1 Das Active Directory-Domänenkonzept von Windows Server 2012



Ähnliche Dokumente
5 Benutzer und Gruppen in ADDS-Domänen

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

1 Die Active Directory

Sie erhalten einen kurzen Überblick über die verschiedenen Domänenkonzepte.

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft!

2 Datei- und Druckdienste

Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

Windows Server 2008 (R2): Anwendungsplattform

6 NetWare-Clients. 6.1 Native File Access für Windows. Novell NetWare 6.0/6.5 Administration (Grundlagen)

3 Entwerfen von Identitäts- und

Windows Server 2012 RC2 konfigurieren

Prüfungsnummer: Prüfungsname: Administering. Version: Demo. Windows Server

Windows 2008R2 Server im Datennetz der LUH

-Echte und Originale Prüfungsfragen und Antworten aus Testcenter -Machen Sie sich fit für Ihre berufliche Zukunft!

Installationsanleitung dateiagent Pro

Authentication Policy. Konfigurationsbeispiel ZyXEL ZyWALL USG-Serie. Juni 2010 / HAL

MOC 2195 Windows Server 2003: Planen, Implementieren und Warten einer Active Directory- Infrastruktur

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

Beschreibung einer Musterkonfiguration für PBS-Software in einem WINDOWS 2003 Netzwerk - Rel. 2 (mit NPL Runtime Package Rel. 5.

1 Das Active Directory-Domänenkonzept von Windows Server 2008 R2

und ch/

GlobalHonknet.local. Entfernen von Metadaten aus Active Directory nach Offlineschaltung und fehlgeschlagener DC Herabstufung

Windows 2008 Server im Datennetz der LUH

Active Directory Integration Mac OS X. René Meusel Betriebssystemadministration

Anleitung Captain Logfex 2013

INHALT. 2. Zentrale Verwaltung von NT-, und 2003-Domänen. 3. Schnelle und sichere Fernsteuerung von Servern und Arbeitsstationen

Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen mit SQL Server-Daten

6.1.2 Beispiel 118: Kennwort eines Benutzers ändern

Clients in einer Windows Domäne für WSUS konfigurieren

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

White Paper. Domänenübergreifende Lizenzprüfung Winter Release

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Benutzerhandbuch für Debian Server mit SAMBA. Rolf Stettler Daniel Tejido Manuel Lässer

Geben Sie "regedit" ein und klicken Sie auf die OK Taste. Es öffnet sich die Registry.

System-Update Addendum

1 Änderungen bei Windows Server 2008 R2

MOC 2145 Windows Server 2003: Verwalten einer Domänen-Umgebung

Wissenswertes über LiveUpdate

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

14.2 Einrichten der Druckserverfunktionen

Unterrichtseinheit 7

Service & Support. Was sind die Vorraussetzungen für einen Client-Server-Betrieb mit Simatic WinCC (<V5 & V5)? WinCC.

Formular»Fragenkatalog BIM-Server«

und ch/

Benutzerkonto unter Windows 2000

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

Rollen von Domänencontrollern (DC s) Tag 04/00 - Thomas Fakler

Step by Step Webserver unter Windows Server von Christian Bartl

Tipps und Tricks zu Netop Vision und Vision Pro

Anleitung zur Einrichtung eines Netzwerkes für den Gebrauch von GVService unter Windows 7

Support Center Frankfurt Windows 2000 Server. Active-Directory

Lexware professional und premium setzen bis einschließlich Version 2012 den Sybase SQL-Datenbankserver

Step by Step Active Directory unter Windows Server von Christian Bartl

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

2) Je AES können max Monitorpunkte gesetzt werden. Daher ist es sinnvoll auch je max Nst einen QServer/DIALit JServer aufzusetzen.

MSDE 2000 mit Service Pack 3a

VirusBuster CMS zentrale Verwaltung

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Windows 2008 Server R2. Peter Unger

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Powermanager Server- Client- Installation

Domänencontroller / Active Directory. Was ist eine Domäne?

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Upgrade eines Windows Server 2003 zu Windows Server 2008

TeamViewer App für Outlook Dokumentation

Anwenderleitfaden Citrix. Stand Februar 2008

Was ist LDAP. Aufbau einer LDAP-Injection. Sicherheitsmaßnahmen. Agenda. LDAP-Injection. ITSB2006 WS 09/10 Netzwerkkonfiguration und Security

Organisationseinheiten Benutzer und Gruppen ver 1.0

Nutzung von GiS BasePac 8 im Netzwerk

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Novell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar ZID Dezentrale Systeme

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

1 Änderungen bei Windows Server 2008 R2

Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen zu SQL Server Analysis Services-Daten

2 Verwalten einer Active Directory

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

LDAP. Universität zu Köln IT-Zertifikat Allgemeine Technologien 1 Dozentin: Susanne Kurz M.A Referent: Branko Dragoljic

3 System Center Virtual Machine Manager 2012

Installationsanleitung WibuKey Treiber

Administrator Handbuch

PRAXISMANAGEMENT FÜR DIE ZAHNARZTPRAXIS, MKG - CHIRURGIE UND KLINIK PRO X DENT MKG ZMK UMSTELLUNG DER INSTALLATION AUF NETZLAUFWERK

Anlegen eines SendAs/RecieveAs Benutzer unter Exchange 2003, 2007 und 2010

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

3 System Center Virtual Machine Manager 2012

Konfiguration eines DNS-Servers

Merkblatt 6-6 bis 6-7

Prüfungsnummer: Prüfungsname: (Deutsche. Version: Demo. Upgrading Your Skills to MCSA Windows 8.

MetaQuotes Empfehlungen zum Gebrauch von

Guide DynDNS und Portforwarding

Grundinstallation von Windows 2003 ver 1.0

FTP Server unter Windows XP einrichten

Windows Cluster Grundlagen

Gruppenrichtlinien und Softwareverteilung

Installationsanleitung für pcvisit Server (pcvisit 12.0)

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

3 Installation von Exchange

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Transkript:

Das Active Directory-Domänenkonzept von Windows Server 2012 1 Das Active Directory-Domänenkonzept von Windows Server 2012 Microsoft hat mit Windows NT das Konzept der Domäne (engl. Domain) eingeführt. Das Wort Domäne bedeutet eigentlich nur "Bereich", in diesem Zusammenhang sind zentral verwaltete PCs, Benutzer, Ressourcen (freigegebene Ordner und Drucker) gemeint. Eine Domäne gestattet also die zentrale Verwaltung von Benutzern, PCs und Ressourcen in einem Unternehmen. Seit Windows 2000 wird der Verzeichnisdienst Active Directory als zentraler Dienst für die Verwaltung von Domänen verwendet. Ein Server-PC, auf dem die Active Directory Domain Services (ADDS) installiert sind, wird als "Domänencontroller" (DC) bezeichnet. 1.1 Bestandteile der Active Directory Domain Services Die Active Directory Domain Services bestehen grob gesprochen aus folgenden Bestandteilen: AD-Datenbank mit dem Dateinamen NTDS.DIT: In dieser Datenbank sind sämtliche verwalteten Objekte enthalten, zum Beispiel Benutzer-, Computer- und Gruppenkonten, Gruppenrichtliniencontainer, veröffentlichte Freigaben usw. ESE (Extensible Storage Engine; esentutil.dll): Dieser Dienst führt Zugriffe auf die AD- Datenbank durch DSA (Directory System Agent; ntdsa.dll): Die DSA stellt die Schnittstellen zur Verfügung, über die Directory Service-Clients und andere DCs Zugriff auf die ADDS-Datenbank erhalten. Außerdem verwaltet die DSA das ADDS-Schema, garantiert die Identität von Objekten und erzwingt für jedes Attribut den vorgegebenen Datentyp. Kerberos v5: Ein Protokoll, mit dem Benutzer und Computer eine sichere Anmeldung an AD- Domänen durchführen können LDAP (Lightweight Directory Access Protocol): Mit diesem Protokoll können Objekte in der hierarchisch strukturierten AD-Datenbank schnell gefunden werden. DFSR (Distributed File System Replication): In einer Active Directory-Domäne kann es mehrere gleichberechtigte DCs geben. Jeder DC repliziert alle Objekte, die zur Domäne gehören, auf alle anderen DCs dieser Domäne. Auch Dateien müssen mitrepliziert werden, etwa der SYSVOL-Ordner. Seit Windows Server 2008 wird die SYSVOL-Replikation zwischen Windows Server-DCs durch den DFSR-Dienst durchgeführt. Für die Replikation zu Windows 2000/2003-DCs wird der bisher eingesetzte FRS-Dienst weiterverwendet. Restartable Active Directory: Neu seit Windows Server 2008 ist die Tatsache, dass die Active Directory-Dienste (Dienstname: NTDS) gestoppt werden können. Tut man das, so verhält sich der Server wie ein Mitgliedsserver, das bedeutet, eine Domänenanmeldung ist weiterhin möglich, falls es weitere DCs gibt. 13

Windows Server 2012 - Active Directory Beim Beenden der ADDS-Dienste wird die Abhängigkeit anderer zentraler Dienste sichtbar: Der Dateireplikationsdienst (FRS, File Replications Service) steuert die Replikation des Ordners SYSVOL, der u.a. Gruppenrichtlinienobjekte und Anmeldescripts enthält. Das Kerberos-Schlüsselverteilungscenter (KDC, Key Distribution Center) spielt bei der Computer- und Benutzeranmeldung eine zentrale Rolle. Ohne DNS-Server mit AD-integrierten DNS- Zonen ist ein ADDS-Domänenbetrieb ohnehin nicht möglich. Der Standortübergreifende Messagingdienst (Inter-Site Messaging Service, ismserv) ermöglicht den Nachrichtenaustausch für Computer, die Windows-Standorte betreiben. Weitere Dienste, die auf einem DC laufen müssen: TrkWrks, TrkSrv (Distributed Link Tracking Workstation/Server, deutscher Anzeigename: Überwachung verteilter Verknüpfungen): Hält Verknüpfungen für NTFS-Dateien auf einem Computer oder zwischen Computern in einem Netzwerk aufrecht. Der Tracking Server-Dienst läuft auf jedem DC und verwaltet Informationen über Verknüpfungen zu Dateien oder Ordnern auf NTFS-Partitionen. Werden diese verschoben, so kann trotzdem die Quelle wiedergefunden werden. DFS (Distributed File System) 1.2 Forest Tree Domain Active Directory-Domänen stellen eine administrative Grenze dar, das bedeutet: Die Verwaltung jeder Domäne erfolgt durch eigene Domänenadministratoren. Die Domäne verfügt über gemeinsame Sicherheitsrichtlinien (Kennwortlänge, Kennwortkomplexität usw.). Eine Active Directory-Domäne stellt allerdings nur einen Teil einer vollständigen Active Directory- Implementierung dar: 14

Das Active Directory-Domänenkonzept von Windows Server 2012 Zeichenerklärung: Stammdomäne (root domain) der Gesamtstruktur mit dem DNS-Domänennamen contoso.intern; die Stammdomäne gibt auch der Gesamtstruktur ihren Namen. Die Domäne, die als erstes erstellt wird, ist automatisch die Stammdomäne der Gesamtstruktur. Active Directory-Domäne mit dem DNS-Domänennamen fabrikam.intern Automatisch erstellte, bidirektionale, transitive Vertrauensstellung Eine vollständige Instanz von Active Directory wird als Gesamtstruktur (engl. Forest) bezeichnet. "Instanz" bedeutet einen Implementierungsumfang, in dem jeder "Teil" von Active Directory mindestens einmal vorkommt. Eine Gesamtstruktur bildet eine Sicherheitsgrenze, das bedeutet, dass sicherheitskritische Informationen nicht über diese Grenze weitergegeben werden. So ist es beispielsweise innerhalb der Gesamtstruktur immer möglich, dass jeder Benutzer sich an jeder Domäne dieser Gesamtstruktur anmeldet, ganz egal, zu welcher AD-Domäne sein Benutzerkonto gehört. Genauso ist der Zugriff auf freigegebene Ordner in allen Domänen der Gesamtstruktur ohne zusätzliche Anmeldung möglich (falls der Benutzer die entsprechenden Freigabe- und NTFS- Berechtigungen auf die freigegebenen Ordner besitzt). Domänen haben immer DNS-Namen (Domain Name System). DNS-Namen müssen aus mindestens zwei Teilen bestehen. Domänen, die einen gemeinsamen Namensraum besitzen (in der Zeichnung etwa contoso.intern, hr.contoso.intern und rd.contoso.intern), bilden eine Struktur (engl. Tree). Während die Begriffe "Domäne" und "Gesamtstruktur" ganz wesentlichen Einfluss auf die technische Umsetzung haben, ist der Begriff "Struktur" vergleichsweise unwichtig. 15

Windows Server 2012 - Active Directory Man unterscheidet zwei Typen von Gesamtstrukturen: Single-Domain-Forest: Darunter versteht man eine Gesamtstruktur mit nur einer einzigen Domäne. Die Domäne und die Gesamtstruktur haben in diesem Fall denselben Namen und werden gleichzeitig erzeugt. Der Single-Domain-Forest ist für praktisch alle Klein- und Mittelbetriebe die empfohlene Installationsvariante; Microsoft empfiehlt allerdings auch für große Umgebungen wenn möglich die Einrichtung einer einzigen Domäne. Multiple-Domain-Forest: Darunter versteht man eine Gesamtstruktur mit mehr als einer Domäne. Für die meisten in Österreich ansässigen Unternehmen besteht keine Notwendigkeit, solche Konfigurationen einzurichten. Die erste Domäne in einer ADDS-Gesamtstruktur wird als Stammdomäne bezeichnet. Sie hat allein deswegen eine Sonderstellung, weil sie die einzige Domäne ist, deren Namen mit dem Gesamtstruktur-Namen übereinstimmt. Microsoft empfiehlt wenn möglich einen Single- Domain-Forest, also eine Gesamtstruktur mit nur einer einzigen Domäne einzurichten. Dies reduziert den Verwaltungsaufwand und auch die Komplexität. Trotzdem darf nicht vergessen werden, dass auch diese eine Domäne Teil einer Gesamtstruktur mit demselben Namen ist. Gründe für mehrere Domänen gibt es nur zwei: 16 Es sind verschiedene Sicherheitsrichtlinien innerhalb der Firma notwendig (etwa unterschiedliche Kennwortlängen). Die Verwaltung von mehreren Bereichen muss unabhängig voneinander erfolgen können. Die jeweiligen Administratoren müssen sich nicht absprechen. Domänen sind Verwaltungsgrenzen in Microsoft-Netzwerken. Die Gesamtstruktur stellt die Sicherheitsgrenze dar. Ein Forest darf (theoretisch) maximal 800 Domains enthalten; ab Gesamtstruktur-Funktionsebene Windows Server 2003 sind 1200 Domains möglich. Domänen werden gesteuert von Domänencontrollern (DC), das sind Server-PCs, auf denen die Active Directory-Dienste installiert sind. Diese Dienste verwenden eine Datenbank namens NTDS.DIT, die standardmäßig auf %system%\ntds zu finden ist. Die Anzahl der Domänencontroller pro Domäne soll 1200 nicht überschreiten. Die Active Directory-Verzeichnisdienste verwenden DNS sowohl für die Auflösung von Netzwerkressourcen (zb PC-Namen) als auch für Internet-Namensauflösung. Ohne funktionierende DNS-Infrastruktur funktionieren AD-Domänen nicht ordnungsgemäß! Active Directory arbeitet mit allen Anwendungen und Verzeichnissen zusammen, die das LDAP = Lightweight Directory Access Protocol unterstützen. Folgende Standards für das Ansprechen von Benutzern und Ressourcen sind zulässig: UNC (NT-4-Standard): \\server.noe.wifi.at\projekte RFC 822-kompatible Namen, User Principal Name: e-mail-artige Namen, zb CZahler@noe.wifi.at HTTP: http://contoso.intern/trainer/czahler LDAP: LDAP://CN=Christian Zahler,OU=trainer,DC=contoso,DC=intern Derzeitige Anwendung von LDAP im Internet: Abfragen von e-mail-adressen von Benutzern (etwa bei www.yahoo.com o.ä.)

1.3 Entstehung des Active Directory-Konzepts Das Active Directory-Konzept hat zwei Ursprünge: Das Active Directory-Domänenkonzept von Windows Server 2012 X.500-Verzeichnisdienst, eine ISO-Norm, an die sich viele kommerzielle Anbieter anzulehnen versuchen (Microsoft: Active Directory, Novell: edirectory etc.) Directory Access Protocol (DAP), wird auch grundlegend verwendet für den X.400-Mail- Transport (Exchange Server) Active Directory verwendet eine vereinfachte Implementierung dieser beiden Standards. 1.4 Active Directory-Namenskonventionen Für die Strukturierung der Objekte im Active Directory ist es nötig, einen bestimmten Namensaufbau zu verwenden. Oft verwendet man distinguished names (DN) mit folgendem Aufbau: CN (common name): Name des Objekts; bei einem Benutzer etwa der angezeigte Name DC (domain component): Teil eines Domänennamens OU (organizational unit): Organisationseinheit Wie aus der Abbildung ersichtlich, hat das User-Objekt "Christian Zahler" folgenden DN: CN=Christian Zahler,CN=Users,DC=zahler,DC=at Befindet sich ein Benutzerobjekt jedoch in einer Organisationseinheit, so muss diese mit angegeben werden: 17

Windows Server 2012 - Active Directory Der DN von "Gerhard Gruber" lautet: CN=Gerhard Gruber,OU=Marketing,DC=zahler,DC=at Aus dieser Angabe ist es aber nicht möglich, den Anmeldenamen oder die e-mail-adresse von "Gerhard Gruber" festzustellen. Ein RDN (relative distinguished name) kann verwendet werden, wenn klar ist, von welcher Hierarchieebene ausgegangen wird. Ist klar, dass man von der OU-Ebene "Marketing" ausgeht, so lautet der RDN von "Gerhard Gruber" einfach CN=Gerhard Gruber Hinweis: LDAP- und X.500-Namen ist genauso aufgebaut wie Active Directory-Namen, allerdings verwendet LDAP Schrägstriche statt den Kommas, X.500 verwendet Strichpunkte statt /. LDAP://CN=Gerhard Gruber,OU=Marketing,DC=fabrikam,DC=intern Man unterscheidet grob gesprochen zwei Typen von ADDS-Objekten: Container-Objekte: Diese können weitere Container-Objekte und Blatt-Objekte beinhalten. Beispiele: Domänen-Objekt, Organisationseinheit, Standort. Blatt-Objekte (engl. leaves): Diese beinhalten keine weiteren Objekte; sie sind durch ihre Attribute gekennzeichnet. Beispiele: Benutzerkonten, Computerkonten, Gruppen. 18

Gesamtstruktur- und Domänenfunktionsebenen 2 Gesamtstruktur- und Domänenfunktionsebenen 2.1 Domänenfunktionsebenen Funktionsebenen bestimmen die Features von Active Directory-Domänendiensten (Active Directory Domain Services, AD DS), die in einer Domäne oder Gesamtstruktur aktiviert sind. Außerdem beschränken sie, welche Windows Server-Betriebssysteme auf den Domänencontrollern in der Domäne oder der Gesamtstruktur ausgeführt werden können. Die Funktionsebenen haben jedoch keine Auswirkung darauf, welche Betriebssysteme auf den Arbeitsstationen und Mitgliedsservern in der Domäne oder der Gesamtstruktur ausgeführt werden können. Grundsätzlich sollte eine möglichst hohe Domänenfunktionsebene angestrebt werden. Domänenfunktionsebene Windows NT 4.0-BDCs Windows 2000 Server-DCs Windows Server 2003 [R2]-DCs Windows Server 2008-DCs Windows Server 2008 R2-DCs Windows Server 2012-DCs Windows 2000 mixed Windows 2000 native ( pur ) Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 Als Standardeinstellung wird immer die niedrigstmögliche Domänenfunktionsebene ausgewählt; installiert man einen DC unter Windows Server 2008, so wird als Domänenfunktionsebene Windows 2000 einheitlich (native) festgelegt, für Windows Server 2008 R2-Domänen lautet die Standardeinstellung Windows Server 2003. Hinweise: Beachten Sie, dass die Domänenfunktionsebene Windows 2000 mixed unter Windows Server 2008 nicht mehr zur Verfügung steht. Ein gemeinsamer Betrieb von Windows Server 2008- DCs mit Windows NT 4.0 Server-BDCs wird also nicht mehr unterstützt. Die Domänenfunktionsebene betrifft ausschließlich Domänencontroller. Natürlich ist es weiterhin möglich, in einer Domäne mit Domänenfunktionsebene Windows Server 2008 einen Mitgliedsserver mit dem Betriebssystem Windows 2000 Server zu betreiben. Ändern der Domänenfunktionsebene: Das Ändern der Domänenfunktionsebene erfolgt im Snap-In "Active Directory-Benutzer und -Computer". 19

Windows Server 2012 - Active Directory Durchführen der Umstufung: 20

Gesamtstruktur- und Domänenfunktionsebenen Nachdem Sie die Domänenfunktionsebene auf einen bestimmten Wert festgelegt haben, können Sie die Domänenfunktionsebene nicht zurücksetzen oder herabstufen. Dabei gibt es eine Ausnahme: Wenn Sie die Domänenfunktionsebene auf Windows Server 2008 R2 oder Windows Server 2012 heraufstufen und die Domänenfunktionsebene Windows Server 2008 oder niedriger ist, können Sie die Domänenfunktionsebene auf Windows Server 2008 oder Windows Server 2008 R2 zurücksetzen. Sie können die Domänenfunktionsebene nur von Windows Server 2012 auf Windows Server 2008 R2 oder Windows Server 2008 oder von Windows Server 2008 R2 auf Windows Server 2008 herabstufen. Wenn die Domänenfunktionsebene auf Windows Server 2008 R2 festgelegt ist, kann sie beispielsweise nicht auf Windows Server 2003 zurückgesetzt werden. Die Änderungen lassen sich am besten in den Eigenschaften des Domänencontrollers verfolgen: Domänenfunktionsebene Windows 2000 einheitlich : Domänenfunktionsebene Windows Server 2003 : Verfügbare Funktionalität ab Domänenfunktionsebene Windows 2000 einheitlich (engl. Windows 2000 native ): universelle Gruppen Gruppenverschachtelung Gruppentypkonvertierung SID-Verlauf Für Domänencontroller, auf denen höhere Versionen von Windows Server ausgeführt werden, sind einige erweiterte Funktionen nicht verfügbar, solange die Domäne sich auf der Funktionsebene von Windows 2000 einheitlich befindet. 21

Windows Server 2012 - Active Directory Verfügbare Funktionalität ab Domänenfunktionsebene Windows Server 2003 : Zusätzlich zu den in der Domänenfunktionsebene "Windows 2000 einheitlich" verfügbaren Features kommen folgende Features hinzu: Eingeschränkte Delegierung zur Nutzung der sicheren Delegierung von Benutzeranmeldeinformationen mithilfe des Kerberos-Authentifizierungsprotokolls. Updates für "lastlogontimestamp": Das Attribut "lastlogontimestamp" wird mit der letzten Anmeldezeit des Benutzers oder des Computers aktualisiert und innerhalb der gesamten Domäne repliziert. Möglichkeit, das Attribut "userpassword" als effektives Kennwort für "inetorgperson" und Benutzerobjekte zu verwenden. Möglichkeit, die Benutzer- und Computercontainer zum Festlegen eines neuen bekannten Speicherorts für Benutzer- und Computerkonten umzuleiten. Minimale Voraussetzung für Installation eines Read Only Domain Controllers (RODC) Verfügbare Funktionalität ab Domänenfunktionsebene Windows Server 2008 : Zusätzlich zu den in der Domänenfunktionsebene "Windows Server 2003" verfügbaren Features kommen folgende Features hinzu: Replikationsunterstützung für SYSVOL durch das verteilte Dateisystem (DFS), das eine stabilere und genauer abgestimmte Replikation von SYSVOL-Inhalt ermöglicht. Unterstützung des Kerberos-Protokolls durch die erweiterten Verschlüsselungsdienste (AES 128 und 256). Letzte interaktive Anmeldeinformationen, mit denen der Zeitpunkt der letzten erfolgreichen interaktiven Anmeldung eines Benutzers, die Anzahl der fehlgeschlagenen Anmeldeversuche seit der letzten Anmeldung und der Zeitpunkt der letzten fehlgeschlagenen Anmeldung angezeigt werden. Abgestimmte Kennwortrichtlinien, die ermöglichen, dass Kennwort- und Kontosperrungsrichtlinien für Benutzer und globale Sicherheitsgruppen in einer Domäne angegeben werden können Verfügbare Funktionalität ab Domänenfunktionsebene Windows Server 2008 R2 : Die auf der Domänenfunktionsebene von Windows Server 2008 R2 verfügbaren Features umfassen neben den auf der Domänenfunktionsebene von Windows Server 2008 verfügbaren Features zusätzlich folgendes Feature: Authentifizierungszusicherung, mit der anhand des Kerberos-Tokens eines Benutzers bestimmt werden kann, welche Anmeldemethode von diesem Benutzer verwendet wurde. 2.2 Gesamtstrukturfunktionsebenen von Windows Server 2012- Gesamtstrukturen Auch die Gesamtstruktur-Funktionsebene legt den Umfang von verwendbaren Features fest. Gesamtstrukturfunktionsebene Unterstützte Domänenfunktionsebenen Windows 2000 alle Windows Server 2003 alle ab Windows Server 2003 Windows Server 2008 alle ab Windows Server 2008 Windows Server 2008 R2 alle ab Windows Server 2008 R2 Windows Server 2012 alle ab Windows Server 2012 So wie Domänenfunktionsebenen, können auch Gesamtstrukturfunktionsebenen nur erhöht (hinaufgestuft), aber nicht mehr erniedrigt (herabgestuft) werden. 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback