Sie sind auf Seite 1von 3

WSUS IP adresse 10.134.23.

250
-------------------
auf GW1 wsus inadmin kopieren und neues feature interne windows datenbank installieren

dcpromo

zum dc hochstufen

----------------------

Mitglieder Rechte
Benutzer aller Domänen,
lokal eigene Domain
lok, gl., univ
B. eigener Domänen,
global allen Domain
globale Gruppen
universelle B. aller D., univ, glob allen Dom

Benutzerkonten mit gleichen Rechten kommen in eine globale Gruppen


in allen Domänen Benutzer mit gleichen rechten in einer globalen Gruppe, diese dürfen nur in
ihrer eigenen Domäne zugriffe haben
man kann alle diese globale gruppen in eine universelle gruppe geben um zB in einer anderen
domäne auf alles zugreifen zu können

Verschachtellung von Gruppen


Dadruch können rechte vererbt werden bei änderung von rechten eines/meherer benutzer/s

durch verschieben der benutzer in andere gruppen werden den butzern benötigte
rechtezugewiesen und nicht benötigte abgenommen

Berechtigung nur an gruppen nicht einzeluser

------------------------

Master:

Schememaster (kritisch)
Domain Naming Master(kritisch)
dürfen nicht mehr online gehen wenn sie während des verschiebens offline waren

diese beiden rollen gibt es nur einmal im Forest

RID Master mit spezielelr sicherheits ID im form von S-1-5-domainid (lang) -relative ID(kkurz)
--> verwaltet kintogente von relativen IDs, ein RID pool darf nur einmal verwendet werden
default poolgröße von 500 (über reg keys steuerbar)
zB DC1 1001-1500 DC2 1501-2000 DC3 2001-2500
wenn nun neuer pool gebraucht wird zB bei DC2 wird ihm der nächste freie bereich zugeordnet
(hier zB 2501-3000)
im neuen windows (nach 2000)wird nicht gewartet bis alle ids aufgebraucht sind, sondern bei
50% wird neuer pool angefordert
stellt sicher das es jede ID nur einmal gibt
darf nicht mehr online gehen wenn sie während des verschiebens offline waren
==>wen zB RID ausfällt aber neue user brauchen, muss einer der DC zum RID Master gemacht
werden um weiter zuzuweisen, die änderungen der pools wird auf allen DC gespeichert
daher kann auch ein anderer DC den RID Master nehmen, der alöte RID Master muss dann aber
vom netz hochgefahren werden und abgestuftwerden mit dcpromo /remove all
danach kann man ihn wiede rzur domäner hinzufügen zum DC hochstufen und dann die RID
Master funktion wieder übergeben

PDC Emulator jeder PDC emulator innerhalb einer Domäne ist der Zeitgeber der Domäne und die
DCs synchroniesieren sich mit ihm.
ist auch der server für die GPOs wenn so eingestellt (MUSS nicht sein, kann auch anderen
Fokus bekommen zB einen normalen DC)
(an bedeutung verloren) unter windows 2000 war das replizierungs intervall noch 5 minuten,
DC fragt PDC zB bei falschen Passwort ob ein aktuelleres PW vorhanden ist, PDC fragt
anderen DC und repliziert das neue Passwort. Nicht mehr so wichtigtig da neue latenzzeiten 15
sekunden statt 5 minuten
PDC Emulator kann Offline Verschoben werden

Infrastructure Master (kann offline verschoben werden)


Nur notwendig bei Server ohne globalen Katalog Server, ^verwaltet unterschiedliche
Verweißobjekte wie ZB unterschiedliche DC partitionen zu anderen DCs
!darf nicht auf selben server installiert sein wie auf einem globalen katalog server
entweder alle DC zu globalen Katalog server machen, oder ^

verschieben:

rechtklick auf Domäne ->Betriebsmaster


RID PDC Infrastructure Verwaltbar

nur verschiebbar wenn unterschiedliche einträge

damit das funktioniert muss ein unterschiedlicher fokus sein -> verbinden zu anderen DC
bei großen server farmen Schemamaster und domain naming master auf einen forest zu legen
und den rest auf anderes
PDC am besten dorthin wo die meisten user sind (größter standort)

Actitve Directory Domänen und Vertrauensstellungen, kann genauso vorgegangen werden wie ^

cmd
regsvr32 schmmgmt.dll

mmc

schema management konsole (für den schema master) hinzufügen

--->
C:\Users\Administrator>ntdsutil
ntdsutil: activate instance ntds
Aktive Instanz wurde auf "ntds" festgelegt.
ntdsutil: roles
fsmo maintenance: conn
server connections: con to ser dc1
Bindung mit "dc1" ...
Eine Verbindung mit "dc1" wurde unter Verwendung der Benutzerinformationen des lokal
angemeldeten Benutzers wurde hergestellt.
server connections: quit
fsmo maintenance: transfer rid ma entspricht GUI, auch verwendbar seize(kann nur im
befehlszeilen modus ausgeführt werden und erzwingt verchiebung der Master role fals der main
offline ist)[14.06.2010]
Server "dc1" kennt 5 Funktionen.
Schema - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=mcitp03,DC=tst
Namensmaster - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=
Sites,CN=Configuration,DC=mcitp03,DC=tst
PDC - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mcitp03,DC=tst
RID - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mcitp03,DC=tst
Infrastruktur - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN
=Sites,CN=Configuration,DC=mcitp03,DC=tst
fsmo maintenance: seize na ma
Eine sichere Übertragung von domain naming FSMO vor der Übernahme der Funktionen
wird versucht.
FSMO wurde einwandfrei übertragen. Die Übernahme ist nicht erforderlich.
Server "dc1" kennt 5 Funktionen.
Schema - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=mcitp03,DC=tst
Namensmaster - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=
Sites,CN=Configuration,DC=mcitp03,DC=tst
PDC - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mcitp03,DC=tst
RID - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=
Configuration,DC=mcitp03,DC=tst
Infrastruktur - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN
=Sites,CN=Configuration,DC=mcitp03,DC=tst
fsmo maintenance:

Empfehlung MS
Scheme und DM Master auf einem DC
RID PDC und Infrastracture auf einem DC
PDC dort wo die meisten User sind (bei Firmen mit mehreren stationen)