Beruflich Dokumente
Kultur Dokumente
Domäne
• Kerneinheit der logischen Struktur
• Eine von einem Administrator definierte Gruppe von Computern, die eine
gemeinsame Verzeichnisdatenbank verwenden
• Besitzt einen eindeutigen Namen
• Ermöglicht einem Domänadministrator auf zentrale Benutzer- und
Gruppenkonten zuzugreifen
Organisationseinheit (OU)
• Containerobjekt mit dem Objekte zu einer Domäne strukturiert werden,
z.B. Benutzerkonten, Gruppen, Computer oder weitere OU´s
1
Gesamtstruktur
• Eine oder mehrere Domänen, die
o dieselbe Konfiguration
o dasselbe Schema
o denselben globalen Katalog verwenden
Struktur
• Domänen, in einer Gesamtstruktur, die einen zusammenhängenden DNS-
Namespace verwenden
Ein DNS-Server muß die Zone mit dem AD-Domänennamen hosten. Falls noch
kein DNS-Server existiert wird mittels Assistenten zum Installieren von Active
Directory-Domänendiensten automatisch ein DNS-Server auf dem
Domänencontroller installiert.
Im Server-Manager die Rolle Active Directory-Domänendienste hinzufügen.
Im Server-Manager unter Rollen/Active Directory-Domänendienste in der Mitte
der Konsole auf den Link Führen Sie den Assistenten zum Installieren von Active
Directory-Domänendiensten (dcpromo.exe) klicken. Dieser Link startet den
gleichen Assistenten, der auch mittels Kommando dcpromo gestartet werden
kann.
Ist der Domänen-Controller eingerichtet, dann gibt es nur noch einen
Administrator, den Domänenadministrator! Die lokale Benutzerverwaltung ist auf
einem DC deaktiviert
2
Hinzufügen eines Clients zur Domäne
Für den Beitritt zur Domäne muss der Client den DNS-Namen der Domäne
auflösen können. Er muss also mit einem entsprechenden DNS-Server
konfiguriert werden.
In den Computereigenschaften die Einstellungen für Computer, Domäne und
Arbeitsgruppe ändern und den Computer zum Mitglied der Domäne machen.
In diesem Fall sind die Anmeldeinformationen des Domänen-Administrators
erforderlich.
Nach obligatorischem Neustart kann man sich mit einem Domänenkonto
anmelden.
Zur Verwaltung dienen u.a. die folgenden Konsolen und Snap Ins:
Mit Gruppen kann der Administrator Berechtigungen für Ressourcen zuweisen, was
die Verwaltung vereinfacht.
Sie können auf AD basieren oder lokal für einen Computer gelten.
Sie werden durch Bereich und Typ gekennzeichnet.
Sie können verschachtelt sein.
3
Was sind Gruppenbereiche?
o Ob die Gruppe mehrerer Domänen umfasst, oder auf eine begrenzt ist.
o Die Domänen, aus denen Sie Mitglieder zur Gruppe hinzufügen können.
o Die Domänen, in denen Sie die Gruppe zum Gewähren von Berechtigungen
verwenden können.
o Die Domänen, in denen Sie die Gruppe in andere Gruppen schachteln können.
o Global
o Lokal in der Domäne
o Lokal
o Universal
Sicherheitsgruppen
Globale Gruppe
Sicherheits- oder Verteilergruppe, die Benutzer, Gruppen und Computer aus der
Domäne der globalen Gruppe enthalten kann.
4
Universelle Gruppe
In AD bilden sowohl Benutzer als auch Computer Sicherheitsprinzipale, die über Konten
und Kennwörter verfügen müssen.
Sicherheit
o Authentifizierung
o IP Sec
Verwaltung
o Active Directory
Software Bereitstellung
Desktopverwaltung
Hard- und Softwarebestandsliste
Kann mit SMS (System Management Server) überwacht werden.
5
Erstellen von Benutzern mit Vorlagen
Beim Erstellen eines neuen Benutzers empfiehlt es sich, einfach ein vorhandenes
Benutzerkonto zu kopieren, anstatt ein leeres Konto zu erstellen und jede Eigenschaft zu
konfigurieren.
Eine Benutzerkontovorlage wird erstellt, indem einfach ein Benutzerkonto anlegt und die
gewünschten Attribute eingetragen werden. Zu empfehlen ist, sich an einen
Namensstandard halten, mit dem Vorlagen einfach zu finden sind. So kann etwa den
vollständigen Namen des Benutzers einen Unterstrich (_) voranstellt sein, zum Beispiel
_Vertriebsmitarbeiter.
Nicht alle Attribute werden aus der Vorlage kopiert. Die folgende Liste fasst zusammen,
welche Attribute aus der Vorlage kopiert werden; die Attribute sind dabei nach den
Registerkarten zusammengefasst, auf denen sie erscheinen:
6
Active Directory Datenbank
In der Datenbank der Active Directory-Domänendienste (Ad DS) werden alle Objekte einer
Domäne bzw. Gesamtstruktur gespeichert.
Die Datenbank ist in einzelne Partitionen aufgeteilt, die auch als Namenskontext (engl. Naming
Context) bezeichnet werden.
Schema
o beinhaltet das Schema
o wird auf alle DCs der Gesamtstruktur repliziert.
Configuration
o beinhaltet die Konfigurationsinformationen (z.B. der Aufbau der Replikationstopologie)
des AD
o wird auf alle DCs der Gesamtstruktur repliziert.
Domain
o beinhaltet die Objekte der betreffenden AD-Domäne
o wird nur auf alle DCs der betreffenden Domäne repliziert.
Anwendungsverzeichnispartition (optional)
o kann zur Speicherung von Anwendungsdaten (z.B: DNS) verwendet werden.
o ermöglicht gezielte Replikation der Partitionsinhalte.
Anwendungsverzeichnispartition
7
Im Allgemeinen verwenden Sie spezielle Anwendungstools, um die
Anwendungsverzeichnispartition, die zugehörigen Daten und die Replikation zu
verwalten. Beispielsweise wird der Domänencontroller schon durch einfaches
Hinzufügen einer Active Directory-integrierten Zone zu einem DNS-Server automatisch so
konfiguriert, dass er ein Replikat der Domain-DnsZones-Partition erhält. Mit Tools wie
Ntdsutil.exe und Ldp.exe können Sie Anwendungsverzeichnispartitionen direkt
verwalten.