISA 2006 Server Toolbox Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Erstellen von Benutzer, Zeit und anderen Objekten mit Hilfe der Toolbox des ISA Servers. Diese Objekte werden später bei der Erstellung von Zugriffsrichtlinien benötigt Szenario für LAB 3 In ersten LAB haben Sie einen Windows Server 2003 installiert und sämtliche Voraussetzungen für die Installation überprüft. Im zweiten LAB haben Sie aufbauend auf dem ersten LAB den ISA Server 2006 installiert. Bei der Installation haben Sie dem ISA Server das interne, zu schützende, Netzwerk bekanntgeben. Derzeit sind aufgrund des aktuellen Status der Firewall keine Verbindungen aus dem Internet oder in das Internet möglich. Der ISA Server blockiert alle Zugriff, ob von innen oder außen, mit Hilfe seiner Standard-Firewall-Regel Lösen der geforderten Aufgaben Aufgabe 1: Es soll ein Benutzer-Objekt namens WSUS mit Hilfe der ISA Server Toolbox angelegt werden. Dieses Objekt wird zu einem späteren Zeitpunkt bei einer Firewallrichtlinie benötigt. Da Sie bei der Anlage des ISA Server-Objekts auf ein Konto in Ihrem Active Directory zugreifen werden, müssen Sie zuerst das Benutzerkonto WSUS im Active Directory anlegen. So lösen Sie die Aufgabe: Öffnen Sie die ISA-Server Verwaltungskonsole. Klicken Sie dazu auf START PROGRAMME MICROSOFT ISA SERVER ISA VERWALTUNG. Abbildung 158: ISA-Server Verwaltungskonsole 2008, Microsoft Österreich GmbH Seite 147

148 LAB ISA Klicken Sie im linken Fensterteil der Verwaltungskonsole auf den Eintrag Firewallrichtlinie. Im rechten Teil der Verwaltungskonsole werden die Register TOOLBOX, AUFGABEN, HILFE angezeigt. 2. Klicken Sie auf das Register TOOLBOX. 3. Öffnen Sie den Abschnitt BENUTZER, in dem Sie auf den Hyperlink Benutzer der Toolbox klicken. Alternativ können Sie auf auf den nach unten zeigenden Doppelpfeil klicken, um den Abschnitt BENUTZER zu öffnen. Abbildung 159: Der geöffnete Abschnitt Benutzer 4. Um einen neuen Benutzer anzulegen, müssen Sie die Menüfunktion NEU unterhalb des Balkens mit der Beschriftung BENUTZER anklicken. 5. Es öffnet sich ein Assistent für das Anlegen von Benutzersätzen. Tippen Sie im Textfeld einen Namen für den Benutzersatz ein. Laut Aufgabenstellung sollten Sie hier WSUS eintippen. Klicken Sie anschließend auf WEITER. 6. Im nächsten Schritt müssen Sie nun angeben aus welchem Authetifizerungsbereich der Benutzer ausgewählt werden soll. Nach einem Klick auf die Schaltfläche werden die Auswahlbereiche angezeigt. Zur Auswahl stehen unter anderem WINDOWS-BENUTZER UND GRUPPEN dies entspricht dem Active Directory Ihrer Schule. Wählen Sie also WINDOWS-BENUTZER UND GRUPPEN aus. Abbildung 160: Assistent für die Anlage neuer Benutzersätze 2008, Microsoft Österreich GmbH Seite 148

149 LAB ISA Wählen Sie den zuvor angelegten Benutzer WSUS aus dem Active Directory aus. Vergessen Sie dabei nicht, dass Sie den Suchpfad auf GESAMTES VERZEICHNIS anpassen müssen. Klicken Sie anschließend auf OK. Abbildung 161: Auswahl des AD-Benutzers für das ISA-Benutzerobjekt 8. Klicken Sie auf WEITER. 9. Zum Abschluss wird eine Zusammenfassung angezeigt. Beenden Sie den Assistenten, indem Sie auf FERTIG STELLEN klicken. Auf gleiche Weise lassen sich Protokolle, Inhaltstypen, Zeitpläne und Netzwerkobjekte erstellen. In allen Bereichen existieren bereits Objekte. Vor allem im Bereich der Protokolle sind so gut wie alle namhaften Protokolltypen bereits vordefiniert. Objekte der Toolbox werden bei der Anlage von Firewallrichtlinien verwendet. Der Bereich der Netzwerkobjekte umfasst nicht nur Netzwerke, Computer, Adressbereiche und Subnetze. Zu den Netzwerkobjekten gehört auch der Domänennamenssatz, mit dessen Hilfe ganze Domänen unter einem ISA-Objekt zusammengefasst werden können. Ein Domänensatz-Objekt könnte lauten ERLAUBTE DOMÄNEN und umfasst unter anderen die Domänen *.kurier.at, *microsoft.com, *.orf.at usw. Ein URL-Satz hingegen enthält bestimmte Web-Sites. Der URL-Satz VERBOTENE SITES könnte z.b. Websites wie z.b. usw. enthalten. 2008, Microsoft Österreich GmbH Seite 149

150 LAB ISA LAB 4: Erstellen von Firewall-Richtlinien Wenn Sie dieses LAB durchgearbeitet haben, können Sie folgende Arbeitsschritte bewältigen: Sie wissen, wie eine Firewallrichtlinie aufgebaut ist und wie Sie eine derartige Firewallrichtlinie erstellen. Sie werden zwei unterschiedliche Firewallrichtlinien erstellen: Eine, um im internen Netzwerk DNS-Hostname des internen und externen Netzwerks aufzulösen - DNS-Regel. Eine mit deren Hilfe Benutzer des internen Netzwerks auf Websites im externen Netzwerk zugreifen können. Sie wissen, wie Sie eine Zugriffsregel aktivieren bzw. deaktivieren Sie wissen, wie Sie eine Zugriffsregel ändern können Szenario für LAB 4 Nach der Installation des ISA Server 2006 ist kein Zugriff vom internen Netzwerk in das externe Netzwerk möglich. Dies wird durch die einzige Firewallrichtlinie, die nach der Installation des ISA Servers vorhanden ist, der so genannten Standard-Firewallrichtlinie, verhindert. In diesem LAB sollen Sie nun zwei Firewallrichtlinien erstellen, damit die Benutzer des internen Netzwerks per http- Protokoll auf Websites im Internet zugreifen können Lösen der geforderten Aufgaben Aufgabe 1: DNS Firewallrichtinie Der ISA Server muss als DNS-Auflöser für die beiden Clients den Firewall-Client und Webproxy Client, dienen. Dies bedeutet, dass er interne und externe Hostnamen auflösen muss. Dazu sendete er als DNS-Client seine Anfragen an den internen DNS-Server der Domäne. Dieser ist für die DNS-Namensauflösung der Domäne MeineSchule.at autoritativ. Für alle anderen Domänen hat er eine DNS-Weiterleitung zum DNS-Server des Internet Service Provider eingetragen. Abbildung 162: Exemplarisches Beispiel für Firewallrichtlinien Ihre Aufgabe besteht nun darin, dass Sie den Zugriff des internen DNS-Servers zum DNS-Server des Internet Service Providers mittels einer Firewallrichtlinie erlauben müssen. 2008, Microsoft Österreich GmbH Seite 150

151 LAB ISA 2006 Für jede Firewallrichtlinie müssen die nachfolgenden Elemente angegeben werden: Position der Firewallrichtlinie: Die Zugriffsregeln werden von 1 beginnend durchnummeriert. Die Abarbeitung der Regeln durch den ISA Server beginnt bei der Zugriffsregel mit der Position 1 Aktion: Ob die Zugriffsregel etwas erlaubt oder verbietet Bezeichnung: Name für die Zugriffsregel Quelle/Ziel Protokoll Zeitplan Benutzer Inhalt Die gestellte Aufgabe umfasst zwei Teilaufgaben: Erstellen eines Computer-Objekts für den internen DNS-Server mit der Toolbox des ISA Servers 2006 Erstellen einer Zugriffsregel, die dem internen DNS-Server den Zugriff auf den DNS-Server des ISP erlaubt So lösen Sie die Teilaufgabe 1: Erstellen des Computer-Objekts 1. Öffnen Sie die ISA-Server Verwaltungskonsole. Klicken Sie dazu auf START PROGRAMME MICROSOFT ISA SERVER ISA VERWALTUNG. 2. Klicken Sie im linken Fensterteil der Verwaltungskonsole auf den Eintrag FIREWALLRICHTLINIE. Im linken Teil der Verwaltungskonsole werden die Register TOOLBOX, AUFGABEN, HILFE angezeigt. 3. Klicken Sie auf das Register TOOLBOX. 4. Öffnen Sie den Abschnitt NETZWERKOBJEKTE, in dem Sie auf den Hyperlink NETZWERKOBJEKTE der Toolbox klicken. Alternativ können Sie auf auf den nach unten zeigenden Doppelpfeil klicken, um den Abschnitt NETZWERKOBJEKTE zu öffnen. 5. Wählen Sie aus dem Menü die Funktion Neu Computer aus. 6. Es wird das Fenster NEUES COMPUTERREGELELEMENT angezeigt. Tragen Sie die Daten des internen DNS-Servers der Domäne ein. In diesem Lab werden dazu die Daten: Name:... DC IP-Adresse: verwendet. 2008, Microsoft Österreich GmbH Seite 151

152 LAB ISA 2006 Abbildung 163: Anlage eine scomputerobekts mit der Toolbox von ISA Server Beenden Sie die Anlage, indem Sie auf die Schaltfläche OK klicken. So lösen Sie die Teilaufgabe 2: Erstellung der Zugriffsregel für den internen DNS Server 1. Öffnen Sie die ISA-Server Verwaltungskonsole. Klicken Sie dazu auf START PROGRAMME MICROSOFT ISA SERVER ISA VERWALTUNG. 2. Klicken Sie im linken Fensterteil der Verwaltungskonsole auf den Eintrag FIREWALLRICHTLINIE. 3. Machen Sie nun einen Rechtsklick auf den Eintrag FIREWALLRICHTLINIE und wählen Sie aus dem Menü die Funktion NEU ZUGRIFFSREGEL aus. 4. Es öffnet sich der Assistent für die Erstellung einer Zugriffsregel. Geben Sie in das Textfeld einen Namen für die Regel z.b. DNS-WEITERLEITUNG ein. Klicken Sie anschließend auf WEITER. Abbildung 164: Vergabe eines Namens für die Zugriffsregel 2008, Microsoft Österreich GmbH Seite 152

153 LAB ISA Im nächsten Fenster der Regelaktion müssen Sie angeben, ob dies eine Regel ist, die etwas zulässt oder verweigert. Wählen Sie die Option ZULASSEN aus und klicken Sie anschließend auf WEITER. Abbildung 165: Zulassungsregel 6. Nun müssen Sie angeben, welches Protokoll für diese Zugriffsregel erlaubt sein soll. Wählen Sie im Listenfeld den Eintrag AUSGEWÄHLTE PROTOKOLLE aus. Klicken Sie anschließend auf die Schaltfläche HINZUFÜGEN und wählen Sie das Protokoll DNS aus. Klicken Sie danach auf die Schaltfläche WEITER. Abbildung 166: Angabe des DNS-Protokolls für diese Zugriffsregel 7. Im folgenden Fenster des Assistenten müssen Sie nun angeben für welche Zugriffquellen diese Regel gelten soll. Der Zugriff soll ausschließlich für den internen DNS Server erlaubt werden. Sie haben in der Teilaufgabe 1 ein Computerobjekt angelegt, das Sie nun verwenden werden. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um das in der Teilaufgabe 1 erstellte Computerobjekt hinzuzufügen. 2008, Microsoft Österreich GmbH Seite 153

154 LAB ISA 2006 Nach dem Klick öffnet sich das Fenster NETZWERKIDENTITÄTEN HINZUFÜGEN. Sie finden Ihr Computerobjekt mit dem Namen DC in der Gruppe Computer. Klicken Sie auf das Computerobjekt DC und klicken Sie danach auf die Schaltfläche HINZUFÜGEN, um die Auswahl zu übernehmen. Schließen Sie das Fenster, indem Sie auf die Schaltfläche SCHLIEßEN klicken. Klicken Sie auf die Schaltfläche WEITER. 8. In dem sich nun öffnenden Fenster müssen Sie angeben, auf welche Zugriffsziele diese Regel angewandt werden soll. Geben Sie als Ziel das Objekt EXTERN, das Sie in der Gruppe NETZWERKE finden, an. Die Vorgangsweise ist identisch zu Schritt Im letzten Schritt müssen Sie nun angeben, für welche Benutzersätze diese Regel gelten soll. Da der DNS Server nicht am ISA Server installiert ist, sondern am Domänen Controller, müssen Sie in diesem Fall das Objekte ALLE BENUTZER auswählen. 10. Sie erhalten eine abschließende Zusammenfassung Ihrer Regel. Klicken Sie auf die Schaltfläche FERTIG STELLEN, um die Zugriffsregel zu erstellen. 11. Die Zugriffsregel wurde erstellt. Um sie zu aktivieren, müssen Sie auf die nach dem Erstellen der Regel eingeblendete Schaltfläche Übernehmen klicken. Damit wird die Änderung gespeichert und unmittelbar angewendet. Abbildung 167: Zustand nach dem Erstellen der Regel Aufgabe 2: Zugriff für alle Benutzer auf externe Websites Erstellen Sie nun eine Zugriffsregel, die Benutzern des internen Netzwerks den Zugriff per http bzw. https auf externe Websites erlaubt. 2008, Microsoft Österreich GmbH Seite 154

155 LAB ISA 2006 Die Vorgangsweise ist identisch zur Teilaufgabe 2 der Aufgabe 1. Gehen Sie analog vor. Abbildung 168: Die gesuchte Zugriffsregel für den Benutzer auf externe Websites Beachten Sie, dass beim ISA Server 2006 die zwei vordefinierten Benutzer-Objekte Alle Benutzer und Alle authentifizierten Benutzer existieren. Alle Benutzer sind auch Personen, die sich gegenüber dem Netzwerk nicht authentifiziert haben. Auf diese Weise erlauben Sie also anonyme Zugriffe durch den ISA Server auf externe Websites. In diesem Fall finden Sie in den Logfiles keinen Benutzernamen, sondern lediglich eine IP-Adresse, von der zugegriffen wurde. Aufgabe 2: Deaktivieren einer Zugriffregel Ihre Aufgabe ist nun, die gerade erstellte Zugriffsregel zu deaktivieren. Wird eine Regel im Regelwerk deaktiviert, dann wird sie bei der Abarbeitung nicht mehr herangezogen. In diesem Fall wird der Zugriff für alle Benutzer des internen Netzwerks auf externe Websites gesperrt. Warum? Nachdem die Zugriffsregel deaktiviert wurde, existieren nur mehr zwei Regeln: die Regel für den DNS-Server und die Standardzugriffs- Regel, die alles verbietet. So lösen Sie diese Aufgabe: 1. Öffnen Sie die ISA-Server Verwaltungskonsole. Klicken Sie dazu auf START PROGRAMME MICROSOFT ISA SERVER ISA VERWALTUNG. 2. Klicken Sie im linken Fensterteil der Verwaltungskonsole auf den Eintrag FIREWALLRICHTLINIE. 3. Im mittleren Bereich der Verwaltungskonsole werden nun alle erstellten Firewall-Zugriffsregeln angezeigt. Wählen Sie die Zugriffsregel für den Webzugriff in der Abbildung ist dies die erste Regel und machen Sie auf dieser einen Rechtsklick. Wählen Sie aus dem Menü die Funktion DEAKTIVIEREN aus, um die Zugriffregel zu deaktivieren. Abbildung 169: Auswahl der Funktion "Deaktivieren einer Zugriffsregel" 4. Klicken Sie abschließend auf die Schaltfläche ÜBERNEHMEN, um die Änderung des Regelwerks zu speichern und anzuwenden. 2008, Microsoft Österreich GmbH Seite 155

156 LAB ISA 2006 Deaktivierte Regeln werden mit einem roten, nach unten zeigenden Pfeil bei der Position der Regel angezeigt. Um eine deaktivierte Zugriffsregel wieder zu aktivieren, gehen zu analog vor. Bei einem Rechtsklick auf die Regel erhalten Sie in diesem Fall die Menüfunktion AKTIVIEREN. Aufgabe 3: Anpassen/ändern einer Zugriffsregel Sie wollen die erstellte Webzugriffsregel dahingehend anpassen, dass die Benutzer nur bestimmte Type per http bzw. https herunterladen können. Der Zugriff auf Videos usw. soll durch die Zugriffsregel unterbunden werden. Ihre Aufgabe besteht in diesem Fall in der Anpassung der bereits erstellten Zugriffsregel, indem Sie die Inhaltstypen angeben, die per http-protokoll heruntergeladen werden können. So lösen Sie diese Aufgabe: 1. Öffnen Sie die ISA-Server Verwaltungskonsole. Klicken Sie dazu auf START PROGRAMME MICROSOFT ISA SERVER ISA VERWALTUNG. 2. Klicken Sie im linken Fensterteil der Verwaltungskonsole auf den Eintrag FIREWALLRICHTLINIE. Im mittleren Bereich der Verwaltungskonsole werden nun alle erstellten Firewall-Zugriffsregeln angezeigt. Wählen Sie die Zugriffsregel für den Webzugriff in der Abbildung ist dies die erste Regel machen Sie auf dieser einen Rechtsklick und wählen Sie die Funktion EIGENSCHAFTEN aus. 3. Es öffnet sich das Eigenschaften-Fenster der Zugriffsregel. Klicken Sie das Register INHALTSTYPEN an. 4. In diesem Register können Sie nun bestimmen, welche ausgewählten Inhaltstypen erlaubt und welche nicht erlaubt sind. Abbildung 170: Bestimmung der erlaubten Inhaltstypen 5. Beenden Sie die Aufgabe, in dem Sie auf die Schaltfläche OK klicken und ÜBERNEHMEN Sie die Änderungen. 2008, Microsoft Österreich GmbH Seite 156