Download - Microsoft Active Directory
![Page 1: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/1.jpg)
Microsoft Active Directory
Kay Ködel25.01.06
![Page 2: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/2.jpg)
Index1 Einführung in das Active Directory
2 Das Microsoft Active Directory2.1 Begriffe2.2 Hauptwerkzeuge2.3 Installation2.4 Active Directory Objekte2.5 Berechtigungen2.6 Replikation2.7 Richtlinien
3 Dienste und Ihre Bedeutung für das Gesamtsystem3.1 Ereignisanzeige
4 Abschließende Bemerkungen
![Page 3: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/3.jpg)
1 Einführung in das Active Directory
Verzeichnisse (engl. Directories) sind Sammlungen von Daten einer bestimmten Art. So kann man Telefon- und Adressbücher wie auch Kataloge oder Fernseh-Programme als Verzeichnisse bezeichnen. Dabei liegt allen Directories ein ordnendes Prinzip zugrunde: Telefonbücher sind nach Namen geordnet, Kataloge nach Themen und Fernseh-Programme nach TV-Kanälen und Datum.
![Page 4: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/4.jpg)
1 andere Definition
Das Active Directory ist ein hierarchischer Verzeichnisdienst, der unternehmensrelevante Daten (Benutzer, Computer, Drucker, etc.) an einer zentralen Stelle verwaltet und diese über standardisierte Schnittstellen (LDAP) den Benutzern des Netzwerkes zur Verfügung.
![Page 5: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/5.jpg)
1 Herkunft
• Einführung mit Windows 2000
• LDAP
• Notwendigkeit für die Administration größerer Netze
• Ansätze in Windows NT
![Page 6: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/6.jpg)
1 Unterstützte Technologien
DHCP - Dynamic Host Configuration Protocol (D)DNS - (Dynamic) Domain Name System SNTP - Simple Network Time Protocol LDAP - Lightweight Directory Access Protocol
v3 LDIF - LDAP Data Interchange Format - X.509 v3-Zertifikate - Authentifizierung TCP/IP - Transmission Control
Protocol/Internet Protocol
![Page 7: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/7.jpg)
2 Microsoft Active Directory
Vorteile:
Informationssicherheit Richtlinienbasierte Verwaltung Erweiterungsfähigkeit Skalierbarkeit Replikation von Informationen DNS-Integration Zusammenarbeit mit anderen
Verzeichnisdiensten
![Page 8: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/8.jpg)
2 Allgemein
global verteiltes Verzeichnis
hierarchisch angeordnete Objekte
Hauptaufgabe eines Verzeichnisdienstes ist die Zuordnung von Namen eines Objektes zu einer Menge von Werten und Eigenschaften.
Suchen nach Objekten mit geeigneten Browsern
Internationale ISO/ITU-T Standards für einen plattformunabhängigen verteilten Verzeichnisdienst
![Page 9: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/9.jpg)
2 Allgemein
Eine Art Zuordnungsliste Datensätze, Objekte Atribute Vorraussetzung DNS Aktiv in der Anwendungsschicht und nutzt andere
Protokolle Organisation, Bereitstellung und Überwachung Dreiteilung: Schema, Konfiguration und Domain Active-Directory-Datenbank (Windows 2000)
benutzt Jet-Basierende ESE98 (Grenze bei 17 Terabytes und 10 Millionen Objekte pro Domain)
![Page 10: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/10.jpg)
2.1 Begriffsdefinition
Domäne Tree Forest Standort Organisationseinheit Gruppenrichtilinienobjekte Schema Global Catalog
![Page 11: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/11.jpg)
2.1 Domäne
SD
2 0 0
R
pentium.........
PROSIGNIA
SD
2 0 0
R
pentium.........
PROSIGNIA
SD
2 0 0
R
pentium.........
PROSIGNIA
Besteht aus mind. 1 DC
Der das komplette Verzeichnis vorhält
Durch Multi-Master Replikation Änderungen von allen DCs aus möglich
Domäne bildet Grenze für die Replikation
![Page 12: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/12.jpg)
2.1 Struktur (Tree)Beliebig tiefer hierarchischer Domänen-Baum
einheitliches Namensschemata
alka.dehalle.alka.de
Transitive Kerberos Vertrauensstellung
![Page 13: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/13.jpg)
2.1 Gesamtstruktur (Forest)
Beliebig tiefer hierarchischer Domänen-Baum
einheitliches Namensschemata
alka.dehalle.alka.de
Transitive Kerberos Vertrauensstellungen
![Page 14: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/14.jpg)
2.1 Standort (Site)
Definiert ein Netzwerk mit schnellen Verbindungen.
Definition über IP-Subnetze
Replikation innerhalb des Standorts und über Standortgrenzen hinweg separat konfigurierbar
Clients können stets „nahe“ Ressourcen nutzen.
![Page 15: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/15.jpg)
2.1 Organisationseinheit
Active Directory Container Objekt innerhalb einer Domäne
Verwaltung Benutzer-, Gruppen und Computerobjekten
Kleinste Bereich auf den Gruppenrichtlinienobjekte angewendet werden können
![Page 16: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/16.jpg)
2.1 Gruppenrichtlienenobjekte
Gruppenrichtlinene (Group Policy Object GPO)
Definition: Policies bieten die Möglichkeit, an zentraler Stelle die Anwendungsumgebung der Benutzer einmalig festzulegen, wobei das Betriebssystem die Einhaltung sicherstellt.
Ca. 600 Konfigurationsmöglichkeiten
Unterteilt in Computer- und Benutzereinstellungen
Können vom Administrator erweitert werden
![Page 17: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/17.jpg)
2.1 Schema
Beschreibung aller Objekte inkl. Ihrer Attribute des Active Directory
Wird vom Schema-Master verwaltet
1 Schemamaster pro Domäne
Eindeutigkeit in einem Forest sicherstellen
![Page 18: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/18.jpg)
2.1 Globaler Katalog
![Page 19: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/19.jpg)
2.2 Hauptwerkzeuge des AD
• Active Directory Benutzer und Gruppen• Active Directory Domänene und
Vertrauensstellungen• Active Directory Standorte und Dienste• Sicherheitsrichtilininien für Domänen• Sicherheitsrichtlinien für
Domänencontroler• Serververwaltung Standardkomponenten
![Page 20: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/20.jpg)
2.2 Serververwaltung unter Windows
Dateiserver Druckserver Anwendungsserver (IIS,ASP.NET) Mailserver(POP3, SMTP) Terminalserver RAS/VPN-Server Domänencontroler DNS-Server DHCP-Server Streaming-Media-Server WINS-Server
![Page 21: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/21.jpg)
Mögliche Varianten für den Einsatz des Domaincontrollers:
Erste Root-Domäne (im Wald oder in einer Gesamtstruktur)
zusätzlichen Domänencontrollers (Replikationscontroller)
weitere Sub- bzw. Child-Domäne
neuer Domänenbaum innerhalb der Domänengesamtstruktur (Domänenwald)
2.3 Installation des Active Directory
![Page 22: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/22.jpg)
2.3 Installation des Active Directory
Wahl des Domainnamens Planung des Einsatzes und Zwecks Dokumentation der Einstellungen
Entwerfen einer Bennenungsstrategie Entwerfen einer Schematarichtlinie Unterstützung von Gruppenrichtlinien Verzeichnisstruktur mit mehreren Domains Entwerfen einer Standardtopologie Entwerfen einer Infrastruktur
![Page 23: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/23.jpg)
2.3 Installation des Active Directory
Programm: DCPROMO.EXE
![Page 24: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/24.jpg)
2.3 Serverrollen
Windows 2000 - 5 Serverrollen
RID-Master (eindeutig in Domäne)Stellt den DCs seiner Domäne sogenannte Relative IDs (RID) in Kontingenten zur Verfügung. RIDs benötigen die DCs bei der Erzeugung von Security Principals, das sind User-, Gruppen- oder Computer-Objekten. Zusammen mit der SID, die innerhalb einer Domäne immer gleich ist, ergibt sich daraus die endgültige SID.
Infrastruktur-Master (eindeutig in Domäne)Löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus der Gruppe verschwunden, und zwar solange bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Gruppenmitgliedern werden.
![Page 25: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/25.jpg)
2.3 Serverrollen
Schema Master (eindeutig im Forest) Der Schema-Master verwaltet alle Änderungen am Schema. Das Schema definiert alle Objekttypen der AD-Datenbank.
Domänennamen-Master (eindeutig imForest)Er kontrolliert das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Zusätzlich gibt es drei domänenweite FISMOs:
PDC-Emulator (eindeutig in Domäne)Übernimmt die Rolle des PDC in einem W2k-Netz, das auch andere nicht-W2k-Clients oder BDCs enthält. Überwacht Anmeldungen und Paßwortänderungen.
![Page 26: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/26.jpg)
2.3 AD Dateien im Dateisystem
Dateien liegen standardmäßig unter: Stamm\NTDS
Folgende Dateien sollten vorhanden seinNTDS.DIT die AD DatenbankEDB.LOG das TransaktionsprotokollEDBxxxx.LOG fortlaufende LOG DateienEDB.CHK Log CheckpointRES1(2).LOG Reserve-Log DateienTemp.EDB SuchoptionenSchema.INI Standard Schema
![Page 27: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/27.jpg)
2.3 Deinstallation des Active Directory
Programm: DCPROMO.EXE
![Page 28: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/28.jpg)
2.4 AD Objekte
Benutzer, Gruppen, Computer, Drucker, Sicherheits-
richtlinien, Dateifreigaben, Applikationen und untergeordnete OE.
![Page 29: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/29.jpg)
2.4 Benutzerkonten
DomDomänenbenutzerkontenänenbenutzerkontenDomDomänenbenutzerkontenänenbenutzerkonten Ermöglichen einem Benutzer die Anmeldung an der Domäne, um Zugriff auf
Netzwerkressourcen zu erhalten Befinden sich in Active Directory
Ermöglichen einem Benutzer die Anmeldung an der Domäne, um Zugriff auf Netzwerkressourcen zu erhalten
Befinden sich in Active Directory
LoLokkalale Benutzerkontene BenutzerkontenLoLokkalale Benutzerkontene Benutzerkonten
Ermöglichen einem Benutzer die Anmeldung an einem bestimmten Computer, um Zugriff auf die Ressourcen auf diesem Computer zu erhalten.
Ermöglichen einem Benutzer die Anmeldung an einem bestimmten Computer, um Zugriff auf die Ressourcen auf diesem Computer zu erhalten.
Vordefinierte BenutzerkontenVordefinierte BenutzerkontenVordefinierte BenutzerkontenVordefinierte Benutzerkonten
Ermöglichen einem Benutzer die Ausführung von Verwaltungsaufgaben oder den temporären Zugriff auf Netzwerkressourcen
Befinden sich in Active Directory (vordefinierte Domänenbenutzerkonten)
Ermöglichen einem Benutzer die Ausführung von Verwaltungsaufgaben oder den temporären Zugriff auf Netzwerkressourcen
Befinden sich in Active Directory (vordefinierte Domänenbenutzerkonten)Administrator
und GastAdministrator
und Gast
![Page 30: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/30.jpg)
2.4 Erstellen eines Domänenbenutzerkontos
New Object - User
![Page 31: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/31.jpg)
2.4 Namenskonventionen
Benutzeranmeldenamen müssen eindeutig sein
Benutzeranmeldenamen: Können bis zu 20 Zeichen enthalten Eine Kombination von speziellen und
alphanumerischen Zeichen kann verwendet werden
Eine Namenskonvention sollte: Eine Regel zum Auflösen von identische Namen
enthalten Temporäre Benutzer identifizieren können
![Page 32: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/32.jpg)
2.4 Erstellen eines Domänenbenutzerkontos
![Page 33: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/33.jpg)
2.4 Kennwortrichtlinien
Weisen Sie dem Konto „Administrator“ stets ein Kennwort zu
Legen Sie fest, wer die Kontrolle über dieKennwörter hat
Standardmäßig müssen bei Windows 2003 Kennwörter „stark“ sein
![Page 34: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/34.jpg)
2.4 Persönliche Eigenschaften
Hinzufügen persönlicher Informationen über Benutzer und Speichern im Active Directory
Verwenden persönlicher Eigenschaften, um Active Directory zu durchsuchen
![Page 35: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/35.jpg)
2.4 Kontoeigenschaften
Benutzer02 UserBenutzer03 UserBenutzer04 UserBenutzer05 UserBenutzer06 User
Benutzer01 User
![Page 36: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/36.jpg)
2.4 Anmeldeoptionen
StandardStandard StandardStandard
![Page 37: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/37.jpg)
2.4 Anmeldeoptionen
Anmeldezeiten so festlegen, dass sie den Arbeitszeiten der Benutzer entsprechen
Festlegen der Computer, von denen aus sich der Benutzer anmelden kann
Domänenbenutzer können sich standardmäßig an jedem Computer der Domäne anmelden
Domänenbenutzer können auf bestimmte Computer eingeschränkt werden, damit die Sicherheit erhöht wird
![Page 38: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/38.jpg)
2.4 Servergespeicherte Profile
\Basis
Benutzer1
Benutzer2
Benutzer3
So erstellen sie einen Basisordner:
- Erstellen Sie einen Ordner auf einem Server, und geben Sie diesen frei
- Erteilen Sie die entsprechende Berechtigung
- Benutzerkonto entsprechend konfigurieren
![Page 39: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/39.jpg)
2.5 Berechtigungen
Umfangreiche Gestaltung
Anlenung an Objektorientierte Standards
Vererbungsstrategie
Zugriffsrechte anstelle von Beschränkungen
![Page 40: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/40.jpg)
2.5 NTFS-Datei/Ordner Berechtigungen
Orderberechtigungen Dateiberechtigungen
Lesen Lesen
Schreiben Schreiben
Ordnerinhalt auflisten
Lesen, Ausführen Lesen, Ausführen
Ändern Ändern
Vollzugriff Vollzugriff
Spezial Spezial
![Page 41: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/41.jpg)
2.5 Kopieren & Verschieben
Durch das Kopieren gehen Berechtigungen verlohren Nur durch das Verschieben innerhalb einer Partition
werden Berechtigungen beibehalten
NTFS-PartitionD:\
NTFS-PartitionE:\
NTFS-PartitionC:\ KopierenKopierenKopierenKopieren
VerschiebenVerschieben
Kopieren oder VerschiebenKopieren oder Verschieben
![Page 42: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/42.jpg)
2.5 Gruppen
Gruppenmitglieder verfügen über zugewiese Rechte der Gruppe
Benutzer können Mitglieder mehrerer Gruppen sein
Gruppen und Computer können ebenfalls Mitglieder von Gruppen sein
Berechtigungen werden für jedes Benutzerkonto einzeln
erteilt
Berechtigungen werden für jedes Benutzerkonto einzeln
erteilt
Berechtigungen werden einmal für einen Gruppe
erteilt
Berechtigungen werden einmal für einen Gruppe
erteiltAAnstelle vonnstelle vonAAnstelle vonnstelle von
![Page 43: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/43.jpg)
2.5 Gruppentypen und -bereiche
GruppentypenGruppentypenGruppentypenGruppentypen
SicherheitsgruppenSicherheitsgruppenVerwenden zum Erteilen von Berechtigungen Können als E-Mail-Verteilungsliste verwendetwerden
Verwenden zum Erteilen von Berechtigungen Können als E-Mail-Verteilungsliste verwendetwerden
VerteilergruppenVerteilergruppenKönnen nicht zum Erteilen von Berechtigungen verwendet werden Können als E-Mail-Verteilungsliste verwendetwerden
Können nicht zum Erteilen von Berechtigungen verwendet werden Können als E-Mail-Verteilungsliste verwendetwerden
GruppenbereicheGruppenbereicheGruppenbereicheGruppenbereiche
Globale GruppeGlobale GruppeVerwenden Sie diesen Gruppenbereich, um Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zu organisieren
Verwenden Sie diesen Gruppenbereich, um Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zu organisieren
Gruppe der lokalen Domäne
Gruppe der lokalen Domäne
Verwenden Sie diesen Bereich, um Berechtigungen für Domänenressourcen zu erteilenVerwenden Sie diesen Bereich, um Berechtigungen für Domänenressourcen zu erteilen
Universelle Gruppe
Universelle Gruppe
Verwenden Sie diesen Bereich zum Erteilen von Zugriffsberechtigungen für Ressourcen, die sich in mehreren Domänen befinden
Verwenden Sie diesen Bereich zum Erteilen von Zugriffsberechtigungen für Ressourcen, die sich in mehreren Domänen befinden
![Page 44: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/44.jpg)
2.5 Gruppen anlegen und löschen
Neues Objekt - Group
Erstellen in: nwtraders.msft/Users
Gruppenname:
Gruppenname (Windows NT 3.5x/4.0):
Gruppenbereich:
Lokale DomäneGlobalUniversal
Gruppentyp:
SicherheitVerteiler
OKOK Abbrechen
Public GruppennameGruppennameGruppennameGruppenname
![Page 45: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/45.jpg)
2.5 NTFS-Berechtigungen
„Verweigern“ setzt andere Berechtigungen außer Kraft
![Page 46: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/46.jpg)
2.5 Berechtigungen für Freigaben
DatenDaten
Berechtigungen fürfreigegebene OrdnerBerechtigungen für
freigegebene Ordner
LesenLesen
ÄndernÄndern
VollzugriffVollzugriff
Benutzer
• Benutzer benötigen auf einem NTFS-Datenträger zusätzlich die entsprechende NTFS-Berechtigung
• Restriktivste Berechtigung gilt
• Empfehlung: Auf Freigabeebene der Gruppe Jeder Vollzugriff erteilen und explizite Berechtigungen über NTFS- Berechtigungen konfigurieren
![Page 47: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/47.jpg)
2.5 Verbindung zu freigegebenen Ordnern
Verwendung von „Netzwerkumgebung“ -> SUCHEN Freigabenamen mit angehängtem „$“ werden nicht angezeigt
Verwenden von „Netzlaufwerk verbinden“ \\Server\Name_des_freigegebenen_Ordners\Datei
Über Eingabeaufforderung: net use <Laufwerksbuchstaben> <Freigabename>
![Page 48: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/48.jpg)
2.5 Richtlinien
Dienst läuft unter einem Benutzerkontext Interne Dienste unter Systemkonten Externe Dienste unter Benutzerkonten
Default Domain (Controllers) Policy Unter welchen Berechtigungen Dienste
laufen dürfen Log on as a service /Deny logon as a service
![Page 49: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/49.jpg)
2.5 Richtlinien
![Page 50: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/50.jpg)
2.6 Richtlinien
Mit Hilfe des Gruppenrichtilinieneditors lassen sich umfangreiche Einstellungen vornehmen um die Administration zu vereinfachen.
Neben den schon bereits erleuterten Sicherheitseinstellungen können speziell Benutztereinstellungen wie verfügbare Programme, installierte Dienste, Windowseinstellungen und administrative Aufgaben konfiguriert werden. Als Standard existiert am Anfang nur die Default Domain Policy.
![Page 51: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/51.jpg)
2.7 Replikation
Die Replikation von Änderungen der Active Directory-Informationen spielt dann eine Rolle, wenn mehrere Domänencontroller in einem Windows 2000-Netzwerk installiert sind.
Jeder Domänencontroller repliziert bzw. synchronisiert seine Active Directory-Datenbank mit anderen Domänencontrollern in der Domänengesamtstruktur.
Die Bedeutung der Replikation von Active Directory-Informationen steigt mit der Größe des Netzwerkes.
![Page 52: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/52.jpg)
2.7 Replikation
Replikation wird automatisch nach vorgegebenene Einstellungen durchgeführt
Bei Ausfall des PDC übernimmt Bsp der SDC die Auifgaben des PDC
Replikation umfasst die Einstellung einer Domäne und ist auf die Domäne begrenzt
Mittels des Replokationsmonitors kann die Replikation überwacht werden
![Page 53: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/53.jpg)
3 Dienste
Was sind Dienste? Programme, die unabhängig von
angemeldeten Benutzern unter einem Benutzerkontext ausgeführt werden können
Motivation? Unmenge an Diensten werden installiert,
selbst wenn diese nicht gebraucht werden teilweise schlechte Beschreibungen unverzichtbare Dienste
Verwaltung über mmc.exe Snap-In Dienste bzw. services.msc
![Page 54: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/54.jpg)
3 Starttyp
Automatisch: Dienst wird beim Rechnerstart gestartet
Manuell: Dienst kann bei Bedarf per Hand oder von Programmen gestartet werden
Deaktiviert: Dienst kann nicht gestartet werden, kritisch bei unverzichtbaren Diensten
![Page 55: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/55.jpg)
3 Unverzichtbare Dienste
Remoteprozeduraufruf
COM+-Ereignissystem
Ereignisprotokoll
Windows-Verwaltungsinformationen
Sicherheitskontenverwaltung
Plug & Play
![Page 56: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/56.jpg)
3 Ausgewählte Dienste 1
Dienstbezeichnung Executable empf. Startart
Ablagemappe clipsrv.exe deaktiviert
Anmeldedienst lsass.exe manuell
Anwendungsverwaltung services.exe / svchost.exe manuell
Arbeitsstationsdienst services.exe / svchost.exe automatisch
COM+-Ereignissystem svchost.exe manuell
Computerbrowser services.exe / svchost.exe je nach Bedarf
DHCP-Client services.exe / svchost.exe je nach Bedarf
DNS-Client services.exe / svchost.exe je nach Bedarf
Druckwarteschlange spoolsv.exe automatisch
Ereignisprotokoll services.exe automatisch
Geschützter Speicher services.exe / lsass.exe automatisch
Leistungsdatenprotokolle und Warnungen smlogsvc.exe manuell
Nachrichtendienst services.exe / svchost.exe je nach Bedarf
Netzwerkverbindungen svchost.exe manuell
Plug & Play services.exe automatisch
![Page 57: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/57.jpg)
3 Ausgewählte Dienste 2
Dienstbezeichnung Executable empf. Startart
Remoteprozeduraufruf (RPC) svchost.exe automatisch
Remote-Registrierung regsvc.exe / svchost.exe automatisch
Server services.exe / svchost.exe automatisch
Sicherheitskontenverwaltung lsass.exe automatisch
Systemereignisbenachrichtigung svchost.exe automatisch
Taskplaner MSTask.exe / svchost.exe je nach Bedarf
Telnet tlntsvr.exe deaktiviert
Windows Installer msiexec.exe manuell
Windows-Verwaltungsinstrumentation WinMgmt.exe / svchost.exe automatisch
Windows-Zeitgeber services.exe / svchost.exe je nach Bedarf
![Page 58: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/58.jpg)
3 Aufbau Dienste (XP/2003)
Die meisten Dienste laufen unterGeneric Host Process for Win32 Services Weniger laufende Prozesse
(min.) vier Instanzen von svchost.exe SYSTEM - nahezu alle eingebauten Dienste SYSTEM - zweite Instanz für RPC LOCAL SERVICE - z.B. Remote Registry NETWORK SERVICE - z.B. DNS-Client
2 neue weniger privilegierte Dienstkontosfür eingebaute Dienste LOCAL SERVICE; NETWORK SERVICE
![Page 59: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/59.jpg)
3 Process Explorer
![Page 60: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/60.jpg)
3.1 Die Ereignisanzeige
![Page 61: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/61.jpg)
3.1 Die Ereignisanzeige
Zusammenfassung aller Meldungen des Systems
Standardmäßige Unterteilung in Application, Security und System Log
Je nach installiertem Dienst werden weitere Unterpunkte hinzuaddiert
![Page 62: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/62.jpg)
3.1 Komponenten
Application Log- anwendungsspezifische Meldungen- editierbar per VBScript/WMI
System Log- Meldungen von Betriebssystemkomponenten
Security Log- Sicherheitsmeldungen (z.B. Anmeldung, Zugriffe)- Kann vom Administrator nich editiert werden
![Page 63: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/63.jpg)
3.1 Allgemeine Konfiguration
![Page 64: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/64.jpg)
3.1 Allgemeine Konfiguration
Einstellungen können in der Default Domain Policyvorgenommen werden
![Page 65: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/65.jpg)
3.1 Das Security Log
Auditing wird ebenfalls durch GPO‘s gesteuert
![Page 66: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/66.jpg)
3.1 Auswertung
Das Event Log bietet eine Fülle von durchaus nützlichen Informationen
Probleme:
Übersichtlichkeit Verständlichkeit und Dokumentation
![Page 67: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/67.jpg)
3.1 Auswertung
![Page 68: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/68.jpg)
3.1 Sicherheitscheck
Vor der Installation prüfen: DNS-Namensraum, Speicherort der Datenbank, Struktur des Active Directory, Aufgaben- bzw. Berechtigungszuweisungen in Bezug auf die Administration, Datensicherung bzw. Replikation des Active Directory.
Auslagern der Datenbank in größeren Netzen
Anlegen von Organisationseinheiten (OE) Diese bilden die Grundlage für die Abgrenzung von Administrationsbefugnissen und die Zuweisung von Gruppenrichtlinien.
![Page 69: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/69.jpg)
3.1 Sicherheitscheck
Prüfen Sie die Administrationsbefugnisse im Active Directory sorgfältig und begrenzen Sie sie auf ein Minimum.
Die Gruppe Organisations-Admins hat die Aufgabe, das Active Directory zu verwalten. Sie verfügt über Vollzugriffsrechte auf allen Ebenen und darf auf der Domänenebene nicht entfernt werden.
Mithilfe der Datei adminpak.msi kann Active Directory von einem Client aus audministriert werden
Einrichten von Standorten
Um eine hohe Verfügbarkeit (Replikation) des Active Directory zu gewährleisten,sollten Sie innerhalb jeder Domäne zwei Domänencontroller einrichten.
![Page 70: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/70.jpg)
4 Abschliessende Bemerkungen
Aktive Direktory ist ein mächtiges Werkzeug für die Administration der gesamten IT in einem Unternehmen.
Es stehen umfassende Programme zur Verfügung um die Verwaltung von Active Direkory Objekten zu erleichtern und effizient zu gestalten.
![Page 71: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/71.jpg)
4 Abschliessende Bemerkungen
Windows 2003 beinhaltet einige Neuerungen und Besserungen. Im Gegensatz zu 2000 ist nach der Installation alles sehr restriktiv ausgelegt.
starke Passwörter
lokales, interaktives anmelden verboten
Dot.Net Schnittstelle
![Page 72: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/72.jpg)
4 Abschliessende Bemerkungen
Mit Hilfe der Gruppenrichtlinien lassen sich Benutzerumgebungen, (Desktopaussehen und Verhalten, installierte Programme usw.) individuell für Gruppen anpassen und vorgeben.
Keine Bindung an spezielle Computer oder Computer an Ressourcen
Jedes Objekt kann bequem individuell konfiguriert werden
![Page 73: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/73.jpg)
4 Abschliessende Bemerkungen
Primäre und Sekundäre Server vermindern Ausfälle und mildern die Folgen
Replikation funktioniert automatisch
Verschiedene Standorte verbessern die Datensicherheit enorm
![Page 74: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/74.jpg)
4 Abschliessende Bemerkungen
Active Directory erzeugt große Mengen an Daten
Wenn sich ein User das erste mal an einem Computer anmeldet kann dies sehr lange dauern, weil das Benutzerprofil lokal gespeichert wird, ggf. Software installiert wird und gewisse Tests durchgeführt werde
Ein Administrator sollte es auf jedenfall vermeiden sich an weniger gesicherten Computern anzumelden da dies ein erhöhtes Sicherheitsrisiko darstellt.
![Page 75: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/75.jpg)
4 Abschliessende Bemerkungen
Die meisten Einstellungen die man am Active Directory vornimmt werden nicht sofort umgesetzt und dauern eine Weile. Dies hängt von den jeweiligen Einstellungen der Ressource, der Replikation sowie der Netzwerkanbindung ab.
Das Active Directory ist eines der wichtigsten Technologien von Microsoft. In Zukunft wird die Bedeutung mit Sicherheit noch weiter steigen
![Page 76: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/76.jpg)
Praxisteil
Installation von Microsoft Windows 2003 Enterprise Edition
Update von Windows Aktivierung und Festlegung des Active
Direktory mit dcpromo Konfiguration des Aktive Direktory
(Benutzer, Computer, ...) Verschaffen eines Überblicks Test der ausgewählten Funktionalitäten Deinstallation des Active Directory
![Page 77: Microsoft Active Directory](https://reader036.vdocument.in/reader036/viewer/2022062314/56813329550346895d9a1659/html5/thumbnails/77.jpg)
Praxisteil
Firma: AlKa Server: 1 Server (leistungsfähig), Clientcomputer Domainname: halle.alka.de Feste IP: 192.168.10.1 Servername: PDC Benutzer: Otto Chef, Inge Verwaltung, Hans
Produktion, Ingo Administrator, Paula Praktikantin
Computer: einige Client-Computer Drucker: Verwaltung1, Produktion1 Firmenverzeichnis: c:/Firmenverzeichnis/Chefsache/*
c:/Firmenverzeichnis/Verwaltung/*c:/Firmenverzeichnis/PublicFirma/*c:/Firmenverzeichnis/Proddaten/*
Verschiedene Zugriffsrechte auf die Ordner