Funktionsweise Beschreibung des Active Directory

Größe: px
Ab Seite anzeigen:

Download "Funktionsweise Beschreibung des Active Directory"

Transkript

1 3 Funktionsweise und Beschreibung des Active Directory Nachdem Sie in den vergangenen Kapiteln einen Einblick in die Funktionsweise des Verzeichnisdienstes sowie die Vorteile von Active Directory gegenüber Windows NT erhalten haben, werden hier die wesentlichen Komponenten und Begriffe von Active Directory wie Domänen, Strukturen, Replikation usw. vorgestellt. 3.1 Domänen und Domänencontroller Während der Installation von Windows 2000 müssen Sie entscheiden, ob der Computer Mitglied einer Arbeitsgruppe oder Domäne werden soll. Die dritte Möglichkeit bei der Serverinstallation, das Einrichten einer Domäne, lassen wir hier zunächst außer Acht. In einer Domäne werden im Gegensatz zur Arbeitsgruppe alle Konten und Ressourcen zentral verwaltet. Dies bedeutet, dass ein Benutzer mit einer einzigen Anmeldung an der Domäne automatisch Zugriff auf alle Ressourcen der kompletten Domäne erhält, für die er die entsprechenden Rechte hat. Die Anmeldung erfolgt ausschließlich am Domänencontroller der Domäne. Dort liegt die zentrale Datenbank, die die Einträge zu den Benutzerkonten, Rechten, Ressourcen usw. enthält. Ein Domänencontroller besitzt keine lokale Sicherheitsdatenbank. In einer einzelnen Domäne können bis zu zwei Millionen Objekte gespeichert werden. Eine Windows 2000-Domäne kann mehrere gleichberechtigte Domänencontroller enthalten. Diese Domänencontroller gleichen automatisch ihre Datenbanken untereinander ab, sodass stets die aktuellen Informationen im Netzwerk zur Verfügung stehen. Dieser Vorgang wird als Replikation bezeichnet. Der Replikationsprozess wird ausführlich in Kapitel 3.7 beschrieben. Wenn Sie mehrere Domänencontroller einsetzen, erzielen Sie damit ein höheres Maß an Datenverfügbarkeit und Fehlertoleranz. Eine Domäne ist die Grundeinheit für Replikation und Sicherheit. In einer Arbeitsgruppe kann sich jeder Benutzer nur lokal an seinem Rechner anmelden. Um dann beispielsweise auf einen Drucker oder freigegebenen Ordner zugreifen zu können, benötigt er separate Passwörter. Die lokalen Benutzerdaten und Ressourceninformationen befinden sich bei jedem Computer in der lokalen Sicherheitsdatenbank. Die Rechner arbeiten alle gleichberechtigt ohne einen Server in einem Peer-to-Peer-Netzwerk. Die Verwaltung von Benutzerkonten und Ressourcen kann hier nur dezentral auf den einzelnen Rechnern erfolgen. Eine Domäne sollte immer einer Arbeitsgruppe vorgezogen werden, es sei denn, Sie haben spezielle Gründe, keine Domäne einzurichten. Dies könnte der Fall sein, wenn Sie nur über ein sehr kleines Netzwerk bis etwa 15 Clients verfügen oder aber die Windows- Clients ihre Anmeldung über einen Novell NetWare-Server durchführen. 59

2 3 Funktionsweise und Beschreibung des Active Directory Mit dem Einrichten des ersten Domänencontrollers einer Domäne wird gleichzeitig auch die Domäne selbst neu eingerichtet. Wenn Sie bei der Installation eines 2000-Servers nicht die Option der Mitgliedschaft in einer Domäne oder Arbeitsgruppe wählen, sondern einen Domänencontroller anlegen wollen, so haben Sie damit jedoch noch kein Active Directory eingerichtet. Solange Sie auf dem Domänencontroller nicht den Installationsassistenten für Active Directory ausgeführt haben, verfügen Sie über eine Domäne, wie Sie sie aus einem Windows NT- Umfeld kennen. Diese Domäne ist zwar einsatzbereit, verfügt aber noch nicht über die Features von Active Directory. Der Installationsassistent für Active Directory übernimmt die Einstellungen der Betriebssysteminstallation wie etwa IP-Adresse, DNS-Server usw. und kombiniert diese mit den für Active Directory spezifischen Angaben des Benutzers wie Name der Domäne, Eingliederung in die Domänenstruktur usw. Ein Domänencontroller ist in seiner Umgebung für die Anmeldung und Authentifizierung der Benutzer sowie das Durchsuchen des Verzeichnisses nach Objekten zuständig. Er speichert sämtliche Daten des Active Directory. Wenn Sie an einem beliebigen Domänencontroller Änderungen an Objekten vornehmen, so werden diese Änderungen automatisch an alle anderen Domänencontroller der Domäne repliziert. Hierbei spricht man von Multimaster-Replikation, da alle Domänencontroller gleichberechtigt sind. Jeder Domänencontroller verfügt über eine beschreibbare Kopie der Active Directory-Datenbank. Somit ist es gleichgültig, an welchem Domänencontroller die Änderungen vorgenommen werden. Wichtige Änderungen, wie etwa das Deaktivieren eines Kontos, werden sofort repliziert. Das Replikationsintervall ist ansonsten einstellbar. Eine Domäne muss nicht identisch sein mit den physischen Grenzen eines Unternehmensstandorts. Es ist möglich, dass in einer Domäne Objekte aus mehreren physisch getrennten Standorten vorhanden sind. Wenn kein Domänencontroller für einen Client verfügbar ist, so konnte unter Windows NT der Client nicht auf Netzwerkressourcen zugreifen. Diese Problematik wurde erkannt und unter Windows 2000 verbessert. Clients ab dem Betriebssystem Windows 2000 verwenden automatisch das Login-Caching. Dabei wird bei jeder erfolgreichen Anmeldung an der Domäne auf dem Client das Login gecacht. Standardmäßig können bis zu zehn Einträge auf dem Client vorgehalten werden. Dieser Wert kann in den Sicherheitsrichtlinien modifiziert werden. Will sich dieser Client nun zu einem späteren Zeitpunkt erneut an der Domäne anmelden und kann dabei keine Verbindung zum Domänencontroller aufbauen, so kann er sich dennoch an der Domäne anmelden. Es werden aus dem Cache des Clients die Einstellungen von Rechten, Gruppenmitgliedschaft etc. des letzten erfolgreichen Anmeldens am Domänencontroller übernommen. Auch wenn diese Einträge auf dem Domänencontroller zwischenzeitlich geändert worden sind, sind die Einstellungen aus dem lokalen Cache für den Client gültig. Der Cache wird dann bei der nächsten erfolgreichen Verbindung zum Domänencontroller automatisch aktualisiert. Innerhalb einer Domäne sind die folgenden Computertypen vertreten: mindestens ein oder mehrere Domänencontroller, Clientcomputer und optional Mitgliedsserver, die als Datei- oder Druckserver dienen können. Auf einem Mitgliedsserver befindet sich nicht 60

3 Strukturen die Active Directory-Datenbank. Somit ist ein Mitgliedsserver auch kein Replikationspartner für Domänencontroller. Abbildung 3.1 gibt einen Überblick über die Rollen von Computern in einer Windows 2000 Active Directory-Domäne. Replikation Active Directory- Datenbank Active Directory- Datenbank Domänencontroller 1 Domänencontroller 2 Client Client Drucker Mitgliedsserver als Druck- und Dateiserver = erfolgreiche Authentifizierung am Domänencontroller = keine Verbindung zum Domänencontroller möglich, Anwenden des Login-Caching = Ressourcenzugriff ist möglich Abbildung 3.1: Computer in einer Active Directory-Domäne 3.2 Strukturen Strukturen sind eine hierarchische Anordnung von Windows 2000-Domänen. Es gibt übergeordnete und untergeordnete Domänen. Im Rahmen der Strukturen wird zwischen Domänenstruktur (Tree) und Gesamtstruktur (Forest) unterschieden. Die Domänenstruktur wird manchmal auch nur als Struktur bezeichnet. 61

4 3 Funktionsweise und Beschreibung des Active Directory Domänenstruktur (Tree) In einer Domänenstruktur (siehe Abbildung 3.2) haben alle Domänen einen fortlaufenden DNS-Namensraum. Der Namensaufbau ist hierarchisch. Jede Domäne wird durch einen eindeutigen DNS-Namen bezeichnet. Dies soll die folgende Abbildung verdeutlichen. ILUPDGH YHUWULHEILUPDGH PDUNHWLQJILUPDGH YHUZDOWXQJYHUWULHE ILUPDGH ILQDQ]HQYHUWULHEILUPDGH ILQDQ]HQPDUNHWLQJ ILUPDGH Abbildung 3.2: Eine Domänenstruktur (Tree) In dieser Domänenstruktur benutzen alle Domänen dasselbe Active Directory-Schema, dieselben Replikationsinformationen und denselben globalen Katalog. In einer Struktur erbt eine untergeordnete Domäne den Namen der übergeordneten Domäne. Vor diesen wird der relative Name der untergeordneten Domäne gestellt. In unserem Beispiel erbt also die Domäne vertrieb.firma.de den Namen der übergeordneten Domäne firma.de, und vor diesen wird der relative Name vertrieb. gesetzt. Dabei spricht man vom fortlaufenden oder zusammenhängenden Namensraum. Im Schaubild sehen Sie in zwei verschiedene Hierarchieebenen untergeordnete Domänen. Es wären auch noch weitere Hierarchieebenen möglich, aber Sie sollten dabei auch die Übersichtlichkeit Ihres Directorys im Auge behalten. So erscheint es wenig sinnvoll, etwa eine Domäne mit folgendem DNS-Namen anzulegen: sekretariat.geschäftsführung.intern.verwaltung.vertrieb.firma.de. Verwenden Sie stattdessen hierarchische Organisationseinheiten innerhalb der Domänen. Diese oben abgebildete Domänenstruktur ist gleichzeitig auch eine komplette Gesamtstruktur. 62

5 Strukturen Gesamtstruktur (Forest) Bei einer Gesamtstruktur handelt es sich um eine hierarchische Anordnung entweder nur einer Domänenstruktur (siehe Abbildung 3.2) oder mehrerer getrennter, unabhängiger Domänenstrukturen (siehe Abbildung 3.3). Selbst eine einzelne Domäne wie firma.de ohne weitere untergeordnete Domänen bildet eine in sich geschlossene Gesamtstruktur. ILUPDGH ILOLDOHGH YHUWULHEILUPDGH PDUNHWLQJILUPDGH YHUWULHEILOLDOHGH ILQDQ]HQPDUNHWLQJ ILUPDGH ILQDQ]HQYHUWULHE ILOLDOHGH YHUZDOWXQJYHU WULHEILUPDGH ILQDQ]HQYHUWULHE ILUPDGH ILUPDGH 6WDPPGRPlQH GHU *HVDPWVWUXNWXU ILOLDOHGH HUVWH 'RPlQH HLQHU QHXHQ 'RPlQHQVWUXNWXU Abbildung 3.3: Eine Gesamtstruktur (Forest) mit getrennten Domänenstrukturen Innerhalb aller Domänen einer Gesamtstruktur werden dasselbe Active Directory- Schema, dieselben Replikationsinformationen sowie derselbe globale Katalog verwendet. Der Namensraum ist nur innerhalb der Domänenstrukturen zusammenhängend. Die beiden Strukturen firma.de und filiale.de bilden getrennte Domänenstrukturen innerhalb der Gesamtstruktur. Nur innerhalb der beiden Strukturen ist der Namensraum fortlaufend. Die erste Domäne in einer Gesamtstruktur heißt auch Stammdomäne der Gesamtstruktur, hier also firma.de. Über den Installationsassistenten für Active Directory können Sie bestimmen, an welcher Hierarchieebene in der Gesamtstruktur die neue Domäne erstellt werden soll. Dabei haben Sie folgende Möglichkeiten: Erste Domäne in einer Gesamtstruktur, hier also firma.de 63

6 3 Funktionsweise und Beschreibung des Active Directory Erste Domäne einer neuen Domänenstruktur, hier also filiale.de Untergeordnete Domäne in bestehender Domänenstruktur, hier alle anderen Nach dem Einrichten des ersten Domänencontrollers einer der eben genannten Domänenarten können Sie für diese Domäne weitere Domänencontroller installieren. Weiterhin werden zwischen allen Windows 2000/2003-Domänen innerhalb der Gesamtstruktur automatisch gegenseitige Vertrauensstellungen eingerichtet. Dies gilt nur für Windows 2000/2003-Domänen. Wenn Sie noch Windows NT-Domänen innerhalb der Gesamtstruktur verwenden, müssen die Vertrauensstellungen zu diesen manuell konfiguriert werden. Die automatische Einrichtung bezieht sich sowohl auf die Vertrauensstellung zwischen übergeordneten und untergeordneten Domänen als auch zwischen der Stammdomäne der Gesamtstruktur und den ersten Domänen neuer Domänenstrukturen. 3.3 Der globale Katalog Der globale Katalog ist zuständig für die Suche nach Objekten im Verzeichnis. Er wird automatisch auf dem ersten Domänencontroller der Stammdomäne der Gesamtstruktur erstellt. Damit wird dieser spezielle Domänencontroller auch globaler Katalogserver genannt. Im globalen Katalog werden zwei verschiedene Replikate der Objektattribute gespeichert. Zum einen enthält der Katalogserver ein vollständiges Replikat aller Objektattribute im gesamten Verzeichnis und zum anderen ein Teilreplikat der Objektattribute, die sich nur im Verzeichnis in jeder Domäne der Gesamtstruktur befinden. Das Teilreplikat enthält zwar alle Objekte, aber nur eine begrenzte Anzahl der Attribute. Über dieses Teilreplikat werden die Suchanfragen zu Objekten im Verzeichnis abgewickelt. Es enthält nur die Attribute der Objekte, die am häufigsten bei Suchanfragen benötigt werden dazu zählen beispielsweise Benutzernamen oder die notwendig sind, um das vollständige Replikat des Objektes zu finden. Um die Sicherheit beim Zugriff auf die Objekte über den globalen Katalog zu gewährleisten, erben die Objekte die Zugriffsrechte ihrer Quelldomänen. Bei einem Objekt sind die Informationen des definierten Namens ausreichend, um den Pfad zum vollständigen Replikat dieses Objektes zu finden. In vielen Fällen ist dem Benutzer aber nicht der vollständige definierte Name bekannt. Über den globalen Katalog wird es ihm ermöglicht, dass er das gewünschte Objekt dennoch findet, wenn er nur einige ihm bekannte Attribute für die Suche angibt. Es ist also nicht erforderlich, dass der Benutzer die genaue Lage des Objekts innerhalb der Gesamtstruktur kennen muss. Deshalb ist es auch wichtig, bei der Erstellung von Objekten möglichst viele Eigenschaften festzulegen, um die Effektivität des globalen Katalogs optimal nutzen zu können. Durch die Verwendung des globalen Katalogs wird der Netzwerkverkehr stark minimiert. Da im Katalog Informationen zu allen Objekten in allen Domänen der Gesamtstruktur enthalten sind, kann eine Suchanfrage innerhalb der Domäne bearbeitet werden, in der der Benutzer, der das Objekt sucht, angemeldet ist. Damit entfällt eine Suche und damit auch der Netzwerkverkehr über Domänengrenzen hinweg. 64

7 Der globale Katalog Auch bei der Anmeldung von Benutzern an der Domäne spielt der globale Katalogserver eine wichtige Rolle. Dieser Server stellt dem Domänencontroller Informationen über das Benutzerkonto zur Verfügung. Beim Anmelden des Clients wird eine Liste generiert, die alle Gruppen enthält, in denen der Client Mitglied ist. Dieses Feature wird jedoch nur in Multi-Domänen-Umgebungen genutzt, in denen der Client Mitglied in mehreren Gruppen in mehreren Domänen sein kann. Die globalen Katalogserver enthalten Mitgliedschaftslisten aller universellen Sicherheitsgruppen. Diese Listen werden benutzt, wenn Clients oder Server die Mitgliedschaft in den Sicherheitsgruppen prüfen müssen. Näheres zu universellen Gruppen finden Sie in Kapitel Universelle Gruppen können nur im einheitlichen Betriebsmodus oder Windows Server 2003-Betriebsmodus verwendet werden. Eine weitere Funktion kommt dem globalen Katalogserver zu, wenn Sie in Ihrer Umgebung Microsoft Exchange Server 2000 einsetzen. Die Katalogserver sind zuständig für das Nachschlagen der Adressbucheinträge und das Auflösen von -Adressen für Outlook-Clients ab der Version Outlook 98 SP2. Ältere -Clients benutzen dafür den Exchange-Server, der dann seinerseits den Zugriff auf einen Katalogserver benötigt Standorte von Katalogservern Aufgrund der eben genannten Aufgaben des Katalogservers können Sie überdenken, wie viele Katalogserver im Netzwerk erforderlich sein können. Dabei sei gleich vorweg eine Warnung ausgesprochen: Zu viele Katalogserver können Ihrer Netzwerk-Performance erheblich schaden. In diesem Zusammenhang sind einige Worte über die Standorte von globalen Katalogservern innerhalb der Gesamtstruktur angebracht. Standardmäßig befindet sich der globale Katalogserver auf dem Domänencontroller, wenn in einer Domäne nur ein Domänencontroller vorhanden ist. Haben Sie hingegen mehrere Domänencontroller in der Domäne, so muss einer davon als Katalogserver definiert werden. Die praktische Anleitung dazu finden Sie in Kapitel 15. Versucht sich ein Benutzer an einer Domäne anzumelden, so muss dafür der Zugriff auf einen globalen Katalogserver sichergestellt sein. Andernfalls kann sich der Benutzer nur über das Login-Caching an der Domäne anmelden. Nur die Mitglieder der Gruppe Domänen-Admins können sich auch ohne den globalen Katalogserver stets an der Domäne anmelden. Wenn in Teilen des Netzwerks nur langsame oder nicht immer verfügbare Verbindungen zwischen den Clients und den Katalogservern vorhanden sind, so sollten Sie auf beiden Seiten der langsamen Verbindung einen Katalogserver implementieren. Zusätzlich kann die Replikation mit einem Domänencontroller an einem Standort mit einer langsamen Verbindung so festgelegt werden, dass sie in Zeiträumen mit geringer Netzwerkauslastung, also etwa den Nachtstunden, vollzogen wird. Richten Sie auch keinen Katalogserver auf dem Domänencontroller ein, der die Betriebsmasterrolle des Infrastrukturmasters (siehe Kapitel ) innehat. Der Infrastrukturmaster ist zuständig für die Aktualisierung von Verweisen zwischen Benutzern und Gruppen. Da ein globaler Katalogserver aber keine veralteten, zu aktualisierenden Einträge in seiner Datenbank enthält, kann der Infrastrukturmaster seine Aufgabe nicht wahrnehmen. Ist jeder Domänencontroller gleichzeitig auch ein Katalogserver, brauchen Sie keine Infrastrukturmaster einzurichten. 65

8 3 Funktionsweise und Beschreibung des Active Directory Haben Sie in Ihrer Umgebung nur eine einzelne Domäne und keinen Exchange Server im Einsatz, so müssen Sie keine zusätzlichen Katalogserver implementieren. Nutzen Sie den Domänencontroller als Katalogserver. Über diesen können die Clients Objekte Ihrer eigenen Domäne suchen. Setzen Sie den Exchange 2000-Server ein, so richten Sie einen Katalogserver an jedem Standort ein, der über mehr als zehn Benutzer verfügt. In sehr großen Standorten sollten Sie aus Gründen der Lastenverteilung und Fehlertoleranz sogar zwei Katalogserver erstellen. Idealerweise haben Sie also an jedem physischen Standort je nach Größe mindestens einen Katalogserver und einen oder mehrere Domänencontroller zur Verfügung. Belassen Sie am besten den Katalogserver auf dem Domänencontroller. Haben Sie an einem Standort mehrere Domänencontroller, sollte nicht jeder gleichzeitig auch die Rolle des globalen Katalogservers übernehmen. Dies würde zu einer erhöhten Netzwerkauslastung nur durch den Replikations-Datenverkehr zwischen den Katalogservern führen, da sich alle Katalogserver in der Gesamtstruktur miteinander replizieren. Allerdings wird ein wesentlich größerer Teil des Netzwerkverkehrs durch die Abfragen von Objekten im Active Directory durch Benutzer und Programme verursacht. An kleineren Standorten können Sie sogar auf einen eigenen Katalogserver verzichten. Allerdings sollte die Netzwerkanbindung mindestens über eine schnelle WAN-Verbindung (Breitbandleitung T1 mit 1,544 Mbit/s oder schneller) zum Standort des nächstgelegenen Katalogservers verfügen. Der globale Katalog wird automatisch über die Active Directory-Replikation erstellt. Auch die Replikationstopologie wird automatisch eingerichtet. Der Satz von Eigenschaften, der in das Teilreplikat der Objektattribute aufgenommen wird, ist von Microsoft vorgegeben. Allerdings haben Sie als Administrator die Möglichkeit, diesen Satz zu erweitern oder anzupassen. 3.4 Standorte Standorte strukturieren wie Domänen das Netzwerk. Die Domänen spiegeln dabei die logische Struktur des Unternehmens wider, während Standorte die physische Struktur widerspiegeln. Des Weiteren dienen auch Organisationseinheiten der logischen Strukturierung des Netzwerks. Ein Standort entspricht einer Gruppe von Computern, die zu einem bestimmten IP- Subnetz gehören. Damit gelten diese Computer untereinander als gut verbunden. Die Computer an einem Standort können auch verschiedenen IP-Subnetzen angehören. Allerdings muss dann auch zwischen diesen eine schnelle Verbindung sichergestellt sein. Diese schnelle Verbindung ist erforderlich, da innerhalb eines Standorts die Replikation sowie Ressourcenabfragen aus dem Active Directory einen nicht unerheblichen Teil der Netzwerkbandbreite in Anspruch nehmen. Deshalb ist es sinnvoller, für WANs mehrere Standorte zu konfigurieren. Die praktische Anleitung zum Einrichten von Standorten finden Sie in Kapitel

9 Standorte Für das Verhältnis zwischen Standorten und Domänen gelten die folgenden Punkte: Eine Domäne kann mehrere Standorte enthalten (siehe Abbildung 3.4), und umgekehrt kann ein Standort auch mehrere Domänen enthalten (siehe Abbildung 3.5). Daraus ergibt sich, dass keine Übereinstimmung zwischen Standortgrenzen und dem Namensraum der Domänen bestehen muss. /$1 ')h 9HUELQGXQJ ILUPDGH :$1 6WDQGRUW %LW6XEQHW] 6WDQGRUW %LW6XEQHW] 6WDQGRUW %LW6XEQHW] Abbildung 3.4: Eine Domäne mit mehreren Standorten Im ersten Modell (siehe Abbildung 3.4) verfügt die Domäne firma.de über insgesamt drei Standorte. Jeder der drei Standorte hat seinen eigenen Subnetzbereich. Die Computer der Standorte 1 und 2 sind nur über langsame Verbindungen (DFÜ bzw. WAN) mit der Domäne verbunden. Deshalb wurde für sie jeweils ein eigener Standort eingerichtet. Der dritte Standort umfasst die Computer eines Subnetzes, die über eine schnelle LAN-Verbindung mit der Domäne verbunden sind. Die Computer aller Standorte sind Mitglieder der Domäne firma.de. 6WDQGRUW %LW6XEQHW] ILUPDGH ILOLDOHGH Abbildung 3.5: Ein Standort in mehreren Domänen Im zweiten Modell (siehe Abbildung 3.5) gibt es nur einen Standort mit einem zusammenhängenden 16-Bit-Subnetz. Zu diesem Standort gehören Computer, die ihrer logischen Struktur nach der Domäne firma.de oder der Domäne filiale.de angehören. Der Standort sagt also nichts über die logische Zugehörigkeit der Computer aus. 67

10 3 Funktionsweise und Beschreibung des Active Directory Wenn Sie die mmc ACTIVE DIRECTORY-STANDORTE UND -DIENSTE öffnen, werden Sie feststellen, dass dort nicht die Computer, die zu einem bestimmten Standort gehören, aufgelistet werden. Das Durchsuchen einer Domäne gibt nur die Computer in ihrer logischen Struktur an. Die einzelnen Computer finden Sie nur unter den Domänen und Organisationseinheiten. Unter ACTIVE DIRECTORY-STANDORTE UND -DIENSTE finden Sie nur die Elemente, die für die Konfiguration der Replikation zwischen den Standorten zuständig sind. Nun noch einige Worte dazu, inwiefern jeder Standort über einen eigenen Domänencontroller verfügen muss. Wenn Sie bei bestimmten Rechnern im Netzwerk bemerken, dass die Domänencontroller sehr lange brauchen, um die Clientanforderungen zu bearbeiten, oder die Menge der Benutzer nicht mehr verarbeiten können, so sollten Sie darüber nachdenken, diese Rechner zu einem separaten Standort mit einem eigenen Domänencontroller zusammenzufassen. Bei der Anmeldung sucht ein Client immer zuerst an seinem eigenen Standort nach einem Domänencontroller. Clientsubnetze sollten immer nur den Standorten zugeordnet werden, zu denen eine schnelle Verbindung und damit auch ein effizienter Zugriff auf den Domänencontroller und die Ressourcen besteht. Wenn sich an einem Standort einer Niederlassung kein Domänencontroller befindet, so werden dorthin auch keine Daten repliziert. Der Client muss also für jede Anmeldung und Ressourcenabfrage eine Netzwerkverbindung zur Hauptstelle oder zu einem Domänencontroller eines anderen Standorts herstellen. Damit dieser Vorgang praktikabel ist, muss eine schnelle Verbindung zum entsprechenden entfernten Domänencontroller vorhanden sein. Nur ein sehr kleiner Standort (bis maximal zehn Clients) muss nicht zwangsläufig über einen eigenen Domänencontroller verfügen. An einem größeren Standort sollen mehrere Domänencontroller eingerichtet werden. 3.5 Organisationseinheiten Organisationseinheiten sind neben den Domänen die zweite Einheit zur logischen Gruppierung von Netzwerkressourcen. Jede Domäne kann ihre eigene Hierarchie und Gliederung der Organisationseinheiten haben. Die Mitglieder der Organisationseinheiten sind alle Mitglieder der Domäne, die die Organisationseinheit(en) beinhaltet. Eine Organisationseinheit verfügt im Gegensatz zu einem Standort nicht über eigene Domänencontroller. Die Organisationseinheiten werden statt der Ressourcendomänen in den Windows NT- Domänenmodellen verwendet. In einer Organisationseinheit werden Objekte in Gruppen gegliedert. Diese Gruppen können die Unternehmensstruktur widerspiegeln. Eine Organisationseinheit kann Objekte wie Computer, Kontakte, Gruppen, weitere Organisationseinheiten, Drucker, Benutzer und freigegebene Ordner enthalten. Durch die Übersichtlichkeit einer geringeren Anzahl von Objekten innerhalb einer Organisationseinheit werden deren Verwaltung und Anzeige erleichtert. An eine Organisationseinheit können administrative Aufgaben delegiert werden. Die Berechtigungen, die ein Benutzer für die Durchführung seiner administrativen Aufgaben benötigt, können entweder für eine separate Organisationseinheit erteilt werden 68

11 Organisationseinheiten oder für eine übergeordnete Organisationseinheit, die die Berechtigungen an die untergeordneten weitervererbt. Damit ist es möglich, die Administration der Domäne an mehrere Administratoren zu verteilen. Sie können so für die Organisationseinheit spezielle Verwaltungsaufgaben erledigen. Die praktische Anleitung für das Erstellen und Konfigurieren von Organisationseinheiten finden Sie in Kapitel Standardmäßig sind keine vorkonfigurierten Organisationseinheiten in der mmc ACTIVE DIRECTORY-BENUTZER UND -COMPUTER enthalten. Dies würde auch wenig Sinn machen, da ja gerade durch die Individualität der Organisationseinheiten Ihr Unternehmensnetzwerk strukturiert werden soll. Abbildung 3.6 gibt einen Überblick über Organisationseinheiten innerhalb einer Domäne sowie die verschiedenen Objekte, die in jeder Organisationseinheit enthalten sein können. ILUPDGH %HQXW]HU 'UXFNHU 28 9HUZDOWXQJ *UXSSH 28 0DUNHWLQJ *UXSSH &RPSXWHU 'UXFNHU.RQWDNW %HQXW]HU *UXSSH 28 3HUVRQDO 28 %XFKKDOWXQJ 'UXFNHU ZDUWHVFKODQJH &RPSXWHU 'DWHLIUHL JDEH &RPSXWHU.RQWDNW %HQXW]HU*UXSSH 'UXFNHU 'UXFNHU Abbildung 3.6: Die Struktur einer Organisationseinheit Die Abbildung zeigt eine Domäne mit insgesamt vier Organisationseinheiten. Die beiden Organisationseinheiten Verwaltung und Marketing sind dabei auf einer Hierarchieebene, die Organisationseinheit Verwaltung enthält als untergeordnete Objekte die Organisationseinheiten Personal sowie Buchhaltung. Jede einzelne Organisationseinheit hat ihre eigene unabhängige Struktur und ihre eigenen Ressourcen. Objekte, die in einer Organisationseinheit vorhanden sind, müssen nicht in allen Organisationseinheiten der Domäne vorkommen, und umgekehrt müssen auch nicht alle Objekte in einer Organisationseinheit eingebunden sein. 69

12 3 Funktionsweise und Beschreibung des Active Directory 3.6 Objekte und Schema Im Active Directory werden sämtliche Ressourcen als Objekte gespeichert. Objekte können Computer, Konten, Drucker, Kontakte usw. sein. Jedes Objekt besteht aus einem bestimmten Satz von Eigenschaften bzw. Attributen, die für dieses Objekt spezifisch sind. So umfasst z.b. ein Domänencontroller-Objekt die folgenden Attribute unter den allgemeinen Eigenschaften: Computername, DNS-Name, Funktion und Beschreibung. Diese Eigenschaften dienen Active Directory als Vorlage für die Objekte. Diese Vorlage muss dem Verzeichnisdienst zum Speichern der Objekte bekannt sein. Das Active Directory-Schema enthält einen vorgegebenen Satz von Definitionen für die Objekte und Informationen im Active Directory. Es gibt zwei Arten von Definitionen, nämlich Attribute und Klassen. Diese werden auch Schemaobjekte oder Metadaten genannt. Das Active Directory-Schema ist für alle Domänen innerhalb einer Gesamtstruktur verbindlich dasselbe. Die Informationen des Schemas werden automatisch repliziert. Attribute Ein Attribut wird nur einmalig im Schema definiert und kann von beliebigen Klassen genutzt werden. So finden Sie z.b. in diversen Objekten wie etwa Computer, Konto usw. das Attribut Beschreibung. In jeder dieser Klassen erfüllt das Attribut den allgemeinen Zweck, das entsprechende Objekt näher zu erläutern, aber in jeder Klasse sieht die Beschreibung für das spezielle Objekt verschieden aus. Klassen Die Klassen bestimmen, welche Arten von Objekten im Active Directory erstellt werden können, so z.b. Computer, Konten usw. Jede Klasse beinhaltet einen bestimmten Satz aller möglichen Attribute. Wenn Sie ein Objekt neu erstellen, erhalten die Attribute die Werte, die das Objekt konkret beschreiben. Die Klassen werden auch als Objektklassen bezeichnet. Unter Windows 2000 und 2003 haben Sie die Möglichkeit, das Schema individuell nach Ihren Bedürfnissen anzupassen. Die praktische Anleitung dazu finden Sie in Kapitel Das Active Directory-Schema ist objektorientiert. Es wird im Verzeichnis als ein Satz von Objekt-Instanzen gespeichert. Dies ist der Unterschied zu anderen Verzeichnisdiensten, bei denen das Schema als Textdatei gespeichert wird, die beim Start des Verzeichnisdienstes ausgelesen wird. Aus den gespeicherten Objekten im Active Directory können Applikationen beispielsweise auslesen, welche Objekte und Eigenschaften verfügbar sind. Das Active Directory-Schema kann dynamisch aktualisiert werden. Beispielsweise kann eine Applikation dem Schema neue Klassen und Attribute hinzufügen und diese neu hinzugefügten Metadaten sofort benutzen. Eine Änderung des Schemas wird durch das Erstellen oder Modifizieren der im Verzeichnis gespeicherten Metadaten erreicht. Auch die Metadaten werden wie jedes andere Objekt im Active Directory durch Zugriffssteuerungslisten (ACLs) geschützt. So wird sichergestellt, dass nur autorisierte Benutzer das Schema ändern können. 70

13 Replikation 3.7 Replikation Replikation bedeutet das Austauschen von Verzeichnisinformationen zwischen mehreren Domänencontrollern. Sämtliche Domänencontroller einer Domäne müssen immer die aktuellen Verzeichnisinformationen zur Verfügung haben. Wenn Sie an einem beliebigen Domänencontroller der Domäne Änderungen vornehmen, so müssen diese schnellstmöglich auch den anderen Domänencontrollern verfügbar gemacht werden. Bei der Replikation werden die geänderten Verzeichnisinformationen von dem einen Domänencontroller an alle anderen gesendet Multimaster-Replikation In einer Windows NT-Umgebung gibt es einen übergeordneten PDC und untergeordnete BDCs. Unter Windows 2000/2003 sind alle Domänencontroller gleichrangig. Fügen Sie einer Domäne aus Aspekten der Redundanz einen weiteren Domänencontroller hinzu, so bezeichnet man diesen auch als Peer-Domänencontroller. Da Windows 2000/ 2003 nicht mehr auf einen übergeordneten Master-Domänencontroller beschränkt ist, sondern jeder einzelne als Master agiert, spricht man vom Multimaster-Domänenmodell. Analog dazu verwendet Windows 2000/2003 auch die Multimaster-Replikation. Somit müssen Sie nicht, wie unter Windows NT, alle Änderungen am PDC vornehmen, sondern Sie können die Verwaltung von einem beliebigen Domänencontroller aus vornehmen. Außerdem bietet die Multimaster-Replikation den Vorteil, dass die Replikation auch dann fortgesetzt werden kann, wenn ein Domänencontroller nicht verfügbar ist. Es ist stets eine hohe Verfügbarkeit der Verzeichnisdaten sichergestellt. Durch die Multimaster-Replikation wird weiterhin eine ausgewogenere Lastenverteilung zwischen den Domänencontrollern sowie eine höhere Fehlertoleranz verwirklicht. Wenn Sie Active Directory im einheitlichen Modus betreiben, so kann keine Replikation mehr mit Windows NT-Domänencontrollern stattfinden. Im gemischten Modus übernimmt der PDC-Emulator-Betriebsmaster (siehe Kapitel ) die Replikation mit den Windows NT-BDCs. Jeder der Domänencontroller besitzt eine beschreibbare Kopie der Verzeichnisdatenbank. Wurden hier Änderungen durchgeführt oder neue Einträge vorgenommen, werden die geänderten bzw. neuen Einträge auf die übrigen Domänencontroller repliziert. Das Active Directory beschränkt sich bei der Replikation ausschließlich auf geänderte oder neue Einträge in der Datenbank. Nicht geänderte Einträge werden nicht zwischen den Domänencontrollern ausgetauscht. Damit ist sichergestellt, dass die durch die Replikation entstehende Netzwerklast auf ein Minimum reduziert wird. Das Multimaster-Modell könnte nun jedoch auf den ersten Blick auch ein Problem mit sich bringen. Was geschieht nämlich, wenn dieselben Änderungen an einem bestimmten Objekt gleichzeitig an mehreren Domänencontrollern vorgenommen werden? Jeder Domänencontroller verwendet einen Zähler für die Änderungen, die an seiner eigenen Verzeichnisdatenbank-Kopie durchgeführt wurden (Originating Write), sowie einen weiteren Zähler für die Änderungen, die er von seinen Replikationspartnern empfangen hat (Replicated Write). Ist nun beispielsweise ein Domänencontroller für eine Weile nicht im Netzwerk verfügbar gewesen, so prüft er bei der Wiederinbetriebnahme 71

14 3 Funktionsweise und Beschreibung des Active Directory anhand seiner Zähler, ob er alle Änderungen seiner Replikationspartner empfangen hat. Ist dies nicht der Fall, so fordert er nur die aktuellen, bei ihm noch nicht vorhandenen Änderungsinformationen an. Jedes Objekt enthält zwei verschiedene USNs (Update Sequence Number). Es gibt einen USN-Wert für das Erstellen (usn-created-wert) und einen Wert für das Ändern des Objekts (usn-changed-wert). Angenommen, Sie erstellen über die mmc ACTIVE DIRECTORY-BENUTZER UND -COMPUTER zehn neue Benutzer auf Server 1. Dann wird die USN für Server 1 um den Wert 10 heraufgesetzt, da die Informationen zehnmal aktualisiert worden sind. Bei diesem Schreibvorgang handelt es sich um eine ausgebende Aktualisierung (Originating Update), da der Server selbst die Aktualisierung vorgenommen hat. Auch direkt mit dem Server verbundene Anwendungen führen ausgebende Aktualisierungen durch. Wird hingegen eine Änderung bei der Replikation empfangen, spricht man von replizierter Aktualisierung (Replicated Update). Für beide Aktualisierungen gibt es separate Zähler. Jede dieser Änderungen enthält eine eindeutige Sequenznummer (USN) sowie einen Zeitstempel. Der höchste USN-Wert ist dabei stets der aktuelle. Die Größe des USN-Wertes beträgt für jedes Objekt 64 Bit. War nun ein Domänencontroller längere Zeit nicht verfügbar, so verfolgt er die zwischenzeitlich vorgenommenen Änderungen nur anhand der Sequenznummer. Tritt jedoch der kompliziertere Fall auf, dass dieselbe Änderung von verschiedenen Benutzern an zwei Domänencontrollern durchgeführt wurde, während beide im Netzwerk verfügbar waren, so entscheidet zusätzlich der Zeitstempel. Für diesen seltenen Fall ist eine Zeitsynchronisierung der Domänencontroller sinnvoll. Dieses Verfahren wird ausführlich in Kapitel beschrieben. Auch die Konfliktlösung von weiteren Replikationsproblemen wird in Kapitel 17.3 beschrieben. Die Replikation der Daten geschieht im Active Directory entweder automatisch oder für standortübergreifende Replikation auch nach einem Zeitplan. Allerdings muss dabei gewährleistet sein, dass eine Änderung nicht vom Quell-Domänencontroller auf andere Domänencontroller und von dort wieder auf die Quelle repliziert wird. Damit würde ein endloser Replikationskreislauf mit hoher Netzwerkbelastung entstehen. Hiergegen verwendet Active Directory jedoch ein systemimmanentes Verfahren, bei dem die Attribute und deren Zähler der ausgebenden Aktualisierungen überwacht werden. Dieser Zähler wird nur bei lokaler Änderung, jedoch nicht bei der Replikation erhöht. Somit ist für den Replikationsprozess erkennbar, dass die Änderung nicht mehr auf den Quellserver repliziert werden muss Die Verzeichnispartitionen oder Namenskontexte Bei der Replikation werden drei Arten von Informationen ausgetauscht. Diese Arten werden auch als Verzeichnispartitionen oder Namenskontexte (NC = Naming Context) bezeichnet. Dabei handelt es sich um Schemainformationen, Konfigurationsinformationen sowie Domänendaten. Die Schemainformationen geben die Objekte sowie deren Attribute vor, die Sie im Verzeichnis erstellen können. Die Konfigurationsinformationen enthalten alle Angaben zur 72

15 Replikation Domänenstruktur und Replikationstopologie. Die Domänendaten enthalten die domänenspezifischen Daten einer Domäne. Ein ausgewählter Teil dieser Daten befindet sich im globalen Katalog aller Domänen einer Gesamtstruktur. Diese Teilmenge wird ausschließlich zwischen globalen Katalogservern repliziert. Die Konfigurations- und Schemainformationen werden auf sämtliche Domänencontroller der Gesamtstruktur repliziert, die spezifischen Domänendaten nur auf die Domänencontroller der Domäne und die ausgewählte Teilmenge der Domänendaten auf alle globalen Katalogserver. Tabelle 3.1 fasst zusammen, welche Informationen auf einem Domänencontroller und einem globalen Katalogserver vorhanden sind und repliziert werden: Information Domänencontroller Globaler Katalogserver Schemainformationen Konfigurationsinformationen Domänendaten Für die Domänen- oder Gesamtstruktur Für alle Domänen der Domänenoder Gesamtstruktur Sämtliche Objekte und Eigenschaften der Domäne Für die Gesamtstruktur Für alle Domänen der Gesamtstruktur Sämtliche Objekte und Eigenschaften der Domäne, der der Katalogserver angehört, sowie die Teilmenge der Objekte und Eigenschaften der Gesamtstruktur Tabelle 3.1: Replikationsinformationen auf Domänencontrollern und Katalogservern Unter Windows 2003 ist neben diesen dreien eine zusätzliche Verzeichnispartition verfügbar, die Applikationspartition. Diese Partition kann eine Hierarchie aller Objekttypen (mit Ausnahme der sicherheitsbezogenen Objekte Benutzer, Gruppen und Computer) enthalten und so konfiguriert werden, dass die Replikation mit beliebigen Domänencontrollern innerhalb der Gesamtstruktur und nicht nur derselben Domänenstruktur durchgeführt werden kann. Mit dieser neuen Partition wird es möglich, dynamische Daten im Active Directory zu speichern, wobei Sie die Möglichkeit haben, den Umfang der Replikationsdaten sowie die Platzierung der Repliken zu steuern, ohne dabei die Netzwerklast unnötig steigern zu müssen Replikationstopologie Bei der Replikation wird unterschieden in Replikation innerhalb eines Standortes und standortübergreifende Replikation. Innerhalb eines Standorts erzeugt Active Directory über Replikationstopologie-Verknüpfungen automatisch eine Ringtopologie zur Replikation zwischen den Domänencontrollern. Für die Berechnung der Replikationstopologie ist der Knowledge Consistency Checker (KCC) zuständig. In der Ringtopologie ist immer ein alternativer Replikationspfad vorhanden, falls ein Domänencontroller ausfallen sollte. Damit ist gewährleistet, dass stets alle Domänencontroller, die im Netzwerk verfügbar sind, ihre aktuellen Informationen austauschen können. 73

16 3 Funktionsweise und Beschreibung des Active Directory $XVIDOO YRQ '& 'RPlQHQFRQWUROOHU 'RPlQHQFRQWUROOHU 'RPlQHQFRQWUROOHU 'RPlQHQFRQWUROOHU VWDQGDUGPl LJH 5HSOLNDWLRQVWRSRORJLH YHUNQ SIXQJ DOWHUQDWLYH 5HSOLNDWLRQVWRSRORJLHYHUNQ SIXQJ EHLP $XVIDOO HLQHV 5HSOLNDWLRQVSDUWQHUV Abbildung 3.7: Replikationstopologie innerhalb eines Standorts Abbildung 3.7 zeigt den standardmäßigen Replikationspfad zwischen den Domänencontrollern 1 bis 4. Sollte nun der Domänencontroller 2 ausfallen, so bemerkt Domänencontroller 1 den Ausfall und wendet seinen Alternativpfad auf Domänencontroller 3 an, der dann in gewohnter Weise seine Informationen an Domänencontroller 4 repliziert. Selbst wenn Sie zusätzliche Domänencontroller hinzufügen, gliedert Active Directory diese automatisch in die bestehende Replikationstopologie ein. Auch wenn Sie einen Domänencontroller aus der Domäne entfernen, unternimmt Active Directory automatisch die notwendigen Schritte. Sie sehen also, dass Sie für die standortinterne Replikation keinerlei Einstellungen selber vornehmen müssen. Die standortübergreifende Replikation müssen Sie hingegen manuell einrichten. Hierbei können Sie Zeiten und Intervalle definieren, Kosten festlegen sowie das Replikationsprotokoll wählen. Die Replikation findet sowohl automatisch innerhalb eines Standortes als auch benutzerdefiniert zwischen verschiedenen Standorten statt. Bei der standortübergreifenden Replikation werden die Daten zur Entlastung und Beschleunigung des Netzwerkverkehrs zwischen den Standorten komprimiert übermittelt. Für das Entpacken der Daten wird jedoch Prozessorleistung benötigt. Umgekehrt werden die Daten innerhalb eines Standorts nicht komprimiert. Da es sich an einem Standort meistens um eine LAN-Verbindung handelt, ist hier das Komprimieren zur Netzwerkentlastung nicht erforderlich. Dafür entfällt eine höhere Prozessorauslastung durch das Dekomprimieren der Daten. 74

17 Zusammenarbeit mit anderen Betriebssystemen und Verzeichnisdiensten 3.8 Zusammenarbeit mit anderen Betriebssystemen und Verzeichnisdiensten In diesem Kapitel wird geklärt, mit welchen anderen Betriebssystemen und Verzeichnisdiensten Windows 2000 Active Directory Interoperabilität bietet. Es ist unwahrscheinlich, dass in allen Unternehmen nur eine reine Windows oder XP-Umgebung vorhanden ist. Gerade der Verzeichnisdienst Novell Directory Service (NDS) von Novell NetWare oder Unix werden oftmals parallel eingesetzt. Zuvor wird beschrieben, inwieweit eine Zusammenarbeit von Active Directory mit älteren Windows-Betriebssystemen gewährleistet ist. Auch die fortschreitende Integration von Microsoft BackOffice-Servern in Active Directory wird in diesem Kapitel besprochen ADSI-Clients für Windows 9x und NT Für die volle Funktionalität aller Active Directory-Features müssen Sie Windows oder XP-Professional-Clients einsetzen. Dennoch ist es auch möglich, Windows-Clients mit Windows 9x oder NT die Zusammenarbeit mit Active Directory zu ermöglichen. Hierzu werden die Windows 9x/NT Active Directory Services Interface-(ADSI-)Clients eingesetzt. Diese ermöglichen immerhin wichtige Grundfunktionalitäten von Active Directory für die älteren Windows-Clients. Die Windows-Versionen 3.x und Windows for Workgroups werden nicht von ADSI unterstützt. Die ADSI-Clients werden wie ein zusätzlicher Netzwerk-Client, etwa der Client für Microsoft-Netzwerk oder Client Service für NetWare, installiert. Über die ADSI-Services werden Ihnen wie gesagt nur die Kernfeatures von Sicherheit und Benutzerzugriff bereitgestellt. Die folgenden Features werden geboten: Der ADSI-Client beinhaltet die NTLM-(NT LAN-Manager-)Authentifizierung in der Version 2.0. Mit der neuen Version werden viele Sicherheitslücken gegenüber der von Windows 9x und NT verwendeten Version 1.0 geschlossen. Der ADSI-Client unterstützt die Kenntnis über seinen aktuellen Standort. Damit wird es ermöglicht, dass Sie sich bei dem Domänencontroller anmelden, der Ihrem Standort am nächsten ist. Standardmäßig melden sich die 9x/NT-Clients zufällig an einem beliebigen Domänencontroller an. Dabei ist es den Clients auch gleichgültig, falls sich der ausgesuchte Domänencontroller am anderen Ende eines WANs befinden sollte. Ein weiteres Handicap des Windows 9x-Clients besteht darin, dass er in einer Windows 2000-Domäne zur Passwortänderung zwingend Zugriff auf den PDC-Emulator- Betriebsmaster benötigt. Auch dieses Problem wird durch den ADSI-Client behoben. Die ADSI-Clients unterstützen eine Skripting-Schnittstelle für ADSI-basierte Skripte. Über diese Skripte, die z.b. in Form von Login-Skripten erstellt werden können, kann direkt auf das Active Directory zugegriffen werden. Standardmäßig können Windows 9x- und NT-Client nur auf allein stehende Wurzelverzeichnisse von DFS (Distributed File System) zugreifen. Mit dem ADSI-Client wird ihnen jedoch der Zugriff auf die fehlertoleranteren verteilten Verzeichnisse ermöglicht, durch die eine höhere Zuverlässigkeit und Fehlertoleranz der DFS-Struktur ermöglicht wird. 75

18 3 Funktionsweise und Beschreibung des Active Directory Als letztes Feature haben die ADSI-Clients Zugriff auf die Eigenschaften des Windows-Adressbuches (Funktion: Suchen nach Personen) im Active Directory. Mit den entsprechenden Zugriffsrechten können Sie dort sogar Eigenschaften wie die Telefonnummer ändern. Wie gesagt, der Einsatz von ADSI ermöglicht Ihnen nicht die komplette Funktionspalette von Active Directory. Deshalb werden Ihnen nun auch einige Features aufgelistet, die trotz ADSI nicht von Windows 9x- und NT-Clients unterstützt werden können. Die Unterstützung der Gruppenrichtlinie sowie der IntelliMirror-Funktionen wie etwa der Softwareverteilung fehlen völlig. Dies ist eindeutig der größte Mangel. Eine Anpassung der beiden ADSI-Clients hätte einen enormen Arbeitsaufwand für Microsoft bedeutet, da diese Technologien eine der größten Änderungen ab der Windows- Version 2000 darstellen. Auch das Kerberos V5-Protokoll (siehe Kapitel 2.2.3) wird nicht unterstützt. Die fehlende Unterstützung des speziellen Speicherbereichs zum Cachen der Kerberos- Tickets versagt den Windows 9x- und NT-Clients dieses Feature. Sie sehen also, dass der ADSI-Client eine gute Zwischenlösung sein kann, bis sämtliche Client-Computer auf Windows 2000 oder XP Professional migriert sind. Aufgrund der fehlenden wichtigen Funktionalitäten ist der ADSI-Client keine Alternative zu einem echten Windows oder XP-Client. Deswegen sollte sein Einsatz auch nur bis zu dem Zeitpunkt einer Migration beschränkt bleiben. Um sich die Arbeit der ADSI-Clientinstallation möglicherweise zu sparen, überlegen Sie, ob Sie in Ihrem Netzwerk die durch den ADSI-Client bereitgestellten Funktionalitäten des Active Directory überhaupt nutzen. Werden Sie überhaupt ein verteiltes fehlertolerantes DFS einsetzen? Oder verfügt Ihr Unternehmen überhaupt über mehrere Standorte, sodass es wichtig wird, welcher Domänencontroller zur Authentifizierung herangezogen wird? Dies wird in einem kleinen Unternehmen nicht der Fall sein. Können Sie diese Fragen mit Nein beantworten, müssen Sie den ADSI-Client als Zwischenlösung nicht unbedingt installieren. Den ADSI-Client für Windows 9x finden Sie auf der Windows 2000 Server-CD unter \CLIENTS\DSCLIENT.EXE. Den ADSI-Client für Windows NT können Sie direkt von der Microsoft-Webseite downloaden. Die Verteilung der Clients können Sie beispielsweise über Login-Skripte oder ein beliebiges Softwareverteilungsprogramm vornehmen. Die Clients unterstützen beide die Silent Installation. Die ADSI-Schnittstellen umfassen ein Verzeichnisdienstmodell und eine Gruppe von COM-Schnittstellen. Über diese Schnittstellen können Anwendungen für Windows 95, Windows 98, Windows NT, Windows 2000 und XP Professional auf verschiedene Verzeichnisdienste zugreifen, beispielsweise auf Active Directory. Sie können als SDK (Software Development Kit) bezogen werden. Die Schnittstellen unterstützen die als Internetstandard (siehe dazu RFC 1823) festgelegten LDAP-Anwendungsprogrammierschnittstellen in der Programmiersprache C. Hierdurch können auch andere Verzeichnisdienstapplikationen so modifiziert werden, dass sie über Active Directory- Schnittstellen und LDAP auf Informationen im Active Directory zugreifen können. 76

19 Zusammenarbeit mit anderen Betriebssystemen und Verzeichnisdiensten Unix und Linux Die Zusammenarbeit zwischen Windows und Unix erfolgt über die Services for Unix (SFU). Diese werden von Windows 2000 ab der Version 2.0 unterstützt. Aktuell ist die Version 3.0 der Unix-Services. Für Windows NT gab es die Unix-Services in der Version 1.0. Diese Unix-Services bestehen aus einigen Microsoft-eigenen Programmen sowie auch weiteren Dienstprogrammen und Verfahren von Drittanbietern zur Zusammenarbeit zwischen den beiden Betriebssystemen. In SFU 3.0 sind über 300 Tools sowie ein SDK für die Unterstützung von über 1900 Unix-APIs enthalten. Folgende Funktionalitäten werden über die Unix-Services für Windows ermöglicht: Die Unterstützung für das Network File System (NFS) ist integriert. NFS ist ein Dienst, der verteilten Computersystemen ein verteiltes Dateisystem bereitstellt. Hierbei handelt es sich um das Unix-Pendant zum DFS (Distributed File System) unter Windows Weiterhin wird unter Windows eine Unix-Befehlsshell, genauer gesagt die Korn Shell-Umgebung (ksh), zur Verfügung gestellt. Die für die Remote-Verwaltung und den Remote-Zugriff erforderlichen Telnet- Dienste werden bereits standardmäßig von Windows 2000/2003 geliefert. Sie sind aber auch in den Unix-Services enthalten. Auch die Kennwortsynchronisierung zwischen Unix und Windows wird über die Unix-Services unterstützt. Es ist eine gemeinsame Verwaltung von Passwörtern möglich, da die Windows-SAM und die Unix-Kontendatenbank passwd/shadow passwd synchronisiert werden können. Wenn die Namen der Benutzerkonten auf beiden Systemen gleich sind, übermittelt Windows 2000 Änderungen an den Kennwörtern automatisch an die Unix-Computer. Auch die Network Information Services (NIS) werden unterstützt. NIS ist der von der Firma SUN vertriebene Verzeichnisdienst. Eines der neuen Features unter Windows 2000 ist die Authentifizierung über Kerberos- Tickets. Diese Methode ist unter Unix schon lange verbreitet und damit auch sehr ausgereift und stabil. Sie haben die Möglichkeit, bestehende Kerberos-Server unter Unix ins Active Directory zu integrieren. Andererseits kann auch Windows 2000 für die Ausgabe der Kerberos-Tickets verantwortlich sein, die von Unix durch Implementierung von Kerberos verwendet werden können. Der Hauptunterschied zwischen SFU 2.0 und 3.0 liegt darin, dass nun Microsoft Interix vollständig in die Services integriert ist. Die Subsystem-Technologie von Interix beschert eine universelle Umgebung, in der Windows- und Unix-Applikationen auf einem System laufen können. Das Unix-Environment läuft auf dem Windows-Kernel. Somit ist es Applikationen und Skripten unter Unix möglich, zusammen mit Windows-Applikationen nativ unter dem Windows-Betriebssystem zu laufen. Eine ausführlichere Beschreibung der Koexistenz zwischen Unix/Linux und dem Active Directory finden Sie in Kapitel

20 3 Funktionsweise und Beschreibung des Active Directory Microsoft BackOffice-Server und Active Directory Microsoft wird auch die stärkere Integration seiner BackOffice-Programme ins Active Directory vorantreiben. Diese Anwendungen sollen Active Directory als ihren primären Speicher verwenden. Bei Microsoft Exchange 2000/2003 ist dieser Schritt bereits vollzogen. Es gibt kein separates Exchange-Verzeichnis mehr. Alle Informationen werden direkt im Active Directory gespeichert. Vergleichbar mit den eben beschriebenen ADSI-Clients für Windows 9x und NT gibt es auch für die zumindest vorübergehend weitere Nutzung von Exchange 5.5 eine Lösung. Diese heißt Active Directory-Connector (ADC). Hierbei handelt es sich um einen Dienst, der die Daten zwischen dem alten Exchange-Verzeichnis und Active Directory austauscht. Damit ist sichergestellt, dass beide Datenspeicher immer auf demselben Stand sind und somit die Exchange wie auch 4.0- oder 5.x-Clients in ihrer jeweiligen Datenbank dieselben Informationen vorfinden. Deshalb wird auch das von den Exchange-Clients der Versionen 4.0 und 5.x verwendete NSPI-Protokoll von Active Directory unterstützt Grundlagen der Verzeichnisdienstzusammenarbeit Bevor im nächsten Kapitel auf die Zusammenarbeit zwischen Active Directory und Novells NDS eingegangen wird, sollen Sie zunächst als Grundlage wissen, welche Schwierigkeiten bei der Zusammenarbeit mit anderen Verzeichnisdiensten auftreten können und welche Lösungen von Active Directory dafür bereitgestellt werden. In vielen Unternehmen werden Daten in verschiedenen Verzeichnissen gepflegt. Mit der Entwicklung von Active Directory wurde versucht, alle Objekte in einem einzigen Verzeichnis zu speichern. Damit wird ein geringerer Verwaltungsaufwand nötig und der Zugriff auf die Daten verbessert. Dafür wurden aber auch Anforderungen an den neuen Verzeichnisdienst gestellt. So muss Active Directory erweiterbar sein, um die Daten beliebiger Anwendungen aufnehmen zu können. Zusätzlich muss sowohl die Migration alter Daten als auch die Zusammenarbeit mit neuen Verzeichnissen möglich sein. Ein Problem liegt vor, wenn die Daten in zwei verschiedenen Verzeichnissen zwar dieselben sind, aber in beiden Verzeichnissen in einer verschiedenen Struktur angelegt und gespeichert sind. Sie müssen sich in diesem Fall überlegen, welche Hierarchie Sie für die Zuordnungen benutzen möchten. Auch auf die Integrität der Daten muss ein Blick geworfen werden. Wird ein Objekt aus dem Verzeichnis gelöscht, muss es komplett aus dem Verzeichnisdienst entfernt werden. Weiterhin muss auch die referenzielle Integrität zwischen Objekten und deren zugehörigen Attributen gewährleistet sein. Wenn Sie ein Attribut ändern, muss das dazugehörige Objekt auch in anderen Verzeichnissen aktualisiert werden. In diesem Zusammenhang muss auch der Besitz von Objekten angesprochen werden. Wenn sich ein Objekt in zwei Verzeichnissen befindet und beide Verzeichnisse meinen, der Besitzer des Objekts zu sein, und dies ändern, sind Konflikte vorprogrammiert. Auch wenn Objektattribute ausschließlich von der besitzenden Applikation geändert werden sollen, darf nicht zusätzlich noch das Verzeichnis, in dem sich das Objekt befindet, Änderungen durchführen. 78

1 Die Active Directory

1 Die Active Directory 1 Die Active Directory Infrastruktur Prüfungsanforderungen von Microsoft: Configuring the Active Directory Infrastructure o Configure a forest or a domain o Configure trusts o Configure sites o Configure

Mehr

Unterrichtseinheit 7

Unterrichtseinheit 7 Unterrichtseinheit 7 Freigegebene Ordner: Durch freigegebene Ordnern können Benutzer Zugriff auf Dateien und Ordner innerhalb eines Netzwerkes (auch bei verstreut gespeicherten Daten, mit Hilfe des Distributed

Mehr

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory unter Windows Server 2003. von Christian Bartl Step by Step Active Directory unter Windows Server 2003 von Active Directory unter Windows Server 2003 Um Active Directory zu installieren muss der Server eine fixe IP-Adresse besitzen. Außerdem wird die

Mehr

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. 4 Domänenkonzepte Ziele des Kapitels: Sie verstehen den Begriff Domäne. Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte. Sie verstehen die Besonderheiten der Vertrauensstellungen

Mehr

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen

Mehr

Rollen von Domänencontrollern (DC s) Tag 04/00 - Thomas Fakler

Rollen von Domänencontrollern (DC s) Tag 04/00 - Thomas Fakler Rollen von Domänencontrollern (DC s) Multimastermodus Multimastermodus Active Directory unterstützt den Multimastermodus d.h. in vielen Bereichen z.b. DDNS mit Active Directory integrierten Zonen, können

Mehr

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

09.01.2014. Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 09.01.2014 Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34 Inhaltsverzeichnis 1 Der Auftrag... 3 2 Ist-Zustand... 3 3 Soll-Zustand...

Mehr

3 Entwerfen von Identitäts- und

3 Entwerfen von Identitäts- und 3 Entwerfen von Identitäts- und Zugriffsmanagementkomponenten Prüfungsanforderungen von Microsoft: Designing Support Identity and Access Management Components o Plan for domain or forest migration, upgrade,

Mehr

2 Datei- und Druckdienste

2 Datei- und Druckdienste Datei- und Druckdienste 2 Datei- und Druckdienste Lernziele: Verteiltes Dateisystem (DFS) Dateiserver Ressourcen Manager (FSRM) Verschlüsseln Erweiterte Überwachung Prüfungsanforderungen von Microsoft:

Mehr

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft!

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.de/ Prüfungsnummer: 70-640 Prüfungsname: Windows Server 2008

Mehr

2 Verwalten einer Active Directory

2 Verwalten einer Active Directory Einführung 2 Verwalten einer Active Directory Infrastruktur Lernziele Active Directory und DNS Besonderheiten beim Anmeldevorgang Vertrauensstellungen Sichern von Active Directory Wiederherstellen von

Mehr

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Active Directory

Protokoll. Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels. Titel der Übung: Active Directory Protokoll Nr. 7 Höhere Technische Bundeslehranstalt Fischergasse 30 A-4600 Wels Protokoll Abteilung IT Übungs Nr.: 7 Titel der Übung: Active Directory Katalog Nr.: 3 Verfasser: Christian Bartl Jahrgang:

Mehr

7 Der Exchange Server 2010

7 Der Exchange Server 2010 Der Exchange Server 2010 7 Der Exchange Server 2010 Prüfungsanforderungen von Microsoft: Configuring and Managing Messaging and Collaboration o Configure email. o Manage Microsoft Exchange Server. Managing

Mehr

MOC 2195 Windows Server 2003: Planen, Implementieren und Warten einer Active Directory- Infrastruktur

MOC 2195 Windows Server 2003: Planen, Implementieren und Warten einer Active Directory- Infrastruktur MOC 2195 Windows Server 2003: Planen, Implementieren und Warten einer Active Directory- Infrastruktur Unterrichtseinheit 1: Einführung in die Infrastruktur von Active Directory Diese Unterrichtseinheit

Mehr

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt. Arbeitsblätter Der Windows Small Business Server 2011 MCTS Trainer Vorbereitung zur MCTS Prüfung 70 169 Aufgaben Kapitel 1 1. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Mehr

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl

Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003. von Christian Bartl Step by Step Active Directory mit Novell Directory Service unter Windows Server 2003 von Active Directory mit Novell Directory Service unter Windows Server 2003 1. ADS mit NDS installieren Ändern der IP-Adresse

Mehr

IBM SPSS Data Access Pack Installationsanweisung für Windows

IBM SPSS Data Access Pack Installationsanweisung für Windows IBM SPSS Data Access Pack Installationsanweisung für Windows Inhaltsverzeichnis Kapitel 1. Übersicht.......... 1 Einführung............... 1 Bereitstellen einer Datenzugriffstechnologie.... 1 ODBC-Datenquellen...........

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Der BranchCache Eine völlig neue Möglichkeit, auf Ressourcen zuzugreifen, bietet der BranchCache. In vielen Firmen gibt es Zweigstellen, die mit der Hauptstelle

Mehr

MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung

MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung Unterrichtseinheit 1: Einführung in die Verwaltung von Konten und Ressourcen In dieser Unterrichtseinheit wird erläutert, wie Konten und Ressourcen

Mehr

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004

GlobalHonknet.local. Implementieren von IPSec - Verschlüsselung im Netzwerk 27.03.2004 05.04.2004 GlobalHonknet.local 1 von 37 GlobalHonknet.local 13158 Berlin Implementieren von IPSec - Verschlüsselung im Netzwerk Einrichten der Verschlüsselung unter Verwendung einer PKI 27.03.2004 05.04.2004 GlobalHonknet.local

Mehr

Installation über MSI. CAS genesisworld mit MSI-Paketen installieren

Installation über MSI. CAS genesisworld mit MSI-Paketen installieren Installation über MSI CAS genesisworld mit MSI-Paketen installieren 1 Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld Sharing. Auf dem Bildschirm sollte folgendes Fenster erscheinen: Einleitung Unter MacOS X hat Apple die Freigabe standardmäßig auf den "Public" Ordner eines Benutzers beschränkt. Mit SharePoints wird diese Beschränkung beseitigt. SharePoints erlaubt auch die Kontrolle

Mehr

5 Benutzer und Gruppen in ADDS-Domänen

5 Benutzer und Gruppen in ADDS-Domänen 5 Benutzer und Gruppen in ADDS-Domänen 5.1 Verwaltung von Benutzern Im Snap-In Active Directory Benutzer und Computer findet sich ein Container Users, in welchem Benutzerkonten angelegt werden können.

Mehr

Server Installation 1/6 20.10.04

Server Installation 1/6 20.10.04 Server Installation Netzwerkeinrichtung Nach der Installation müssen die Netzwerkeinstellungen vorgenommen werden. Hierzu wird eine feste IP- Adresse sowie der Servername eingetragen. Beispiel: IP-Adresse:

Mehr

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern Herzlich willkommen zum Kurs "Windows XP Home & Professional" 6 Windows XP und die Sicherheit Sicherheit beim Arbeiten am Computer ist einer der wichtigsten Themen. Windows XP wurde von Microsoft mit zahlreichen

Mehr

Prüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung

Prüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung Prüfung 70-290 Verwalten und Warten einer Microsoft Windows Server 2003- Umgebung Im Rahmen dieser Prüfung werden vor allem Themen im Bereich Benutzerverwaltung, Datensicherung, Verwaltung von Freigaben

Mehr

Einrichten der Outlook-Synchronisation

Einrichten der Outlook-Synchronisation Das will ich auch wissen! - Kapitel 3 Einrichten der Outlook-Synchronisation Inhaltsverzeichnis Überblick über dieses Dokument... 2 Diese Kenntnisse möchten wir Ihnen vermitteln... 2 Diese Kenntnisse empfehlen

Mehr

DocuWare unter Windows 7

DocuWare unter Windows 7 DocuWare unter Windows 7 DocuWare läuft unter dem neuesten Microsoft-Betriebssystem Windows 7 problemlos. Es gibt jedoch einige Besonderheiten bei der Installation und Verwendung von DocuWare, die Sie

Mehr

und http://www.it-pruefungen.ch ch/

und http://www.it-pruefungen.ch ch/ -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.ch ch/ Prüfungsnummer : 70-649 Prüfungsname fungsname: TS: Upgrading

Mehr

X5 unter Windows Vista / 7 und Windows 2008 Server

X5 unter Windows Vista / 7 und Windows 2008 Server X5 unter Windows Vista / 7 und Windows 2008 Server Die Benutzerkontensteuerung (später UAC) ist ein Sicherheitsfeature welches Microsoft ab Windows Vista innerhalb Ihrer Betriebssysteme einsetzt. Die UAC

Mehr

6 NetWare-Clients. 6.1 Native File Access für Windows. Novell NetWare 6.0/6.5 Administration (Grundlagen)

6 NetWare-Clients. 6.1 Native File Access für Windows. Novell NetWare 6.0/6.5 Administration (Grundlagen) 6 NetWare-Clients Als Microsoft 1993 die ersten eigenen Betriebssysteme für Netzwerke (Windows for Workgroups und Windows NT) vorstellte, wurde die LAN-Industrie von Novell NetWare beherrscht. Um erfolgreich

Mehr

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 Kurzanleitung zur Softwareverteilung von Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2 I. BitDefender Management Agenten Verteilung...2 1.1. Allgemeine Bedingungen:... 2 1.2. Erste

Mehr

Windows 2008R2 Server im Datennetz der LUH

Windows 2008R2 Server im Datennetz der LUH Windows 2008R2 Server im Datennetz der LUH Anleitung zur Installation von Active Directory und DNS auf einem Windows 2008R2 Server. Zu einem funktionierenden Active-Directory-Server gehört ein interner

Mehr

1 Objektfilterung bei der Active Directory- Synchronisierung

1 Objektfilterung bei der Active Directory- Synchronisierung Auswahl der zu synchronisierenden Objekte 1 Objektfilterung bei der Active Directory- Synchronisierung Das optionale Verzeichnissynchronisierungstool von Office 365 hat grundsätzlich die Aufgabe, im lokalen

Mehr

X-RiteColor Master Web Edition

X-RiteColor Master Web Edition X-RiteColor Master Web Edition Dieses Dokument enthält wichtige Informationen für die Installation von X-RiteColor Master Web Edition. Bitte lesen Sie die Anweisungen gründlich, und folgen Sie den angegebenen

Mehr

Hosted Microsoft Exchange 2007

Hosted Microsoft Exchange 2007 Hosted Microsoft Exchange 2007 Einrichtung und Grundlagen Stand: 07.07.2011 Hier verwendete Markennamen und Symbole sind Eigentum des Rechtsinhabers und werden hier nur verwendet, weil sie Bestandteil

Mehr

Erstellen sicherer ASP.NET- Anwendungen

Erstellen sicherer ASP.NET- Anwendungen Erstellen sicherer ASP.NET- Anwendungen Authentifizierung, Autorisierung und sichere Kommunikation Auf der Orientierungsseite finden Sie einen Ausgangspunkt und eine vollständige Übersicht zum Erstellen

Mehr

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS

Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Unterrichtseinheit 13: Bereitstellen von Windows 2000 Professional mit Hilfe von RIS Die Remoteinstallationsdienste (Remote Installation Services, RIS) bilden die Grundlage der Windows2000-Remote-Betriebssysteminstallation.

Mehr

Merkblatt 6-6 bis 6-7

Merkblatt 6-6 bis 6-7 Modul 6 - Drucken unter Windows 2003/XP Merkblatt 6-6 bis 6-7 Drucken unter Windows 2003/XP Man unterscheidet zwischen Lokalen Druckern und Netzwerkdruckern: Lokale Drucker werden über eine Schnittstelle

Mehr

1 Änderungen bei Windows Server 2008 R2

1 Änderungen bei Windows Server 2008 R2 1 Änderungen bei Windows Server 2008 R2 1.1 Die Neuerungen im Überblick Zeitgleich mit Windows 7 erschien auch das Serverbetriebssystem Windows Server 2008 R2. Diese beiden Betriebssysteme haben den gleichen

Mehr

Konfigurieren eines Webservers

Konfigurieren eines Webservers Unterrichtseinheit 12: Konfigurieren eines Webservers Erleichterung der Organisation und des Verwaltens von Webinhalten im Intranet und Internet. Übersicht über IIS: Der IIS-Dienst arbeitet mit folgenden

Mehr

Sie sollen nach Abschluss dieser Übung: das Zusammenwirken von Berechtigungen auf Freigabe- und Dateisystemebene

Sie sollen nach Abschluss dieser Übung: das Zusammenwirken von Berechtigungen auf Freigabe- und Dateisystemebene Modul 5 - Zusammenwirken von Berechtigungen Arbeitsblatt 5-5 Zusammenwirken von Berechtigungen Ihre Aufgaben: Legen Sie drei weitere lokale Gruppen an und füllen Sie diese mit Benutzern. Erstellen Sie

Mehr

Inhaltsverzeichnis Vorwort Konzepte des Active Directory

Inhaltsverzeichnis Vorwort Konzepte des Active Directory Vorwort.................................................................. XI Warum dieses Buch.................................................... XI Kapitelübersicht.......................................................

Mehr

Informationen zur Installation des GIS-Zentrum 2

Informationen zur Installation des GIS-Zentrum 2 Informationen zur Installation des GIS-Zentrum 2 Inhaltsverzeichnis: Inhaltsverzeichnis:... 1 Allgemeine Hinweise... 2 Installationsvoraussetzungen... 2 Was passiert bei der Installation?... 2 Einzelplatzinstallation...

Mehr

Einrichtung Ihres Exchange-Kontos in Outlook 2010

Einrichtung Ihres Exchange-Kontos in Outlook 2010 Einrichtung Ihres Exchange-Kontos in Outlook 2010 Mit Microsoft Exchange können Sie u.a. Ihre Termine in Ihrem Kalender einpflegen, Besprechungsanfragen verschicken, Aufgaben verwalten und Ressourcen buchen.

Mehr

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen

BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen BüroWARE Exchange Synchronisation Grundlagen und Voraussetzungen Stand: 13.12.2010 Die BüroWARE SoftENGINE ist ab Version 5.42.000-060 in der Lage mit einem Microsoft Exchange Server ab Version 2007 SP1

Mehr

http://www.microsoft.com/technet Wojciech Micka Microsoft PSC

http://www.microsoft.com/technet Wojciech Micka Microsoft PSC Diagnose, Problembehandlung und Wiederherstellung in Windows Server 2003 Active Wojciech Micka Microsoft PSC Agenda Überprüfen der Funktionalität von Active Problembehandlung bei der Replikation Active

Mehr

Einrichtung Ihres Exchange-Kontos in Outlook 2010/2013

Einrichtung Ihres Exchange-Kontos in Outlook 2010/2013 Einrichtung Ihres Exchange-Kontos in Outlook 2010/2013 Mit Microsoft Exchange können Sie u.a. Ihre Termine im Ihrem Kalender einpflegen, Besprechungsanfragen verschicken, Aufgaben verwalten und Ressourcen

Mehr

Windows Deployment Services 2003 Grundinstallation

Windows Deployment Services 2003 Grundinstallation Windows Deployment Services 2003 Grundinstallation Inhalthaltsverzeichnis Windows Deployment Services - Installation... 2 Windows Deployment Services Grundkonfiguration Schritt 1... 2 Windows Deployment

Mehr

4 Planung von Anwendungsund

4 Planung von Anwendungsund Einführung 4 Planung von Anwendungsund Datenbereitstellung Prüfungsanforderungen von Microsoft: Planning Application and Data Provisioning o Provision applications o Provision data Lernziele: Anwendungen

Mehr

Windows-Firewall Ausnahmen

Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen Windows-Firewall Ausnahmen für Docusnap konfigurieren Datum 29.04.2010 Ersteller Seitenanzahl 24 Inhaltverzeichnis 1 Windows Firewall Konfiguration - Grundlagen... 3 1.1

Mehr

3 Active Directory installieren

3 Active Directory installieren 3 Active Directory installieren In diesem Kapitel gehe ich auf die neuen Active Directory-Funktionen im Einsatz mit Windows Server 2008 ein. Die Funktion eines Domänen-Controllers wird in Windows Server

Mehr

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System)

Kurs 70-291 Notizen Rene Dreher www.renedreher.de -DNS (Domain Name System) -DNS (Domain Name System) Das DNS ist ein weltweit auf tausende von Servern verteilter hierarchischer Verzeichnisdienst, der den Namensraum des Internets verwaltet. Dieser Namensraum ist in so genannte

Mehr

3 Installation von Exchange

3 Installation von Exchange 3 Installation von Exchange Server 2010 In diesem Kapitel wird nun der erste Exchange Server 2010 in eine neue Umgebung installiert. Ich werde hier erst einmal eine einfache Installation mit der grafischen

Mehr

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH

Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH Windows-Firewall Ausnahmen für Docusnap konfigurieren itelio GmbH www.docusnap.com Inhaltsverzeichnis 1 Windows Firewall Konfiguration - Grundlagen 3 1.1 Übersicht - benötige Firewall Ausnahmen 3 2 Windows

Mehr

Active Directory-Verzeichnisdienste

Active Directory-Verzeichnisdienste 229 KAPITEL 9 Active Directory-Verzeichnisdienste Lektion 1: Active Directory-Verzeichnisdienste im Überblick... 230 Lektion 2: Aufbau und Replikation von Active Directory... 234 Lektion 3: Grundlagen

Mehr

OU Verwaltung für CV's

OU Verwaltung für CV's OU Verwaltung für CV's Version Datum Autor Änderung 01 7.12.06 JM Meyer Original 02 14.5.08 JM Meyer Typo und Ergänzungen 03 16.5.08 JM Meyer LMHOSTS lookup entfernt 04 3.7.08 JM Meyer Typo und Ergänzungen

Mehr

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation Wawi SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Installation Wawi SQL in Verbindung mit Microsoft SQL Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit

Mehr

DHCP mit dem Windows Server 2003 (Gastbeitrag tecchannel)

DHCP mit dem Windows Server 2003 (Gastbeitrag tecchannel) DHCP mit dem Windows Server 2003 (Gastbeitrag tecchannel) Der DHCP-Server von Windows Server 2003 erleichtert die Vergabe und Verwaltung von IP-Adressen und teilt den Clients im LAN gleichzeitig noch wichtige

Mehr

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors

Scalera Mailplattform Dokumentation für den Anwender Installation und Konfiguration des Outlook Connectors Installation und Konfiguration des Outlook Connectors Vertraulichkeit Die vorliegende Dokumentation beinhaltet vertrauliche Informationen und darf nicht an etwelche Konkurrenten der EveryWare AG weitergereicht

Mehr

Organisationseinheiten Benutzer und Gruppen ver 1.0

Organisationseinheiten Benutzer und Gruppen ver 1.0 Organisationseinheiten Benutzer und Gruppen ver 1.0 Benutzer Organisationseinheiten Gruppen Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract

Mehr

Anleitung Captain Logfex 2013

Anleitung Captain Logfex 2013 Anleitung Captain Logfex 2013 Inhalt: 1. Installationshinweise 2. Erste Schritte 3. Client-Installation 4. Arbeiten mit Logfex 5. Gruppenrichtlinien-Einstellungen für die Windows-Firewall 1. Installationshinweis:

Mehr

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen

Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Kompatibilität von Microsoft Exchange Server mit den Microsoft Windows Server-Betriebssystemen Whitepaper Veröffentlicht: April 2003 Inhalt Einleitung...2 Änderungen in Windows Server 2003 mit Auswirkungen

Mehr

Konfiguration von Clients zur Kommunikation mit einem SUS-Server

Konfiguration von Clients zur Kommunikation mit einem SUS-Server Konfiguration von Clients zur Kommunikation mit einem SUS-Server Allgemeine Informationen Damit sich der Autoupdate-Client die Updates vom lokalen SUS-Server abholt, muss in seiner Registry die korrekten

Mehr

und http://www.it-pruefungen.de/

und http://www.it-pruefungen.de/ -Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft! http://www.it-pruefungen.de/ Prüfungsnummer : 70-646 Prüfungsname fungsname: Windows Server

Mehr

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt.

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt. Windows 7 verfügt über die neue Funktion Heimnetzgruppe. Damit lassen sich Dateien und Ordner zwischen Rechnern austauschen. Auf den Rechnern kann Windows XP, Vista und 7 installiert sein. Die mit Windows

Mehr

6RIW&OHDQ Š 9HUVLRQ8SJUDGHDQOHLWXQJ

6RIW&OHDQ Š 9HUVLRQ8SJUDGHDQOHLWXQJ 6RIW&OHDQ Š 9HUVLRQ8SJUDGHDQOHLWXQJ 6HKUJHHKUWH6RIW&OHDQ $QZHQGHU LQ XQVHUHP 6RIW&OHDQ 8SGDWHV 'RZQORDGEHUHLFK ILQGHQ 6LH ]ZHL $UWHQ YRQ 8SGDWHV 1DFKIROJHQGHUIDKUHQ6LHZHOFKHV8SGDWHI U6LHGDVULFKWLJHLVWXQGZLH6LHGDV8SGDWHDXI,KUHP$UEHLWVSODW]GXUFKI

Mehr

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen

Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Von Netop ProtectOn 2 auf Netop ProtectOn Pro umstellen Wenn Sie Benutzer von ProtectOn 2 sind und überlegen, auf ProtectOn Pro upzugraden, sollten Sie dieses Dokument lesen. Wir gehen davon aus, dass

Mehr

SecurityGateway. Installationsanleitung

SecurityGateway. Installationsanleitung Installationsanleitung Inhaltsverzeichnis Installationsanleitung 3 Schritt 1 Download der Installationsdateien 3 Schritt 2 Willkommensbildschirm 4 Schritt 3 Lizenzbestimmungen 4 Schritt 4 Installationsverzeichnis

Mehr

Windows 2008 Server im Datennetz der LUH

Windows 2008 Server im Datennetz der LUH Windows 2008 Server im Datennetz der LUH Anleitung zur Installation von Active Directory und DNS auf einem Windows 2008 Server Zu einem funktionierenden Active-Directory-Server gehört ein interner DNS-Server.

Mehr

1 Verwalten von Benutzern,

1 Verwalten von Benutzern, Einführung 1 Verwalten von Benutzern, Gruppen und Computern Lernziele: Die Windows Server 2003 Familie Anmeldearten Administrative Hilfsmittel Bearbeiten von Benutzerkonten Bearbeiten von Gruppen Bearbeiten

Mehr

Unterrichtseinheit 10

Unterrichtseinheit 10 Unterrichtseinheit 10 Begriffe zum Drucken unter Windows 2000 Druckgerät Das Hardwaregerät, an dem die gedruckten Dokumente entnommen werden können. Windows 2000 unterstützt folgende Druckgeräte: Lokale

Mehr

Einrichtung Mac OS X Mail IMAP

Einrichtung Mac OS X Mail IMAP Einrichtung Mac OS X Mail IMAP Fachhochschule Eberswalde IT-Servicezentrum Erstellt im Mai 2009 www.fh-eberswalde.de/itsz Die folgende Anleitung beschreibt die Einrichtung eines E-Mail-Kontos über IMAP

Mehr

Das NT Domänen-Konzept

Das NT Domänen-Konzept Das NT Domänen-Konzept Einführung Was ist eine Domäne? Was ist eine Gruppe? Was ist ein Trust? Domänen Das Single Domain Model Das Single Master Domain Model Das Multiple Master Domain Model Das Complete

Mehr

Reporting Services Dienstarchitektur

Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur Reporting Services Dienstarchitektur In Reporting Services wird ein Berichtsserver als ein Windows - Dienst implementiert, der aus unterschiedlichen Featurebere i-

Mehr

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools

Installation SelectLine SQL in Verbindung mit Microsoft SQL Server 2008 Express with Tools Im nachfolgenden Dokument werden alle Einzelschritte aufgeführt, die als Voraussetzung für die korrekte Funktionalität der SelectLine Applikation mit dem SQL Server Express with Tools 2008 vorgenommen

Mehr

Anleitung - Assistent Lanfex 2011

Anleitung - Assistent Lanfex 2011 Anleitung - Assistent Lanfex 2011 1. Installationshinweise: Bitte installieren Sie Assistent Lanfex direkt am Domänen-Controller. Das Programm sollte ausschließlich auf dem PDC gestartet werden. Hinweis

Mehr

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen

LDAP-Server. Jederzeit und überall auf Adressen von CAS genesisworld zugreifen LDAP-Server Jederzeit und überall auf Adressen von CAS genesisworld zugreifen Copyright Die hier enthaltenen Angaben und Daten können ohne vorherige Ankündigung geändert werden. Die in den Beispielen verwendeten

Mehr

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1

Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Installationsanleitung - Command WorkStation 5.5 mit Fiery Extended Applications 4.1 Fiery Extended Applications Fiery Extended Applications (FEA) 4.1 ist ein Softwarepaket für Fiery Druckcontroller mit

Mehr

Novell Filr Inhaltsverzeichnis

Novell Filr Inhaltsverzeichnis Novell Filr Inhaltsverzeichnis 1. Webanwendung...2 1.1 Aufbau...2 1.2 Funktionen...2 1.2.1 Meine Dateien...2 1.2.2 Für mich freigegeben...3 1.2.3 Von mir freigegeben...4 1.2.4 Netzwerkordner...4 1.2.5

Mehr

Upgrade eines Windows Server 2003 zu Windows Server 2008

Upgrade eines Windows Server 2003 zu Windows Server 2008 Upgrade eines Windows Server 2003 zu Windows Server 2008 Istzustand: Windows Domäne mit mindestens 1 Domänencontroller unter Windows Server 2003. Ziel: Der vorhandene Domänencontroller (Betriebsmaster)

Mehr

http://www.winhelpline.info/daten/printthread.php?shownews=601

http://www.winhelpline.info/daten/printthread.php?shownews=601 Seite 1 von 7 Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003 Dieser Artikel beschreibt die Verwendung von Richtlinien für Softwareeinschränkung in Windows Server 2003. Wenn

Mehr

Faktura-XP. Shop Edition. Leitfaden. Update der aktuellen Version Neueinbindung des OnlineShop. ab Programmversion 2.1.xxxx

Faktura-XP. Shop Edition. Leitfaden. Update der aktuellen Version Neueinbindung des OnlineShop. ab Programmversion 2.1.xxxx Faktura-XP Shop Edition Leitfaden Update der aktuellen Version Neueinbindung des OnlineShop ab Programmversion 2.1.xxxx 1999-2008 m-por media GmbH - Recklinghausen Stand: September 2008 Wichtige Hinweise

Mehr

Tobit2Exchange 2. Tobit2Exchange 2

Tobit2Exchange 2. Tobit2Exchange 2 Tobit2Exchange 2 Professionelle Anwendung für den einfachen, schnellen und zuverlässigen Datenexport von Tobit Servern nach Microsoft Exchange und Microsoft Outlook Ziele und Anforderungen Einfache, schnelle

Mehr

Einrichten Active Directory ver 1.0

Einrichten Active Directory ver 1.0 Einrichten Active Directory ver 1.0 Active Directory Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt

Mehr

Powermanager Server- Client- Installation

Powermanager Server- Client- Installation Client A Server Client B Die Server- Client- Funktion ermöglicht es ein zentrales Powermanager Projekt von verschiedenen Client Rechnern aus zu bedienen. 1.0 Benötigte Voraussetzungen 1.1 Sowohl am Server

Mehr

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden

Wurm-Lizenzserver Internetverbindung über Port 80 (http) Bei aktiver Firewall muss die Ausnahme für die URL http://ls.wurm.de eingerichtet werden Der Wurm Lizenzmanager Der Wurm Lizenzmanager dient als Lizenzserver für Software der Firma Wurm. Die Installation erfolgt auf einem Rechner innerhalb des jeweiligen Intranets. Dadurch kann auf separate

Mehr

ATB Ausbildung technische Berufe Ausbildungszentrum Klybeck

ATB Ausbildung technische Berufe Ausbildungszentrum Klybeck Inhaltsverzeichnis DOKUMENTATION SERVER INSTALLATION MIT WINDOWS 2000...1 Was ist ein Server...1 Aufbau des aprentas Servers...1 Materialliste:...1 Ablauf der Installation:...1 Die Installation:...1 Server

Mehr

FileMaker Factory GmbH, c/o Darko Stula, Bläsiring 150, 4057 Basel, +41 78 880 00 36, mail@bfiles.ch

FileMaker Factory GmbH, c/o Darko Stula, Bläsiring 150, 4057 Basel, +41 78 880 00 36, mail@bfiles.ch b'files. helpfile FileMaker Factory GmbH, c/o Darko Stula, Bläsiring 150, 4057 Basel, +41 78 880 00 36, mail@bfiles.ch B'FILES, OUTLOOK UND GENIUS CONNECT GeniusConnect ist ein PlugIn für MS-Outlook. Es

Mehr

MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse

MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse Modul 1: Installation und Konfiguration von Windows Server 2008Diese Unterrichtseinheit befasst sich mit

Mehr

7 SharePoint Online und Office Web Apps verwenden

7 SharePoint Online und Office Web Apps verwenden 7 SharePoint Online und Office Web Apps verwenden Wenn Sie in Ihrem Office 365-Paket auch die SharePoint-Dienste integriert haben, so können Sie auf die Standard-Teamsite, die automatisch eingerichtet

Mehr

Workshop GS-BUCHHALTER Umzug des Datenbankordners GSLINIE

Workshop GS-BUCHHALTER Umzug des Datenbankordners GSLINIE Herzlich willkommen zu den Workshops von Sage. In diesen kompakten Anleitungen möchten wir Ihnen Tipps, Tricks und zusätzliches Know-how zu Ihrer Software von Sage mit dem Ziel vermitteln, Ihre Software

Mehr

Windows 2000 Active Directory Design

Windows 2000 Active Directory Design Michael Völk, Dr. David Street Windows 2000 Active Directory Design MCSE-Examen Nr. 70-219 ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow, England Don Mills, Ontario

Mehr

Clients in einer Windows Domäne für WSUS konfigurieren

Clients in einer Windows Domäne für WSUS konfigurieren Verwaltungsdirektion Abteilung Informatikdienste Clients in einer Windows Domäne für WSUS konfigurieren 08.04.2009 10:48 Informatikdienste Tel. +41 (0)31 631 38 41 Version 1.0 Gesellschaftsstrasse 6 Fax

Mehr

Unterrichtseinheit 4

Unterrichtseinheit 4 Unterrichtseinheit 4 Erstellen und Verwalten von Benutzerkonten: Benutzerkonten enthalten eindeutige Informationen eines Benutzers und ermöglichen diesem die Anmeldung und somit den Zugriff auf lokale

Mehr

Dokumentation Active Directory Services mit Vertrauensstellungen

Dokumentation Active Directory Services mit Vertrauensstellungen Dokumentation Active Directory Services mit Vertrauensstellungen Inhaltsverzeichnis Hilfestellung... 1 Video: Installation unter VMware Workstation... 1 Schritt 1... 1 Einstellung des Computernamen...

Mehr

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk

Inhaltsverzeichnis Vorwort Workshop: Testumgebung Microsoft-Netzwerk Vorwort 11 1 Workshop: Testumgebung Microsoft-Netzwerk 17 1.1 Vorbereitungen für die Testumgebung 18 1.2 Microsoft Virtual Server 2005 R2 20 1.2.1 Installation Microsoft Virtual Server 2005 R2 21 1.2.2

Mehr

Outlook - CommuniGate Pro Schnittstelle installieren. Outlook - Elemente freigeben. Outlook - Freigegebene Elemente öffnen

Outlook - CommuniGate Pro Schnittstelle installieren. Outlook - Elemente freigeben. Outlook - Freigegebene Elemente öffnen Microsoft Outlook 1 Nutzung der Groupware mit Microsoft Outlook 1.1 Outlook - CommuniGate Pro Schnittstelle installieren 4 1.2 Outlook - Elemente freigeben 11 1.3 Outlook - Freigegebene Elemente öffnen

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2011 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Anlage zu FAQ Beliebigen Benutzer in der PCU50/70 mit WinNT, WinXP Software V6.x einrichten

Anlage zu FAQ Beliebigen Benutzer in der PCU50/70 mit WinNT, WinXP Software V6.x einrichten Frage: Wie kann man einen beliebigen Benutzer in der PCU50/70 mit WinNT, WinXP Software V6.x einrichten, der sich entweder lokal oder am Netzwerk anmelden kann, bzw. wie kann der Benutzer "AUDUSER" auf

Mehr