! ! ! ! ! ! ! ! ! ! ! ! !
! !
2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 C;H%A+1/%G.**/2 2 4\[WYMV32?IY[QV26I\ZKP$2BWJMY[2_LQI2FWTT2 2 +&24\NTIOM2]WU2*0&2@W]MUJMY2.**122 2 #2J_2:7B6D%FMYTIO2N-Y25QTL\VOZUMLQMV29UJ:$22
'&* (32.-44/21,0 )'+ 2 "$#
22225WLMVPMQU2 2
6QYMK[WY_%CMY]QKMZ2SWVNQO\YQMYMV
;V[MYVM[322^^^&PMYL[0_W\&LM(2&I[(2&KP2 2
^^^&PMYL[0J\ZQVMZZ&LM(2&I[(2&KP2
2
^^^&PMYL[0]PZ&LM(2&I[2
2
2 2 !
2 6QMZMZ2 >MPYUQ[[MT2 QZ[2 QV2 4VTMPV\VO2 IV2 LQM2 4\ZN-PY\VOZ%2 JMZ[QUU\VOMV2LMZ2C;H!N-Y26QXTWUTMPYO)VOM2MV[Z[IVLMV&2 2 4TTM2 BMKP[M2 ]WYJMPIT[MV&2 =MQV2 DMQT2 LMZ2 GMYSMZ2 LIYN2 QV2 QYOMVLMQVMY28WYU2!6Y\KS$28W[WSWXQM$2?QKYWNQTU2WLMY2MQVMU2 IVLMYMV2 FMYNIPYMV"2 WPVM2 ZKPYQN[TQKPM2 9MVMPUQO\VO2 LMZ2 :MYI\ZOMJMYZ2 YMXYWL\`QMY[2 WLMY2 \V[MY2 FMY^MVL\VO2 MTMS% [YWVQZKPMY2 C_Z[MUM2 ]MYIYJMQ[M[$2 ]MY]QMTN)T[QO[2 WLMY2 ]MYJYMQ% [M[2^MYLMV&2 2 6QMZM2 EV[MYTIOM2 ^\YLM2 UQ[2 OYW'MY2 CWYONIT[2 MYZ[MTT[2 \VL2 OMXY-N[&2 DYW[`LMU2 S,VVMV2 8MPTMY2 VQKP[2 ]WTTSWUUMV2 I\Z% OMZKPTWZZMV2 ^MYLMV&2 FMYTIO$2 :MYI\ZOMJMY2 \VL2 4\[WYMV2 S,VVMV2N-Y2NMPTMYPIN[M24VOIJMV2\VL2LMYMV28WTOMV2^MLMY2 MQVM2 R\YQZ[QZKPM2 FMYIV[^WY[\VO2 VWKP2 QYOMVLMQVM2 :IN[\VO2 -JMYVMPUMV&2 2 6QM2 5QTL\VOZUMLQMV2 LMZ2 :7B6D%FMYTIOZ2 MV[PIT[MV2 >QVSZ2 J`^&2 FMY^MQZM2 I\N2 ;V[MYVM[ZMQ[MV2 IVLMYMY2 4VJQM[MY&2 4\N2 ;VPIT[2 \VL2 9MZ[IT[\VO2 LQMZMY2 4VOMJW[M2 PI[2 LMY2 :7B6D% FMYTIO2 SMQVMYTMQ2 7QVNT\ZZ&2 :QMYN-Y2 ZQVL2 ITTMQVM2 LQM2 RM^MQ% TQOMV24VJQM[MY2]MYIV[^WY[TQKP&2 2
UQ[2GQVLW^Z2.**/2
!
!
*(,!)#&%!+$""%'
'
I
ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003 1 Einführung in das Active Directory..............4 1.1
Eigenschaften eines Verzeichnisdienstes ........ 4
1.2
Überblick über das Active Directory ................. 4
1.3
Standards des Active Directorys ...................... 5
1.4
Zentrale Bestandteile des Active Directorys ..... 6
2 Theoretische Grundlagen ...........................10
5.5
Domänencontroller zur Domäne hinzufügen ..................................................... 50
5.6
DNS-Dienst installieren.................................. 51
5.7
DNS erkunden und anpassen ........................ 53
6 Workstations in die Domäne aufnehmen.................................................... 56 6.1
Dynamic Host Configuration Protocol ............ 56
2.1
Plattformübergreifende Standards ................. 10
6.2
DHCP-Serverdienst einrichten ....................... 57
2.2
X.500-Standard.............................................. 10
6.3
2.3
Architektur des Active Directorys ................... 16
DHCP-Server im Active Directory autorisieren .................................................... 58
2.4
Lightweight Directory Access Protocol (LDAP) ........................................................... 17
6.4
Windows-Workstations in die Domäne aufnehmen..................................................... 59
2.5
Domain Name System (DNS) ........................ 19
7 Active-Directory-Objekte verwalten ........... 62 3 Aufbau und Struktur des Active Directorys ..................................22
7.1
Benutzerkonto................................................ 62
7.2
Computerkonto .............................................. 63
3.1
Skalierbarkeit und Standards ......................... 22
7.3
Container der Domäne erkunden................... 63
3.2
Logische Struktur ........................................... 23
7.4
Entwurf für die Domäne Nord......................... 64
3.3
Objekt ............................................................ 24
7.5
Organisationseinheiten erstellen.................... 64
3.4
Organisationseinheit ...................................... 24
7.6
Benutzerkonto erstellen ................................. 65
3.5
Domäne ......................................................... 25
7.7
Computerkonto erstellen................................ 67
3.6
Strukturen und Gesamtstrukturen .................. 26
7.8
Übung ............................................................ 67
3.7
Konventionen für die Benennung von Objekten.................................................. 27
3.8
Physische Struktur ......................................... 28
3.9
Standort ......................................................... 29
3.10
Domänencontroller......................................... 30
8.1
Globaler Katalog und Betriebsmaster............. 30
8.2
Gruppenbereiche ........................................... 68
3.12
Active Directory erkunden .............................. 32
8.3
AGDLP-Regel ................................................ 70
3.13
In den einheitlichen Domänenmodus wechseln........................................................ 33
8.4
Gruppenplanung ............................................ 70
8.5
Gruppenplanung mit globalen und lokalen Gruppen...................................... 71
8.6
Globale Gruppe erstellen und verwalten ........ 73
3.11
4 Active Directory und der Domänennamespace ............................34 4.1
Grundlagen zu Active Directory...................... 34
4.2
Domänennamespace ..................................... 35
4.3
Grundlagen zu DNS ....................................... 36
4.4
Namensauflösung .......................................... 36
8 Gruppen verwalten ...................................... 68 Gruppentypen ................................................ 68
8.7
Lokale Gruppe erstellen und verwalten.......... 74
8.8
Gruppenplanung mit universalen Gruppen .... 76
8.9
Universale Gruppe erstellen und verwalten ... 76
9 Sicherheit im Active Directory.................... 78
4.5
Dynamisches DNS ......................................... 38
9.1
4.6
Informationsmanagement des Domänennamespace ..................................... 38
9.2
Kerberos Version ........................................... 78
9.3
Access Control............................................... 84
4.7
Beispiel für einen Domänennamespace......... 40
9.4
Group Policies ............................................... 84
4.8
Aufbau der DNS-Datenbank........................... 40
9.5
IPSec ............................................................. 86
5 Neue Domäne aufbauen ..............................42 5.1
Entwurf für die Testumgebung ....................... 42
Authentifizierungsdienste............................... 78
10 Berechtigungen anpassen, Objektverwaltung delegieren...................... 88
5.2
TCP/IP konfigurieren...................................... 44
10.1
5.3
Installation der Verzeichnisdienste vorbereiten ..................................................... 46
10.2
Vererbung von Berechtigungen ..................... 90
10.3
Objektverwaltung ........................................... 91
Untergeordnete Domäne erstellen ................. 47
10.4
Verwaltungstools für die Objektverwaltung .... 91
5.4
Berechtigungen.............................................. 88
I
Inhaltsverzeichnis 10.5
Objektbesitz....................................................92
13.3
Standorte konfigurieren ................................126
10.6
Berechtigungen und Berechtigungsvererbung überprüfen und verwalten ..............93
13.4
Replikation verwalten ...................................128
10.7
Objektverwaltung delegieren ..........................95
14 Active Directory Server und Betriebsmaster ...................................130 11 Domänenrichtlinien bearbeiten ..................98 11.1
Einsatzbereiche von Gruppenrichtlinien..........98
11.2
Domänenrichtlinien.........................................99
14.1
Domänencontroller .......................................130
14.2
Flexible Single Master Operations (FSMO) ........................................................132
11.3
Domänenrichtlinien anpassen.......................101
14.3
FSMO-Server ...............................................133
11.4
Ordnerumleitung konfigurieren .....................103
14.4
Global Catalog Server ..................................137
11.5
Richtlinienergebnissatz.................................105
15 Active-Directory-Schema ..........................138 12 Gruppenrichtlinien implementieren .........108
15.1
Active-Directory-Schema..............................138
15.2
Schemaerweiterung planen und vorbereiten ............................................141
15.3
Schema erweitern ........................................143
12.1
Gruppenrichtlinienobjekt ...............................108
12.2
Gruppenrichtlinienberechtigungen ................109
12.3
Verarbeitung der Gruppenrichtlinieneinstellungen....................109
12.4
Vererbung von Gruppenrichtlinien ................110
12.5
Gruppenrichtlinienimplementierung planen .........................................................111
12.6
Gruppenrichtlinien implementieren ...............112
12.7
Gruppenrichtlinien bearbeiten.......................114
13 Standorte.....................................................118 13.1
Standorte planen ..........................................118
13.2
Standorte einrichten .....................................120
16 Active-Directory-Verzeichnisdienste wiederherstellen.........................................148 16.1
Methoden zum Wiederherstellen von Active Directory .....................................148
16.2
Testumgebung vorbereiten...........................149
16.3
Active-Directory-Objekt autorisierend wiederherstellen ...........................................150
Stichwortverzeichnis ......................................154
3
ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003
3
Aufbau und Struktur des Active Directorys 4M DIEQEL 5AOIREK EPFAHPEM :IE "
k]Y X]Y `c[]gW\Y Mhfi_hif jcb ;Wh]jY >]fYWhcfm VYgW\UZZYb ]gh
"
kY`W\Y ?`YaYbhY nif `c[]gW\Yb Mhfi_hif [Y\'fYb
"
kY`W\Y EcbjYbh]cbYb nif UVY] gc``Yb MhUbXcfhY ibX X]Y jYfkYbXYhY BUfXkUfY ibX ]fYWhcfm U`g BNGF+MY]hY ]b Y]bYa QYVVfckgYf
Aufbau und Struktur des Active Directorys >'>1.8?;"01
>;%##>1.8?;"01#;1#91?1;1"3>8
fiW_Yf
3
-->1.8?;"01-+19-+fiW_Yf* XYf nif >ca$bY 8.492">1.8?;"01 [Y\'fh* UigniXfiW_Yb,
3.7
Konventionen für die Benennung von Objekten
Beispiel fiW_Yf 3;51>$, >Yf >fiW_Yf ]gh XYf Jf[Ub]gUh]cbgY]b\Y]h (==4=>19B ni[YcfXbYh,
05
3
ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003
Eindeutige Namen (Distinguished Name, DN) G]h XYa Y]bXYih][Yb HUaYb k]fX Y]b JV^Y_h Y]bXYih][ ]XYbh]Z]n]Yfh* ]bXYa XYf jc``gh$bX][Y KZUX ]b XYf B]YfUf+ W\]Y jcb cVYb bUW\ ibhYb Ub[Y[YVYb k]fX, /DC=DE/DC=Teamup/DC=Marketing/OU=Assistenz/CN=Hpjet5 $
>=8 >caU]b =cadcbYbh HUaY
$
JO8 Jf[Ub]nUh]cbU` Ob]h HUaY
$
=H8 =caacb HUaY
Relative eindeutige Namen (Relative Distinguished Name, RDN) >Yf fY`Uh]jY Y]bXYih][Y HUaY ]gh Y]b ;hhf]Vih XYg JV^Y_hg, ?W\h Y]bXYih][ aigg Y]b L>H ]bbYf\U`V XYf Jf[Ub]+ gUh]cbgY]b\Y]h gY]b, Ca [YbUbbhYb H Z(f XYb >fiW_Yf );51>$, Cb XYf Jf[Ub]gUh]cbgY]b\Y]h ;gg]ghYbn XUfZ Yg _Y]bYb kY]hYfYb >fiW_Yf a]h XYa HUaYb );51>$ [YVYb,
GUID (Globally Unique Identifier) Yf AOC> gd]Y`h aUbW\aU` Y]bY Lc``Y* kYbb ;bkYbXib[Yb X]Y AOC> Y]bYg JV^Y_hg gdY]W\Yfb, >Ug ;Vfi+ ZYb XYg JV^Y_hg YfZc`[h XUbb c\bY XYb >H, Y]bYg @Ul[Yf$hg gdY]W\Yfh* kYbb XUg @Ul[Yf$h ]b+ ghU``]Yfh ibX XYa @UlX]Ybgh U`g UigZ(\fYbXYg AYf$h jYfZ([VUf [YaUW\h k]fX, >Yf PcfhY]` XYg AOC> VYghY\h XUf]b* XUgg XYf @UlX]Ybgh XUg @Ul[Yf$h UiW\ XUbb bcW\ UbghYiYfb _Ubb* kYbb Yg nk]gW\YbnY]h`]W\ iaVYbUbbh kifXY,
UPN (User Principal Name) OKHg X]YbYb XUni* VYbihnYfZfYibX`]W\Y HUaYb Z(f ca$bYbWcbhfc``Yf
3.9
Standort
Was ist ein Standort im Sinne des Active Directory? ?]b MhUbXcfh Ybhgdf]W\h ]b XYb aY]ghYb @$``Yb Y]bYa F;H, >Ug \YfUigfU[YbXY EYbbnY]W\Yb Y]bYg F;Hg ibX UiW\ Y]bYg MhUbXcfhg ]gh* XUgg >UhYb(VYfhfU[ib[ ]bbYf\U`V gY]bYf AfYbnYb gW\bY``* dfY]gkYfh ibX nijYf`$gg][ ]gh, >]Y MhUbXcfhY Y]bYg ObhYfbY\aYbg _cffY`]YfYb kc\` Ua VYghYb a]h H]YXYf`Uggib[Yb cXYf @]`]U`Yb, >ifW\ XUg >YZ]b]YfYb jcb MhUbXcfhYb \UVYb M]Y X]Y G'[`]W\_Y]h* X]Y >UhYb(VYfhfU[ib[gkY[Y [Ya$) ]\fYf AY+ gW\k]bX][_Y]h ibX TijYf`$gg][_Y]h ni _`Ugg]Z]n]YfYb, M]Y ZUggYb gW\bY``Y >UhYb(VYfhfU[ib[gkY[Y ni Y]bYa MhUbXcfh nigUaaYb, FUb[gUaY PYfV]bXib[Yb* n, U+ hYb(VYfhfU[ib[ nk]gW\Yb MhUbXcfhYb ni Yfa'[`]W\Yb,
Standort Köln
Langsame Verbindung
Standort Essen
Standorte
Standort und Namespace Tk]gW\Yb MhUbXcfhYb ibX HUaYgdUWY VYghY\h _Y]bYf`Y] TigUaaYb\Ub[, Fc[]gW\Y ibX d\mg]gW\Y Mhfi_hif g]bX jc``gh$bX][ ibUV\$b[][ jcbY]bUbXYf, ca$+ bYb ibX Jf[Ub]gUh]cbgY]b\Y]hYb ni, ?g k]fX Z(f Y]bYb ca$bYb8 $
?]bY @]faU a]h bif Y]bYf >ca$bY _Ubb Ub aY\fYfYb MhUbXcfhYb df$gYbh gY]b,
$
;b Y]bYa MhUbXcfh _'bbYb aY\fYfY >ca$bYb jcf\UbXYb gY]b,
07
3
ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003
3.10 Domänencontroller Anforderungen an den Verzeichnisdienst -SQFAKKQICHEPHEIR >]Y PYfnY]W\b]g]bZcfaUh]cbYb Y]bYf >ca$bY kYfXYb jcb aY\fYfYb >ca$bYbWcbhfc``Yfb [YdZ`Y[h %LYXibXUbn&, =EPF#GBAPJEIR
DYXYf >ca$bYbWcbhfc``Yf \$`h Y]bY jc``gh$bX][Y Ecd]Y XYg ;Wh]jY+>]fYWhcfm+PYfnY]W\b]ggYg,
-JRSAKIR"R
>ifW\ LYd`]_Uh]cb nk]gW\Yb XYb jcf\UbXYbYb >ca$bYbWcbhfc``Yfb Y]bYf >ca$bY kYfXYb X]Y U_hiY``Yb PYfnY]W\b]gXUhYb (VYfU`` ]b XYf >ca$bY jYfZ([VUf [YaUW\h, ifW\ Cb]h]]Yfib[ Y]bYf LYd`]_Uh]cb k]fX gW\`]Y)`]W\ XUZ(f [Ygcf[h* XUgg Replikation zwischen Domänencontrollern X]Y VYhfYZZYbXYb >UhYb UiZ U``Yb >ca$bYbWcbhfc``Yfb U_hiU`]g]Yfh kYfXYb,
Domänencontroller mit besonderen Aufgaben Cb ;Wh]jY >]fYWhcfm kYfXYb UiW\ >UhYb jYfkU`hYh* VY] XYbYb >UhYb]b_cbg]ghYbn ZUhU`Y @c`[Yb \UVYb k(fXY, ;i)YfXYa []Vh Yg >UhYb* X]Y b]W\h bif Y]bY >ca$bY* gcbXYfb Y]bY [UbnY Mhfi_hif cXYf Y]bY AYgUahghfi_hif VYhfYZZYb, ?]bY jc``gh$bX][Y LYd`]_Uh]cb UiZ U``Y >ca$bYbWcbhfc``Yf k(fXY ni gY\f j]Y` HYhnkYf_jYf_Y\f Z(\+ fYb, @(f X]Y KZ`Y[Y ibX PYfkU`hib[ gc`W\Yf CbZcfaUh]cbYb aigg UiZ X]Y Gi`h]aUghYffYd`]_Uh]cb jYfn]W\hYh kYfXYb, MhUhhXYggYb (VYfbY\aYb Y]bnY`bY ni VYgh]aaYbXY >ca$bYbWcbhfc``Yf X]Y KZ`Y[Y X]YgYf >UhYb* n, ]fYWhcfm+PYfnY]W\b]gX]YbghY [YgdY]+ W\Yfh* n, ]fYWhcfm U`g Y]bY >UhYbVUb_ jcfghY``Yb* VYgW\fY]Vh XUg MW\YaU XYb ;iZVUi XYf NUVY`+ `Yb ]b X]YgYf >UhYbVUb_,
Positionierung $
/ MW\YaU Z(f U``Y >ca$bYb ]b Y]bYf Mhfi_hif
$
/ MW\YaU Z(f U``Y Mhfi_hifYb ]bbYf\U`V Y]bYf AYgUahghfi_hif
Dynamische Aktualisierung >Ug MW\YaU _Ubb XmbUa]gW\ U_hiU`]g]Yfh kYfXYb, Mca]h _'bbYb ;bkYbXib[Yb obXYfib[Yb Ua MW\YaU jcf+ bY\aYb* n, EIREPE .ERPIEBQLAQREP
-SFGABE
CbZfUghfi_hif+GUghYf
PYfkU`hYh PYfkY]gY ]a TigUaaYb\Ub[ a]h AfiddYba]h[`]YXgW\UZhYb
LC>+GUghYf
Q]f_h a]h VY] XYf TikY]gib[ jcb MC>g Ub bYi YfghY``hY JV^Y_hY
>HM+GUghYf
B]bniZ([Yb Vnk, ?bhZYfbYb jcb >ca$bYb ni-Uig XYf AYgUahghfi_hif
K>=+?ai`Uhcf
PYfgW\]YXYbY ;iZ[UVYb ]a TigUaaYb\Ub[ a]h EYbbkcfh$bXYfib[Yb8 gcZcfh][Y Q]f_gUa_Y]h: ;_hiU`]g]Yfib[ jcb HN+M]W\Yfib[gXca$bYbWcbhfc``Yfb
Notizen
1/
3
ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003
3.12
Active Directory erkunden
Anmelden in der Domäne ⇒
GY`XYb M]Y g]W\ Ub C\fYf Qcf_ghUh]cb a]h XYa Ecbhc XYg >ca$bYbUXa]b]ghfUhcfg ]b XYf >c+ a$bY *:CL?=NJLS+>JGoH?H OH> +P?LNL;O?HMMN?FFOHA?H,
⇒
E`]W_Yb M]Y a]h XYf fYW\hYb GUig+ hUghY UiZ X]Y >ca$bY 9:*0&$2/05+ >/-6.&.!3.%!+P&020"3&.112&,,3.(&.,!
⇒
E`]W_Yb M]Y a]h XYf fYW\hYb GUighUghY UiZ X]Y >ca$bY *:/-6.&.'3.+2*/.1&.&!)&0"3'123'&.,
⇒
MhY``Yb M]Y XYb [Yk(bgW\hYb bYiYb GcXig Y]b* ibX _`]W_Yb M]Y UiZ B&0"3'123'&.!",
⇒
ca$bY UigniZ(\fYb, >]Y LYd`]n]Y+ fib[ XYf bYiYb CbZcfaUh]cbYb UiZ X]Y (Vf][Yb >ca$bYb+ Wechsel der Domänenfunktionsebene Wcbhfc``Yf _Ubb V]g ni /3 G]bihYb XUiYfb, AY[YVYbYbZU``g Yfnk]b[Yb M]Y X]Y LYd`]n]Yfib[ aUbiY``,
Notizen
11