Übung 3-31(buchweiß)

Übung 4
"Network Diagnostics" Deutsch -> "Netzwerkprobleme intentifizieren und reparieren"

Als Admin ausführen

Übung 5

xcopy \\NYC-DC1\classfiles\MOD03\*.ps1 C:\Temp /s/v

kopiert alle ps.1 dateien des NYC Servers auf den Client
/V Überprüft die Größe jeder neuen Datei.
/S Kopiert Verzeichnisse und Unterverzeichnisse, die nicht leer sind.

MAC Adresse des NYC Clients 08:00:27:82:7C:BF

Übung 6
SDK frei downloadbar bei MS
Define Verifier -> Next
Edit Root Clause Script -> Next
wieder next

------------------------------
M4
Authentifizierungsvorgänge:
Lokale und Domänen Anmeldung unterschiedlich
ersteres ist in einer lokalen DB gespeichert und hat nur lokal Gültuigkeit, Der Benutzername kann
mehrfach verwendet werden bekommt aber andere SID

letzteres gibt benutzer in der ganzen domäne seine zugewisenen Rechte nach posuitiver
Authentifizierung

Multifaktoren Auth kann als unterstützung Smartcards Fingerabdruckscanner verwenden, W7 hat

eine Treiber unterstüzung für eine Reihe von geräten ophne das die Treiberhersteller benötigt
werden
Nicht nur Benutzer Melden sich an sondern aud der PC der vom Server ein TGT bekommt und
durch dieses Diens Tickets beziehen kann

Kennwortänderung wird nicht von DC ausgelöst sondern von PC, der dem DC meldet das er nun
ein neues zufällig generiertes Passwort hat, gilt nur für die Maschine und nicht für den Benutzer
(ist ein Computer Konto) da es keine fixe verbindung zwischen Benutzerkonto und PC gibt.

Computere konten können über AD deaktiviert werden und einzelne spezielle eigenschaften
zugeschrieben werden

Zu Authentifizierten Benutzer gehören auch Alle Computer dazu

Wenn man im Servermanager Computer Resetet fliegt er aus der Domäner raus da sein Passwort
nimmer übereinstimmt, so kann man einen Computer neu zur domäne hinzufügen mit
vorbestimmten rechten
Berechtigungen können ber GPOs Computerrichtlinen vergeben werden, so haben PCs in einer
gewissen gruppe andere Configs als die einer weiteren Gruppe

Vorbereitete Computerer Konten

Eigenschaften zuweißbar (Mehr als nur Namen) durch Computer zu einem Verwalteten Computer
machenm, indem man Konto einen fixen Computer per Mac adresse zuweißt
Form {00000000-0000-0000-0000-A1A1A1A1A1A1} letzten 6 bytes sind die macadresse (hier nur
ein beispiel)

Vertrauens Stellungen können auch zu Linux und Unix eingestellt werden allerdings werden keine
zeitstempel von Unix heprüft
daher muss im AD inegstellt werden das jene PCs die audf ein Cerberos unix system zugreifen ein
Flag bekommen damit dies funktioniert

Anforderungen im Netzwerk MÜSSEN nicht mit DHCP geregelt werden (im gegensatz zu dem was
buch sagt) es geht auch static IP

DC erlaubt nur eine Abweichung von 5 Minuten, ein Server simmuliert einen PDC (Primary Domain
Controller)-

im buch stehlt fälschlicherweise nettime (die zeitquelle eingestellt werden kann)

w32tm kann verwendet werden um eine gültige zeitquelle zu erstellen

ntp sind Zeitserver

w32tm /config /manualpeerlist:at.pool.ntp.org /syncfromflags:manual /update

setzt den Zeitserver, kann auch über Regedit eingestellt werden

sollte nur auf einen DC im AD eingestellt werden und die Clients synchronisieren sich mit diesem
Die DCs synchronisieren sich mit dem PDC-emulator

Account Einstellungen (4-21)

wichtig ist zB die Anmeldeeinschränkungen des logins auf gewisse PCs
konten kann ein Ablaufdatum zugeiwesen werden
kann aber jederzeit deaktiviert werden oder durch vordefinierte fehl login versuche
--> Im Server Manager kann dies unter Users -> user properties, account wieder entsperrt
werden
es können bis zu 11 verschiedene eigenschaften per GUI eingestellt werden, per cmd line gehen
wesentlich mehr
mann kann allerdings die GUI eigenschaften erweiternd ruch advancer proberties wodurch dann
attribute geäündert werden können durch bitsetzungen

Übung 4-31
Logoff script:
1. Gruppenrichtlinien Bearbeiten

----
m6

Netbios knoten typen:

b (broadcast) macht nur broadcast, fragte keine wins server
p (p2p) fragt nur netbiosnamensserver udn kein broadcast
m (multi) zuerst broadcast, dann wins server
h (hybrid) zuerst wins server, dann broadcast

m sinvoll wenn wins in einem anderen subnet steht

-------
m5
Verwenundgen von IPSec
ESP Digitale Signatur und Verschlüsselung
AH sendet Hash mit (Authentication Header)

Tools für IPSec

5-26

ARP ermittluing der MAC des nächsten HOPs, des nächsten Zielrechners
dns cmd enthält viele befehle die man auch über GUI ausüfhren kann
netdiag hat sehr unfangreiche und detailierte überprüfung der netzwekr configuration des
rechners (scheinbar nicht mehr inklodiert)
macht ein 30kb großes diagnose html

BOOTB war vorgänger protokoll von DHCP, protokolle sind komplett kompatibel
man kann für gruppen speziell BOOTP deaktivieren bzw aktivieren