2 Verwalten der Active

Ähnliche Dokumente
2 Konfiguration von SharePoint

Profi-Tipps und -Tricks zu Windows Server 2012 R2

1 Verwalten von Benutzern,

1 Objektfilterung bei der Active Directory- Synchronisierung

Server 2012 R2 - Active Directory. Installation und Grundkonfiguration. Manual 20

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Read Only Domain Controller Vorbereiten & Bereitstellen

Handbuch. Smart Card Login (SuisseID) Version Juni QuoVadis Trustlink Schweiz AG Seite [0]

Dokumentation Active Directory Services mit Vertrauensstellungen

Neue Möglichkeiten mit Windows Server 2008 R2

Inhalt. rza software & business solutions

1 Die Active Directory

Veröffentlichung und Absicherung von SharePoint Extranets

Installationsanleitung MS SQL Server für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Windows 2008R2 Server im Datennetz der LUH

Windows Server 2012 RC2 konfigurieren

Manuelle Installation des SQL Servers:

1 Änderungen bei Windows Server 2008 R2

Windows 2008 Server im Datennetz der LUH

Project Server 2010 in SharePoint 2010 integrieren

JobServer Installationsanleitung

Installation und Konfiguration der Vollversion mit einem SQL-Server

1 Verwalten einer Serverumgebung

Administrator-Anleitung

2. Sie sind der Administrator Ihres Netzwerks, das den SBS 2011 Standard ausführt.

Benutzerkonto unter Windows 2000

How to install freesshd

Windows Deployment Services 2003 Grundinstallation

Einrichten Active Directory ver 1.0

Step by Step Active Directory mit Novell Directory Service unter Windows Server von Christian Bartl

Windows Server Konfiguration als Domänencontroller & weitere Möglichkeiten

MOC 6237 Windows Server 2008 Active Directory Domänendienste

Administering Windows Server 2012 MOC 20411

Einrichtung einer Testumgebung zur Demonstration zertifikatsbasierter Anwendungen

Installation von Microsoft SQL Server 2012 RTM ProTechnology GmbH

Prüfungsnummer: Prüfungsname: Administering. Version: Demo. Windows Server

2 Datei- und Druckdienste

Powershell DSC Oliver Ryf

OU Verwaltung für CV's

Kapitel 4: Installieren und Konfigurieren von IBM Cognos Express

Installation DataExpert Paynet-Adapter (SIX)

Windows Server Konfiguration als Domänencontroller & weitere Möglichkeiten

Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren

2 Verwalten einer Active Directory

7 Der Exchange Server 2010

Allgemein. Einrichtung. PHOENIX Tool WinUser2PHOENIXUser. Version: Stand:

Konfigurationsanleitung Konfiguration unter Outlook Konfigurationsanleitung Konfiguration unter Outlook 2003

Einrichtungsanleitungen Hosted Exchange 2013

3 System Center Virtual Machine Manager 2012

SCHÄF SYSTEMTECHNIK GMBH 05/10 HANDBUCH

MySQL Community Server 5.6 Installationsbeispiel (Ab )

ERSTELLEN EINES TESTLABS IN MICROSOFT AZURE

3 Active Directory installieren

Support Center Frankfurt Windows 2000 Server Neuer Client im Netzwerk

INSTALLATIONSANLEITUNG der Version 2.1 (Jänner 2014)

Konfigurationsanleitung Konfiguration unter The Bat!

Konfigurationsanleitung Konfiguration unter The Bat!

Installation von Microsoft SQL Server 2012 RTM

5 Benutzer und Gruppen in ADDS-Domänen

Interoperabilität t zwischen NT 4.0 und Windows Server 2003 Active Directory

Dokumentation zur Einrichtung des Active-Directory für die Bank am Waldrand. Übung: Active-Directory Daniel Pasch FiSi_FQ_32_33_34

Top-Themen. SharePoint 2013: die Suche konfigurieren und richtig einsetzen Seite 1 von 17

Konfigurationsanleitung Konfiguration unter Outlook 2003

Konfigurationsanleitung Konfiguration unter Outlook Express 6.0

Konfigurationsanleitung Konfiguration unter Windows Mail für Windows Vista

OP-LOG

Konfigurationsanleitung Konfiguration unter Outlook Express Konfigurationsanleitung Konfiguration unter Outlook Express 6.

MOC 6730 Windows Server 2008 Erweitern der Nezwerkinfrastruktur- und Active Directorykenntnisse

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Konfigurationsanleitung Konfiguration unter Outlook XP

Microsoft Azure Fundamentals MOC 10979

Unterrichtseinheit 4

07/2014 André Fritsche

Gruppenrichtlinien und Softwareverteilung

Webbasiertes Projektmanagement InLoox Web App 6.x Installationshilfe

1 Serverrollen und Serversicherheit

Unterrichtseinheit 9

Konfigurationsanleitung Konfiguration unter Outlook 2013

GEORG.NET Anbindung an Ihr ACTIVE-DIRECTORY

Anleitung ACPcloud.rocks Registrierung und erste VM

3 System Center Virtual Machine Manager 2012

3 Installation von Exchange

AVG Business SSO Verbindung mit Active Directory

Microsoft System Center Data Protection Manager 2010 installieren & konfigurieren

Installation und Einrichtung von MS-SQL-Server zu opus i

Safexpert Oracle Datenbank Konnektor. Stand: IBF-Automatisierungs-und Sicherheitstechnik GmbH A-6682 Vils Bahnhofstraße 8

Enterprise User Security mit Active Directory

Webserver (IIS 6.0) ver 1.0

Wireless & Management

Windows 7 vernetzen. Windows 7 nutzt für die Freigabe von Ordnern über die Heimnetzgruppe sogenannte Bibliotheken. Dabei handelt.

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

Anleitung Installation Microsoft SQL-Server 2008 (Express Edition)

LERNWERKSTATT SEKUNDARSTUFE I

3 Entwerfen von Identitäts- und

Installation von Windows.NET Enterprise Server RC1

RetSoft Archiv Expert - Admin

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Konfigurieren der Netzwerksicherheit mit Hilfe von PKI (Public Key Infrastructure)

Transkript:

2 Verwalten der Active Directory Domänendienste Prüfungsanforderungen von Microsoft: Manage and Maintain Active Directory Domain Services (AD DS) o Configure Service Authentication and account policies o Maintain Active Directory o Configure Active Directory in a complex enterprise environment Quelle: Microsoft Lernziele: Verwaltete Dienstkonten Das Klonen von Domänencontrollern Active Directory verwalten Kennwortrichtlinien Vertrauensstellungen Replikation und Standortverwaltung 2.1 Einführung Das Active Directory ist zwar eine sehr robuste Datenbank, aber auch sie muss gewartet werden, um ordnungsgemäß zu funktionieren. Einige Funktionen sind sehr praktisch für größere Unternehmen, diese 153

Verwaltete Dienstkonten Technologien betrachten wir ebenfalls in diesem Kapitel. 2.2 Verwaltete Dienstkonten Viele Anwendungen benötigen Dienstkonten, in deren Umfeld sie laufen. Häufig wird hierfür ein vorhandenes Konto benutzt, wie beispielsweise der Netzwerkdienst. Das funktioniert in den meisten Fällen auch einwandfrei. Allerdings ist es nicht gerade besonders sicher, viele Anwendungen im gleichen Kontext laufen zu lassen. Auch ist es nicht möglich, den Dienst dann nach Wunsch zu konfigurieren. Viele Administratoren sind aus diesem Grund bisher auf die Möglichkeit ausgewichen, ein normales Domänenkonto zu erstellen, und bei diesem den Haken Kennwort läuft nie ab zu setzen. Dies gibt die Möglichkeit, die Kennwörter einmal zu vergeben, und nicht regelmäßig ändern zu müssen. Auch das funktioniert gut. Allerdings entspricht es oft nicht den Sicherheitsanforderungen im Unternehmen, bei dem die Kennwörter aller Konten regelmäßig geändert werden müssen. Um dieses Problem zu lösen, hat Microsoft bereits in der Version Server 2008 R2 die verwalteten Dienstkonten eingeführt. Diese Konten werden im Active Directory gespeichert, in der Klasse msds-managedserviceaccounts. Sie werden also getrennt von den Benutzerkonten verwaltet, und haben andere Eigenschaften. Sie haben beispielsweise die Möglichkeit, die gleiche Kennwortabgleichung zu machen, wie ein Computerkonto, das ja regelmäßig sein Kennwort mit dem Domänencontroller austauscht. Dadurch ergeben sich folgende Vorteile: Automatisches Kennwortmanagement. Ein verwaltetes Dienstkonto benötigt keinerlei Kennworteinstellungen, es kann diese selber verwalten. Einfache Verwaltung des Service Principal Names (SPN). Der Service Principal Name ist der Name des Dienstes. Wenn er sich ändert, muss auch der Dienst angepasst werden. Dies wird mit verwalteten Dienstkonten automatisch gemacht. 154

2.2.1 Anforderungen für verwaltete Dienstkonten Um verwaltete Dienstkonten verwenden zu können, benötigen Sie mindestens die Domänenfunktionsebene Windows Server 2008 R2. Es ist zwar auch möglich, im Domänenfunktionsmodus Server 2008 zu arbeiten, dann natürlich mit einer Schemaerweiterung auf Server 2008 R2, aber das automatische Verwalten der SPN entfällt in diesem Fall. Auch muss der Server, auf dem die Anwendung läuft, mindestens Windows Server 2008 R2 sein. Auf ihm müssen das.net Framework 3.5.x und das PowerShell - Modul für Active Directory installiert sein. 2.2.2 Anlegen von verwalteten Dienstkonten Das Anlegen von verwalteten Dienstkonten erfolgt in mehreren Schritten. Anlegen des Root Schlüssels Erstellen des Dienstkontos als Active Directory Objekt Verbinden des verwalteten Kontos mit einem Computerkonto Installieren des verwalteten Kontos auf dem Anwendungsserver Konfigurieren des Dienstes für die Verwendung dieses Kontos Anlegen des Root Schlüssels Im ersten Schritt muss ein Root Schlüssel angelegt werden. Der Befehl dazu lautet Add-KDSRootKey EffectiveImmediately Der Schalter EffectiveImmediately bedeutet, dass dieses Objekt in 10 Stunden aktiv wird. Diese Zeitverzögerung ist wichtig, damit die Replikation an alle Domänencontroller durchgereicht werden kann. Für uns hier wäre es aber besser, wenn die Änderungen sofort aktiv sind, deswegen benutzen wir einen modifizierten Befehl: 155

Verwaltete Dienstkonten Add-KDSRootKey EffectiveTime ((Get-Date).AddHours(-10)) Abbildung 2.1: Root Schlüssel erstellen Erstellen des Dienstkontos als Active Directory Objekt Nun können wir ein Dienstkonto erstellen. Der Befehl lautet: New-ADServiceAccount -name <NameDesKontos> -DNSHostName <DNSName> -PrincipalsAllowedToRetrieveManagedPassword Domänencomputer Abbildung 2.2: Erstellen des verwalteten Kontos Verbinden des verwalteten Kontos mit einem Computerkonto Der nächste Schritt ist das Verbinden des verwalteten Kontos mit einem Computerkonto Add-ADComputerServiceAccount Identity <ComputerName> - ServiceAccout <NameDesVerwaltetenKontos> Abbildung 2.3: Verbinden mit einem Computerkonto 156

Nun können Sie überprüfen, ob das Konto erstellt worden ist. Dies können Sie mit folgendem Befehl tun: Get-ADServiceAccount Filter * Abbildung 2.4: Konten betrachten Hier sehen Sie auch deutlich, dass der SamAccountName ein $ Zeichen dahinter hat. ACHTUNG! In vielen Fällen müssen Sie das verwaltete Dienstkonto mit dem SamAccountName angeben! Beachten Sie das $ Zeichen! Auch in der grafischen Oberfläche ist das verwaltete Konto jetzt sichtbar. Abbildung 2.5: Managed Service Accounts 157

Verwaltete Dienstkonten Im Snap-In Active Directory-Benutzer und -Computer finden Sie im Container Managed Service Accounts den Eintrag. Hier lässt sich leider nicht viel konfigurieren. Installieren des verwalteten Kontos auf dem Anwendungsserver Nun können Sie das Konto auf dem Zielserver installieren. Dazu müssen Sie zunächst das Feature Active Directory-Modul für Windows PowerShell installieren. Abbildung 2.6: Active Directory-Modul für Windows PowerShell Nun installieren Sie das Konto mit dem Befehl Install-ADServiceAccount Identity <NameDesKontos> Abbildung 2.7: Installieren des Kontos 158

Konfigurieren des Dienstes für die Verwendung dieses Kontos Nun müssen Sie nur noch dem gewünschten Dienst das eben erstellte Konto zuweisen. Abbildung 2.8: Konto zuweisen Sie sehen, dass hier wieder der SAMAccountName benutzt wird! Lassen Sie das Kennwort leer, denn es wird ja vom System verwaltet. Nach Klicken auf OK erhalten Sie noch folgende Meldung: 159

Verwaltete Dienstkonten Abbildung 2.9: Konto wird zugewiesen Nun ist der Dienst mit diesem Konto konfiguriert. 2.2.3 Benutzerkonten als Dienstkonten Wie am Anfang bereits angesprochen, ist es auch immer noch möglich, normale Benutzerkonten als Dienstkonten zu benutzen, hierbei muss aber die Problematik der Kennwortänderung beachtet werden! Aber auch der Service Principal Name ist ein Problem. Mit dem SPN erkennt der Client unverwechselbar einen Dienst oder eine Instanz des Dienstes. Wenn der SPN nicht definiert ist, gibt es bei vielen Diensten Probleme, so zum Beispiel beim SQL-Server. Verwaltete und gruppenverwaltete Dienstkonten haben dieses Flag bereits gesetzt, aber wenn Sie ein normales Benutzerkonto als Dienstkonto verwenden möchten, müssen Sie dies erst noch durchführen. Der Befehl dazu lautet Setspn -s http/<computername> <domain-user-account> 160

Abbildung 2.10: SPN anlegen Nun ist eine neue Registerkarte im Konto aufgetaucht: Die Karte Delegierung. Abbildung 2.11: Delegierung Hier müssen Sie noch eine Delegierung einrichten, die den gewünschten Diensten entspricht. 161

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback