%YXSVIR1EVXMR(EYWGL6SFIVX.IHPMXWGLOE 1MGLEIP6EMXL(V,IRHVMO7MIKQYRH (V;SPJVEQ8MX^0]HME:SPP

! ! ! ! ! ! ! ! ! ! ! ! ! ! ! 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 C;H%A+1/%G.**/2 2 4\[WYMV32?IY[QV26I\ZKP$2BWJMY[2_LQI2FWTT2 2 +&24...
Author: Pia Bauer
5 downloads 2 Views 338KB Size
Report
Download PDF
! ! ! ! ! ! ! ! ! ! ! ! !

! !

2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 C;H%A+1/%G.**/2 2 4\[WYMV32?IY[QV26I\ZKP$2BWJMY[2_LQI2FWTT2 2 +&24\NTIOM2]WU2*0&2@W]MUJMY2.**122 2 #2J_2:7B6D%FMYTIO2N-Y25QTL\VOZUMLQMV29UJ:$22

'&* (32.-44/21,0 )'+ 2 "$#

22225WLMVPMQU2 2

6QYMK[WY_%CMY]QKMZ2SWVNQO\YQMYMV

;V[MYVM[322^^^&PMYL[0_W\&LM(2&I[(2&KP2 2

^^^&PMYL[0J\ZQVMZZ&LM(2&I[(2&KP2

2

^^^&PMYL[0]PZ&LM(2&I[2

2

2 2 !

2 6QMZMZ2 >MPYUQ[[MT2 QZ[2 QV2 4VTMPV\VO2 IV2 LQM2 4\ZN-PY\VOZ%2 JMZ[QUU\VOMV2LMZ2C;H!N-Y26QXTWUTMPYO)VOM2MV[Z[IVLMV&2 2 4TTM2 BMKP[M2 ]WYJMPIT[MV&2 =MQV2 DMQT2 LMZ2 GMYSMZ2 LIYN2 QV2 QYOMVLMQVMY28WYU2!6Y\KS$28W[WSWXQM$2?QKYWNQTU2WLMY2MQVMU2 IVLMYMV2 FMYNIPYMV"2 WPVM2 ZKPYQN[TQKPM2 9MVMPUQO\VO2 LMZ2 :MYI\ZOMJMYZ2 YMXYWL\`QMY[2 WLMY2 \V[MY2 FMY^MVL\VO2 MTMS% [YWVQZKPMY2 C_Z[MUM2 ]MYIYJMQ[M[$2 ]MY]QMTN)T[QO[2 WLMY2 ]MYJYMQ% [M[2^MYLMV&2 2 6QMZM2 EV[MYTIOM2 ^\YLM2 UQ[2 OYW'MY2 CWYONIT[2 MYZ[MTT[2 \VL2 OMXY-N[&2 DYW[`LMU2 S,VVMV2 8MPTMY2 VQKP[2 ]WTTSWUUMV2 I\Z% OMZKPTWZZMV2 ^MYLMV&2 FMYTIO$2 :MYI\ZOMJMY2 \VL2 4\[WYMV2 S,VVMV2N-Y2NMPTMYPIN[M24VOIJMV2\VL2LMYMV28WTOMV2^MLMY2 MQVM2 R\YQZ[QZKPM2 FMYIV[^WY[\VO2 VWKP2 QYOMVLMQVM2 :IN[\VO2 -JMYVMPUMV&2 2 6QM2 5QTL\VOZUMLQMV2 LMZ2 :7B6D%FMYTIOZ2 MV[PIT[MV2 >QVSZ2 J`^&2 FMY^MQZM2 I\N2 ;V[MYVM[ZMQ[MV2 IVLMYMY2 4VJQM[MY&2 4\N2 ;VPIT[2 \VL2 9MZ[IT[\VO2 LQMZMY2 4VOMJW[M2 PI[2 LMY2 :7B6D% FMYTIO2 SMQVMYTMQ2 7QVNT\ZZ&2 :QMYN-Y2 ZQVL2 ITTMQVM2 LQM2 RM^MQ% TQOMV24VJQM[MY2]MYIV[^WY[TQKP&2 2

UQ[2GQVLW^Z2.**/2

!

!

*(,!)#&%!+$""%'

'

I

ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003 1 Einführung in das Active Directory..............4 1.1

Eigenschaften eines Verzeichnisdienstes ........ 4

1.2

Überblick über das Active Directory ................. 4

1.3

Standards des Active Directorys ...................... 5

1.4

Zentrale Bestandteile des Active Directorys ..... 6

2 Theoretische Grundlagen ...........................10

5.5

Domänencontroller zur Domäne hinzufügen ..................................................... 50

5.6

DNS-Dienst installieren.................................. 51

5.7

DNS erkunden und anpassen ........................ 53

6 Workstations in die Domäne aufnehmen.................................................... 56 6.1

Dynamic Host Configuration Protocol ............ 56

2.1

Plattformübergreifende Standards ................. 10

6.2

DHCP-Serverdienst einrichten ....................... 57

2.2

X.500-Standard.............................................. 10

6.3

2.3

Architektur des Active Directorys ................... 16

DHCP-Server im Active Directory autorisieren .................................................... 58

2.4

Lightweight Directory Access Protocol (LDAP) ........................................................... 17

6.4

Windows-Workstations in die Domäne aufnehmen..................................................... 59

2.5

Domain Name System (DNS) ........................ 19

7 Active-Directory-Objekte verwalten ........... 62 3 Aufbau und Struktur des Active Directorys ..................................22

7.1

Benutzerkonto................................................ 62

7.2

Computerkonto .............................................. 63

3.1

Skalierbarkeit und Standards ......................... 22

7.3

Container der Domäne erkunden................... 63

3.2

Logische Struktur ........................................... 23

7.4

Entwurf für die Domäne Nord......................... 64

3.3

Objekt ............................................................ 24

7.5

Organisationseinheiten erstellen.................... 64

3.4

Organisationseinheit ...................................... 24

7.6

Benutzerkonto erstellen ................................. 65

3.5

Domäne ......................................................... 25

7.7

Computerkonto erstellen................................ 67

3.6

Strukturen und Gesamtstrukturen .................. 26

7.8

Übung ............................................................ 67

3.7

Konventionen für die Benennung von Objekten.................................................. 27

3.8

Physische Struktur ......................................... 28

3.9

Standort ......................................................... 29

3.10

Domänencontroller......................................... 30

8.1

Globaler Katalog und Betriebsmaster............. 30

8.2

Gruppenbereiche ........................................... 68

3.12

Active Directory erkunden .............................. 32

8.3

AGDLP-Regel ................................................ 70

3.13

In den einheitlichen Domänenmodus wechseln........................................................ 33

8.4

Gruppenplanung ............................................ 70

8.5

Gruppenplanung mit globalen und lokalen Gruppen...................................... 71

8.6

Globale Gruppe erstellen und verwalten ........ 73

3.11

4 Active Directory und der Domänennamespace ............................34 4.1

Grundlagen zu Active Directory...................... 34

4.2

Domänennamespace ..................................... 35

4.3

Grundlagen zu DNS ....................................... 36

4.4

Namensauflösung .......................................... 36

8 Gruppen verwalten ...................................... 68 Gruppentypen ................................................ 68

8.7

Lokale Gruppe erstellen und verwalten.......... 74

8.8

Gruppenplanung mit universalen Gruppen .... 76

8.9

Universale Gruppe erstellen und verwalten ... 76

9 Sicherheit im Active Directory.................... 78

4.5

Dynamisches DNS ......................................... 38

9.1

4.6

Informationsmanagement des Domänennamespace ..................................... 38

9.2

Kerberos Version ........................................... 78

9.3

Access Control............................................... 84

4.7

Beispiel für einen Domänennamespace......... 40

9.4

Group Policies ............................................... 84

4.8

Aufbau der DNS-Datenbank........................... 40

9.5

IPSec ............................................................. 86

5 Neue Domäne aufbauen ..............................42 5.1

Entwurf für die Testumgebung ....................... 42

Authentifizierungsdienste............................... 78

10 Berechtigungen anpassen, Objektverwaltung delegieren...................... 88

5.2

TCP/IP konfigurieren...................................... 44

10.1

5.3

Installation der Verzeichnisdienste vorbereiten ..................................................... 46

10.2

Vererbung von Berechtigungen ..................... 90

10.3

Objektverwaltung ........................................... 91

Untergeordnete Domäne erstellen ................. 47

10.4

Verwaltungstools für die Objektverwaltung .... 91

5.4

Berechtigungen.............................................. 88

I

Inhaltsverzeichnis 10.5

Objektbesitz....................................................92

13.3

Standorte konfigurieren ................................126

10.6

Berechtigungen und Berechtigungsvererbung überprüfen und verwalten ..............93

13.4

Replikation verwalten ...................................128

10.7

Objektverwaltung delegieren ..........................95

14 Active Directory Server und Betriebsmaster ...................................130 11 Domänenrichtlinien bearbeiten ..................98 11.1

Einsatzbereiche von Gruppenrichtlinien..........98

11.2

Domänenrichtlinien.........................................99

14.1

Domänencontroller .......................................130

14.2

Flexible Single Master Operations (FSMO) ........................................................132

11.3

Domänenrichtlinien anpassen.......................101

14.3

FSMO-Server ...............................................133

11.4

Ordnerumleitung konfigurieren .....................103

14.4

Global Catalog Server ..................................137

11.5

Richtlinienergebnissatz.................................105

15 Active-Directory-Schema ..........................138 12 Gruppenrichtlinien implementieren .........108

15.1

Active-Directory-Schema..............................138

15.2

Schemaerweiterung planen und vorbereiten ............................................141

15.3

Schema erweitern ........................................143

12.1

Gruppenrichtlinienobjekt ...............................108

12.2

Gruppenrichtlinienberechtigungen ................109

12.3

Verarbeitung der Gruppenrichtlinieneinstellungen....................109

12.4

Vererbung von Gruppenrichtlinien ................110

12.5

Gruppenrichtlinienimplementierung planen .........................................................111

12.6

Gruppenrichtlinien implementieren ...............112

12.7

Gruppenrichtlinien bearbeiten.......................114

13 Standorte.....................................................118 13.1

Standorte planen ..........................................118

13.2

Standorte einrichten .....................................120

16 Active-Directory-Verzeichnisdienste wiederherstellen.........................................148 16.1

Methoden zum Wiederherstellen von Active Directory .....................................148

16.2

Testumgebung vorbereiten...........................149

16.3

Active-Directory-Objekt autorisierend wiederherstellen ...........................................150

Stichwortverzeichnis ......................................154

3

ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003

3

Aufbau und Struktur des Active Directorys 4M DIEQEL 5AOIREK EPFAHPEM :IE "

k]Y X]Y `c[]gW\Y Mhfi_hif jcb ;Wh]jY >]fYWhcfm VYgW\UZZYb ]gh

"

kY`W\Y ?`YaYbhY nif `c[]gW\Yb Mhfi_hif [Y\'fYb

"

kY`W\Y EcbjYbh]cbYb nif UVY] gc``Yb MhUbXcfhY ibX X]Y jYfkYbXYhY BUfXkUfY ibX ]fYWhcfm U`g BNGF+MY]hY ]b Y]bYa QYVVfckgYf

Aufbau und Struktur des Active Directorys >'>1.8?;"01

>;%##>1.8?;"01#;1#91?1;1"3>8

fiW_Yf

3

-->1.8?;"01-+19-+fiW_Yf* XYf nif >ca$bY 8.492">1.8?;"01 [Y\'fh* UigniXfiW_Yb,

3.7

Konventionen für die Benennung von Objekten

Beispiel fiW_Yf 3;51>$, >Yf >fiW_Yf ]gh XYf Jf[Ub]gUh]cbgY]b\Y]h (==4=>19B ni[YcfXbYh,

05

3

ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003

Eindeutige Namen (Distinguished Name, DN) G]h XYa Y]bXYih][Yb HUaYb k]fX Y]b JV^Y_h Y]bXYih][ ]XYbh]Z]n]Yfh* ]bXYa XYf jc``gh$bX][Y KZUX ]b XYf B]YfUf+ W\]Y jcb cVYb bUW\ ibhYb Ub[Y[YVYb k]fX, /DC=DE/DC=Teamup/DC=Marketing/OU=Assistenz/CN=Hpjet5 $

>=8 >caU]b =cadcbYbh HUaY

$

JO8 Jf[Ub]nUh]cbU` Ob]h HUaY

$

=H8 =caacb HUaY

Relative eindeutige Namen (Relative Distinguished Name, RDN) >Yf fY`Uh]jY Y]bXYih][Y HUaY ]gh Y]b ;hhf]Vih XYg JV^Y_hg, ?W\h Y]bXYih][ aigg Y]b L>H ]bbYf\U`V XYf Jf[Ub]+ gUh]cbgY]b\Y]h gY]b, Ca [YbUbbhYb H Z(f XYb >fiW_Yf );51>$, Cb XYf Jf[Ub]gUh]cbgY]b\Y]h ;gg]ghYbn XUfZ Yg _Y]bYb kY]hYfYb >fiW_Yf a]h XYa HUaYb );51>$ [YVYb,

GUID (Globally Unique Identifier) Yf AOC> gd]Y`h aUbW\aU` Y]bY Lc``Y* kYbb ;bkYbXib[Yb X]Y AOC> Y]bYg JV^Y_hg gdY]W\Yfb, >Ug ;Vfi+ ZYb XYg JV^Y_hg YfZc`[h XUbb c\bY XYb >H, Y]bYg @Ul[Yf$hg gdY]W\Yfh* kYbb XUg @Ul[Yf$h ]b+ ghU``]Yfh ibX XYa @UlX]Ybgh U`g UigZ(\fYbXYg AYf$h jYfZ([VUf [YaUW\h k]fX, >Yf PcfhY]` XYg AOC> VYghY\h XUf]b* XUgg XYf @UlX]Ybgh XUg @Ul[Yf$h UiW\ XUbb bcW\ UbghYiYfb _Ubb* kYbb Yg nk]gW\YbnY]h`]W\ iaVYbUbbh kifXY,

UPN (User Principal Name) OKHg X]YbYb XUni* VYbihnYfZfYibX`]W\Y HUaYb Z(f ca$bYbWcbhfc``Yf

3.9

Standort

Was ist ein Standort im Sinne des Active Directory? ?]b MhUbXcfh Ybhgdf]W\h ]b XYb aY]ghYb @$``Yb Y]bYa F;H, >Ug \YfUigfU[YbXY EYbbnY]W\Yb Y]bYg F;Hg ibX UiW\ Y]bYg MhUbXcfhg ]gh* XUgg >UhYb(VYfhfU[ib[ ]bbYf\U`V gY]bYf AfYbnYb gW\bY``* dfY]gkYfh ibX nijYf`$gg][ ]gh, >]Y MhUbXcfhY Y]bYg ObhYfbY\aYbg _cffY`]YfYb kc\` Ua VYghYb a]h H]YXYf`Uggib[Yb cXYf @]`]U`Yb, >ifW\ XUg >YZ]b]YfYb jcb MhUbXcfhYb \UVYb M]Y X]Y G'[`]W\_Y]h* X]Y >UhYb(VYfhfU[ib[gkY[Y [Ya$) ]\fYf AY+ gW\k]bX][_Y]h ibX TijYf`$gg][_Y]h ni _`Ugg]Z]n]YfYb, M]Y ZUggYb gW\bY``Y >UhYb(VYfhfU[ib[gkY[Y ni Y]bYa MhUbXcfh nigUaaYb, FUb[gUaY PYfV]bXib[Yb* n, U+ hYb(VYfhfU[ib[ nk]gW\Yb MhUbXcfhYb ni Yfa'[`]W\Yb,

Standort Köln

Langsame Verbindung

Standort Essen

Standorte

Standort und Namespace Tk]gW\Yb MhUbXcfhYb ibX HUaYgdUWY VYghY\h _Y]bYf`Y] TigUaaYb\Ub[, Fc[]gW\Y ibX d\mg]gW\Y Mhfi_hif g]bX jc``gh$bX][ ibUV\$b[][ jcbY]bUbXYf, ca$+ bYb ibX Jf[Ub]gUh]cbgY]b\Y]hYb ni, ?g k]fX Z(f Y]bYb ca$bYb8 $

?]bY @]faU a]h bif Y]bYf >ca$bY _Ubb Ub aY\fYfYb MhUbXcfhYb df$gYbh gY]b,

$

;b Y]bYa MhUbXcfh _'bbYb aY\fYfY >ca$bYb jcf\UbXYb gY]b,

07

3

ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003

3.10 Domänencontroller Anforderungen an den Verzeichnisdienst -SQFAKKQICHEPHEIR >]Y PYfnY]W\b]g]bZcfaUh]cbYb Y]bYf >ca$bY kYfXYb jcb aY\fYfYb >ca$bYbWcbhfc``Yfb [YdZ`Y[h %LYXibXUbn&, =EPF#GBAPJEIR

DYXYf >ca$bYbWcbhfc``Yf \$`h Y]bY jc``gh$bX][Y Ecd]Y XYg ;Wh]jY+>]fYWhcfm+PYfnY]W\b]ggYg,

-JRSAKIR"R

>ifW\ LYd`]_Uh]cb nk]gW\Yb XYb jcf\UbXYbYb >ca$bYbWcbhfc``Yfb Y]bYf >ca$bY kYfXYb X]Y U_hiY``Yb PYfnY]W\b]gXUhYb (VYfU`` ]b XYf >ca$bY jYfZ([VUf [YaUW\h, ifW\ Cb]h]]Yfib[ Y]bYf LYd`]_Uh]cb k]fX gW\`]Y)`]W\ XUZ(f [Ygcf[h* XUgg Replikation zwischen Domänencontrollern X]Y VYhfYZZYbXYb >UhYb UiZ U``Yb >ca$bYbWcbhfc``Yfb U_hiU`]g]Yfh kYfXYb,

Domänencontroller mit besonderen Aufgaben Cb ;Wh]jY >]fYWhcfm kYfXYb UiW\ >UhYb jYfkU`hYh* VY] XYbYb >UhYb]b_cbg]ghYbn ZUhU`Y @c`[Yb \UVYb k(fXY, ;i)YfXYa []Vh Yg >UhYb* X]Y b]W\h bif Y]bY >ca$bY* gcbXYfb Y]bY [UbnY Mhfi_hif cXYf Y]bY AYgUahghfi_hif VYhfYZZYb, ?]bY jc``gh$bX][Y LYd`]_Uh]cb UiZ U``Y >ca$bYbWcbhfc``Yf k(fXY ni gY\f j]Y` HYhnkYf_jYf_Y\f Z(\+ fYb, @(f X]Y KZ`Y[Y ibX PYfkU`hib[ gc`W\Yf CbZcfaUh]cbYb aigg UiZ X]Y Gi`h]aUghYffYd`]_Uh]cb jYfn]W\hYh kYfXYb, MhUhhXYggYb (VYfbY\aYb Y]bnY`bY ni VYgh]aaYbXY >ca$bYbWcbhfc``Yf X]Y KZ`Y[Y X]YgYf >UhYb* n, ]fYWhcfm+PYfnY]W\b]gX]YbghY [YgdY]+ W\Yfh* n, ]fYWhcfm U`g Y]bY >UhYbVUb_ jcfghY``Yb* VYgW\fY]Vh XUg MW\YaU XYb ;iZVUi XYf NUVY`+ `Yb ]b X]YgYf >UhYbVUb_,

Positionierung $

/ MW\YaU Z(f U``Y >ca$bYb ]b Y]bYf Mhfi_hif

$

/ MW\YaU Z(f U``Y Mhfi_hifYb ]bbYf\U`V Y]bYf AYgUahghfi_hif

Dynamische Aktualisierung >Ug MW\YaU _Ubb XmbUa]gW\ U_hiU`]g]Yfh kYfXYb, Mca]h _'bbYb ;bkYbXib[Yb obXYfib[Yb Ua MW\YaU jcf+ bY\aYb* n, EIREPE .ERPIEBQLAQREP

-SFGABE

CbZfUghfi_hif+GUghYf

PYfkU`hYh PYfkY]gY ]a TigUaaYb\Ub[ a]h AfiddYba]h[`]YXgW\UZhYb

LC>+GUghYf

Q]f_h a]h VY] XYf TikY]gib[ jcb MC>g Ub bYi YfghY``hY JV^Y_hY

>HM+GUghYf

B]bniZ([Yb Vnk, ?bhZYfbYb jcb >ca$bYb ni-Uig XYf AYgUahghfi_hif

K>=+?ai`Uhcf

PYfgW\]YXYbY ;iZ[UVYb ]a TigUaaYb\Ub[ a]h EYbbkcfh$bXYfib[Yb8 gcZcfh][Y Q]f_gUa_Y]h: ;_hiU`]g]Yfib[ jcb HN+M]W\Yfib[gXca$bYbWcbhfc``Yfb

Notizen

1/

3

ICT Professional SIZ 153 - Directory-Services konfigurieren mit Windows 2003

3.12

Active Directory erkunden

Anmelden in der Domäne ⇒

GY`XYb M]Y g]W\ Ub C\fYf Qcf_ghUh]cb a]h XYa Ecbhc XYg >ca$bYbUXa]b]ghfUhcfg ]b XYf >c+ a$bY *:CL?=NJLS+>JGoH?H OH> +P?LNL;O?HMMN?FFOHA?H,



E`]W_Yb M]Y a]h XYf fYW\hYb GUig+ hUghY UiZ X]Y >ca$bY 9:*0&$2/05+ >/-6.&.!3.%!+P&020"3&.112&,,3.(&.,!



E`]W_Yb M]Y a]h XYf fYW\hYb GUighUghY UiZ X]Y >ca$bY *:/-6.&.'3.+2*/.1&#&.&!)&0"3'123'&.,



MhY``Yb M]Y XYb [Yk(bgW\hYb bYiYb GcXig Y]b* ibX _`]W_Yb M]Y UiZ B&0"3'123'&.!",



ca$bY UigniZ(\fYb, >]Y LYd`]n]Y+ fib[ XYf bYiYb CbZcfaUh]cbYb UiZ X]Y (Vf][Yb >ca$bYb+ Wechsel der Domänenfunktionsebene Wcbhfc``Yf _Ubb V]g ni /3 G]bihYb XUiYfb, AY[YVYbYbZU``g Yfnk]b[Yb M]Y X]Y LYd`]n]Yfib[ aUbiY``,

Notizen

11