Windows 2008 Server R2 Peter Unger
Grundlagen und Begriffe Installation Organisationseinheiten Benutzer Computer Gruppen Benutzerprofile 2
Überblick Verzeichnisdienst Das AD baut auf einer Datenbank auf die sich an dem X.500-Standard orientiert. Zur Abfrage und Modifikation wird das Leightweight Directory Access Protocol (LDAP) genutzt. Das Schema definiert die Struktur bzw. den Aufbau. Jedes Objekt wird eindeutig durch den Distinguished Name (DN) gekennzeichnet. Das AD kann durch Objekte (z. B. Benutzer, Gruppen, Computer) die an verschiedenen Orten (Organisationseinheit, Domäne) gespeichert werden strukturiert werden. Buch S. 46 ff. 3
Die AD-Datenbankdatei NTDS.dit ist in drei Teile gegliedert: Die Schema-Partition enthält das Schema Die Konfigurations-Partition enthält Informationen über vorhandene Domänen und Vertrauensstellungen. Die Domänen-Partition enthält alle Objekte einer bestimmten Domäne. Der Inhalt der Schema- und der Konfigurations- Partition ist auf allen DCs in einem AD identisch. 4
Domäne, Struktur und Gesamtstruktur Domäne Eine Domäne ist ein zentral verwaltbarer Sicherheitsbereich, der eine administrative Grenze im AD bildet. Ein DC speichert immer sämtliche Objekte seiner Domäne. Er kann niemals DC für mehrerer Domänen sein. Struktur Eine Struktur entsteht, wenn im AD weitere Subdomänen erstellt werden. Man spricht auch von Tree (Baum). Gesamtstruktur Bezeichnet den Verbund mehrerer Domänen. Man spricht auch von Forest (Wald). 5
Domäne, Struktur und Gesamtstruktur 6
Vertrauensstellungen Innerhalb eines AD werden automatisch Vertrauensstellungen zwischen Domänen angelegt. Vertrauensstellungen ermöglichen es, dass Benutzer einer Domäne auf Ressourcen einer anderen Domäne zugreifen können. Eine Vertrauensstellung beschreibt die Beziehung zwischen zwei Domänen. Die vertrauende Domäne lässt Anmeldeauthentifizierungen aus der vertrauten Domäne zu; sie vertraut den Benutzern der vertrauten Domäne. 7
Vertrauensstellungen Unidirektionale, nicht transitive (durchlässige) Vertrauensstellungen X vertraut nicht automatisch Z. Y vertraut nicht automatisch X. Z vertraut nicht automatisch Y. Domäne X Domäne Y Domäne Z Bidirektionale, transitive Vertrauensstellungen Alle automatisch erstellten Vertrauensstellungen sind bidirektional und transitiv. Dadurch vertraut jede Domäne jeder. 8
Funktionsebenen Funktionsebenen sind Betriebsmodi des AD, die festlegen welche Funktionen zur Verfügung stehen und welche OS-Versionen für die DCs eingesetzt werden können. Funktionsebenen gibt es auf Domänen- und Gesamtstruktur-Ebene. Die OS-Version sämtlicher DCs darf nicht kleiner sein als die Funktionsebene. Wenn alle Voraussetzungen erfüllt sind kann die Funktionsebene herauf gestuft werden. Ein Herunterstufen ist nicht möglich. 9
Funktionsebenen Überblick der verschiedenen Ebenen und deren Features im TechNet unter: http://technet.microsoft.com/dede/library/cc771294.aspx 10
Domänencontroller, Betriebsmaster und globaler Katalog Multimaster-Replikationsmodell Um die Ausfallsicherheit zu erhöhen sollte jede Domäne über mehrere DCs verfügen. Änderungen innerhalb der Domäne müssen auf alle DCs übertragen werden. Dies wird als Replikation bezeichnet. Das AD verwaltet die Replikationstopologie automatisch. Die sogenannten Betriebsmaster-Rollen stellen eine Ausnahme dar. 11
Domänencontroller, Betriebsmaster und globaler Katalog Read-Only Domain Controller Mit Win2k8 wurde diese Funktion neu eingeführt (RODC). Sie zielt auf den Einsatz in kleinen Filialen, wo der physikalische Schutz des Servers (Diebstahlschutz) nicht angemessen möglich ist. Es kann festgelegt werden welche Benutzerkonten auf einen RODC repliziert werden. Der RODC hat keine Schreibrechte auf das AD. 12
Domänencontroller, Betriebsmaster und globaler Katalog Betriebsmaster (FSMOs) Eine Flexible Single Master Operation (FSMO) ist eine Funktion auf einem DC, die so sensibel ist, dass diese Aufgabe nicht von mehreren DCs übernommen werden darf. Insgesamt gibt es fünf Betriebsmaster-Rollen. Schema-Master und DNS-Master sind einmalig in einer Gesamtstruktur, die anderen einmalig in jeder Domäne. 13
Schema-Master Domänencontroller, Betriebsmaster und globaler Katalog Betriebsmaster (FSMOs) Veränderungen am Schema können nur auf diesem Rollen-Inhaber vorgenommen werden. Domain-Name-Master Stellt beim Erstellen oder löschen einer Domäne sicher, dass das AD in einem funktionsfähigen Namensraum arbeitet. Infrastruktur-Master RID-Master PDC-Emulator Verantwortlich für die korrekte Namenszuordnung bei domänenübergreifenden Gruppenmitgliedschaften. Stellt die Eindeutigkeit von Domänen- Objekten sicher (SID-Generierung). Verschiedene Aufgaben im Zusammenhang mit Kennwortänderungen, zentrale Zeit- Quelle für alle Domänen-Computer. 14
Domänencontroller, Betriebsmaster und globaler Katalog Globaler Katalog Der globale Katalog (GC) stellt eine domänenübergreifende Suchfunktion für AD-Objekte zur Verfügung. GC-Server spielen eine wichtige Rolle, ohne sie mache AD-Funktionen nicht funktionieren. Jeder DC sollte auch GC sein. 15
Organisationseinheiten - OU Eine OU ist ein Objekt in einer Domäne, das verschiedenen Zwecken dient: Strukturiertes Speichern von Objekten, vergleichbar mit dem Speichern von Dateien in Ordnern. Delegierung von Verwaltung; u. a. die Benutzerund Gruppenverwaltung kann auf OU-Ebene an Nicht-Administratoren delegiert werden. Gezieltes Zuweisen von Gruppenrichtlinien. Den überwiegenden Teil der Computer- und Benutzerkonfiguration sollte mit Gruppenrichtlinien (GPOs) erledigt werden. 16
Standorte im Active Directory Über diese Funktion kann auf den standortübergreifenenden Datenverkehr in Bezug auf die AD- Replikation und Domänenanmeldungen Einfluss genommen werden um die WAN-Leitungen zu entlasten. Clients versuchen zunächst standortlokale Ressourcen zu nutzen. Ist dies nicht möglich, wird diejenige genutzt, die über die billigste Verknüpfung (Kostenfaktor) erreichbar ist. In jedem Standort sollte ein GC vorhanden sein. 17
Sysvol Der Ordner sysvol entspricht der Freigabe SYSVOL, die auf jedem DC vorhanden ist. Er enthält die Ordner domain, staging, staging areas und sysvol. Der Ordner \SYSVOL\domain entspricht \SYSVOL\sysvol\<Domänenname> Im Ordner Policies sind mehrere Unterordner für jeweils ein Gruppenrichtlinienobjekt enthalten. Der Ordner \SYSVOL\sysvol\<Domänenname>\scripts entspricht der Freigabe NETLOGON, in der die Anmeldeskripte liegen. 18
Sysvol Die staging-ordner werden für die Verwaltung der Replikation benötigt. Der Inhalt der Freigabe SYSVOL wird vom File Replication Service (FRS) zwischen den DCs repliziert. Die Freigabe SYSVOL und NETLOGON werden vom Anmeldedienst netlogon benötigt. 19
Voraussetzungen Vor der Installation des erste DCs muss dieser mit ADPrep entsprechend vorbereitet werden. Die Einstellung der Systemzeit und der Zeitzone müssen stimmen. IP-Konfiguration muss stimmen (manuelle Konfig). DNS- und NetBIOS-Name müssen in der Gesamtstruktur eindeutig sein. Anmeldeinformationen müssen bekannt sein um den DC in eine vorhandene Struktur einzubinden. Buch S. 52 ff. 20
ADPrep Mit dem Active Directory Perparation Tool aktualisiert man einerseits das Schema und passt andererseits Einstellungen und Objekte in vorhandenen Domänen an. Adprep liegt auf der DVD im Ordner \support\adprep. Kopieren Sie diesen Ordner auf den Zielrechner. Schema anpassen Das Schema kann nur auf dem DC angepasst werden auf dem der Schema-Master läuft. Hier gibt man ein: adprep /forestprep 21
Domäne anpassen Um den DC in einer Domäne installieren zu können, müssen folgende Schritte einmalig ausgeführt werden: Anmeldung mit einem Domänen-Admin-Konto am Infrastruktur-Master der Domäne. Eingabe folgenden Befehles: adprep /domainprep /gpprep RODC installieren Es muss anschließend folgender Befehl eingegeben werden: adprep /rodcprep 22
Rolle installieren Vor der Installation des DCs muss zunächst die Rolle Active Directory-Domänendienst hinzugefügt werden. Aktivieren Sie nicht die Rolle DNS-Server. Dieser kann und sollte später installiert werden. DC installieren Führen Sie den Assistenten zum Installieren von Active Directory-Domänendiensten (dcpromo.exe) aus. Details siehe Buch S. 54 23
DC entfernen Zum deinstallieren startet man dcpromo.exe in der Eingabeaufforderung. Es öffnet sich der Assistent der durch die Deinstallation führt. Der Rechner muss neu gestartet werden. Ggf. nicht mehr benötigte Rollen im Server- Manager entfernen. 24
Zur Verwaltung des ADs stehen folgende Tools zur Verfügung: Active-Directory-Benutzer und Computer Active-Directory-Verwaltungscenter (dsac.exe) Kommandozeilen-Tools: dsadd /?; csvde.exe PowerShell Weitere: LDP.exe; AdsiEdit.msc 25
Vordefinierte Container in einer Domäne Builtin Computers Domain Controllers ForeignSecurityPrincipals Managed Service Accounts Users Buch S. 93 26
Organisationseinheiten erstellen Objektverwaltung delegieren Buch S. 94 27
Benutzerkonto erstellen Benutzereigenschaften bearbeiten UPN-Suffixe erstellen Buch S. 97 28
Computerkonto erstellen Buch S. 99 29
Gruppentypen Gruppenbereiche Gruppenkonto erstellen Gruppenkonto verwalten Verrechtung mit Gruppen Buch S. 100 30
Personalisierung der Arbeitsumgebung Servergespeicherte Benutzerprofile Servergespeicherte Profile implementieren Buch S. 154 ff. 31
Schrittweise Anleitung zur Einrichtung einer Vertrauensstellung: http://technet.microsoft.com/dede/library/cc738617(ws.10).aspx 32