Verwaltung eines Netzwerkes mit der Active Directory



Ähnliche Dokumente
Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Sie sollen nach Abschluss dieser Übung: das Zusammenwirken von Berechtigungen auf Freigabe- und Dateisystemebene

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

Merkblatt 6-6 bis 6-7

Musterlösung für Schulen in Baden-Württemberg. Windows Basiskurs Windows-Musterlösung. Version 3. Stand:

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern

Umleiten von Eigenen Dateien per GPO

Geben Sie "regedit" ein und klicken Sie auf die OK Taste. Es öffnet sich die Registry.

26. November EFS Übung. Ziele. Zwei Administrator Benutzer erstellen (adm_bill, adm_peter) 2. Mit adm_bill eine Text Datei verschlüsseln

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Administration des Institut Shares

Organisationseinheiten Benutzer und Gruppen ver 1.0

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

Freigabe der Windows-Firewall und Verknüpfung der Pfade für die Druckvorlagen

DFÜ-Netzwerk öffnen Neue Verbindung herstellen Rufnummer einstellen bundesweit gültige Zugangsnummer Benutzererkennung und Passwort

Startmenü So einfach richten Sie surfen manuell auf Ihrem PC oder Notebook ein, wenn Sie Windows XP verwenden.

1. Zugriff des Autostarts als Dienst auf eine Freigabe im Netz

Step by Step Webserver unter Windows Server von Christian Bartl

Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten

Anleitung zur Erstellung einer Batchdatei. - für das automatisierte Verbinden mit Netzlaufwerken beim Systemstart -

Übung - Freigabe eines Ordners und Zuordnung eines Netzwerlaufwerks in Windows XP

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Installation KVV SQL

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

Whitepaper. Produkt: combit address manager / combit Relationship Manager. Datenabgleich zwischen Notebook und Desktop-PC / Server

Anleitung Captain Logfex 2013

Anweisungen zur Installation und Entfernung von Windows PostScript- und PCL-Druckertreibern Version 8

Benutzerkonto unter Windows 2000

Installationsanleitungen

Grundlagen 4. Microsoft Outlook 2003 / 2007 / Apple Mail (ab Version 4.0) 9. Outlook 2011 für Mac 10. IOS (iphone/ipad) 12

Anleitung zur Einrichtung eines Netzwerkes für den Gebrauch von GVService unter Windows 7

System-Update Addendum

Anleitungen zum Publizieren Ihrer Homepage

Benutzerhandbuch für Debian Server mit SAMBA. Rolf Stettler Daniel Tejido Manuel Lässer

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

(im Rahmen der Exchange-Server-Umstellung am )

Klicken Sie mit einem Doppelklick auf das Symbol Arbeitsplatz auf Ihrem Desktop. Es öffnet sich das folgende Fenster.

Einführung... 3 MS Exchange Server MS Exchange Server 2007 Jounraling für Mailboxdatabase... 6 MS Exchange Server 2007 Journaling für

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Microsoft Dynamics NAV 2013 R/2 Installationsanleitung. Inhalt: Begleitmaterial des ERP Übungsbuchs:

Um dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:

Tutorial: Wie nutze ich den Mobile BusinessManager?

Migration NVC 5.x auf NEM/NPro (Migration eines bestehenden, produktiven NVC Verteilservers auf NEM/NPro)

Outlook - CommuniGate Pro Schnittstelle installieren. Outlook - Elemente freigeben. Outlook - Freigegebene Elemente öffnen

Stecken Sie Ihren USB Stick oder Ihre externe USB Festplatte in den USB Steckplatz des Sinus 154 DSL SE.

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Installation des Zertifikats. Installationsanleitung für Zertifikate zur Nutzung des ISBJ Trägerportals

Outlook 2000 Thema - Archivierung

Benutzergruppen anlegen... 2 Freigabe erstellen... 3 Sicherheitseinstellungen... 4

Whitepaper. Produkt: combit Relationship Manager / address manager. Dateiabgleich im Netzwerk über Offlinedateien

X-RiteColor Master Web Edition

Import, Export und Löschung von Zertifikaten mit dem Microsoft Internet Explorer

Installationsanleitung für CashPro im Mehrbenutzerzugriff/Netzwerkbetrieb

Universität Potsdam ZEIK - Zentrale Einrichtung für Informationsverarbeitung und Kommunikation

Mediumwechsel - VR-NetWorld Software

Die Dateiablage Der Weg zur Dateiablage

:LQGRZV([SORUHU &KULVWLQH%HHU

Sage 50 kann nicht gestartet werden

Installieren und Verwenden von Document Distributor

Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

WorldShip Installation auf einen Arbeitsgruppen-Admin- oder Arbeitsgruppen-Remote-Arbeitsstation

Ordner und Laufwerke aus dem Netzwerk einbinden

Gruppenrichtlinien und Softwareverteilung

Zugang Dateidienst mit Windows 7 (Vista) Wiederherstellen der Daten

Installationsanleitung CLX.PayMaker Home

Netzlaufwerke mit WebDAV einbinden

Live Update (Auto Update)

Support Center Frankfurt Windows 2000 Server Neuer Client im Netzwerk

VIDA ADMIN KURZANLEITUNG

HostProfis ISP ADSL-Installation Windows XP 1

Die neue Datenraum-Center-Administration in. Brainloop Secure Dataroom Service Version 8.30

Bedienungsanleitung. FarmPilot-Uploader

Lizenzen auschecken. Was ist zu tun?

3 ORDNER UND DATEIEN. 3.1 Ordner

PRAXISMANAGEMENT FÜR DIE ZAHNARZTPRAXIS, MKG - CHIRURGIE UND KLINIK PRO X DENT MKG ZMK UMSTELLUNG DER INSTALLATION AUF NETZLAUFWERK

ATB Ausbildung technische Berufe Ausbildungszentrum Klybeck

Netzlaufwerke der Domäne von zu Hause/extern verbinden

Kompatibilitätsmodus und UAC

Herbert Penke GFAhnen 8.0 unter Windows Vista

Mit jedem Client, der das Exchange Protokoll beherrscht (z.b. Mozilla Thunderbird mit Plug- In ExQulla, Apple Mail, Evolution,...)

MailUtilities: Remote Deployment - Einführung

Anleitung. Update EBV 5.0 EBV Mehrplatz nach Andockprozess

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Neuinstallation Einzelplatzversion

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Brainloop Dox Häufig gestellte Fragen

2. Installation unter Windows 8.1 mit Internetexplorer 11.0

Office 2013 ist eingerichtet - aber es gibt noch keinen Zugang zu dem Postfach im neuen Mailsystem

Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender FHNW, Services, ICT

Durchführung der Datenübernahme nach Reisekosten 2011

Checkliste Installation. Novaline Bautec.One

Wollen Sie einen mühelosen Direkteinstieg zum Online Shop der ÖAG? Sie sind nur einen Klick davon entfernt!

Leitfaden zur ersten Nutzung der R FOM Portable-Version für Windows (Version 1.0)

Einrichten von Pegasus Mail zur Verwendung von MS Exchange und Übertragen der alten Maildaten auf den neuen Server

Sichern der persönlichen Daten auf einem Windows Computer

Kleines Handbuch zur Fotogalerie der Pixel AG

Transkript:

Verwaltung eines Netzwerkes mit der Active Directory Wenn neue Ressourcen im Netzwerk aufgenommen werden, werden dafür im Active Directory Objekte gebildet. Container: Ein Container ist ein Objekt, das andere Objekte enthält. Container können mit den Ordnern im Windows Explorer verglichen werden. Ein Container stellt weder einen Benutzer, noch einen Dienst, noch eine Ressource dar. Sowohl Domänen wie auch OUs sind Beispiele für Containerobjekte. Benutzerkonto: Dieses Objekt enthält Informationen über den Benutzer, wie z. B. Benutzer- Anmeldename, Gruppenmitgliedschaften, Kennwort und evtl. optionale Felder wie z. B. E-Mail-Adresse, postalische Adresse, Geburtsdatum, Mitarbeiterstatus, Telefonnummer. Computer(konto): Jeder Computer, der Mitglied einer Windows-2000-Domäne ist, benötigt ein Computerkonto. In diesem Objekt sind weitere Informationen über den Computer abgelegt. Organisationseinheit(OU): OUs dienen zur Strukturierung der Datenbank. OUs können andere Active-Directory-Objekte einschließlich weiterer OUs enthalten. Gruppe: Drucker: Eine Gruppe ist eine Sammlung von Benutzerkonten, Computern oder Gruppen. Mit Hilfe von Gruppen werden Zugriffsberechtigungen, z. B. auf Ordner oder Drucker, erteilt. Das Konzept der Gruppen erleichtert die Administration. Drucker, die an einem Windows-2000-Computer installiert sind, werden automatisch in Active Directory veröffentlicht. Das Druckerobjekt selbst ist daher nur ein Zeiger auf den Drucker. Domänencontroller: Freigegebene Ordner: Domänencontroller sind eigene Objekte in Active Directory. Diese Objekte enthalten u. a. Informationen über den Standort des Servers und über das verwendete Betriebssystem. Ebenso wie bei den Druckerobjekten handelt es sich um Zeiger. Die Gruppe der Administratoren hat die Rechte diese Objekte zu erstellen bzw. zu ändern (Anderen können die Berechtigungen erteilt bekommen). OUs werden erstellt, um Rechte auf diese OUs vergeben zu können. Active Directory 1/14

A. Benutzerkonto anlegen der Benutzer kann im Netzwek mit seinen zugewiesenen Rechten arbeiten. Vorgehensweise: 1. Wählen Sie im Startmenü die Option Programme, anschließend den Befehl Verwaltung und im daraufhin erscheinenden Menü die MMC Active Directory-Benutzer und -Computer. 2. Klicken Sie mit der rechten Maustaste im Konsolenteil des Fensters auf den Container Users oder auf eine Organisationseinheit, in der Sie den Benutzer anlegen möchten, wählen Sie den Befehl Neu und den Unterbefehl Benutzer. 3. Geben Sie den Namen des Benutzers und den Benutzeranmeldenamen ein. Der komplette Benutzeranmeldename setzt sich in Windows 2000 aus dem eigentlichen Anmeldenamen und demdomänennamen des Benutzers zusammen (im Beispiel @firma.de. Für Anmeldungen an Windows-NT- Rechnern generiert Windows 2000 automatisch einen Benutzeranmeldnamen (Windows NT 3.5x/4.0). Ändern Sie diesen Eintrag nach Möglichkeit nicht. 4. Mit der Schaltfläche Weiter > wechseln Sie zum nächsten Fenster. Geben Sie hier das Kennwort zur Bestätigung zwei Mal ein und aktivieren Sie für den neuen Benutzer eine der untenstehen den Optionen: Wenn der Benutzer sein Kennwort selbst ändern können soll, aktivieren Sie das erste Kontrollkästchen, m anderen Fall das zweite. Mit der dritten Option setzen Sie die Regel außer Kraft, dass das Kennwort in bestimmten Abständen geändert werden muss. Mit der vierten Option deaktivieren Sie das Konto vorübergehend. 5. Bestätigen Sie die Eingaben mit Weiter > und kontrollieren Sie im letzten Fenster des Assistenten noch einmal die Einstellungen, bevor Sie den neuen Benutzer mit der Schaltfläche Fertig stellen bestätigen. Damit ist der Vorgang abgeschlossen und Sie sehen wieder die MMC Active Directory-Benutzer und -Computer. 6. Klicken Sie mit der rechten Maustaste im Detailfenster auf den Namen des neuen Benutzers und wählen Sie aus dem Kontextmenü den Befehl Eigenschaften. Active Directory 2/14

7. Auf den verschiedenen Registerkarten dieses Dialogfelds können Sie weit reichende Angaben über den Benutzer machen. Die Einträge sind optional. In großen Strukturen ist die Pflege dieses Datenbestands sehr sinnvoll, da alle Benutzer Active Directory nach Informationen durchsuchen können. 8, Schließen Sie anschließend das Dialogfeld durch Klick auf OK. Konto verschieben (von OU nach OU): Berechtigungen von übergeordneten Objekten (z.b. Gruppen) gelten nicht mehr Berechtigungen werden vom neuen übergeordneten Objekt geerbt Berechtigungen, die dem Benutzer direkt zugewiesen wurden bleiben erhalten B) Benutzerprofil anlegen Ein Benutzerprofil speichert die Desktopeinstellungen (Farbe,Verknüpfungen). Die Einstellungen werden in speziellen Ordnern sowie in der Registry gespeichert. Wurde keines angelegt, wird das des Standardbenutzers (Default User) benutzt. Die Einstellungen werden in C:\Dokumente und Einstellungen\Benutzername gespeichert. Ordner All Useres: Einstellungen, die für jeden Nutzer gelten, z.b. Programmverknüpfungen von Programmen, die alle benutzen dürfen. 1. Legen Sie zunächst auf dem Server ein Verzeichnis, z. B. mit dem Namen Profile, an und erstellen Sie eine Freigabe für den Ordner mit dem Namen Profile. Klicken Sie auf die Schaltfläche Berechtigungen. Entfernen Sie die Gruppe Jeder aus der Liste der Zugriffsberechtigten und fügen Sie die Gruppe Benutzer mit der Schaltfläche Hinzufügen hinzu. Bestätigen Sie die Einstellungen mit OK. 2. Wechseln Sie zu Active Directory- Benutzer und -Computer und legen Sie einen neuen Benutzer an. 3. Melden Sie sich als dieser Benutzer an und passen Sie die Desktop- und alle weiteren Einstellungen (z. B. Netzlaufwerke) an. 4. Melden Sie sich wieder ab. 5. Melden Sie sich als Administrator wieder Active Directory 3/14

an und öffnen Sie Active Directory-Benutzer und -Computer. 6.Klicken Sie mit der rechten Maustaste auf das Benutzerkonto, für das Sie ein servergespeichertes Profil einrichten möchten, und wählen Sie im Kontextmenü den Befehl Eigenschaften. 7. Geben Sie auf Registerkarte Profil den Pfad zum Benutzerprofil als UNC-Pfad an, z. B. \\dc-hr01\profile\%username%. Bestätigen Sie die Eingaben mit OK. 8. Damit der Benutzer im Folgenden das in Schritt 3 konfigurierte Profil erhält, muss dieses momentan nur lokal vorhandene Profil auf den Server kopiert werden. Dies ist kein normaler Kopiervorgang, sondern erfolgt über das Programm System in der Systemsteuerung. 9. Wählen Sie im Dialogfeld Systemeigenschaften die Registerkarte Benutzerprofile. 10. In dem Listenfeld sehen Sie alle Benutzer, die sich bislang an dieser Arbeitsstation angemeldet haben und für die ein Profilordner besteht. Markieren Sie das gewünschte Profil und wählen Sie dann Kopieren nach... Beachten Sie, dass es sich bei dem angeklickten Profil bislang um ein Profil vom Typ Lokal handelt. 11. Geben Sie nun im Eingabefeld Profil kopieren nach den Pfad zu dem freigegebenen Ordner an oder wählen Sie Durchsuchen..., um das passende Verzeichnis zu finden. 12. Klicken Sie ggf. auf die Schaltfläche Ändern..., um den Benutzer einzustellen, der das Profil benutzen darf (Standardmäßig ist dies nur der jeweils gerade in Bearbeitung befindliche Benutzer). 13. Wenn sich der neue Benutzer nun anmeldet, sucht Windows 2000 auf dem Server im Profilverzeichnis den Profilordner mit dem Anmeldenamen des Benutzers und kopiert diesen Ordner komplett auf die aktuelle Arbeitsstation. Im Zusammenhang mit servergespeicherten Profilen kommen zwei Fehlermeldungen sehr häufig vor: Das servergespeicherte Profil steht nicht zur Verfügung Wenn der Server, auf dem das Profil gespeichert ist, während des Anmeldevorgangs eines Benutzers offline ist, kann das servergespeicherte Profil nicht abgerufen wer-den. Wenn der Benutzer an der Arbeitsstation schon einmal angemeldet war, wird er unter Benutzung des lokal vorhandenen Profils angemeldet. War der Benutzer an dieser Station noch nie angemeldet, erhält er das Standardprofil (Defau lt User). Der Benutzer erhält während des Anmeldevorgangs eine entsprechende Fehlermeldung und wird danach angemeldet. Das lokale Profil ist aktueller als das servergespeicherte Eine Fehlermeldung diesen Inhalts erscheint während des Anmeldevorgangs eines Active Directory 4/14

Benutzers, wenn bei der letzten Abmeldung des Benutzers der Server, auf dem die Profile gespeichert sind, nicht zur Verfügung stand. Das Profil konnte also bei der Abmeldung des Benutzers nicht auf den Server übertragen werden. Daher liegt bei der nächsten Anmeldung des Benutzers lokal auf der Arbeitsstation eine aktuellere Version des Profilordners vor als auf dem Server. Der Benutzer erhält eine entsprechende Fehlermeldung und wird gefragt, ob er unter Benutzung des lokalen Profils angemeldet werden möchte. Klickt er hier Ja, wird entsprechend das lokale Profil verwendet; klickt er Nein, wird das servergespeicherte Profil verwendet. C) Baisordner für den Benutzer anlegen Um den Benutzern die Möglichkeit zu geben, Dateien in Basisordnern auf einem Server zentral zu speichern, muss zunächst auf dem Server ein Verzeichnis eingerichtet und freigegeben werden. Standardmäßig wird dieser Ordner Users oder Homes genannt. 1. Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie den oder die Benutzer aus, für den/die Sie einen Basisordner einrichten möchten. 2. Öffnen Sie die Eigenschaften des Benutzers und klicken Sie auf die Registerkarte Profil. 3. Im unteren Bereich dieses Dialogfelds finden Sie den Bereich Basisordner und dort unter Verbinden von: die Möglichkeit, den Speicherort für den Basisordner festzulegen. 4. Klicken Sie in das Optionsfeld vor Vebinden von: Sofort wird ein Laufwerksbuchstabe, beginnend bei Z: zugeordnet. 5. Tragen Sie nun im Textfeld hinter mit: den UNC-Pfad zu dem freigegebenen Ordner ein. 6. Bestätigen Sie Ihre Angaben mit OK. Benutzen Sie grundsätzlich statt des Benutzernames die Variable %USERNAME%. Dadurch verringern Sie die Möglichkeit von Schreibfehlern. Richten Sie für mehrere Benutzer gleichzeitig Basisverzeichnisse ein, müssen Sie diese Variable verwenden. Nachdem Sie auf OK geklickt haben, wird die Variable automatisch durch den jeweiligen Benutzernamen ersetzt. Verwenden Sie bei der Pfadangabe den UNC-Pfad zum Server. Der UNC-Pfad wird in der Form \\<servername>\<freigabename> angegeben. Der entsprechende Ordner für den Benutzer wird dann von Windows 2000 automatisch angelegt und mit den entsprechenden Rechten (Vollzugriff für den Benutzer und für die Gruppe Administratoren) belegt. Active Directory 5/14

D) Organisationseinheiten (OUs) einrichten Mit OUs können Objekte (User, Computer, andere OUs) organisiert werden Vorteile: Vereinfachung der Administration Hierarchie von Unternehmen können abgebildet werden Ohne OUs: Benutzer werden im Container Users angelegt Computer werden im Container Computers angelegt OUs erstellen: 1. Öffnen Sie Active Directory-Benutzer und -Computer 2. Klichen Sie mit der rechten Maustaste entweder auf die Domäne oder auf einen bestehenden Container, in dem Sie die neue OU anlegen möchten, und wählen Sie im Kontextmenü den Menüpunkt Neu und dann Organisationseinheit. 3. Tragen Sie im Textfeld Name: den Namen der Organisationseinheit ein und klicken Sie anschließend auf OK. E) Computerkonten erstellen Jeder Computer benötigt einen Namen zur eindeutigen Identifizierung neuer Computer = neues Computerobjekt im AD Windows-Clients können Computerkonten eigenständig in das AD eintragen, wenn sie administrative Rechte in der Domäne besitzen. In der Regel richtet der Admin das Konto im Vorfeld ein, so dass der Computer der Domäne auch von einem normalen Benutzer zugefügt werden kann. 1. Konto erstellen: 1. Öffnen Sie Active Directory- Benutzer und -Computer und wählen Sie die OU aus, in der Sie das Computerkonto erstellen möchten. 2. Klicken Sie mit der rechten Maustaste auf die OU und wählen Sie aus dem Kontextmenü Neu und dann Computer. 3. Tragen Sie in das Textfeld Computername: den Computernamen ein. Hierbei wird derselbe Name im darunter liegenden Textfeld Computername (Windows NT 3.5x/4.0 Computer): erstellt. 4. Klicken Sie auf OK, um das Computerkonto zu erstellen. Das Computerkonto ist in Active Directory 6/14

Active Directory sofort verfügbar 2. Client (am Client-PC) einbinden: s. Extrablatt F) Gruppenkonten Benutzergruppen werden in Gruppenkonten gesammelt Benutzer werden einer Gruppe zugeordnet und bekommen so die Rechte, die für diese Gruppe gelten Arbeitserleichterung für den Administrator Vordefinierte Gruppen: Windows 2000 nimmt dem Administrator bereits einen Großteil der Arbeit mit den Gruppen ab. Das System bietet bereits nach der Installation eine größere Anzahl vordefinierter Gruppen mit vordefinierten Rechten und Berechtigungen an. Definition: Rechte gewähren oder verweigern den Zugriff auf das System. So gibt es z. B. ein Recht für die lokale Anmeldung oder ein Recht, die Systemzeit auf dem Server einzustellen. Berechtigungen ermöglichen oder verweigern den Zugriff auf Ressourcen im Netzwerk. Um einen Drucker benutzen zu können, benötigen Sie z. B. die Berechtigung Drucken, für den Zugriff auf einen Ordner ist die z. B. Berechtigungsstufe Lesen erforderlich. Eine spezielle Kontrolliste des Objekts (ACL = Access Control List) speichert, welche Gruppen und Benutzer in welcher Form Zugriff auf eine Ressource haben. Auch die Gruppenmitgliedschaften sind bereits auf die meisten Standards zugeschnitten. Neue Benutzer müssen oft lediglich einer passenden vordefinierten Gruppe hinzugefügt werden, um standardisierte Rechte und Berechtigungen zu bekommen. Vordefinierte Gruppen existieren für globale, lokale Domänen- und Systemgruppen. Eine große Anzahl vordefinierter Gruppen befindet sich im Ordner Builtin der jeweiligen Domäne. Eine Gruppe erstellen Um Gruppen zu erstellen, verwenden Sie die MMC Active Directory Benutzer und -Computer. Erstellen Sie die Gruppe entweder in einer Domäne oder in einer organisatorischen Einheit. Im nachfolgenden Beispiel wird die Gruppe in der Domäne erstellt. 1. Klicken Sie mit der rechten Maustaste auf den Ordner Users in der Domäne und Active Directory 7/14

wählen Sie im Kontextmenü den Befehl Neu und anschließend die Option Gruppe. 2. Geben Sie den Namen der Gruppe ein. Beachten Sie, dass der Name innerhalb der Domäne eindeutig sein muss. Der Gruppenname wird zweimal geführt; für Windows 2000 und darunter für ältere Windows-Versionen. Bestimmen Sie den Gruppenbereich. Der Bereich Universal ist nur aktiv, wenn die Domäne im einheitlichen Modus ausgeführt wird oder der Gruppentyp auf Verteiler eingestellt ist. 3. Bestätigen Sie die Eingaben bzw. Optionen mit OK. Mitglieder einer Gruppe hinzufügen Zu den potenziellen Mitgliedern einer Gruppe zählen einzelne Benutzer, andere Gruppen und Computer. Ein Benutzer kann selhstverständiich Mitglied in mehreren Gruppen sein. Er erhält dadurch alle Berechtigungen, die den einzelnen Gruppen zugewiesen wurden. 1. Öffnen Sie die MMC Active Directory-Benutzer und -Computer im Menü Verwaltung. 2. Klicken Sie mit der rechten Maustaste auf die Gruppe, zu der Sie neue Mitglieder hinzufügen wollen, und wählen Sie den Befehl Eigenschaften aus dem Kontextmenü. 3. Selektieren Sie im Dialogfeld für die Eigenschaften die Registerkarte Mitglieder. 4. Klicken Sie auf die Schaltfläche Hinzufügen... 5. Markieren Sie in der daraufhin erscheinenden Auswahlliste den gewünschten Benutzer bzw. die Gruppe in der Liste. Um mehrere Benutzer hinzuzufügen, verwenden Sie bei der Auswahl die Tasten Strg. Sie können die Namen der Benutzer auch direkt in das untere Textfeld eingeben und anschließend mit der Schaltfläche Namen überprüfen testen, ob die Namen auch tatsächlich vorhanden sind. 6. Übernehmen Sie die Auswahl mit OK. Sie können maximal 5000 Benutzer pro Gruppe erfassen. oder 1. Öffnen Sie die MMC Active Directory-Benutzer und -Computer im Menü Verwaltung. 2. Markieren Sie alle Benutzer, die Sie einer Gruppe hinzufügen wollen. 3. Klicken Sie mit der rechten Maustaste auf die Auswahl und wählen Sie im Kontextmenü den Befehl Mitglieder einer Gruppe hinzufügen... 4. Wählen Sie in der Liste die gewünschte Gruppe und bestätigen Sie die Auswahl OK. Empfohlene Strategie beim Anlegen von Benutzern und Gruppen bzw. deren Rechte: AGLDP Active Directory 8/14

G) Zugriffsberechtigungen auf Ordner und Verzeichnisse FAT-Dateisystem: Dateien können nur auf Ordnerebene geschützt werden, bzw muss jede Datei separat geschützt werden Der Schutz ist nur wirksam, wenn auf die Ordner über das Netzwerk zugegriffen wird. Bei lokaler Anmeldung sind alle Ordner ungeschützt. NTFS-Dateisystem: Verzeichnis- und Dateiberechtigungen Der Schutz gilt immer Der Administrator kann genau festlegen, welche Gruppen und Benutzer Zugriff haben und auf welcher Ebene (lesen, schreiben, löschen) der Zugriff gewährt wird. Freigaben: Um festzulegen, in welcher Form Benutzer Zugriff auf freigegebene Ordner erhalten, weisen Sie dem Ordner Freigabeberechtigungen zu. Die nachfolgend wird eine Kurzbeschreibung der verschiedenen Berechtigungen für Freigaben gezeigt. Lesen: Die Leseberechtigung ermöglicht dem Benutzer das Anzeigen von Dateiund Unterordnernamen, das Wechseln zu Unterordnern, das Anzeigen von Daten in Dateien und das Starten von Programmen. Ändern: Zusätzlich zu der Berechtigung Lesen ermöglicht Ändern das Hinzufügen von Dateien und Unterordnern, das Ändern von Daten in Dateien und das Löschen von Unterordnern und Dateien. Vollzugriff (alle): Vollzugriff umfasst neben den Berechtigungen Lesen und Ändern auch das Ändern von Berechtigungen und die Besitzübernahme, jeweils dann, wenn sich die Freigabe auf einer NTFS-Partition befindet. Nach der Freigabe eines Ordners besitzt automatisch die Systemgruppe Jeder den Vollzugriff auf den freigegebenen Ordner. Um den Zugriff sicherer zu gestalten, sollte die Gruppe Jeder entfernt werden, und durch eine andere Gruppe, z. B. Benutzer ersetzt werden. Grundsätzlich weisen Sie nur denjenigen Gruppen Berechtigungen zu, die unbedingt Zugriff auf die Ressource brauchen! Die einem Benutzer oder einer Gruppe zugewiesenen Freigabeberechtigungen für ein Verzeichnis stehen dem Benutzer oder der Gruppe auch in allen Unterverzeichnissen des Verzeichnisses zur Verfügung. Active Directory 9/14

Die folgende Tabelle zeigt die für die Durchführung bestimmter Aufgaben benötigten Freigabeberechtigungen im Überblick: Eine Freigabe erstellen: Freigaben erstellen Sie am einfachsten jeweils lokal auf dem Server, der die Ressourcen zur Verfügung stellen soll. 1. Starten Sie den Windows Explorer. 2. Klicken Sie mit der rechten Maustaste auf das Verzeichnis, für das Sie eine Frei-gabe definieren wollen, und wählen Sie den Befehl Freigabe... im Kontextmenü. 3. Wählen Sie auf der Registerkarte Freigabe die Option Diesen Ordner freigeben. Windows 2000 trägt automatisch den Namen des Ordners als Bezeichnung für die Freigabe ein. Sie können den Freigabenamen unabhängig vom Ordnernamen eingeben. Lediglich in Umgebungen mit DOS- Rechnern ist dabei auf die 8.3-Zeichen-Regel zu achten. Bei längeren Freigabenamen oder bei der Verwendung von Umlauten oder Leerzeichen erscheint eine entsprechende Meldung, die Sie mit OK bestätigen können. 4. Klicken Sie auf die Schaltfläche Berechtigungen, Active Directory 10/14

um die Freigabe-Berechtigungen für den Ordner zu bestimmen. 5. Löschen Sie mit der Schaltfläche Entfernen die Gruppe Jeder aus der ACL. 6. Klicken Sie auf die Schaltfläche Hinzufügen... und nehmen Sie die Gruppe Benutzer in die ACL des Ordners auf. 7. Standardmäßig lautet die Berechtigung Lesen. Aktivieren Sie ggf. im Feld Zulassen die Kontrollkästchen für die Berechtigungen Ändern oder Vollzugriff. 8. Übernehmen Sie die Einstellungen mit OK. NTFS-Berechtigungen zuweisen: NTFS-Berechtigungen werden mit dem Windows Explorer zugewiesen. Der Datenträger muss mit NTFS formatiert sein! 1. Klicken Sie im Windows Explorer mit der rechten Maustaste auf den Ordner, dessen NTFS-Berechtigungen Sie ändern wollen, und wählen Sie im Kontextmenü den Befehl Eigenschaften. 2. Wählen Sie die Registerkarte Sicherheitseinstellungen. Das Dialogfeld Eigenschaften von <Ordnername> zeigt die aktuellen Sicherheitseinstellungen des Ordners. Im nächsten Schritt soll die Gruppe Jeder durch die Gruppe Benutzer ersetzt werden und der Gruppe Jeder andere Berechtigungen zugewiesen werden. 3. Um die Gruppe Jeder aus der Liste zu entfernen, markieren Sie diese und klicken anschließend auf die Schaltfläche Entfernen. Sie erhalten die Meldung, dass die Gruppe Jeder nicht entfernt werden kann, weil die Berechtigungen dem Ordner nicht unmittelbar, sondern über Vererbung aus dem übergeordneten Ordner übertragen worden sind: 4. Sie durchbrechen den Vererbungsmechanismus vom übergeordneten auf den aktuellen Ordner, indem Sie das Kontrollkästchen Vererbbare übergeordnete Berechtigungen übernehmen deaktivieren. In der nachfolgenden Meldung klicken Sie auf Entfernen, um alle vererbten Berechtigungen zu entfernen. 5. Mit der Schaltfläche Hinzufügen... suchen Sie eine neue Gruppe aus der Auswahlliste aus. Wählen Sie die Gruppe Benutzer mit Hinzufügen im Auswahldialogfeld aus und bestätigen Sie die Wahl mit OK. Active Directory 11/14

6. Per Standard werden der neuen Gruppe die Berechtigungen Lesen, Ausführen, Ordnerinhalt auflisten und Lesen zugewiesen. Aktivieren Sie zusätzlich die Berechtigung Schreiben und bestätigen Sie mit OK. Freigaben und NTFS-Berechtigungen kombinieren Freigabeberechtigungen besitzen wesentliche Einschränkungen: Sie können nur auf Ordnerebene angewendet werden. Die Berechtigungen für den Freigabeordner gelten ohne Einschränkung für alle darunter liegenden Ordner und Dateien. Sie wirken nicht beirn lokalen Zugriff. Durch Hinzuziehen von NTFS-Berechtigungen zu den Freigabe-Berechtigungen erhöhen Sie in entscheidender Weise die Sicherheit beirn Zugriff auf die Ressourcen. Bei der Kornbination von Freigabe- und NTFS-Berechtigungen d. h. beim Zugriff auf einen freigegebenen Ordner auf einern NTFS-Datenträger über das Netzwerk, gilt folgender Grundsatz: Die arn rneisten einschränkende Berechtigung hat irnrner Vorrang und bestirnrnt die effektive Berechtigung. Die effektiven Berechtigungen Manfreds für die Ordner lauten hier: Active Directory 12/14

H) Gruppenrichtlinien Gruppenrichtlinien sind ein Mittel, administrative Aufgaben auf ein Mindestmaß zu reduzieren. Mit Hilfe von Gruppenrichtlinien ist es dem Administrator möglich, die Arbeitsumgebung für den jeweiligen Benutzer optimal anzupassen. Dadurch werden mögliche Fehler vermieden, die dazu führen könnten, dass Benutzer administrative Hilfe benötigen, z. B., wenn ein Programm-Icon vom Desktop verschwunden ist oder Benutzer an unterschiedlichen Computern unterschiedliche Arbeitsumgebungen vorfinden. Gruppenrichtlinien basieren auf Active Directory und sind Teil der Änderungs- und Konfigurationsverwaltung, die allgemein als IntelliMirror bezeichnet wird. IntelliMirror- Techniken helfen dem Administrator bei den folgenden Tätigkeiten: Umgebungseinstellungen für Benutzer, Computer und Gruppen können zentral definiert und deren Umsetzung durch Windows 2000 permanent erzwungen werden. Die Remote-Installation von Windows-2000-professionalClients wird ermöglicht. Bestimmte Benutzerordner wie z. B. der Ordner Eigene Dateien können auf einen Server umgeleitet werden und stehen dem Benutzer damit, unabhängig davon, von welcher Arbeitsstation er sich anmeldet, immer zur Verfügung. Für Laptop-Benutzer kann dieser Ordner zusätzlich als Offline-Ordner konfiguriert werden. Ebenso stehen individuelle Benutzer-Desktops und benutzerdefinierte Anwendungen auf allen Arbeitsstationen permanent zur Verfügung. Die Verwaltung der zur Verfügung stehenden Software erfolgt zentral durch den Administrator. Anwendungsinstallationen Updates und auch Deinstallationsvorgänge werden zentral administriert und deren Durchführung erzwungen. Gruppenrichtlinien sind den aus anderen Microsoft-Betriebssystemen bekannten Systemrichtlinien und Profilen ähnlich es handelt sich aber nicht um dieselben Objekte: Systemrichtlinien (unter Windows NT 4.0) haben die folgenden Eigenschaften: Sie werden nur Domänenweit angewandt. In ihnen können nur Einstellungen konfiguriert werden, die als Registrierungs~ einträge verarbeitet werden. Dies schränkt einerseits die Einstellungsmöglich keiten ein, andererseits können die Einstellungen entsprechendes Wissen vorausgesetzt vom Benutzer lokal wieder geändert werden. Die durch sie gesetzten Einträge bleiben oftmals länger aktiv als eigentlich nötig: Die Einträge gelten so lange als gesetzt, bis sie explizit durch eine andere Einstellung überschrieben werden oder in der Registrierung wieder deaktiviert werden. Gruppenrichtlinien (unter Windows 2000) haben die folgenden Eigenschaften: Sie werden mit Objekten in Active Directory verknüpft. Verknüpfungen sind nur mölich mit Standorten, Domänen oder Organisationseinheiten. Es ist möglch ausgewählten Benutzern und Gruppen das Recht zur Verknüpfung von Gruppenrichtlinien zu erteilen. Standardmäßig liegt dieses Recht bei den Domänenadministratoren und bei den OrganisationsAdministratoren. Registrierungseinträge, die aus Gruppenrichtlinieneinträgen entstehen, werden in sichere Bereiche der Registrierung geschrieben so dass sie nicht Active Directory 13/14

Registrierungseditoren wie regedit oder regedt32 geändert werden können. Aktualisierungen in den Richtlinieneinstellungen werden in regelmäßigen Abständen auf alle beteiligten Computer übertragen. Durch die Vielzahl der möglichen EinsteIIungen erhalten die Administrtoren genaue Kontrolle über die Benutzereinstellungen. Gruppenrichtlinienobjekt (GPO) erstellen: Gruppenrichtlinienobjekte werden mit der MMC Active Directory-Benutzer und -Computer erstellt. Das Gruppenrichtlinienobjekt Default Domain Policy wird bei der Installation von Active Directory erzeugt und ist daher in jedem Fall bereits vorhanden. 1. Melden Sie sich als Administrator an. 2. Öffnen Sie Active Directory-Benutzer und -Computer. 3. Klicken Sie mit der rechten Maustaste auf eine Domäne oder eine OU und wählen Sie im Kontextmenü den Befehl Eigenschaften. Active Directory 14/14

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback