Damir Bersinic & Rob Scringer - MCSE Windows 2000 Active Directory Services Infrastructure

MCSE
Windows 2000 Directory Services

Damir Bersinic
Rob Scringer
MCSE
Windows 2000
Directory Services
Infrastructure
Übersetzer:
Clemens Vargas
MediaMate GmbH
Markt+Technik
Verlag
Die Deutsche Bibliothek – CIP-Einheitsaufnahme
Ein Titeldatensatz für diese Publikation ist bei
Der Deutschen Bibliothek erhältlich.
Die Informationen in diesem Buch werden ohne Rücksicht auf einen

eventuellen Patentschutz veröffentlicht.
Warennamen werden ohne Gewährleistung der freien Verwendbarkeit benutzt.
Bei der Zusammenstellung von Texten und Abbildungen wurde mit größter
Sorgfalt vorgegangen.
Trotzdem können Fehler nicht vollständig ausgeschlossen werden.
Verlag, Herausgeber und Autoren können für fehlerhafte Angaben
und deren Folgen weder eine juristische Verantwortung noch
irgendeine Haftung übernehmen.
Für Verbesserungsvorschläge und Hinweise auf Fehler sind Verlag und
Herausgeber dankbar.
Autorisierte Übersetzung der amerikanischen Originalausgabe:
MCSE Windows 2000 Directory Services Infrastucture
Alle Rechte vorbehalten, auch die der fotomechanischen Wiedergabe und der
Speicherung in elektronischen Medien.
Die gewerbliche Nutzung der in diesem Produkt gezeigten Modelle und Arbeiten
ist nicht zulässig.
Fast alle Hardware- und Softwarebezeichnungen, die in diesem Buch erwähnt werden,
sind gleichzeitig auch eingetragene Warenzeichen oder sollten als solche betrachtet werden.
Umwelthinweis:
Dieses Buch wurde auf chlorfrei gebleichtem Papier gedruckt.
Die Einschrumpffolie – zum Schutz vor Verschmutzung – ist aus
umweltverträglichem und recyclingfähigem PE-Material.
10 9 8 7 6 5 4 3 2 1
04 03 02 01 00
ISBN 3-8272-5828-6
© 2001 by Markt+Technik Verlag,

ein Imprint der Pearson Education Deutschland GmbH,
Martin-Kollar-Straße 10–12, D-81829 München/Germany
Alle Rechte vorbehalten
Übersetzung: Clemens Vargas, MediaMate GmbH
Lektorat: Angelika Ritthaler, aritthaler@pearson.de
Herstellung: Anja Zygalakis, azygalakis@pearson.de
Satz: reemers publishing services gmbh, Krefeld
Druck und Verarbeitung: Bercker Graphischer Betrieb, Kevelaer
Printed in Germany
Inhaltsverzeichnis
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Teil 1: Prüfungsstoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
1 Konfiguration und Grundlagen von Active Directory . . . . . 25

1.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
1.2 Was ist ein Verzeichnisdienst? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
1.3 Active Directory auf den ersten Blick . . . . . . . . . . . . . . . . . . . . . . . . 29
1.3.1 Eine Datenbank aufbauen . . . . . . . . . . . . . . . . . . . . . . . . . 30
1.3.2 Eine Hierarchie aufbauen . . . . . . . . . . . . . . . . . . . . . . . . . 32
1.4 Objekte in Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
1.4.1 Computer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
1.4.2 Benutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
1.4.3 Gruppen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
1.4.4 Drucker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
1.4.5 Freigegebene Ordner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
2 DNS für Active Directory konfigurieren . . . . . . . . . . . . . . . . . . . 51

2.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
2.2 Grundlagen von DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
2.2.1 Vollqualifizierte Domänennamen . . . . . . . . . . . . . . . . . . . 54
2.2.2 Bestandteile eines FQDN . . . . . . . . . . . . . . . . . . . . . . . . . 55
2.2.3 Die Grundlage der Zone . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.2.4 Einen FQDN auflösen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
2.3 DNS installieren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
2.3.1 Voraussetzungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2.3.2 Der Vorgang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
2.4 Rollen für DNS-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
2.4.1 Cache-only-Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
2.4.2 Primärer Namenserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
2.4.3 Reverse-Loopupzonen. . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
2.4.4 Sekundär . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
2.5 DNS und Active Directory integrieren . . . . . . . . . . . . . . . . . . . . . . . 78
2.5.1 Integration von Active Directory konfigurieren . . . . . . . . 79
2.5.2 Aktualisierungen zulassen. . . . . . . . . . . . . . . . . . . . . . . . . 79
2.5.3 Der Aktualisierungsprozess. . . . . . . . . . . . . . . . . . . . . . . . 80
2.5.4 Änderungen in Zonen, die für Active Directory
verwendet werden . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
6 Inhaltsverzeichnis
2.6 Zoneninformationen übertragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

2.6.1 In der Standardumgebung. . . . . . . . . . . . . . . . . . . . . . . . . 84
2.6.2 In der Umgebung von Active Directory . . . . . . . . . . . . . . 85
2.6.3 In einer gemischten Umgebung . . . . . . . . . . . . . . . . . . . . 86
2.7 Fehlerbehebung im DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
2.7.1 Dynamische Einträge können nicht erstellt werden . . . . . 87
2.7.2 Das Snap-In DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
2.7.3 Nslookup verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
2.7.4 IPCONFIG verwenden . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
2.7.5 Netlogon starten und stoppen . . . . . . . . . . . . . . . . . . . . . . 91
3 Eine Active Directory-Struktur aufbauen . . . . . . . . . . . . . . . . 109

3.1 Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
3.2 Grundlagen der logischen Struktur von Active Directory . . . . . . . 111
3.2.1 Domänen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
3.2.2 Strukturen und Gesamtstrukturen . . . . . . . . . . . . . . . . . . 112
3.2.3 Organisationseinheiten . . . . . . . . . . . . . . . . . . . . . . . . . . 115
3.3 Die erste Domäne erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.3.1 Vorbedingungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
3.3.2 Domäne benennen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
3.3.3 Der Installationsvorgang. . . . . . . . . . . . . . . . . . . . . . . . . 119
3.3.4 Installation überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . . 126
3.4 Andere Installationstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
3.4.1 Domänencontroller hinzufügen . . . . . . . . . . . . . . . . . . . 128
3.4.2 Untergeordnete Domäne hinzufügen . . . . . . . . . . . . . . . 129
3.4.3 Gesamtstruktur erstellen . . . . . . . . . . . . . . . . . . . . . . . . . 130
3.5 Im physischen Netzwerk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
3.5.1 Mit Standorten arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . 133
3.5.2 Mit Subnetzen arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . 138
3.6 Informationen in Active Directory replizieren . . . . . . . . . . . . . . . . 141
3.6.1 Wie die Replikation funktioniert . . . . . . . . . . . . . . . . . . 143
3.6.2 Replikation innerhalb eines Standorts . . . . . . . . . . . . . . 144
3.6.3 Verbindungsobjekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145
3.6.4 Replikation zwischen Standorten . . . . . . . . . . . . . . . . . . 146
3.6.5 Server für den globalen Katalog . . . . . . . . . . . . . . . . . . . 154
4 Active Directory-Dienste verwalten . . . . . . . . . . . . . . . . . . . . . . 179

4.1 Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
4.2 Administrative Grundfunktionen . . . . . . . . . . . . . . . . . . . . . . . . . . 181
4.2.1 Computerkonto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
4.2.2 Benutzerkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
4.3 Weitere Programme für die Verwaltung von Objekten . . . . . . . . . 211
4.3.1 Programme für den Verzeichnisaustausch . . . . . . . . . . . 211
4.4 Gruppen in Windows 2000 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
4.4.1 Domänenmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218
4.4.2 Strategien zum Einsatz von Gruppen . . . . . . . . . . . . . . . 221
4.4.3 Integrierte und vordefinierte Gruppen . . . . . . . . . . . . . . 223
Inhaltsverzeichnis 7
4.4.4 Vordefinierte globale Gruppen . . . . . . . . . . . . . . . . . . . . 226

4.4.5 Spezielle Identitäten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
4.4.6 Gruppen verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
4.5 Objekte in Verzeichnisdiensten suchen . . . . . . . . . . . . . . . . . . . . . . 230
4.5.1 Objekte über Active Directory-Benutzer und
-Computer lokalisieren . . . . . . . . . . . . . . . . . . . . . . . . . . 231
4.5.2 Erweitertes Suchen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234
4.5.3 Objekte als Benutzer suchen . . . . . . . . . . . . . . . . . . . . . . 235
4.6 Organisationseinheit erstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238
4.6.1 Wo Organisationseinheiten sinnvoll sind . . . . . . . . . . . . 239
4.7 Berechtigungen in Active Directory-Diensten . . . . . . . . . . . . . . . . 239
4.7.1 Berechtigungen auf Objektebene . . . . . . . . . . . . . . . . . . 240
4.7.2 Vererbung von Berechtigungen . . . . . . . . . . . . . . . . . . . 246
4.7.3 Objektverwaltung zuweisen . . . . . . . . . . . . . . . . . . . . . . 247
4.8 Freigaben verwalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
4.8.1 Berechtigungen freigeben . . . . . . . . . . . . . . . . . . . . . . . . 253
4.8.2 Freigabe veröffentlichen . . . . . . . . . . . . . . . . . . . . . . . . . 255
4.9 Drucker veröffentlichen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
4.10 Objekte im Verzeichnis verschieben . . . . . . . . . . . . . . . . . . . . . . . . 256
5 Server verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

5.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
5.2 Serverrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
5.2.1 Betriebsmaster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
5.2.2 Standorte von Betriebsmastern planen . . . . . . . . . . . . . . 281
5.2.3 Betriebsmasterrollen übertragen . . . . . . . . . . . . . . . . . . . 282
5.2.4 Wiederherstellung nach Ausfall eines Masters . . . . . . . . 286
5.2.5 Server für den globalen Katalog . . . . . . . . . . . . . . . . . . . 288
5.3 Server sichern und wiederherstellen . . . . . . . . . . . . . . . . . . . . . . . . 289
5.3.1 Sicherungsarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
5.3.2 Erforderliche Berechtigungen für Sicherungen. . . . . . . . 291
5.3.3 Systemstatus sichern . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
5.3.4 Maßgebende Wiederherstellungen . . . . . . . . . . . . . . . . . 293
5.3.5 Sicherungen durchführen . . . . . . . . . . . . . . . . . . . . . . . . 294
5.3.6 Nicht maßgebende Wiederherstellung ausführen . . . . . . 304
5.3.7 Maßgebende Wiederherstellung ausführen . . . . . . . . . . . 309
5.4 Andere administrative Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . 311
5.4.1 NTDSUTIL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
5.4.2 Domänencontroller überwachen . . . . . . . . . . . . . . . . . . . 313
5.4.3 Weitere Werkzeuge zur Fehlersuche. . . . . . . . . . . . . . . . 332
6 Benutzerverwaltung mit Gruppenrichtlinien . . . . . . . . . . . . . 353

6.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
6.1.1 Gruppenrichtlinien – eine Einführung. . . . . . . . . . . . . . . 355
6.1.2 Gruppenrichtlinienkomponenten. . . . . . . . . . . . . . . . . . . 357
6.2 Gruppenrichtlinienbereich . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
6.2.1 Gruppenrichtlinienvererbung . . . . . . . . . . . . . . . . . . . . . 361
6.2.2 Gruppenrichtlinienverarbeitung . . . . . . . . . . . . . . . . . . . 363
6.2.3 Gruppenrichtlinien kombinieren . . . . . . . . . . . . . . . . . . . 366
6.3 Gruppenrichtlinien erstellen und verwalten. . . . . . . . . . . . . . . . . . . 369
6.4 Gruppenrichtliniensicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379

6.4.1 Gruppenrichtliniensicherheit konfigurieren . . . . . . . . . . 380
6.4.2 Gruppenrichtlinienvererbung . . . . . . . . . . . . . . . . . . . . . 395
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten . . . . . . . . 402
6.5.1 Einstellungen für administrative Vorlagen . . . . . . . . . . . 405
6.5.2 Administrative Vorlagen bearbeiten. . . . . . . . . . . . . . . . 439
6.6 Fehlerbehebung bei Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . 461
6.6.1 Überlegungen zur Implementierung der
Gruppenrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461
6.6.2 Häufige Probleme bei Gruppenrichtlinien . . . . . . . . . . . 463
6.6.3 Gruppenrichtlinie überwachen . . . . . . . . . . . . . . . . . . . . 465
7 Softwarebereitstellung mittels Gruppenrichtlinien . . . . . . 511

7.1 Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 512
7.2 Der Softwarebereitstellungs-Lebenszyklus. . . . . . . . . . . . . . . . . . . 513
7.3 Vorbereitung der Software für die Bereitstellung mittels
Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 514
7.3.1 Packung von Software für die Bereitstellung . . . . . . . . . 515
7.4 Softwarebereitstellung mittels Gruppenrichtlinien . . . . . . . . . . . . . 537
7.4.1 Veröffentlichung von Software . . . . . . . . . . . . . . . . . . . 537
7.4.2 Zuweisung von Software an Benutzer und Computer . . 538
7.4.3 Softwarebereitstellung mittels Gruppenrichtlinien. . . . . 539
7.4.4 Paketbereitstellungsoptionen . . . . . . . . . . . . . . . . . . . . . 543
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien. . . . . . . 547
7.5.1 Aktualisierung eines Pakets . . . . . . . . . . . . . . . . . . . . . . 547
7.5.2 Erneute Bereitstellung von Software . . . . . . . . . . . . . . . 552
7.5.3 Entfernen eines Pakets . . . . . . . . . . . . . . . . . . . . . . . . . . 554
7.6 Management der Softwarebereitstellung. . . . . . . . . . . . . . . . . . . . . 556
7.6.1 Konfiguration von Paketänderungen . . . . . . . . . . . . . . . 556
7.6.2 Erstellung von Softwarekategorien. . . . . . . . . . . . . . . . . 559
7.6.3 Verknüpfung von Dateierweiterungen mit
Anwendungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
7.6.4 Fehlersuche bei der Softwarebereitstellung . . . . . . . . . . 568
8 Sicherheit mittels Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . 595

8.1 Einführung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 596
8.2 Verfügbare Sicherheitseinstellungen in Windows-2000-
Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
8.3 Implementierung von Sicherheitsrichtlinien . . . . . . . . . . . . . . . . . . 601
8.3.1 Sicherheitsvorlagen in Windows 2000 . . . . . . . . . . . . . . 601
8.3.2 Erstellung und Änderung von Sicherheitsvorlagen . . . . 604
8.3.3 Analyse Ihres Computers mittels
Sicherheitskonfiguration und -analyse . . . . . . . . . . . . . . 618
8.3.4 Konfiguration eines Computers mit
Sicherheitseinstellungen . . . . . . . . . . . . . . . . . . . . . . . . . 624
8.3.5 Export von Sicherheitseinstellungen in eine
Vorlagendatei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 626
8.3.6 Verwendung von Gruppenrichtlinien zur
Anwendung von Sicherheitseinstellungen . . . . . . . . . . . 628
8.4 Konfiguration und Implementierung einer

Überwachungsrichtlinie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 633
8.4.1 Planung einer Überwachungsrichtlinie . . . . . . . . . . . . . . 636
8.4.2 Einrichtung einer Überwachungsrichtlinie . . . . . . . . . . . 638
8.4.3 Überwachung des Zugriffs auf Ressourcen. . . . . . . . . . . 640
8.4.4 Überwachung des Zugriffs auf Druckerobjekte . . . . . . . 645
8.4.5 Überwachung des Zugriffs auf Active
Directory-Objekte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650
8.4.6 Überprüfung und Überwachung von
Sicherheitsereignissen . . . . . . . . . . . . . . . . . . . . . . . . . . . 653
9 Windows 2000 und Remoteinstallationsdienste . . . . . . . . 679

9.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681
9.2 Übersicht über Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . . 682
9.2.1 Der Prozess der Installation von Windows 2000
mit RIS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684
9.3 Installation und Konfiguration eines RIS-Servers . . . . . . . . . . . . . . 686
9.3.1 Voraussetzungen für RIS . . . . . . . . . . . . . . . . . . . . . . . . 686
9.3.2 Einrichtung eines RIS-Servers . . . . . . . . . . . . . . . . . . . . 688
9.4 Erstellen von Images für Remoteinstallationsdienste . . . . . . . . . . . 708
9.4.1 Erstellung eines CD-basierten Images für
Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . . . . . . 708
9.4.2 Erstellung eines RIPrep-Image für
Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . . . . . . 733
9.5 Ausführung einer Remoteinstallation . . . . . . . . . . . . . . . . . . . . . . . 739
9.5.1 Konfiguration von Optionen für die Serverinstallation. . 739
9.5.2 Konfiguration von Clientinstallationsoptionen . . . . . . . . 744
9.5.3 Voraussetzungen für Clientcomputer . . . . . . . . . . . . . . . 748
9.5.4 Einsatz von RIS zur Installation eines Image auf einem
Computer mit PXE-kompatibler Netzwerkkarte. . . . . . . 749
9.5.5 Einsatz von RIS zur Installation eines Image auf einem
Computer mittels einer Remotestartdiskette . . . . . . . . . . 751
9.5.6 Vorkonfiguration von Clientcomputern . . . . . . . . . . . . . 752
9.6 Fehlersuche bei Remoteinstallationsdienste . . . . . . . . . . . . . . . . . . 758
Teil 2: Wiederholungsteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789
10 Gesamt-zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory . 791
10.1.1 Installation, Konfiguration und Fehlersuche bei
Komponenten von Active Directory . . . . . . . . . . . . . . . . 792
10.1.2 Erstellen von Standorten . . . . . . . . . . . . . . . . . . . . . . . . . 792
10.1.3 Erstellen von Subnetzen . . . . . . . . . . . . . . . . . . . . . . . . . 793
10.1.4 Erstellung von Standortverknüpfungen. . . . . . . . . . . . . . 793
10.1.5 Erstellung von Standortverknüpfungsbrücken . . . . . . . . 794
10.1.6 Erstellung von Verbindungsobjekten . . . . . . . . . . . . . . . 795
10.1.7 Erstellen von Servern für den globalen Katalog . . . . . . . 795
10.1.8 Verschieben von Objekten zwischen Standorten . . . . . . 796
10.1.9 Übertragen von Betriebsmasterfunktionen . . . . . . . . . . . 796
10.1.10 Überprüfen der Active Directory-Installation . . . . . . . . . 797
10.1.11 Implementieren einer Organisationseinheitenstruktur . . 798

10.1.12 Sichern und Wiederherstellen von Active Directory . . . 798
10.2 Installation, Konfiguration, Verwaltung, Überwachung und
Fehlerbehebung von DNS für Active Directory . . . . . . . . . . . . . . . 800
10.2.1 Installation, Konfiguration und Fehlerbehebung
von DNS für Active Directory . . . . . . . . . . . . . . . . . . . . 800
10.2.2 Verwaltung, Überwachung und Fehlerbehebung
bei DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801
10.3 Installation, Konfiguration, Verwaltung, Überwachung und
Fehlerbehebung beim Änderungs- und
Konfigurationsmanagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
10.3.1 Implementierung und Fehlerbehebung von
Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 803
10.3.2 Verwaltung und Fehlersuche bei
Benutzerumgebungen mittels Gruppenrichtlinien . . . . . 806
10.3.3 Verwaltung und Fehlerbehebung bei Software
mittels Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . . . . . 807
10.3.4 Bereitstellung von Windows 2000 mittels
Remoteinstallationsdiensten . . . . . . . . . . . . . . . . . . . . . . 810
10.3.5 Konfiguration der RIS-Sicherheit . . . . . . . . . . . . . . . . . . 815
10.4 Verwaltung, Überwachung und Optimierung der Komponenten
von Active Directory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 816
10.4.1 Verwaltung von Active Directory-Objekten. . . . . . . . . . 816
10.4.2 Management der Leistung von Active Directory . . . . . . 820
10.4.3 Verwaltung und Fehlerbehebung der Active
Directory-Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . 822
10.5 Konfiguration, Verwaltung, Überwachung und Fehlerbehebung
von Active Directory-Sicherheitslösungen . . . . . . . . . . . . . . . . . . . 822
10.5.1 Konfiguration und Fehlerbehebung der Sicherheit
in einer Verzeichnisdienst-Infrastruktur . . . . . . . . . . . . . 823
11 Tipps zur Prüfungs-vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . 827

11.1 Lernstile. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827
11.2 Studienhinweise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
11.2.1 Lernstrategien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828
11.2.2 Trockentraining. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829
11.3 Tipps zur Prüfungsvorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . 830
11.3.1 Die MCP-Prüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830
11.3.2 Prüfungsformat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831
11.3.3 Fragetypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835
11.3.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843
11.4 Schlussbemerkungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 846
12 Musterprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
12.1 Prüfungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
12.2 Antworten auf die Prüfungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . 882
Teil 3: Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
A Glosssar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
B Überblick über die Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . 923

B.1 Zertifizierungsarten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 924
B.2 Anforderungen an die Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . 925
B.2.1 Der Weg zum MCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 925
B.2.2 Der Weg zum MCP + Internet . . . . . . . . . . . . . . . . . . . . 926
B.2.3 Der Weg zum MCP + Site Building . . . . . . . . . . . . . . . . 926
B.2.4 Der Weg zum MCP + Database Administrator. . . . . . . . 926
B.2.5 Der Weg zum MCSE. . . . . . . . . . . . . . . . . . . . . . . . . . . . 928
B.2.6 Der Weg zum MCSE + Internet . . . . . . . . . . . . . . . . . . . 932
B.2.7 Der Weg zum MCSD . . . . . . . . . . . . . . . . . . . . . . . . . . . 933
B.2.8 Der Weg zum MCT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 937
C Die Prüfungssoftware auf der CD-ROM . . . . . . . . . . . . . . . . . 939

C.1 Was ist ExamGear? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 939
C.2 Prüfungsauswahl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 940
C.2.1 Der Lernmodus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 942
C.2.2 Den Lernmodus starten . . . . . . . . . . . . . . . . . . . . . . . . . . 944
C.3 Die Musterprüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945
C.3.1 Die adaptive Prüfung. . . . . . . . . . . . . . . . . . . . . . . . . . . . 946
C.4 Die Frageformen in ExamGear . . . . . . . . . . . . . . . . . . . . . . . . . . . . 947
C.4.1 Multiple-Choice-Fragen . . . . . . . . . . . . . . . . . . . . . . . . . 947
C.4.2 Drop&Connect . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 948
C.4.3 Listen erstellen und ordnen/Zuordnungsaufgaben . . . . . 949
C.4.4 Baumstruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
C.5 Punktebewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951
C.5.1 Funktionen im Fenster ABSCHLUSSERGEBNIS . . . . . . . . . 952
C.6 Systemanforderungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
Einleitung
E
Dieses Buch ist für Techniker und Systemverwalter geschrieben, die das Zertifikat
eines Microsoft Certified Systems Engineer (MCSE) erlangen möchten. Es behan-
delt die Prüfung Implementing and Administering a Microsoft Windows 2000
Directory Services Infrastructure (70-217). Das Ziel dieser Prüfung besteht laut
Microsoft darin, Ihre Kenntnisse hinsichtlich der Installation, Konfiguration und
Fehlerbehebung der Komponenten von Windows 2000 Active Directory, DNS für
Active Directory und den Sicherheitsmodellen von Active Directory zu ermitteln.
Darüber hinaus testet die Prüfung Ihre Fähigkeit zum Verwalten, Überwachen und
Optimieren der Desktopumgebung unter Verwendung von Gruppenrichtlinien.
Dieses Buch stellt Information aus erster Hand dar. Es behandelt alle Grundlagen,
die Sie in der Prüfung benötigen, und ist von Microsoft als Studienmaterial akzep-
tiert worden. Sie brauchen daher keinen zusätzlichen Kurs zu besuchen, um Ihre
Prüfung erfolgreich zu bestehen! Vielleicht empfiehlt es sich jedoch hinsichtlich
Ihrer persönlichen Lerngewohnheiten oder Ihres Arbeitsstils, zusätzlich zu diesem
Buch noch Kurse zu absolvieren, was Sie jedoch am besten selbst entscheiden.
Bitte beachten Sie, dass Microsoft von den Kandidaten einer Prüfung eine Mindes-
terfahrung von 1 Jahr in der Implementierung und Verwaltung von Netzwerkbe-
triebssystemen in mittleren und größeren Systemumgebungen erwartet. Microsoft
setzt außerdem voraus, dass Sie mit TCP/IP vertraut sind.
Wie dieses Buch Sie unterstützt

Dieses Buch führt Sie im Rahmen eines Selbstunterrichts durch alle Bereiche hin-
durch, die die Prüfung Implementing and Administering a Microsoft Windows 2000
Directory Services Infrastructure (70-217) behandelt. Es enthält alle speziellen
Kenntnisse, die Sie brauchen, um Ihr MCSE-Zertifikat zu bekommen. Sie finden in
diesem Buch nicht nur hilfreiche Hinweise, Tipps, Beispiele aus der Praxis und
14 Einleitung
Übungsteile, sondern auch Verweise auf zusätzliches Studienmaterial. Durch einen

speziellen Aufbau dieses Buches erhalten Sie eine wertvolle Unterstützung bei
Ihrem Studium:
씰 Organisation. Der Grundaufbau des Buches entspricht den einzelnen Prü-

fungsthemen. Alle Themen, die Sie für die Prüfung 70-217 beherrschen müs-
sen, werden im Buch behandelt. Die Themen werden nach Möglichkeit in ei-
ner besonderen logischen Reihenfolge präsentiert, die Ihnen das Lernen
erleichtert. Die verfügbaren Informationen sind darüber hinaus in der folgen-
den Weise organisiert:
씰 Diese Einführung enthält das vollständige Verzeichnis aller Prüfungsthe-

men und -ziele.
씰 Jedes Kapitel beginnt mit einer Liste der behandelten Prüfungsthemen.
씰 Die Kapitel beginnen außerdem mit einem Überblick über den Stoff und
die Lernziele, um die es im Kapitel geht.
씰 Die Prüfungsthemen werden an Stellen wiederholt, an denen Stoff vor-
kommt, der sich unmittelbar auf sie bezieht (es sei denn, dass das Kapitel
nur ein einziges Prüfungsthema behandelt).
씰 Spezielle Lernhilfen. Dieses Buch wurde so geschrieben, dass es Ihnen meh-
rere Wege zum Erlernen und Wiederholen des Stoffes bietet. Die folgenden
Lernhilfen stehen Ihnen hierfür zur Verfügung:
씰 Erläuterung der Ziele. Wie schon erwähnt, beginnt jedes Kapitel mit
einem Verzeichnis der im Kapitel behandelten Lernziele. Darüber hinaus
folgt jedem Lernziele eine Erläuterung in einem konkreten und aussage-
fähigen Kontext.
씰 Tipps für das Selbststudium. Am Beginn jedes Kapitels finden Sie außer-
dem Strategien, die klären, wie Sie an den Stoff des Kapitels (besonders
im Hinblick auf seine direkte Behandlung in der Prüfung) herangehen,
und wie Sie ihn am besten behalten können.
씰 Prüfungstipps. In den Kästen finden Sie Prüfungstipps, die Hilfe zu spezi-
ellen Fragen zur Prüfung geben. Die Tipps beziehen sich auf den Stoff,
der behandelt bzw. nicht behandelt wird, darauf, wie er behandelt wird,
oder auf spezielle Erinnerungshilfen oder Kniffe, die Sie kennen sollten.
씰 Kapitelzusammenfassungen. Am Ende jedes Kapitels werden die wich-
tigsten Informationen noch einmal zusammengefasst.
Wie dieses Buch Sie unterstützt 15
씰 Schlüsselbegriffe. Am Ende jedes Kapitels finden Sie eine Liste mit

Schlüsselbegriffen.
씰 Hinweise. Diese erscheinen ebenfalls in den Kästen und enthalten ver-
schiedene nützliche Informationen, wie etwa Tipps zu technischen oder
administrativen Verfahren, historische Hintergründe technischer Begriffe
und Technologien, oder Kommentare zu Problemen der Industrie.
씰 Warnungen. Beim Einsatz hochentwickelter Informationstechnologien
besteht immer die Gefahr von Irrtümern oder sogar Unfällen, die durch
eine unsachgemäße Handhabung dieser Technologien verursacht werden.
씰 Fallstudien. Jedes Kapitel schließt mit einer Fallstudie ab. Sie helfen
Ihnen bei der praktischen Anwendung der im Kapitel behandelten The-
men.
씰 Übungen. Am Ende jedes Kapitels finden Sie im Abschnitt »Lernzielkon-
trolle« Übungen, mit denen Sie Ihre Kenntnisse und Lernfortschritte
überprüfen können.
씰 Praktische Testaufgaben. Das Buch hält für Sie zahlreiche Gelegenheiten
zum Üben und Bewerten Ihres Wissens bereit. Zu den praktischen Testaufga-
ben gehören:
씰 Wiederholungsfragen. Diese Auswahlfragen erscheinen am Ende jedes

Kapitels und ermöglichen Ihnen eine rasche Bewertung Ihres Lernfort-
schritts im Kapitel. Die Antworten auf die Wiederholungsfragen werden
später in einem speziellen Abschnitt mit dem Titel »Antworten auf die
Wiederholungsfragen« gegeben.
씰 Prüfungsfragen. Benutzen Sie sie zu dem Zweck, Ihre Wissenslücken zu
ermitteln und festzustellen, welche Themen Sie noch eingehender bear-
beiten müssen. Die Antworten und Erläuterungen befinden sich in einem
speziellen Abschnitt mit dem Titel »Antworten auf die Prüfungsfragen«.
씰 Musterprüfung. Am Ende des Buches befindet sich eine Musterprüfung.
Hier handelt sich sich um einen Test, der wie die tatsächliche Prüfung
aussieht.
씰 ExamGear. Diese spezielle Trainingssoftware auf der dem Buch beilie-
genden CD bietet weitere Fragen zum Üben an.
HINWEIS
Eine Beschreibung der Trainingssoftware ExamGear finden Sie im Anhang.
16 Einleitung
Dieses Buch enthält noch weitere Orientierungshilfen wie etwa den Abschnitt mit
dem Titel »Weitere Informationen und Ressourcen« am Ende jedes Kapitels. Dieser
weist Ihnen den Weg zu noch mehr Informationen, die hilfreich bei der Vorberei-
tung auf die Prüfung oder Ihrer Arbeit sein können. Es gibt ferner wichtige Anhänge
wie das Glossar, einen Überblick über das Microsoft Zertifizierungsprogramm und
eine Inhaltsbeschreibung der dem Buch beiliegenden CD.
Informationen über die Prüfung oder die Zertifizierung erhalten Sie telefonisch bei
Microsoft oder im Internet unter ftp://ftp.microsoft.com/services/MCSEdCert, und
im World Wide Web unter www.microsoft.com/train_cert. Es gibt zu diesem
Thema ebenfalls ein CompuServe-Forum: GO MSEDCERT.
Was die Prüfung 70-217 beinhaltet

Die Prüfung Implementing and Administering a Microsoft Windows 2000 Direc-
tory Services Infrastructure (70-217) behandelt Themen von Active Directory, die
nach konzeptionellen Gesichtspunkten bzw. nach Prüfungseinheiten gruppiert sind.
Die Prüfungsthemen heben auf Kenntnisse ab, die in der beruflichen Tätigkeit in
den folgenden Bereichen benötigt werden:
씰 Installieren, Konfigurieren und Fehlerbehebung von Active Directory
씰 Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbehebung von

DNS für Active Directory
씰 Installieren, Konfigurieren, Verwalten, Überwachen, Optimieren und Fehler-

behebung im Änderungs- und Konfigurationsmanagement
씰 Verwalten, Überwachen und Optimieren der Komponenten von Active Di-

rectory
씰 Konfigurieren, Verwalten, Überwachen und Fehlerbehebung bei Sicherheits-

modellen von Active Directory
Bevor Sie sich in die eigentliche Prüfung begeben, sollten Sie in den folgenden
beruflichen Fertigkeiten (dargestellt in der Form von Lerneinheiten und Zielen) fit
sein:
Installieren, Konfigurieren und Fehlerbehebung von Active

Directory
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von Active
Directory.
Was die Prüfung 70-217 beinhaltet 17
씰 Active Directory installieren
씰 Standorte erstellen
씰 Subnetze erstellen
씰 Standortverknüpfungen erstellen
씰 Standortverknüpfungsbrücke erstellen
씰 Verbindungsobjekte erstellen
씰 Server für globalen Katalog erstellen
씰 Serverobjekte zwischen Standorten verschieben
씰 Betriebsmasterrolle übertragen
씰 Active Directory-Installation überprüfen
씰 Struktur der Organisationseinheit (OU) implementieren
씰 Active Directory sichern und wiederherstellen
씰 Autoritative Wiederherstellung von Active Directory ausführen
씰 Wiederherstellen nach einem Systemausfall
Installieren, Konfigurieren, Verwalten, Überwachen und

Fehlerbehebung von DNS für Active Directory
Installieren, Konfigurieren und Fehlerbehebung von DNS für Active Directory.
씰 DNS-Zonen von Active Directory und DNS-Zonen, die nicht von Active
Directory sind, integrieren
씰 Zonen für dynamische Aktualisierungen konfigurieren
Verwalten, Überwachen und Fehlerbehebung von DNS
씰 Replikation von DNS-Daten verwalten

18 Einleitung
Installieren, Konfigurieren, Verwalten, Überwachen,

Optimieren und Fehlerbehebung im Änderungs- und
Konfigurationsmanagement
Implementierung und Fehlerbehebung von Gruppenrichtlinien.
씰 Gruppenrichtlinienobjekt (GPO) erstellen
씰 Existierendes GPO verknüpfen
씰 Vereinfachte Verwaltungsfunktionen der Gruppenrichtlinien delegieren
씰 Vererbung von Gruppenrichtlinien modifizieren
씰 Einstellung von Gruppenrichtlinien durch Verknüpfen von Sicherheitsgrup-

pen mit GPOs filtern
씰 Gruppenrichtlinien ändern
Verwaltung und Fehlerbehebung von Benutzerumgebungen unter Verwendung der

Gruppenrichtlinien
씰 Benutzerumgebung über administrative Vorlagen steuern
씰 Skriptrichtlinien Benutzern und Computern zuweisen
Verwaltung und Fehlerbehebung von Software unter Verwendung von Gruppen-

richtlinien
씰 Software unter Verwendung von Gruppenrichtlinien bereitstellen
씰 Software unter Verwendung von Gruppenrichtlinien verwalten
씰 Bereitstellungsoptionen konfigurieren
씰 Probleme, die während der Softwarebereitstellung häufig auftreten, beheben
Verwalten von Netzwerkkonfigurationen unter Verwendung von Gruppenricht-

linien
Windows 2000 unter Verwendung des Remoteinstallationsdienstes (RIS) bereitstel-

len
씰 Image auf einem Client-Computer mit RIS installieren

Was die Prüfung 70-217 beinhaltet 19
씰 RIS-Bootdiskette erstellen
씰 Remoteinstallationsoptionen konfigurieren
씰 Fehlerbehebung bei RIS
씰 Images zur Ausführung von Remoteinstallationen verwalten
RIS-Sicherheit konfigurieren
씰 Einen RIS-Server autorisieren
씰 Einem Computerkonto Rechte zum Erstellen gewähren
씰 RIS-Clientcomputer auf Sicherheit und Betriebslastenausgleich vorbereiten
Verwalten, Überwachen und Optimieren der Komponenten von

Active Directory
Objekte von Active Directory verwalten.
씰 Objekte von Active Directory verschieben
씰 Ressourcen von Active Directory veröffentlichen
씰 Objekte von Active Directory lokalisieren
씰 Konten manuell oder über Skripte erstellen und verwalten
씰 Zugang zu Objekten von Active Directory kontrollieren
씰 Verwaltungsfunktionen der Objekte in Active Directory delegieren
Leistung von Active Directory verwalten.
씰 Überwachen, Verwalten und Fehlerbehebung hinsichtlich der Leistung des

Domänencontroller
씰 Überwachen, Verwalten und Fehlerbehebung von Komponenten von Active

Directory
Verwalten und Fehlerbehebung der Replikation von Active Directory
씰 Replikation zwischen Standorten verwalten

20 Einleitung
씰 Replikation innerhalb Standorte verwalten
Konfigurieren, Verwalten, Überwachen und Fehlerbehebung

bei Sicherheitsmodellen von Active Directory
Konfigurieren und Fehlerbehebung der Sicherheit in einer Infrastruktur des Ver-
zeichnisdienstes.
씰 Sicherheitsrichtlinien unter Verwendung von Gruppenrichtlinien anwenden
씰 Sicherheitskonfigurationen unter Verwendung der Sicherheitskonfiguration

und Vorlagen zu Sicherheit und Analyse erstellen, analysieren und modifizieren
씰 Überwachungsrichtlinien implementieren
씰 Überwachen und Analysieren von Sicherheitsereignissen
Welche Hardware und Software brauchen Sie?

Das Buch ist eine Hilfe für das Selbststudium und soll Sie beim Verstehen von Kon-
zepten unterstützen, die durch praktische Erfahrung weiter vertieft werden. Um den
meisten Nutzen aus Ihrem Studium zu ziehen, sollten Sie soviel Hintergrundwissen
über Windows 2000 Server oder Advanced Server wie nur möglich besitzen. Am
besten erreichen Sie dies durch die Kombination von Studium und praktischer
Arbeit mit Windows 2000 Server oder Advanced Server. Dieser Abschnitt
beschreibt, welche Minimalanforderungen an Ihre Computerumgebung erfüllt sein
müssen, damit Sie vernünftig praktisch arbeiten können. Für manche Teile dieses
Buches benötigen Sie, um die Übungen nachvollziehen zu können, zwei Computer.
씰 Windows 2000 Server, Advanced Server und Professional
씰 Einen Server und Arbeitsplatz-PC, die sich auf Microsofts Hardwarekompati-

bilitätsliste befinden
씰 Prozessor Pentium 166 (oder schneller), empfohlen wird ein Pentium II 300
oder schneller
씰 1 Gbyte Festplattenplatz, Teile des Buches erfordern mindestens zwei 1-

Gbyte-Partitionen auf dem PC
씰 Grafikkarte mit Super VGA und entsprechendem Monitor
씰 Maus oder entsprechendes Zeigegerät

Tipps zur Prüfung, die Sie beherzigen sollten 21
씰 CD-ROM-Laufwerk
씰 Netzwerkkarte. Die Karte auf dem PC, auf dem Windows 2000 Professional
läuft, sollte mindestens ein PXE-Boot-ROM besitzen
씰 Zugang zu einem existierenden Netzwerk oder Einsatz eines Miniport-Hubs

mit zwei Ports (oder mehr) zum Erstellen einer Test-Netzwerkumgebung
씰 128 Mbyte RAM (256 Mbyte empfohlen für Windows 2000 Server)
In der EDV-Umgebung eines Unternehmens ist der Zugang zu den notwendigen

Hardware- und Softwareressourcen leichter realisierbar. Möglicherweise werden
Sie sich nicht immer die erforderliche Arbeitszeit freihalten können, die zum erfolg-
reichen Abschluss eines Selbststudiums nötig ist. Unter Umständen werden Sie
einen großen Teil Ihres Studiums auf den Feierabend verlegen müssen, um die
Unterbrechungen und den Druck Ihres regulären Betriebsalltags zu vermeiden.
Tipps zur Prüfung, die Sie beherzigen sollten

Im Teil 3 werden Sie zwar noch weitere Hilfen finden, jedoch sollten Sie sich schon
an dieser Stelle mit den folgenden Ratschlägen zum Studium bekannt machen:
씰 Lesen Sie den gesamten Stoff sorgfältig durch. Microsoft war in der Vergan-
genheit bekannt dafür, dass es Stoffgebiete in die Prüfung aufgenommen hat,
die nicht explizit in den Prüfungsthemen angegeben waren. In diesem Buch
finden Sie daher zusätzliche, über die Prüfungsthemen hinausgehende Infor-
mationen, die Ihnen die bestmögliche Vorbereitung auf die Prüfung und die
praktischen Erfahrungen in Ihrer beruflichen Zukunft ermöglichen sollen.
씰 Arbeiten Sie die Schritt-für-Schritt-Anleitungen und alle Übungen jedes Ka-

pitels durch. Das hilft Ihnen beim Sammeln von Erfahrungen mit der jeweili-
gen Methode bzw. dem Lösungsansatz. Alle Microsoft-Prüfungen sind aufga-
ben- und erfahrungsorientiert und erwarten von Ihnen Erfahrungen in der
praktischen Handhabung der Aufgabenstellungen, zu denen Sie getestet wer-
den.
씰 Nutzen Sie die Fragen zur Überprüfung Ihrer Kenntnisse. Lesen Sie nicht nur
den Inhalt der Kapitel, sondern nutzen Sie die Fragen, um festzustellen, was
Sie tatsächlich wissen und was nicht! Wenn Sie sich noch unsicher fühlen,
studieren Sie wieder und wieder, wiederholen Sie alles und überprüfen Sie
Ihre Kenntnisse anschließend erneut.
22 Einleitung
씰 Orientieren Sie sich an den Lernzielen. Entwickeln Sie zu den einzelnen erör-
terten Themen eigene Fragestellungen und Beispiele. Die Prüfung wird Ihnen
weniger Schwierigkeiten bereiten, wenn Sie gelernt haben, zu jedem Thema
einige eigene Fragen stellen und beantworten zu können.
HINWEIS
Tipp zur Prüfung
Dieses Buch will Sie darauf vorbereiten, die MCSE-PRüfung 70-217 erfolgreich zu
absolvieren, kann Ihnen aber natürlich keinerlei Garantien bieten. Sie sollten dieses
Buch durchlesen, die Fragen und Übungen beantworten, und sich, sobald Sie sich
sicher fühlen, der Testsoftware ExamGear bedienen, um die Musterprüfung und die
zusätzlichen Übungen durchzuarbeiten. All diese Arbeit wird Ihnen zum Schluss
eine Vorstellung davon verschaffen können, ob Sie für die echte Prüfung bereit
sind.
Viel Glück!
1
Prüfungsstoff
Teil
1. Konfiguration und Grundlagen von Active Directory

2. DNS für Active Directory konfigurieren
3. Eine Active Directory- Struktur aufbauen
4. Active Directory-Dienste verwalten
5. Server verwalten
6. Benutzerverwaltung mit Gruppenrichtlinien
7. Softwarebereitstellung mittels Gruppenrichtlinien
8. Sicherheit mittels Gruppenrichtlinien
9. Windows 2000 und Remoteinstallationsdienste
1
Konfiguration und
Grundlagen von
Active Directory
Was ist das Active Directory? Dies ist eine der ersten Fragen, die viele Leute bei der
ersten Begegnung mit Windows 2000 stellen werden. Die einfachste Antwort lautet
natürlich zunächst einmal, dass das Active Directory der Verzeichnisdienst ist, der
von Windows 2000 verwendet wird. Vollständig befriedigen kann eine solche Ant-
wort sicherlich nicht!
Dieses Buch beginnt daher mit einem Überblick über die Aufgaben eines Verzeich-
nisdienstes und erörtert anschließend, wie Active Directory diese Aufgaben erfüllt.
Ausgesprochene Microsoft-Themen werden in diesem Kapitel nicht behandelt – Sie
erhalten im Gegenteil einfach nur einen Überblick über Active Directory. Nachdem
Sie die erforderlichen Grundlageninformationen bekommen haben, beschäftigt sich
das nächste Thema mit der Frage, wie Sie die verschiedenen Bestandteile des
Active Directory implementieren und in Ihre alltägliche Arbeit integrieren können.
Das Buch bespricht keinesfalls das Design einer Infrastruktur mit Active Directory,
denn dieses Thema wird in der Literatur zur Prüfung 70-219 behandelt.
Tipps für das Selbststudium
씰 Achten Sie genau darauf, auf welche Weise Microsoft DNS in Active Direc-
tory einbezogen hat.
씰 Vergewissern Sie sich, dass Sie Klassen und Attribute und den Vergleich
zwischen Tabellen und Spalten in einer Datenbank verstanden haben.
씰 Stellen Sie sicher, dass Sie die drei gemeinsamen Elemente in Active Direc-
tory kennen.
1.1 Einführung
In diesem Kapitel erfahren Sie alles, was Sie wissen müssen, bevor Sie sich mit den
Einzelheiten befassen können. Sie werden hier alle Informationen finden, die die
Basis für den Rest des gesamten Textes darstellen.
26 Kapitel 1 Konfiguration und Grundlagen von Active Directory
Das Kapitel beginnt mit einer allgemeinen Erörterung des Verzeichnisdienstes und
einer Darstellung der Geschichte früherer ähnlicher Systeme. Anschließend unter-
sucht es den Kern eines Verzeichnisdienstes, nämlich seine Datenbank. Weiterhin
werden die Grundlagen einer Datenbank erörtert – Sie erfahren, wie ein Verzeich-
nisdienst von unten nach oben aufgebaut ist. Anschließend wendet sich das Kapitel
den Objekten in Active Directory zu und führt Sie in diese Objekte ein. Zum
Schluss werden sämtliche Informationen noch einmal zusammengefasst, um sicher-
zustellen, dass Sie ein vollständiges Wissen über die Funktionsweise des Systems
erhalten haben.
1.2 Was ist ein Verzeichnisdienst?

Dies ist ein ausgezeichneter Ausgangspunkt, da Sie das Active Directory erst dann
verstehen können, wenn Sie wissen, wozu ein Verzeichnisdienst eigentlich
gebraucht wird.
Beginnen Sie, indem Sie sich Netzwerke wie etwa NetWare 3.12 oder Windows für
Workgroups 3.11 vorstellen. Diese Netzwerke stellen das Grundelement eines Netz-
werks zur Verfügung, d.h., sie bieten zunächst einmal einen Dienst (ein Programm,
welches im Hintergrund ausgeführt wird) an, mit dem sich Benutzer an einem
Arbeitsplatz-PC anmelden können. Darüber hinaus bieten sie einen Dienst an, der
Anfragen für Ressourcen, die im Netzwerk liegen, automatisch in dieses weiterlei-
tet.
Dies sind die elementaren Grundlagen eines Netzwerk-Serverdienstes und eines

Redirector- bzw. Arbeitsstationsdienstes. Der Serverdienst übernimmt die Client-
Anfragen und bearbeitet sie. Der Redirector-Dienst, in der Microsoft-Terminologie
Arbeitsstationsdienst genannt, entscheidet, ob sich die vom Benutzer angefragte
Ressource auf dem lokalen System oder im Netzwerk befindet. Netzwerke werden
außerdem noch dafür benötigt, die Authentifizierungen zu gewährleisten, also die
Identifizierung der Benutzer, die sich an einem Server anmelden. So wird sicherge-
stellt, dass sich nur Personen an ein Netzwerk anmelden können, die auf eine Netz-
werkressource zugreifen dürfen. Ein System, welches seine Ressourcen (Lauf-
werke, Drucker usw.) zur gemeinsamen Nutzung im Netzwerk anbietet, benötigt
eine Liste der Personen, die zur Verwendung dieser Ressourcen berechtigt sind,
oder, wie es unter Windows für Workgroups der Fall war, ein Kennwort, welches
Benutzer zur Verbindung mit der Ressource verwenden mussten.
An dieser Stelle kommt der Verzeichnisdienst ins Spiel. Das Verzeichnis ist eigent-
lich eine Liste der Benutzer, die zur Anmeldung an einem System berechtigt sind.
Diese Liste legt weiterhin fest, welche Benutzer sich mit welcher Ressource verbin-
den dürfen. Dies ist ein Sicherheitsmechanismus, den Sie durch die Einrichtung
1.2 Was ist ein Verzeichnisdienst? 27
eines Benutzernamens realisieren. Der Verzeichnisdienst ist daher ein Programm,

welches in Zusammenarbeit mit dem Serverdienst den Benutzernamen verwaltet.
Dieser Dienst sorgt im Wesentlichen für die Authentifizierung, während der Server-
dienst den eigentlichen Zugriff auf die Ressource bereitstellt.
In Netzwerken wie NetWare 3.12 war das Verzeichnis für jeden Server im Netz-
werk separat gehalten. Dies hatte zur Folge, dass ein Benutzer sich mehrfach an ver-
schiedenen Servern mit seinem Benutzernamen und Kennwort anmelden musste.
Weiterhin bedeutete dies, dass der Administrator den Benutzer jedem Server
bekannt zu geben und Kennwörter einzurichten hatte, damit der Benutzer sich
anmelden konnte. Außerdem bestand für die Benutzer die Notwendigkeit, ihre
Kennwörter für mehrere Server zu verwalten. NetWare 3.12 sorgte dann zwar für
ein Verfahren zum Ändern der Kennwörter auf mehreren Servern, konnte die voll-
ständige Betriebssicherheit dieses Verfahrens aber auch nicht realisieren.
All dies bedeutete eine Menge Extraaufwand hinsichtlich der Administration und
stellte keine echte Unternehmenslösung für Networking dar. Einige Netzwerksys-
teme aus dieser Zeit boten Wege zur Vermeidung der Probleme an. Beispielsweise
hatte der Vorläufer von Windows NT, der LAN-Manager, ein Verfahren entwickelt,
mit dem die Verzeichnisse einer Gruppe von Servern zentralisiert werden konnten.
Bei diesem Verfahren besaß einer der Server, der primäre Domänencontroller, das
Originalverzeichnis, in dem sämtliche Änderungen stattfanden, während ein oder
mehr Server Kopien dieses Verzeichnisses bekamen. Die anderen Server konnten
dieses Verzeichnis zwar nicht ändern, jedoch zur Authentifizierung von Benutzern
verwenden. In einem solchen Modell authentifizierte sich der Benutzer in einem
Domänencontroller und konnte sich daraufhin an jedem beliebigen Server anmel-
den, für den er die erforderlichen Rechte besaß. Durch dieses Verfahren wurden die
Authentifizierung und der Serverdienst sogar noch weitgehender voneinander
getrennt.
Der Benutzer meldete sich an seinem lokalen PC an und war damit zum Zugriff auf
das Netzwerk berechtigt. Diese Authentifizierung wurde anschließend über das
Netzwerk an einen Domänencontroller gesendet, der die eigentliche Authen-
tifizierung vornahm. Sämtliche Verbindungen über das Netzwerk gegenüber ande-
ren Servern wurden ebenfalls über einen Domänencontroller authentifiziert. Win-
dows NT 4.0 benutzt dieses Authentifizierungssystem bis auf den heutigen Tag. Am
Ende lief es dann darauf hinaus, dass nicht mehr die Server jeweils voneinander
getrennte Verzeichnisse zu verwalten hatten, sondern diese Aufgabe nun den Domä-
nencontrollern zufiel. Da immer nur ein Controller über eine aktualisierbare Kopie
des Verzeichnisses verfügte, gab es de facto nur ein Verzeichnis für alle Computer.
Der Trick bestand darin, dass alle Computer zur selben Domäne (einer aus Adminis-
trationsgründen eingerichteten Gruppe mit Computern und Benutzern) gehören
mussten, damit die Server andere Server mit demselben Verzeichnis erkennen konn-
ten. Hatte man sich dann mit einem Server einer Domäne verbunden, suchte dieser
nach einem Domänencontroller für seine Domäne, der die Authentifizierung der
Anmeldung durchführte.
Ein Netzwerkbetriebssystem, welches über das Problem Verzeichnis-pro-Server

hinausging, war Banyan Vines, dessen Lösungsansatz gänzlich anders aussah. Es
sah keine umfangreichen Verzeichnisse vor, die gelegentlich schwerfällig wurden
und umständlich zu bearbeiten waren, sondern entschied sich dafür, die Arbeit auf
mehrere Server aufzuteilen. Statt ein Verzeichnis pro Server ohne echte Administra-
tion zu haben, bettete man alles in eine Struktur ein: eine Hierarchie von Verzeich-
nissen. Auf diese Weise war es leicht, ein Netzwerk für das gesamte Unternehmen
aufzubauen. Ein weiterer Unternehmenszweig wurde so einfach ins Netzwerk inte-
griert, wie ein Zweig an einem Baum wächst.
Die Grundlage all dessen stellten die Spezifikationen von X.400 dar, die ein Verfah-
ren zum Umgang mit einem Verzeichnis in einer Hierarchie beschrieben. Im
Wesentlichen bedeutete dies, einen Ausgangspunkt zu definieren, der das Unterneh-
men darstellte, und den gesamten Namespace des Unternehmensnetzwerks um-
fasste. Der Namespace wurde anschließend in Organisationseinheiten aufgeteilt, die
noch weiter aufgeteilt werden konnten. Die Benutzer gehörten zu den Organisations-
einheiten. Wenn ein Benutzer authentifiziert werden musste, wurde die zutreffende
Organisationseinheit gesucht und der Benutzer gegenüber seinem Homeserver
authentifiziert. Dies bedeutete, dass der Benutzer einen einfach zu merkenden
Benutzernamen und einen vollständigen, beschreibenden Namen wie etwa Tho-
masV@Marketing@Biotech haben konnte.
Da die Ausführungen oben etwas vom Thema fortgeführt haben, ist eine Zusam-
menfassung erforderlich: Ein Verzeichnis ist eine Liste von Objekten eines Netz-
werks, die von Benutzern gesucht werden, oder die zur Authentifizierung von
Benutzern notwendig sind. Der »Dienst« in Verzeichnisdienst wird für die Authen-
tifizierung eines Benutzers gegenüber dem Verzeichnis oder zur Beantwortung der
Benutzeranfragen zu Objekten verwendet.
Vermutlich haben Sie jetzt eine Vorstellung davon bekommen, welchem Zweck ein
Verzeichnis dient, und weshalb in sehr großen Netzwerken Verzeichnisse auf
Unternehmensebene benötigt werden, um den beschriebenen Zweck zu erfüllen.
Sicherlich verstehen Sie jetzt auch, dass ein Verzeichnis grundsätzlich nichts ande-
res als eine Liste ist.
1.3 Active Directory auf den ersten Blick 29
1.3 Active Directory auf den ersten Blick

Was hat dies nun alles mit Active Directory zu tun? Eine gute Frage, auf die es eine
recht einfache Antwort gibt: Active Directory ist (wie Novells Novell Directory
Services) einfach nur eine Nachfolgetechnologie. Microsoft besaß bereits ein ein-
satzbereites System, welches das Domänenmodell verwendete. Als es dieses Sys-
tem zu Windows NT portierte, fügte es die Fähigkeit hinzu, Domänen über Vertrau-
ensstellungen zu verbinden, was die Domänencontroller dann mit dem Wissen über
andere als nur die eigenen Domänen ausstattete. Netzwerkdesigner waren damit
zwar in der Lage, das Konzept der grundlegenden Domäne zu überschreiten, jedoch
wurde gleichzeitig die Authentifizierung kompliziert und der Verwaltungsaufwand
gesteigert, da zusätzlich noch die Vertrauensstellungen verwaltet werden mussten.
Das Domänenmodell selbst war korrekt und arbeitete auch gut – die Benutzer konn-
ten sich anmelden und weitgehend ohne Probleme im Netzwerk arbeiten. Die
Schwierigkeiten mit den Verzeichnisdiensten von Windows NT begannen dort, wo
sie über die einzelne Domäne hinaus gehen mussten. Jedes Mal dann, wenn ein
Benutzer eine Ressource in einer anderen Domäne benutzte, gab es zusätzlichen
Netzwerkverkehr. Der Verkehr wurde noch gesteigert, wenn die Domänencontroller
die Vertrauensstellungen verwalteten. Noch mehr Verkehr wurde erzeugt, wenn
Berechtigungen vergeben wurden, weil das gesamte Verzeichnis immer dann aus
der Remote-Domäne ausgelesen werden musste, wenn ein Benutzer dieser Domäne
Berechtigungen erhielt. Es stellte sich daher heraus, dass Vertrauensstellungen zwar
brauchbar, jedoch gleichzeitig auch etwas umständlich waren.
Damit Vertrauensstellungen zu einer rundum befriedigenden Lösung wurden, muss-

ten noch zwei Dinge getan werden:
씰 Jede Domäne brauchte eine globale Liste des Verzeichnisses jeder Domäne.
씰 Es bedurfte eines Systems zur automatischen Verwaltung der Vertrauensstel-

lungen.
Als Erstes stellen Sie sich nun wahrscheinlich vor, dass ein derartiger Lösungsan-
satz wegen der Bereitstellung einer Liste aller Objekte aller Domänen in der Organi-
sation eine Menge an Hintergrundverkehr erzeugt. Sicherlich benötigt das Erstellen
einer Liste des gesamten Verzeichnisses mit sämtlichen Objekten in einer Organisa-
tion mit sagen wir 80.000 Benutzern und noch mehr Computern einen sehr leis-
tungsfähigen Server, der dann auch viel Verkehr zum Replizieren dieser Informatio-
nen generiert. Falls es außerdem auch noch Unterschiede in den Strukturen einer der
Domänendatenbanken geben sollte, die Sie zu kombinieren versuchen, könnte es
schnell zu einem Gesamtzusammenbruch kommen. Diese Einwände sind nicht von

der Hand zu weisen – jedoch hat Active Directory Bedenken dieser Art in seinem
Konzept berücksichtigt.
Bevor beschrieben wird, wie diese Probleme gelöst werden, müssen Sie jedoch erst
einmal verstehen, was sich im einzelnen in dem Verzeichnis befindet. Es wurde
bereits festgestellt, dass ein Verzeichnis eine Liste ist. Eine Liste eines Computers
wird jedoch normalerweise in einer Datenbank gespeichert. Behalten Sie dies im
Hinterkopf, denn die folgenden Erörterungen werden sich das Verzeichnis nun vom
Standpunkt einer Datenbank aus ansehen.
1.3.1 Eine Datenbank aufbauen

Der Begriff »Datenbank« hat die Leute schon immer etwas erschreckt. Dabei geht
fast jeder jeden Tag mit einer Art Datenbank um, denn eine Datenbank ist nichts
anderes als eine Liste, wie etwa eine Einkaufsliste oder ein Adressbuch. Der Unter-
schied zwischen der Liste und der Datenbank ist von zweifacher Art: Eine Daten-
bank ist auf einem Computer gespeichert und besitzt eine interne Struktur.
Schauen Sie sich einmal die folgende Einkaufsliste an:
Milch
10 Eier
Speck
Brot
Eine solche Liste notieren Sie sich vielleicht, wenn Ihre Partnerin Sie anruft und bit-
tet, auf dem Nachhauseweg etwas einzukaufen. Dies ist schon eine Datenbank, in
der Sie für jeden Datensatz (eine Zeile oder Spalte) zwei Informationen haben: Die
Menge und die Beschreibung. Wenn es keine Mengenangabe gibt, gehen Sie von
einer Standardmenge aus (in diesem Fall wahrscheinlich 1 Stück). Die Einkaufsliste
kann daher auch folgendermaßen geschrieben werden:
Menge Beschreibung
1 Milch
10 Eier
1 Speck
1 Brot
Entsprechend diesem Beispiel können Sie auch eine Liste der Benutzer in einem
Netzwerk erstellen:
Benutzerkennung Anmeldename Vorname Nachname Domäne
S-2882-234-23 GERD Thomas Gerdsen Biotech

S-2322-321-99 SABINE Sabine Müller Biotech
S-2332-233-23 ROLF Rolf Thalia Biotech
Wie Sie in der Tabelle erkennen können, haben Sie nun einen Schlüsselwert, näm-
lich die Benutzerkennung. Dies ist eine interne Nummer, die das System aus Sicher-
heitsgründen zur Identifizierung der Benutzer verwendet und unter Windows NT
und Windows 2000 Security Identifier (SID) genannt wird. In Wirklichkeit ist sie
noch viel länger. Zusätzlich zur SID sind der Anmeldename, der Vor- und Nach-
name und die Domäne weitere Attribute zur Beschreibung des Eintrags. Alle
Objekte verfügen über einen Namen, der wie die SID eindeutig ist. Eine solche
Liste wäre in einer Datenbank eine Tabelle, in der die Attribute, also die Spalten,
die Tabelle definieren. In Active Directory wird hierdurch gleichzeitig eine Klasse
von Objekten beschrieben, da eine Tabelle alle Entitäten einer einzelnen Klasse
speichert.
Damit Sie Zeit beim Erstellen derselben Spalte sparen, hat Microsoft die Attribute
und Klassen separiert. Als Erstes werden die Attribute erstellt, und danach aus den
verfügbaren Attributen die Klassen. Wie bei gewöhnlichen Datenbanken können
Sie die Daten als Text, Zahlen oder als logische Werte (Ja/Nein) speichern. Die
Klassen speichern die Daten als den Attributtyp, was, falls Sie mit Datenbanken
Bescheid wissen, den benutzerdefinierten Datentypen vergleichbar ist.
»Klasse« ist ein Begriff, mit dem die Art eines Dings beschrieben wird. Beispiels-
weise wird in der Tabelle oben eine Benutzerklasse definiert, deren Benutzer über
die aufgeführten Attribute verfügen. Wenn Sie Informationen über Computer spei-
chern möchten, können Sie eine weitere Tabelle definieren, die die entsprechenden
Attribute über Computer enthält. Dasselbe machen Sie für alle anderen Dinge, die
Sie in den Verzeichnisdienst aufnehmen möchten.
Wenn Sie möchten, können Sie auch eine weitere Spalte definieren, oder der Klas-
sendefinition weitere Attribute hinzufügen. Durch Änderungen dieser Art erweitern
Sie gleichzeitig die Informationen, die Active Directory speichert. Falls Sie bei-
spielsweise eine Personalnummer für jeden Mitarbeiter benötigen, können Sie ein
entsprechendes Attribut definieren und der Benutzertabelle hinzufügen. Ebenso
problemlos nehmen Sie auch die Informationen über die Inventarnummern Ihrer fir-
meneigenen Ausstattungsteile auf. Mit anderen Worten: Was Sie hier vor sich
sehen, ist nichts anderes als ein erweiterbares Systemkonzept. Ein solches erweiter-
bares Konzept begrenzt die Informationen nicht, die Sie speichern, sondern macht
es möglich, neue Informationen nach Bedarf hinzuzufügen.
Vielleicht fragen Sie sich jetzt, wie dies mit den zwei weiter oben herausgestellten
Punkten zusammenhängt, nämlich der Notwendigkeit einer globalen Liste für jedes
Domänenverzeichnis und einer Verwaltungsmethode für Vertrauensstellungen. Es
ist ja gerade diese Fähigkeit zum Hinzufügen von Attributen und Klassen nach
Bedarf, die es unmöglich macht, eine Liste aller Domänenverzeichnisse zu erstel-
len, da jedes einzelne Verzeichnis unterschiedlich sein kann. Jedoch ist dies nicht
der Fall. Tatsächlich verfügt jede Domäne in Ihrem Unternehmen über exakt das-
selbe Schema, was durch den Einsatz eines Schemamasters erreicht wird. Der Sche-
mamaster (wie der einstige PDC) ist das einzige System mit einer aktualisierbaren
Kopie des Schemas.
Weil es unpraktisch wäre, wenn die Attribute aller Objekte im Unternehmen ständig
verfolgt werden müssten, gibt Active Directory Ihnen die Gelegenheit, bestimmte
Attribute (bzw. Spalten) festzulegen, die in den globalen Katalog kopiert werden
sollen. Der globale Katalog wird dazu verwendet, allen Benutzern in Ihrem Unter-
nehmen die Liste der Objekte in den einzelnen Domänenverzeichnissen zur Verfü-
gung zu stellen. Da Sie Active Directory mitteilen können, welche Attribute in den
globalen Katalog gehören, können Sie auch kontrollieren, wie viele Daten zwischen
den globalen Katalogservern bewegt werden.
Bis hierhin haben Sie nun für jede Domäne ein Verzeichnis (eine Datenbank).
Gewisse Attribute aus jeder Domäne werden zum globalen Katalog kopiert, der von
allen Domänen gemeinsam genutzt wird. Eine Antwort auf das Problem mit den
Vertrauensstellungen und eine Erklärung der tatsächlichen Unternehmensstrukturen
haben Sie damit allerdings noch nicht erhalten. Im Folgenden werden Sie daher zu
diesem Punkt mehr erfahren.
1.3.2 Eine Hierarchie aufbauen

Wie schon weiter oben festgestellt, ist das Domänenmodell sehr gut für kleine bis
mittelgroße Netzwerke einsetzbar. Probleme treten erst dann auf, wenn man es mit
größeren Organisationen zu tun hat, die über einzelne Domänen hinausgehen müs-
sen. Diese Probleme haben mit dem Suchen von Ressourcen in grundsätzlich
unstrukturierten Domänen und mit der Verwaltung der Vertrauensstellungen zu tun.
Die erste Lösung, die Ihnen einfallen könnte, besteht vielleicht darin, das Domänen-
modell mit dem Ziel zu erweitern, einer Domäne so viele Objekte hinzuzufügen,
dass die Notwendigkeit mehrerer Domänen vermieden wird. Bis zu einem gewissen
Ausmaß wurde dies auch versucht. Die neuen Domänen können dann zwar mehr
Objekte als die gegebenen Domänen unter Windows NT aufnehmen (Millionen

gegenüber Zehntausenden), stellen jedoch immer noch Hürden hinsichtlich der
Sicherheit und Replikation dar.
Wenn die Domänen weiterleben sollen, besteht der nächste sinnvolle Schritt darin,
sie zu strukturieren, was das Auffinden von Objekten erleichtert und die Replikation
von Objekten wie etwa dem globalen Katalog über Domänengrenzen hinweg unter-
stützt. Statt das Rad neu zu erfinden, entschloss sich Microsoft dazu, das Verfahren
zum Verbinden der Domänen über bereits bestehende Technologien zu realisieren.
Heutzutage hat fast jeder die Gelegenheit zum Einsatz eines Internet-Browsers.
Wahrscheinlich ist nur wenigen Menschen überhaupt klar, welche bedeutende tech-
nische Leistung darin liegt, die Webadresse einer beliebigen Site irgendwo auf der
Welt eingeben und mit ihr verbunden werden zu können. Noch beeindruckender
wird diese Leistung, wenn man sich die Anzahl der Sites und die Komplexität des
Internets vor Augen führt. Möglich wird dies durch das Domain Name System
(DNS), welches wahrscheinlich das umfangreichste Beispiel einer hierarchischen
Datenbank auf dieser Erde ist.
DNS funktioniert so, dass es das gesamte Internet als einen einzigen zusammenhän-
genden Namespace betrachtet. Der Ausgangspunkt bei diesem Verfahren ist im
Internet als sog. Stammdomäne bekannt. Sie sehen die Stammdomäne bei der Ein-
gabe einer Adresse zwar nicht, jedoch stellt sie immer den Schlussbestandteil einer
Site-Adresse dar. Diese Stammdomäne (d.h. der gesamte Namespace) wird in klei-
nere Abschnitte aufgeteilt, die im Internet Toplevel-Domänen genannt werden.
Toplevel-Domänen werden schließlich wieder in Secondlevel-Domänen unterteilt.
Von hier aus kann sich dieser Prozess theoretisch unendlich fortsetzen.
Im Hinblick auf das Internet wird die Anfrage (theoretisch) an die Stammdomäne
geleitet. Da die Stammdomäne keineswegs die Namen sämtlicher Server beher-
bergt, leitet sie Ihre Anfrage an einen Server weiter, der für den Namespace, den Sie
suchen, verantwortlich ist. Falls Sie beispielsweise nach www.pearson.com suchen,
erkennt der Server der Stammdomäne, dass Sie nach einem Server in der Domäne
.com suchen, und würde Sie (bzw. Ihren DNS-Server) an den Server der Domäne
.com weiterleiten. Ihre Anfrage wird dann an den für diesen Namespace verantwort-
lichen Server gerichtet. Der Server für .com weiß, dass Sie nach einem Computer
im Namespace pearson.com suchen, und leitet Sie an den Server weiter, der mit die-
sem Teil des Namespace zu tun hat. Jetzt können Sie den Server, der für den Name-
space pearson.com verantwortlich ist, direkt nach der Adresse fragen.
Falls Ihnen dies Verfahren ineffizient vorkommt, sollten Sie einmal an die Unzahl
von Einträgen denken, die zu durchsuchen wären, wenn sich alle Einträge auf dem-
selben Server befänden. Ziehen Sie außerdem in Betracht, wie groß Server sein
müssten, um all die Anfragen von Benutzern befriedigen zu können. Die Verwen-
dung des hierarchischen Modells vermeidet die Notwendigkeit einer einzigen gro-
ßen Datenbank und die Überlastung einzelner Server.
Wenn Sie jetzt, statt auf den unteren Levels nur eine Datenbank mit Hostnamen zu
haben, die zuvor beschriebene Verzeichnisdatenbank auf jedem einzelnen Level
ansiedeln, haben Sie eine Struktur für die Domänen von Windows NT. Wenn wei-
terhin eines der Attribute, die Sie in den globalen Katalog aufnehmen wollen, der
eindeutige Name für ein beliebiges Objekt ist (der vollständige Name einschließlich
der Domäne und der Organisationseinheit, zu der das Objekt gehört), dann können
Sie beliebige Objekte im gesamten Unternehmen leicht ausfindig machen. Genau
dies hat Microsoft mit Active Directory realisiert.
Da es eine Domänenstruktur gibt, können Sie jetzt ein System erstellen, welches für
die Vertrauensstellungen sorgt, da die Struktur aus den Namen abgeleitet werden
kann. In Active Directory ist hierfür der Domänennamensmaster verantwortlich.
Ein solches System gewährleistet, dass alle Domänen Namen besitzen, die in den
Namespace passen.
Damit verfügen Sie über drei Schlüssel für die Einsatzbereitschaft von Active
Directory, die gleichzeitig die drei allen Domänen in Active Directory gemeinsa-
men Elemente darstellen:
씰 Ein gemeinsames Schema
씰 Ein gemeinsamer globaler Katalog
씰 Eine gemeinsame Konfiguration
1.4 Objekte in Active Directory

Nun, da Sie ein Verständnis der Struktur und des Zwecks von Active Directory
besitzen, besteht der nächste Schritt in einer Einführung in die Objekte, aus denen
Active Directory besteht. Einige dieser Objekte sind offensichtlich: Benutzer, Com-
puter und Gruppen. Andere sind dagegen weniger offensichtlich: Organisationsein-
heiten und Standorte. Die nächsten Abschnitte untersuchen die Objekte und ihre
Verwendung. Als Erstes muss ein Objekt in Beziehung zu Windows 2000 definiert
werden.
Grundsätzlich gilt, dass nahezu alles ein Objekt ist. Natürlich ist dies etwas vage
ausgedrückt, jedoch in anderer Hinsicht auch wieder völlig korrekt. Windows 2000
(und auch andere Versionen von Windows) behandeln alles als ein Objekt, haupt-
1.4 Objekte in Active Directory 35
sächlich, um die Sicherheit zu vereinfachen. Der einfachste Weg zum Anzeigen

eines Objekts besteht darin, es als einen Container zu sehen; d.h., das Objekt enthält
etwas: Ein Dateiobjekt enthält Daten, ein Gruppenobjekt enthält eine Liste der Mit-
glieder. Manche Objekte wie Drucker oder Benutzer enthalten einen Ort anstelle
von etwas Konkretem; solche Objekte werden Endknoten genannt.
An alle Objekte ist Folgendes angehängt:
씰 Methoden. Alle Objekte verfügen über eine grundlegende Methode, die bei-
spielsweise das Objekt erstellt, öffnet und löscht. Darüber hinaus haben die
meisten Objekte Methoden, die für sie spezifisch sind. Hierzu gehören Aktio-
nen, die Sie auf dieses Objekt anwenden können, oder die das Objekt selbst
ausführen kann.
씰 Eigenschaften. Alle Objekte besitzen Eigenschaften oder Attribute, die sie

von anderen Objekten unterscheiden. Diese Attribute machen die Funktions-
unterschiede zwischen den Objekten aus. Zu guter Letzt besitzen Objekte
auch noch Namen und Typen. Außerdem sei noch gesagt, dass die Eigen-
schaften typspezifisch sind, obschon es eine recht große Anzahl von Gemein-
samkeiten zwischen den Attributen ähnlicher Typen gibt.
씰 Collections. Wenn eine Eigenschaft oder ein Attribut mehr als einen einzigen
Wert haben kann (wie etwa die Zutaten einer Mahlzeit), werden diese Werte
als Collection innerhalb eines Wertebereichs gespeichert. Die Anzahl der
Mitglieder einer Collection ist normalerweise unbekannt.
Methoden führen, wenn man es auf das Beispiel weiter oben mit der Datenbank
anwendet, Aktionen für eine Zeile aus. Eine Zeile können Sie hinzufügen, aus der
Tabelle löschen, oder die Daten darin bearbeiten. Solche Methoden sind allgemein
als Create-, Update- und Delete-Methoden bekannt. Beachten Sie, dass Sie diesel-
ben Verben (Methoden) auf alles im Betriebssystem einschließlich Dateien, Dru-
cker, Computer usw. anwenden können. Eben dadurch werden Objekte so beeindru-
ckend leistungsfähig: Die Anzahl Verben (Aktionen), die ein Computer verstehen
muss, wird dadurch stark reduziert. Man kann allgemeine Programmroutinen
schreiben, die mit diesen Funktionen arbeiten. Nicht nur die Programme schreiben
sich dadurch einfacher, sondern auch die Sicherheit wird einfacher implementiert,
da auf alle Objekte über dieselben Techniken zugegriffen wird.
Die Eigenschaften beziehen sich natürlich auf die Spalten in der Tabelle. Es gibt
offensichtliche Eigenschaften wie den Namen und Typ des Objekts. Gewisse Eigen-
schaften sind immer notwendig, wie beispielsweise der Besitzer des Objekts.
Collections sind Felder mit multiplen Werten, also Felder, in die Sie viele verschie-
dene Werte wie etwa »Groß« und »Blau« zum Beschreiben des Himmels eingeben
können (technisch gesehen, wird dies natürlich anders realisiert, als es hier zu
Anschauungszwecken beschrieben ist).
Eine Schlüsselcollection, die jedes Objekt besitzt, ist die Discretionary Access Con-
trol List (Zugriffssteuerungsliste, DACL), die dafür sorgt, dass das Sicherheitsmo-
dell ebenso leistungsfähig wie einfach handhabbar wird. Da auf jedes Objekt im
Betriebssystem auf dieselbe Art und Weise zugegriffen wird, und auch alles und
jedes eine DACL besitzt, fiel es Microsoft leicht, ein Referenzmodell für die Sicher-
heit zu entwickeln. Damit dieses Modell auch wirklich funktioniert, muss allerdings
noch sichergestellt werden, dass jeder Prozess, Benutzer, Dienst und jedes Pro-
gramm, welche auf ein Objekt zugreifen, auch über einen Sicherheitskontext verfü-
gen.
Ein Sicherheitskontext bedeutet einfach nur, dass Sie wissen, welches Objekt (ver-
gessen Sie nicht, dass auch Benutzer Objekte sind), auf ein anderes Objekt zuzu-
greifen versucht. »Prozess« ist der allgemeine Begriff zur Beschreibung eines lau-
fenden Programms. Ein Prozess kann ein Hintergrundprozess wie etwa ein Dienst,
oder ein Vordergrundprozess wie etwa ein Benutzerprogramm sein. Bei der Anmel-
dung in Windows 2000 werden Sie zuerst gegenüber den Verzeichnisdiensten
authentifiziert. Anschließend wird ein Programm namens Explorer.exe ausgeführt.
In dieser Shell befinden Sie sich mit Ihrer Sitzung – es verwaltet Ihren Desktop,
zeichnet die Taskleiste auf den Bildschirm und bearbeitet die Aktionen, die Sie auf
Ihrem Desktop unternehmen, wie beispielsweise den Klick auf das Start-Menü.
Nachdem Sie authentifiziert worden sind und der Explorer für Sie gestartet wurde,
stehen Informationen über Sie im System zur Verfügung. Diese Informationen
bestehen aus Ihrer eindeutigen Objekt-ID (Ihre SID) und den eindeutigen Objekt-
IDs für die Gruppen, zu denen Sie gehören (deren SIDs). Zusammen bilden diese
das Zugriffstoken. Beim Start eines Programms wie Word werden die IDs an den
Explorer (Ihr Benutzerprozess) angehängt und mit der ACL der Word-Programm-
datei (und der dazugehörenden Dateien) verglichen. Sofern Sie die Berechtigung
besitzen, startet das System Word als einen weiteren Prozess und hängt Ihre Anmel-
deinformationen (Ihre Objekt-ID und die der Gruppen, zu denen Sie gehören) an
den Prozess an.
Hintergrundprozesse werden ebenfalls innerhalb eines gegebenen Sicherheitskon-

textes gestartet. Sie können, wie bei Ihrer eigenen Anmeldung, mit einem Benutzer-
namen und Kennwort oder im Rahmen des Systemkontos gestartet werden. Das
Systemkonto ist das lokale Konto des Computers und wird in einer Datenbank mit
lokalen Konten gespeichert.
Da Windows 2000 unter Verwendung des beschriebenen Prozesses alles wie ein
Objekt behandelt, kann es die Sicherheit unabhängig von der Art und Weise
gewährleisten, wie ein Benutzer auf ein Objekt zugreift. Nach der Erklärung des
Objektzugriffs sollen Sie nun einen näheren Blick auf einige der Objekte von Active
Directory werfen.
1.4.1 Computer
Das Objekt Computer ist genau das, was es besagt, nämlich ein Computer irgendwo
im Unternehmen. Ein solches Objekt wird im Hintergrund dazu verwendet, alle
Computer zu Verwaltungszwecken zusammenzufassen. Über das Konto ist es darü-
ber hinaus möglich, Computern die Authentifizierung von Benutzeranmeldungen zu
überlassen, da der Computer weiß, welche Domäne für die Authentifizierung benö-
tigt wird. Später bei der Erörterung von Gruppenrichtlinien werden Sie auch bemer-
ken, dass Sie Gruppenobjekten (Konten) in einer Domäne Sicherheitsrichtlinien
zuweisen, Optionen für sie auswählen und sogar Software zuordnen können.
1.4.2 Benutzer
Benutzer sind offensichtlich ein recht großer Bestandteil eines Netzwerks, und ohne
sie wäre das gesamte Netzwerk wohl witzlos (obschon viel schneller!). Ein Benut-
zerobjekt enthält das Benutzerkonto, und erst mit diesem Konto ist der Benutzer in
der Lage, sich mit der Domäne zu verbinden.
1.4.3 Gruppen
Ein Gruppenobjekt (Konto) enthält eine Liste der Benutzer, die zu der Gruppe gehö-
ren. Unter Windows 200 kann es außerdem noch weitere Gruppen enthalten. Diese
Objekte werden bei der Vergabe von Berechtigungen auf andere Objekte eingesetzt,
was das umständliche Hinzufügen einzelner Benutzerkonten vermeidet und anstelle
dessen die Arbeit mit einer größeren Gruppe von Benutzern innerhalb eines einzi-
gen Schrittes ermöglicht. Gruppen werden auch dazu verwendet, eine Anzahl von
Benutzerkonten in einem einzigen Objekt zusammenzufassen.
1.4.4 Drucker
In Windows 2000 verfügen Sie über die Option, für einen gemeinsam genutzten
Drucker ein Druckerobjekt in Active Directory zu erstellen. Hauptsächlich dient
diese Option dazu, den Benutzern im Netzwerk die Suche nach diesem Drucker zu
ermöglichen. Der Drucker bleibt dabei ein Objekt auf dem lokalen PC, der als
Druckserver fungiert und auch die Sicherheit übernimmt.
1.4.5 Freigegebene Ordner

Wie Drucker werden auch Freigaben in Active Directory veröffentlicht. Auch diese
dienen hauptsächlich wieder dem Zweck, Benutzern im Netzwerk die Suche nach
der Freigabe möglich zu machen. Der Computer, der die Freigabe beherbergt, ist für
die Überprüfung der Objektberechtigungen beim Zugriff auf die Freigabe verant-
wortlich.
Fallstudie: Vorstellung der Sonnenschein-Brauerei
Das Wichtigste im Überblick

Denken Sie beim Studieren des Szenarios an die Teile des Active Directory, die
Sie kennen gelernt haben. In diesem Fall gibt es zwei Möglichkeiten für Ihr
Design: Verwenden Sie für die Abgrenzungen entweder die Zweigstellen oder
die Funktionen. Da die Verwaltung in den vier Hauptbüros stattfindet, werden
Sie die Informationen an alle Büros replizieren. Eine solche Replikation kann
unter Umständen einige der langsameren Leitungen strapazieren und gegebe-
nenfalls sogar verstopfen.
Vorstellung
In diesem Kapitel lernen Sie die grundlegenden Konzepte von Active Directory
kennen. Das Ziel dieses Kapitels ist, Ihnen die erforderlichen Voraussetzungen
für das Verständnis der nachfolgenden Kapitel zu vermitteln.
Im Sinne einer Einführung erfolgt nun auch die Vorstellung der Sonnenschein-
Brauerei. Dieses Unternehmen und das damit verbundene Netzwerk dient als
Basis für die Fallstudien, die am Ende jedes Kapitels stehen. Die Fallstudie ist
eine Gelegenheit für Sie, die Anwendung der Technologien, die im Buch
behandelt werden, auf eine Situation in der Praxis zu studieren.
Situationsbeschreibung
Wie beim Projektmanagement wird auch der größte Teil der vorbereitenden
Arbeit im Networking während der Planungs- bzw. Designphase erledigt. Da
sich dieses Buch jedoch vorwiegend mit der Implementierung beschäftigt, setzt
es die Designprinzipien voraus, die in der entsprechenden Literatur zur Prüfung
70-219 beschrieben werden.
Fallstudie: Vorstellung der Sonnenschein-Brauerei 39
Die Sonnenschein-Brauerei ist ein multinationales Unternehmen mit Zweig-

stellen in Ottawa, Sydney, Kapstadt und London. An verschiedenen Orten in
der Welt gibt es außerdem noch kleinere Zweigstellenbüros, die sich in Victo-
ria, Los Angeles, Mexico City, Houston, New York, Buenos Aires, St. John's,
Paris, Moskau, Peking und Tokio befinden.
Das Unternehmen hat sich nach ausgedehnten Voruntersuchungen dazu ent-
schlossen, als das primäre Netzwerksystem Windows 2000 mit Active Direc-
tory einzusetzen. Zum Zweck der Überwachung und des Controlling der Pro-
duktion möchte es außerdem UNIX verwenden.
Die Sonnenschein-Brauerei plant, allen Mitarbeitern den Internet- und Intranet-
Zugang zur Verfügung zu stellen – es soll ein möglichst unbehinderter Infor-
mationsfluss zwischen den Unternehmenstandorten ermöglicht werden, da es
üblich ist, Teams kurzfristig mit Personal zu besetzen, welches aus den ver-
schiedensten Teilen des Unternehmens stammt. Berücksichtigt werden müssen
auch die Bedürfnisse des Vertriebs- und IT-Personals, welches oft auf Reisen
ist, aber immer den Zugriff auf die Ressourcen ihres Heimatstandorts benötigt.
Bevor die Materie noch eingehender erläutert werden kann, brauchen Sie
zunächst einen Überblick über das physische Netzwerk. Sie müssen nicht nur
die Anzahl der Benutzer an jedem Standort und ihre Rolle im Unternehmen
kennen, sondern auch die physischen Verbindungen zwischen den Standorten
sowie deren Geschwindigkeit und Zuverlässigkeit. Als Basis des Netzwerkes
enthält die Tabelle 1.1 eine Übersicht über die nach dem Standort aufgeschlüs-
selte Benutzergemeinde.
Zweigstelle Geschäfts- Forschung IT Administ- Vertrieb Produk-

leitung u. Entwick- ratoren tion
lung
Ottawa 145 352 450 742 1.274 854

London 23 120 180 521 963 562
Kapstadt 18 136 196 436 954 632
Sydney 32 224 251 357 965 843
Victoria 1 5 0 42 89 236
Los 2 6 0 61 109 310
Angeles
Mexico 3 12 0 72 174 400
City
Tabelle 1.1: Verteilung der Benutzer im Unternehmen Sonnenschein-Brauerei

Zweigstelle Geschäfts- Forschung IT Administ- Vertrieb Produk-

leitung u. Entwick- ratoren tion
lung
Houston 2 15 0 66 98 350
New York 2 23 0 96 131 298
Buenos 1 8 0 45 67 245
Aires
St.John's 1 4 0 35 64 198
Paris 1 16 0 41 134 201
Moskau 1 6 0 24 54 126
Peking 1 2 0 88 140 320
Tokio 2 4 0 48 98 264
Tabelle 1.1: Verteilung der Benutzer im Unternehmen Sonnenschein-Brauerei
Wie Sie sich wahrscheinlich schon gedacht haben, ist die Aufteilung der Benut-
zer in sechs Gruppen nicht zufällig. Diese Gruppen repräsentieren nämlich die
wichtigsten Rollen innerhalb des Unternehmens, wobei jede Rolle verschie-
dene Anforderungen an das Netzwerk stellt.
Anforderungen
Die folgende Aufstellung enthält einen Überblick über die verschiedenen
Anforderungen an die Benutzergruppen:
Geschäftsleitung (235 Benutzer)

Die Geschäftsleitung benötigt einen 24-stündigen Zugang von beliebigen
Standorten aus. Sie reist nicht nur häufig zwischen den Büros hin und her, son-
dern auch zu anderen Orten. Sie braucht den Zugang zu ihrer E-Mail und zur
Office-Anwendung und muss in der Lage sein, sich über einen Webbrowser mit
firmeninternen Serveranwendungen zu verbinden.
Forschung und Entwicklung (933 Benutzer)

Die Mitarbeiter der Abteilung Forschung und Entwicklung reisen zwar nicht,
müssen aber in der Lage sein, mit Mitarbeitern der Abteilung Forschung und
Entwicklung in anderen Zweigstellen zu kommunizieren. Neben dem Zugang
zur E-Mail und zur Office-Anwendung benötigen sie außerdem noch den
Zugriff auf spezielle Anwendungen.
Die Benutzer aus Forschung und Entwicklung haben die Option zur Heim- oder
Büroarbeit. Außerdem verfügen sie über gemeinsam genutzte Arbeitsplätze, an
denen sich jeder Benutzer dieser Abteilung niedersetzen und arbeiten kann.
Diese Benutzergruppe möchte, dass an jedem der gemeinsam genutzten Sys-
teme alle Anwendungen verfügbar sind, jedoch jeder einzelne Benutzer seine
eigenen Desktopeinstellungen verwalten kann.
IT (1.077 Benutzer)
Die IT-Abteilung jedes Unternehmensstandorts kümmert sich um die lokalen
Computer der Produktionssysteme unter UNIX und der Windows-Systeme der
übrigen Benutzer. Das IT-Personal reist häufig zwischen den Zweigstellen hin
und her, um die Systeme zu verwalten und zu aktualisieren. Es benötigt von
jeder Zweigstelle aus den Zugriff auf seine E-Mail-Postfächer. Darüber hinaus
muss es auf Programme für die Fehlersuche und -beseitigung zugreifen können,
die sich auf verschiedenen Servern im Netzwerk befinden.
Administratoren (2.674 Benutzer)

Die Administratoren-Benutzer sind wohl die pflegeleichteste Gruppe: Sie rei-
sen nicht und brauchen nur die E-Mail und die Office-Anwendungen. Jeder
arbeitet nur an seinem eigenen Schreibtisch und mit seinem eigenen zugewiese-
nen Computer.
Vertrieb (5.314 Benutzer)

Der Vertrieb reist permanent und ist selten am Arbeitsplatz im Büro. Seine
Benutzer verwenden ausschließlich Notebooks für den Zugriff auf die E-Mail,
die Anwendung zur Auftragsbearbeitung und das Office-Programm. Von Zeit
zu Zeit schauen sie einmal im Büro vorbei und arbeiten an Arbeitsplätzen, die
nur zu diesem Zweck für etwa die Hälfte des Vertriebspersonals eingerichtet
worden sind. Zu diesen Arbeitsplätzen gehört lediglich ein Netzwerkanschluss,
denn der Zugang der Benutzer geschieht auch hier über deren Notebooks.
Produktion (5.839 Benutzer)

Die Produktionsbenutzer sind für den Ablauf der Produktion und den Versand
verantwortlich. Sie benutzen hauptsächlich die Unix-Systeme, benötigen aber
auch den Zugriff auf die E-Mail. Die Produktionssoftware bedienen sie unter
Verwendung von Webbrowsern.
Wie Sie sehen, sind die Anforderungen an die jeweiligen Benutzergruppen

recht unterschiedlich und nicht leicht zu erfüllen. Neben der lokalen Software
auf ihren Arbeitsplatz-PC benötigen die Gruppen auch den Zugang zu Servern
auf Unternehmensebene. Hierin eingeschlossen sind sowohl die Unix-Server,
die die Produktion steuern, als auch die Buchhaltungssysteme, die auf einem
SQL-Server im Büro Ottawa laufen. Darüber hinaus wird noch der Zugriff auf
das Vertriebssteuerungsprogramm gebraucht, welches das Buchhaltungs- und
das Produktionssystem miteinander verbindet und eine Sonderentwicklung für
die E-Mail auf der Grundlage von Exchange-Servern darstellt. Schließlich
macht das Team aus Forschung und Entwicklung zum Zweck der Zusammen-
arbeit noch häufigen Gebrauch von den öffentlichen Ordnern in Exchange.
Ein weiterer Gesichtspunkt ist der Fernzugriff für die Benutzer aus den Grup-
pen Geschäftsleitung und Vertrieb. Realisiert wird er, indem am jeweiligen
Standort ein lokaler ISP ausfindig gemacht wird, der dann den Benutzern einen
Internetzugang zur Verfügung stellt (meistens geschieht dies zu Sonderkonditi-
onen). Für einige Benutzer wird ein globaler ISP eingesetzt; eine Lösung, die je
nach den entstehenden Kosten ggf. auch für alle anderen Benutzern in Betracht
zu ziehen wäre. Die Benutzer würden dann über ein privates virtuelles Netz-
werk und ihre Internetverbindung auf das lokale Büro zugreifen.
Bis hierhin haben Sie die Benutzergemeinde und die Standorte kennen gelernt.
Bevor Sie jedoch konkrete Entscheidungen über die Domänenstruktur, die
Anzahl der Subnetze, die Standorte oder die Platzierung der Server treffen kön-
nen, müssen Sie etwas über das physische Netzwerk wissen.
Die Sonnenschein-Brauerei hat einige Zeit hindurch am Netzwerk gebastelt
und verfügt daher über mehr als nur eine einzige durchgehend implementierte
Technologie im Netz. Die Standorte unterscheiden sich hinsichtlich des Typs
und der Qualität sowohl des Netzwerks als auch der Verbindung mit anderen
Büros und dem Internet. Die folgende Liste beschreibt die an den einzelnen
Standorten verwendete Technologie.
Ottawa (3.817 Benutzer)

Das Netzwerk in Ottawa wurde im Laufe der Jahre einige Male erweitert und
wird gegenwärtig mit 100 Mbps Ethernet betrieben. Als Protokoll wird haupt-
sächlich TCP/IP verwendet. Alle Desktopsysteme und Server werden etwa alle
zwei Jahre aktualisiert. Das Gebäude besteht aus drei Teilen: ein Gebäudeteil
für die Produktion, eines für das Lager und eines für die Büros.
Die drei Gebäudeteile sind unter Verwendung eines redundanten Glasfaser-

Backbones für hohe Geschwindigkeiten miteinander verbunden. In den Gebäu-
den wird durch eine Kombination von Routern und Switches dafür gesorgt,
dass nicht mehr als 50 Desktopsysteme und nicht mehr als 5 Server lokal in
einem Segment sind. Wo Server mit anderen Servern kommunizieren müssen,
sind diese Server über eine zusätzliche Netzwerkkarte miteinander verbunden.
Wo Microsoft-Produkte betroffen sind, läuft der Backbone mit dem NetBEUI-
Protokoll.+
Der Standort Ottawa ist gegenwärtig über eine 100-Mbps-Verbindung ans
Internet angeschlossen. Zusätzlich gibt es T1-Verbindungen zwischen diesem
Büro und London sowie Frame-Relay-Verbindungen mit 512 Kbps nach Syd-
ney und Kapstadt. Außerdem ist noch eine Verbindung mit 512 Mbps zum
Büro in St. John’s und eine OC3-Verbindung nach New York vorhanden.
London (2.369 Benutzer)

Das Londoner Büro ähnelt dem Büro in Ottawa, verfügt aber über nur zwei
Gebäudeteile, nämlich eines für die Produktion und das Lager sowie ein weite-
res für die Büros. Die Gebäudeteile sind über einen redundanten Glasfaser-
Backbone für hohe Geschwindigkeiten miteinander verbunden. In den Gebäu-
den sorgt eine Kombination von Routern und Switches dafür, dass nicht mehr
als 120 Desktopsysteme und nicht mehr als 10 Server lokal in einem Segment
sind. Das Bürogebäude verwendet Ethernet mit 100 Mbps, während die Pro-
duktion und das Lager Ethernet mit 10 Mbps einsetzen.
Das Londoner Büro ist mit dem Internet über eine T1-Verbindung verbunden.
Darüber hinaus gibt es noch eine Verbindung nach Ottawa, die ebenfalls T1
benutzt, wie auch eine Verbindung nach Paris mit T1 und eine nach Moskau
mit einer Standleitung mit 256 Kbps. Eine zusätzliche T1-Verbindung verbin-
det das Büro in London mit dem Büro in Tokio.
Kapstadt (2.372 Benutzer)

Das Büro in Kapstadt wurde von einem Konkurrenzunternehmen übernommen.
Das vorhandene Netzwerk mit Token Ring ist immer noch in Betrieb. Aller-
dings wurde die Verkabelung erneuert, damit das Netzwerk mit 16 Mbps
betrieben werden kann. Auch hier gibt es zwei Gebäude wie in London, die mit
einem redundanten Glasfaser-Backbone für hohe Geschwindigkeiten miteinan-
der verbunden sind. Das eingesetzte Routing-System sorgt dafür, dass nicht
mehr als 150 Desktopsysteme und nicht mehr als 15 Server lokal in einem Seg-
ment sind.
Das Büro in Kapstadt ist an das Internet über eine Standleitung mit 512 Kbps
angeschlossen. Zusätzlich ist es über eine Verbindung mit 512 Kbps mit dem
Büro in Buenos Aires und mit Ottawa verbunden.
Sydney (2.672 Benutzer)

Auch Sydney ist in zwei Gebäude aufgeteilt. Allerdings sind beide Gebäude-
teile hier durch eine Standleitung mit 768 Kbps miteinander verbunden, da sie
nicht nahe genug beieinander stehen, um Glasfaser verwenden zu können. Die-
ses Büro setzt gegenwärtig ein Ethernet-Netzwerk mit 100 Mbps ein. In den
Gebäuden wird durch Switches dafür gesorgt, dass nicht mehr als 80 Desktop-
systeme und nicht mehr als 5 Server lokal in einem Segment sind.
Das Büro in Sydney ist an das Internet mit einer T1-Verbindung angeschlos-
sen. Mit Ottawa ist es mit einer Leitung mit 512 Kbps, und mit Tokio über eine
T1-Leitung verbunden.
Victoria (373 Benutzer)

Das Büro in Victoria stellt, wie alle Zweigstellen, eine kombinierte Einrichtung
aus Produktion, Lager und Büroräumen dar. Das Netzwerk ist ein geroutetes
Ethnernet mit 100 Mbps und vier Netzwerksegmenten.
Das Büro ist an das Internet über Business-ADSL (mit 768 Kbps Uplink-
Geschwindigkeit) angeschlossen. Außerdem gibt es noch eine T1-Verbindung
nach Los Angeles.
Los Angeles (488 Benutzer)

Auch das Büro in Los Angeles setzt Ethernet mit 100 Mbps ein. Es hat lokal
fünf Segmente, die über Router verbunden sind. Es gibt eine T1-Verbindung
ins Internet neben einer T1-Verbindung zum Büro in Victoria, und eine T3-
Verbindung nach New York. Außerdem ist noch eine T3-Verbindung nach
Tokio vorhanden.
Mexico City (661 Benutzer)

Das Netzwerk in Mexico City setzt Token Ring mit 4 Mbps ein. Das Netzwerk
ist in 10 separate Ringe aufgeteilt, zwischen denen Router sitzen. Es gibt eine
Verbindung mit 256 Kbps ins Internet und eine Verbindung mit 512 Kbps zum
Büro in Houston.
Houston (531 Benutzer)

Das Büro in Houston verwendet Ethernet mit 100 Mbps und Switches zwischen
den sieben Netzwerksegmenten. Neben einer Verbindung mit 512 Kbps nach
Mexico City und einer T1-Verbindung nach New York gibt es noch eine T1-
Verbindung ins Internet.
New York (550 Benutzer)

Dieses Netzwerk setzt einen Glasfaser-Backbone mit Switches und 100 Mbps
zu den Desktopsystemen ein. Es gibt sechs Segmente im Netzwerk. Weiterhin
existieren eine T1-Verbindung ins Internet und nach Houston, eine T3-Verbin-
dung nach Los Angeles sowie eine OC3-Verbindung nach Ottawa.
Buenos Aires (302 Benutzer)

In Buenos Aires wird das Netzwerk mit Ethernet mit 10 Mbps und Routern
betrieben, die die sieben Segmente verbinden. Neben der Verbindung mit 512
Kbps nach Kapstadt gibt es einen Anschluss mit 256 Kbs ans Internet.
St. John’s (302 Benutzer)

Das Büro in St. John’s verwendet Ethernet mit 100 Mbps mit einem Switch
zwischen den sechs Netzwerksegmenten. Es gibt eine Business-ADSL-Verbin-
dung mit dem Internet und eine Verbindung mit 512 Kbps mit dem Büro in
Ottawa.
Paris (393 Benutzer)

Das Büro in Paris verwendet ebenfalls Ethernet mit 100 Mbps. Es setzt zwi-
schen den acht Netzwerksegmenten die Switch-Technologie ein. Es gibt eine
Verbindung mit 512 Kbps ins Internet und eine T1-Verbindung zum Büro in
London.
Moskau (211 Benutzer)

Das Büro in Moskau verwendet ARCnet mit 2 Mbps und Router zwischen den
fünf Netzwerksegmenten. Es gibt eine Verbindung mit 128 Kbps ins Internet
und einen mit 256 Kbps nach London.
Peking (551 Benutzer)

Das Büro in Peking verwendet Ethernet mit 100 Mbps mit Bridges zwischen
den sechs Netzwerksegmenten. Es gibt eine Verbindung mit 128 Kbps ins
Internet und eine Verbindung mit 256 Kbps nach Tokio.
Tokio (416 Benutzer)

Das Büro in Tokio setzt Glasfaser zu den Desktops ein und verbindet jedes Sys-
tem direkt mit einem der Switches. Es verfügt über eine T1-Verbindung ins
Internet und eine Verbindung mit 256 Kbps nach Peking, eine T1-Verbindung
nach London und Sydney sowie eine T3-Verbindung nach Los Angeles.
In Nordamerika sind die WAN-Verbindungen normalerweise zu etwa 95% ver-
fügbar, während die Zuverlässigkeit in anderen Weltregionen bis zu 75%
beträgt. Jeder Standort hat außerdem Einwählverbindungen, die mit RRAS ein-
gerichtet sind, um Ausfallzeiten zu minimieren. Die Gesamtzuverlässigkeit der
WAN-Verfügbarkeit erhöht sich damit bis zu etwa 98%.
Jeder Standort besitzt Gesamtunternehmensdaten, während regionsspezifische
Daten jedoch in den entsprechenden Zweigstellenbüros gespeichert sind. Diese
Daten müssen sämtlichen Benutzern zur Verfügung stehen.
Situationsanalyse
Die erste große Entscheidung, die Sie treffen müssen, besteht darin, wie Sie die
privaten und öffentlichen DNS-Namen integrieren. Im vorliegenden Fall sind
davon mehrere Länder betroffen. Wahrscheinlich muss pro Land eine Domäne
registriert werden, damit eine länderspezifische Anpassung gegeben ist. Dies
hat zur Folge, dass Sie mehrere verschiedene Namen im externen Netzwerk
haben werden. Dies in Kombination mit Bedenken über die versehentliche Ein-
bindung von Servern oder Adressen ins Internet ergibt die Schlussfolgerung,
besser eine interne Adresse zu verwenden. Eine nahe liegende Adresse lautet
SonnenscheinBrauerei.local, der Sie daher auch in der gesamten Fallstudie
begegnen werden.
Die Aufteilung der Domänen ist ein sehr großes Problem und erfordert eine
Studie darüber, welche Veränderungen in welchem Ausmaß auftreten können.
Wenig Änderungen würde bedeuten, dass auch nur wenig repliziert werden
muss. Das Unternehmen hat weltweit 16.072 Mitarbeiter, was bedeutet, dass
alles, was weiter über einen Mitarbeiterwechsel von 5% pro Monat hinaus-
reicht, zu einem Problem werden kann. Außerdem müssen Sie noch die Kenn-
wortrichtlinien in Betracht ziehen – werden die Kennwörter häufig gewechselt,
haben Sie mit vermehrter Replikation in der Domäne zu rechnen.
Grundsätzlich gibt es drei Typen der Replikation, die Sie ins Design einbezie-
hen müssen: der globale Katalog, der häufig zwischen den Domänen gesendet
wird, das Schema und die Konfigurationspartition, die zwischen den Domänen
gesendet werden, wenngleich weniger häufig, sowie die Domänenpartition, die
alle Domäneninformationen enthält und häufig gesendet wird, wenn auch nur
innerhalb der Domäne.
Im vorliegenden Fall kann Ihnen die Kommunikation in der Personalabteilung
bei der Entscheidung helfen. Sie kann auch eine Hilfe hinsichtlich einer Ent-
scheidung zur Kennwortrichtlinie bieten. Bei der Sonnenschein-Brauerei liegt
der monatliche Mitarbeiterwechsel bei etwa 2%. Die Kennwortrichtlinie ver-
langt einen Kennwortwechsel alle 60 Tage. Unter dieser Voraussetzung und der
äußerst unterschiedlichen Anforderungen der Benutzer sollte die Domäne Son-
nenschein-Brauerei besser nach der Funktion als dem Standort aufgeteilt wer-
den. Die Administration wird hierdurch einfacher gestaltet, wenngleich gleich-
zeitig die Replikation vermehrt wird.
Das Design würde dann eine Domäne SonnenscheinBrauerei.local vorsehen,
die das IT-Personal und die Geschäftsleitung beherbergt, und eine unterge-
ordnete Domäne für jede der vier verbleibenden Funktionen: Forschung.Son-
nenscheinBrauerei.local, Administration.SonnenscheinBrauerei.local, Vertrieb
.SonnenscheinBrauerei.local und Produktion.SonnenscheinBrauerei.local.
Da die Struktur jetzt steht, müssen Sie nur noch festlegen, welche Organisa-
tionseinheiten und Standorte erstellt werden, was ziemlich einfach ist. Für die
Domänennamen gibt es zwei Grenzlinien, die Sie hätten verwenden können:
die Funktion und der geografische Gesichtspunkt. Da die Funktion bereits zum
Erstellen der Domänen benutzt worden ist, verbleibt für die weitere Aufteilung
der geografische Gesichtspunkt. Innerhalb jeder Domäne wird es daher eine
OU (Organisational Unit) für jeden Standort geben.
Vom Standpunkt des Netzwerks aus brauchen Sie eine Kontrolle der Replika-
tion zwischen den Orten, weshalb Sie für jeden einen Standort erstellen wer-
den. An großen Standorten müssen Sie außerdem die Auswirkung der Replika-
tion auf das Netzwerk in Erwägung ziehen, was bedeutet, dass Sie die Büros
wahrscheinlich aufteilen müssen. Denken Sie gleichwohl daran, dass die Ver-
triebs-Benutzer nicht immer im Büro sind, sodass Sie nicht für alle von ihnen
Vorkehrungen treffen müssen. Um das Beispiel einfach zu gestalten, werden
die großen Büros in zwei oder drei Standorte nach dem Gebäudeteil aufgeteilt.
Jetzt haben Sie die Grundlage des Netzwerks. In den noch folgenden Fallstu-
dien werden Sie verfolgen können, wie das DNS konfiguriert, die Domänen
eingerichtet und die Standorte und OUs erstellt werden. Später werden Sie
einen Blick auf die Überwachung des Netzwerks werfen und erfahren, welche
Schwachstellen auftreten können und wie die Daten des Netzwerks gesichert
werden. Es wird weiterhin eine Erörterung darüber geben, wie die Gruppen-
richtlinien erstellt, auf reisende Benutzer angewendet und zur Verwaltung der
Desktopumgebung eingesetzt werden. Sie werden ein Beispiel für die Installa-
tion der Software und deren Verwaltung über Gruppenrichtlinien kennen ler-
nen. Zum Schluss werden Sie noch erfahren, wie der RAS-Server in dieser
Umgebung dazu verwendet werden kann, Windows 2000 Professional einzu-
führen.
Zusammenfassung
An diesem Punkt wird es hilfreich für Sie sein, alle vorgestellten Informationen ein-
mal in der Zusammenfassung zu betrachten.
Active Directory ist eine Datenbank, die mehrere Tabellen enthält, und zwar eine
für jede Klasse bzw. jeden Typ eines Objekts. Die Tabellen enthalten eine eindeu-
tige ID und verschiedene Attribute (Eigenschaften) der aufgeführten Objekte. Aus
jeder dieser Tabellen werden Schlüsselfelder in den globalen Katalog kopiert, der
zwischen allen Domänen im Unternehmen repliziert wird. Die Struktur der Daten-
bank ist im gesamten Unternehmen dieselbe und wird vom Schemamaster verwal-
tet. Die Domänen werden in Windows 2000 aus Gründen der administrativen Gren-
zen und Replikationsgrenzen verwendet. Die Domänen sind in einer Hierarchie
miteinander verbunden, die auf dem DNS-System beruht.
Dieses Kapitel bot eine Einführung in Active Directory und einen Überblick über
seine Funktionsweise. Die folgenden Fragen werden Sie beim Rekapitulieren des
vorgestellten Stoffes unterstützen.
Wiederholungsfragen
1. Was wird in Active Directory für jeden Objekttyp, den es enthält, erstellt?
2. Was ist der Zweck des globalen Katalogs?
3. Was ist die Aufgabe des Schemamasters?
4. Jedes Objekt besitzt mindestens drei Attribute. Welche sind es?
5. Welche drei Dinge sind allen Domänen in Active Directory gemeinsam?
Zusammenfassung 49
Antworten zu den Wiederholungsfragen

1. Jeder Typ bzw. jede Klasse eines Objekts erstellt eine Tabelle, die die eindeu-
tige ID für das Objekt und die Attribute enthält, die mit ihm verbunden sind.
Siehe dazu den Abschnitt »Eine Datenbank aufbauen«.
2. Der globale Katalog verwaltet einen Teil der Attribute sämtlicher Objekte,
die in der Gesamtstruktur von Active Directory gespeichert sind. Die Domä-
nen veröffentlichen diese Attribute für den globalen Katalog, wodurch eine
vollständige Liste aller Objekte im Unternehmen erzeugt wird. Siehe dazu
den Abschnitt »Eine Datenbank aufbauen«.
3. Für alle Domänen innerhalb des Unternehmens muss das Schema dasselbe
sein. Damit dies auch gewährleistet ist, darf die einzige aktualisierbare Ver-
sion des Schemas nur diejenige auf dem Schemamaster sein. Siehe dazu den
Abschnitt »Eine Datenbank aufbauen«.
4. Jedes Objekt braucht zumindest eine ID, einen allgemeinen Namen und eine
Klasse. Der volle Name muss überall im Unternehmen eindeutig sein und den
kompletten Domänennamen enthalten. Darüber hinaus muss jedes Objekt des
Active Directory eine SID bzw. eine Sicherheits-ID besitzen. Siehe dazu den
Abschnitt »Eine Datenbank aufbauen«.
5. Die drei gemeinsamen Elemente aller Domänen sind das Schema, der globale
Katalog und die Konfiguration. Siehe dazu den Abschnitt »Eine Hierarchie
aufbauen«.
konfigurieren
Lernziele
2
Dieses Kapitel behandelt die DNS-Server in Windows 2000 in Beziehung zu Active
Directory. Obwohl sich das Kapitel überwiegend damit befasst, wie die Integration
von Active Directory realisiert wird, beginnt es mit einem kurzen Überblick über
die Grundlagen von DNS. Anschließend wird die Installation unter besonderer
Berücksichtigung der Rolle eines DNS-Servers behandelt. Nachdem diese Grundla-
gen behandelt worden sind, wendet sich das Kapitel der Zusammenarbeit des DNS
mit Active Directory zu.
Es werden die folgenden Themen aus der Prüfung bearbeitet:
Installation, Konfiguration und Fehlerbehebung von DNS für Active

Directory
씰 Integration von DNS-Zonen von Active Directory mit DNS-Zonen, die nicht
in Active Directory liegen
씰 Konfiguration der Zonen für dynamische Aktualisierungen
Dieses Thema wurde einbezogen, um sicherzustellen, dass Sie sowohl mit DNS für
Active Directory als auch mit anderen Computerumgebungen in Ihrem Netzwerk
umgehen können. Außerdem liegt eine der wichtigsten Neuerungen in DNS für
Windows 2000 in der Fähigkeit zum Umgang mit dynamischen Aktualisierungen.
Für Active Directory ist dies recht bedeutsam, da es auf diese Weise verschiedene
Dienste mit dem DNS-Server zu dem Zweck registrieren kann, Clients die Suche
nach LDAP-Servern und Domänencontrollern zu ermöglichen.
Verwalten, Überwachen und Fehlerbehebung des DNS

씰 DNS-Daten replizieren
Hinsichtlich der Replikation des DNS müssen Sie den Unterschied zwischen
Zonenübertragungen für Standardzonen und Replikationen für Active Directory, die
52 Kapitel 2 DNS für Active Directory konfigurieren
mit der Replikation von in Active Directory integrierten Zonen zu tun haben, verste-
hen.
Der DNS-Teil der Implementierung des Active Directory wird voraussichtlich nicht
umfangreich sein. Sie müssen sich hauptsächlich auf die folgenden Themen kon-
zentrieren:
씰 Erstellen der Forward- und Reverse-Lookupzonen im DNS

씰 Konfigurieren der DNS-Zonen für die Übernahme dynamischer Aktualisie-
rungen
씰 Konfigurieren sekundärer Zonendateien
씰 Integration der Active Directory-integrierten Zonen in andere DNS-Server
씰 Konfigurieren einer Zone als Active Directory-integriert
2.1 Einführung
Der wahrscheinlich wichtigste Aspekt von Active Directory besteht darin, dass es
hierarchisch aufgebaut ist. Dadurch wird die Verwendung des Namespace-Konzep-
tes möglich, welches eine nahezu unbegrenzte Anzahl von Objekten erlaubt, die
gespeichert und dargestellt werden können. Auf diese Weise kann eine Organisation
eine einzige Stamm- bzw. Hauptdomäne einrichten, und diese dann in immer detail-
liertere Abschnitte unterteilen.
Denken Sie einen Moment lang mal an all die Unternehmen, mit denen Sie bereits
zu tun gehabt haben. Nahezu alle Unternehmen unterteilen ihre Organisation über
die Funktion in verschiedene Bereiche. So verfügen beispielsweise viele Unterneh-
men über Abteilungen für die Geschäftsführung, Buchhaltung, Personal, Vertrieb,
Produktion und Marketing.
Eine derartige Struktur stellt eine Hierarchie dar, in der sich die Geschäftsleitung an
der Spitze befindet, an die alle anderen Abteilungen berichten. Weiterhin können
Sie jede einzelne Abteilung – beispielsweise die Buchhaltung – in einen Abteilungs-
leiter, Manager oder Buchhalter unterteilen, der die Debitoren und Kreditoren über-
wacht. Dadurch entsteht eine weitere Hierarchieebene (siehe Abbildung 2.1).
Diese Organisation kann weiterhin Bereiche wie den Vertrieb und Marketing regio-
nal aufteilen. Alternativ dazu könnte die gesamte Organisation außerdem in geogra-
2.1 Einführung 53
Abbildung 2.1
Geschäftsleitung
Das Organigramm
des vorliegenden
Beispiels
Buchhaltung Vertrieb Logistik
Abteilungsleiter
Buchhaltung
Buchhaltung Buchhaltung
Debitoren Kreditoren
fische Standorte und anschließend in Funktionen für jeden Standort geordnet wer-
den. Dies kann erforderlich werden, wenn ein Unternehmen in verschiedenen
Ländern tätig ist und die Gesetze dieser Länder vom lokalen Personal den Umgang
mit Funktionen wie der Buchhaltung oder dem Versand verlangen.
Tatsächlich kann es so viele verschiedene Unternehmensstrukturen wie Unterneh-

men geben. Wichtig ist dabei, dass nahezu alle von ihnen eine hierarchische Struk-
tur verwenden, um die Art und Weise, wie das Unternehmen arbeitet, widerzuspie-
geln; gleichgültig, ob es sich um ein eher traditionelles oder eher modernes
Unternehmen mit flacheren Strukturen und weniger strikten Berichtslinien handelt.
Unter der Voraussetzung, dass Organisationen immer Ebenen aufweisen, ist es für
einen Verzeichnisdienst entscheidend, ein Verfahren zu finden, diese Ebenen in sei-
ner Struktur abzubilden. Eine solche Struktur begünstigt das Konzept des Name-
space. Wenn Sie als Beispiel einmal annehmen, dass John Young in der Buchhal-
tung und John D’Aoust in der Produktion arbeiten, so haben Sie hier gleichzeitig
sowohl den Namen eines Benutzers und des Namespace wie Buchhaltung oder Pro-
duktion vor sich, zu der der Benutzer gehört.
Durch die Einrichtung eines Verfahrens, mit dem nicht nur der Benutzername, son-
dern gleichzeitig der Namespace (bzw. die Domäne) verwaltet wird, in der sich der
Benutzer hierarchisch befindet, versetzt uns Active Directory in die Lage, einen
Benutzer eindeutig durch seinen vollständigen Namen zu identifizieren.
Ein Beispiel für die Namensgebung wäre dann John D’Aoust.Produktion.Unterneh-

men, was ebenso zwangsläufig wie sinnfällig ist. Dieselbe hierarchische Struktur
wird im Internet zum Suchen nach Servern eingesetzt. Das Domain Name System
(DNS) im Internet hat sich bewährt und wird daher von Microsoft zu dem Zweck
verwendet, die Hierarchie von Active Directory zu realisieren.
2.2 Grundlagen von DNS

Da DNS die Hierarchie in Active Directory realisiert, müssen Sie vollständig ver-
standen haben, wie dieses System arbeitet und in Windows 2000 implementiert ist.
Die nächsten Abschnitte stellen daher eine Grundlagendiskussion über DNS ein-
schließlich eines Überblicks über vollqualifizierte Domänennamen und deren Auf-
lösung dar.
Das Domain Name System besteht aus drei Komponenten:
씰 Namenserver. Hierbei handelt es sich um Server, die Adress- und andere In-
formationen über Computer zur Verfügung stellen, die Sie im Internet oder
Intranet finden können.
씰 Resolver. Ein Resolver ist ein kleiner Programmcode im Betriebssystem oder

in einem bestimmten Softwarepaket, der vom Namenserver die IP-Adresse
eines Hostnamens anfragt.
씰 Namespace. Wie ein Organigramm eines Unternehmens, welches mit der

Spitze anfängt und bis in die Untereinheiten hinunterwächst, beginnt auch der
Namespace an der Spitze (Stamm) und verteilt die Hierarchie Ihres Unterneh-
mens auf Domänen. Im Internet enthält der Namespace eine Stammdomäne
und sämtliche Domänen, die unterhalb dieser existieren.
2.2.1 Vollqualifizierte Domänennamen

Zwischen dem oben vorgestellten Organigramm und dem Namespace im Internet
existiert eine ganz offensichtliche Parallele, nämlich im Größenverhältnis. Der
DNS-Namespace deckt jeden Computer ab, der direkt ans Internet angeschlossen ist
(maximal 3.720.314.628), sowie viele andere, die sich hinter Firewalls befinden.
Alle von diesem können mehr als einen Namen haben.
Obgleich die schiere Anzahl der Hostcomputer, mit denen man sich verbinden
könnte, überwältigend ist, genügt tatsächlich allein der Name, um die Verbindung
herzustellen. Offensichtlich wäre dies unmöglich, wenn sich alle Listen auf einem
einzigen, riesigen Computer im Internet befinden würden. Wie ein Unternehmen
Abteilungen in Gruppen unterteilt, so müssen die Namenserver im Internet die
Domänennamen in handhabbare Teilstücke organisieren.
Betrachten Sie einmal den vollqualifizierten Domänennamen (FQDN, Fully Quali-

fied Domain Name) www.pearson.com. Anhand dieses Namens kann man die Ser-
ver bestimmen, die an der Verwaltung des Namens beteiligt sind. Einen FQDN
eines bestimmten Servers, mit dem Sie sich verbinden möchten, lesen Sie von links
2.2 Grundlagen von DNS 55
zu der Stammdomäne des Internet nach rechts. Jeder Bestandteil des Namens ist
durch einen Punkt getrennt (.). Für die Stammdomäne gibt es noch einen nachlau-
fenden Punkt, der normalerweise nicht eingegeben wird.
Um dieses Beispiel weiterzuführen, können Sie das Unternehmen Pearson noch in

verschiedene Abteilungen oder nach geografischen Standorten unterteilen. Danach
haben Sie unter Umständen einen Namen wie etwa www.versand.pearson.com und
www.produktion.pearson.com.
2.2.2 Bestandteile eines FQDN

Die Bestandteile eines FQDN repräsentieren verschiedene Ebenen in der Name-
space-Hierarchie. Beispielsweise teilt uns www.pearson.com mit, dass von der
Stammdomäne eine Domäne com ausgeht, in dieser eine Domäne Pearson liegt, und
in dieser Domäne ein Server namens www steht.
Namensbestandteil repräsentiert Ebene
Nachlaufender Punkt (.) Stammdomäne Root

com Domäne com Toplevel
Pearson Domäne pearson Secondlevel
www Servername bzw. -alias -
Die Stamm- und Toplevel-Domänen im Internet werden von verschiedenen Körper-

schaften für das Internet verwaltet. Es gibt nur eine einzige Stammdomäne, die allen
Namen als Ausgangspunkt dient und den Ausgangspunkt für den Internet-Name-
space darstellt.
Es gibt verschiedene Toplevel-Domänen wie etwa .com, .edu und .gov, die
ursprünglich nur innerhalb der USA verwendet werden sollten. Dies ist jedoch nicht
immer der Fall, denn viele Unternehmen in der Welt haben Domänen wie .com, .org
oder .net registrieren lassen. In anderen Ländern als den USA stellt das Länderkür-
zel wie .de oder .au die Toplevel-Domäne dar.
Ab dem Secondlevel beginnt sich die Hierarchie bereits breit zu verteilen. Ab die-
sem Punkt können Unternehmen, Organisationen oder Einzelpersonen ihre eigenen
Namen registrieren lassen. Im vorigen Beispiel wurde Pearson mit der Domäne com
registriert. Die Registrierung mit der übergeordneten Domäne, die über Ihnen liegt,
ist wichtig, weil anderenfalls der nachfolgend beschriebene Auflösungsprozess
(»Einen FQDN auflösen«) nicht funktionieren würde.
Wenn Sie Ihren Namen registrieren, sind Sie selbst für die Namensauflösung in die-
sem Teil des Namespace verantwortlich. Aus diesem Grunde müssen Sie ein oder
auch mehr DNS-Namenserver bereitstellen. Falls Sie eine Domäne im Internet
registrieren, benötigen Sie im Allgemeinen zwei Namenserver. Das dahinter ste-
hende Konzept besagt, dass mindestens einer von diesen ständig verfügbar sein
sollte. Nach der Bereitstellung des Servers können Sie die Einträge für Ihre Domäne
in einer Zonendatei aufnehmen.
2.2.3 Die Grundlage der Zone

Jeder Server, den Sie im Internet bereitstellen möchten, braucht einen Eintrag in
einer Zonendatei. Ein Namenserver ist autoritativ für eine Zone, wenn er die Zonen-
datei beherbergt, die zur Auflösung der DNS-Anforderungen für diese Zone ver-
wendet wird. Da viele Leute an diesem Punkt eine Parallele zwischen einer Zone
und einer Domäne ziehen, kann dies auf den ersten Blick verwirren. In den meisten
Fällen besteht jedoch kein Grund zur Sorge, weil beide normalerweise identisch
sind. In anderen Fällen jedoch ist es möglich, dass sich eine Organisation dafür ent-
scheidet, den von ihr kontrollierten Namespace weiter aufzuteilen.
Wenn Sie beispielsweise bei Pearson.de arbeiten und die Buchproduktion von den
elektronischen Veröffentlichungen trennen möchten, könnten Sie eine Unterdomäne
namens elektronisch--- erstellen, die diesen Geschäftszweig auslagert. So erhalten
Sie eine Hauptdomäne namens pearson.de und eine Unterdomäne namens elektro-
nisch.pearson.de. Diese beiden könnten nun entweder separate Zonendateien dar-
stellen oder sich innerhalb derselben Zonendatei befinden. Sofern sie auf demselben
Server lagern, können sie sich in derselben Zonendatei befinden.
Falls die Domänen auf separaten Servern liegen, sind sie definitiv zwei getrennte
Zonen. In diesem Fall müssen Sie NS-Einträge (NS, Name Server) in die Zone pear-
son.de aufnehmen, die auf die Namenserver für elektronisch.pearson.de zeigen.
Dieser Prozess der Delegierung findet auch in den Namenservern des Internet dann
statt, wenn Sie Ihre Domäne registrieren lassen, denn diese enthalten NS-Einträge
für Ihre Unterdomäne. Mit den NS-Einträgen wird der Vorgang der Namensauflö-
sung überhaupt erst möglich.
2.2.4 Einen FQDN auflösen

Wenn Sie eine Adresse zum Suchen eingeben, benutzt Ihr Betriebssystem den vor-
her erwähnten Resolver. Der Resolver befragt Ihren konfigurierten DNS-Server
nach der IP-Adresse für den Namen, den Sie eingegeben haben. Falls der lokale
DNS-Server eine Zonendatei für die von Ihnen angefragte Zone besitzt (d.h., er ist
autoritativ), liefert er Ihnen die Informationen aus dieser Datei zurück.
2.2 Grundlagen von DNS 57
Solange Sie nur nach Servern innerhalb des Namespace Ihrer Organisation suchen,
ist der lokale DNS-Server für die angefragte Domäne nicht autoritativ. Dies hat zur
Folge, dass der Server die von Ihnen nachgefragte Adresse außerhalb suchen muss.
Zu diesem Zweck nimmt er Verbindung mit anderen DNS-Servern in der Hierarchie
auf, um die bestmögliche Antwort auf die Anforderung zu finden. Dabei beginnt er
mit dem Stamm und arbeitet sich abwärts, bis er den Server gefunden hat, der für
die von Ihnen gesuchte Domäne autoritativ ist.
Wenn Sie in einen Browser beispielsweise http://www.pearson.com eingeben, muss

der Browser zur Suche nach dieser Adresse einen Resolver verwenden. Zuerst
befragt er den lokalen DNS-Server. Kann dieser keine Antwort geben, überprüft der
DNS-Server den Server der Stammdomäne. Dieser kennt den vollständigen Pfadna-
men zwar nicht, weiß aber, wo sich die Domäne com befindet. Er liefert Ihnen daher
die Adresse von einem oder mehreren com-Servern zurück.
Ihr lokaler DNS-Server wird nun einen dieser Server nach der von Ihnen eingegebe-
nen Adresse befragen. Auch dieser Server kennt den Standort des Host nicht, weiß
aber, wo sich die Domäne pearson.com befindet. Daher wird er die NS-Einträge für
diese Domäne zurückliefern.
Ihr lokaler DNS-Server durchsucht nun die Namenserver für Pearson.com, die mit
der IP-Adresse des Servers www antworten werden. Dies bedeutet, dass Ihr Server
endlich die Adresse kennt und sie an den Resolver Ihres Systems zurückgeben kann.
Der Resolver auf Ihrem System reicht sie an den Browser weiter, der jetzt die Seite
auf dem Webserver eines anderen Unternehmens anzeigen kann. Der gesamte Vor-
gang wird in der Abbildung 2.2 veranschaulicht.
Wie Sie vielleicht bemerkt haben, gibt es tatsächlich zwei Typen von Anforderun-
gen in dieser Darstellung:
씰 Rekursiv. Die Anforderung von Ihrem System zum lokalen DNS-Server ist
eine rekursive Anforderung. Rekursive Anforderungen verlangen, dass der
Remote-Server entweder eine autoritative Antwort oder eine Meldung »nicht
gefunden« zurückliefert.
씰 Iterativ. Andere Anforderungen von Ihrem DNS-Server, die andere DNS-

Server befragen, sind iterativ. Zur Suche nach einer autoritativen Antwort
können mehrere iterative Anforderungen (Iterationen) gesendet werden, von
denen jede nach der bestmöglichen Antwort sucht, die andere Server geben
können. Der Nachteil dabei ist, dass der Client hierbei mehr belastet wird.
Abbildung 2.2
DNS-
Schritte bei der Auf- Root-
Server
lösung einer DNS- 2
Anforderung interaktive
Anforderung
3
empfängt Adresse
des .com Server
4
wiederholte Abfrage
DNS DNS-
Server 5 Server
empfängt Adresse laden empfängt Adresse .com
von www.erudite.com 8
von erudite.com
wie
de
rho
lte
em Ab
1 pfä fra
vo n ge
n e gt A
Rekursive Anforderung rud d r
ite sse e 6
www.erudite.com .co
m
DNS
Server
7 erudite.com
Client
Die Antworten werden auf dem lokalen Server für einen gewissen Zeitraum zwi-
schengespeichert, der vom Remote-Server festgelegt wird und unter der Bezeich-
nung TTL (Time To Live, Gültigkeitsdauer) bekannt ist. Dadurch wird es möglich,
Ihre nächste Anforderung an http://www.pearson.com aus dem Cache Ihres lokalen
DNS-Servers zu beantworten.
2.3 DNS installieren

Sicherlich ist Ihnen nun klar geworden, dass über DNS die Hierarchie des Active
Directory realisiert werden kann. Ein arbeitsfähiges Active Directory können Sie
somit erst dann installieren, wenn Sie einen betriebsbereiten DNS-Server installiert
haben. Normalerweise werden Sie Windows 2000 als Server installieren, und
anschließend den DNS-Serverdienst konfigurieren. Erst nachdem dies erledigt ist,
können Sie Active Directory installieren.
Dieser Teil des Kapitels geht davon aus, dass Sie bereits Erfahrungen mit der Instal-
lation von Windows 2000 haben. Es konzentriert sich daher auf die Installation und
Konfiguration des DNS-Servers.
2.3 DNS installieren 59
2.3.1 Voraussetzungen
Vor der Installation des DNS-Servers benötigen Sie einen arbeitsfähigen Windows
2000 Server oder Windows 2000 Advanced Server. Das System muss mit TCP/IP
konfiguriert sein, und genug Datenträgerplatz haben, um die zu installierenden Ein-
träge aufnehmen zu können.
Vorher sollten Sie, obschon nicht zwingend erforderlich, den Computernamen über-
prüfen. Hierdurch stellen Sie sicher, dass während der Installation von DNS kor-
rekte Informationen eingegeben werden können. Führen Sie zur Überprüfung des
Namens die folgenden Schritte aus:
HINWEIS
Autokonfiguration
Seit der Finalversion brauchen Sie den DNS-Server nicht mehr vorher zu konfigu-
rieren. Der Installations-Assistent von Active Directory konfiguriert den DNS-
Dienst auf dem Domänencontroller automatisch. Er konfiguriert unter Ver-
wendung von sicheren Aktualisierungen nur die Forward-Lookupzone als Active
Directory-integrierte Zone.
SCHRITT FÜR SCHRITT

2.1 Überprüfen Ihres Computernamens
1. Klicken Sie mit der rechten Maustaste auf ARBEITSPLATZ und wählen Sie im
Kontextmenü EIGENSCHAFTEN aus.
2. Klicken Sie auf die Registerkarte NETZWERKIDENTIFIKATION und überprüfen
Sie den vollständigen Computernamen.
3. Klicken Sie ggf. auf EIGENSCHAFTEN und ändern Sie den Namen.
HINWEIS
Installation der Netzwerkdienste
In NT 4.0 werden die Netzwerkdienste unter Verwendung des Applets Netzwerk
in der Systemsteuerung installiert und entfernt. In Windows 2000 werden die
Netzwerkdienste als reguläre Systemkomponenten behandelt und daher normal
über das Applet Software installiert.
2.3.2 Der Vorgang

Die Schritt-für-Schritt-Anleitung beschreibt den ganzen Vorgang.
Abbildung 2.3
Der Assistent für

Windows-Kompo-
nenten

2.2 Installation des DNS-Dienstes
1. Wählen Sie im Startmenü EINSTELLUNGEN/SYSTEMSTEUERUNG.
2. Klicken Sie im Fenster SYSTEMSTEUERUNG zweimal auf SOFTWARE.
3. Klicken Sie im Applet SOFTWARE auf WINDOWS-KOMPONENTEN HINZUFÜ-
GEN/ENTFERNEN.
4. Der Assistent für Windows-Komponenten wird angezeigt (siehe Abbildung

2.3). Wählen Sie darin NETZWERKDIENSTE aus und klicken Sie auf die
Schaltfläche DETAILS.
5. Wählen Sie darin DNS-SERVER (DOMAIN NAME SYSTEM) aus, und klicken
Sie auf OK.
6. Klicken Sie im Assistent für Windows-Komponenten auf WEITER. Geben Sie
nach Aufforderung den Pfadnamen Ihrer Installations-CD ein.
7. Im schließlich erscheinenden Abschlussbildschirm des Assistenten für Win-
dows-Komponenten klicken Sie dann auf FERTIG STELLEN.
8. Schließen Sie das Dialogfeld SOFTWARE durch Klicken auf SCHLIESSEN.
Danach schließen Sie durch Klicken auf die SCHLIESSEN-Schaltfläche auch
die Systemsteuerung.
2.4 Rollen für DNS-Server 61
Mit diesem Vorgang wird der DNS-Server installiert. Als Nächstes müssen Sie die
Reverse- und Forward-Lookupzonen für Ihr Netzwerk erstellen. Danach können Sie
dann Active Directory installieren. Forward-Lookups lösen einen Namen in eine IP-
Adresse auf und Reverse-Lookups tun – Sie haben’s sich schon gedacht – das
Gegenteil!
2.4 Rollen für DNS-Server

Da der DNS-Server nun installiert ist, müssen Sie festlegen, welche Rolle er in
Ihrem Organisationsschema spielen soll. Die Rolle des Servers hängt von den
Zonendateien ab, über die er verfügt. Da ein Server viele verschiedene Zonenda-
teien haben kann, kann er auch unterschiedliche Rollen spielen. Die Hauptrollen,
die Sie konfigurieren werden, lauten:
씰 Cache-only Server
씰 Primärer Namensserver
씰 Sekundärer Namensserver
Jede einzelne dieser Rollen wird in den folgenden Abschnitten erläutert. Anschlie-
ßend folgt der Abschnitt mit dem Titel »DNS und Active Directory integrieren«, der
eine gänzlich neue Rolle behandelt: Active Directory-integriert.
2.4.1 Cache-only-Server
Dieser Server ist am einfachsten zu konfigurieren, da Sie hierfür lediglich den DNS-
Serverdienst installieren müssen. Danach haben andere Computer die Möglichkeit,
zum Zweck der Namensauflösung für Namen im Internet oder Intranet auf diesen
Server zu zeigen. Da dieser Servertyp keine Zonendateien besitzt, muss er für die
Auflösung ohnehin andere Server bemühen. Da er die Resultate anschließend zwi-
schenspeichert, ist dieser Servertyp auch als ein Cache-only-Server bekannt. Darü-
ber hinaus kann der Server als ein Forwarder konfiguriert werden; d.h., Ihr lokaler
Server kann einen anderen DNS-Server rekursiv zur Auflösung des Namens befra-
gen. Dies ist insbesondere in großen Organisationen sinnvoll, da ein einzelner gro-
ßer Server die Anfragen auflösen und für mehrere Server zwischenspeichern kann.
Die Chance, dass sich eine aufzulösende Adresse bereits im Cache des zentralen
Servers befindet, wird damit größer.
2.4.2 Primärer Namenserver

Ein primärer (bzw. in dieser Version Primär (Standard)) Server verwaltet die Origi-
nal-Zonendatei. Der DNS-Server von Windows 2000 kann mehrere primäre Zonen
beherbergen.
Die Informationen einer primären Zone werden normalerweise in der Systemregist-

rierung gespeichert. Sie befinden sich zu Zwecken einer Standardinstallation außer-
dem in einer Datei im Verzeichnis c:\winnt\system32\dns. Hierdurch wird es mög-
lich, Zonenübertragungen zwischen Microsoft DNS-Servern und anderen Typen
von DNS-Servern durchzuführen.
Es gibt zwei Typen von primären Zonen, mit denen Sie umgehen werden: Forward
und Reverse. Forward-Lookupzonen lösen, wie Sie weiter oben gesehen haben,
einen FQDN oder Hostnamen in eine IP-Adresse auf. Die Reverse-Zone geht umge-
kehrt vor und löst IP-Adressen in FQDNs auf. Die Konfiguration der beiden wird,
beginnend mit Reverse-Zonen, in den folgenden Abschnitten erörtert. Der DNS-
Server kann für Sie automatisch Reverse-Lookupeinträge erstellen.
2.4.3 Reverse-Loopupzonen
Eines der immer wieder verwirrenden Themen ist die Arbeitsweise einer Reverse-
Lookupzone. In Wirklichkeit ist diese jedoch wie so viele scheinbar komplizierte
Themen recht einfach zu verstehen. Als Erstes müssen Sie wissen, dass Forward-
Lookupzonen Namen von rechts nach links, nämlich beginnend mit der Stammdo-
mäne bis zum Toplevel und Secondlevel, auflösen. Wenn Sie sich eine IP-Adresse
anschauen, werden Sie feststellen, dass es dort genau anders herum läuft; d.h.,
anstelle des ersten Oktetts würde für jeden Host die letzte Zahl verändert werden
müssen. Der Vorgang wäre daher derselbe und müsste nur rückwärts bzw. von links
nach rechts ablaufen.
Wenn Sie möchten, dass der DNS-Server »reverse« arbeitet, müssen Sie zu diesem
Zweck erst einmal alle Resolver und Namenserver neu schreiben. Da es draußen
schon viele Tausend von ihnen gibt, wäre diese Aufgabe unerfüllbar. Da Sie also
den Vorgang selbst nicht umkehren können, müssen Sie eben die Daten umkehren!
Nehmen Sie die Zahlen aus der Adresse heraus und kehren Sie sie um – jetzt sucht
Ihr Resolver anstelle eines Lookups auf 152.124.25.14 nach 14.25.124.152; wie bei
einem FQDN von rechts nach links gelesen.
Nachdem Sie so die Reverse-Lookupzone erstellt haben, wird das DNS-Snap-In

diese aktualisieren, sobald Sie die Forward-Lookupzonen ändern. Als erste Zone
sollten Sie daher diese Reverse-Lookupzone konfigurieren. Die folgende Schritt-
für-Schritt-Anleitung erstellt eine Reverse-Lookupzone.

2.3 Reverse-Lookupzone erstellen
1. Als Erstes starten Sie im Startmenü über PROGRAMME/VERWALTUNG/DNS
das DNS-Verwaltungsprogramm.
2. Die Microsoft Management Console wird gestartet und lädt das Snap-In DNS
(siehe Abbildung 2.4).
Abbildung 2.4
Der in der Manage-

ment Console gela-
dene DNS-Mana-
ger
3. Blenden Sie den Server ein, den Sie konfigurieren, und klicken Sie mit der
rechten Maustaste auf REVERSE-LOOKUPZONEN. Wählen Sie im Kontext-
menü NEUE ZONE aus. Der Assistent zum Erstellen neuer Zonen wird gestar-
tet.
4. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum
Erstellen neuer Zonen weiterzuschalten.
5. Im nächsten Bildschirm (siehe Abbildung 2.5) können Sie den Typ der Zone,
Primär (Standard) oder Sekundär (Standard), festlegen. Weil Active Direc-
tory noch nicht installiert ist, ist ACTIVE DIRECTORY-INTEGRIERT grau darge-
stellt. Da es sich hier um die erste Zone handelt, sollten Sie PRIMÄR (STAN-
DARD) auswählen. Klicken Sie anschließend auf WEITER.
6. Geben Sie den ersten Teil der IP-Adresse ein, die die Zone zur Auflösung IP-
nach-FQDN verwenden soll. Dies ist entweder die Ihnen von InterNIC zuge-
wiesene Nummer, oder der Teil der Adresse eines privaten Netzwerks, der
für alle Hosts gilt. Überprüfen Sie den Dateinamen, den der Assistent erzeugt,
und klicken Sie auf WEITER (siehe Abbildung 2.6).
Abbildung 2.5
Legen Sie den Typ

der Zone fest, die
Sie erstellen
Abbildung 2.6
Eingabe der
IP-Adresse des
Netzwerks für die
Reverse-Lookup-
zone
HINWEIS
Datei von einem BIND-Server verwenden
Falls Sie diese Datei bereits auf einem anderen Server, gleichgültig welchen
Typs, erstellt haben sollten, können Sie sie in das Verzeichnis system-
root\system32\dns kopieren und anschließend im Feld Name der Reverse-
Lookupzone den Zonennamen und im nächsten Bildschirm den Dateinamen ein-
geben.
7. Als Nächstes müssen Sie einen Dateinamen eingeben. Sofern dies eine neue
Zone ist, wird ein Name vorgeschlagen, und Sie können auf WEITER klicken.
Andernfalls geben Sie den Zonen-Dateinamen in das Eingabefeld VORHAN-
DENE DATEI VERWENDEN ein, und klicken anschließend auf WEITER (siehe
Abbildung 2.7).
Abbildung 2.7
Eingabe des Datei-

namens
8. Auf der nächsten Bildschirmseite des Assistenten werden Ihre Eingaben

bestätigt. Wenn alles in Ordnung ist, klicken Sie auf FERTIG STELLEN. Bei
Fehlern gehen Sie zurück und korrigieren diese.
Nach dieser Konfiguration können Sie die Forward-Lookupzone konfigurieren.

Dafür stehen einige zusätzliche Eigenschaften zur Verfügung, von denen einige von
den Informationen in der Forward-Zone abhängig sind. Behandelt werden diese
später im Abschnitt »Reverse-Lookupzone konfigurieren«.
Forward-Lookupzonen
Der Vorgang zum Erstellen einer Standard-Forward-Lookupzone ähnelt dem Vor-
gang zum Erstellen einer Reverse-Lookupzone und wird in der nachstehenden
Schritt-für-Schritt-Anleitung behandelt.

2.4 Eine Forward-Lookupzone erstellen
1. Als Erstes müssen Sie im Startmenü mit PROGRAMME/VERWALTUNG/DNS
das DNS-Verwaltungsprogramm starten.
2. Die Microsoft Management Console wird gestartet und lädt das Snap-In
DNS.
3. Blenden Sie den Server ein, den Sie konfigurieren, und klicken Sie mit der
rechten Maustaste auf FORWARD-LOOKUPZONEN. Wählen Sie im Kontext-
menü NEUE ZONE aus. Der Assistent zum Erstellen neuer Zonen wird gestar-
tet.
Erstellen neuer Zonen weiterzuschalten.
5. Im nächsten Bildschirm können Sie den Typ der Zone, PRIMÄR (STANDARD)
oder SEKUNDÄR (STANDARD), festlegen. Weil Active Directory noch nicht
installiert ist, ist ACTIVE DIRECTORY-INTEGRIERT grau dargestellt. Da es sich
hier um die erste Zone handelt, sollten Sie PRIMÄR (STANDARD) auswählen.
6. Geben Sie im Eingabefeld NAME den Namen der Domäne ein, die Sie erstel-
len (siehe Abbildung 2.8), und klicken Sie auf WEITER.
7. Geben Sie als Nächstes den Dateinamen der Zone ein. Falls Sie eine Zonen-
datei von einem anderen Server kopiert haben, geben Sie deren Dateinamen
ein (siehe Abbildung 2.9). Klicken Sie anschließend auf WEITER.
8. Im nächsten Bildschirm können Sie Ihre Eingaben überprüfen. Wenn diese
korrekt sind, klicken Sie auf FERTIG STELLEN. Anderenfalls gehen Sie mit der
Schaltfläche ZURÜCK zurück und korrigieren die Eingaben.
Wie Sie selbst gesehen haben, ist die Konfigurierung einer Forward-Lookupzone
recht einfach. Wenn Sie diese Arbeit hinter sich gebracht haben, können Sie noch
weitere Eigenschaften der Zone einstellen. Anschließend konfigurieren Sie dann die
sekundären Server.
Abbildung 2.8
Eingabe des
Domänennamens
für eine Forward-
Lookupzone
Abbildung 2.9
Geben Sie den

Zonendateinamen
ein
Primäre Zonen konfigurieren

Da Sie nun die Zone erstellt haben, die Sie verwenden wollen, sollten Sie die Zonen
konfigurieren. Zu diesem Zweck stellen Sie einfach weitere Optionen ein, und
fügen ggf. noch einige Hostnamen hinzu.
Im Allgemeinen ist die Konfiguration der Zone eine simple Angelegenheit. Die fol-
gende Schritt-für-Schritt-Anleitung erläutert die Dialogfelder für die Eigenschaften
der Zonen.

2.5 Eine Forward-Lookupzone konfigurieren
1. Wählen Sie VERWALTUNG/DNS aus.
2. Blenden Sie den Server mit der Forward- oder Reverse-Zone ein, die konfi-
guriert werden soll.
3. Blenden Sie den Ordner REVERSE- bzw. FORWARD-LOOKUPZONEN ein.
4. Klicken Sie mit der rechten Maustaste auf der Zone, die Sie konfigurieren
möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
Beim Konfigurieren einer primären Zone stehen Ihnen die folgenden Optio-
nen zur Verfügung:
Abbildung 2.10
Die Registerkarte
ALLGEMEIN für eine
Forward-Lookup-
zone
Allgemein
Die Registerkarte ALLGEMEIN (siehe Abbildung 2.10) ermöglicht die Konfiguration
der grundlegenden Informationen zur Zone. Zu den verfügbaren Optionen gehören:
씰 STATUS. Teilt Ihnen den aktuellen Status der Zone mit und ermöglicht Ihnen
das Anhalten (durch Klicken auf die Schaltfläche ANHALTEN) oder Starten
einer Zone (durch Klicken auf die Schaltfläche STARTEN).
씰 TYP. Hiermit können Sie den Typ der Zone auf primär, sekundär oder Active
Directory-integriert umschalten. Die Funktion kann dazu verwendet werden,
im Falle eines Ausfalls eines primären Servers die Serverrolle zu ändern. Au-
ßerdem steht Ihnen mit dieser Funktion die Möglichkeit zur Verfügung, einen
Server zu ändern, der ursprünglich während der Installation als ein Active Di-
rectory-integrierter Server verwendet worden ist.
씰 ZONENDATEINAME. Mit dieser Funktion können Sie den Namen der Zonen-
datei ändern, ohne Daten zu verlieren. Beachten Sie, dass sich die Zonenin-
formationen eigentlich in der Registrierung befinden, und die Datei von Zeit
zu Zeit aus Gründen der Kompatibilität gegenüber sekundären BIND-Servern
aktualisiert wird. Eine Aktualisierung erzwingen Sie mit SERVERDATENDATEI
AKTUALISIEREN im Kontextmenü.
씰 DYNAMISCHE AKTUALISIERUNG ZULASSEN. Diese neu eingeführte Funktion

arbeitet mit DHCP zusammen und ermöglicht dem Client oder DHCP-Server
eine dynamische Aktualisierung der DNS-Zone. Eine weitere Erörterung der
Funktion finden Sie im Abschnitt » DNS und Active Directory integrieren«.
씰 ALTERUNG. Da sich die Systeme selber registrieren können, werden Sie gele-
gentlich Einträge finden, die nicht länger gültig sind und von einem Compu-
ter stammen, der entfernt wurde oder ein Notebook von einem Besucher des
Büros war. Mit ALTERUNG können Sie einstellen, dass das System derartige
Einträge, die dynamisch erstellt worden sind, von Zeit zu Zeit überprüft und
löscht. Nach Klicken auf die Schaltfläche ALTERUNG stehen Ihnen drei Aus-
wahlmöglichkeiten zur Verfügung:
씰 RESSOURCENEINTRÄGE FÜR VERALTETEN AUFRÄUMVORGANG. Dieses

Kontrollkästchen aktiviert bzw. deaktiviert den Aufräumvorgang. Die
Alterung und der Aufräumvorgang sind Vorgänge, bei denen alte dyna-
mische Ressourceneinträge entfernt werden, sofern das System seinen
Namen nicht registriert hat. Konfiguriert werden kann dies auf der Ebene
des Servers oder der Zone.
씰 KEIN AKTUALISIERUNGSINTERVALL. Dies ist der Zeitraum, innerhalb des-

sen ein Eintrag als OK gilt. Das Client-System bewahrt den Eintrag für
mindestens diesen Zeitraum auf.
씰 AKTUALISIERUNGSINTERVALL. Dies ist der Zeitraum, in dem das Client-
System seinen Eintrag aktualisieren muss, wenn ein Aktualisierungsinter-
vall abgelaufen ist.
Autoritätsursprung (SOA)
Der Eintrag AUTORITÄTSURSPRUNG (SOA) (siehe Abbildung 2.11) wird zur Suche
nach dem Server verwendet, der die Autorität für eine Domäne besitzt. Über diese
Registerkarte können Sie die normalen DNS-Parameter konfigurieren, die Bestand-
teile dieses Eintrages sind. Es stehen die folgenden Optionen zur Verfügung:
씰 SERIENNUMMER. Dies ist die Seriennummer der Zonendatei. Sie wird immer
dann inkrementiert, wenn die Datei geändert wird. Die sekundären Server
vergleichen ihre eigene Seriennummer mit derjenigen des primären Servers
und kopieren (AXFR) die Datei, falls sich die Nummern unterscheiden. Sie
erzwingen einen Kopiervorgang an einen sekundären Server, indem Sie diese
Nummer heraufsetzen. Ein Windows-2000-Server kann außerdem eine inkre-
mentelle Zonenübertragung nutzen, die nur Änderungen überträgt, die seit
der letzten Versionsnummer geschehen sind. Hierdurch wird die zu übertra-
gende Datenmenge verringert.
씰 PRIMÄRER SERVER. Dies ist der Name des primären Servers. Dieser Server
besitzt die aktualisierbare (Lesen/Schreiben) Version der Zonendatei.
씰 VERANTWORTLICHE PERSON. Dies ist die E-Mail-Adresse der Person, die für
die Zone verantwortlich ist. Das Zeichen @ in der Adresse wird durch einen
Punkt ersetzt, damit der Eintrag korrekt in der Zonendatei gespeichert werden
kann, denn das Zeichen @ bedeutet »diese Zone«.
씰 AKTUALISIERUNGSINTERVALL. Dieser Wert legt fest, wie oft sekundäre mit

dem primären Server Kontakt aufzunehmen versuchen, um die Versionsnum-
mer zu verifizieren und die Zone erforderlichenfalls zu übertragen.
씰 WIEDERHOLUNGSINTERVALL. Ein sekundärer Server, der sich nach Ablauf

des Aktualisierungsintervalls nicht mit dem primären Server verbinden kann,
wiederholt den Versuch im Wiederholungsintervall.
씰 LÄUFT AB NACH. Nach diesem Zeitraum stoppt ein sekundärer Server die
Auflösung einer Adresse für eine Zonendatei, die er nicht verifizieren kann.
Abbildung 2.11
Die Registerkarte
AUTORITÄTSUR-
SPRUNG (SOA) für
eine Forward-
Lookupzone
씰 MINIMUM TTL (STANDARD). Diese Einstellung wird während der Namen-

sauflösung an andere Server weitergegeben und teilt diesen mit, wie lange sie
den Eintrag zwischenspeichern sollen.
씰 TTL FÜR DIESEN EINTRAG. Den primären Server können Sie jederzeit ändern.
Möglich wird dies durch die Aufnahme einer Ablaufzeit in den Eintrag AU-
TORITÄTSURSPRUNG. Der Server stellt über diesen Eintrag fest, ob er bei Ab-
lauf dieser TTL immer noch der primäre Server ist.
Namenserver
Die Registerkarte NAMENSERVER (siehe Abbildung 2.12) führt die Namenserver in
dieser Zone auf. Durch die Nennung eines Servers an dieser Stelle wird ein NS-Ein-
trag für die Zone erstellt. Hier sollte für eine Übereinstimmung mit den Servern
gesorgt werden, die in der Domäne eine Ebene weiter oben registriert sind, da diese
Domäne diese Einträge zurückliefert, sobald andere Server Anforderungen für Ihre
Domäne stellen.
Abbildung 2.12
In dieser Register-
karte können Sie
Namenserver für
Ihre Domäne hinzu-
fügen, bearbeiten
oder entfernen
WINS
In einem Netzwerk nur mit Windows 2000 sollten Sie diesen Eintrag nicht benöti-
gen, da sich alle Ihre Systeme direkt beim DNS-Server registrieren. Falls Sie jedoch
noch ältere Windows-Clients unterstützen müssen, bedarf es unter Umständen einer
Konfiguration der Registerkarte WINS (siehe Abbildung 2.13). Sie sorgt dafür, dass
der Server die IP-Adresse von einem oder mehreren WINS-Servern erhält, die er
befragen kann, falls er den von Ihnen gesuchten Namen nicht hat. Der DNS-Server
befragt den WINS-Server nach dem Hostnamen, und kann dann zum Erstellen des
FQDN den Dateinamen der Zonendatei anhängen.
Folgende Auswahlmöglichkeiten stehen auf dieser Registerkarte zur Verfügung:
씰 WINS-FORWARD-LOOKUP VERWENDEN. Die besagte Funktion wird aktiviert

bzw. deaktiviert.
씰 DIESEN EINTRAG NICHT REPLIZIEREN. Falls das Kontrollkästchen nicht akti-

viert ist, wird der WINS-Eintrag nicht in Zonenübertragungen zu konfigurier-
ten sekundären DNS-Servern einbezogen. Alle DNS-Server wissen dann dar-
über Bescheid und verwenden den WINS-Server. Diese Funktion sollte
aktiviert werden, wenn einige der sekundären Server keine Microsoft-Server
sind und keine WINS-Ressourceneinträge unterstützen.
씰 IP-ADRESSE. An dieser Stelle können Sie die IP-Adressen der von Ihnen ein-
gesetzten WINS-Server hinzufügen, entfernen oder anordnen.
씰 ERWEITERT. An dieser Stelle erscheint ein weiteres Dialogfeld mit den fol-
genden Auswahlmöglichkeiten:
씰 CACHEZEITLIMIT. Diese Einstellung legt während der Auflösung einer

Adresse über einen WINS-Server fest, wie lange der DNS-Server den
Eintrag im Cache speichert.
씰 LOOKUPZEITLIMIT. Hiermit wird festgelegt, wie lange der DNS-Server
auf Antwort vom WINS-Server wartet.
Abbildung 2.13
Die Registerkarte
WINS in einer For-
ward-Lookupzone
Zonenübertragungen
Die letzte Registerkarte in der Konfiguration der Forward-Lookupzone ist die
Registerkarte ZONENÜBERTRAGUNGEN (siehe Abbildung 2.14). Hier kann einge-
stellt werden, wie Zonenübertragungen, also Kopiervorgänge von einem primären
zu einem sekundären Server, stattfinden sollen. Sie können die Konfiguration auf
dem Server mit der primären Zonendatei oder dem Server mit einer sekundären
Datei vornehmen. Auf dem sekundären Server werden dadurch andere sekundäre
Server mitbetroffen, die ihre Kopie der Zonendatei von diesem bekommen. In die-
ser Rolle ist der Server der Masterserver.
Es stehen die folgenden Auswahlmöglichkeiten zur Verfügung:
Abbildung 2.14
Die Registerkarte
ZONENÜBERTRAGUN-
GEN für eine For-
ward-Lookupzone
씰 ZONENÜBERTRAGUNGEN ZULASSEN. Damit können Sie die Funktion zum

Übertragen der Zone deaktivieren. In der Regel ist diese jedoch immer akti-
viert. Der einzige Grund zum Deaktivieren ist gegeben, wenn umfangreiche
Aktualisierungen an der Zone vorgenommen werden sollen, oder wenn Sie
nur einen einzigen primären Server haben.
씰 AN JEDEN SERVER. Diese Auswahlmöglichkeit ermöglicht die Übertragung

Ihrer Zone an jeden Server, der sie anfordert. Sie sollte vermieden werden,
weil sie Hackern Informationen über Ihre Umgebung liefert, die dann zum
Einbrechen genutzt werden können.
씰 NUR AN SERVER, DIE IN DER REGISTERKARTE »NAMENSERVER« AUFGEFÜHRT

SIND. Diese Auswahlmöglichkeit wird in der Regel aktiv sein, weil sie sicher-
stellt, dass sämtliche sekundären Server Kopien der Zonendaten abrufen kön-
nen.
씰 NUR AN FOLGENDE SERVER. In einigen Fällen müssen Sie steuern können,

welche Server die Kopie der Zonendatei bekommen sollen. Dies kann der
Fall in einer mehrstufigen DNS-Architektur sein, die Sie ggf. in einer Umge-
bung mit langsamen Netzwerkverbindungen erstellen. Bei Aktivierung dieser

Option können Sie die entsprechenden Server im Eingabefeld benennen.
씰 BENACHRICHTIGEN. Diese Schaltfläche startet ein Dialogfeld, in dem Sie

festlegen können, welche Server bei Änderung der Zoneninformationen be-
nachrichtigt werden.
씰 AUTOMATISCH BENACHRICHTIGEN. Diese Funktion können Sie ein- oder

ausschalten. Das Einschalten kann die Belastung der Netzwerkbandbreite
erhöhen, stellt jedoch gleichzeitig sicher, dass die sekundären Server
immer aktuell gehalten werden.
씰 SERVER, DIE AUF DER REGISTERKARTE FÜR NAMENSERVER AUFGELISTET
SIND. Diese Einstellung sorgt für eine automatische Benachrichtigung
aller in der Registerkarte NAMENSERVER aufgeführten Server.
씰 FOLGENDE SERVER. Damit können Sie steuern, welche Server benach-
richtigt werden sollen.
Reverse-Lookupzone konfigurieren
Die Konfiguration einer Reverse-Lookupzone ist nahezu identisch mit derjenigen
einer Forward-Lookupzone. Der einzige Unterschied besteht im Umfang der zur
Verfügung stehenden Registerkarten und der zusätzlichen Registerkarte WINS-R.
WINS-R
Da dies die einzige wirklich unterschiedliche Registerkarte (siehe Abbildung 2.15)
ist, wird sie hier als einzige genannt. Der WINS-R-Eintrag zeigt auf die Forward-
Zonendatei. Der Name dieser Zone wird an die Einträge angehängt, die in Reverse-
Anforderungen zurückgeliefert werden.
Es stehen die folgenden Auswahlmöglichkeiten zur Verfügung:
씰 WINS-R-LOOKUP VERWENDEN. Hiermit wird der WINS-Server für Reverse-

Lookups aktiviert bzw. deaktiviert.
씰 DIESEN EINTRAG NICHT REPLIZIEREN. Dies verhindert, dass der WINS-R-

Eintrag an andere DNS-Server repliziert wird. Verwenden Sie diese Aus-
wahlmöglichkeit, wenn sich lokale WINS-Server dort befinden, wo andere
DNS-Server stehen.
씰 DOMÄNE, DIE AN DEN ZURÜCKGELIEFERTEN NAMEN ANGEHÄNGT WERDEN

SOLL. Hiermit wird der Domänenteil des FQDN eingestellt, der zurückgelie-
fert wird.
씰 ERWEITERT. Hiermit wird die Registerkarte ERWEITERT angezeigt. Auf dieser

Registerkarte stehen drei verschiedene Auswahlmöglichkeiten zur Verfü-
gung:
씰 CACHEZEITLIMIT. Legt fest, wie lange der Name auf dem DNS-Server
zwischengespeichert wird.
씰 LOOKUPZEITLIMIT. Legt fest, wie lange der DNS-Server auf den WINS-
Server wartet, wenn dieser nicht verfügbar ist.
Abbildung 2.15
Die Registerkarte
WINS-R, die von
Ihnen lediglich die
Eingabe der For-
ward-Lookupzone
erwartet
씰 DNS-DOMÄNE ALS NETBIOS-BEREICH ÜBERMITTELN. Hiermit wird der

DNS-Domänenname, der im Feld DOMÄNE, DIE AN DEN ZURÜCKGELIE-
FERTEN NAMEN ANGEHÄNGT WERDEN SOLL, eingegeben wurde, in der
Anforderung an den WINS-Server als der NetBIOS-Bereich angehängt.
2.4.4 Sekundär
Zusätzlich zum primären Server müssen Sie noch einen oder mehrere Server als
sekundäre Server konfigurieren. Wie Sie wahrscheinlich schon der Konfigurations-
beschreibung einer Forward-Lookupzone entnehmen konnten, kopiert ein sekundä-
rer Server die Zonendatei eines anderen Servers, der primär oder sekundär sein
kann. Im letzteren Fall ist dieser Server gleichzeitig ein Masterserver. Die folgende
Schritt-für-Schritt-Anleitung beschreibt die Einrichtung eines sekundären Servers.

2.6 Einen sekundären Server konfigurieren
1. Wählen Sie unter VERWALTUNG DNS aus, und blenden Sie den Server ein,
der zum sekundären Server werden soll.
2. Klicken Sie mit der rechten Maustaste auf den Ordner FORWARD- bzw.
REVERSE-LOOKUPZONE und wählen Sie NEUE ZONE aus.
Erstellen einer neuen Zone weiterzuschalten.
4. Wählen Sie SEKUNDÄR (STANDARD), aus und klicken Sie auf WEITER.
5. Geben Sie den Namen der Domäne ein, für die Sie eine sekundäre Zone kon-
figurieren (siehe Abbildung 2.16), und klicken Sie auf WEITER.
Abbildung 2.16
Eingabe des
Namens der sekun-
dären Zone
6. Geben Sie die IP-Adresse des Masterservers ein, von dem Sie die Zone
kopieren (siehe Abbildung 2.17), und klicken Sie auf WEITER.
7. Überprüfen Sie im letzten Bildschirm des Assistenten die eingegebenen
Informationen und klicken Sie auf FERTIG STELLEN. Unter Umständen dauert
es nun einige Zeit, bis die Zoneninformationen kopiert worden sind.
Abbildung 2.17
Eingabe der
IP-Adresse des
Masterservers
2.5 DNS und Active Directory integrieren

Nach der Installation und Konfiguration des DNS-Servers können Sie die letzten
Schritte zur Vorbereitung auf die Installation von Active Directory ausführen. Bis
zu diesem Punkt sollten Sie die Reverse- und Forward-Lookupzonen für die Struk-
tur Ihres Active Directory erstellt und auf Aktualisierung hin konfiguriert haben.
Es gibt verschiedene Möglichkeiten zur Integration von Active-Directory-Zonen in

Ihre Organisation. Entschieden werden sollte dies von den Personen, die die Struk-
tur von Active Directory geplant haben. Grundsätzlich stehen drei Verfahren zur
Verfügung:
씰 Sie verwenden intern und extern dieselbe Domäne (nutzen Sie z.B. den DNS-
Namen, den Sie über InterNIC registriert haben, wie etwa MCP.com).
씰 Sie verwenden eine Unterdomäne der externen Domäne (erstellen Sie z.B.
aus Ihrer öffentlichen Domäne für Active Directory eine Unterdomäne, wie
etwa AD.MCP.com).
씰 Sie verwenden eine interne separate Domäne (benutzen Sie intern z.B. einen
anderen Namen wie MCP.local. Da Sie keine Registrierung über InterNIC
vornehmen, kann eine beliebige Toplevel-Domäne benutzt werden. Microsoft
empfiehlt .local.).
2.5 DNS und Active Directory integrieren 79
Unabhängig vom Verfahren, welches Sie zur Integration der öffentlichen und priva-
ten Netzwerke wählen, sollten Sie immer als Erstes die Reverse- und Forward-
Lookupzonen konfigurieren.
2.5.1 Integration von Active Directory konfigurieren

Die Zonen, die Sie zur Verwendung als Active Directory-integrierte Zonen verwen-
den möchten, müssen Sie auch konfigurieren. Dies ist ein einfacher Vorgang, der
auf einem Domänencontroller mit DNS stattfindet und die im Folgenden beschrie-
benen Schritte beinhaltet.

2.7 Eine Zone als Active Directory-integriert konfigurieren
der die Domäne verwaltet, bis die Forward- und Reverse-Domäne angezeigt
wird. Der Server, der die Domäne verwaltet, muss sowohl ein Domänencon-
troller als auch ein DNS-Server sein.
2. Klicken Sie mit der rechten Maustaste auf die Domäne. Beachten Sie, dass
Sie diese zuerst anklicken müssen, damit sie den Eingabefokus bekommt.
Wählen Sie danach EIGENSCHAFTEN aus.
3. Klicken Sie neben TYP auf die Schaltfläche ÄNDERN.
4. Wählen Sie ACTIVE DIRECTORY-INTEGRIERT aus, und klicken Sie auf OK.
5. Klicken Sie zur Bestätigung der Änderung auf OK. Klicken Sie zum Schlie-
ßen des Dialogfeldes ZONENTYP erneut auf OK.
6. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN auf OK, und
schließen Sie ggf. das Snap-In DNS.
Vergessen Sie nicht, dass Sie keine Active Directory-integrierte Zone einsetzen
müssen, wenn Sie Server verwenden, die nicht mit Microsoft laufen, oder wenn Sie
keine Zoneninformationen in Active Directory veröffentlichen möchten. Wenn Sie
eine Active Directory-integrierte Zone erstellen, müssen Sie als DNS-Server einen
Windows-2000-Domänencontroller einsetzen.
2.5.2 Aktualisierungen zulassen

DNS für Active Directory installieren, konfigurieren und auf Fehler untersuchen
씰 Zonen für dynamische Aktualisierungen konfigurieren

Dieses Thema ist besonders wichtig, da die Domänencontroller mehrere Einträge

erstellen müssen, um von Benutzern gefunden werden zu können. Hierzu gehören
Service-, A- bzw. Host- sowie PTR- bzw. Reverse-Lookupeinträge. Alle diese
Zonen in Active Directory müssen Sie so konfigurieren, dass sie Aktualisierungen
zulassen, damit die Server und Clients ihre eigenen Einträge bearbeiten können.
Erledigt wird dies über die Registerkarte ALLGEMEIN der Zoneneigenschaften, die
Sie bereits im Abschnitt »Primäre Zonen konfigurieren« kennen gelernt haben.
Bei Standardzonen haben Sie die Auswahl unter JA oder NEIN. Ja lässt Aktualisie-
rungen zu, während NEIN keine Aktualisierungen erlaubt. Falls es sich beim Typ der
Zone um Active Directory-integriert handelt, verfügen Sie außerdem noch über die
Option NUR GESICHERTE AKTUALISIERUNGEN. Ist eine Zone in Active Directory
integriert, werden die Zoneninformationen in Active Directory verschoben, sodass
Sie dort Berechtigungen vergeben können. Bei Aktivierung von NUR GESICHERTE
AKTUALISIERUNGEN sind Computer mit Computerkonten in der Gesamtstruktur, in
der sich der DNS-Server befindet, zum Registrieren eines Computers in der Lage.
2.5.3 Der Aktualisierungsprozess

Der Aktualisierungsprozess kann entweder vom Client oder vom DHCP-Server
(DHCP, Dynamic Host Configuration Protocol) angestoßen werden. Wenn der Cli-
ent dynamisches DNS kennt (wie Windows 2000), dann führt er die Aktualisierung
durch. Anderenfalls müssen Sie den DHCP-Server zur Verarbeitung von Aktuali-
sierungen konfigurieren.
HINWEIS
Ein DHCP-Server ist jeder Server, auf dem ein DHCP-Dienst bzw. -Dämon läuft.
Ein solcher Dienst versorgt Clients mit einer IP-Adresse und einer Subnetzmaske.
Darüber hinaus können in Abhängigkeit vom Typ des Clients, der die Adresse an-
fordert, weitere Konfigurationsoptionen gesendet werden.
Clients mit Windows 2000 aktualisieren standardmäßig die Informationen auf dem
DNS-Server. In den folgenden Fällen nimmt der Client eine Änderung dieser Infor-
mationen auf dem DNS-Server vor:
씰 Es gibt Änderungen an ein oder mehr lokalen IP-Adressen.
씰 Die vom DHCP-Server geleaste IP-Adresse wird routinemäßig oder als Er-
gebnis eines vom Benutzer ausgelösten IPCONFIG/RENEW-Befehls aufge-
frischt bzw. geändert.
씰 Ein Benutzer im System erzwingt die Aktualisierung über IPCONFIG/

REGISTERDNS.
씰 Das System, bzw. in manchen Fällen ein Dienst, startet neu.
씰 Der Computername wird geändert.
씰 Alle 24 Stunden werden Aktualisierungen von Windows-2000-Clients gesen-

det.
In allen diesen Fällen muss das System die Informationen aktualisieren. Der Aktua-
lisierungsprozess führt die folgenden Schritte aus:
1. Der DHCP-Client sendet eine SOA-Anforderung für den Domänennamen,

mit dem er registriert ist. Diese Anforderung wird dann dazu verwendet, ei-
nen Server zu suchen, auf dem die Aktualisierung verarbeitet werden kann.
2. Ein autoritativer Server antwortet auf die Anforderung mit der Adresse des
primären Servers, der die primäre Zonendatei besitzt. Im Falle einer Active
Directory-integrierten Zone ist jeder DNS-Server zur Ausführung der Aktua-
lisierung in der Lage, da die Informationen als Teil von Active Directory ge-
speichert sind.
3. Der Client versucht zur Ausführung der Aktualisierung mit dem Server Kon-
takt aufzunehmen. Schlägt die Aktualisierung fehl, fordert der Client die NS-
Einträge für die Domäne an. Der Client befragt anschließend den ersten Na-
menserver nach einem SOA-Eintrag und wendet sich dann an den in diesem
Eintrag aufgeführten Server.
4. Der Client sendet schließlich die Aktualisierung. Der Server versucht nun die
Aktualisierung zu verarbeiten. Als Erstes muss er sicherstellen, dass Aktuali-
sierungen überhaupt zugelassen sind. Ist der Server Active Directory-inte-
griert, wird er außerdem überprüfen, ob der die Aktualisierung ausführende
Computer die hierfür erforderlichen Berechtigungen besitzt.
2.5.4 Änderungen in Zonen, die für Active Directory

verwendet werden
Im DNS passieren verschiedene wichtige Dinge, sobald Sie mit Active Directory
arbeiten. Einige dieser Änderungen finden in Active Directory-integrierten Zonen
statt, während andere wegen Windows 2000 notwendig werden. Dieser Abschnitt
behandelt Änderungen mit besonderer Berücksichtigung der folgenden Punkte:
씰 Alle Domänencontroller mit DNS in Active Directory-integrierten Zonen

sind in der Lage, dynamische Registrierungen zu übernehmen.
씰 Der Netlogon-Dienst registriert sich bei dem oder den DNS-Servern, damit
den Benutzern Dienste zur Verfügung stehen.
씰 Sie können Sicherheitsmechanismen auf DNS-Aktualisierungen anwenden.
씰 Die Zoneninformationen werden Bestandteil von Active Directory und unter

Verwendung der AD-Replikation repliziert.
Der Netlogon-Dienst registriert weitere Namen für einen Domänencontroller, die es

den Benutzern ermöglichen, LDAP-Server (LDAP, Lightweight Directory Access
Protocol) zu suchen. Hierdurch erhalten die Benutzer wiederum die Gelegenheit,
nach Anmeldeservern oder anderen Objekten in Active Directory zu suchen.
Die vom Netlogon-Dienst registrierten Einträge werden auf dem Domänencontrol-

ler standardmäßig im Verzeichnis c:\winnt\system32\config in einer Datei namens
NETLOGON.DNS gespeichert. Die Datei enthält Einträge zum Registrieren des
Serverdienstes, wie etwa LDAP, Kerberos und den Dienst für den globalen Katalog.
Sie hat etwa den folgenden Inhalt:
mydom.local.600 IN A 10.10.10.200
_ldap._tcp.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_ldap._tcp.pdc._msdcs.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_ldap._tcp.gc._msdcs.mydom.local.600 IN SRV 0 100 3268
comp.mydom.local.
_ldap._tcp.a3c99adb-f3fe-4a88-8ea8-
7fc4945be8d6.domains._msdcs.mydom.local.600 IN SRV 0 100
389 comp.mydom.local.
gc._msdcs.mydom.local.600 IN A 10.10.10.200
2b8e8e62-6f26-4d89-ab0e-29ce9cec8458._msdcs.mydom.local.
600 IN CNAME comp.mydom.local.
_kerberos._tcp.dc._msdcs.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_ldap._tcp.dc._msdcs.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_kerberos._tcp.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_gc._tcp.mydom.local.600 IN SRV 0 100 3268
comp.mydom.local.
_kerberos._udp.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_kpasswd._tcp.mydom.local.600 IN SRV 0 100 464
comp.mydom.local.
_kpasswd._udp.mydom.local.600 IN SRV 0 100 464
comp.mydom.local.
_ldap._tcp.Default-First-Site-Name._sites.mydom.local.600
IN SRV 0 100 389 comp.mydom.local.
_ldap._tcp.Default-First-Site-
Name._sites.gc._msdcs.mydom.local.600 IN SRV 0 100 3268
comp.mydom.local.
_kerberos._tcp.Default-First-Site-
Name._sites.dc._msdcs.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_ldap._tcp.Default-First-Site-
Name._sites.dc._msdcs.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_kerberos._tcp.Default-First-Site-Name._sites.mydom.local.
600 IN SRV 0 100 88 comp.mydom.local.
_gc._tcp.Default-First-Site-Name._sites.mydom.local.600 IN
SRV 0 100 3268 comp.mydom.local.
In jeder Zeile der Datei wird ein anderer Dienst beim DNS-Server registriert. Das
Format dieser Zeilen lautet folgendermaßen:
service.protocol.name ttl class SRV preference weight port target
Der erste Teil service.protocol.name informiert den DNS-Server darüber, welcher

Dienst registriert und welches Transportprotokoll dazu verwendet wird. An Trans-
portprotokollen stehen lediglich TCP oder UDP zur Verfügung. Mit TTL ist die
Gültigkeitsdauer gemeint, also die Zeitdauer für die Clients zum Zwischenspeichern
dieses Eintrags. Class ist immer auf IN eingestellt und bedeutet, dass es sich hier um
einen Internet-Eintrag handelt. Darauf folgt SRV, was dem DNS-Server anzeigt,
dass es sich hier um einen Dienst-Locatoreintrag handelt.
Sobald mehrere Server denselben Dienst anbieten, zeigt der Wert preference an,
welcher bzw. welche Einträge bei einer Anforderung an diesen Dienst als erste
zurückgeliefert werden sollen. Niedrige Werte kommen zuerst an der Reihe. Haben
mehrere Server denselben preference-Eintrag, wird der zu bevorzugende Server
mit weight bestimmt. port legt fest, an welchem Port sich der Dienst befindet. Diese
Informationen werden an den Client weitergegeben, sodass auch Nichtstandard-
Ports verwendet werden können. target schließlich gibt entweder eine IP-Adresse
oder einen Hostnamen an.
Im Moment ist es nicht wichtig, welche speziellen Einträge registriert werden. Bis
zu diesem Punkt müssen Sie lediglich wissen, dass die Datei existiert und zur Regis-
trierung von Netzwerkdiensten verwendet wird.
Alle anderen Änderungen betreffen Active Directory-integrierte Zonen, die aktuell

werden, weil die Einträge nun Bestandteil von Active Directory geworden sind. Die
Einträge werden in Active Directory als Objekte behandelt und können daher mit
Sicherheitsmechanismen ausgestattet sein, was sichere Aktualisierungen ermög-
licht. Weiterhin bedeutet dies, dass die Aktualisierungen auf jedem DNS-Server
ausgeführt werden können, der mit dieser Zone zu tun hat, da Active Directory Mul-
timaster-Replikationen einsetzt.
2.6 Zoneninformationen übertragen

Verwaltung, Überwachung und Fehlerbeseitigung im DNS
씰 Replikation der DNS-Daten verwalten
Ihre Zone muss immer zwischen den DNS-Servern repliziert werden, ob sie nun
integriert ist oder nicht. In den nächsten Abschnitten wird beschrieben, wie dies
erledigt wird.
2.6.1 In der Standardumgebung

Wenn Sie Zonenübertragungen in der Standard-DNS-Umgebung konfigurieren,
erstellen Sie einfach nur einen sekundären Server. Einen weiteren DNS-Server kon-
figurieren Sie zu dem Zweck, die Zonendatei vom primären oder einem anderen
sekundären Server zu kopieren. Die Zonenübertragung benutzt die im SOA-Eintrag
definierten Parameter für die Zone (weiter oben im Abschnitt »Primäre Zonen kon-
figurieren« erörtert).
Um einen DNS-Server als einen sekundären Server für eine existierende Zone zu
konfigurieren, müssen Sie die folgenden Schritte ausführen:

2.8 Einen sekundären Server konfigurieren
der zum sekundären Server werden soll.
2. Blenden Sie die Informationen zum Server und den Forward- bzw. Reverse-
Lookupzonen ein.
3. Klicken Sie mit der rechten Maustaste wahlweise auf FORWARD-LOOKUP-
ZONE bzw. REVERSE-LOOKUPZONE, und wählen Sie dann NEUE ZONE aus.
4. Klicken Sie auf WEITER, um vom Begrüßungsbildschirm des Assistenten zum

Erstellen einer neuen Zone weiterzuschalten.
2.6 Zoneninformationen übertragen 85
5. Wählen Sie im nächsten Bildschirm SEKUNDÄR (STANDARD) aus, und kli-

cken Sie auf WEITER.
6. Geben Sie den Namen der Domäne ein, und klicken Sie auf WEITER.
7. Geben Sie die IP-Adresse des Masterservers ein (des primären oder sekundä-
ren Servers, der bereits läuft). Sie haben die Möglichkeit, mehr als einen Ser-
ver einzugeben. Der DNS-Dienst probiert diese der Reihe nach aus, falls er
keine Verbindung mit dem ersten Server herstellen kann. Klicken Sie danach
auf WEITER.
8. Klicken Sie auf FERTIG STELLEN, um die Einrichtung abzuschließen.
HINWEIS
Geduld
Unter Umständen dauert es nun einige Zeit, bis die Zoneninformationen kopiert
worden sind.
Nach Abschluss der Konfiguration werden die Zoneninformationen jetzt in Über-

einstimmung mit den Daten, die Sie im SOA-Eintrag hinterlegt haben, oder als
Ergebnis einer von Ihnen selbst erzwungenen Übertragung übertragen. Zwei Arten
von Übertragungen sind möglich: vollständige und inkrementelle.
Während der anfänglichen Replikation der Zonendatei findet eine vollständige

(AXFR) Zonenübertragung statt. Unterstützen jedoch sowohl der primäre als auch
der sekundäre Server inkrementelle (IXFR) Zonenübertragungen, werden bei nach-
folgenden Übertragungen nur noch Änderungen übertragen.
Die inkrementelle Zonenübertragung benutzt zur Überwachung von Änderungen die

Seriennummer der Zonendatei. Die Serienummern werden verglichen, sobald ein
sekundärer Server den IXFR anfordert. Sind sie gleich, findet keine Zonenübertra-
gung statt. Unterscheiden sie sich, sendet der primäre DNS-Server die Änderungen,
die seit der letzten Zonenübertragung stattgefunden haben, an den sekundären Server.
Die zu übertragenden Einträge legt er durch den Vergleich seiner Seriennummer im
SOA-Ressourceneintrag mit derjenigen im SOA-Ressourceneintrag des sekundären
DNS-Servers fest. Alle Ressourceneinträge, die zwischen beiden Seriennummern
hinzugefügt oder geändert worden sind, werden zur sekundären Zone übertragen.
Hierdurch wird zwar der Netzwerkverkehr reduziert, jedoch gleichzeitig der Over-
head auf dem DNS-Server vermehrt, der die Änderungen überwachen muss.
2.6.2 In der Umgebung von Active Directory

Während der Erörterung der Active Directory-integrierten Zone werden Sie
bemerkt haben, dass die Server nicht länger primär oder sekundär bleiben, sondern
einfach integrierte Server werden. Der Grund liegt darin, dass die erforderlichen
Informationen aus Active Directory geladen werden. Es ist Active Directory, wel-
ches die Replikation kontrolliert. Anstelle von Zonenübertragungen fordern die
DNS-Server alle 15 Minuten Aktualisierungen von Active Directory an (wird in den
Zoneneigenschaften eingestellt).
Aus diesem Grunde sind auch alle Domänencontroller einer Active Directory-inte-
grierten Zone mit DNS in der Lage, Aktualisierungen zu übernehmen, da sie über
eine aktualisierbare Kopie der Zone verfügen.
Sie sollten sich darüber im Klaren sein, dass die Zonendaten innerhalb der Domäne
gespeichert werden, in der sich auch die DNS-Server befinden. Das dabei auftau-
chende Problem besteht darin, dass Daten der Active Directory-integrierten Zonen
über die Replikation des Active Directory nur innerhalb einer einzigen Zone repli-
ziert werden können. Sie können daher auch nur eine einzige Domäne zur Verwen-
dung Active Directory-integrierter Zonen konfigurieren. Alle anderen Domänen
benötigen sekundäre DNS-Server gegenüber der Active Directory-integrierten
Zone.
2.6.3 In einer gemischten Umgebung

Installation, Konfiguration und Fehlerbehebung von DNS für Active
Directory
씰 Active-Directory-DNS-Zonen mit anderen DNS-Zonen integrieren
Die Welt ist nicht perfekt, was auch langweilig wäre! Aus eben diesem Grunde
haben Sie auch die Möglichkeit, DNS-Server, die Active Directory-integrierte
Zonen verwalten, und andere DNS-Server anderer Umgebungen zu integrieren.
Microsoft hat bedeutende Zeit und Mühe darauf verwandt, hierfür die RFC-Kompa-
tibilität zu gewährleisten. Dies bedeutet, dass ein Microsoft-DNS-Server in der
Lage sein sollte, mit sämtlichen anderen Typen von DNS-Servern am Markt zusam-
menzuarbeiten. Hauptsächlich werden dies die BIND-Systeme (BIND, Berkeley
Internet Name Domain) sein.
Diese Art Server kann sich so verhalten, als wäre sie sekundär gegenüber Active
Directory-integrierten Servern. Finden Übertragungen zwischen zwei DNS-Servern
auf zwei Servern mit Windows 2000 statt, werden die übertragenen Daten kompri-
miert, was normalerweise zu einem Abbruch der Übertragung zu einem Server ohne
Windows 2000 führt. Diese Option kann daher über das Snap-In für DNS abge-
schaltet werden, und wird in der Schritt-für-Schritt-Anleitung 2.9 erläutert.
2.7 Fehlerbehebung im DNS 87
HINWEIS
BIND-Versionen
Die Abschaltung der Kompression ist nur bei der BIND-Version 4.9.4 und davor
erforderlich. Dies dürfte für Sie jedoch kein Thema sein, da Sie zur Unterstützung
der SRV-Ressourceneinträge mindestens 4.9.6, und für die vollständige Kompati-
bilität zur dynamischen Aktualisierung 8.1.2 brauchen.

2.9 Windows 2000 DNS für ältere sekundäre BIND-Server
konfigurieren
1. Wählen Sie in VERWALTUNG DNS aus, und klicken Sie mit der rechten Maus-
taste auf den Server.
2. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Vergewissern Sie sich, dass auf der Registerkarte ERWEITERT die Option
SEKUNDÄRE ZONEN AUF BIND-SERVERN aktiviert ist.
4. Schließen Sie das Dialogfeld EIGENSCHAFTEN.
Auch wenn diese Option korrekt eingestellt ist, kann es immer noch Probleme
geben, falls der Server, der die Einträge empfängt, diese nicht richtig versteht.
Unterstützt der Server beispielsweise keine SRV-Einträge, können diese Einträge
fehlerhaft verarbeitet werden, und die Übertragung misslingen lassen.
2.7 Fehlerbehebung im DNS

Da der DNS-Dienst Voraussetzung für den Betrieb von Active Directory ist, müs-
sen Sie auch wissen, wie Sie Fehler finden und beseitigen. Zusätzlich zum Snap-In
DNS gibt es noch verschiedene Programme, die Sie bei der Fehlerbehebung im
DNS verwenden können. Sie werden in den folgenden Abschnitten näher unter-
sucht.
2.7.1 Dynamische Einträge können nicht erstellt werden

Falls Sie keine dynamischen Einträge auf dem Server erstellen können, gibt es
einige ziemlich simple Dinge, die Sie überprüfen können, und die im Folgenden
erörtert werden.
Sicherheit
Als Erstes sollten Sie überprüfen, ob der Computer überhaupt berechtigt ist, dem
DNS-Server dynamisch Einträge hinzuzufügen. Dies stellen Sie über die Zonenei-
genschaften auf der Registerkarte SICHERHEIT fest.
Die wichtigsten Einstellungen hier sind AUTHENTIFIZIERTE BENUTZER und JEDER.

Authentifizierte Benutzer sollten untergeordnete Objekte erstellen dürfen, was sich
für Sie vielleicht merkwürdig anhört, da der Benutzer sich erst einige Zeit nach dem
Start des Computers anmeldet. Denken Sie jedoch daran, dass auch Computer über
Konten verfügen, und daher auch Teil der Gruppe AUTHENTIFIZIERTE BENUTZER
sind. Es ist das Computerkonto, welches zur Aktualisierung der Informationen
benutzt wird. Die Gruppe JEDER sollte über die Berechtigungen zum Lesen verfü-
gen, damit die Benutzer in der Lage sind, Anforderungen an DNS-Server zu senden.
Falscher DNS-Server
Überprüfen Sie die DNS-Konfiguration und stellen Sie sicher, dass der Client auf
einen DNS-Server zeigt, der dynamische Aktualisierungen unterstützt oder ein
sekundärer Server ist, der auf einen solchen zeigt. Stellen Sie weiterhin sicher, dass
der Domänenname richtig eingegeben wurde und mit einer Domäne auf dem Server
übereinstimmt, bei dem Sie sich registrieren wollen.
2.7.2 Das Snap-In DNS

Das Snap-In DNS stellt grundlegende Möglichkeiten zum Test des DNS-Dienstes
und zur Protokollierung zur Verfügung. Öffnen Sie zum Anzeigen der entsprechen-
den Optionen im DNS-Manager die Servereigenschaften. Hier gibt es zwei Regis-
terkarten, die bei der Fehlersuche im DNS nützlich sein können: PROTOKOLLIE-
RUNG und ÜBERWACHEN.
Protokollierung
In der Registerkarte PROTOKOLLIERUNG können Sie Protokollierungsoptionen ein-
schalten, mit denen Sie die Aktivitäten des DNS-Servers verfolgen. Sie haben die
Möglichkeit, die folgenden verschiedenen Dinge zu protokollieren:
씰 ABFRAGEN. Hiermit werden vom Server empfangene Anforderungen proto-

kolliert.
씰 BENACHRICHTIGEN. Hiermit werden Benachrichtigungen protokolliert, die

der Server von anderen DNS-Servern empfängt.
씰 AKTUALISIEREN. Protokolliert die von Clients empfangenen dynamischen

Aktualisierungsanforderungen.
2.7 Fehlerbehebung im DNS 89
씰 FRAGEN. Protokolliert Informationsbestandteile der an den Server gesendeten

Std. Query packets.
씰 ANTWORTEN. Diese Option protokolliert Informationsbestandteile der vom

Server zurückgelieferten Std. Query response packets.
씰 SENDEN. Protokolliert die Anzahl der iterativen Anforderungen, die vom Ser-
ver gesendet worden sind.
씰 EMPFANGEN. Protokolliert die Anzahl der iterativen Anforderungen, die vom

Server empfangen worden sind.
씰 UDP. Protokolliert die Anzahl von Anforderungen, die unter Verwendung des
Protokolls UDP (User Datagram Protocol) empfangen worden sind.
씰 TCP. Protokolliert die Anzahl von Anforderungen, die unter Verwendung des
Protokolls TCP (Transmission Control Protocol) empfangen worden sind.
씰 VOLLSTÄNDIGE PAKTE. Protokolliert die Anzahl der vollständigen Pakete, die

vom Server gesendet oder empfangen worden sind.
씰 PROTOKOLLIERUNG FORTSETZEN. Protokolliert die Anzahl der Einträge, die

vom DNS-Server in die Zonendatei geschrieben worden sind.
Die Protokolldateien werden standardmäßig im Verzeichnis c:\winnt\system32\

dns abgelegt. Mit diesen Dateien können Sie überprüfen, was der Dienst mit den
Anforderungen, die er empfängt, anstellt.
Überwachen
Über die Registerkarte ÜBERWACHEN können Sie den DNS-Server testen, um
sicherzustellen, dass er korrekt arbeitet. Sie können den Testtyp (einfach oder rekur-
siv) festlegen, und anschließend entweder mit der Schaltfläche JETZT TESTEN den
Test sofort starten oder später ausführen lassen.
2.7.3 Nslookup verwenden

Der Befehl Nslookup ist ein ziemlich komplexer Befehl, der sowohl über die
Befehlszeile als auch über eine interaktive Schnittstelle ausgeführt werden kann.
Zum Zweck eines schnellen Tests genügt es, mit der Befehlszeilenversion zu arbei-
ten. Es gibt zwei Haupttypen von Anforderungen, die Sie unter Verwendung von
Nslookup senden werden: Forward- und Reverseanforderungen.
In der Regel werden Sie eine grundlegende Forward-Lookupanforderung senden, in

der Sie den Namen von einem Client aufzulösen versuchen. So können Sie überprü-
fen, ob der DNS-Server den Client findet. Auf die Anforderung kann es verschie-
dene Antworten geben:
씰 Der Host wurde gefunden, aber es wurden Zeitüberschreitungsfehler erzeugt.

Dies ist normal, wenn die Reverse-Lookupzone keinen Eintrag für den DNS-
Server besitzt, oder wenn es überhaupt keine Reverse-Lookupzone gibt.
씰 Der vollständige FQDN des Host wurde aufgelöst, jedoch nicht der Name al-
lein. Dies ist in der Regel das Ergebnis einer fehlerhaften Konfiguration auf
dem Client. Stellen Sie sicher, dass die DNS-Einstellung hinsichtlich des Do-
mänennamens korrekt ist.
Die Anforderung, die an den DNS-Server cyclops.scrimtech.com gesendet wird,

lautet grundsätzlich etwa folgendermaßen:
C:\>nslookup behemoth.scrimtech.local
Server:cyclops.scrimtech.com
Address:24.142.192.45
Name:behemoth.scrimtech.local
Addresses:10.10.10.200,24.112.93.248
Der andere Typ einer Anforderungen ist die Reverse-Anforderung, die hilfreich sein
kann, wenn Sie einen Host nicht finden können, von dem Sie wissen, dass er exis-
tiert. Durch die Anfrage nach der IP-Adresse dieses bekannten Host sind Sie in der
Lage, den mit dem Host verknüpften Namen zu ermitteln, wie das folgende Beispiel
zeigt:
C:\>nslookup 207.236.145.38
Server:cyclops.scrimtech.com
Address:24.142.192.45
Name:virgile.hq.newroma.com
Address:207.236.145.38
2.7.4 IPCONFIG verwenden

Seit NT 4.0 wurde der Befehl IPCONFIG überarbeitet und enthält jetzt drei neue
Schalter, die die Interaktion mit DNS betreffen. Diese Schalter wie auch /ALL sind
insbesondere dann nützlich, wenn Sie mit der Fehlersuche im DNS beschäftigt sind.
씰 /ALL. Liefert Ihnen Informationen über die Konfiguration aller Netzwerkver-

bindungen auf Ihrem Computer einschließlich des von jeder Netzwerkkarte
verwendeten DNS-Servers.
Fallstudie: DNS für Sonnenschein-Brauerei implementieren 91
씰 /FLUSHDNS. Löscht die zwischengespeicherten Informationen, die Sie von den

DNS-Servern empfangen haben. Diesen Schalter können Sie dazu benutzen,
die Arbeitsstation zu einem erneuten Einlesen der Informationen vom DNS-
Server zu zwingen.
씰 /REGISTERDNS. Aktualisiert Ihre aktuellen DHCP-Leases und registriert darü-

ber hinaus alle dynamischen Einträge neu, die Sie auf dem DNS-Server er-
stellt haben.
씰 /DISPLAYDNS. Zeigt die Einträge vom DNS-Server an, die sich aktuell im Ca-
che befinden. Damit können Sie überprüfen, ob der DNS-Server die richtigen
Informationen liefert.
2.7.5 Netlogon starten und stoppen

Wie Sie sich vielleicht noch von der Überprüfung der Datei Netlogon.dns im
Abschnitt »Änderungen in Zonen, die für Active Directory verwendet werden« her
erinnern, gibt es zahlreiche Einträge, die der Netlogon-Dienst dem DNS-Server
dynamisch hinzufügt. Solche Informationen können Sie rasch durch Starten und
Stoppen des Netlogon-Dienstes neu registrieren.
Fallstudie: DNS für Sonnenschein-Brauerei

implementieren

Bei Betrachtung der zugrunde liegenden Probleme erkennen Sie bald einige
wenige Schlüsselfragen. Die folgenden Punkte benennen die wichtigsten der
Schlüsselfragen:
씰 Es gibt einige Standorte mit langsamen Verbindungen.
씰 Bei den Standorten, an denen Notebooks von den Benutzern der Ge-
schäftsleitung und dem Vertrieb eingesetzt werden, werden IP-Adressen
verschoben und geändert.
씰 Es gibt fünf Domänen, bei denen Sie für eine Auflösung sorgen müssen.
씰 Es muss auch für eine Auflösung von externen Adressen gesorgt werden.
씰 Die Serveradressen tendieren dazu, statisch zu bleiben.
씰 Einige der Systeme im Netzwerk sind UNIX-Systeme und werden keine
Clients von Active Directory.
씰 Einige der internen Anwendungen sind weborientiert und müssen von

Ihnen ins DNS aufgenommen werden.
씰 Sie müssen für eine dynamische Registrierung von Computern sorgen.
씰 Sie müssen für eine Kontrolle der Replikation sorgen.
Sie haben in diesem Kapitel erfahren, wie DNS arbeitet und in Windows 2000
Active Directory eingesetzt wird. Da Sie also jetzt über Hintergrundwissen
über dieses Thema verfügen, wird es Zeit, das Gelernte auf die Praxis anzuwen-
den. Die Fallstudie wird Ihnen zeigen, wie DNS in der Sonnenschein-Brauerei
konfiguriert wird.
Bevor Sie Active Directory installieren und Ihren ersten Benutzer erstellen
können, müssen Sie sicher sein, dass Sie über eine betriebsbereite DNS-Struk-
tur verfügen. Wie Sie sich vielleicht noch aus der Fallstudie des Kapitels 1 erin-
nern, haben die Netzwerkdesigner die Organisation so aufgeteilt, dass sich aus
dieser Art der Aufteilung fünf verschiedene Domänen ergeben. Jetzt müssen
Sie an die praktische Seite des Designs herangehen und schauen, wie Sie eine
Namensauflösung über alle Domänen und Standorte hinweg, aus denen die
Sonnenschein-Brauerei besteht, gewährleisten.
Situationsanalyse
Die beste Wahl in diesem Fall ist eine Active Directory-integrierte Zone für die
Stammdomäne. Die anderen Domänen werden untergeordnete Domänen dieser
Domäne.
Ganz offensichtlich müssen Sie eine Domäne erstellen, die von Active Direc-
tory genutzt werden kann. In diesem Fall werden die Windows-2000-DNS-Ser-
ver, die gleichzeitig Domänencontroller sind, DNS bearbeiten. Der erste Server
wird installiert und DNS auf diesem Server geladen. Dieser Server wird gleich-
zeitig der Server sein, den Sie als Ersten in Ihrer Struktur installieren. Nachdem
Sie Active Directory installiert haben, werden Sie die Zone in eine Active
Directory-integrierte Zone umwandeln und dafür sorgen, dass auf allen Domä-
nencontrollern für die Stammdomäne DNS installiert wird.
Zusammenfassung 93
Dies erfordert, dass Sie einen Domänencontroller für die Stammdomäne an

jedem Standort installieren. Auf der Plusseite befindet sich jedoch die Tatsa-
che, dass eine Active Directory-integrierte Domäne eine Multimaster-Replika-
tion verwendet. Dies bedeutet, dass ein Benutzer, der sich beispielsweise in das
Büro in Viktoria einwählt, nicht bei einem Server in Ottawa, sondern beim
DNS-Server in Viktoria registriert wird. Außerdem werden Sie in der Lage
sein, die Replikation unter Verwendung derselben Standortverknüpfungen kon-
trollieren zu können, die auch zur Kontrolle aller anderen Replikationsformen
erstellt worden sind.
Da die einzigen Adressen, die sich ändern werden, nur diejenigen der Note-
book-Benutzer sein werden, wird die nicht unverzüglich stattfindende Replika-
tion kein ernstes Problem darstellen. Indem Sie die Zone mit einem größeren
Aktualisierungsintervall konfigurieren, werden angemeldete Notebook-Benut-
zer wahrscheinlich schon wieder verschwunden sein, bevor ihre Einträge über-
haupt repliziert werden können.
Die Anforderungen an die UNIX-Server und die weborientierten Netzwerkan-
wendungen werden berücksichtigt, weil Sie einer Active Directory-integrierten
Zone andere Einträge hinzufügen können.
Übrig bleibt nur noch die Frage nach der Auflösung externer Adressen. Dies
erledigen Sie einfach dadurch, dass Sie den DNS-Server so konfigurieren, dass
er die Anforderungen durch die Firewall zu einem Cache-Only-Server außer-
halb des Netzwerks weiterleitet. Dies stellt sicher, dass der Domänencontroller
mit der Active Directory-integrierten Zone nicht exponiert wird und trotzdem
noch in der Lage ist, externe Adressen aufzulösen.
Zusammenfassung
Eine vollständige Diskussion des DNS-Dienstes, der Bestandteil von Windows

2000 ist, konnte dieses Kapitel nicht bieten. Es hat Ihnen jedoch die Grundlagenin-
formationen vermittelt, die Sie kennen müssen, um die Zusammenarbeit von DNS-
Dienst und Active Directory herzustellen. Die entscheidenden Punkte, die Sie im
Hinblick auf die Installation von Active Directory berücksichtigen müssen, lauten:
씰 Damit Active Directory arbeitet, muss der DNS-Server SRV-Einträge und

nach Möglichkeit dynamische Aktualisierungen unterstützen.
씰 Bei der Integration einer Zone in Active Directory wird die Zoneninforma-
tion in Active Directory gespeichert. Active Directory übernimmt dann die
Handhabung der Sicherheit und Replikation.
씰 Es gibt verschiedene Werkzeuge, die bei der Fehlerbehebung des DNS unter-
stützen, wie etwa das Snap-In DNS, IPCONFIG und NSLOOKUP.
Schlüsselbegriffe
쎲 Active Directory-integriert 쎲 Namenserver
쎲 Aufräumvorgang 쎲 Namespace
쎲 Autoritätsursprung 쎲 Netlogon
(SOA, Start Of Authority)
쎲 Benachrichtigung 쎲 Nslookup
쎲 Caching-Server 쎲 Primärer Server

쎲 Dynamic Host Configuration 쎲 Rekursive Anforderung
Protocol (DHCP)
쎲 Dynamische Aktualisierungen 쎲 Resolver
쎲 Forward-Lookup 쎲 Reverse-Lookup
쎲 Fully Qualified Domain Name 쎲 Sekundärer Server
(FQDN)
쎲 Gültigkeitsdauer 쎲 Service-Einträge (SRV)
(TTL, Time To Live)
쎲 Iterative Anforderung 쎲 Windows Internet Name
Service (WINS)
쎲 LDAP 쎲 Zone
쎲 Masterserver 쎲 Zonenübertragung
Lernzielkontrolle
Übungen
Die folgenden Übungen sollen Ihnen ein erstes Gefühl für die Erfahrungen vermit-
teln, die Ihnen in der beruflichen Praxis begegnen können, und die in diesem Kapi-
tel thematisch behandelt wurden. Es ist sehr empfehlenswert, diese Übungen ernst-
haft durchzuarbeiten und in Ihrer Systemumgebung zu bearbeiten, bevor Sie in die
echte Prüfung gehen.
Lernzielkontrolle 95
2.1 DNS-Dienst installieren

Diese Übung führt Sie durch die Schritte zum Installieren des DNS-Dienstes auf
einem Server mit Windows 2000. Es wird vorausgesetzt, dass Sie entweder Win-
dows 2000 Server oder Advanced Server auf einem System, welches nicht in der
Produktion verwendet wird, installiert haben.
ACHTUNG
Tests und Übungen!
Nehmen Sie Tests und Übungen niemals in einer Produktionsumgebung vor!
Geschätzte Zeit: 10 Minuten
1. Wählen Sie im Startmenü EINSTELLUNGEN/SYSTEMSTEUERUNG aus.

2. Klicken Sie im Fenster Systemsteuerung zweimal auf das Applet SOFTWARE.
3. Klicken Sie im Dialogfeld SOFTWARE auf die Schaltfläche WINDOWS-KOM-
PONENTEN HINZUFÜGEN/ENTFERNEN. Unter Umständen müssen Sie einen
Moment warten.
4. Der Assistent für Windows-Komponenten wird angezeigt. Wählen Sie NETZ-
WERKDIENSTE aus, und klicken Sie auf die Schaltfläche DETAILS.
5. Wählen Sie DNS-SERVER (DOMAIN NAME SYSTEM) aus, und klicken Sie auf OK.
6. Klicken Sie im Assistent für Windows-Komponenten auf WEITER. Sie sehen
nun das Dialogfeld KOMPONENTEN KONFIGURIEREN und werden unter Umstän-
den dazu aufgefordert, Ihre Installations-CD mit Windows 2000 einzulegen.
7. Zum Schluss erscheint der Abschlussbildschirm des Assistenten für Win-
dows-Komponenten, in dem Sie auf FERTIG STELLEN klicken können.
8. Klicken Sie im Dialogfeld SOFTWARE auf die Schaltfläche SCHLIESSEN. Da-
nach schließen Sie auch das Dialogfeld SYSTEMSTEUERUNG.
2.2 Zonen erstellen
Nach der Installation des DNS-Dienstes erstellen Sie nun die Reverse- und For-
ward-Lookupzonen. Diese Zonen werden in allen folgenden Übungen in diesem
Text verwendet werden.
1. Starten Sie das Snap-In DNS im Startmenü über PROGRAMME/VERWALTUNG/

DNS.
2. Blenden Sie Ihren Server ein, klicken Sie auf REVERSE-LOOKUPZONEN, und
klicken Sie dann mit der rechten Maustaste auf REVERSE-LOOKUPZONEN.
Wählen Sie im Kontextmenü NEUE ZONE aus. Nun wird der Assistent zum
Erstellen neuer Zonen gestartet.
3. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER.
4. Wählen Sie im nächsten Bildschirm PRIMÄR (STANDARD) aus, und klicken
Sie auf WEITER.
5. Geben Sie den ersten Teil der IP-Adresse des Servers ein. Verwenden Sie
zum Suchen der Adresse ipconfig über die Befehlszeile. Klicken Sie dann
auf WEITER.
HINWEIS
Was Sie bei Reverse-Zone eingeben müssen
Dieses Dialogfeld kann auf den ersten Blick verwirrend aussehen. Sein Inhalt
hängt davon ab, wie Sie mit dem Internet verbunden sind bzw. wie Ihre Verbin-
dungen überhaupt aussehen. Als Faustregel sollten Sie, sofern Ihre Adresse mit
dem Wert 1 bis 126 beginnt, nur die erste Nummer eingeben. Beginnt die
Adresse dagegen mit dem Wert 128 bis 191, sollten Sie die ersten beiden Num-
mern eingeben. Liegt Ihre Adresse darüber, geben Sie die ersten drei Nummern
ein. Falls Ihre Adresse beispielsweise 173.23.92.2 lautet, geben Sie also 173.23
ein.
6. Beachten Sie, dass der Dateiname automatisch für Sie in das Eingabefeld
NEUE DATEI MIT DIESEM DATEINAMEN ERSTELLEN eingetragen wird. Klicken
Sie zum Fortfahren auf WEITER.
7. Bestätigen Sie im nächsten Bildschirm Ihre Eingaben und klicken Sie auf
FERTIG STELLEN.
8. Klicken Sie auf FORWARD-LOOKUPZONEN, und anschließend mit der rechten
Maustaste auf FORWARD-LOOKUPZONEN. Wählen Sie im Kontextmenü NEUE
ZONE aus. Nun wird wieder der Assistent zum Erstellen neuer Zonen gestar-
tet.
10. Wählen Sie im nächsten Bildschirm PRIMÄR (STANDARD) aus, und klicken
Sie auf WEITER.
11. Geben Sie im Eingabefeld NAME einen Namen für Ihre Domäne ein, z.B.
TestDom.local. Klicken Sie auf WEITER.
12. Beachten Sie im folgenden Bildschirm den vorgeschlagenen Dateinamen:
testdom.local.dns. Klicken Sie zur Übernahme dieses Dateinamens auf WEI-
TER.
13. Bestätigen Sie im nächsten Bildschirm Ihre Eingaben, und klicken Sie auf
WEITER, wenn diese korrekt sind.
2.3 Dynamische Aktualisierung konfigurieren

Da Sie nun eine Forward- und Reverse-Lookupzone haben, müssen Sie diese Zonen
für dynamische Aktualisierungen konfigurieren. Informationen dazu finden Sie
unter dem Prüfungsthema »Zonen für dynamische Aktualisierungen konfigurieren«.
Gleichzeitig bereiten Sie Ihr System damit auf die Installation von Active Directory
vor.
1. Klicken Sie mit der rechten Maustaste auf der Reverse-Lookupzone, die Sie
erstellt haben, und wählen Sie EIGENSCHAFTEN aus.
2. Sorgen Sie auf der Registerkarte ALLGEMEIN dafür, dass das Feld DYNAMI-
SCHE AKTUALISIERUNG ZULASSEN auf JA eingestellt ist.
3. Klicken Sie zum Schließen der Eigenschaften auf OK.

4. Wiederholen Sie die Schritte 1 bis 3 für die Forward-Lookupzone.
2.4 Zonenübertragung konfigurieren

In dieser Übung werden Sie den DNS-Server Ihres Windows-2000-Systems so ein-
richten, dass er zu einem sekundären Server wird. Die Übung erfordert, dass Sie ein
zweites System haben, welches als DNS-Server arbeitet, damit Sie die Informatio-
nen übertragen können. Falls Sie also einen zweiten PC haben, können Sie mit den
Schritten in den Übungen 1 und 2 einen weiteren DNS-Server einrichten. Achten
Sie darauf, dass Sie einen anderen Domänennamen verwenden. Falls Sie schon eine
andere Domäne haben, können Sie diese nehmen. Wenn nicht, benutzen Sie die
Standardwerte der Übung. Sie werden zwar eine Fehlermeldung erhalten, aber
wenigstens alle Schritte durcharbeiten können. Diese Übung wird Ihnen beim Prü-
fungsthema »Replikation der DNS-Daten verwalten« helfen.
1. Klicken Sie mit der rechten Maustaste auf FORWARD-LOOKUPZONEN und

wählen Sie NEUE ZONE aus.
3. Wählen SIE PRIMÄR (STANDARD) aus, und klicken Sie auf WEITER.
4. Geben Sie den Namen der zu übertragenden Domäne ein (der Name, den Sie
auf dem anderen PC erstellt haben), oder verwenden Sie LADI.com als Test-
domänennamen. Klicken Sie zum Fortfahren auf WEITER.
5. Geben Sie im Feld IP-Adresse die IP-Adresse Ihres zweiten DNS-Servers

ein, oder nehmen Sie, sofern Sie keine haben, den Wert 10.10.10.10. Klicken
Sie auf HINZUFÜGEN. Klicken Sie zum Fortfahren auf WEITER.
6. Überprüfen Sie im Abschlussbildschirm Ihre Eingaben und klicken Sie auf
FERTIG STELLEN.
7. Wenn Sie eine echte Zone übertragen, klicken Sie die neue Zone in der DNS-
Konsole an.
8. Falls noch keine Informationen übertragen worden sind, klicken Sie mit der
rechten Maustaste, und wählen im Kontextmenü NEU LADEN aus. Drücken
Sie nach etwa einer Minute [F5] zum Aktualisieren der Anzeige.
Wiederholungsfragen
1. Wie werden dynamische Einträge auf dem DNS-Server erstellt?
2. Wie lautet der Dateiname der Datei, die die Einträge enthält, die vom Net-
logon-Dienst registriert werden?
3. Welche zwei Arten von Übertragungen können zwischen DNS-Servern statt-
finden, die mit Standardzonen konfiguriert sind?
4. Wie werden Einträge im Modus Active Directory-integriert repliziert?
5. Welche Typen von Einträgen muss ein DNS-Server unterstützen, wenn er
von Active Directory verwendet wird?
6. Was ist der Unterschied zwischen einem Masterserver und einem primären
Server?
Prüfungsfragen
1. Franz versucht ein Problem mit einem DNS-Server zu beseitigen. Er hat ei-
nen Server mit Windows 2000 als einen DNS-Server konfiguriert, den er
nach einem Wechsel von einer Domänenstruktur mit Windows NT 4.0 in
eine Baumstruktur von Windows 2000 Active Directory weiterverwenden
will.
Als er den vorhandenen primären Domänencontroller von NT 4.0 aktuali-
siert, läuft am Anfang noch alles zufriedenstellend. An einem bestimmten
Punkt der Installation jedoch bietet ihm das System die Installation des DNS-
Servers auf dem System an, welches er gerade aktualisiert. Was kann die Ur-
sache dafür sein (wählen Sie jede zutreffende Antwort aus)?
A. Der PDC ist zur Verwendung eines anderen DNS-Servers konfiguriert

worden.
B. Der DNS-Server ist nicht für dynamische Aktualisierungen konfiguriert.

C. Es wurde die falsche DNS-Version installiert.

D. Dieses Verhalten ist völlig normal.
2. Gert installiert DNS auf einem UNIX-System und benutzt dabei die ältere
BIND-Version 4.9.6. Er konfiguriert den neuen Server als sekundär für die
Zone, die er für die gerade laufende Installation von Windows 2000 konfigu-
riert hat. Als die Zonenübertragung stattfindet, entstehen mehrere Einträge
mit einem anscheinend unsinnigen Inhalt. Was kann die Ursache dafür sein?
A. BIND darf nicht für einen Windows-2000-DNS-Server verwendet werden.
B. Der Windows-2000-DNS-Server befindet sich im Modus Active Directo-
ry-integriert.
C. Der UNIX-Server unterstützt keinen Unicode-Zeichensatz.
D. Die verwendete BIND-Version unterstützt keine SRV-Einträge.
3. Brian richtet eine Testumgebung für das Installationsprojekt für Windows

2000 in seinem Unternehmen ein. Er konfiguriert mehrere Domänencontrol-
ler. Jeder von ihnen soll mit DNS laufen. Auf einem der Server ist die Zone
bereits als Active Directory-integrierte Zone konfiguriert. Was muss er tun,
um die Zonenübertragungen zu konfigurieren?
A. Er muss den vorhandenen DNS-Server als primären und die anderen als
sekundäre Server konfigurieren.
B. Er muss den vorhandenen DNS-Server als primären Server, einen DNS-

Server als einen Masterserver, und alle anderen als sekundäre Server kon-
figurieren.
C. Er sollte die Zone auf den anderen Servern beim Hinzufügen als Active
Directory-integriert konfigurieren.
D. Gar nichts. Active Directory übernimmt automatisch die Replikation.

4. Judy benutzt für das DNS in ihrer Umgebung Server mit Windows 2000. Bei
den Servern handelt es sich um Standalone-Server, die sie für Serveranwen-
dungen einsetzt. Auf einem der Server möchte sie eine neue Zone namens
MS-test.int einrichten. Wie sollte sie diese Zone konfigurieren?
A. Primär (Standard)
B. Sekundär (Standard)
C. Active Directory-integriert
D. BIND-kompatibel
5. Erich versucht ein Problem auf einem DNS-Server mit Windows 2000 zu lö-
sen, der anscheinend keine Std. Query packets auflöst, die an ihn gesendet
werden. Was sollte er protokollieren, um die Fehlerursache zu finden (wählen
Sie alle zutreffenden Antworten aus)?
A. Abfragen
B. Benachrichtigen
C. Fragen
D. TCP
6. Sabine denkt darüber nach, wie sie DNS in ihrem Unternehmen konfigurieren
muss, um Windows 2000 Active Directory in die bestehende DNS-Konfigu-
ration zu integrieren. Welche Möglichkeiten stehen ihr zur Verfügung?
A. Sie kann dieselbe Domäne sowohl intern als auch extern einsetzen.
B. Sie kann eine Unterdomäne der öffentlichen Domäne verwenden.
C. Sie kann eine separate Domäne mit einem nicht standardmäßigen Suffix
verwenden.
D. Alles oben Genannte ist möglich.
7. Sam installiert den ersten Domänencontroller in einer neuen Domäne, der
zum Stamm der neuen Organisationsstruktur werden soll. Der verwendete
DNS-Server unterstützt SRV-Einträge, aber keine dynamischen Aktualisie-
rungen. Was muss er nach der Installation des neuen Domänencontrollers
machen, um sicherzustellen, dass sich die Einträge alle korrekt auf dem DNS-
Server befinden?
A. Er muss den Befehl ipconfig/registerdns verwenden.
B. Er muss die erforderlichen Einträge manuell erstellen.
C. Er sollte den Netlogon-Dienst stoppen und erneut starten.
D. Diesen DNS-Server darf er nicht benutzen.
8. Ihr Unternehmen hat sieben Standorte überall in der Welt. Sie dokumentieren
gerade die vorhandene DNS-Struktur für die Auflösung interner Namen. Es
gibt einen primären DNS-Server, der sich im Hauptbüro in Ottawa befindet.
Darüber hinaus haben Sie einen sekundären DNS-Server in den folgenden
Büros: Calgary, Washington, Mexico City, Dundee, Paris und Bonn. Die Ser-
ver in Paris und Bonn übertragen die Zone vom Dundee-Server, während der
Server in Mexico City die Zone vom Server in Washington bekommt. Wel-
che Server können Sie in Ihrer Dokumentation als Masterserver kennzeich-
nen?
A. Nur Ottawa.
B. Ottawa, Dundee und Washington.
C. Alle Server.
D. Masterserver gibt es überhaupt nicht.
9. Sie setzen gegenwärtig einen BIND-Server für die interne Namensauflösung
ein. Sie haben etwa 300 interne Server in der Zonendatei des BIND-Servers
und möchten diese Einträge zum neuen Windows-2000-DNS-Server ver-
schieben, den Sie gerade installiert haben. Welches der folgenden Verfahren
erledigt diese Aufgabe am besten?
A. Kopieren Sie vor dem Erstellen der Zone die Domänendatei in das Ver-
zeichnis winnt/system32/dns auf dem Windows-2000-Server.
B. Kopieren Sie nach dem Erstellen der Zone die Domänendatei in das Ver-
zeichnis winnt/system32/dns auf dem Windows-2000-Server.
C. Kopieren Sie die Datei an eine beliebige Stelle auf dem Windows-2000-
Server und verwenden Sie dann das Snap-In DNS zum Importieren der
Datei.
D. Sie müssen alle Informationen noch einmal manuell eingeben.
10. Sie befinden sich gerade in einem Zweigstellenbüro, welches neu eingerichtet
wird. Sie richten den DNS-Server ein, der die lokale Auflösung übernimmt,
und konfigurieren ihn als sekundären DNS-Server gegenüber ihrem primären
Server im Hauptbüro. Danach wollen Sie die Zone übertragen, aber die Sache
klappt nicht. Was ist die wahrscheinliche Ursache dieses Problems?
A. Sie müssen den lokalen Server für IP-Weiterleitung konfigurieren.
B. Sie müssen den primären Server mit der Adresse des sekundären Servers
konfigurieren.
C. Sie müssen RIP V2, das Protokoll zum Übertragen von Zonen, installie-
ren.
D. Sie können keinen sekundären Server erstellen, wenn der primäre Server
Active Directory-integriert ist.
11. Sie arbeiten an einem Server, der immer wiederkehrende Probleme aufweist;
beispielsweise können die Benutzer den Server manchmal nicht finden. In
diesem Fall hat der Administrator regelmäßig den PC einfach neu gestartet,
um das Problem zu beseitigen. Der Server befindet sich in einem Zweig-
stellenbüro und arbeitet mit einem DNS-Server in Ihrem Hauptbüro zusam-
men. Welcher der folgenden Punkte kann das Problem ohne Neustart des PC
lösen?
A. Stoppen und starten Sie den Netlogon-Dienst.
B. Verwenden Sie den Befehl ipconfig/registerdns.
C. Verwenden Sie den Befehl netstat/updatedns.
D. Verwenden Sie den Befehl regwins.

12. Ihr Vorgesetzter hat Sie gebeten, nach einem Problem zu schauen. Jedes Mal,
wenn er den Befehl NSLOOKUP verwendet, bekommt er einen Zeitüber-
schreitungsfehler. Dies ist zwar nicht kritisch, da er die gewünschte Auflö-
sung trotzdem erhält, aber es ist irritierend. Was sollten Sie überprüfen?
A. Den DNS-Zonentyp, in dem der Fehler bei der Abfrage auftritt.
B. Die Konfiguration des DNS-Servers.
C. Die Konfiguration der Forward-Lookupzonen.

D. Die Konfiguration der Reverse-Lookupzonen.
13. Sie haben einen zentralen DNS-Server konfiguriert, der über Ihre Firewall
auf das Internet zugreifen kann. Sie wollen über diesen einen Server die Na-
mensauflösung innerhalb Ihres Netzwerks für Internetadressen realisieren,
um das Caching zu optimieren und redundanten Netzwerkverkehr ins Internet
zu minimieren. Sie haben DNS-Server, die lokal zu den Subnetzen im Netz-
werk sind, den Namen aber über eine lokale Zonendatei oder durch Senden
der Anforderung an den zentralen Server auflösen sollen. Welche Optionen
sollten Sie auf den lokalen DNS-Servern einstellen (wählen Sie alle zutref-
fenden Antworten aus)?
A. Stellen Sie die Adresse von ein oder mehr sekundären Servern ein.
B. Aktivieren Sie die Option WEITERLEITUNG AKTIVIEREN, und geben Sie die
IP-Adresse des zentralen Servers ein.
C. Aktivieren Sie die Option WINS-FORWARDLOOKUP und geben Sie die
IP-Adresse des zentralen Servers ein.
D. Aktivieren Sie die Option REKURSIONSVORGANG DEAKTIVIERT.
14. Sie planen die Implementierung von Active Directory in Ihrem Unternehmen.
Sie suchen nach Möglichkeiten zur Integration der internen und externen
Unternehmensnamen. Das Unternehmen hat bereits den Namen MTP.com re-
gistriert und verwendet ihn gegenwärtig im Internet. Man wünscht im Unter-
nehmen jedoch nicht, dass das interne Netzwerk außerhalb des Unternehmens
sichtbar sein soll. Welche der folgenden Methoden zur Integration der DNS-
Namen sollten Sie verwenden?
A. Verwenden Sie denselben Domänennamen intern und extern.
B. Verwenden Sie intern eine Unterdomäne Ihres externen Namens.
C. Erstellen Sie eine Struktur in Ihrer Gesamtstruktur für den
Internet-Namen.
D. Verwenden Sie intern einen völlig anderen Namen als extern.

15. Sie suchen die Ursache eines Fehlers beim DNS-Server. Der Server scheint
nicht in der Lage zu sein, die Adressen für einige der Hosts im Netzwerk auf-
zulösen. Ansonsten arbeitet er aber normal. Im Snap-In DNS sieht alles okay
aus. Was sollten Sie machen, um der Ursache für das Unvermögen des Ser-
vers, die Adressen aufzulösen, auf die Spur zu kommen?
A. Setzen Sie den Befehl Netstat ein.
B. Setzen Sie den Netzwerkmonitor ein.
C. Setzen Sie den Befehl Nslookup ein.
D. Verwenden Sie die Registerkarte ÜBERWACHEN in den Eigenschaften des

DNS-Servers.

1. Dynamische Aktualisierungen können auf dem DNS-Server entweder von ei-
nem Client vorgenommen werden, der in der Lage ist, die Aktualisierung
durchzuführen, oder von dem DHCP-Server, der den Client mit der Adresse
versorgt hat. Siehe dazu den Abschnitt »Der Aktualisierungsprozess«.
2. Der Netlogon-Dienst auf jedem Domänencontroller erstellt eine Reihe von
Einträgen im DNS-Server, der die Clients in die Lage versetzt, die von ihm
im Netzwerk angebotenen Dienste ausfindig zu machen. Diese Einträge wer-
den in einer Datei namens NETLOGON.DNS im Verzeichnis system-
root\system32\dns gespeichert. Siehe dazu den Abschnitt »DNS und Active
Directory integrieren«.
3. In Windows 2000 unterstützt der DNS-Server sowohl normale und vollstän-
dige (AXFR) als auch inkrementelle Übertragungen (IXFR) auf der Grund-
lage der Seriennummer der Zonendatei, die sich auf den Servern befindet.
Siehe dazu den Abschnitt »Zoneninformationen übertragen«.
4. Wenn eine Zone als Active Directory-integriert konfiguriert ist, wird die Rep-
likation von Active Directory übernommen und findet standardmäßig alle
5 Minuten innerhalb eines Standorts statt. Sie wird über die Standortver-
knüpfungen zwischen den Standorten kontrolliert. Der bzw. die DNS-Server
fragen standardmäßig alle 15 Minuten nach Aktualisierungen der Informatio-
nen. Siehe dazu den Abschnitt »Zoneninformationen übertragen«.
5. Damit ein DNS-Server mit Active Directory zusammenarbeitet, muss er
SRVs (Service-Locatoreinträge) unterstützen. Darüber hinaus sollte er dyna-
mische Aktualisierungen unterstützen, muss dies aber nicht unbedingt. Siehe
dazu den Abschnitt »DNS und Active Directory integrieren«.
6. Der primäre Server enthält die originale aktualisierbare Zonendatei. Diese
Datei wird an sekundäre Server überall im Unternehmen kopiert. In manchen
Fällen erhält ein sekundärer Server seine Kopie der Zonendatei von einem
anderen sekundären Server, der dann zu seinem Masterserver wird. Siehe
dazu den Abschnitt »Zoneninformationen übertragen«.
Antworten zu den Prüfungsfragen
1. A, B. In diesem Fall ist die wahrscheinlichste Ursache die Tatsache, dass der
Server keine dynamischen Aktualisierungen zulässt. Die Installationsroutine
überprüft, ob der konfigurierte DNS-Server dynamische Aktualisierungen
unterstützt. Falls nein, bietet die Routine eine lokale Installation von DNS an.
Die andere Möglichkeit besteht darin, dass der Server mit Windows NT 4.0
in seiner TCP/IP-Konfiguration nicht den neuen Windows-2000-Server als
DNS-Server verwendet hat. Auch hier stellt das System fest, dass der Server
keine dynamische Aktualisierung unterstützt, und bietet die Installation von
DNS an. Antwort C ist offensichtlich nicht richtig, weil es nur eine Version
von DNS gibt, die in Windows 2000 zur Verfügung steht. Auch Antwort D
ist falsch, weil dies eine Warnung ist, dass der DNS-Server nicht zur Durch-
führung von Aktualisierungen in der Lage ist. Siehe dazu den Abschnitt
»Fehlerbehebung im DNS«.
2. C. Da die Übertragung nicht fehlschlug, können Sie die Antworten A, B und
D ausschließen. Als mögliche Antwort bleibt daher nur C übrig. Dies ge-
schieht in Abhängigkeit von der eingesetzten Version und dem verwendeten
Betriebssystem. Siehe dazu den Abschnitt »Zoneninformationen übertragen«.
3. D. Da dies eine Active Directory-integrierte Zone ist, gibt es weder primäre
noch sekundäre Server. Denken Sie auch daran, dass diese eigentlich primär
(Standard) und sekundär (Standard) genannt werden, was bedeutet, dass A
und B nicht richtig sein können. Die Antwort D stimmt deshalb, weil die
Konfiguration automatisch an jeden neuen Domänencontroller repliziert
wird. Die Antwort C kann einen Replikationskonflikt hervorrufen und erfor-

dert außerdem mehr Arbeit als nötig. Siehe dazu den Abschnitt »Zoneninfor-
mationen übertragen«.
4. A. In diesem Fall verwenden Sie nicht notwendigerweise Active Directory,
da das System, auf dem DNS läuft, nicht notwendigerweise ein Domänen-
controller ist. Aus diesem Grund ist Antwort C nicht richtig. Da alle Zonen-
typen, die Sie erstellen können, von einem BIND-Server unterstützt werden
können, ist die Antwort D nicht korrekt. Übrig bleiben daher nur A oder B.
Da die Zone noch nicht existiert, gibt es nichts zum Übertragen, wodurch A
automatisch zur einzigen Antwort wird. Siehe dazu den Abschnitt »Zonenin-
formationen übertragen«.
5. A, C. Erich sollte die Abfragen, Fragen und Antworten protokollieren, um
das Geschehen zu verfolgen. Es besteht kein Grund dazu, Benachrichtigun-
gen zu protokollieren, weil diese einem sekundären Server einfach nur mittei-
len, dass eine Zonendatei kopiert wird. Auch die Protokollierung von TCP
könnte zu fehlerhaften oder doppelten Informationen führen. Siehe dazu den
Abschnitt »Fehlerbehebung im DNS«.
6. D. Alles sind zulässige Wege zur Integration der Zone, die Sie für Active Di-
rectory verwenden wollen. Siehe dazu den Abschnitt »DNS und Active Di-
rectory integrieren«.
7. B. In einem Fall, in dem Sie einen DNS-Server verwenden, der keine dyna-
mischen Aktualisierungen unterstützt, müssen Sie die Einträge für den Server
des globalen Katalogs, die LDAP- und Kerberos-Dienste erstellen. Die
spezifischen Einträge, die hierfür erforderlich sind, werden in der Datei Net-
logon.dns aufgeführt. ipconfig/registerdns werden zum Registrieren des
Computernamens beim DNS-Server verwendet, sofern dieser dynamisch ist.
Das Stoppen und Starten von Netlogon zum Neuregistrieren der Dienste wäre
möglich, funktioniert aber, wie schon erwähnt, nur mit DNS-Servern, die dy-
namische Aktualisierungen durchführen. Siehe dazu den Abschnitt »DNS
und Active Directory integrieren«.
8. B. Ein Masterserver ist der Server, von dem ein sekundärer Server seine Ko-
pie der Zonendatei bekommt. Der Ottawa-Server ist der Master für die Server
in Calgary, Washington und Dundee. Der Washington-Server ist der Master-
server für die Server in Mexico City, während der Dundee-Server der Master-
server für Paris und Bonn ist. Die Antwort A stellt die Definition eines
primären Servers dar, während die Antwort C die Definition eines autoritati-
ven Servers ist (ein Server, der eine Abfrage über eine Domäne beantworten
kann). Siehe dazu den Abschnitt »Zoneninformationen übertragen«.
9. A. Der einfachste Weg, dies zu erledigen, besteht darin, die Daten ins ange-
gebene Verzeichnis zu kopieren, und dann die Zonendatei im Snap-In DNS
zu erstellen. Während des Vorgangs der Erstellung haben Sie die Gelegen-
heit, der Datei einen Namen zu geben. Wählen Sie dazu die vorhandene Datei
aus; die Einträge darin sollten sichtbar sein. Sie können den Server außerdem
als sekundär konfigurieren und die Zone übertragen; danach können Sie dann
die Zone auf primär ändern. Wenn Sie die Datei nach dem Erstellen der Zone
kopieren, wird sie bei der nächsten Aktualisierung der Zonendateien vom
System überschrieben. Die Antwort C ist falsch, weil es keinen Importbefehl
gibt. Siehe dazu den Abschnitt »Primär«.
10. B. Die wahrscheinlichste Ursache des Problems besteht darin, dass die primä-
re oder Active Directory-integrierte Zone nur zur Übertragung der Zone an
bekannte Server konfiguriert ist. Dies bedeutet, dass Sie sich mit dem primä-
ren oder einem Active Directory-integrierten Server verbinden müssen, und
den neuen Server als sekundär konfigurieren müssen. Die Konfiguration des
Servers als einen IP-Weiterleiter würde zwar eine Auflösung erlauben, je-
doch müsste der gesamte Auflösungsverkehr über die WAN-Verbindung lau-
fen, während der lokale Server keine Kopie der Zonendateien besäße. RIP V2
ist ein Routingprotokoll und hat nichts mit Zonenübertragungen zu tun. Siehe
dazu den Abschnitt »Sekundär«.
11. B. Das Problem hier besteht darin, dass der Server dynamisch beim Server im
Hauptbüro registriert ist. Dies kann dazu führen, dass ein Server nicht korrekt
registriert wird. In diesem Fall neigen Sie vielleicht zu den Antworten A und
B, was jedoch nicht zutrifft, da in der Frage nicht erwähnt wird, dass es sich
um einen Domänencontroller handelt. Der Befehl netstat besitzt keinen
Schalter updatedns, und einen Befehl regwins gibt es nicht. Siehe dazu den
Abschnitt »IPCONFIG verwenden«.
12. D. Dieser Fehler ist nur allzu bekannt und wird vom DNS-Server verursacht,
der einen Reverse-Lookup auf sich selbst durchzuführen versucht. Das Prob-
lem liegt in der Reverse-Lookupzonendatei, die entweder fehlt oder keinen
Eintrag für den DNS-Server enthält. Da Ihr Vorgesetzter diesen Fehler immer
wieder erhält, ist der Typ der Abfrage nicht von Bedeutung. Es gibt keine
Konfigurationsoption, die den Reverse-Lookup stoppt, weshalb Sie das Prob-
lem auch nicht über die Konfiguration beheben können. Da Ihr Vorgesetzter
außerdem die Auflösung erhält, liegt der Fehler auch nicht in der Forward-
Lookupzone. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«.
13. B, D. In diesem Fall möchten Sie, dass der Server Anforderungen an den zen-
tralen DNS-Server weiterleitet. Aus diesem Grunde müssen Sie die Weiter-
leitung aktivieren. Da Sie nicht wünschen werden, dass dieser Server eigene
Abfragen ins Internet ausführt, müssen Sie die Rekursion abschalten. Es gibt
keinen Grund dafür, den sekundären Server für diese Aufgabe zu verwenden.
WINS hat nichts mit dem Auflösen von Internet-Namen zu tun, die FQDNs
sind. Siehe dazu den Abschnitt »Rollen für DNS-Server«.
14. D. In diesem Fall halten Sie die beiden Zonen komplett voneinander getrennt.
Der beste Weg, dies zu erreichen, besteht in zwei verschiedenen Domänen
wie etwa MTP.com und MTP.local. .local ist eine Empfehlung von Micro-
soft. Die interne und externe Verwendung desselben Namens kann dazu füh-
ren, dass der Namespace versehentlich hinauswandert. Die Verwendung einer
Unterdomäne kann dasselbe Problem verursachen. Und schließlich würde das
Erstellen einer Subnetzdomäne für das Internet überhaupt nicht funktionie-
ren. Siehe dazu den Abschnitt »DNS und Active Directory integrieren«.
15. B. Der Befehl netstat ermöglicht Ihnen nicht nur die Fehlersuche im DNS,
sondern wird auch zur Überprüfung des Netzwerkstatus verwendet. Sie kön-
nen mit ihm rasch die Verbindungen zu anderen DNS-Servern überprüfen,
aber das ist auch schon alles. Mit dem Programm NSLOOKUP können Sie
den Server daraufhin abfragen, ob der Eintrag dort ist. Diese Lösung wird
wohl nicht funktionieren, da auch andere Abfragen den Eintrag nicht gefun-
den haben. Natürlich sollten Sie zunächst einmal das Snap-In DNS auf den
Eintrag und die Serverkonfiguration hin überprüfen. Über die Registerkarte
ÜBERWACHEN können Sie erkennen, ob das System eine Abfrage durchfüh-
ren kann oder nicht. Der Netzwerkmonitor ist das einzige Programm, mit
dem Sie die Anforderung, die zum DNS-Server und zurück gesendet wird,
verfolgen können. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«.
Weiterführende Literaturhinweise und Quellen

Windows 2000 Server Resource Kit TCP/IP Core Networking Guide.
Microsoft, 2000.
Windows 2000 Domain Name System Overview. Whitepaper.
Microsoft, 2000.
Karanjit Siyan: TCP/IP unter Windows 2000, Markt+Technik-Verlag 2001
Eine Active Directory-
Struktur aufbauen
Lernziele
3
Bis hierhin haben Sie eine Einführung in die Konzepte von Active Directory erhal-
ten. Sie hatten Gelegenheit, sich noch einmal mit DNS zu beschäftigen. Nun wird es
Zeit, dass Sie mit der konkreten Arbeit am Active Directory beginnen. In diesem
Kapitel werden einige der Themen und Unterthemen aus den Lerneinheiten »Instal-
lieren, Konfigurieren und Fehlerbehebung von Active Directory« und »Verwalten,
Überwachen und Optimieren der Komponenten von Active Directory« behandelt.
Die anderen Themen und Unterthemen finden Sie in späteren Kapiteln.
Der erste Teil dieses Kapitels untersucht die logische Struktur von Active Directory.
Der letzte Teil dagegen zeigt, wie Sie eine Stammdomäne erstellen.
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von

Active Directory
씰 Installation von Active Directory überprüfen
씰 Standortverknüpfungsbrücke erstellen
씰 Server für globalen Katalog erstellen
Dieses Thema ist hauptsächlich aus dem Grunde einbezogen worden, um sicherzu-
stellen, dass Sie Active Directory installieren und gewährleisten können, dass es
110 Kapitel 3 Eine Active Directory- Struktur aufbauen
installiert ist. Das Thema wurde weiterhin mit aufgenommen, um sicherzustellen,

dass Sie eine Domäne in Entsprechung zum physischen Netzwerk konfigurieren
können. Sie sollten sämtliche Anforderungen an die Installation, hauptsächlich die
Anforderungen an den DNS-Server, kennen lernen. Sie sollten außerdem die Ände-
rungen verstehen, die durch die Installation am System vorgenommen werden.
Die Domänenkonfiguration in diesem Themas erwartet von Ihnen, dass Sie wissen,
wie Sie Active Directory im Netzwerk einrichten müssen. Hierzu gehört das Erstel-
len von Standorten, die wiederum aus einem oder mehreren Subnetzen bestehen,
und die anschließende Sicherstellung, dass die Replikation unter Verwendung von
Standortverknüpfungen und Standortverknüpfungsbrücken gewährleistet ist. Darü-
ber hinaus müssen Sie noch wissen, wie Sie ein Verbindungsobjekt erstellen. Mit
Verbindungsobjekten können Sie die vom System generierten Verbindungen über-
schreiben. Zum Schluss sollten Sie noch einen Server für einen globalen Katalog
erstellen können.
Verwalten und Fehlerbehebung der Replikation von Active Directory

씰 Standortinterne Replikation verwalten
씰 Standortübergreifende Replikation verwalten
Dieses Thema wurde einbezogen, damit sichergestellt ist, dass Sie mit dem Replika-
tionsprozess vertraut sind, und Fragen rund um die Replikation herum beurteilen
und beantworten können. Ein wichtiger Aspekt in der Verwaltung und Fehlerbehe-
bung der Active Directory-Replikation beinhaltet den Umgang mit dem Know-
ledge-Konsistenzprüfer und das Wissen darum, wie dieser beim Aufbau der Repli-
kationstopologie mit Standortverknüpfungen zusammenarbeitet. Des Weiteren
müssen Sie wissen, wie Sie die Replikationstopologie mit den NTDS kontrollieren.
Dieses Kapitel behandelt drei Hauptthemen: die logische und physische Struktur
und die Replikation von Active Directory. Damit Sie Daten und Informationen in
einem Netzwerk mit Active Directory problemlos bewegen können, sollten Sie
genau verstanden haben, wie die hier behandelten Punkte zusammenwirken. Achten
Sie insbesondere auf die folgenden Punkte:
씰 Installation von Domänencontrollern und deren Unterschiede in Abhängig-

keit von ihrer logischen Dislokation
씰 Erstellung und Einsatz von Standorten und Standortverknüpfungen
3.1 Einführung 111
씰 Rolle und Funktion des Knowledge-Konsistenzprüfers

씰 Wann die Replikation stattfindet, und wie sie arbeitet
씰 Wie Server mit dem globalen Katalog eingesetzt werden, und wo sie platziert
werden sollten
3.1 Einführung
Domänencontroller sind das Rückgrat des Netzwerks. Ihre korrekte Implementie-
rung stellt in jeder Implementation mit Windows 2000 den Schlüssel zum Erfolg
dar. In diesem Kapitel werden Sie erfahren, wie Domänencontroller eingeführt, und
die Replikation zwischen diesen Controllern konfiguriert wird. Damit Ihre Organi-
sation tadellos läuft, ist eine Replikation der Informationen sowohl der Struktur als
auch der Objekte von Active Directory erforderlich.
Das Kapitel beginnt mit einer Erörterung der logischen Strukturen, aus denen
Active Directory besteht, und wendet sich anschließend der Installation von Domä-
nencontrollern zu. Dann folgt die Einführung der physischen Umweltbedingungen –
die Diskussion dreht sich nun um Subnetze und Standorte. Das Ganze führt
abschließend zur Erörterung der Replikation von Active Directory sowohl innerhalb
als auch zwischen Standorten.
3.2 Grundlagen der logischen Struktur von

Active Directory
Einigen der folgenden Informationen sind Sie zwar schon begegnet, jedoch schadet
es nicht, einen näheren Blick auf die logischen Strukturen zu werfen, aus denen
Active Directory besteht.
Die Erörterung beginnt mit einem Überblick über Domänen und ihren Zweck, da sie
die Bausteine der logischen Struktur darstellen. Danach erfahren Sie, auf welche
Weise Sie Domänen in Strukturen zusammenfassen können, und wie Sie diese ggf.
so erweitern, dass sie eine Gesamtstruktur ergeben.
3.2.1 Domänen
Die Grundeinheit, mit der Sie immer zu tun haben werden, ist wie bei
Windows NT 4.0 die Domäne. Indem Sie Ihr Unternehmen in verschiedene Domä-
nen aufteilen, erzielen Sie folgende Vorteile:
씰 Domänen erlauben Ihnen eine Organisation von Objekten innerhalb einer

einzelnen Abteilung bzw. eines einzelnen Standorts. Innerhalb der Domäne
stehen sämtliche Informationen über die Objekte zur Verfügung.
씰 Domänen fungieren als Sicherheitsgrenze; d.h., ein Domänenadministrator

kann alle Ressourcen innerhalb der Domäne vollständig kontrollieren. Auf
der Domänenebene können Gruppenrichtlinien angewendet werden. Die
Gruppenrichtlinien legen fest, wie auf Ressourcen zugegriffen wird, wie sie
konfiguriert und verwendet werden.
씰 Domänenobjekte können anderen Domänen verfügbar gemacht und in Active

Directory veröffentlicht werden.
씰 Domänennamen folgen der DNS-Namensstruktur. Dies erlaubt eine unend-

lich große Zahl an untergeordneten Domänen.
씰 Domänen erlauben Ihnen die Kontrolle der Replikation. Die in der Domäne
gespeicherten Objekte werden vollständig nur an andere Domänencontroller
innerhalb der Domäne repliziert.
Es stehen zwei Wege zum Erstellen von Active Directory-Domänen zur Verfügung:
Entweder aktualisieren Sie eine Domäne unter Windows NT 4.0 oder installieren
einen Server mit Windows 2000, den Sie anschließend zu einem Domänencontrol-
ler heraufstufen.
Nachdem Sie eine Stammdomäne erstellt haben, können Sie zum Erstellen von
Strukturen übergehen. Eine Struktur beginnt immer mit der Stammdomäne, kann
aber verzweigen, um weitere Domänen aufzunehmen. Damit erhalten Sie die erste
Hierarchieebene innerhalb von Active Directory.
3.2.2 Strukturen und Gesamtstrukturen

Bei der Kontrolle der Domänen haben Sie es mit der eigentlichen praktischen
Arbeitsebene im Netzwerk zu tun, denn in den Domänen befinden sich alle Benut-
zer und Computer. Um die Domänen zusammenzufassen, müssen Sie sie in einer
logischen Struktur anordnen. Bei dieser Struktur handelt es sich entweder um eine
Domänenstruktur oder Domänengesamtstruktur.
Dieses Thema ist Ihnen bereits in der Erörterung von DNS im Kapitel 2, »DNS für
Active Directory konfigurieren«, begegnet. In Windows 2000 wird die DNS-Hierar-
chie zu dem Zweck eingesetzt, die verschiedenen Domänen zusammenzufassen und
die Domänenstruktur zu erstellen. Wenn Sie beispielsweise mit einer Domäne wie
etwa Widgets.com beginnen, könnten Sie nun eine einzelne Domäne erstellen, die
alle Objekte in Ihrem Unternehmen enthält. Hat Ihr Unternehmen jedoch Haupt-
3.2 Grundlagen der logischen Struktur von Active Directory 113
büros an zwei geografischen Standorten, von denen jeder unabhängig vom anderen
arbeitet, wäre diese Anordnung nicht sinnvoll. In einem solchen Fall würden Sie
vielleicht lieber separate Domänen erstellen, die unabhängig voneinander verwaltet
werden können. In der Abbildung 3.1 werden Sie bemerken, dass es sowohl Wid-
gets.com als auch Ost.Widgets.com und West.Widgets.com gibt. In diesem Fall ist
die Topdomäne einfach nur ein Zeiger auf eine der Domänen in der unteren Ebene.
Abbildung 3.1
Eine einfache
Domänenstruktur
für Widgets.com
auf der Grundlage
der geografischen
Standorte
Widgets.com
Ost.Widgets.com West.Widgets.com
Falls Sie die Organisation auf der Grundlage der internen Organisationsstruktur auf-
teilen möchten, kann die Struktur wie in Abbildung 3.2 aussehen. In dieser Abbil-
dung gibt es eine Domäne für den Vertrieb und für Marketing, eine weitere für
Logistik (Produktion und Versand) sowie eine Domäne für Forschung und Entwick-
lung. Die Administration und andere Hilfsfunktionen befinden sich in diesem Fall
in der Toplevel-Domäne.
Aus dem Kapitel 1, »Grundlagen von Active Directory«, wissen Sie noch, dass es
überall in diesem Unternehmen ein einziges Schema, einen gemeinsamen globalen
Katalog und transitive zweiseitige Vertrauensstellungen gibt.
In manchen Fällen jedoch funktioniert eine Domänenstruktur nicht. In Fällen, in

denen verschiedene Teile der Organisation separate öffentliche Identitäten haben
müssen, können Sie nicht ein und dieselbe Struktur verwenden, wenn die internen
Namen gleichzeitig den externen Charakter der Organisation widerspiegeln. Es ist
jedoch von Bedeutung, dass die drei gemeinsamen Elemente beibehalten werden
können: Das gemeinsam genutzte Schema, die gemeinsam genutzte Konfiguration
und der globale Katalog. Um dies möglich zu machen, muss eine der Domänen zum
Stamm des Unternehmens werden. Alle anderen Domänen werden dann zu unterge-
Abbildung 3.2
Eine Domänen-
struktur für
Widgets.com auf
der Grundlage der
internen Organi- Widgets.com
sation
Vertrieb.Widgets.com FuE.Widgets.com Logistik.Widgets.com
ordneten Domänen, obwohl ihre Namen anders lauten. In Abbildung 3.3 wurde
noch Div.com hinzugefügt. Die Linie, die die neue Struktur mit der Gesamtstruktur
verbindet, wird per Konvention zur Spitze des Stamms hin gezeichnet, um deutlich
zu machen, dass es sich nicht einfach nur um eine untergeordnete Domäne handelt.
Abbildung 3.3
Eine Domänenge-
samtstruktur
Widgets.com
Div.com Vertrieb.Widgets.com FuE.Widgets.com Logistik.Widgets.com
Von hier aus können Sie nun untergeordnete Domänen zu Div.com hinzufügen
Nachdem Sie den ersten Domänencontroller für die erste Domäne erstellt haben,
können Sie unter Verwendung des Programms Dcpromo zum Erstellen weiterer
Domänencontroller mit dem Aufbau der Hierarchie beginnen. Während der Beför-
derung haben Sie die Wahl, neue Domänencontroller in der vorhandenen Domäne,
einen neuen Controller für eine neue untergeordnete Domäne, oder einen neuen
Stammcontroller für eine neue Struktur in der Gesamtstruktur zu erstellen.
3.2 Grundlagen der logischen Struktur von Active Directory 115
Abbildung 3.4
Eine erweiterte
Domänengesamt-
struktur
Widgets.com
Div.com Vertrieb.Widgets.com FuE.Widgets.com Logistik.Widgets.com
Ost.Div.com West.Div.com
Die Kombination von Strukturen und Gesamtstrukturen bietet Ihnen absolute Flexi-
bilität hinsichtlich des Designs Ihrer Domänenstruktur und damit auch im Design
Ihres Active Directory.
Nachdem Sie nun über Wissen über Domänen verfügen, die die erste Ebene Ihrer
Hierarchie bilden, sollten Sie einen Schritt weitergehen und sich mit Organisations-
einheiten (OU, Organizational Units) befassen. OUs stellen die sekundäre Ebene
der Hierarchie dar. Mit ihnen können Sie eine Domäne in logische Einheiten auftei-
len, die Sie bis zu einem gewissen Grade unabhängig voneinander kontrollieren
können.
3.2.3 Organisationseinheiten
Die Fähigkeit, die Kontrolle über einen Teil der Domäne an einen Benutzer oder
eine Benutzergruppe zu delegieren, ist mit Windows 2000 neu hinzugekommen.
Erreicht wird dies über den Einsatz von Organisationseinheiten. Eine Organisati-
onseinheit ist ein Container in Active Directory, den Sie erstellen. Nachdem Sie den
Container erstellt haben, können Sie Computer, Benutzer und andere Objekte in den
Container verschieben.
Nachdem Sie dies erledigt haben, können Sie die Kontrolle über diese Objekte im
Container an bestimmte Benutzer oder Gruppen delegieren. Als Domänenadminist-
rator haben Sie zwar immer noch die Kontrolle, jedoch können auch die Personen,
an die Sie delegiert haben, diese Objekte kontrollieren. Das gibt Ihnen die Möglich-
keit, Arbeitsgruppenadministratoren einzuführen, die einen begrenzten Teil Ihrer
Domäne kontrollieren. Außerdem können Sie Gruppenrichtlinien auf die Organisa-
tionseinheiten anwenden, die sich von den auf die Domäne angewendeten Richt-
linien unterscheiden.
Abbildung 3.5 zeigt ein Beispiel dafür, wie das Netzwerk Widgets.com in eine ein-
zige Domäne organisiert werden kann und noch lokale Administratoren vorsieht,
die eine Benutzergruppe und Computer verwalten.
Abbildung 3.5
Der Einsatz von

Organisationsein-
heiten im Netzwerk
Widgets.Com
Logistik
Vertrieb FuE
Widgets.com
Sie können sogar innerhalb einer anderen Organisationseinheit Organisationseinhei-

ten erstellen. Dadurch erhalten Sie die Möglichkeit, innerhalb einer Domäne eine
Hierarchie von Organisationseinheiten anzulegen.
Zunächst müssen Sie für Ihre Organisation entscheiden, ob Sie zum Verwalten von
Benutzern, Computern und anderen Objekten von Active Directory Domänen oder
Organisationseinheiten einsetzen. Die folgenden Richtlinien sollen Sie bei dieser
Entscheidung unterstützen:
씰 Setzen Sie Domänen ein, wenn die verschiedenen Benutzer und Ressourcen
in der Organisation von gänzlich unterschiedlichen Administratoren verwal-
tet werden.
씰 Verwenden Sie für ein Netzwerk Domänen, in denen Teile des Netzwerks
durch eine langsame Verbindung getrennt sind. In dieser Situation können
Sie auch Standorte verwenden, was später im Abschnitt »Im physischen
Netzwerk« behandelt wird.
3.3 Die erste Domäne erstellen 117
씰 Verwenden Sie Organisationseinheiten zu dem Zweck, die Struktur Ihrer Or-

ganisation nachzubilden.
씰 Verwenden Sie Organisationseinheiten zu dem Zweck, die administrative

Kontrolle über eher kleine Benutzergruppen, Gruppen und andere Objekte zu
delegieren.
씰 Verwenden Sie Organisationseinheiten an bestimmten Stellen in Ihrem Un-

ternehmen, die sich wahrscheinlich in Zukunft noch ändern werden.
Wie Sie gesehen haben, wird die logische Struktur von Active Directory dazu ver-
wendet, eine Hierarchie aufzubauen, mit der Sie die Benutzer in einer Organisation
beliebiger Größe verwalten können. Mit Domänen erstellen Sie Sicherheits- und
Replikationsgrenzen, während Sie die Organisationseinheiten dazu benutzen,
Domänen weiter in besser handhabbare Einheiten aufzuteilen.
Die Planung der Struktur von Active Directory ist die Aufgabe der Netzwerkplaner.
Als derjenige, der die Implementierung vornimmt, müssen Sie nun die Stammdo-
mäne, den Rest der Struktur und die Organisationseinheiten erstellen.
3.3 Die erste Domäne erstellen

Active Directory
Offensichtlich ist dies ein besonders wichtiges Ziel, da die gesamte übrige Arbeit,
die Sie noch leisten, davon abhängt, dass Active Directory installiert werden kann.
Dieser Abschnitt beginnt mit einer Darstellung der Stamminstallation und stellt
dann Möglichkeiten zur Verifizierung von Installationen vor. Ab dem Punkt wendet
sich die Diskussion dann anderen Installationstypen zu.
Da Sie nun mit der logischen Struktur von Active Directory bekannt gemacht wor-
den sind, sollten Sie sich der Installation von Active Directory zuwenden. Die
Installation selbst ist ein recht einfacher Vorgang. Jedoch müssen Sie vor Beginn
der Installation noch die Struktur Ihres Unternehmens planerisch erfasst haben.
3.3.1 Vorbedingungen
Wie Sie sich wahrscheinlich schon gedacht haben, gilt es vor der Installation von
Active Directory eine Reihe erforderlicher Dinge und Aufgaben zu berücksichtigen.
Die folgende Liste teilt Ihnen mit, was Sie für die Installation vor Ort haben müssen:
씰 Sie brauchen einen installierten und betriebsbereiten Windows-2000-Server,

Advanced-Server oder Data-Center-Server.
씰 Sie sollten auf einem DNS-Server eine konfigurierte Forward-Lookupzone

installiert haben. Der DNS-Server muss Serviceeinträge (SRV) unterstützen,
und sollte ferner dynamische Aktualisierungen sowie inkrementelle Stan-
dardzonenübertragungen zulassen.
씰 Sie müssen sicherstellen, dass für den Computer, den Sie zum Domänencon-
troller machen wollen, der korrekte DNS-Server ausgewählt wurde, und dass
der Name des Computers stimmt. Auf dem Computer muss außerdem TCP/IP
korrekt installiert und konfiguriert sein.
씰 Sie müssen sicherstellen, dass Sie auf dem Computer, den Sie zum Domänen-
controller machen wollen, eine NTFS-Partition existiert. Außerdem brauchen
Sie genug Platz für das Directory (empfohlen wird 1 GB).
씰 Sie müssen sicherstellen, dass die Zeitzone des Systems stimmt. Außerdem
müssen Sie dafür sorgen, dass auf dem System die Zeit korrekt eingestellt ist.
Neben den physischen Systemen, die Sie zum Installieren des Domänencontrollers
brauchen, benötigen Sie zusätzlich noch den Namen des Domänencontrollers, den
Sie installieren. Darüber hinaus ist noch der Domänenname für die Domäne, die Sie
erstellen, erforderlich.
3.3.2 Domäne benennen

Für die Benennung Ihrer Domäne stehen verschiedene Möglichkeiten zur Verfü-
gung, von denen die drei wichtigsten sind:
씰 Der echte Internet-Domänenname Ihrer Organisation. Dies bedeutet,

dass Ihre internen und externen Identitäten gleich sind, was die Gefahr erge-
ben kann, dass die Struktur Ihres Active Directory im öffentlichen Internet
bekannt wird.
씰 Eine Unterdomäne unterhalb Ihrer existierenden Internet-Domäne. Mit

anderen Worten: Erstellen Sie einen Namen wie etwa AD.Widgets.com als
Ausgangspunkt für Active Directory. Die Trennung der öffentlichen und pri-
vaten Strukturen wird dadurch einfacher. Allerdings macht diese Lösung die
Namensvergabe komplexer.
씰 Intern komplett unterschiedliche Namen verwenden. Dies bedeutet, dass

Sie die öffentlichen und privaten Teile Ihres Netzwerks vollständig voneinan-
der trennen können. Microsoft empfiehlt die Verwendung von .local, falls Sie
vorhaben, die interne und externe Namensgebung der Organisation voneinan-

der zu trennen. Beispielswiese können Sie Widgets.com für das Internet und
Widgets.local für Active Directory benutzen.
Der Domänenname sollte natürlich festgelegt werden, bevor Sie mit der eigentli-
chen Installation beginnen, und verlangt unter Umständen sogar eine größere
Debatte in der Organisation. Unter der Voraussetzung, dass Sie über alle erforderli-
chen Informationen und Vorbedingungen verfügen, können Sie dann mit der Instal-
lation von Active Directory beginnen.
3.3.3 Der Installationsvorgang

Die Installation der Stammdomäne ist recht problemlos und wird in der folgenden
Schritt-für-Schritt-Anleitung vorgeführt.

3.1 Active Directory installieren
1. Wählen Sie im Startmenü AUSFÜHREN aus. Geben Sie dcpromo ein, und kli-
cken Sie auf OK.
Installieren von Active Directory weiterzuschalten.
3. Wählen Sie DOMÄNENCONTROLLER FÜR EINE NEUE DOMÄNE aus, und kli-
cken Sie dann auf WEITER (siehe Abbildung 3.6).
Abbildung 3.6
Neue Domäne
erstellen
4. Wählen Sie EINE NEUE DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie
auf WEITER (siehe Abbildung 3.7).
Abbildung 3.7
Neue Domänen-
struktur erstellen
5. Wählen Sie NEUE GESAMTSTRUKTUR AUS DOMÄNENSTRUKTUREN ERSTEL-

LEN aus, und klicken Sie auf WEITER (siehe Abbildung 3.8).
Abbildung 3.8
Neue Domänen-
struktur in einer
Gesamtstruktur
erstellen
6. Geben Sie den gesamten DNS-Namen für die neue Domäne ein, und klicken
Sie auf WEITER (siehe Abbildung 3.9).
Abbildung 3.9
Eingabe des
Namens für Ihre
neue Domäne
HINWEIS
Falls es sich beim ersten Teil des Namens um den Namen Ihrer existierenden NT-
Domäne handelt, erhalten Sie eine Warnung, die Sie auf einen Namenskonflikt im
Netzwerk aufmerksam macht. Der Downlevel (NetBIOS)-Name der Domäne ent-
hält eine Zahl, um ihn von der vorhandenen Domäne zu unterscheiden. Dies ge-
schieht nicht, wenn Sie einen vorhandenen PDC aktualisieren.
7. Bestätigen Sie den Downlevel (NetBIOS)-Domänennamen (siehe Abbildung

3.10).
8. Bestätigen Sie den Speicherort der Active Directory-Datenbank und der Pro-
tokolldateien. Für eine bessere Wiederherstellung im Fehlerfall sollten diese
auf verschiedenen Laufwerken liegen. Beide müssen auf einem mit NTFS
formatierten Laufwerk abgelegt werden (siehe Abbildung 3.11).
9. Bestätigen Sie den Speicherort des SYSVOL-Ordners (ersetzt die Netlogon-
Freigabe). Er muss sich auf einem mit NTFS 5.0 formatierten Laufwerk
befinden (siehe Abbildung 3.12).
Abbildung 3.10
Der von Clients

außerhalb von
Active Directory
verwendete Down-
level-Domänen-
name
Abbildung 3.11
Festlegung der
Speicherorte von
Datenbank und
Protokolldateien
von Active Directory
Abbildung 3.12
Festlegung des
Speicherorts von
SYSVOL
HINWEIS
Wenn der DNS-Server nicht gefunden werden kann, bietet der Assistent Ihnen die
Installation und Konfiguration des Servers an (siehe Abbildung 3.14). Wenn Sie
möchten, dass der Assistent dies für Sie erledigt, klicken Sie auf Ja. Wenn Sie da-
gegen Nein wählen, fährt die Installation zwar fort, jedoch werden Sie zahlreiche
Startfehler angezeigt bekommen. Active Directory wird nicht arbeiten, solange Sie
diese Fehler nicht beseitigt haben. Es wird daher empfohlen, dem Assistenten zu
erlauben, den DNS-Server zu installieren und zu konfigurieren, sofern er keinen
anderen DNS-Server finden kann.
Abbildung 3.13
Diesen Fehler
erhalten Sie, wenn
das System Ihren
DNS-Server nicht
finden kann
10. Der Assistent bestätigt als Nächstes Ihren DNS-Server. Wenn er den Server
nicht finden kann, bekommen Sie eine Warnung angezeigt (siehe Abbil-
dung 3.13).
Abbildung 3.14
Wenn der DNS-Ser-

ver nicht gefunden
wurde, bietet Ihnen
die Installations-
routine die Installa-
tion von DNS an
Abbildung 3.15
Dieses Dialogfeld
warnt Sie hinsicht-
lich der RAS-
Sicherheit von
NT 4.0
11. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit,
die vor Windows 2000 bestanden hat. In NT 4.0 und vorherigen Versionen
musste der RAS-Server den Clients vor der Authentifizierung das Einlesen
der Domäneninformationen erlauben. Beim Betrieb von Downlevel-RAS-
Servern müssen Sie diese Sicherheitseinschränkung zulassen. Wählen Sie die
gewünschte Option aus, und klicken Sie auf WEITER (siehe Abbildung 3.15).
12. Als Nächstes werden Sie dazu aufgefordert, das Kennwort für die Wiederher-
stellung der Verzeichnisdienste einzugeben. Stellen Sie sicher, dass Sie die-
ses Kennwort gut schützen und sicher ablegen (siehe Abbildung 3.16).
Abbildung 3.16
Eingabe des Kenn-

worts zum Wieder-
herstellen der Ver-
zeichnisdienste
Abbildung 3.17
Bestätigung aller
von Ihnen vor-
genommenen Ein-
gaben
13. Der nächste Bildschirm fasst alle von Ihnen bis hierhin vorgenommenen Ein-
gaben zusammen. Überprüfen Sie alle Ihre Angaben noch einmal, und korri-
gieren Sie ggf. unrichtige Angaben über die Schaltfläche ZURÜCK (siehe
Abbildung 3.17).
14. Wenn alles geklappt hat, erhalten Sie nun einen Abschlussbildschirm, der die
Installation von Active Directory bestätigt. Klicken Sie auf FERTIG STELLEN,
und starten Sie Ihren Computer neu (siehe Abbildung 3.18).
Abbildung 3.18
Im Abschluss-
bildschirm wird Ihre
Installation bestä-
tigt
Jetzt wird Active Directory installiert. Nach dem Neustart des Systems können Sie
dann die Installation überprüfen.
3.3.4 Installation überprüfen

Active Directory
씰 Installation von Active Directory überprüfen
Nach Abschluss der Installation von Active Directory sollten Sie überprüfen, ob die
Installation korrekt verlaufen ist und das System ordnungsgemäß läuft. Hierdurch
stellen Sie sicher, dass die anderen Domänen, die Sie der Struktur hinzufügen, eben-
falls korrekt installiert werden.
3.4 Andere Installationstypen 127
Die Überprüfung, dass Active Directory auf dem Computer installiert ist, ist einfach
zu erledigen. Alles was Sie zu tun haben, besteht darin, das Vorhandensein der fol-
genden Programme im Ordner VERWALTUNG im Startmenü zu bestätigen.
씰 ACTIVE DIRECTORY-BENUTZER UND -COMPUTER. Hiermit werden Benutzer

und Computer sowie Organisationseinheiten innerhalb Ihrer Domäne verwal-
tet.
씰 ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN. Wird zur

Verwaltung von Domänen und Vertrauensstellungen in Domänen mit NT 4.0
verwendet.
씰 ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. Wird zur Konfiguration des

Verzeichnisdienststandorts und der Replikation zwischen Standorten verwen-
det.
Darüber hinaus stellen die folgenden Schritte sicher, dass Active Directory auf
Ihrem System installiert ist.

3.2 Überprüfen, ob Active Directory installiert ist
1. Öffnen Sie den Ordner ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
2. Klicken Sie auf den Ordner DOMÄNENCONTROLLER.
3. Überprüfen Sie, ob Ihr Computer aufgeführt ist.
Nachdem der erste Domänencontroller installiert und betriebsbereit gemacht wor-

den ist, besteht der nächste entscheidende Punkt darin, dass alle anderen Installatio-
nen mit diesem System kommunizieren können.
Jetzt müssen Sie noch weitere Domänencontroller hinzufügen. Die nächsten

Abschnitte behandeln die Unterschiede in den verschiedenen Einrichtungstypen, die
Sie auszuführen haben.
3.4 Andere Installationstypen

Da Sie nun einen arbeitsfähigen Domänencontroller haben, müssen Sie noch min-
destens einen weiteren für die Redundanz hinzufügen. In den meisten Fällen brau-
chen Sie noch mehr Domänencontroller für eine Domäne. Darüber hinaus müssen
Sie in der Lage sein, Ihrer Domänenstruktur andere Domänen bzw. weitere Struktu-
ren der Gesamtstruktur hinzufügen zu können. Der folgende Abschnitt behandelt
diese Installationstypen.
3.4.1 Domänencontroller hinzufügen

Zu Zwecken der Redundanz und des Lastenausgleichs benötigen Sie weitere Domä-
nencontroller in der Domäne, die Sie erstellen. Der Vorgang des Hinzufügens eines
Domänencontrollers ist recht einfach. Sie beginnen mit einem Computer, auf dem
Windows-2000-Server, Advanced Server oder Data Center installiert ist, und führen
dann folgende Schritte durch:

3.3 Bestehender Domäne zusätzlichen Domänencontroller
hinzufügen
cken Sie anschließend auf OK.
3. Wählen Sie ZUSÄTZLICHER DOMÄNENCONTROLLER FÜR EINE BESTEHENDE
DOMÄNE aus, und klicken Sie auf WEITER.
4. Jetzt werden Sie nach Ihren Netzwerkberechtigungen gefragt. Sie sollten an
dieser Stelle als Mitglied der Gruppe Domänenadministratoren handeln.
Nachdem Sie die Sicherheitsinformationen eingegeben haben, klicken Sie
zum Fortfahren auf WEITER.
5. Als Nächstes werden Sie nach dem Namen der Domäne gefragt, die Sie
ansprechen möchten. Hierbei handelt es sich um den vollen DNS-Namen der
Domäne. Stellen Sie sicher, dass das System einen DNS-Server verwendet,
der den Namen auflösen kann. Klicken Sie nach der entsprechenden Eingabe
auf WEITER.
6. Sie werden nun gefragt, wo Sie die Datenbank und das Protokoll von Active
Directory ablegen möchten. Beide müssen sich auf einer NTFS-Partition
befinden. Geben Sie den Speicherungsort dieser Dateien ein, und klicken Sie
zum Fortfahren auf WEITER.
7. Als Nächstes müssen Sie den Speicherungsort des SYSVOL-Ordners angeben.
Auch dieser muss sich auf einer NTFS-Partition befinden. Nach Eingabe des
Ortes klicken Sie zum Fortfahren wieder auf WEITER.
8. Jetzt werden Sie nach dem Kennwort für die Wiederherstellung von Active
Directory gefragt. Geben Sie das Kennwort ein, und klicken Sie auf WEITER.
9. Als Nächstes erhalten Sie den Abschlussbildschirm. Klicken Sie auf die
Schaltfläche FERTIG STELLEN – die Informationen von Active Directory wer-
den nun kopiert.
10. Nach Beendigung des Kopiervorgangs werden Sie zum Neustart des Compu-
ters aufgefordert.
Nach Abschluss dieser Schritte sind Sie in der Lage, Domänencontroller einer
bestehenden Domäne hinzuzufügen. Der Einsatz mehrerer Domänencontroller ist
aus Gründen der Redundanz und Lastenverteilung wichtig. Der nächste Abschnitt
erläutert, wie einer bestehenden Domäne eine untergeordnete Domäne hinzugefügt
wird.
3.4.2 Untergeordnete Domäne hinzufügen

Beim Aufbau der Struktur von Active Directory für Ihre Organisation werden Sie
vermutlich auch untergeordnete Domänen hinzufügen müssen. Dieser Vorgang
ähnelt mehr dem Erstellen einer neuen Domäne als dem Hinzufügen eines Domä-
nencontrollers. Die grundlegenden Schritte werden im Folgenden beschrieben.

3.4 Untergeordnete Domäne einer Domänenstruktur hinzufügen
cken Sie auf OK.
3. Wählen Sie Domänencontroller für eine neue Domäne aus, und klicken Sie
anschließend auf WEITER.
4. Wählen Sie EINE NEUE UNTERGEORDNETE DOMÄNE IN EINER BESTEHENDEN
DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie auf WEITER.
5. Geben Sie die Sicherheitsinformationen eines Benutzers in der Gruppe Orga-
nisations-Admins aus der übergeordneten Domäne ein, und klicken Sie
danach auf WEITER.
6. Geben Sie den DNS-Namen der neuen Domäne und der übergeordneten
Domäne ein, und klicken Sie auf WEITER.
7. Bestätigen Sie den Downlevel(NetBIOS)-Namen der neuen Domäne und kli-

8. Bestätigen Sie den Speicherungsort der Datenbank und Protokolldateien von
Active Directory. Für eine bessere Wiederherstellung sollten diese auf ver-
schiedenen Laufwerken liegen. Außerdem müssen sich beide auf einem mit
NTFS formatierten Laufwerk befinden.
9. Bestätigen Sie den Speicherungsort des SYSVOL-Ordners (ersetzt die Netlo-
gon-Freigabe). Er muss sich auf einem mit NTFS 5 formatierten Laufwerk
befinden.
gewünschte Option aus, und klicken Sie auf WEITER.
11. Als Nächstes werden Sie nach dem Kennwort für die Wiederherstellung der
Verzeichnisdienste gefragt. Geben Sie dieses Kennwort ein, und klicken Sie
auf WEITER.
und starten Sie Ihren Computer neu.
Weitere Domänencontroller nehmen Sie in die neue Domäne mit der Schritt-für-
Schritt-Anleitung »Bestehender Domäne zusätzlichen Domänencontroller hinzufü-
gen« auf.
Denken Sie daran, dass die untergeordneten Domänen als Grenzen hinsichtlich der
Replikation und Sicherheit wirken. Untergeordnete Domänen werden zum Bestand-
teil desselben Namespace. In manchen Fällen kann dies Ihren Anforderungen
widersprechen – dann müssen Sie eine neue Struktur und auch Gesamtstruktur
erstellen.
3.4.3 Gesamtstruktur erstellen

Das Erstellen einer Gesamtstruktur ist der letzte hier erörterte Schritt. Ihre interne
Organisation verwendet vermutlich schon ein Namensgebungsschema, sodass das
Erstellen der Gesamtstruktur kein alltäglicher Vorgang sein wird. Auf jeden Fall ist
der ganze Prozess nahezu identisch mit dem Hinzufügen einer untergeordneten
Domäne. Die folgenden Schritte helfen Ihnen beim Erstellen einer Gesamtstruktur.

3.5 Stammserver einer Gesamtstruktur hinzufügen
cken Sie dann auf OK.
3. Wählen Sie DOMÄNENCONTROLLER FÜR EINE NEUE DOMÄNE aus, und kli-
cken Sie anschließend auf WEITER.
4. Wählen Sie NEUE DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie auf
WEITER.
5. Wählen Sie DIESE NEUE DOMÄNENSTRUKTUR IN EINE BESTEHENDE GESAMT-
STRUKTUR EINGLIEDERN aus, und klicken Sie auf WEITER.
6. Geben Sie die Sicherheitsinformationen für einen Benutzer der Gruppe Orga-
nisations-Admins aus der Stammdomäne ein, und klicken Sie auf WEITER.
7. Geben Sie den DNS-Namen für die neue Domäne ein, und klicken Sie auf
WEITER.
8. Bestätigen Sie den Downlevel(NetBIOS)-Namen der neuen Domäne und kli-
9. Bestätigen Sie den Speicherungsort der Datenbank und Protokolldateien von
Active Directory. Für eine bessere Wiederherstellung sollten diese auf ver-
schiedenen Laufwerken liegen. Außerdem müssen sie sich auf einem mit
NTFS formatierten Laufwerk befinden.
10. Bestätigen Sie den Speicherungsort des SYSVOL-Ordners (ersetzt die Net-
logon-Freigabe). Er muss sich auf einem mit NTFS 5 formatierten Laufwerk
befinden.
HINWEIS
DNS-Unterstützung
Da diese Domäne den Start einer neuen Struktur darstellt, wird sie gleichzeitig
der Start eines separaten Namespace sein. Sollte der DNS-Server nicht korrekt
eingerichtet sein, erhalten Sie dieselben Optionen angeboten, die Sie schon wäh-
rend der Installation der ersten Domänencontroller in der Schritt-für-Schritt-Anlei-
tung »Active Directory installieren« erhalten haben.

12. Als Nächstes werden Sie nach dem Kennwort für die Wiederherstellung der
Verzeichnisdienste gefragt. Geben Sie dieses Kennwort ein, und klicken Sie
auf WEITER.
und starten Sie Ihren Computer neu.
Wie Sie gesehen haben, ist der Aufbau der logischen Struktur von Active Directory
nicht schwierig und sollte bei guter Vorbereitung reibungslos ablaufen. Denken Sie
wieder daran, dass Domänen als Grenzen hinsichtlich der Sicherheit und Replika-
tion arbeiten, was der wichtigste Grund ist, sie überhaupt einzusetzen.
Wenn Sie Hunderte von Domänencontrollern in eine einzige Domäne setzen, viel-
leicht sogar an verschiedenen Orten, dann werden Sie immer noch ein Replikations-
problem haben. Dieses Problem wird durch die Verwendung von Standorten gelöst,
die Ihnen eine weitere Kontrolle der Replikation erlauben. Damit kommen wir zum
physischen Netzwerk.
3.5 Im physischen Netzwerk

Nach der Konfiguration des logischen Teils von Active Directory wird es nun Zeit,
einen Blick auf die physische Seite zu werfen. Die physischen Teile von Active
Directory, Standorte und Subnetze, werden zur Kontrolle der Replikation verwen-
det. Durch die Erstellung von Standorten und später den Standortverknüpfungen
können Sie steuern, zu welchen Zeiten und wie oft die Replikation in diesem Zeit-
raum stattfindet.
Einer der Schlüsselkomponenten im Einsatz von Active Directory ist TCP/IP. TCP/
IP ist nicht nur deshalb erforderlich, um Windows 2000 die Zusammenarbeit mit
DNS zu ermöglichen, obwohl auch dies ein wichtiger Grund ist. Erst mit TCP/IP
können Sie jedoch Ihr Unternehmen in Standorte aufteilen und die Replikation zwi-
schen diesen kontrollieren. Darüber hinaus sind Sie in der Lage, Gruppenrichtlinien
auf Standorte anzuwenden und bestimmte Einstellungen für alle Computer eines
bestimmten Ortes zu erzwingen.
Einfach ausgedrückt, besteht ein Standort aus ein oder mehr IP-Subnetzen, die
durch Hochgeschwindigkeitsleitungen miteinander verbunden sind. Möglicher-
weise ist dies nicht ganz aussagekräftig, da »Hochgeschwindigkeit« ein in Ihrer
3.5 Im physischen Netzwerk 133
Umgebung relativer Begriff sein wird. Viele Faktoren müssen berücksichtigt wer-
den, wenn man den Begriff Hochgeschwindigkeitsverbindung mit Inhalt füllen will.
Falls Ihre Domäne beispielsweise drei Millionen Objekte enthält, Ihre Kennwort-
richtlinien einen Kennwortwechsel alle sieben Tage erfordern, und Sie zahlreiche
Wechsel der Mitarbeiter haben, kann ein LAN mit 10 Mbps zu schwach sein, um
die erforderliche Replikation zu bewältigen. Haben Sie dagegen auf der anderen
Seite nur einige Hundert Objekte in Active Directory und nur zwei Domänencont-
roller, dann werden Sie unter Umständen eine ISDN-Leitung mit 128 Kbps großar-
tig finden.
Als Daumenregel sollten Sie alles, was unter einer T1-Verbindung (1,54 Mbps)
liegt, als eine langsame Verbindung betrachten. In solchen Fällen werden Sie
sicherlich die Auswirkungen der Replikation auf eine derartige Verbindung ermes-
sen wollen. Wahrscheinlich brauchen Sie zwei Standorte, damit Sie die Replikation
zwischen diesen besser kontrollieren können.
Auf der Plusseite steht, dass sich Standorte weitgehend dem Zweck anpassen lassen,
den die Unternehmen ursprünglich bei der Einrichtung ihres Netzwerks verfolgt
haben. Darüber hinaus sind Standorte sehr einfach in Active Directory zu erstellen
und zu verwalten. Normalerweise verfügen Sie bereits über definierte Standorte in
Ihrem Netzwerk, mit denen die Segmente in handhabbare Abschnitte unterteilt wer-
den. Diese Abschnitte werden in der Regel aus dem Grunde implementiert, den
Netzwerkverkehr besser steuern zu können, da auch dies mit Standorten geregelt
werden kann. Die Übertragung der physischen Segmente in Standorte ist dann recht
einfach.
3.5.1 Mit Standorten arbeiten

Active Directory
Wenn Sie eine unkontrollierte Replikation in Ihrem Netzwerk zulassen würden,
würden Sie recht schnell Probleme mit der verfügbaren Bandbreite im Netzwerk
bekommen. Dies ist besonders dann der Fall, wenn Sie es mit einer Verbindung mit
einem entfernten Büro zu tun haben. In solchen Fällen müssen Sie daran denken,
dass Standorte zur Kontrolle des Replikationsverkehrs eingesetzt werden, und dass
Sie die Standorte, die Sie zur Kontrolle des Datenverkehrs benötigen, erstellen müs-
sen.
Active Directory verlangt von Ihnen, dass Sie Standorte erstellen und verwalten
können. Die folgenden Abschnitte umreißen, wie Standorte erstellt und wieder ent-
fernt werden. Danach werden Sie erfahren, wie einem Standort Subnetze hinzuge-
fügt und Domänencontroller in einen Standort verschoben werden.
Standort hinzufügen
Das Hinzufügen eines Standorts ist ein recht einfacher Vorgang, zu dem die folgen-
den Schritte gehören.

3.6 Standort erstellen
1. Starten Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
2. Klicken Sie mit der rechten Maustaste auf den Ordner SITES, und wählen Sie
NEUER STANDORT aus (siehe Abbildung 3.19).
Abbildung 3.19
Wählen Sie im Kon-

textmenü NEUER
STANDORT aus
3. Geben Sie im Dialogfeld NEUES OBJEKT – STANDORT den Namen des neuen
Standorts ein (siehe Abbildung 3.20). Buchstaben und Zahlen sind erlaubt,
Leerzeichen und Sonderzeichen dagegen nicht.
4. Klicken Sie auf eine der Standortverknüpfungen und danach auf OK.
5. Sie erhalten eine Meldung, die Ihnen die nächsten Schritte mitteilt (siehe
Abbildung 3.21). Klicken Sie zum Fortfahren auf OK.
Sie sehen, dass das Erstellen eines Standorts ein einfacher Vorgang ist. Standorte
können außerdem auch umbenannt und gelöscht werden.
Standort umbenennen
Das Umbenennen eines Standorts ist ebenso simpel wie das Umbenennen einer
Datei. Die folgenden Schritte genügen zum Umbenennen eines Standorts.
Abbildung 3.20
Eine Meldung teilt

Ihnen mit, welche
nächsten Schritte
den Standort ver-
vollständigen
Abbildung 3.21
Geben Sie den

Namen des neuen
Standorts ein

3.7 Standort umbenennen
1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
2. Klicken Sie mit der rechten Maustaste auf den Ordner SITES, und wählen Sie
den Standort aus, den Sie umbenennen möchten.
3. Klicken Sie ein weiteres Mal, oder klicken Sie mit der rechten Maustaste und
wählen Sie im Kontextmenü UMBENENNEN aus.
4. Geben Sie den neuen Namen ein, und drücken Sie (Enter).
Eine Umbenennung ist sinnvoll, wenn Sie Ihr Netzwerk reorganisieren, oder wenn
sich die Verwendung eines entfernten Büros ändert. Sie ist auch dann sinnvoll,
wenn ein Standort nicht länger benötigt wird.
Standort löschen
Auch das Löschen eines Standorts ist so einfach wie das Umbenennen. Vergewis-
sern Sie sich vor dem Löschen des Standorts, dass er leer ist, da Sie anderenfalls
Objekte verlieren werden. Die folgende Schritt-für-Schritt-Anleitung führt Sie
durch den Vorgang des Löschens.

3.8 Standort löschen
2. Öffnen Sie den Ordner SITES und wählen Sie den Standort aus, den Sie
löschen möchten.
3. Drücken Sie (Entf) oder klicken Sie mit der rechten Maustaste, und wählen
Sie im Kontextmenü LÖSCHEN. Sie erhalten nun ein Dialogfeld mit einer
Rückfrage (siehe Abbildung 3.22).
Abbildung 3.22
Ein Dialogfeld mit

einer Rückfrage
4. Klicken Sie auf Ja, wenn Sie ganz sicher sind, dass Sie diesen Standort
löschen möchten. Sie erhalten dann eine Warnung, die Sie darauf hinweist,
dass ein Standort ein Container mit darin enthaltenen Objekten ist, und das
Löschen des Standorts auch die Objekte löscht (siehe Abbildung 3.23).
Abbildung 3.23
Dieses Dialogfeld
warnt Sie davor,
dass zusammen
mit dem Standort
auch die Objekte
darin gelöscht wer-
den.
5. Wählen Sie JA zum Abschluss des Löschvorgangs.

Es sei noch einmal darauf hingewiesen, dass Sie Standorte normalerweise nur im
Zuge einer Reorganisation Ihres physischen Netzwerks löschen sollten.
Neben dem Erstellen, Umbenennen und Löschen von Standorten sollten Sie noch in
der Lage sein, die Eigenschaften der Standorte in Ihrem Netzwerk einzustellen.
Standorteigenschaften
Es gibt einige Eigenschaften für die von Ihnen in Active Directory erstellten Stand-
orte, die in den folgenden Abschnitten beschrieben werden. Zum Einstellen dieser
Eigenschaften klicken Sie mit der rechten Maustaste auf dem Standortnamen und
wählen im Kontextmenü EIGENSCHAFTEN aus. Das Dialogfeld EIGENSCHAFTEN
wird angezeigt (siehe Abbildung 3.24).
Abbildung 3.24
Das Dialogfeld
EIGENSCHAFTEN FÜR
STANDORT
In den Registerkarten können Sie die folgenden Eigenschaften einstellen:
씰 STANDORT. Geben Sie in dieser Registerkarte eine Beschreibung des Stand-

orts ein.
씰 DRUCKERSTANDORT. Hier können Sie den Druckerstandort eingeben.
씰 OBJEKT. Hiermit können Sie den vollen Namen des Objekts und weitere De-
tails wie etwa sein Erstellungsdatum, anzeigen. In dieser Registerkarte stehen
keine Eingabemöglichkeiten zur Verfügung.
씰 SICHERHEITSEINSTELLUNGEN. Hier können Sie die Sicherheit für das Objekt

in Active Directory einrichten. Standardmäßig erlaubt die Sicherheit Admi-
nistratoren die Verwaltung des Standorts und anderen Benutzern das Lesen
der Informationen.
씰 GRUPPENRICHTLINIE. Hiermit können Sie auf den Standort Gruppenrichtlini-

en anwenden und Richtlinien erstellen und bearbeiten.
Denken Sie daran, dass ein Standort als eine Gruppe von IP-Subnetzen definiert
wird, die über Hochgeschwindigkeitsleitungen miteinander verbunden sind. Daher
müssen Sie auch mit Subnetzen umgehen können.
3.5.2 Mit Subnetzen arbeiten

Active Directory
Nachdem Sie nun Standorte erstellen und löschen können, müssen Sie sie mit Inhal-
ten füllen. Im Wesentlichen besteht diese Aufgabe in der Frage, welche Subnetze in
einen Standort gehören, und wie sie in Active Directory erstellt werden. Die einzel-
nen Entscheidungen über die Subnetze hängen vom Netzwerkdesign und davon ab,
wie Sie den Ort dieser Objekte in Active Directory dann tatsächlich kontrollieren
werden.
Subnetze müssen hinzugefügt, gelöscht und zwischen Standorten verschoben wer-

den. Darüber hinaus können Sie für sie wie für andere Objekte in Active Directory
verschiedene Eigenschaften einstellen. Die nächsten Abschnitte zeigen, wie Sie
diese Funktionen ausführen.
Subnetz hinzufügen
Das Hinzufügen von Subnetzen ist sehr einfach, wie Sie aus der folgenden Schritt-
für-Schritt-Anleitung ersehen können.

3.9 Subnetz in Active Directory erstellen
2. Klicken Sie mit der rechten Maustaste auf den Ordner SUBNETS und wählen
Sie NEUES SUBNETZ aus.
3. Geben Sie im Dialogfeld die IP-Adresse und Subnetzmaske eines Systems in
diesem Subnetz ein.
4. Das System wandelt die Informationen automatisch in das Format Netzwerk/

Bits-Mask um (siehe Abbildung 3.25).
Abbildung 3.25
Das Dialogfeld zum

Hinzufügen von
Subnetzen
5. Wählen Sie den Standort aus, dem Sie das Subnetz hinzufügen möchten, und
klicken Sie dann auf OK.
Subnetz löschen
Das Löschen eines Subnetzes ist genauso einfach wie das Hinzufügen. Führen Sie
dazu die folgenden Schritte aus.

3.10 Subnetz löschen
2. Klicken Sie mit der rechten Maustaste auf den Ordner SUBNETS, und dann auf
das zu löschende Subnetz.
3. Drücken Sie (Entf) oder wählen Sie LÖSCHEN im Kontextmenü. Daraufhin
wird ein Dialogfeld mit einer Rückfrage angezeigt.
4. Klicken Sie zum Bestätigen der Löschung auf JA.
Häufiger noch als das Löschen von Subnetzen kommt das Verschieben eines Sub-
netzes an einen anderen Standort vor. Es wird erforderlich, wenn sich das Netzwerk
und damit auch die Verteilung der Benutzer und Server ändert.
Subnetz verschieben
Manchmal müssen Sie ein Subnetz auch verschieben, was der Fall sein kann, wenn
das Netzwerk wächst oder die Bandbreite zwischen den Standorten vergrößert wird.
Auch die Schritte zum Verschieben eines Subnetzes sind einfach und werden in der
folgenden Schritt-für-Schritt-Anleitung demonstriert.

3.11 Subnetz verschieben
Abbildung 3.26
Das Verschieben
eines Subnetzes ist
mit dem Dialogfeld
EIGENSCHAFTEN EIN-
FACH

2. Öffnen Sie den Ordner SUBNETS und klicken Sie das Subnetz an, welches Sie
verschieben möchten.
3. Klicken Sie mit der rechten Maustaste, und wählen Sie im Kontextmenü
EIGENSCHAFTEN aus.
3.6 Informationen in Active Directory replizieren 141
4. Wählen Sie im Dialogfeld EIGENSCHAFTEN (siehe Abbildung 3.26) auf der

Registerkarte SUBNETZ im Listenfeld STANDORT den Standort aus, in den Sie
das Subnetz verschieben möchten.
5. Klicken Sie zum Ausführen des Verschiebevorgangs auf OK.
Das Verschieben eines Subnetzes ist in der Praxis eher selten und kommt nur dann
vor, wenn das physische Netzwerk reorganisiert wird.
In diesem Dialogfeld gibt es, wie Sie sehen, mehrere Registerkarten. Die folgende
Liste enthält die Optionen dieser Registerkarten.
씰 SUBNETZ. Diese Registerkarte ermöglicht Ihnen die Eingabe einer Beschrei-

bung für das Subnetz und seine Verschiebung in einen anderen Standort.
씰 DRUCKERSTANDORT. Hiermit können Sie einen Druckerstandort für das Sub-

netz eingeben.
씰 OBJEKT. Hiermit können Sie den vollen Namen des Objekts und weitere De-
tails, wie etwa sein Erstellungsdatum, anzeigen. In dieser Registerkarte ste-
hen keine Eingabemöglichkeiten zur Verfügung.
씰 SICHERHEITSEINSTELLUNGEN. Hier können Sie die Sicherheit für das Objekt

in Active Directory einrichten. Standardmäßig erlaubt die Sicherheit Admi-
nistratoren die Verwaltung des Standorts und anderen Benutzern das Lesen
der Informationen.
Nachdem Sie die Standorte erstellt haben, können Sie nun die Domänencontroller in
die Standorte verschieben und die Replikation zwischen den Standorten konfigurie-
ren.
3.6 Informationen in Active Directory

replizieren
Die Replikation ist ein Vorgang, mit dem Informationen von einem System in ein
anderes System kopiert werden. Die Replikation ist in Windows 2000 ein außeror-
dentlich wichtiger Vorgang, da Änderungen auf jedem Domänencontroller, nicht
nur einem primären Domänencontroller wie unter Windows NT 4.0, geschehen
können.
Außer im Multimaster-Replikationsmodell für die Domänenobjekte gibt es noch

zusätzliche Informationen, die ebenfalls im gesamten Unternehmen repliziert wer-
den müssen. Diese Informationen werden im Folgenden beschrieben.
Dieser Abschnitt betrachtet die Replikation von Active Directory und beginnt mit
einem Überblick über ihre Arbeitsweise. Er erörtert die Besonderheiten der standort-
internen Replikation mit einem Blick auf die Verbindungen. Anschließend wendet
sich die Diskussion der Frage zu, wie Sie die Replikation zwischen Standorten kon-
trollieren können. Zum Schluss erhalten Sie noch eine Übersicht über die Konfigu-
ration eines Servers für den globalen Katalog.
씰 Schemainformationen. Im Kapitel 1, »Grundlagen von Active Directory«,

haben Sie gesehen, dass es sich bei den Schemainformationen um die eigent-
liche Struktur der Datenbank handelt, die alle Daten über die Objekte in Ih-
rem Unternehmen speichert. Vielleicht erinnern Sie sich noch daran, dass alle
Domänen und daher auch alle Domänencontroller dasselbe Schema benutzen
müssen, damit Active Directory korrekt funktionieren kann. Das Schema
muss daher an alle Domänencontroller repliziert werden.
씰 Konfigurationsinformationen. Dies betrifft das Gesamtdesign des Unter-

nehmens. Es beinhaltet die Domänen, deren Namen, und wie diese in die Hie-
rarchie eingeordnet werden. Es beinhaltet außerdem weitere Informationen
wie etwa die Replikationstopologie. Diese Informationen werden von allen
Domänencontrollern benutzt und daher auch an alle von ihnen repliziert.
씰 Domänendaten. Dies sind Informationen, die Sie zusammen mit den Objek-
ten speichern, aus denen Ihre Domäne besteht. All diese Informationen wer-
den von den Domänencontrollern innerhalb einer Domäne repliziert. Die Ser-
ver für den globalen Katalog im gesamten Unternehmen replizieren eine
Untermenge dieser Informationen.
Wie Sie sehen, gibt es zwei Ebenen der Replikation. Es gibt eine Replikation inner-
halb einer Domäne und eine, die von den Servern für den globalen Katalog gehand-
habt wird. Die Replikation innerhalb einer Domäne wird primär von den Domänen-
controllern gehandhabt. Diese Replikation erfasst grundsätzlich alle Objekte in der
Domäne und alle ihre Attribute.
Die Server für den globalen Katalog bearbeiten den anderen Replikationstyp. Min-
destens ein Server für den globalen Katalog wird im Unternehmen benötigt. Außer-
dem sollte es noch einen Server für den globalen Katalog für jede Domäne und
jeden Standort im Unternehmen geben.
Der Server für den globalen Katalog ist für die folgenden Informationen verantwort-
lich:
씰 Die Schemainformationen für die Gesamtstruktur
씰 Die Konfigurationsinformationen für alle Domänen in der Gesamtstruktur
씰 Eine Untermenge der Eigenschaften aller Verzeichnisobjekte in der Gesamt-

struktur (wird nur zwischen den globalen Katalogen repliziert)
씰 Alle Verzeichnisobjekte und deren Eigenschaften für die Domäne, in der sich
der globale Katalog befindet
Nachdem Sie erfahren haben, was repliziert wird, werden Sie sich nun mit der
Arbeitsweise der Replikation befassen.
3.6.1 Wie die Replikation funktioniert

Die Replikation basiert auf sog. USN (Update Sequence Number) in Active Direc-
tory. Die USN verfolgt für jeden Domänencontroller die Anzahl der Änderungen,
die dieser an seiner Version des Verzeichnisses vorgenommen hat. Finden Ände-
rungen statt, wird die aktuelle USN dem Objekt zugewiesen und die USN des
Domänencontrollers inkrementiert.
Jeder Domänencontroller überwacht seine eigene USN und die USNs seiner Repli-
kationspartner. In periodischen Abständen (standardmäßig alle 5 Minuten) sucht der
Server nach Änderungen bei seinen Replikationspartnern. Wenn er welche findet,
fordert er die an, die seit der zuletzt bekannten USN des Partners stattgefunden
haben. Der Partner kann dann alle Änderungen seit dieser USN senden. Ein Domä-
nencontroller kann eine Zeitlang offline sein, ist anschließend jedoch schnell wieder
aktuell.
Allerdings gibt es an dieser Stelle folgende Gefahr: Nehmen Sie einmal an, dass ein
Domänencontroller eine Aktualisierung empfängt. Er nimmt die Änderung vor, und
aktualisiert seine USN. Der Domänencontroller, der die Änderung ursprünglich ver-
anlasst hat, fordert nun die USN des Servers an, der die Änderung bekommen hat.
Seine USN wird aktualisiert, und er fordert daher eine Aktualisierung an. Das Sys-
tem, welches die Änderung ausgelöst hat, erhält nun seine eigene Änderung wieder
zurück. Vollzieht das System diese Aktualisierung und aktualisiert erneut seine
USN, würde der ganze Kreislauf endlos weitergehen.
Um dieses Szenario zu vermeiden, überwacht Active Directory die Anzahl der

ursprünglichen Schreibvorgänge, die für jedes Attribut stattgefunden haben. Dabei
wird nicht überwacht, wie viele Male ein Wert unter Einsatz der Replikation verän-
dert wurde, sondern es wird verfolgt, wie oft ein Benutzer den Wert geändert hat.
Im vorigen Fall würde daher das erste System, in dem die Änderung stattgefunden
hat, erkennen, dass es den eigentlichen ursprünglichen Schreibwert besitzt, und
daher keine Aktualisierung vornehmen.
Weiterhin existiert noch die Möglichkeit, dass zwei verschiedene Benutzer dasselbe
Attribut desselben Objekts zur selben Zeit auf zwei verschiedenen Controllern
ändern. Bei Beginn der Replikation eines solchen Änderungsvorgangs würde ein
Konflikt entdeckt werden, den Windows 2000 dadurch löst, dass es die Änderung
mit dem neueren Zeitstempel (die jüngste Änderung) verwendet. Wurden die beiden
Änderungen sogar zur selben Millisekunde vorgenommen, gewinnt die Änderung
mit der höheren globalen, eindeutigen ID.
Nachdem Sie jetzt die Theorie der Replikation betrachtet haben, werden Sie sich der
Frage zuwenden, wie die Replikation innerhalb und zwischen Standorten konfigu-
riert wird.
3.6.2 Replikation innerhalb eines Standorts

Verwalten und Fehlerbehebung der Active Directory-Replikation
씰 Verwalten der standortinternen Replikation
Obwohl es nur wenig gibt, was Sie bei einer standortinternen Replikation tun müs-
sen, sollten Sie doch genau verstanden haben, wie sie und die darin eingebundenen
Komponenten funktionieren. Gleichzeitig stellt dies die Basis für das Verständnis
der standortübergreifenden Replikation dar.
Die Replikation innerhalb eines Standorts wird von Active Directory übernommen
– es gibt keine Notwendigkeit von Ihrer Seite her einzugreifen. Der Knowlegde-
Konsistenzprüfer (Knowledge Consistency Checker, KCC) ermittelt die Domänen-
controller im Standort und erstellt automatisch eine Replikationstopologie. All-
gemein gesprochen, konfiguriert der KCC die Verbindungen so, dass jeder
Domänencontroller zusammen mit mindestens zwei weiteren Domänencontrollern
repliziert.
Der KCC passt die Replikationstopologie automatisch Änderungen der Netzwerk-

bedingungen an. Auch beim Hinzufügen oder Entfernen (oder auch nur Verschie-
ben) von Domänencontrollern stellt der KCC sicher, dass jeder Domänencontroller
zusammen mit mindestens zwei anderen repliziert. Innerhalb eines Standorts setzt
die Replikation keine Kompression ein, und in manchen Fällen (wie etwa einem
Kennwortwechsel) wird die Replikation unmittelbar durchgeführt.
Die Replikation innerhalb eines Standorts verläuft unkompliziert – Sie haben nichts
weiter zu tun. Der KCC erledigt die meiste Arbeit für Sie, indem er Verbindungsob-
jekte erstellt, die alle Ihre Server untereinander verbinden.
3.6.3 Verbindungsobjekte
Active Directory
Verbindungsobjekte dienen als Rückgrat der Replikation und definieren Netzwerk-
pfade, über die die Replikation ablaufen kann. Sie müssen wissen, welche es sind,
und wie sie definiert sind. Außerdem müssen Sie in der Lage sein, sie selbst zu defi-
nieren.
Der KCC handhabt im Wesentlichen die Replikation innerhalb eines Standorts,

indem er Verbindungsobjekte zwischen den verschiedenen Domänencontrollern im
Standort erstellt. Der KCC erstellt außerdem nach Bedarf Verbindungsobjekte zwi-
schen den Standorten.
Eine Verbindung ist ein dauerhafter oder temporärer Netzwerkpfad, der für die Rep-
likation benutzt werden kann. Die Verbindungsobjekte in einem Standort erstellen
Sie normalerweise nicht selbst. Es wird vorausgesetzt, dass alle Pfade zwischen Ser-
vern die gleiche Geschwindigkeit bieten und KCC daher in der Lage sein wird, Ver-
bindungsobjekte zu erstellen.
Sie können innerhalb eines Standorts Verbindungen erstellen. Sie können außerdem
die von KCC erstellten Verbindungen zwar bearbeiten, müssen dabei jedoch Vor-
sicht walten lassen. Eine Verbindung, die Sie selbst erstellen, wird niemals von
KCC ausgewertet und auch niemals außer von Ihnen selbst gelöscht. Dies kann zu
Problemen führen, wenn Ihr Netzwerk sich ändert und Sie vergessen, die von Ihnen
erstellte Verbindung zu entfernen. In Fällen, in denen Sie die Verbindung bearbei-
ten, die KCC erzeugt hat, gehen die Änderungen verloren, sobald KCC die Verbin-
dungen wieder aktualisiert.
Der Hauptgrund, aus dem Sie ein Verbindungsobjekt erstellen würden, besteht
darin, dass Sie die Server zur Verknüpfung der Standorte selbst festlegen möchten.
Diese sog. Bridgehead-Server (Brückenkopf-Server) bilden das eigentliche Rück-
grat der Replikation über eine Standortverknüpfung. Führen Sie zum Erstellen eines
Verbindungsobjekts nun die folgenden Schritte aus.

3.12 Verbindungsobjekt manuell erstellen
2. Blenden Sie den Ordner SITES und dann den Standort ein, für den Sie eine
Verknüpfung erstellen möchten.
3. Blenden Sie den Ordner SERVERS für den Standort ein, und dann den Server,
der zum Bestandteil der Verknüpfung werden soll.
4. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS, und wählen Sie
NEUE ACTIVE DIRECTORY-VERBINDUNG im Kontextmenü aus.
5. Wählen bzw. suchen Sie im angezeigten Dialogfeld den Server aus, für den
Sie die Verknüpfung erstellen möchten, und klicken Sie auf OK.
Verbindungsobjekte stellen, wie Sie gesehen haben, die Netzwerkpfade für die Rep-
likation zur Verfügung. Dies gilt sowohl für Verbindungen innerhalb als auch zwi-
schen zwei Standorten.
3.6.4 Replikation zwischen Standorten

Verwalten und Fehlerbehebung der Active Directory-Replikation
씰 Verwalten der standortübergreifenden Replikation
Die Fähigkeit zum Verwalten der standortübergreifenden Replikation ist für Admi-
nistratoren in Windows-2000-Netzwerken entscheidend. Ohne diese Fähigkeit
könnte eine Replikation leicht die WAN-Verbindungen überlasten und Windows
2000 Active Directory unkontrollierbar machen.
Die Replikation zwischen Standorten wird gegenüber der Replikation innerhalb

eines Standorts komprimiert. Innerhalb eines Standorts setzt Active Directory eine
Hochgeschwindigkeitsverbindung voraus und nimmt aus Gründen der Zeitersparnis
keine Komprimierung vor. Die Bandbreite zwischen Standorten jedoch wird als
geringer eingestuft; Active Directory nimmt daher eine Komprimierung der zwi-
schen den Standorten übertragenen Daten vor.
Active Directory ermöglicht darüber hinaus eine Zeitplanung für die standortüber-
greifende Replikation, sodass diese nur zu geplanten Zeitpunkten stattfindet. Wäh-
rend dieser Zeiträume steht Ihnen immer noch die Gelegenheit zur Verfügung, den
Replikationsintervall abzuändern. Bevor Sie dies jedoch tun können, müssen Sie
einen Domänencontroller in einen anderen Standort verschieben. Anschließend
können Sie dann eine Verbindung zwischen diesem Domänencontroller und einem
weiteren in einem anderen Standort erstellen.
Da die Replikation zwischen Domänencontrollern stattfindet, müssen Sie Domä-

nencontroller dem Standort hinzufügen, zu dem sie physisch gehören. Auch Clients
innerhalb eines Standorts suchen nach einem Domänencontroller im Standort, an
dem sie sich anmelden können. Indem Sie daher einen Domänencontroller zu dem
Standort verschieben, verringern Sie die Anmeldezeiten und damit auch die Belas-
tung des Netzwerks.
Domänencontroller verschieben
Active Directory
Die Kontrolle der Replikation und die Gewährleistung dessen, dass sich die Benut-
zer innerhalb eines angemessenen Zeitraums am Netz anmelden können, verlangt
von Ihnen, dass Sie Domänencontroller in der Nähe der Benutzer stationieren. Dies
bedeutet, dass Sie gelegentlich Domänencontroller zwischen Standorten verschie-
ben werden.
Der Zweck eines Standorts besteht darin, die Replikation zwischen den Domänen-
controllern und durch langsame Netzwerkverbindungen hindurch zu unterstützen.
Zusätzlich zum Erstellen des Standorts und dem Hinzufügen von Subnetzen zu die-
sem Standort müssen Sie außerdem noch Domänencontroller in den Standort ver-
schieben können.
Führen Sie zum Verschieben von Domänencontrollern die folgenden einfachen

Schritte aus.

3.13 Domänencontroller verschieben
2. Blenden Sie den Ordner SITES ein, und blenden Sie dann den Standort ein, in
dem sich der Server gegenwärtig befindet.
3. Blenden Sie im Standort den Ordner SERVERS ein.
4. Klicken Sie mit der rechten Maustaste auf den Server und wählen Sie im
Kontextmenü VERSCHIEBEN aus.
5. Wählen Sie im Dialogfeld (siehe Abbildung 3.27) das Zielsubnetz aus, und
klicken Sie auf OK.
Das Verschieben eines Domänencontrollers zu einem Standort ist Teil des Erstel-
lens und Verwaltens von Standorten in Active Directory.
Jetzt, wo Sie Domänencontroller an verschiedene Standorte verschoben haben,

müssen Sie zwischen den Standorten noch eine Standortverknüpfung erstellen.
Damit wird der Pfad erstellt, über den die Replikation zu diesem Standort später
stattfindet.
Abbildung 3.27
Wählen Sie das

Zielsubnetz für den
Server aus, und kli-
cken Sie auf OK
Standorte verknüpfen
Active Directory
Der Schlüssel zur Kontrolle der Replikation ist das Erstellen von Standorten. Stand-
orte ermöglichen Ihnen wiederum das Erstellen von Standortverknüpfungen, mit
denen Sie die Existenz von Verknüpfungen überprüfen und steuern, wie oft die
Replikation während der Verfügbarkeit der Verknüpfung stattfinden kann. Mehrere
Standortverknüpfungen können auch genutzt werden, um verschiedene Replika-
tionszeitpläne zu erstellen oder einfach redundante Verbindungen zu unterstützen,
die dann über Kostenwerte gesteuert werden. Jetzt, wo Sie Domänencontroller an
verschiedene Standorte verschoben haben, müssen Sie zwischen den Standorten
noch eine Standortverknüpfung erstellen. Damit wird der Pfad erstellt, über den die
Replikation zu diesem Standort dann stattfindet.
Über das Erstellen und Konfigurieren von Standortverknüpfungen liefern Sie KCC
die Informationen darüber, welche Verbindungsobjekte erstellt werden müssen, um
die Verzeichnisdaten replizieren zu können. Standortverknüpfungen zeigen an, wo
Verbindungsobjekte erstellt werden müssen. Sie nutzen zum Austausch der Ver-
zeichnisinformationen das Netzwerk.
Führen Sie zum Erstellen einer Standortverknüpfung die folgenden allgemeinen

Schritte aus.

3.14 Standortverknüpfung erstellen
2. Blenden Sie die Ordner SITES und INTER-SITE TRANSPORTS ein.
3. Klicken Sie mit der rechten Maustaste in Abhängigkeit vom von Ihnen einge-
setzten Protokoll (siehe dazu die nachfolgende Erörterung über die Proto-
kolle) auf den Ordner IP oder SMPT und wählen Sie im Kontextmenü NEUE
STANDORTVERKNÜPFUNG aus.
4. Geben Sie im Feld NAME einen Namen für die Standortverknüpfung ein.
Wählen Sie in der Liste STANDORTE AUSSERHALB DIESER STANDORTVER-
KNÜPFUNG den Standort aus, mit dem die Verknüpfung hergestellt wird, und
klicken Sie auf die Schaltfläche HINZUFÜGEN. Klicken Sie auf OK, wenn Sie
fertig sind.
Beim Erstellen von Standortverknüpfungen haben Sie die Wahl unter entweder IP
oder SMTP als Transportprotokoll für die Standortverknüpfung.
씰 SMTP-Replikation. SMTP kann nur für die Replikation über Standortver-

knüpfungen verwendet werden. SMTP ist ein asynchrones Protokoll, was be-
deutet, dass es Zeitsteuerungen ignoriert. Denken Sie bei der Wahl von
SMTP über Standortverknüpfungen auch daran, dass Sie eine unternehmens-
weite Zertifizierungsstelle installieren und konfigurieren müssen. Die Zertifi-
zierungsstelle signiert die SMTP-Nachrichten, die zwischen den Domänen-
controllern ausgetauscht werden, und gewährleistet die Authentizität der
Verzeichnisaktualisierungen.
HINWEIS
Eigenes Zertifikat erstellen
Falls Sie keine Authentifizierung mit externen Systemen herstellen müssen, kön-
nen Sie zum Erstellen des Zertifikats auch den zusammen mit Windows 2000
ausgelieferten Zertifikatsserver verwenden.
씰 IP-Replikation. Die IP-Replikation verwendet für die Replikation Remote-

prozeduraufrufe (RPC, Remote Procedure Call),was sowohl für standortüber-
greifende wie auch standortinterne Replikationen gleich ist.
Nach dem Erstellen der Standortverknüpfung können Sie zurückgehen und die rest-
lichen Eigenschaften der Standortverknüpfung erstellen. Dazu lokalisieren Sie die
Standortverknüpfung im IP- oder SMTP-Ordner und zeigen die Eigenschaften der
Verknüpfung an.
Die Registerkarte ALLGEMEIN im Dialogfeld EIGENSCHAFTEN stellt die Eigenschaf-

ten der Standortverknüpfung ein. Es gibt auch die Registerkarten OBJEKT und
SICHERHEIT, die den bereits weiter oben besprochenen Registerkarten entsprechen.
Im Folgenden erfahren Sie, welche Eigenschaften Sie konfigurieren können:
씰 BESCHREIBUNG. Dies ist die Beschreibung der Verknüpfung zu Ihrer

Information.
씰 STANDORTE IN DIESER STANDORTVERKNÜPFUNG. Dieser Bereich kann dazu

verwendet werden, einer Standortverknüpfung Standorte hinzuzufügen oder
von dort zu entfernen.
씰 KOSTEN. Dies ist ein relativer Wert, der von Active Directory dazu verwendet
wird, die Route beim Replizieren der Informationen festzulegen. Die güns-
tigste verfügbare Route basiert auf den Gesamtkosten, die für zwei Standorte
leicht zu ermitteln sind. Falls die Standorte jedoch nicht direkt miteinander
verbunden sind, werden sämtliche Standortkombinationen, die beide Stand-
orte verknüpfen, ausgewertet und die Gesamtkosten aller Standorte miteinan-
der verglichen.
씰 REPLIZIEREN ALLE. Dies ist das Intervall, mit dem die Replikation über diese
Verknüpfung stattfindet.
씰 ZEITPLAN ÄNDERN. Mit dieser Schaltfläche können Sie einstellen, wann die
Standortverknüpfung für die Replikation zur Verfügung steht. Die Replikati-
on findet während des Zeitraums der Verfügbarkeit der Verknüpfung mit ei-
ner Häufigkeit statt, die durch dieses Intervall festgelegt wird.
Standortverbinder bieten die Flexibilität an, die Sie für den Umgang mit dem physi-
schen Netzwerk innerhalb einer Domäne brauchen. In manchen Fällen werden Sie
noch die Server kontrollieren wollen, die für die Replikation verwendet werden. Zu
diesem Zweck müssen Sie einen Bridgehead-Server konfigurieren können.
Bridgehead-Server
Ein Bridgehead-Server ist der für die standortübergreifende Replikation eingesetzte
Hauptserver. Sie können einen solchen Server für jeden von Ihnen erstellten Stand-
ort und mit jedem standortübergreifenden Replikationsprotokoll konfigurieren.
Dadurch haben Sie die Möglichkeit festzulegen, welcher Server in einem Standort
zur Replikation von Informationen an andere Server eingesetzt wird. Die folgende
Schritt-für-Schritt-Anleitung führt Sie durch die Konfiguration eines Bridgehead-
Servers.

3.15 Server als Bridgehead-Server konfigurieren
1. Öffnen Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE und blenden Sie
den Ordner SITES ein.
2. Blenden Sie den Standort ein, in dem Sie einen Bridgehead-Server erstellen
möchten, und blenden Sie anschließend den Ordner SERVERS ein.
3. Klicken Sie mit der rechten Maustaste auf den Server und wählen Sie im
4. Wählen Sie unter INTER-SITE TRANSPORTS das oder die Protokolle aus, für
welche dieser Server ein Bridgehead werden soll, und klicken Sie auf HINZU-
FÜGEN.
5. Klicken Sie auf OK zur Übernahme der EIGENSCHAFTEN und schließen Sie
ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
Mit der Konfiguration eines Servers als Bridgehead-Server erlangen Sie größere
Kontrolle über die Ressourcen, die zwischen zwei Standorten oder in Fällen, in de-
nen z.B. eine Standortverknüpfungsbrücke zwischen mehreren Standorten besteht,
verwendet werden.
Standortverknüpfungsbrücken
Active Directory.
씰 Standortverknüpfungsbrücken erstellen
In vielen Fällen brauchen Sie mit Standortverknüpfungsbrücken überhaupt nicht
umzugehen, weil standardmäßig alle Standortverknüpfungen automatisch über-
brückt sind; eine Eigenschaft, die unter der Bezeichnung transitive Standortver-
knüpfungen bekannt ist. In anderen Fällen möchten Sie unter Umständen die Kon-
trolle darüber erlangen, durch welche Standorte die Daten fließen sollen. In solchen
Fällen müssen Sie Standortverknüpfungsbrücken erstellen.
Standardmäßig sind alle Standortverknüpfungen, die Sie erstellen, wechselseitig

überbrückt, was den Standorten die Kommunikation miteinander ermöglicht. Sollte
dies wegen der Struktur des Netzwerks physisch nicht möglich sein, müssen Sie die
automatische Überbrückung abschalten und eigene Standortverknüpfungsbrücken
erstellen.
Betrachten Sie als Beispiel einmal die Abbildung 3.28. Sie sehen drei Standorte
(1, 2 und 3), die direkt miteinander verbunden sind; ein Fall, in dem die automati-
sche Überbrückung gut funktioniert. Allerdings ist der Standort 4 über eine lang-
same Leitung angebunden, weshalb Sie keine Replikation dieses Standorts mit den
anderen Standorten wünschen. In diesem Fall möchten Sie dagegen, dass Standort 4
nur mit Standort 1 repliziert.
Abbildung 3.28
Ein Netzwerkbei- Router Standort 1

spiel, in dem die
automatische
Überbrückung pro- Verbindung mit 256 K
blematisch sein
kann Router
Standort 4 Router
Standort 2
Standort 3
Um das Problem zu lösen, müssen Sie die automatische Überbrückung abschalten.

Anschließend erstellen Sie eine Standortverknüpfung, die die drei Standorte enthält,
die direkt miteinander verbunden sind. Sie erstellen weiterhin eine zweite Standort-
verknüpfung zwischen Standort 1 und 4, und erstellen dann eine Standortverknüp-
fungsbrücke, damit Active Directory Informationen von den Standorten 2 und 3
über Standort 4 zum Standort 1 und umgekehrt verschieben kann.
Führen Sie zum Abschalten der automatischen Überbrückung die folgenden Schritte
aus.

3.16 Transitive Standortverknüpfungen (automatische Überbrückung)
abschalten
2. Blenden Sie den Ordner SITES und dann INTER-SITE TRANSPORTS ein.
3. Klicken Sie mit der rechten Maustaste auf den Transport, den Sie für die
automatische Überbrückung abschalten möchten, und wählen Sie im Kon-
textmenü EIGENSCHAFTEN (siehe Abbildung 3.29).
4. Deaktivieren Sie auf der Registerkarte ALLGEMEIN das Kontrollkästchen
BRÜCKE ZWISCHEN ALLEN STANDORTVERKNÜPFUNGEN HERSTELLEN, und
klicken Sie auf OK.
Abbildung 3.29
Das Dialogfeld für

die standortüber-
greifenden Trans-
porteigenschaften
Auf der Registerkarte ALLGEMEIN werden Sie bemerken, dass es noch eine Option
zum Ignorieren aller Zeitpläne gibt. Diese Option wird nur dazu verwendet, Ände-
rungen unabhängig davon zu erzwingen, ob die Replikation gegenwärtig zeitplan-
gesteuert ist oder nicht.
Nachdem Sie sichergestellt haben, dass transitive Standortverknüpfungen existieren

(d.h., dass die automatische Überbrückung abgeschaltet ist), müssen Sie die Stand-
ortverknüpfungsbrücke(n) erstellen. Dieser Vorgang wird in der folgenden Anlei-
tung demonstriert.

3.17 Standortverknüpfungsbrücke erstellen
2. Blenden Sie den Ordner SITES und dann INTER-SITE TRANSPORTS ein.
3. Klicken Sie mit der rechten Maustaste auf den Transport, den Sie verwenden
möchten, und wählen Sie dann im Kontextmenü NEUE STANDORTVERKNÜP-
FUNGSBRÜCKE aus.
4. Geben Sie im Eingabefeld NAME einen Namen für die Standortverknüp-

fungsbrücke ein.
5. Wählen Sie in der Liste STANDORTVERKNÜPFUNGEN AUSSERHALB DIESER

STANDORTVERKNÜPFUNGSBRÜCKE die Standortverknüpfungen aus, die Sie
hinzufügen möchten. Entfernen Sie zusätzliche Standortverknüpfungen im
Feld STANDORTVERKNÜPFUNGEN IN DIESER STANDORTVERKNÜPFUNGSBRÜ-
CKE. Klicken Sie auf OK, wenn die gewünschten Standortverknüpfungen hin-
zugefügt sind.
Bis hierhin haben Sie sich mit der Replikation der Domäneninformationen befasst.
Sie müssen darüber hinaus auch noch die Replikation des Schemas, der Konfigura-
tionspartitionen und des globalen Katalogs ins Auge fassen. Erledigt werden diese
Vorgänge vom Server, der als Globaler Katalog-Server definiert ist
3.6.5 Server für den globalen Katalog

Active Directory.
씰 Server für den globalen Katalog erstellen
Abbildung 3.30
Über die NTDS-

Eigenschaften kön-
nen Sie einen Ser-
ver als Server für
den globalen Kata-
log festlegen
Server für den globalen Katalog stellen grundlegende Informationen zur Verfügung,
die zum Zusammenschmieden aller Bestandteile von Active Directory verwendet
werden. Die Server für den globalen Katalog gewährleisten, dass die Schema- und
Konfigurationsinformationen an alle Domänen verteilt werden, bearbeiten die uni-
Fallstudie: Active Directory installieren und konfigurieren 155
versellen Gruppenmitgliedschaften und stellen darüber hinaus eine Methode zum

Suchen nach Objekten in Active Directory zur Verfügung.
Am Beginn der Diskussion weiter oben über die Replikation haben Sie erfahren,
dass die Server für den globalen Katalog miteinander replizieren. Diese Replikation
findet so statt, als ob sich alle Server für den globalen Katalog innerhalb derselben
Domäne befänden, und KCC die Replikation kontrollieren würde. Ihre eigene ein-
zige Wahl besteht in der Festlegung, ob ein Domänencontroller ein Server für den
globalen Katalog wird oder nicht. Die folgende Anleitung demonstriert, wie ein
Domänencontroller zu einem Server für den globalen Katalog gemacht wird.

3.18 Server als Server für den globalen Katalog konfigurieren
2. Blenden Sie den Ordner SITES und den Standort ein, an dem sich der Server
befindet. Blenden Sie den Ordner SERVERS und anschließend den Server ein.
3. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS und wählen Sie
im Kontextmenü EIGENSCHAFTEN aus (siehe Abbildung 3.31).
4. Falls der Server ein Server für den globalen Katalog werden soll, vergewis-
sern Sie sich, dass das Kontrollkästchen GLOBALER KATALOG aktiviert ist.
Anderenfalls deaktivieren Sie dieses Kontrollkästchen. Klicken Sie auf OK.
Einer der wichtigsten Jobs eines Administrators besteht darin, die Verzeichnisinfor-
mationen aktuell zu halten und sicherzustellen, dass alle Domänencontroller kor-
rekte Informationen besitzen. Eben dies wird durch die Replikation ermöglicht. Die
Abschnitte oben haben Ihnen diese sowohl für Ihre Prüfung als auch Ihre berufliche
Praxis entscheidende Tatsache sicher nähergebracht.
Fallstudie: Active Directory installieren und

konfigurieren

Es gibt hier einige Punkte, die Sie bei der Betrachtung dieses Falles beachten
müssen:
씰 Einige der physischen Orte haben nur eine einzige Verbindung zu einem
anderen Ort. Es wird daher wohl die eine oder andere Form einer zweiten
Verbindung benötigt.
씰 Einige der Orte sind recht groß und brauchen wahrscheinlich mehrere
Controller. Diese Orte benötigen wohl auch mehrere Standorte.
씰 Um sicherzustellen, dass eine Suche nach Objekten rund um den Globus
herum möglich ist, und Benutzer sich an jedem beliebigen Punkt anmel-
den können, sind an jedem Standort Server für den globalen Katalog er-
forderlich.
씰 Da die Domänen nicht nach der Geografie, sondern nach der Funktion
aufgeteilt sind, benötigt jeder Standort mindestens einen Domänencont-
roller für jede Domäne.
씰 Die Gesamtgröße jeder Domäne ist vergleichsweise gering. Da es nur
wenig Veränderungen bei den Mitarbeitern und seltene Kennwortwech-
sel gibt, wird der Replikationsaufwand minimal sein.
씰 Da es Domänencontroller in jeder Domäne gibt, die lokal zum Ort sind,
können die Benutzer Änderungen vornehmen, die ihren lokalen Bedin-
gungen entsprechen. Dies bedeutet, dass die Replikation nicht sofort
stattfinden muss.
In diesem Kapitel haben Sie einen Blick auf die physische und logische Struk-
tur von Active Directory geworfen. Darüber hinaus haben Sie erfahren, wie Sie
den Domänencontroller und die untergeordneten Domänen installieren, und
wie Sie außerdem eine weitere Struktur in der Gesamtstruktur installieren.
Das andere hier erörterte Hauptthema betrifft die Replikation. Sie haben nun
sicher die drei Hauptbestandteile von Active Directory verstanden: Schema,
Konfiguration und Domäne. Weiterhin haben Sie ein Verständnis dafür entwi-
ckelt, wie diese Teile repliziert werden.
Von den vorigen Fallstudien her erinnern Sie sich sicher noch, dass die Son-
nenschein-Brauerei auf 15 verschiedene Städte auf der ganzen Welt aufgeteilt
ist, von denen einige über mehrere Standorte verfügen. Außerdem wissen Sie
noch, dass die Domänenstruktur wegen der völlig unterschiedlichen Anforde-
rungen der weltweiten Benutzer entlang der Berichtslinien und nicht der Geo-
grafie aufgebaut wurde.
Nun wird es Zeit, dass Sie dies alles in einem Beispiel aus der Praxis imple-
mentieren und die Herausforderungen und Fragen erwägen, die sich aus einer
solchen Situation ergeben.
Fallstudie: Active Directory installieren und konfigurieren 157
Das Szenario ist recht einfach. Als Erstes müssen Sie eine Active Directory-
Struktur erstellen, die den ganzen Globus umspannt. Dann müssen Sie gewähr-
leisten, dass die Replikation alle Domänen aller Standorte aktuell halten kann,
ohne die zwischen den Standorten verfügbare Bandbreite zu überlasten.
Unter Berücksichtigung dieser Voraussetzungen und des generellen Zwecks des
Netzwerks präsentiert die folgende Analyse eine Lösung für dieses Szenario.
Beim Betrachten des geschilderten Szenarios fallen zunächst einige Schlüssel-
faktoren auf, von denen die Analyse bestimmt wird. Als Erstes müssen Sie die
Replikation sicherstellen. Diese muss in der Tat nicht schneller als die Zeit ver-
laufen, die ein Benutzer braucht, um physisch von einem Büro ins andere zu
wechseln.
Gehen wir einmal davon aus, dass die kürzeren Distanzen wie etwa von Victo-
ria nach Los Angeles oder von Ottawa nach New York oder von Paris nach
London innerhalb einer Flugstunde zu erledigen sind. Daraus ergibt sich, dass
Sie eine Replikation anpeilen sollten, die zwischen den Hauptbüros alle 3 Stun-
den und entsprechend länger zwischen den übrigen Orten wie etwa zwischen
Kapstadt und Buenos Aires stattfindet.
Eine andere Erwägung im Hinblick auf die Replikation betrifft die Tatsache,
dass nicht alle Orte über eine zweite Verbindung zu einem anderen Ort verfü-
gen und daher isoliert werden könnten, wenn die Hauptverbindung einmal aus-
fallen sollte. Damit die Replikation in solchen Fällen nicht behindert wird,
müssen sekundäre Standortverknüpfungen konfiguriert werden, die das Internet
und ein VPN (Virtual Private Network) oder SMTP als standortübergreifenden
Transport nutzen.
SMTP kann deshalb in Betracht gezogen werden, weil der Zertifikatsserver für
Sie ein Zertifikat erstellen kann, womit aber nur die Replikation erledigt wird.
Da Sie jedoch wegen des möglichen Ausfalls der Hauptleitung ggf. auch noch
anderen Datenverkehr bewältigen wollen, macht das VPN mehr Sinn.
Damit bleibt nur noch die standortinterne Replikation innerhalb eines Standorts
übrig. Sie erledigen dies recht einfach dadurch, dass Sie alle Standorte inner-
halb eines Ortes dieselbe Standortverknüpfung verwenden lassen. Pro Ort wird
es daher eine Standortverknüpfung geben. Die Replikation innerhalb des Stand-
orts findet unter Verwendung der Standards statt. An jedem Ort wird ein Stand-
ort erstellt, der die Orte miteinander verbindet.
Diese Standorte stellen dann wiederum einen Bestandteil einer Standortver-

knüpfung mit mindestens einem anderen Standort, der das Netzwerk nutzt, und
zwei weiteren Standorten dar, die entweder das Netzwerk oder einen VPN-
Anschluss nutzen. Wenn Standortverknüpfungen konfiguriert werden, die
VPNs nutzen, werden die Kosten auf den doppelten Wert der größten mit dem
Netzwerk verbundenen Standortverknüpfung eingestellt.
Zur Kontrolle der Replikation sind 3 Stunden als Intervall am Tag für die
Standorte, die über T1-Leitungen miteinander verbunden sind, vorgesehen. Für
jeden Standort, der nur stündlich in der Nacht repliziert, wird eine andere
Standortverknüpfung erstellt. Die Zeitplanung für andere Verbindungsarten
hängt von dieser Zeitplanung für die T1-Leitungen ab.
Zusammenfassung
Dieses Kapitel hat Ihnen die Gelegenheit geboten, anhand eines praktischen Bei-
spiels mit Active Directory zu arbeiten. Wie Sie gesehen haben, basiert die Struktur
von Active Directory grundsätzlich auf den zwei Komponenten des logischen und
physischen Designs. Das logische Design besteht aus den Organisationseinheiten,
mit denen die Verwaltung der Domänen unterteilt wird, den Domänen, die den
Stamm und die Verzweigungen einer Struktur bilden, sowie den Strukturen, aus
denen die Gesamtstrukturen bestehen.
Weiterhin gibt es das physische Design, welches das Unternehmen zur Grundlage
nimmt, um eine Aufteilung in Netzwerke mit Hochgeschwindigkeitsverbindungen
vorzunehmen. Auf der physischen Seite gibt es Standorte, aus denen das Netzwerk
besteht, sowie einen Knowledge-Konsistenzprüfer, der sämtliche Standortverknüp-
fungen, die die Verbindungen für die Replikationstopologie darstellen, überwacht.
Sie haben die Wahl, entweder Ihre eigenen Verbindungen zu erstellen oder die Rep-
likationstopologie Ihren eigenen Standortverknüpfungsbrücken anzupassen. Alle
diese Dinge dienen Ihnen dazu, die Replikation all Ihrer Objekte in der Domäne
sicherzustellen.
Darüber hinaus müssen Sie noch Server für den globalen Katalog erstellen, norma-
lerweise einen pro Standort und einen pro Domäne. Diese Server für den globalen
Katalog replizieren unternehmensweite Informationen wie etwa den globalen Kata-
log (eine Liste der Objekte in allen Domänen mit einer Untermenge ihrer Attribute),
das Schema und die Konfigurationsinformationen.
Später, im Kapitel 4, »Active Directory-Dienste verwalten«, werden Sie sehen, wie

Sie Objekte in Active Directory erstellen und verwalten. In Kapitel 5, »Server ver-
walten«, erfahren Sie außerdem, wie Sie mit den Servern und Rollen, die einige von
ihnen übernehmen, umgehen.
Schlüsselbegriffe
쎲 dcpromo 쎲 Standort
쎲 Domänenpartition 쎲 Standortverknüpfungen
쎲 Gesamtstruktur 쎲 Standortverknüpfungsbrücken
쎲 Knowledge-Konsistenzprüfer 쎲 Struktur
쎲 Konfigurationspartition 쎲 Subnetz
쎲 NTFS 쎲 Untergeordnete Domäne
쎲 RAS 쎲 Ursprünglicher Schreibwert
쎲 Remoteprozeduraufruf 쎲 USN (Update Sequence
Number)
쎲 Schemapartition 쎲 Verbindungsobjekte
쎲 SMTP (Simple Mail Transfer
Protocol)
Lernzielkontrolle
Übungen
Bei den folgenden Übungen benötigen Sie mindestens zwei PCs, mit denen Sie
arbeiten können. Beide Computer werden einige Male herauf- und wieder herabge-
stuft, sodass Sie, falls sie wichtige Daten enthalten, diese besser vorher sichern soll-
ten.
3.1 DNS-Server vorbereiten

In dieser Übung werden Sie eine primäre DNS-Standardzone erstellen, die für die
folgenden Übungen verwendet wird. Die Übung setzt voraus, dass Sie ein System
mit Windows-2000-Server oder Advanced Server mit installiertem DNS-Server
haben. Falls dies nicht der Fall sein sollte, lesen Sie im Kapitel 2, »DNS für Active
Directory konfigurieren«, nach, wie DNS installiert wird.
1. Wählen Sie über das Startmenü PROGRAMME/VERWALTUNG/DNS aus.

2. Blenden Sie Ihren lokalen Server ein, und klicken Sie auf FORWARD-
LOOKUPZONEN.
3. Klicken Sie mit der rechten Maustaste auf FORWARD-LOokupzonen und wäh-
len Sie im Kontextmenü NEUE ZONE aus.
Wählen Sie anschließend PRIMÄR (STANDARD) aus, und klicken Sie auf WEI-
TER.
5. Geben Sie als Domänennamen W2KBrewing.com ein, und klicken Sie auf WEI-
TER.
6. Überprüfen Sie im nächsten Bildschirm des Assistenten, ob der Dateiname

W2KBrewing.com.dns lautet, und klicken Sie auf WEITER.
7. Klicken Sie zum Fertigstellen der Zone auf FERTIG STELLEN.
8. Blenden Sie FORWARD-LOOKUPZONEN ein, und klicken Sie auf W2K-
Brewing.com.
9. Klicken Sie mit der rechten Maustaste auf W2KBrewing.com, und wählen
Sie im Kontextmenü EIGENSCHAFTEN aus.
10. Wählen Sie im Listenfeld DYNAMISCHE AKTUALISIERUNG ZULASSEN? JA
aus. Klicken Sie auf OK und schließen Sie den DNS-Manager.
11. Klicken Sie mit der rechten Maustaste auf NETZWERKUMGEBUNG und wählen
12. Klicken Sie mit der rechten Maustaste auf die LAN-Verbindung und wählen
13. Klicken Sie zweimal auf INTERNET-PROTOKOLL (TCP/IP) und stellen Sie si-
cher, dass der Eintrag für Ihren primären DNS-Server Ihre IP-Adresse enthält
(Tipp: Ihre IP-Adresse sollte der darüber angezeigten IP-Adresse entspre-
chen).
14. Klicken Sie zum Schließen der TCP/IP-Eigenschaften auf OK, und klicken
Sie ein weiteres Mal auf OK, um die Verbindungseigenschaften zu schließen.
Schließen Sie die Netzwerkumgebung.
3.2 Stammdomänencontroller installieren
Nachdem der DNS-Server für die Zusammenarbeit mit Active Directory konfigu-
riert worden ist (d.h., er unterstützt SRV-Einträge und lässt dynamische Aktualisie-
rungen zu), können Sie Active Directory installieren. Die folgende Übung setzt
voraus, dass das Laufwerk, auf dem Windows 2000 installiert ist, ein NTFS-Lauf-
werk ist. Falls nicht, wandeln Sie es mit dem Befehl convert in NTFS um.
1. Wählen Sie im Startmenü AUSFÜHREN aus, und geben Sie dcpromo ein.
3. Wählen Sie Domänencontroller für eine neue Domäne aus, und klicken Sie
anschließend auf WEITER.
4. Wählen Sie EINE NEUE DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie
dann auf WEITER.
5. Wählen Sie NEUE GESAMTSTRUKTUR AUS DOMÄNENSTRUKTUREN ERSTEL-
LEN aus, und klicken Sie auf WEITER.
6. Geben Sie als den vollen DNS-Namen für die Domäne W2KBrewing.com ein,
und klicken Sie auf WEITER.
7. Bestätigen Sie, dass der Downlevel-Domänenname W2KBrewing.com lautet.
8. Beachten Sie die Standardspeicherungsorte für Active Directory und die Pro-
tokolldateien. Klicken Sie zur Übernahme des Standardwerts auf WEITER.
9. Beachten Sie den Speicherungsort des Ordners SYSVOL. Klicken Sie zur
Übernahme des Standardwerts auf WEITER.
10. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit
von Windows 2000. Klicken Sie zum Fortfahren auf WEITER.
11. Geben Sie als Kennwort für die Wiederherstellung des Verzeichnisdienstes
kennwort ein, und klicken Sie zum Fortfahren auf WEITER.
12. Überprüfen Sie den Schlussbildschirm und vergewissern Sie sich, dass alle
Ihre Eingaben korrekt sind. Klicken Sie zum Fortfahren auf WEITER. Falsche
Eingaben korrigieren Sie, indem Sie mit der Schaltfläche ZURÜCK zurückge-
hen und Änderungen vornehmen.
13. Klicken Sie auf FERTIG STELLEN und starten Sie Ihren Computer nach Auf-
forderung neu.
3.3 Installation von Active Directory verifizieren
In dieser Übung werden Sie verifizieren, dass eine korrekte Installation von Active
Directory stattgefunden hat, und dass der DNS-Server die korrekten Ressourcenein-
träge erhalten hat.
1. Melden Sie sich am Domänencontroller, den Sie gerade erstellt haben, als
Administrator an. Das Kennwort entspricht dem Administratorkennwort vor
der Heraufstufung des Systems.
2. Wählen Sie im Startmenü PROGRAMME/VERWALTUNG aus.
3. Überprüfen Sie, dass die folgenden Active Directory-Programme installiert
sind: Active Directory-Benutzer und Computer, Active Directory-Standorte
und Dienste sowie Active Directory-Domänen und Vertrauensstellungen.
4. Klicken Sie zum Öffnen des DNS-Managers auf DNS.
5. Blenden Sie den Server und anschließend FORWARD-LOOKUPZONEN ein, und
klicken Sie auf W2KBrewing.
6. Sie sollten jetzt vier Unterordner sehen: _msdcs, _sites, _tcp und _udp.
7. Schließen Sie den DNS-Manager.
3.4 Sekundären Domänencontroller hinzufügen
In dieser Übung werden Sie Ihrer Domäne einen zweiten Domänencontroller hinzu-
fügen, was Ihnen ermöglicht, Standorte zu erstellen, und Standortverknüpfungen
und Brücken zu konfigurieren. Diese Übung sollte auf einem Server ausgeführt
werden, auf dem Windows-2000-Server oder Advanced Server läuft, jedoch nicht
auf dem in Übung »Stammdomänencontroller installieren« installierten Server.
Auch diese Übung setzt voraus, dass das Laufwerk, auf dem Windows 2000 instal-
liert ist, mit NTFS formatiert ist.
1. Melden Sie sich am Server als Administrator an.

Sie im Kontextmenü EIGENSCHAFTEN.
3. Klicken Sie auf der Verbindung für Ihre Netzwerkkarte und wählen Sie im
Kontextmenü EIGENSCHAFTEN. Klicken Sie zweimal auf INTERNETPROTO-
KOLL (TCP/IP).
4. Geben Sie für den primären DNS-Server die Adresse Ihres existierenden Ser-
vers ein, die in den vorigen Übungen eingerichtet worden ist.
5. Schließen Sie durch Klicken auf OK die TCP/IP-Eigenschaften, und schlie-
ßen Sie dann durch Klicken auf OK die Verbindungseigenschaften. Schließen
Sie das Dialogfeld LAN-VERBINDUNG.
6. Wählen Sie über das Startmenü AUSFÜHREN, geben Sie dcpromo ein und drü-
cken Sie dann (Enter).
8. Wählen Sie ZUSÄTZLICHER DOMÄNENCONTROLLER FÜR EINE BESTEHENDE
DOMÄNE aus, und klicken Sie auf WEITER.
9. Geben Sie hinsichtlich der Netzwerkberechtigung Administrator als Benut-
zername, Ihr Administratorkennwort und die Domäne W2KBrewing.com als
Domäne ein. Klicken Sie auf WEITER.
10. Geben Sie im Eingabefeld DOMÄNE VERBINDEN W2KBrewing.com ein, und kli-
11. Übernehmen Sie durch Klicken auf WEITER die Standardwerte für die Daten-
bank und Protokolldateien.
12. Übernehmen Sie durch Klicken auf WEITER den Standardwert für den Spei-
cherungsort von SYSVOL.
13. Klicken Sie im Abschlussbildschirm auf FERTIG STELLEN, und starten Sie den
Computer nach Aufforderung neu.
3.5 Standorte und Replikation verwalten
In dieser Übung werden Sie Standorte und Subnetze erstellen, und darüber hinaus
einen der Domänencontroller an einen anderen Standort verschieben. Sie werden
Standortverknüpfungen und Standortverknüpfungsbrücken konfigurieren. Zum
Schluss werden Sie noch einen Domänencontroller als Server für den globalen
Katalog konfigurieren. Diese Übung können Sie an einem beliebigen Computer
durchführen.
Diese Übung konfiguriert das in der Abbildung 3.31 gezeigte Netzwerk.
1. Melden Sie sich als Administrator an.

2. Öffnen Sie über START/PROGRAMME/VERWALTUNG ACTIVE DIRECTORY-
STANDORTE UND -DIENSTE.
3. Blenden Sie den Ordner SITES mit dem standardmäßig vorhandenen Inhalt
ein.
4. Klicken Sie mit der rechten Maustaste auf dem Ordner SITES, und wählen Sie
im Kontextmenü NEUER STANDORT aus.
5. Geben Sie Hauptbuero ein, und klicken Sie in der Liste der Standortverknüp-
fungen auf DEFAULTIPSITELINK.
Abbildung 3.31 Office = Physischer Standort: Büro Office = Physischer Standort: Lager
Ein Beispielnetz-
werk für die Übung
Standorte und Rep- Standort Hauptbüro Standort Produktion
likation verwalten
Router Router
ISDN mit 128 Kbps
Standort Vertrieb Standort Versand
6. Lesen Sie den Hinweis und entfernen Sie ihn dann durch Anklicken von OK.
7. Fügen Sie mit den Schritten 4 bis 6 die folgenden Standorte hinzu:
씰 Produktion
씰 Versand
씰 Vertrieb
8. Blenden Sie den Ordner INTER-SITE TRANSPORTS ein, und klicken Sie mit der
rechten Maustaste auf IP. Wählen Sie im Kontextmenü NEUE STANDORTVER-
KNÜPFUNG aus.
9. Geben Sie als Standortverknüpfungsnamen Lager ein.

10. Klicken Sie in der Liste der Standorte, die nicht Bestandteil dieser Verknüp-
fung sind, auf Produktion, und klicken Sie anschließend auf HINZUFÜGEN.
Machen Sie dasselbe für Versand. Klicken Sie zum Erstellen der Standortver-
knüpfung auf OK.
11. Erstellen Sie eine weitere Standortverknüpfung namens Buero, die die Stand-
orte Hauptbuero und Vertrieb enthält.
12. Blenden Sie erst STANDARDNAME-DES-ERSTEN-STANDORTS und dann den
Ordner SERVERS ein. Ihre beiden Server werden jetzt angezeigt.
13. Klicken Sie mit der rechten Maustaste auf einen der Server, und wählen Sie
im Kontextmenü VERSCHIEBEN aus. Wählen Sie in der Liste Hauptbuero aus,
und klicken Sie auf OK.
14. Verschieben Sie auch die anderen Server mit denselben Schritten in Produktion.
15. Klicken Sie mit der rechten Maustaste auf den Ordner SUBNETS und wählen
Sie im Kontextmenü NEUES SUBNETZ aus.
16. Geben Sie die IP-Adresse 10.1.1.0 mit der Subnetzmaske 255.255.255.0 ein.
Wählen Sie als Standort dieses Subnetzes Hauptbuero aus, und klicken Sie
auf OK.
17. Fügen Sie mit den Schritten 15 und 16 die folgenden zusätzlichen Subnetze
hinzu:
IP-Adresse Maske Standort
10.1.2.0 255.255.255.0 Hauptbuero

10.1.3.0 255.255.255.0 Hauptbuero
10.2.1.0 255.255.255.0 Produktion
10.2.2.0 255.255.255.0 Produktion
10.3.1.0 255.255.255.0 Vertrieb
10.3.2.0 255.255.255.0 Vertrieb
10.4.1.0 255.255.255.0 Versand
18. Klicken Sie unter INTER-SITE TRANSPORTS mit der rechten Maustaste auf IP,
und wählen Sie im Kontextmenü EIGENSCHAFTEN.
19. Deaktivieren Sie das Kontrollkästchen BRÜCKE ZWISCHEN ALLEN STAND-
ORTVERKNÜPFUNGEN HERSTELLEN und klicken Sie auf OK.
20. Klicken Sie noch einmal mit der rechten Maustaste auf IP, und wählen Sie im
Kontextmenü Neue STANDORTVERKNÜPFUNGSBRÜCKE aus.
21. Geben Sie als Namen Crosstown ein und fügen Sie die Standortverknüpfun-
gen Buero und Lager hinzu. Klicken Sie zum Erstellen der Brücke auf OK.
22. Blenden Sie den Standort Hauptbuero und danach den Ordner SERVERS dar-
unter ein. Blenden Sie Ihren Server ein, und klicken Sie mit der rechten
Maustaste auf NTDS SETTINGS.
23. Wählen Sie NEUE ACTIVE DIRECTORY-VERBINDUNG aus. Klicken Sie auf den
anderen Domänencontroller in der Liste, und klicken Sie auf OK.
24. Erstellen Sie mit den Schritten 22 und 23 eine Verbindung vom Server in
Produktion zum Server in Hauptbuero.
25. Klicken Sie mit der rechten Maustaste einen der Server an, und wählen Sie im
Kontextmenü EIGENSCHAFTEN aus. Wählen Sie in der Liste der verfügbaren
Transporte für standortübergreifende Datenübertragungen IP aus. Klicken Sie
auf HINZUFÜGEN, um diesen zum bevorzugten Bridgehead-Server zu ma-
chen. Klicken Sie auf OK.
26. Wiederholen Sie den Schritt 25 für den anderen Server.
27. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS für einen der Ser-
ver und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. Vergewissern Sie
sich, dass GLOBALER KATALOG ausgewählt ist, und klicken Sie auf OK. Wie-
derholen Sie dies für den anderen Server.
28. Schließen Sie den Manager für Standorte und Dienste.
Wiederholungsfragen
1. Welches sind die Hauptgründe zum Erstellen einer Domäne?
2. Was ist der Zweck einer Organisationseinheit?
3. Was ist der Unterschied zwischen einer Standortverknüpfung und einer
Standortverknüpfungsbrücke?
4. Wann würden Sie eine Active Directory-Verbindung erstellen?
5. Was ist die Definition eines Standorts?
6. Was ist der Unterschied zwischen einer Gesamtstruktur und einer Struktur?
7. Welcher Servertyp wird zum Replizieren des Schema eines Unternehmens
verwendet?
8. Welche Optionen können Sie zur Kontrolle der Replikation bei einer Stand-
ortverknüpfung einstellen?
9. Was müssen Sie beim manuellen Erstellen von Standortverknüpfungsbrücken
tun, um die Nutzung Ihrer Standortverknüpfungsbrücken sicherzustellen?
10. Was können Sie tun, um eine Replikation durch alle Standortverknüpfungen
zu erzwingen?
Prüfungsfragen
1. Rolf installiert einen Server mit Windows 2000, der während der Installation
der Active Directory-Struktur in seiner Organisation verwendet werden soll.
Er installiert den DNS-Server, erstellt die Domänen und konfiguriert die dy-
namischen Aktualisierungen. Als er den ersten Domänencontroller zu instal-
lieren versucht, erhält er die Meldung, dass der Domänencontroller für die
Domänen nicht zur Verfügung steht. Er entschließt sich dazu, mit der Instal-
lation fortzufahren und das Problem später anzugehen. Welcher Art wird das
Problem sein, das er später beheben muss?
A. Der DNS-Server muss gestoppt und gestartet werden.
B. Der Server, den er installiert, muss auf den richtigen DNS-Server verwei-
sen.
C. Nur Active Directory-integriertes DNS kann beim Installieren von Active
Directory verwendet werden. Rolf sollte zum Installieren besser den As-
sistenten benutzen.
D. Der DNS-Server, nicht die Zone, muss für dynamische Aktualisierungen
konfiguriert werden.
2. Sally ist Netzwerkadministrator und installiert im Moment Windows 2000
mit Active Directory. Sie hat bemerkt, dass die Replikation zwischen den
15 Domänencontrollern viel von der Bandbreite in Ihrem Ethernet-Netzwerk
mit 10 Mbps beansprucht. Der Ort, an dem sie arbeitet, hat drei Stockwerke.
Sally möchte für jedes Stockwerk einen separaten Standort erstellen. Sie hat
bereits drei Standorte und die Standortverknüpfungen zwischen diesen er-
stellt, kann jedoch keinen Unterschied zur früheren Situation feststellen. Was
sollte Sie als Nächstes tun?
A. Sie muss alle Domänencontroller neu starten.
B. Sie muss warten, bis der Knowledge-Konsistenzprüfer die neuen Verbin-
dungen berechnet hat.
C. Sie muss die Domänencontroller über Active Directory-Standorte und

Dienste in die Subnetze verschieben.
D. Sie kann nichts tun, außer das Netzwerk auf Ethernet mit 100 Mbps zu er-
weitern.
3. Marc ist Administrator eines Netzwerks, welches Bestandteil einer Active
Directory-Struktur ist. Sein Netzwerk ist in vier verschiedene Standorte auf-
geteilt, die sich in zwei großen Stockwerken in einem Bürohochhaus befin-
den. Er hat einen Domänencontroller heruntergefahren, um an dessen
Hardware zu arbeiten. Alles läuft gut, bis ein Benutzer anruft und Marc mit-
teilt, dass er die Ressourcen in einer anderen Domäne der Struktur nicht mehr
finden kann. Was kann das Problem sein?
A. Die Standortverknüpfung zwischen der besagten Domäne und der lokalen
Domäne befindet sich auf dem Computer, an dem Marc gerade arbeitet.
B. Die andere Domäne hat ihren primären Domänencontroller verloren.
C. Die Replikation wurde nicht ausgeführt und ist erst später geplant.
D. Das System, an dem Marc arbeitet, ist für diesen Standort der Server für
den globalen Katalog.
4. Rita hat eine Active Directory-Struktur mit Windows 2000 für Ihre Organisa-
tion erstellt. Sie hat eine einzige Domäne errichtet, die 700 Benutzer und de-
ren Computer enthält. Das Unternehmen ist in zwei Büros mit einer 56 Kbps-
Verbindung dazwischen aufgeteilt. Rita konfiguriert zwei Standorte (einen
für jedes Büro) und eine Standortverknüpfung dazwischen mit SMTP. Die
Replikation zwischen den beiden Standorten scheint jedoch nicht richtig zu
funktionieren. Was sollte Rita nun tun?
A. Sie muss eine unternehmensweite Zertifizierungsstelle erstellen.
B. Sie muss Microsoft Exchange installieren.

C. Sie muss ein SMTP-basiertes Mailsystem installieren.
D. Sie braucht eine Verbindung, die schneller als 56 Kbps ist.

5. Sie dokumentieren gerade für einen Administrator, der ein neu eröffnetes
Büro in Ihrer Organisation betreuen soll, das Verfahren zum Erstellen eines
Standorts. Welches folgende Verfahren eignet sich dazu am besten?
A. Standort erstellen, Standortverknüpfung auswählen, Subnetze hinzufügen
und dann Domänencontroller verschieben.
B. Domänencontroller verschieben, Standort erstellen, Subnetze hinzufügen

und anschließend Standortverknüpfungen auswählen.
C. Temporäre Standortverknüpfungsbrücke erstellen, Domänencontroller

hinzufügen, den erstellten Standort umbenennen und anschließend Sub-
netze hinzufügen.
D. Subnetze erstellen und dann durch Gruppieren einen Standort erstellen.
Als Nächstes die Verknüpfungen erstellen, und dann die Domänencontrol-
ler verschieben.
6. Sie erklären gerade Ihrem Vorgesetzten die Active Directory-Replikation, um
ihn davon zu überzeugen, dass Sie Ihr aktuelles ARCnet-Netzwerk mit
2 Mbps aktualisieren müssen. Sie erläutern die Unterschiede zwischen der
standortübergreifenden und standortinternen Replikation. Welcher der fol-
genden Punkte trifft ausschließlich nur auf die standortübergreifende Repli-
kation zu?
A. Wird vom Knowledge-Konsistenzprüfer verwaltet.
B. Setzt über das Internet-Protokoll Remoteprozeduraufrufe ein.

C. Sendet die Daten in einem komprimierten Format.
D. Wird durch Verbindungsobjekte definiert.
7. Sie haben einen einzelnen Remote-Standort in Ihrem Netzwerk und möchten
sicherstellen, dass die Verbindung so wenig wie möglich von der Replikation
beansprucht wird. Sie erstellen eine Standortverknüpfung für Ihr Büro, und
erstellen danach eine Standortverknüpfung zwischen dem Haupt- und Remo-
te-Standort. Sie erstellen ferner eine Standortverknüpfungsbrücke, damit die
zum Remote-Standort gehenden Daten durch den Hauptstandort fließen. Sie
überwachen die Verbindung und stellen fest, dass die Replikation immer
noch über andere Standorte als dem Hauptstandort stattfindet. Was sollten Sie
tun, um das Problem zu lösen?
A. Schauen Sie, ob es manuell erstellte Verbindungsobjekte gibt, und neh-
men Sie ggf. Korrekturen vor.
B. Stellen Sie sicher, dass die Option ZEITPLAN IGNORIEREN nicht aktiviert
ist.
C. Stellen Sie sicher, dass die Option AKTIVIEREN BEI DER STANDORTVER-
KNÜPFUNGSBRÜCKE aktiviert ist.
D. Stellen Sie sicher, dass die Option BRÜCKE ZWISCHEN ALLEN STANDORT-
VERKNÜPFUNGEN HERSTELLEN nicht aktiviert ist.
8. Sie unterstützen Kollegen bei der Vorbereitung auf die Prüfung 70-217. Sie
befassen sich im Moment mit der Active Directory-Replikation und den ver-
schiedenen Partitionen. Sie stellen den Kollegen die folgenden vier Punkte
vor und fordern Sie auf, den Punkt herauszusuchen, der keine Partition von
Active Directory ist. Welcher Punkt ist es?
A. Schema
B. Konfiguration
C. Globaler Katalog
D. Domäne
9. Die Benutzer in den zwei Remote-Standorten, die Sie betreuen, beklagen sich
darüber, dass die Verbindung zum Hauptbüro, in dem Sie arbeiten, langsam
ist. Sie berichten, dass die Verbindungen seit den letzten Tagen zu langsam
gewesen sei. Sie überprüfen sie und stellen fest, dass sie tatsächlich mit 100%
ihrer Kapazität läuft. Als Sie weitere Untersuchungen anstellen, entdecken
Sie als die Ursache des Problems die Active Directory-Replikation. Beim
Überprüfen der von Ihnen erstellten Standortverknüpfungen finden Sie, dass

die Einstellung, die Verbindungen nur alle vier Stunden am Tag und alle zwei
Stunden in der Nacht auf Änderungen zu prüfen, sinnvoll ist. Was sollten Sie
noch überprüfen?
A. Sie sollten den Zeitplan der Standortverknüpfungsbrücke überprüfen.
B. Sie sollten die Option ZEITPLAN IGNORIEREN überprüfen.
C. Sie sollten sicherstellen, dass nicht andere Operatoren aus irgendeinem
Grunde eine Replikation erzwingen.
D. Sie sollten überprüfen, wie viele Benutzer in den letzten 24 Stunden hin-
zugefügt worden sind.
10. Ihr Unternehmen verfügt über zwei separate Niederlassungen, eine in Tokio
und die andere in Kapstadt. Jede Niederlassung besitzt ihre eigene IT-Abtei-
lung und kontrolliert ihre Benutzer, Computer und Gruppen selber. Gegen-
wärtig haben Sie zwischen den Niederlassungen eine Frame-Relay-
Verbindung mit 512 K, die nahezu zu 100% ausgelastet ist. Das Unternehmen
wird als eine einzige Domäne betrieben. Als Windows-2000-Experte werden
Sie nach einer Empfehlung für die beste Methode gefragt, die Belastung der
Verbindung zu reduzieren. Welche der folgenden Methoden schlagen Sie vor?
A. Das Netzwerk läuft optimal. Unternehmen Sie gar nichts.
B. Schlagen Sie zwei Standorte vor, einen für jede Niederlassung.
C. Schlagen Sie zwei Organisationseinheiten vor, eine für jede

Niederlassung.
D. Schlagen Sie zwei Domänen vor, eine für jede Niederlassung.
11. Sie schreiben gerade ein Dokument, welches als Grundlage für die Administ-
ratoren Ihres Netzwerks dienen soll. Sie haben gegenwärtig 74.234 Benutzer
im Netzwerk, welches den ganzen Globus umspannt. Sie fassen vor der Be-
schreibung der Einzelheiten die Schritte zusammen, mit denen ein Standort
erstellt wird. Welcher der folgenden Punkte stellt eine zutreffende Zusam-
menfassung dieser Schritte dar?
A. Subnetze erstellen, Standorte benennen und dann die Subnetze verschie-
ben.
B. Standort erstellen und mit einer Standortverknüpfung verbinden, Subnetze
erstellen und dann einen Controller an den Standort verschieben.
C. Standortverknüpfung erstellen und dann den Standort, einen Domänen-

controller an den Standort verschieben und dann die Subnetze erstellen.
D. Standort erstellen und sicherstellen, dass die Standortverknüpfungen kor-

rekt sind, die Subnetze erstellen und dann die Server dahin verschieben.
12. Sie fügen Ihrem Netzwerk einen Remote-Standort hinzu, der mit einer ISDN-
Leitung mit 128 K angebunden wird. Die ISDN-Leitung wird erwartungsge-
mäß tagsüber zu annähernd 80% und in der Nacht zu 30% ausgelastet sein.
Sie möchten gewährleisten, dass die Replikation tagsüber nicht zuviel Band-
breite beansprucht, während die Bandbreite in der Nacht genügen soll, um
alle Synchronisierungen zu erledigen. Die Netzwerkdesigner haben Ihnen ge-
sagt, dass Sie mindestens einmal am Tag replizieren müssen. Welcher der
folgenden Punkte löst diese Anforderungen am besten?
A. Erstellen Sie eine Standortverknüpfung, die nur in der Nacht repliziert. Er-
zwingen Sie manuell einmal täglich eine Replikation.
B. Erstellen Sie eine Standortverknüpfung mit einem Intervall von 30 Minu-
ten, die in der Nacht genutzt wird, und eine andere Standortverknüpfung,
die während des Tages mit einem Intervall von 6 Stunden betrieben wird.
C. Erstellen Sie eine Standortverknüpfung, die in der Nacht mit Kosten von
10 und tagsüber über einen Zeitplan mit den Kosten von 99 betrieben
wird.
D. Erstellen Sie eine Standortverknüpfung, die während der Nacht mit stan-
dardmäßigen Kosten und Intervallen genutzt wird, und eine andere Stand-
ortverknüpfung, die nur von Mittag bis 1 Uhr nachts zur Verfügung steht.
13. Sie haben zwei Standorte, die unter Verwendung einer T1-Leitung miteinan-
der verbunden sind. Sie arbeiten an der Optimierung des Replikationsver-
kehrs zwischen den Standorten. Jeder Standort enthält einen Highend-
Domänencontroller, der dediziert für den globalen Katalog zuständig ist. Sie
möchten sicherstellen, dass die Replikation über die Standortverknüpfung
diese beiden Controller nutzt. Was müssen Sie dafür tun?
A. Erstellen Sie Verbindungsobjekte zum Verbinden dieser Server.
B. Erstellen Sie eine Standortverknüpfungsbrücke, die diese Server verbin-
det.
C. Stellen Sie sicher, dass die Standortverknüpfung diese Server als Bridge-
head-Server kennzeichnet.
D. Erstellen Sie für jeden Server einen separaten Standort und verbinden Sie
diese Standorte. Anschließend konfigurieren Sie eine Standortverknüp-
fung zwischen den Servern und den anderen Servern Ihres Netzwerks.
14. Sie haben die Standortverknüpfungen und Standortverknüpfungsbrücken Ih-
res Netzwerks konfiguriert. Die Replikation funktioniert und alle Standorte
erhalten ordnungsgemäß die Aktualisierung von Active Directory. Sie be-
schreiben das Netzwerk, mit dem Sie arbeiten, einem Kollegen, der Ihnen
mitteilt, dass Sie die Standortverknüpfungsbrücken gar nicht konfigurieren
mussten. Warum brauchen Sie die Standortverknüpfungsbrücken nicht?
A. Der KCC erstellt die Standortverknüpfungsbrücken für Sie.
B. Die Standorte werden automatisch überbrückt.
C. Der Domänen-Namensmaster übernimmt diese Sache für Sie.

D. Der globale Katalog übernimmt diese Sache für Sie.
15. Ihr Netzwerk läuft sehr stabil – die Benutzer ändern nicht viel und die Com-
puter auch nicht. Die vorhandene Struktur funktioniert, und Sie nehmen nur
selten Änderungen in Active Directory vor. Sie haben sich mit einem Band-
breitenproblem zwischen dem Hauptstandort und einem Remote-Standort be-
schäftigt und festgestellt, dass es Replikationsverkehr gibt, der während des
Tages durch diese Verbindung geht. Was können Sie tun, um diesen Verkehr
zu beseitigen?
A. Erstellen Sie eine Standortverknüpfung, die nur nachts repliziert.
B. Erstellen Sie eine Standortverknüpfungsbrücke, die nur nachts repliziert.
C. Erstellen Sie zwei Standorte, von denen der eine tagsüber mit einem lang-
samen Zeitplan und der andere häufiger in der Nacht repliziert.
D. Erstellen Sie zwei Standortverknüpfungsbrücken, von denen eine mit ei-

nem langsamen Zeitplan während des Tages und die andere nachts häufi-
ger repliziert.

1. Domänen bilden eine Replikations- und Sicherheitsgrenze innerhalb Ihrer Or-
ganisation. Benutzer, die Mitglieder der Sicherheitsgruppe Organisations-Ad-
mins sind, haben die Möglichkeit, sämtliche Domänen zu kontrollieren.
Benutzer jedoch, die Mitglieder der Sicherheitsgruppe Domänen-Admins
sind, können nur ihre eigene Domäne kontrollieren. Siehe dazu den Abschnitt
»Grundlagen der logischen Struktur von Active Directory«.
2. Eine Organisationseinheit kann dazu verwendet werden, die Kontrolle über

eine ausgewählte Gruppe von Benutzern, Computern und anderen Objekten
innerhalb einer Domäne an einen Benutzer oder eine Gruppe zu delegieren.
Hierdurch wird quasi ein Administrator-ähnliches Konto mit begrenzten Be-
fugnissen erzeugt. Organisationseinheiten können auch zum Anwenden von
Gruppenrichtlinien verwendet werde. Siehe dazu den Abschnitt »Organisati-
onseinheiten«.
3. Eine Standortverknüpfung wird dazu verwendet, einen Netzwerkpfad zu be-
schreiben, der direkt zwischen zwei Standorten existiert, während eine Stand-
ortverknüpfungsbrücke einen Pfad zwischen zwei Standorten beschreibt, der
einen dritten Standort beinhaltet, mit dem beide Standorte über eine Standort-
verknüpfung verbunden sind. Siehe dazu den Abschnitt »Replikation zwi-
schen Standorten«.
4. Normalerweise brauchen Sie keine Active Directory-Verbindungen erstellen.
Die Ausnahme stellt ein Fall dar, in dem der Knowledge-Konsistenzprüfer
nicht in der Lage ist, die Verbindung zwischen zwei Servern eindeutig ausfin-
dig zu machen. Verbindungen stellen einen direkten Pfad zwischen zwei Ser-
vern dar. Siehe dazu den Abschnitt »Verbindungsobjekte«.
5. Ein Standort wird als Zusammenschluss eines oder mehrerer Subnetze defi-
niert, die über ein Hochgeschwindigkeitsnetzwerk (oberhalb von T1) mitei-
nander verbunden sind. Siehe dazu den Abschnitt »Mit Standorten arbeiten«.
6. Eine Struktur stellt einen Aufbau dar, der mit einer Stammdomäne beginnt,
die dann nur noch direkte Unterdomänen enthält. Alle Domänen nutzen einen
gemeinsamen Namespace. Über eine Gesamtstruktur können Sie denselben
Strukturtyp mit der Ausnahme erstellen, dass es mehr als einen Namespace
geben kann. Siehe dazu den Abschnitt »Strukturen und Gesamtstrukturen«.
7. Während die Domänencontroller einer Domäne für die Replikation von Ob-
jekten verantwortlich sind, die zur Domäne gehören, replizieren die Server
für den globalen Katalog alle das Unternehmen betreffenden Informationen,
wie die Liste der Objekte, das Schema und die Konfigurationsinformationen.
Siehe dazu den Abschnitt »Server für den globalen Katalog«.
8. Die Optionen, die Sie für eine Standortverknüpfung einstellen können, bein-
halten die geplanten Zeiträume, zu denen die Standortverknüpfung verfügbar
ist, und den Intervall (die Häufigkeit), in dem die Controller nach Änderun-
gen suchen. Siehe dazu den Abschnitt »Replikation zwischen Standorten«.
9. Standardmäßig sind alle Standortverknüpfungen überbrückt. Dies bedeutet,
dass alle Standorte über jede Kombination von Standortverknüpfungen er-
reicht werden können. Wenn Sie dies manuell handhaben wollen, müssen Sie
in den IP- bzw. SMTP-Einstellungen die automatische Standortverknüp-
fungsbrücke abschalten. Siehe dazu den Abschnitt »Replikation zwischen
Standorten«.
10. Standortverknüpfungen sind nur während geplanter Zeiten verfügbar. Falls

Sie erzwingen müssen, dass alle von ihnen verfügbar sind, müssen Sie die
Option ZEITPLAN IGNORIEREN in den IP- oder SMTP-Eigenschaften aktivie-
ren. Siehe dazu den Abschnitt »Replikation zwischen Standorten«.
1. B. In diesem Fall ist die wahrscheinliche Ursache, dass der neue Domänen-
controller nicht auf den richtigen DNS-Server zeigt. Der DNS-Dienst in Win-
dows 2000 kann sowohl dynamische als auch nichtdynamische Zonen
beherbergen. In dieser Frage ist er auf der Zonenebene eingestellt, sodass
Antwort D nicht korrekt ist. Das Umschalten erfordert kein Starten und Stop-
pen, sodass auch die Antwort A falsch ist. Die Antwort C ist zwar interessant,
weil sie zum bekannten Henne-Ei-Problem führt, aber nichtsdestotrotz falsch.
Siehe dazu den Abschnitt »Die erste Domäne installieren«.
2. C. Obwohl eine Erweiterung auf 100 Mbps wahrscheinlich alle Benutzer die-
ses Netzwerks glücklich machen würde, ist dies nicht erforderlich und macht
daher die Antwort D zu einer falschen Antwort. Wenn Sie bei jedem Hinzu-
fügen eines Standorts alle Server in Ihrer Organisation neu starten müssten,
würde keiner mehr Lust haben, mit dem Betriebssystem zu arbeiten – Ant-
wort A ist daher falsch. Bei einer Neuberechnung der Verbindungen kann es
zwar eine Verzögerung von einigen Minuten geben, jedoch keine längere.
Die Antwort B ist daher falsch und Antwort C die richtige. Sie ist sinnvoll,
weil so die Domänencontroller alle im Standort verbleiben und mit derselben
Rate replizieren. Siehe dazu den Abschnitt »Domänencontroller verschie-
ben«.
3. D. In diesem Fall ist die Antwort A falsch, weil Standortverknüpfungen zwi-
schen den Standorten derselben Domäne liegen. Die Antwort B ist ebenfalls
falsch, weil es keine PDCs, sondern nur noch Domänencontroller gibt. Die
Zeitplanung für Replikationen wird bei Standortverknüpfungen eingestellt,
und die Ressourcen, die der Benutzer braucht, befinden sich in einer anderen
Domäne, sodass also auch die Antwort C falsch ist. Damit bleibt nur noch die
(richtige) Antwort D. Da der globale Katalog alle Objekte des Unternehmens
(außer einigen wenigen Attributen) repliziert, damit die Objekte gefunden
werden können, ist es einleuchtend, dass der Benutzer sie ohne den Server für
den globalen Katalog nicht finden kann. Siehe dazu den Abschnitt »Server
für den globalen Katalog«.
4. A. Falls Sie für Ihre Standortverknüpfungen SMTP verwenden, brauchen Sie
eine unternehmensweite Zertifizierungsstelle, die die SMTP-Pakete signiert,
die gesendet werden. Die SMTP-Pakete werden zwischen den in die Stand-
ortverknüpfung eingebundenen Servern ausgetauscht und verwenden keine
Mailserver. Die Antworten B und C sind daher nicht richtig. SMTP (E-Mail)
kann sogar über ein langsames Modem mit nur 110 Baud funktionieren, wes-
halb die Antwort D falsch ist. Siehe dazu den Abschnitt »Replikation zwi-
schen Standorten«.
5. A. In diesem Fall besteht die beste Antwort darin, zuerst den Standort zu er-
stellen, sodass die Antworten B, C und D falsch sind. Während der Erstellung
des Standorts werden Sie nach der Standortverknüpfung gefragt, zu der dieser
Standort gehören soll. Anschließend können Sie Subnetze und Domänencon-
troller hinzufügen (in beliebiger Reihenfolge). Siehe dazu den Abschnitt »In-
formationen in Active Directory replizieren«.
6. C. In diesem Fall besteht der ausschließliche Unterschied nur darin, dass die
Daten komprimiert werden. Die anderen Unterschiede sind, dass Sie die Rep-
likation zwischen Standorten planen und das Intervall für die Suche nach
Änderungen einstellen können. Außerdem können Sie verschiedene Verknüp-
fungen zu verschiedenen Kosten zwischen zwei Standorten haben, und
zwischen den Standorten SMTP verwenden. Nachdem Sie eine Standortver-
knüpfung definiert haben, bearbeitet der KCC die Verbindungen für Sie, so-
dass die Antwort A nicht zutrifft. Die standortübergreifende Replikation kann
SMTP verwenden, aber auch RPC über IP, sodass Antwort B nicht stimmt.
Die Antwort D ist falsch, weil der KCC automatisch alle erforderlichen Ver-
knüpfungen für Sie einrichtet. Siehe dazu den Abschnitt »Informationen in
Active Directory replizieren«.
7. D. In diesem Fall können Sie zwar ein Problem mit einer manuell erstellten
Verbindung haben, jedoch muss auch eine manuell erstellte Verbindung den
Informationen der Standortverknüpfung entsprechen, weshalb die Antwort A
nicht richtig ist. Die Antwort B kann zu einem Problem führen, weil die Rep-
likation kontinuierlich stattfindet, obwohl dies jedoch nicht die Standortver-
knüpfungsbrücke ignorieren würde. Die Antwort C ist keine zulässige
Option, was bedeutet, dass die Antwort D die einzig richtige ist. Diese Option
ist standardmäßig aktiviert und muss von Ihnen abgeschaltet werden, wenn
Sie Standortverknüpfungsbrücken erstellen möchten. Siehe dazu den Ab-
schnitt »Replikation zwischen Standorten«.
8. C. Es gibt drei große Partitionen im Active Directory: Die Schemapartition,
die sämtliche Attribute und Klassen enthält, die die Datenbank definieren, die
Konfigurationspartition zum Speichern der Domänen- und Vertrauensstel-
lungsinformationen, sowie die Domänenpartition mit den Informationen zu
jedem Objekt in der Domäne. Der globale Katalog stellt eine Untermenge
von Attributen dar und ist in Wirklichkeit keine separate Partition. Siehe dazu
den Abschnitt »Informationen in Active Directory replizieren«.
9. B. Standortverknüpfungsbrücken verfügen nicht über Zeitpläne, sodass die
Antwort A nicht zutreffend ist. Andere Operatoren können zwar eine Repli-
kation über die Verknüpfung erzwingen, jedoch kaum kontinuierlich die gan-
ze Woche hindurch, weshalb die Antwort C falsch ist. Die Antwort D entfällt
aus einem ähnlichen Grunde – es wird kaum eine Woche brauchen, bis die
Active Directory-Replikation abgeschlossen ist, sofern Sie kein Modem mit
110 Baud einsetzen. Antwort B bleibt daher die einzig mögliche und ist auch
sinnvoll. Diese Option kann dazu verwendet werden, erforderlichenfalls die
Replikation zu erzwingen, sollte aber nach Beendigung unverzüglich wieder
abgeschaltet werden, damit die Zeitpläne der Standortverknüpfungen ge-
währleistet bleiben. Siehe dazu den Abschnitt »Replikation zwischen Stand-
orten«.
10. D. In einem Fall wie diesem, in dem Sie auf beiden Seiten der Verbindung
Administratoren haben, und die Orte aus geografischen (wie in diesem Fall)
oder geschäftlichen Gründen weitgehend unabhängig voneinander betrieben
werden, werden Sie normalerweise eine Domäne in Betracht ziehen. Denken
Sie wieder daran, dass eine Domäne eine Grenze hinsichtlich der Replikation
und Sicherheit darstellt. Das Netzwerk ist bei näherer Betrachtung sicher
nicht gerade optimal. Die Idee zweiter Standorte könnte funktionieren, sofern
es nur eine Administration an einem der Standorte gibt, oder die Einheiten
enger zusammenarbeiten würden, was aber hier nicht der Fall ist. Mit einer
Organisationseinheit, die nützlich für die Anwendung von Richtlinien und die
Delegierung der Kontrolle ist, können Sie keine Zeitplanung von Replikatio-
nen machen, was das Problem daher nicht löst. Siehe dazu den Abschnitt
»Grundlagen der logischen Struktur von Active Directory«.
11. B. Wenn Sie einen Standort erstellen, erstellen Sie als Erstes den Standortna-
men, und wählen dann die Standortverknüpfung aus, zu der er gehört. Ist die
Standortverknüpfung nicht passend, können Sie eine neue erstellen. Als
Nächstes erstellen Sie die Subnetze, die Bestandteil des Standorts werden sol-
len, und verschieben anschließend die Domänencontroller in den Standort
bzw. erstellen diese darin. Außerdem sollten Sie noch die Lizenzierungs-
standorteinstellungen konfigurieren. Siehe dazu den Abschnitt »Mit Standor-
ten arbeiten«.
12. D. Sie nutzen in diesem Fall zwei Standortverknüpfungen, damit alles auto-
matisch erledigt wird. Der nächtliche Zeitplan wird mit dem Standardwert gut
laufen, und könnte sogar noch häufiger ablaufen. Alles was Sie darüber hi-
naus noch tun müssen, besteht darin, einmal am Tag zu replizieren (am we-
nigsten Unterbrechung werden Sie verursachen, wenn Sie zur Mittagszeit
replizieren!). Siehe dazu den Abschnitt »Replikation zwischen Standorten«.
13. A. Durch Erstellen einer Verbindung, d.h., eines Netzwerkpfades zwischen
diesen Servern, können Sie festlegen, welchem Pfad die Replikation folgen
soll. Außerdem könnten Sie die Serverobjekte als Bridgehead-Server für die-
ses Replikationsprotokoll konfigurieren, was jedoch dazu führen würde, dass
sie zu den Hauptservern für alle Standortverknüpfungen würden, die dieses
Protokoll einsetzen. Die Standortverknüpfung besitzt keine Option zum Fest-
legen des Bridgehead-Servers, und eine Standortverknüpfungsbrücke wird

zum Verknüpfen von Standorten, nicht von Servern, verwendet. Die letzte
Antwort D kann funktionieren, wenn Sie die automatische Standortüberbrü-
ckung abgeschaltet hätten. Siehe dazu den Abschnitt »Verbindungsobjekte«.
14. B. Obwohl KCC keine Standortverknüpfungsbrücken erstellt, erzeugt er doch
die erforderlichen Verbindungen, damit alle Standorte die Active Directory-
Änderungen erhalten. Der Domänen-Namensmaster hat mit Domänen zu tun,
weshalb die Antwort C falsch ist. Der globale Katalog hat hiermit nichts zu
tun, wodurch die Antwort D falsch wird. Siehe dazu den Abschnitt »Standort-
verknüpfungsbrücken«.
15. A. In diesem Fall können Sie die Replikation erzwingen, falls es ein Problem
geben sollte, aber es gibt keinen besonderen Grund dafür, dies auch weiterhin
zu tun, wenn das Netzwerk einmal einen stabilen Zustand erreicht hat. Die
Antworten B und D sind falsch, weil sie von Standortverknüpfungsbrücken
sprechen, während die Antwort C nicht die beste Antwort darstellt, da es im-
mer noch Replikationstätigkeit während des Tages gibt. Siehe dazu den Ab-
schnitt »Replikation zwischen Standorten«.

Windows 2000 Server Resource Kit. Deployment Planning Guide, Microsoft,
2000.
Brovick, Hauger, Wade: Windows 2000 Active Directory, Markt+Technik

2000.
Active Directory-
Dienste verwalten
Lernziele
4
Dieses Kapitel hilft Ihnen bei der Vorbereitung auf das Thema »Active Directory-
Objekte verwalten« sowie Teilen des Themas »Installieren, Konfigurieren und Feh-
lerbehebung der Komponenten von Active Directory« der Microsoft-Prüfung.
Active Directory-Objekte verwalten

씰 Active Directory-Objekte verschieben
씰 Ressourcen in Active Directory veröffentlichen
씰 Objekte in Active Directory suchen
씰 Konten manuell oder über Skripte erstellen
씰 Zugang zu Active Directory-Objekten kontrollieren
씰 Administrative Kontrolle über Active Directory-Objekte delegieren
Das Letzte ist ein Schlüsselthema, welches aufgenommen wurde, um sicherzustel-
len, dass Sie dem Verzeichnis Benutzer- und Computerkonten hinzufügen können.
Eine der bedeutendsten Änderungen in den Verzeichnisdiensten seit NT 4.0 betrifft

die Fähigkeit, Berechtigungen für Objekte in Active Directory vergeben zu können.
Sie müssen diese Berechtigungen daher sowohl vergeben als auch die damit zusam-
menhängenden Implikationen verstehen können.
Active Directory verfügt außerdem über die Fähigkeit, Drucker und Freigaben im
Netzwerk aufzulisten. Wie schon beim Hinzufügen von Benutzern und Computern
müssen Sie auch hier in der Lage sein, diese Objekte Active Directory über eine
Veröffentlichung hinzuzufügen.
Außer dem Hinzufügen von Benutzern, Computern, Freigaben und Druckern müs-
sen Sie dann noch wissen, wie Sie diese Objekte sowohl vom Gesichtspunkt des
Administrators als auch des Benutzers ausfindig machen können.
180 Kapitel 4 Active Directory-Dienste verwalten
Active Directory verfügt über die Fähigkeit, die Administration von Teilen des Ver-
zeichnisses an andere Benutzer oder Gruppen zu delegieren. In den Übungen dieses
Kapitels wird getestet werden, ob Sie in der Lage sind, die einzelnen Schritte der
Delegierung auszuführen.
Sie müssen ferner in der Lage sein, Benutzer innerhalb einer Domäne, zwischen
Organisationseinheiten und Domänen zu verschieben. Auch dies ist in Active
Directory neu, denn in NT 4.0 wurde das Objekt vor dem Verschieben erst gelöscht
und dann neu erstellt.

Active Directory
씰 Struktur von Organisationseinheiten implementieren
Organisationseinheiten in Active Directory dienen dem Ersatz der Ressourcendo-
mänen. Dieses Thema in Verbindung mit der Delegierung wurde einbezogen, um
sicherzustellen, dass Sie effektiv mit Organisationseinheiten umgehen können.
In diesem Kapitel werden viele verschiedene Themen behandelt, die alle mit den
Grundfunktionen eines Administrators zu tun haben. Manche dieser Funktionen
haben Sie vielleicht schon einmal ausgeführt, und Sie werden sich an sie beim
Lesen dieses Kapitels erinnern. Insbesondere sollten Sie auf die folgenden Punkte
achten:
씰 Beachten Sie, wie Objekte verwaltet werden, d.h., das Erstellen, Ändern,
Verschieben und Löschen.
씰 Obwohl es sich dabei nicht um ein Prüfungsthema handelt, sollten Sie ver-
standen haben, wie Gruppen funktionieren. Außerdem sollten Sie die Regel
Konten-sind-in-globalen-Gruppen-zusammengefasst-die-wiederum-zu-
domänenlokalen-Gruppen-gehören-die-die-Berechtigungen-haben beherr-
schen!
씰 Sie sollten die Funktion universeller Gruppen kennen.
씰 Achten Sie auf die Beschreibungen der Registerkarten, die bei Suchvorgän-
gen verwendet werden.
씰 Achten Sie darauf, wie Organisationseinheiten eingesetzt werden.
씰 Vertiefen Sie die Option zur Freigabe von Verzeichnissen, und wie diese
Freigaben in Active Directory gelangen. Hierzu gehören auch Drucker.
4.1 Einführung 181
4.1 Einführung
Die Verwaltung der Objekte eines großen Netzwerks macht einen großen Teil der
Arbeitszeit eines Netzwerkadministrators aus. Dieses Kapitel betrachtet einige der
Schlüsselbestandteile der Netzwerkadministration und erläutert, wie diese notwen-
digen Funktionen ausgeführt werden.
Das Kapitel beginnt mit dem Hinzufügen von Benutzer- und Computerkonten und
zeigt dann, wie Gruppen von Benutzern und Computern auf einmal verwaltet wer-
den. Nachdem Sie gesehen haben, wie Sie Benutzer und Computer Ihrem Netzwerk
hinzufügen können, werden Sie erfahren, wie Sie Objekte in Active Directory als
Administrator oder Benutzer ausfindig machen.
Sie werden im Verlaufe der Darstellung selbst feststellen, wie einfach die Arbeit
und die Suche in Active Directory ist. Die Diskussion wendet sich dann der Sicher-
heit der Objekte in Active Directory zu. Es wird weiterhin eine Erörterung der
Organisationseinheiten und der Delegierung der Autorität einschließlich der Ein-
richtung eines Benutzer oder einer Gruppe zur Verwaltung eines Teils von Active
Directory geben.
Anschließend wird demonstriert, wie Sie Objekte im Verzeichnis verschieben kön-

nen, und zwar sowohl innerhalb einer Domäne als auch zwischen Domänen. Dann
folgt das Hinzufügen von Freigaben und Druckern sowie ein Ausblick auf die Über-
wachung und Fehlerbehebung von Active Directory.
4.2 Administrative Grundfunktionen

Active Directory-Objekte verwalten.
씰 Konten manuell oder mit Skripten erstellen und verwalten
Jedes System und jeder Benutzer in einem Windows-2000-Netzwerk muss über die
eine oder andere Form eines Sicherheitskontextes, also eine Art der Identifikation,
verfügen. Die Fähigkeit zum Erstellen und Verwalten von Benutzer- und Computer-
konten ist daher wesentlich, um ein Netzwerk einsatzbereit zu machen. Mit einem
Benutzer- oder Computerkonto werden die folgenden Funktionen ausgeführt:
씰 Die Identität des Benutzers oder Computers authentifizieren
씰 Den Zugang zu Domänenressourcen autorisieren bzw. ablehnen

씰 Andere Sicherheitsprincipale verwalten
씰 Aktionen überwachen, die unter Verwendung eines Benutzer- oder Compu-

terkontos durchgeführt werden
HINWEIS
Definition
Sicherheitsprincipale sind Verzeichnisobjekte, denen automatisch Sicherheits-
IDs zugewiesen werden. Objekte mit Sicherheits-IDs können sich am Netzwerk
anmelden und auf Domänenressourcen zugreifen.
Da jede Netzwerkanmeldung immer zuerst mit dem Computerkonto zu tun hat,

beginnt der folgende Abschnitt mit der Erörterung des Computerkontos.
4.2.1 Computerkonto
In Windows 2000 wurde die Administration des Computerkontos erweitert und
kann nun fast so wie ein Benutzerkonto verwaltet werden. Jeder Computer, auf dem
Windows 2000 oder Windows NT 4.0 läuft, kann sich an der Domäne anmelden
und wird daher beim Hochfahren auch authentifiziert.
Durch die Authentifizierung des Computers kann das Netzwerk die Aktivitäten des
Computers überwachen und ihn von einer zentralen Stelle aus verwalten. Möglich
ist dies nur für Computer mit Windows 2000 und Windows NT 4.0, während
Windows 95 und 98 noch nicht über die erforderlichen erweiterten Sicherheitsfunk-
tionen verfügen. Zwar kann ein Benutzer unter diesen Betriebssystemen den PC als
Arbeitsplatz im Netzwerk einsetzen, jedoch kann der Computer selbst noch nicht
verwaltet werden.
Computer verwalten
Das Programm, welches Sie zum Verwalten der Computer eines Netzwerks ein-
setzen, ist das Snap-In Active Directory-Benutzer und -Computer. Mit diesem
Programm sind Sie in der Lage, Computerkonten hinzuzufügen, zu löschen, zu ver-
schieben und zu verwalten. Standardmäßig verfügt nur die Gruppe Domänen-
Admins über die Berechtigung zum Hinzufügen und Verwalten von Computern
einer Domäne.
Mit Computern können Sie verschiedene Dinge anstellen. Als Erstes werden Sie
erfahren, wie Sie einen Computer hinzufügen. Sie erledigen dies entweder über den
Computer selbst (siehe die folgende Schritt-für-Schritt-Anleitung) oder über Active
Directory-Benutzer und -Computer.
4.2 Administrative Grundfunktionen 183

4.1 Über den Computer der Domäne den Computer hinzufügen
1. Klicken Sie mit der rechten Maustaste auf ARBEITSPLATZ auf dem Desktop
und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
2. Klicken Sie auf die Registerkarte NETZWERKIDENTIFIKATION, und klicken
Sie die Schaltfläche EIGENSCHAFTEN an.
3. Geben Sie den Namen der Domäne ein, an der der Computer teilhaben soll.
4. Aktivieren Sie ggf. das Kontrollkästchen COMPUTERKONTO IN DER DOMÄNE
ERSTELLEN und geben Sie einen Benutzernamen und ein Kennwort ein, mit
denen die erforderlichen Berechtigungen zum Hinzufügen von Computern in
der Domäne verbunden sind. Dies ist Voraussetzung in dem Fall, dass Sie
einen Computer hinzufügen, ohne zuerst das Konto erstellt zu haben.
5. Klicken Sie auf OK. Es wird Ihnen nun eine Begrüßungsmeldung für die
Domäne angezeigt.
Mit diesen Schritten können Sie auf einfache Weise beim Installieren des Systems
der Domäne einen Computer hinzufügen.
Sie können das Computerkonto auch vor der Installation des Computers erstellen. In
einem solchen Fall muss die Person, die die Installation ausführt, kein Mitglied der
Gruppe Domänen-Admins sein, da kein Computerkonto in der Domäne erstellt wer-
den muss. Führen Sie zum Hinzufügen eines Computerkontos zur Domäne noch vor
dem eigentlichen Hinzufügen des Computers die folgende Schritt-für-Schritt-Anlei-
tung aus.

4.2 Computerkonto hinzufügen
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
2. Klicken Sie in der Baumstruktur im Konsolenfenster auf COMPUTERS bzw.
den Container, dem Sie den Computer hinzufügen möchten.
3. Klicken Sie mit der rechten Maustaste auf den Container, dem Sie den Com-
puter hinzufügen möchten, und zeigen Sie dann auf NEU/COMPUTER.
4. Geben Sie den Computernamen im Dialogfeld NEUES OBJEKT – COMPUTER
ein, und klicken Sie dann auf WEITER (siehe Abbildung 4.1). Falls Sie möch-
ten, können Sie noch die Gruppe oder den Benutzer ändern, der zum Hinzu-
fügen des Computers zur Domäne berechtigt ist. Durch Aktivieren des Kon-
trollkästchens WINDOWS NT 3.5X/4.0 DIE VERWENDUNG DIESES KONTOS

GESTATTEN können Sie außerdem einem Computer mit Windows NT erlau-
ben, dieses Konto zu nutzen.
5. Falls der Computer, den Sie hinzufügen, ein verwalteter Computer ist, kön-
nen Sie durch Aktivieren der Option VERWALTETER COMPUTER und Eingabe
der ID Active Directory auch für die Aufnahme der global eindeutigen Com-
puterkennung sorgen. Klicken Sie nach Ihren Eingaben auf WEITER.
6. Klicken Sie im nächsten Bildschirm auf FERTIG STELLEN, um das Computer-
konto hinzuzufügen.
Abbildung 4.1
Geben Sie in die-

sem Bildschirm
den Namen des
Computers ein,
den Sie hinzufügen
Nachdem Sie Active Directory das Computerkonto hinzugefügt haben, werden Sie
wahrscheinlich die Eigenschaften des Computerkontos einstellen wollen. Von die-
sen stehen Ihnen viele direkt zur Verfügung, während andere nur der Information
dienen. Zum Ändern der Eigenschaften führen Sie die folgende Schritt-für-Schritt-
Anleitung aus.

4.3 Eigenschaften von Computerkonto ändern
2. Klicken Sie in der Baumstruktur im Konsolenfenster auf den Container mit
dem Computer, dessen Eigenschaften Sie ändern möchten.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer,
und wählen Sie dann im Kontextmenü EIGENSCHAFTEN aus.
4. Stellen Sie die gewünschten Eigenschaften ein, und klicken Sie auf OK.
Die ersten zwei Schritt-für-Schritt-Anleitungen haben Ihnen gezeigt, wie Sie das
Computerkonto erstellen. Die folgende Anleitung demonstriert, wie Sie die Eigen-
schaften eines Computerkontos einstellen, von denen es viele verschiedene gibt.
In der folgenden Liste werden die einzelnen Optionen aufgeführt, die Sie in den
Registerkarten des Dialogfeldes EIGENSCHAFTEN einstellen können.
씰 ALLGEMEIN. Auf dieser Registerkarte wird der Computername, der DNS-

Name und die Rolle des Computers angezeigt. Sie können eine Beschreibung
hinzufügen, oder auch den Computer als Vertrauenscomputer zum Delegie-
ren einrichten. Damit kann das lokale Systemkonto auf dem Computer Diens-
te von einem anderen System im Netzwerk anfordern.
씰 BETRIEBSSYSTEM. Diese Registerkarte bietet Ihnen Informationen über das

Betriebssystem des Computers einschließlich des Namens, der Version und
des Service Packs.
씰 MITGLIED VON. Hiermit können Sie die Gruppenmitgliedschaft des Compu-

ters kontrollieren. Unter Windows 2000 können Computer zu administrativen
Zwecken und für die Gruppenrichtlinienfilterung in Gruppen aufgenommen
werden. Zum Hinzufügen eines Computers in eine Gruppe wählen Sie HIN-
ZUFÜGEN, und legen über die angezeigte Liste die Gruppe fest. Wenn Sie ei-
nen Computer aus der Liste entfernen möchten, klicken Sie erst auf den
Gruppennamen und anschließend auf ENTFERNEN. Die Option PRIMÄRE
GRUPPE FESTLEGEN wird später in diesem Kapitel erörtert.
씰 STANDORT. Hier können Sie den Ort des Computers eingeben.
씰 VERWALTET VON. Hiermit können Sie das Benutzer- oder Gruppenkonto ein-
richten, mit dem der Computer verwaltet wird. Falls Sie Kontaktinformatio-
nen für den Benutzer eingegeben haben, werden diese hier angezeigt.
씰 OBJEKT. Dies ist der vollständige Name des Objekts, sein Erstellungsdatum
und die Aktualisierungsinformation.
씰 SICHERHEITSEINSTELLUNGEN. An dieser Stelle können Sie die Sicherheit des

Objekts einrichten, womit nicht die Sicherheit auf dem Computer, sondern
des Objekts in Active Directory gemeint ist. Dieses Thema wird weiter unten
im Kapitel behandelt.
Gelegentlich müssen Sie einen Computer aus Active Directory wieder entfernen,
was beispielsweise der Fall sein kann, wenn er in eine andere Domäne kommt oder
aus anderen Gründen entfernt wird. Zum Löschen eines Computerkontos führen Sie
die folgenden Schritte aus.

4.4 Computerkonto löschen
2. Klicken Sie in der Baumstruktur der Konsole den Ordner an, in dem sich der
Computer befindet.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer
und wählen Sie im Kontextmenü LÖSCHEN.
4. Bestätigen Sie die Löschung, indem Sie im daraufhin angezeigten Dialogfeld
JA anklicken.
Durch das Löschen eines Computerkontos wird wie beim Löschen jedes anderen
Objekts auch das Objekt und die SID (Security Identifier) entfernt. Dies bedeutet,
dass das Löschen eines Objekts, welches von Windows 2000 über seine SID identi-
fiziert wird, endgültig ist. Mit dem Erstellen eines neuen Objekts mit demselben
Namen wird eine neue SID und damit auch ein gänzlich unterschiedliches Objekt
erstellt.
Der Hauptgrund zum Erstellen von Computerkonten in Active Directory besteht in

der dadurch gegebenen Gelegenheit, Computer in Ihrem Netzwerk verwalten zu
können. Dies beinhaltet deren Aufnahme in Gruppen und die Kontrolle ihrer Eigen-
schaften durch Verwendung von Gruppenrichtlinien. Die folgende Schritt-für-
Schritt-Anleitung zeigt, wie Sie Computer über das Snap-In COMPUTERVERWAL-
TUNG verwalten.

4.5 Computer verwalten
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER.
2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner mit dem Com-
puter, den Sie verwalten möchten.
und wählen Sie im Kontextmenü VERWALTEN.
Jetzt können Sie alle Dinge rund um die Computerverwaltung erledigen. Sie
bekommen außerdem noch wichtige Informationen angezeigt, die Sie zur Fehlersu-
che von einer zentralen Stelle im Netzwerk aus benötigen.
Computer stürzen immer wieder mal ab. In einem solchen Fall müssen Sie sie nor-
malerweise neu starten oder sogar erneut installieren. Bei einer Neuinstallation
unter Windows NT mussten Sie den Computer dann aus der Domäne entfernen und
später wieder dort aufnehmen. Der Computer erhielt eine neue SID und war damit
in der Domäne ein komplett anderer Computer.
Unter Windows 2000 können Computer Mitgliedern von Gruppen oder verwalten-
den Personen zugewiesen sein und über Gruppenrichtlinien verfügen. Wenn sich
die SID einmal ändert, müssen alle diese Dinge nicht völlig neu eingerichtet wer-
den, denn Sie setzen lediglich das Computerkonto zurück. Dadurch wird die Ver-
bindung des Computers mit der Domäne unterbrochen, und Sie können diese dann
später ohne Verlust aller sonstigen Einstellungen wieder herstellen.

4.6 Computerkonto zurücksetzen
2. Klicken Sie in der Baumstruktur der Konsole auf den Container mit dem
Computer, den Sie zurücksetzen möchten.
und klicken Sie im Kontextmenü auf KONTO ZURÜCKSETZEN.
4. Klicken Sie auf JA, um das Zurücksetzen des Kontos zu bestätigen.
5. Schließen Sie den Bestätigungshinweis durch Anklicken von OK.
Durch das Zurücksetzen eines Computerkontos können Sie die Verbindung eines
Computers mit der Domäne erneut herstellen. Sie haben immer noch denselben
Namen und dieselbe SID, was bedeutet, dass Sie einen Computer ohne Neueinrich-
tung der Sicherheitseinstellungen austauschen können.
Zu diesem Thema gehört auch, dass Sie ein Computerkonto gelegentlich einmal
eine gewisse Zeitlang deaktivieren müssen. Das Deaktivieren eines Computerkon-
tos kann beispielsweise erforderlich werden, wenn Sie einen Computer daran hin-
dern wollen, sich unbefugt in Ihrem Netzwerk zu betätigen. Führen Sie zum Deakti-
vieren eines Computerkontos die folgenden Schritte aus.

4.7 Computerkonto deaktivieren
2. Klicken Sie in der Baumstruktur der Konsole auf den Container mit dem
Computer, den Sie deaktivieren möchten.
und wählen Sie im Kontextmenü KONTO DEAKTIVIEREN aus.
4. Klicken Sie auf JA, um die Deaktivierung des Kontos zu bestätigen.
Nach der Deaktivierung ist ein Computer nicht mehr in der Lage, sich erneut mit
dem Netzwerk zu verbinden, bis das Konto wieder aktiviert wird.
Natürlich müssen Sie nach der Deaktivierung eines Computerkontos dieses später
auch wieder einmal aktivieren können. Führen Sie zum Aktivieren des Kontos die
folgenden Schritte aus.

4.8 Computerkonto aktivieren
2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner mit dem Com-
puter, den Sie aktivieren möchten.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den gewünschten
Computer, und wählen Sie im Kontextmenü KONTO AKTIVIEREN aus.
Nachdem Sie gelernt haben, wie Computerkonten verwaltet werden, müssen Sie
etwas über die Verwaltung von Benutzern erfahren, damit Sie Benutzerkonten
erstellen und Ihren Benutzern damit die Arbeit im Netzwerk ermöglichen können.
4.2.2 Benutzerkonto
Mit einem Benutzerkonto kann sich ein Benutzer an Computern und Domänen mit
einer Identität anmelden, deren Zugriffsrechte für die Domänenressourcen authenti-
fiziert werden kann. Jeder Benutzer braucht ein eigenes Benutzerkonto und ein
Kennwort. Benutzerkonten dienen außerdem für bestimmte Anwendungen wie etwa
Microsoft SQL Server 2000 und Microsoft Exchange 2000 als Dienstkonto.
Wie zuvor Windows NT bietet Windows 2000 zwei vordefinierte Benutzerkonten

an, die Sie zur Anmeldung an einem Computer nutzen können, der mit Windows
2000 betrieben wird. Dies sind die Konten Gast und Administrator.
Das Gast-Konto ist generell in einer Domäne deaktiviert, es sei denn, dass Sicher-
heitsfragen keine Rolle spielen. Das Administrator-Konto ist das Konto, welches
Sie zum Erstellen und Verwalten aller Dinge nutzen, die Active Directory betreffen.
Die Verwaltung von Benutzerkonten ähnelt in vielerlei Hinsicht der Verwaltung

von Computerkonten, obwohl für das Benutzerkonto noch einige weitere Optionen
zur Verfügung stehen.
Benutzer verwalten
Der offensichtlichste Grund zum Einsatz der Benutzerverwaltung betrifft die Erstel-
lung von Benutzerkonten. Führen Sie zum Erstellen eines Benutzerkontos die fol-
genden Schritte aus.

4.9 Benutzerkonto hinzufügen
2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner, dem Sie einen
Benutzer hinzufügen möchten.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Ordner, zu
dem Sie den Benutzer hinzufügen möchten, und wählen Sie im Kontextmenü
NEU/BENUTZER aus.
4. Geben Sie im Feld VORNAME den Vornamen des Benutzers ein.
5. Geben Sie unter INITIALIEN die Initialien des Benutzers ein.
6. Geben Sie im Feld NACHNAME den Nachnamen des Benutzers ein.
7. Nehmen Sie nach Wunsch Änderungen an VOLLSTÄNDIGER NAMe vor.
8. Geben Sie im Feld BENUTZERANMELDENAME den Namen ein, mit dem sich
der Benutzer anmeldet, und wählen Sie im Drop-down-Listenfeld das Suffix
aus, welches an den Anmeldenamen des Benutzers angehängt wird. Beide
zusammen ergeben den User Principal Name (UPN). Normalerweise ent-
spricht dieser der E-Mail-Adresse des Benutzers.
9. Falls der Benutzer einen anderen Namen zur Anmeldung am Downlevel-

Computer verwendet, ändern Sie den Benutzeranmeldenamen, der im Feld
BENUTZERANMELDENAME (WINDOWS NT 3.5X/4.0) erscheint, in den entspre-
chenden anderen Namen ab.
10. Überprüfen Sie die Eingaben (siehe Abbildung 4.2), und klicken Sie dann auf
die Schaltfläche WEITER.
11. Geben Sie unter KENNWORT und KENNWORTBESTÄTIGUNG das Kennwort des
Benutzers ein.
Abbildung 4.2
Im ersten Bild-
schirm des Assis-
tenten zum Hinzu-
fügen eines
Benutzers wird die
Identität des Benut-
zers festgelegt
12. Wählen Sie die passenden Kennwortoptionen aus. Es stehen die folgenden
Auswahlmöglichkeiten zur Verfügung:
씰 BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN.
Damit wird der Benutzer gezwungen, sein Kennwort nach der ersten
Anmeldung zu ändern. Denken Sie jedoch vor der Anwendung dieser
Option über die Konsequenzen nach. Falls der Benutzer nie zuvor mit
Microsoft-Netzwerken gearbeitet hat, kann das plötzliche Ändern des
Kennworts bei der ersten Anmeldung irritierend sein.
씰 BENUTZER KANN KENNWORT NICHT ÄNDERN. Dies verhindert, dass der
Benutzer sein Kennwort selbst ändert und erzwingt, dass die Kennwörter
der Benutzer des Netzwerks nur vom Administrator geändert werden.
Diese Option kann auch bei gemeinsam genutzten oder anderen Konten,
die Sie kontrollieren möchten, verwendet werden.
씰 KENNWORT LÄUFT NIE AB. Wahrscheinlich haben Sie in Ihrem Netzwerk

Richtlinien eingeführt, die festlegen, wie oft ein Benutzer sein Kennwort
ändern soll bzw. muss. Die Option hier setzt diese Regelung außer Kraft.
Sie wird hauptsächlich für Dienstkonten verwendet.
씰 KONTO IST DEAKTIVIERT. Sie können Konten erstellen, die deaktiviert
sind, was nützlich ist, wenn der Benutzer einige Zeit vom Netzwerk weg
ist, Sie aber gerade ein Konto erstellen möchten. Außerdem ist diese
Option nützlich zum Erstellen eines Vorlagekontos, welches Sie dann zum
Erstellen weiterer Benutzerkonten einsetzen können. Beim Kopieren die-
ses Kontos wird diese Option deaktiviert.
13. Überprüfen Sie die Einstellungen (siehe Abbildung 4.3) und klicken Sie zum
Fortfahren auf WEITER.
14. Klicken Sie zum Erstellen des Benutzerkontos auf FERTIG STELLEN.
Abbildung 4.3
Im zweiten Bild-
schirm des Assis-
tenten zum Hinzu-
fügen eines
Benutzers werden
die Kennwortoptio-
nen eingegeben
Das Erstellen von Benutzerkonten ist ein wichtiger Bestandteil der Alltagsarbeit
eines Administrators. Ein Benutzerkonto ist für jeden Benutzer eines Netzwerks
erforderlich.
Wie Sie sich wahrscheinlich schon gedacht haben, wurden an dieser Stelle nicht alle
zum Benutzer gehörenden Optionen vorgestellt. Nach dem Erstellen des Benutzer-
kontos beginnen Sie normalerweise damit, die restlichen Einstellungen für das
Konto zu bearbeiten. Die folgenden Schritte zeigen Ihnen, wie Sie die entsprechen-
den Eigenschaften bearbeiten.

4.10 Eigenschaften des Benutzerkontos bearbeiten
2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner mit dem
gewünschten Benutzerkonto.
3. Klicken Sie mit der rechten Maustaste auf dem Benutzerkonto, und wählen
4. Ändern Sie die Eigenschaften nach Wunsch ab, und klicken Sie zur Über-
nahme der Änderungen auf OK.
Alle verbleibenden Eigenschaften des Benutzers, die in den folgenden Abschnitten

erörtert werden, und die Sie vielleicht noch einstellen möchten, können Sie mit den
zuvor beschriebenen Schritten bearbeiten.
Da die vorhandenen Registerkarten recht umfangreich sind, wird sich der folgende
Teil der Erörterung nur mit ihrem Inhalt und den darin verfügbaren Optionen befas-
sen.
ALLGEMEIN
Die Registerkarte ALLGEMEIN (siehe dazu Abbildung 4.4) ermöglicht Ihnen die Ein-
stellung der allgemeinen Benutzereigenschaften. Eine Beschreibung der einzelnen
Eigenschaften ist in der folgenden Auflistung enthalten:
씰 VORNAME. Der Vorname der Benutzers.
씰 INITIALIEN. Dies sind die Initialien des Benutzers.
씰 NACHNAME. Der Nachname des Benutzers.
씰 ANZEIGENAME. Dieser Name wird in Gruppen und Verteilungslisten und

auch dann angezeigt, wenn der Benutzer mit dem Befehl SUCHEN arbeitet.
씰 BESCHREIBUNG. Dies ist eine Beschreibung des Benutzers. Im Allgemeinen

wird hier die Funktion des Benutzers in der Organisation hinterlegt.
씰 BÜRO. Gibt an, wo sich das Büro des Benutzers befindet.
씰 RUFNUMMER. Die Telefonnummer des Benutzers. Weitere Telefonnummern

können Sie über die Schaltfläche ANDERE hinterlegen.
씰 E-MAIL. Dies ist die E-Mail-Adresse des Benutzers. Normalerweise ent-

spricht sie dem Principal Namen (UPN) des Benutzers.
씰 WEBSEITE. Dies sind ein oder mehr Webseiten, die zum Benutzer gehören.
Abbildung 4.4
Die Registerkarte
ALLGEMEIN des Dia-
logfeldes Eigen-
schaften
ADRESSE
Die Informationen auf der Registerkarte ADRESSE (siehe Abbildung 4.5) enthalten
die Daten zur Anschrift des Benutzers und bestehen aus den folgenden Einträgen:
씰 STRASSE. Dies ist die Strassenadresse des Benutzers.
씰 POSTFACH. Dies ist für Organisationen, die Postsendungen verwenden.
씰 STADT. Die Stadt, in der der Benutzer wohnt.
씰 BUNDESLAND/KANTON. Dies ist das Bundesland, in dem der Benutzer wohnt.
씰 PLZ. Dies ist die Postleitzahl der Stadt, in der der Benutzer wohnt.
씰 LAND/REGION. Hier können Sie Land und Region des Benutzers eingeben.
Abbildung 4.5
Die Registerkarte
ADRESSE des Dia-
logfeldes Eigen-
schaften
KONTO
Über diese Registerkarte haben Sie die Gelegenheit, die Kontoeinstellungen

des Benutzers einschließlich des Anmeldenamens zu ändern (siehe Abbildung 4.6).
Eine Beschreibung der entsprechenden Eigenschaften ist in der folgenden Aufzäh-

lung enthalten:
Abbildung 4.6
Die Registerkarte
KONTO des Dialog-
feldes Eigenschaf-
ten
씰 BENUTZERANMELDENAME. Dies ist der Name, den der Benutzer zur Anmel-
dung am Netzwerk benutzt. Sie können den Anmeldenamen und dessen Er-
weiterung ändern. Durch das Ändern der Erweiterung wird der Benutzer
nicht in eine andere Domäne verschoben.
씰 BENUTZERANMELDENAME (WINDOWS NT 3.5X/4.0). Dies ist der Downlevel-

Anmeldename für Systeme, die nicht mit Windows 2000 betrieben werden.
씰 ANMELDEZEITEN. Hiermit können Sie die Zeiten einstellen, die dem Benutzer
zur Anmeldung am Netzwerk erlaubt sind. In hochgesicherten Umgebungen
können hier die Arbeitszeiten des Benutzers eingestellt werden (siehe Abbil-
dung 4.7).
씰 ANMELDEN. Hiermit können Sie die Computer einstellen, an denen sich der
Benutzer anmelden darf (siehe Abbildung 4.8).
씰 KONTO IST GESPERRT. Diese Option steht nur dann zur Verfügung, wenn das
Konto gesperrt worden ist. Dies geschieht, wenn der Benutzer ein Kennwort
öfter, als von den Sicherheitsrichtlinien erlaubt, zu erraten versucht.
씰 KONTOOPTIONEN. Dies ist eine Reihe von weiteren Optionen für das Konto.
씰 ABLAUFDATUM DES KONTOS. Stellt das Ablaufdatum des Kontos ein.
Abbildung 4.7
Über dieses Dia-

logfeld können Sie
die Anmeldezeiten
einstellen
Abbildung 4.8
Die Computer, an
denen sich der
Benutzer anmel-
den darf, können
Sie explizit ange-
ben
PROFIL
Die Registerkarte PROFIL (siehe Abbildung 4.9) stellt das Basisverzeichnis und das
Anmeldeskript des Benutzers sowie den Speicherungsort seines Benutzerprofils ein.
Die folgende Aufzählung beschreibt die vorhandenen Eigenschaften:
Abbildung 4.9
Die Registerkarte
PROFIL des Dialog-
feldes Eigenschaf-
ten
씰 PROFILPFAD. Dies ist der Speicherungsort im Netzwerk für das Benutzerpro-

fil. Über die Eingabe des Speicherungsortes unter Verwendung eines UNC-
Namens (UNC, Universal Naming Convention) können Sie den Benutzer so
konfigurieren, dass er mit einem server-gespeicherten – Profil arbeitet.
씰 ANMELDESKRIPT. Dies ist der Name der Stapeldatei, die bei der Anmeldung
des Benutzers ausgeführt werden soll. Normalerweise gilt diese Option für
Downlevel-Clients. Sie brauchen nur den Namen einzugeben, da sich die Da-
tei immer in der SYSVOL-Freigabe auf den Domänencontrollern befindet. Bei
der Datei kann es sich entweder um eine BAT- oder CMD-Datei handeln.
Falls Sie eine BAT-Datei verwenden, starten Windows NT oder Windows
2000 zur Ausführung der Datei eine DOS-Emulationssitzung. Eine CMD-Da-
tei läuft im 32-Bit-Modus ab. Die Namenserweiterung ist in diesem Eingabe-
feld nicht enthalten.
씰 LOKALER PFAD. Hiermit wird der Basisordner des Benutzers auf ein Ver-
zeichnis des lokalen Computers oder ein gemeinsam genutztes Verzeichnis
im Netzwerk eingestellt.
HINWEIS
Die Variable USERNAME
Die Variable %USERNAME% kann dazu verwendet werden, ein Verzeichnis mit dem-
selben Namen zu erstellen, den der Benutzer vor Windows 2000 als Anmeldena-
men verwendet hat. Dies kann für den Profilpfad (\\Servername\Freigabename\
%USERNAME%) oder den Basisordner verwendet werden.
Abbildung 4.10
Die Registerkarte
RUFNUMMERN des
Dialogfeldes Eigen-
schaften
RUFNUMMERN
Die Registerkarte RUFNUMMERN enthält, wie Sie sich schon gedacht haben werden,
die verschiedenen Rufnummern, die ein Benutzer haben kann (siehe Abbildung 4.10).
Auf dieser Registerkarte gibt es zwei Abschnitte:
씰 RUFNUMMERN. Hier können Sie alle Telefonnummern für die Person, und
zwar auch mehrere pro Kategorie, eingeben.
씰 ANMERKUNG. In diesem Abschnitt geben Sie Kommentare zum Benutzer ein.
ORGANISATION
Die Registerkarte ORGANISATION (siehe Abbildung 4.11) wird zur Eingabe von
Informationen über die Rolle eines Benutzers innerhalb der Organisation verwen-
det. Die folgende Liste enthält die Beschreibung der Eigenschaften:
씰 ANREDE. Die Anrede des Benutzers.
씰 ABTEILUNG. Dies ist die Abteilung, in der der Benutzer arbeitet.
씰 FIRMA. Dies ist der Name des Unternehmens, für welches der Benutzer arbei-
tet.
씰 VORGESETZTER. Dies ist der Name des Vorgesetzten des Benutzers. Der
Name wird aus den bereits in Active Directory vorhandenen Benutzern aus-
gewählt.
씰 MITARBEITER. Dies ist eine Liste der Personen, die an diesen Benutzer be-
richten. Sie wird automatisch von Active Directory aufgebaut.
Abbildung 4.11
Die Registerkarte
ORGANISATION des
Dialogfeldes Eigen-
schaften
TERMINALSERVER
Die nächsten vier Registerkarten haben alle mit der Konfiguration der Einstellungen
für den Terminalserver zu tun. Sie werden nur dann angezeigt, wenn Sie den Termi-
nalserver installiert haben.
Auf der Registerkarte UMGEBUNG (siehe Abbildung 4.12) können Sie die Optionen
einstellen, über die Sie die Umgebung des Benutzers bei der Verwendung des Ter-
minalservers kontrollieren. Es folgt eine Liste mit den Beschreibungen der verfüg-
baren Optionen:
씰 PROGRAMM STARTEN. Über diesen Abschnitt können Sie ein Programm an-
geben, welches automatisch bei der Anmeldung des Benutzers ausgeführt
wird.
씰 CLIENTGERÄTE. Hiermit können Sie steuern, ob Clientgeräte und Drucker

neu zugeordnet werden, wenn der Benutzer eine neue Sitzung startet.
Abbildung 4.12
Die Registerkarte
UMGEBUNG des Dia-
logfeldes Eigen-
schaften
Die Registerkarte SITZUNGEN (siehe Abbildung 4.13) kann dazu verwendet werden,
die Zeitüberschreitungen für die Sitzungen und die Verbindungswiederherstellun-
gen zu konfigurieren. Die folgende Liste beschreibt die zur Verfügung stehenden
Optionen:
씰 GETRENNTE SITZUNG BEENDEN. Teilt dem Benutzer mit, wie lange er auf die
Beendigung einer Sitzung warten muss, wenn er getrennt wird. Der Benutzer
kann dieselbe Sitzung während dieses Zeitraums wiederherstellen.
씰 AKTIVES SITZUNGSLIMIT. Dies ist die maximale Dauer einer Sitzung im Ter-
minalserver für diesen Benutzer.
씰 LEERLAUFSITZUNGSLIMIT. Gibt an, wie lange eine Sitzung aufrechterhalten

wird, in der keine Benutzeraktivität stattfindet.
씰 WENN DAS SITZUNGSLIMIT ERREICHT ODER DIE VERBINDUNG GETRENNT

WURDE. Teilt dem System mit, was geschehen soll, wenn eine der Einstellun-
gen oben überschritten wird.
씰 ERNEUTE VERBINDUNG ZULASSEN. Hiermit können Sie einstellen, über wel-

che Station sich der Benutzer erneut verbinden kann, wenn die Sitzung ge-
trennt wurde.
Abbildung 4.13
Die Registerkarte
SITZUNGEN des Dia-
logfeldes Eigen-
schaften
Mit der Registerkarte REMOTEÜBERWACHUNG (siehe Abbildung 4.14) können Sie

die Optionen zur Übernahme der Kontrolle über die Sitzung des Benutzers einstel-
len. Die folgende Liste beschreibt die verfügbaren Optionen:
씰 REMOTEÜBERWACHUNG AKTIVIEREN. Hiermit wird die Möglichkeit zur

Übernahme der Kontrolle über die Benutzersitzung aktiviert.
씰 ERLAUBNIS DES BENUTZERS EINHOLEN. Wenn diese Option aktiviert wird,

wird der Benutzer darüber informiert, dass jemand seine Sitzung übernehmen
will, und seine Erlaubnis eingeholt.
씰 STEUERUNGSEBENE. Dies stellt ein, ob Sie nur zur Anzeige der Sitzung oder
auch zur Ausführung von Aktionen darin fähig sind.
Abbildung 4.14
Die Registerkarte
REMOTEÜBERWA-
CHUNG des Dialog-
feldes Eigenschaf-
ten
Die letzte Registerkarte von TERMINALSERVER heißt TERMINALDIENSTPROFILE

(siehe Abbildung 4.15). Mit dieser können Sie den Speicherungsort des Benutzer-
profils und das Basisverzeichnis des Benutzers ändern, der den Terminalserver ver-
wendet. Die zur Verfügung stehenden Eigenschaften sind:
씰 BENUTZERPROFIL. Hiermit wird dem Server mitgeteilt, von wo das Benutzer-

profil kommt und wo es gespeichert ist.
씰 TERMINALDIENSTE-BASISVERZEICHNIS. Das Verzeichnis, das als das Basis-

verzeichnis des Benutzers verwendet werden soll, der den Terminalserver
verwendet.
씰 TERMINALSERVER-ANMELDUNG ZULASSEN. Legt fest, ob dem Benutzer die

Anmeldung am Terminalserver erlaubt ist.
Abbildung 4.15
Die Registerkarte
TERMINALDIENSTPRO-
FILE des Dialogfel-
des Eigenschaften
VERÖFFENTLICHTE ZERTIFIKATE
Die Registerkarte VERÖFFENTLICHTE ZERTIFIKATE (siehe Abbildung 4.16) ermög-

licht Ihnen die Kontrolle der Zertifikate, die dem Benutzer zur Verfügung stehen.
Zertifikate können Sie entweder über einen lokalen Zertifikatspeicher oder über
eine Datei hinzufügen. Es handelt sich hierbei um X.509-Zertifikate, die für die
Internet-Authentifizierung genutzt werden können und sich auch im verschlüsselten
Dateisystem befinden.
Abbildung 4.16
Die Registerkarte
VERÖFFENTLICHTE
ZERTIFIKATE des
Dialogfeldes Eigen-
schaften
Abbildung 4.17
Die Registerkarte
MITGLIED VON des
Dialogfeldes Eigen-
schaften
MITGLIED VON
Über die Registerkarte MITGLIED VON (siehe Abbildung 4.17) wird verwaltet, zu
welcher Gruppe ein Benutzer gehört, und welche Gruppe seine primäre Gruppe ist.
Mit den Schaltflächen HINZUFÜGEN und ENTFERNEN können Sie den Benutzer zu
Gruppen hinzufügen oder von dort entfernen. Die primäre Gruppe des Benutzers
findet nur bei Benutzern Anwendung, die sich am Netzwerk über einen Macintosh-
Computer anmelden oder POSIX-Anwendungen betreiben. Solange Sie solche
Dienste nicht beanspruchen, brauchen Sie den Wert Domänen-Benutzer für die pri-
märe Gruppe nicht zu verändern.
EINWÄHLEN
Die Registerkarte EINWÄHLEN (siehe Abbildung 4.18) erlaubt Ihnen die Einstellung
der verschiedenen Einwahloptionen für den Benutzer. Die folgende Aufzählung
enthält die zur Verfügung stehenden Optionen:
씰 RAS-BERECHTIGUNGEN. Hier können Sie festlegen, ob dem Benutzer RAS-

Berechtigungen erteilt werden sollen, oder ob diese über die RAS-Richtlinie
geregelt werden.
씰 ANRUFERKENNUNG VERIFIZIEREN. Hiermit wird die von einem RADIUS-

System übermittelte Anruferkennung eingestellt.
씰 RÜCKRUFOPTIONEN. Dies legt fest, ob der Benutzer die Möglichkeit eines

Rückrufs eingeräumt bekommen soll, was die Gesprächskosten bei Fernver-
bindungen reduzieren kann. Außerdem können Sie eine Rückrufnummer fest-
legen, die einen zusätzlichen Sicherheitsmechanismus dadurch einführt, dass
der Benutzer unter dieser Nummer erreichbar sein muss.
씰 STATISCHE IP-ADRESSE VERWENDEN. Hiermit können Sie die Verwendung

einer statischen IP-Adresse festlegen.
씰 STATISCHE ROUTEN ANWENDEN. Hiermit können Sie das Routing für das Re-
mote-System konfigurieren.
Weitere Registerkarten
Die Registerkarten OBJEKT und SICHERHEITSEINSTELLUNGEN bieten weitere Kon-
trollmöglichkeiten an. Die Registerkarte OBJEKT dient dabei der Information und
enthält den vollen Namen des Objekts, sein Erstellungsdatum, sein Aktualisierungs-
datum und seine USN.
Abbildung 4.18
Die Registerkarte
EINWÄHLEN des Dia-
logfeldes Eigen-
schaften
Mit der Registerkarte SICHERHEITSEINSTELLUNGEN können Sie die Sicherheit für

das Active Directory-Objekt festlegen. Dieses Thema wird weiter unten im Kapitel
im Abschnitt »Berechtigungen in Active Directory-Diensten« behandelt.
Weitere Funktionen für die Benutzerverwaltung

Zusätzlich zum Hinzufügen eines Benutzerkontos stehen noch einige andere Funk-
tionen zur Verfügung, auf die Sie ggf. ebenfalls zurückgreifen müssen. Dieser
Abschnitt erörtert, wie diese zusätzlichen Funktionen eingesetzt werden.
Manchmal müssen Sie ein Benutzerkonto wieder löschen. Denken Sie an dieser
Stelle daran, dass beim Löschen eines Benutzerkontos alle Berechtigungen und Mit-
gliedschaften, mit denen dieses Konto verknüpft sein kann, verloren gehen. Da die
SID jedes Kontos eindeutig ist, führt das Hinzufügen eines neuen Benutzerkontos
mit demselben wie dem zuvor gelöschten Namen nicht dazu, dass die zuvor
gelöschten Berechtigungen und Mitgliedschaften nun automatisch wieder mit dem
Konto verknüpft werden. Führen Sie die folgenden Schritte zum Löschen eines
Benutzerkontos aus.

4.11 Benutzerkonto löschen
1. Öffnen Sie den Ordner ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
2. Klicken Sie in der Baumstruktur der Konsole auf USERS bzw. klicken Sie auf
den Ordner, der das Benutzerkonto enthält.
3. Klicken Sie mit der rechten Maustaste auf dem Benutzerkonto und wählen
Sie im Kontextmenü LÖSCHEN.
4. Bestätigen Sie den Löschvorgang im angezeigten Dialogfeld.
Gelegentlich müssen Sie einen Benutzer umbenennen, was passieren kann, wenn
ein Mitarbeiter, der das Unternehmen verlassen hat, durch einen neuen Mitarbeiter
ersetzt wird, oder wenn einer Ihrer Benutzer seinen Namen durch Heirat ändert.
Führen Sie zum Umbenennen eines Benutzerkontos die nun folgenden Schritte aus.

4.12 Benutzerkonto umbenennen
2. Klicken Sie in der Baumstruktur der Konsole auf den Container, der das
gewünschte Benutzerkonto enthält.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf dem Benutzer-
konto und wählen Sie im Kontextmenü UMBENENNEN aus.
4. Geben Sie den neuen Namen ein, oder drücken Sie (Entf) und danach die
(¢), um das Dialogfeld BENUTZER UMBENENNEN anzuzeigen.
5. Geben Sie unter VOLLSTÄNDIGER NAME den Benutzernamen ein.
8. Geben Sie im Feld ANZEIGENAME den Namen ein, der den Benutzer identifi-
ziert.
9. Geben Sie im Feld BENUTZERANMELDENAME den Namen ein, mit dem der
Benutzer angemeldet wird. Wählen Sie im Drop-down-Listenfeld das Suffix
aus, welches an diesen Namen angehängt werden soll.
10. Ändern Sie erforderlichenfalls den Downlevel-Anmeldenamen.
11. Klicken Sie auf OK.
Es gibt viele Gründe zum Umbenennen oder Ersetzen eines Benutzers. Darüber
hinaus müssen Sie sicher auch einmal ein Benutzerkonto deaktivieren. Das Deakti-
vieren eines Benutzerkontos ist empfehlenswert, wenn ein Benutzer die Organisa-
tion verlässt oder für eine bestimmte Zeit außer Haus ist. Falls der Benutzer die
Organisation für immer verlässt, können Sie das Konto später, wenn der neue Mitar-
beiter eingetroffen ist, umbenennen.
Sie haben auch die Möglichkeit, deaktivierte Benutzerkonten mit den üblichen
Gruppenmitgliedschaften zu erstellen. Deaktivierte Benutzerkonten können weiter-
hin als Kontovorlagen verwendet werden, die das Erstellen von Benutzerkonten
vereinfachen. Führen Sie die folgenden Schritte aus, um ein Benutzerkonto zu deak-
tivieren.

4.13 Benutzerkonto deaktivieren
2. Klicken Sie in der Baumstruktur der Konsole auf USERS oder auf den Ordner,
der das gewünschte Benutzerkonto enthält.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Benutzer.
4. Klicken Sie auf KONTO DEAKTIVIEREN.
5. Klicken Sie zum Bestätigen OK.
Wenn Sie ein Konto deaktivieren, dessen Benutzer für eine bestimmte Zeit außer
Haus ist, ersparen Sie sich die Mühe, das Konto bei der Rückkehr des Benutzers neu
erstellen zu müssen. Nützlich ist dies außerdem insofern, als Sie ein deaktiviertes
Konto mit allen gewünschten Einstellungen erstellen und dann nur noch kopieren
müssen, um auf diese Weise viele neue Benutzer hinzuzufügen.
Manchmal werden Sie das Benutzerkonto löschen oder neu reaktivieren müssen,
Das Symbol deaktivierter Konten enthält in Active Directory-Benutzer und -Com-
puter ein Kreuz im roten Kreis. In der folgenden Schritt-für-Schritt-Anleitung erfah-
ren Sie, wie Sie ein deaktiviertes Benutzerkonto reaktivieren.

4.14 Deaktiviertes Benutzerkonto aktivieren
2. Klicken Sie in der Baumstruktur der Konsole auf USERS oder auf den Ordner,
der das gewünschte Benutzerkonto enthält.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf dem Benutzer,
und klicken Sie dann auf KONTO AKTIVIEREN.
4. Klicken Sie zum Schließen des Dialogfeldes mit der Bestätigung auf OK.
Eine weitere Funktion, die Sie wahrscheinlich noch öfter als alle anderen ausführen
werden, ist das Zurücksetzen des Kennwortes, das ein Benutzer vergessen hat. Ver-
gewissern Sie sich jedoch immer, dass es tatsächlich der Benutzer ist, der das Kenn-
wort zurücksetzen lassen möchte, und nicht etwa eine dritte Person mit unlauteren
Absichten. Das Zurücksetzen eines Kennworts wird in der folgenden Schritt-für-
Schritt-Anleitung behandelt.

4.15 Benutzerkennwort zurücksetzen
2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner, der das
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Benutzer, den
Sie zurücksetzen möchten, und klicken Sie dann auf KENNWORT ZURÜCKSET-
ZEN.
4. Geben Sie das Kennwort ein und bestätigen Sie es. Kennwörter dürfen bis zu
128 Zeichen lang sein und Buchstaben, Ziffern und die meisten Sonderzei-
chen enthalten.
5. Falls Sie möchten, dass der Benutzer bei der nächsten Anmeldung sein Kenn-
wort ändert, aktivieren Sie das Kontrollkästchen BENUTZER MUSS DAS KENN-
WORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN.
6. Klicken Sie zum Zurücksetzen auf das Kennwort, und klicken Sie danach
zum Schließen des Dialogfeldes mit der Bestätigung auf OK.
ACHTUNG
Kennwort für Dienstkonto
Dienste, die sich über ein Benutzerkonto authentifizieren, müssen zurückgesetzt

werden, falls das Kennwort ihres Benutzerkontos geändert worden ist.
Vorlagen verwenden
Mit Kontovorlagen können Sie Muster erstellen, die immer wieder für neue Benut-
zerkonten kopiert werden können. Sie erledigen dies, indem Sie ein Beispielkonto
erzeugen und die entsprechenden Gruppen- und anderen Optionen für dieses Konto
vergeben. Anschließend haben Sie dann eine Vorlage für zukünftige Konten. Sie
kopieren dann die Vorlage und bearbeiten danach die Einstellungen so, dass ein per-
sönlich angepasstes Konto entsteht. Das Kopieren eines Benutzerkontos wird in der
folgenden Schritt-für-Schritt-Anleitung demonstriert.

4.16 Benutzerkonto kopieren
2. Klicken Sie in der Baumstruktur der Konsole auf den Ordner, der das
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf dem Benutzer-
konto, welches Sie kopieren möchten, und wählen Sie im Kontextmenü
KOPIEREN aus.
6. Den Namen im Feld VOLLSTÄNDIGER NAME bearbeiten Sie, indem Sie Initia-
len hinzufügen oder die Reihenfolge von Vor- und Nachnamen ändern.
7. Im Feld BENUTZERANMELDENAME tragen Sie den Namen ein, mit dem sich
der Benutzer anmeldet, und wählen Sie im Drop-down-Listenfeld das Suffix
aus, welches an den Anmeldenamen des Benuters angehängt wird.
8. Geben Sie ggf. den Benutzeranmeldenamen (Windows NT 3.5x/4.0) ein.
9. Geben Sie in den Feldern KENNWORT und KENNWORTBESTÄTIGUNG das
Benutzerkennwort ein.
10. Wählen Sie die gewünschte Kennwortoption aus.
4.3 Weitere Programme für die Verwaltung von Objekten 211
11. Falls das Konto, welches Ihnen als Kopiervorlage gedient hat, deaktiviert
war, klicken Sie zum Deaktivieren auf das Kontrollkästchen KONTO IST
DEAKTIVIERT, womit das neue Konto aktiviert ist.
12. Klicken Sie, wenn Sie fertig sind, auf OK.
Durch die Verwendung von Vorlagen als Kopiervorlage zum Erstellen neuer Benut-
zerkonten sparen Sie viel Zeit und Mühe gegenüber dem manuellen Erstellen der
Konten. Wie Sie gesehen haben, ist dieser Vorgang zweigeteilt: Als Erstes erstellen
Sie ein deaktiviertes Benutzerkonto mit den Grundinformationen und kopieren die-
ses dann im zweiten Schritt.
Die Verwaltung von Benutzern und Computern ist eine der grundlegendsten Funk-
tionen eines Netzwerkadministrators. Während der Lebensdauer eines Netzwerks
werden Sie vermutlich viele Male Benutzerkonten hinzufügen, bearbeiten und
löschen müssen. Zum Glück ist dieser Vorgang, wie Sie gesehen haben, so einfach
wie möglich gehalten worden, und nahezu identisch mit dem Vorgang beim Erstel-
len von Computerkonten. Es gibt noch weitere Möglichkeiten zum Erstellen und
Verwalten von Objekten in Active Directory, die Sie kennen sollten.
4.3 Weitere Programme für die Verwaltung

von Objekten
Über die Funktionen hinaus, die Sie bereits kennen gelernt haben, stehen noch wei-
tere Programme zur Verfügung, mit denen Sie sowohl für die Prüfung als auch die
berufliche Praxis bekannt sein sollten. Hierzu gehören die Programme LDIFDE und
CSVDE für den Verzeichnisaustausch sowie die ADSI-Schnittstelle. Der folgende
Abschnitt beschreibt, wie Sie diese Programme verwenden.
4.3.1 Programme für den Verzeichnisaustausch

Mit den zwei Programmen für den Verzeichnisaustausch können Sie Benutzer und
andere Objekte einschließlich von Attributen und Klassen importieren. Diese Pro-
gramme wurden in diese Erörterung aufgenommen, weil sie Ihnen eine Möglichkeit
dafür geben, umfangreiche Aktualisierungen in kurzer Zeit zu erledigen. Die
wochenlange Arbeit, die zuvor vielleicht für die Implementierung derartiger Ände-
rungen investiert werden musste, wird so auf die Zeit verkürzt, die Sie zum Erstel-
len eines Programms benötigen, welches die Änderungen in einem Rutsch vor-
nimmt.
LDIFDE verwenden
Das Programm LDIFDE (LDAP Data Interchange Format Directory Exchange) ver-
wenden Sie zu dem Zweck, Daten in Active Directory zu importieren oder von dort
zu exportieren. Der LDIF-Standard ist ein Industriestandard zum Importieren oder
Bearbeiten von LDAP-Verzeichnissen, und das Programm LDIFDE wird dazu ein-
gesetzt, diese Funktionen in Windows 2000 zur Verfügung zu stellen. Der entspre-
chende Programmaufruf findet über die Eingabeaufforderung statt. Die Funktion
des Programms wird sowohl über mitgegebene Optionen als auch über die Informa-
tionen der Datei gesteuert.
Das Programm bietet folgende Befehlszeilenparameter:
LDIFDE -i -f -s -c -v -t -d -r -p -l -o -m -n -j -g -k -a -b -?-u
Die zahlreichen Optionen sprechen für die Flexibilität dieses Programms und kön-
nen dreifach unterteilt werden: Allgemeine Funktionen, Exportfunktionen und
Importfunktionen. Die zur Verfügung stehenden Funktionen werden in der folgen-
den Aufzählung beschrieben:
씰 -f Dateiname. Diese Option gibt den Namen einer Datei an, die importiert
bzw. in die exportiert wird.
씰 -u. Diese Option gibt an, dass sich die von Ihnen verwendete Datei im Uni-
code-Format befindet.
씰 -s Servername. Diese Option gibt an, auf welchem Domänencontroller die

Funktion ausgeführt werden soll. Wenn diese Option nicht angegeben wurde,
wird ein Domänencontroller aus der Domäne verwendet, an der der Benutzer
gegenwärtig angemeldet ist.
씰 -c vonDN zuDN. Diese Option ersetzt jedes Vorkommen von Distinguished

Name mit Distinguished Name in der angegebenen Reihenfolge.
씰 -t Portnummer. Falls der von Ihnen verwendete LDAP-Server nicht den

Standardanschluss 389 benutzt, können Sie hier die tatsächliche Portnummer
angeben. Die Portnummer des globalen Katalogs lautet beispielsweise 3268.
씰 -v. Diese Option schaltet den ausführlichen Modus ein, der mehr Informatio-
nen über die Operation zurückliefert.
씰 -?. Hiermit erhalten Sie eine Online-Hilfe.

씰 -a Name Kennwort. Diese Option teilt den Benutzernamen und das Kennwort
mit, welche zur Authentifizierung an den LDAP-Server gesendet werden sol-
len. Anstelle des Kennworts können Sie auch »*« eingeben, wodurch eine
Eingabeaufforderung für eine verdeckte Eingabe des Kennworts möglich
wird.
씰 -b Benutzername Domäne Kennwort. Hiermit können Sie anstelle des Distin-

guished Name die standardmäßige Anmeldeinformation verwenden. Anstelle
des Kennworts können Sie auch »*« eingeben, wodurch eine Eingabeauffor-
derung für eine verdeckte Eingabe des Kennworts möglich wird.
씰 -i. Hiermit wird der Importmodus eingestellt. Der Standardwert ist der Ex-
portmodus, der keine explizite Optionsangabe erfordert.
씰 -k Aktion. Diese Angabe ermöglicht Ihnen die Einstellung einer Aktion, die
im Fehlerfall ausgeführt werden soll.
씰 -d distinguished name. Legt den Ausgangspunkt für den Export fest. Falls
nicht vorhanden, wird der Stamm der aktuellen Domäne verwendet.
씰 -r LDAP-Filter. Über diese Option können Sie über die Verwendung einer
LDAP-Eigenschaft als Kriterium filtern, welche Datensätze exportiert wer-
den sollen.
씰 -p LDAP-Suchbereich. Mit dieser Option können Sie den Suchbereich der

LDAP-Suche festlegen. Die zur Verfügung stehenden Optionen lauten auf
Basis, eine Ebene oder untergeordnete Struktur.
씰 -l LDAP-Attributeliste. Mit dieser Option wird die Liste der LDAP-Attri-

bute festgelegt, die Sie exportieren möchten. Standardmäßig werden alle At-
tribute exportiert.
씰 -o Attributliste. Mit dieser Option können Sie den Export bestimmter At-
tribute unterdrücken. Sie erstellen eine LDAP-Datei, die von einem anderen
LDAP-kompatiblen System importiert werden kann, welches nicht so viele
Attribute unterstützt.
씰 -m. Mit dieser Option werden Active Directory-spezifische Informationen

aus der Exportdatei ausgeschlossen. Sie verwenden diese Option, wenn Sie
nach Ihren Änderungen einen Rückimport derselben Liste planen.
씰 -n. Über diese Option verhindern Sie den Export binärer Werte, die standard-
mäßig immer exportiert werden.
씰 -j Dateipfadname. Mit dieser Option wird der Pfadname der Protokolldatei

angegeben, die während eines Exports generiert wird.
씰 -g. Diese Option schaltet bei einem Export seitenweise Suchvorgänge ab.
Wie Sie sehen können, steht Ihnen eine ganze Reihe von Optionen zur Verfügung.
Die meisten von diesen werden allerdings nur beim Export verwendet. In der Prü-
fung sollten Sie sowohl mit den grundlegenden Import- als auch Exportfunktionen
vertraut sein.
Die Datei, mit der Sie arbeiten, ist eine Textdatei, die Sie normal bearbeiten können.
Es folgt nun ein Beispiel einer solchen Datei:
dn:CN=Bio,CN=Users,DC=Biotech,DC=com
changetype:add
cn:Gerdsen
description:Thomas Gerdsen
objectClass:user
sAMAccountName:Thomas
Sie können eine solche Datei selbst erstellen, oder über den Export des Verzeichnis-
ses von LDIFDE erstellen lassen. In jedem Fall haben Sie die Möglichkeit, den
Inhalt der Datei bearbeiten und auf Korrektheit überprüfen zu können. Anschlie-
ßend importieren Sie sie mit dem folgenden Befehl:
ldifde -i -f import.ldf
Wie Sie sehen, stellt das Programm LDIFDE eine besonders schnelle Methode
dafür zur Verfügung, eine Liste der Benutzer von Active Directory zu erhalten, eine
solche aus einer anderen Quelle stammende Liste in Active Directory zu importie-
ren, oder sogar eine Liste mit Attributen zu exportieren, um sie zu bearbeiten und
danach wieder zu importieren. Das Programm arbeitet ausschließlich mit LDIF-
Dateien; falls Ihre Datei eine kommaseparierte Datei ist, können Sie anstelle dessen
CSVDE verwenden.
CSVDE verwenden
Das andere zur Verfügung stehende Programm ist CSVDE, welches mit kommase-
parierten Dateien arbeitet. Dieser Dateityp ist nützlich, wenn Sie beim Umgang mit
Dateien, die Sie importieren oder exportieren wollen, mit Anwendungen wie Excel
arbeiten.
Das Programm ähnelt sehr LDIFDE und unterscheidet sich hauptsächlich dadurch,
dass es nur zum Hinzufügen von Datensätzen zu Active Directory verwendet wer-
den kann – es kann keine Änderungen vornehmen. Außerdem ist die Datei einfacher
aufgebaut; sie besteht aus einer Kopfzeile mit Attributnamen und einer Anzahl von
zeilenweise angeordneten Datensätzen mit den Attributen in etwa dem folgenden
Format:
dn,cn,.rstName,surname,description,objectClass, sAMAccountname
"cn=Heidi Hagan,cn=Users,dc=Biotech,dc=com",Heidi
Hagan,Heidi,Hagan,VP – Research,user,HHagan
"cn=Wayne Cassidy,cn=Users,dc=Biotech,dc=com",Wayne
Cassidy,Wayne,Cassidy,Manager,user,Wcassidy
Wenn Sie genau hinschauen, werden Sie bemerken, dass die Datei keinerlei Hin-
weis auf den Änderungstyp enthält, was der Grund dafür ist, dass Sie sie nicht für
Änderungen einsetzen können. Die Befehlszeile ist fast mit LDIFDE identisch – die
zur Verfügung stehenden Optionen haben nahezu dieselbe Bedeutung wie bei
LDIFDE.
CSVDE -i -f -s -c -v -t -d -r -p -l -o -m -n -e -j -g -k -a -b -?-u
Trotz der leichten Unterschiede sind sowohl LDIFDE und CSVDE in der Lage,
Informationen aus Active Directory herauszuholen oder dort hineinzuschreiben.
Falls Sie Active Directory jedoch programmiertechnisch bearbeiten möchten, set-
zen Sie dazu ADSI ein.
Skripte mit ADSI

Wie Sie selbst gesehen haben, ist das Erstellen und Importieren einer Benutzerliste
in Active Directory nicht allzu schwierig. Da die Klassen und Attribute und deren
Definition ein Bestandteil von Active Directory sind, ist es unter Verwendung der
entsprechenden Werkzeuge möglich, auch diese zu bearbeiten. Wenn Sie jedoch
interaktiv mit Active Directory arbeiten müssen, erledigen Sie das am besten über
die Schnittstelle Active Directory Service Interface (ADSI).
Diese Schnittstelle zur interaktiven Arbeit mit Active Directory können Sie über
verschiedene Programmiersprachen einschließlich des Windows Scripting Host,
ansprechen. ADSI ist kompatibel mit Common Object Model (COM) und unter-
stützt die standardmäßigen COM-Funktionen.
Eine vollständige Erörterung dessen, wie ADSI-Skripte erstellt werden, wäre ein
Thema aus der Programmierung und ginge über den Rahmen dieses Buches hinaus.
Für die hier zugrunde liegenden Zwecke sollten Sie sich nur im Klaren darüber sein,
dass ADSI existiert und mit jeder Programmiersprache einschließlich des Windows
Scripting Host zusammenarbeitet. Das folgende Beispiel soll Ihnen eine Vorstel-
lung davon vermitteln, wie einfach diese Schnittstelle bedient werden kann:
Dim objDomain
Dim objUser
Set
objDomain=GetObject("LDAP://OU=Users,DC=Biotech,DC=com")
Set objUser =objDomain.Create("user","cn=Dave Shapton")
objUser.Put "samAccountName","Dshapton"
objUser.Put "givenName","Dave"
objUser.Put "sn","Shapton"
objUser.Put "userPrincipalName","DShapton@Biotech.com"
objUser.SetInfo
MsgBox "Benutzer erstellt: " &&objUser.Name
Set objDomain =Nothing
MsgBox "Fertig"
WScript.Quit
In diesem Beispiel dienen die ersten zwei Zeilen als Platzhalter für die Objekte, die
erstellt werden. Als Nächstes wird über die Komponente LDAP:// die Verbindung
mit dem LDAP-Server hergestellt. Anschließend wird ein Benutzerobjekt mit dem
neuen Namen erstellt. Danach werden verschiedene Attribute vergeben und die
Information gespeichert. Ein Dialogfeld teilt Ihnen zum Schluss mit, dass der
Benutzer erstellt und das Programm beendet wurde.
Dies ist zwar ein simples Programm, aber ein gutes Beispiel dafür, wie leistungsfä-
hig die Schnittstelle ist. Für Ihre Prüfung müssen Sie lediglich wissen, dass ADSI
existiert. Viel mehr müssen Sie dagegen über Gruppen wissen.
4.4 Gruppen in Windows 2000

Sicherlich möchten Sie 70.000 Benutzer nicht einzeln bearbeiten müssen, daher
brauchen Sie ein Verfahren, mit dem Sie Benutzer und Gruppen so zusammenfas-
sen können, dass Sie mit vielen Benutzern oder Computern auf einmal arbeiten kön-
nen.
Bevor Sie mehr über Gruppen in Windows 2000 erfahren, sollten Sie sich noch ein-
mal all das vor Augen halten, was Sie über das Speichern von Benutzern gelernt
haben. Eine der Kernintentionen von Windows 2000 besteht ja darin, die Verzeich-
nisdienste der Netzwerk- und der E-Mail-Seite zusammenzubringen. Ein großer
Teil der Daten, die Sie über die Benutzer speichern können, besteht zu einem gro-
4.4 Gruppen in Windows 2000 217
ßen Teil aus Daten, die Sie bis dahin in der Regel im E-Mail-System abgelegt
haben.
Wenn Sie sich mit Gruppen befassen, wird dies offensichtlich, denn im Windows-
2000-Verzeichnisdienst können Sie zwei Hauptgruppen erstellen:
씰 Verteilergruppe. Diese Gruppen sind ausschließlich für die E-Mail vorgese-

hen und können nicht zur Vergabe von Sicherheitseinstellungen verwendet
werden.
씰 Sicherheitsgruppen. Diese Gruppen dienen dazu, Benutzer zusammenzufas-

sen oder Berechtigungen für Objekte im Netzwerk oder in Active Directory
zu vergeben. Diese Gruppen können auch für die E-Mail verwendet werden.
Die folgenden Erörterungen werden sich hauptsächlich um die Sicherheitsgruppen

drehen, obwohl auch die Verteilergruppen legitime Objekte in Windows 2000
Active Directory darstellen. Sie werden die Hauptfunktionen von Gruppen, den
Domänenmodus, die Strategien für die Verwendung von Gruppen, integrierte und
vordefinierte Gruppen, vordefinierte globale Gruppen, spezielle Identitäten und die
Verwaltung von Gruppen untersuchen.
In Windows 2000 Active Directory übernimmt eine Gruppe zwei Hauptfunktionen:

Sie fasst Benutzerkonten zu einer einzelnen Einheit zur Vereinfachung der Admi-
nistration zusammen, und sie vergibt Berechtigungen für Objekte und Ressourcen.
Der Unterschied besteht dabei im Bereich der Gruppe.
씰 Global. Globale Gruppen werden normalerweise zum Gruppieren von Benut-

zerkonten eingesetzt und sollten in der Regel keine Berechtigungen erhalten.
Die Berechtigungen bekommen die Benutzer über das Hinzufügen einer glo-
balen Gruppe zu einer lokalen Gruppe, die über die erforderlichen Berechti-
gungen verfügt. Globale Gruppen können nur Benutzer aus der lokalen Do-
mäne enthalten. Sie stehen in der Domäne zur Verfügung, in der sie erstellt
worden sind, sowie in anderen Domänen in der Struktur bzw. Gesamtstruk-
tur.
씰 Lokal. Lokale Gruppen werden dazu verwendet, Berechtigungen zur Ausfüh-

rung von Funktionen innerhalb einer Domäne zusammenzufassen. Die lokale
Gruppe in einer Windows-NT-Domäne steht nur auf dem Computer zur Ver-
fügung, auf dem sie erstellt worden ist. In Windows 2000 dagegen steht die
lokale Gruppe allen Systemen in der Domäne zur Verfügung, die mit Win-
dows 2000 laufen, und wird als domänenlokale Gruppe bezeichnet.
씰 Universell. Universelle Gruppen kombinieren die Eigenschaften globaler

und lokaler Gruppen. Sie können Benutzer und Computer aus jeder Domäne
einer Struktur oder Gesamtstruktur enthalten, und Rechte für Ressourcen
oder Objekte in jeder Domäne zugewiesen bekommen. Diese Gruppe besei-
tigt aus der Sicht der Administration die Grenzen zwischen den Domänen.
Dafür steigert sie den zwischen Servern für den globalen Katalog erforderli-
chen Replikationsaufwand, da diese Art Gruppe von den Servern für den glo-
balen Katalog verwaltet wird. Die Gruppen stehen nur im einheitlichen Mo-
dus zur Verfügung.
4.4.1 Domänenmodus
Die aktuelle Verwendung und der Bereich von Gruppen hängt von dem Modus ab,
in dem Sie eine Domäne betreiben. In einer Windows-2000-Domäne stehen Ihnen
zwei Modi zur Verfügung:
씰 Gemischter Modus. In diesem Modus können Sie die Domänencontroller

von Windows NT und Windows 2000 in derselben Domäne einsetzen. Dieser
Modus ist standardmäßig eingestellt und stellt Ihnen die während des Aktua-
lisierungsvorgangs nötige Funktionalität zur Verfügung.
씰 Einheitlicher Modus. In diesem Modus nutzen Sie die Vorteile verschiede-

ner erweiterter Funktionen der Gruppe einschließlich der Vorteile universel-
ler Gruppen.
Der einheitliche Modus von Windows 2000 steht nur für Domänen zur Verfügung,
die keine Domänencontroller mit Windows NT 4.0 besitzen. Sie können auf den
einheitlichen Modus aktualisieren, nachdem Sie alle eingeplanten Domänencontrol-
ler aktualisiert und alle Domänencontroller mit Windows NT entfernt haben. Der
Wechsel des Domänenmodus wird in der nächsten Schritt-für-Schritt-Anleitung
demonstriert.

4.17 Domänenmodus ändern
1. Öffnen Sie ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN.
2. Klicken Sie mit der rechten Maustaste auf der Domäne, die Sie ändern möch-
ten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie auf der Registerkarte ALLGEMEIN (siehe Abbildung 4.19) auf die
Schaltfläche MODUS WECHSELN.
4. Sie erhalten eine Warnung angezeigt, die darauf hinweist, dass Sie nicht wie-
der zum gemischten Modus zurückkehren können. Klicken Sie zum Fortfah-
ren auf WEITER.
5. Klicken Sie zum Abschluss der Operation auf OK.
6. Sie erhalten eine Warnung angezeigt, die darauf hinweist, dass die Replika-
tion 15 Minuten und länger dauern kann. Klicken Sie zum Schließen des Mel-
dungsfeldes auf OK.
Abbildung 4.19
Klicken Sie in der

Registerkarte auf
die Schaltfläche
Modus wechseln
Die folgende Tabelle fasst die Auswirkung des Domänenmodus auf Gruppen
zusammen.
Gruppentyp Funktion Gemischter Modus Einheitlicher Modus
Universell kann welche nicht verfügbar Konten, globale

Mitglieder enthalten Gruppen und
universelle Gruppen
aus allen Domänen
Tabelle 4.1: Auswirkungen des Domänenmodus auf Gruppen

kann Mitglied sein nicht verfügbar kann anderen

von Gruppen jeder
Domäne hinzuge-
fügt werden
wird verwendet für nicht verfügbar kann in jeder
Domäne Berechti-
gungen zugewiesen
bekommen
kann in andere nicht verfügbar nicht verfügbar

Typen umgewan-
delt werden
Global kann welche Konten aus Konten und andere
Mitglieder enthalten derselben Domäne globale Gruppen
aus derselben
Domäne
kann Mitglied sein lokale Gruppen in kann anderen
von jeder Domäne Gruppen jeder
Domäne hinzuge-
fügt werden
wird verwendet für kann in jeder kann in jeder
Domäne Berechti- Domäne Berechti-
gungen zugewiesen gungen zugewiesen
bekommen bekommen
kann in andere nicht verfügbar kann in den univer-
Typen umgewan- sellen Gültigkeits-
delt werden bereich umgewan-
delt werden, sofern
nicht Mitglied einer
anderen Gruppe mit
globalem Gültig-
keitsbereich
Domänenlokal kann welche Konten und globale Konten, globale
Mitglieder enthalten Gruppen aus jeder Gruppen und
Domäne universelle Gruppen
aus allen Domänen
als auch domänen-
lokale Gruppen aus
derselben Domäne

kann Mitglied sein nicht verfügbar kann anderen domä-

von nenlokalen Gruppen
in derselben
Domäne hinzuge-
fügt werden
wird verwendet für kann Berechti- kann nur Berechti-

gungen in der gungen in derselben
lokalen Domäne Domäne zuge-
zugewiesen wiesen bekommen
bekommen
kann in andere nicht verfügbar kann in den univer-
Typen umgewan- sellen Gültigkeits-
delt werden bereich umgewan-
delt werden, sofern
nicht Mitglied einer
anderen Gruppe mit
globalem Gültig-
keitsbereich
Für den Einsatz von Gruppen brauchen Sie eine Strategie, die der Gegenstand des
folgenden Abschnitts sein wird.
4.4.2 Strategien zum Einsatz von Gruppen

Wenn Sie noch vor der Installation von Windows 2000 einen Plan dafür entwickeln,
wie Sie Ihre Gruppen verwenden werden, wird Ihnen dies viel Zeit und Mühe bei
der Anpassung der Gruppen an Ihr Netzwerk ersparen. Der erste Schritt bei der Pla-
nung Ihrer Gruppen besteht, wie Sie sich vielleicht schon gedacht haben, darin, den
zu verwendenden Domänenmodus festzulegen. Die lokalen, globalen und universel-
len Gruppen bieten dem Administrator unterschiedliche Grade der Kontrolle an.
Domänenlokale Gruppen verwenden

Normalerweise nutzen Sie domänenlokale Gruppen zum Zuweisen von Berechti-
gungen. Indem Sie die domänenlokale Gruppe für Berechtigungen verwenden, kön-
nen Sie über globale und universelle Gruppen aus jeder Domäne Benutzer mit
Berechtigungen zu verknüpfen.
Nehmen Sie beispielsweise an, dass Sie einen Drucker haben, und den Buchhaltern
in Ihrer Domäne dessen Verwendung erlauben möchten. Sie können nun sehr ein-
fach eine globale Gruppe definieren, die die Buchhalter enthält, und diese in eine
lokale Gruppe mit den Berechtigungen für diesen Drucker aufnehmen. Falls Sie
später einmal eine Buchhaltergruppe einer anderen Domäne hinzufügen müssen,
erledigen Sie dies einfach durch Hinzufügen der globalen Gruppe. Müssen Sie spä-
ter die Berechtigung für den Drucker auf einen anderen Drucker ändern, dann ver-
geben Sie diese Berechtigung einfach der lokalen Gruppe.
Mit lokalen Gruppen können Sie gleichzeitig mit mehreren globalen Gruppen arbei-
ten, die als Einheit den Zugriff auf verschiedene lokale Ressourcen benötigen.
Globale Gruppen verwenden

Globale Gruppen dienen normalerweise nur dem Zweck, Benutzer einer Domäne zu
einer Einheit zusammenzufassen, die dann in der lokalen Domäne oder einer belie-
bigen anderen Domäne in der Struktur oder Gesamtstruktur Verwendung findet. Da
Gruppen mit globalem Bereich nicht außerhalb ihrer Domäne repliziert werden,
können Konten in einer Gruppe mit globalem Bereich häufig geändert werden, ohne
dass zusätzlicher Replikationsverkehr zum globalen Katalog ausgelöst wird.
Universelle Gruppen verwenden

Gruppen mit universellem Bereich verwenden Sie zur Konsolidierung von domä-
nenübergreifenden Gruppen. Zu diesem Zweck fügen Sie Konten den Gruppen mit
globalem Bereich hinzu, und schachteln diese Gruppen dann in Gruppen mit univer-
sellem Bereich ein. Bei Verwendung dieser Strategie haben Änderungen der Mit-
gliedschaft in den globalen Gruppen keinerlei Auswirkung auf die Gruppen mit uni-
versellem Bereich.
Dies ist deshalb von Bedeutung, weil Änderungen an universellen Gruppenmit-

gliedschaften dazu führen, dass alle Mitgliedschaften der Gruppe an jeden globalen
Katalog in der Gesamtstruktur repliziert werden.
Bei der Arbeit mit Gruppen ist es wichtig daran zu denken, dass globale Gruppen
zum Zusammenfassen von Benutzern, und lokale Gruppen zum Zuweisen von
Berechtigungen eingesetzt werden. Durch Aufnahme einer globalen Gruppe in eine
lokale Gruppe erhalten die Benutzer die Berechtigungen. Universelle Gruppen
erlauben Ihnen die Zusammenfassung von globalen Gruppen und deren Aufnahme
in mehrere domänenübergreifende lokale Gruppen.
Außer den von Ihnen erstellten Gruppen stehen Ihnen noch mehrere eingebaute
Gruppen zur Verfügung, die Sie bei der Verwaltung Ihres Netzwerks unterstützen.
4.4.3 Integrierte und vordefinierte Gruppen

Während der Installation der Domäne werden standardmäßig mehrere Gruppen
angelegt. Diese Gruppen repräsentieren verschiedene Rollen, die Benutzer in Ihrem
Netzwerk übernehmen, und sind zu dem Zweck vorhanden, Ihnen die Einrichtung
der Administration für Ihr Netzwerk zu erleichtern.
Integrierte lokale Gruppen

Die im Ordner Builtin für Active Directory-Benutzer und -Computer vorhandenen
Gruppen sind:
씰 Konten-Operatoren
씰 Administratoren
씰 Sicherungs-Operatoren
씰 Gäste
씰 Druck-Operatoren
씰 Replikations-Operator
씰 Server-Operatoren
씰 Benutzer
씰 Hauptbenutzer
(nur in Windows Professional und Standalone-Servern vorhanden)
Alle diese Gruppen verfügen über einen domänenlokalen Bereich und werden
hauptsächlich zu dem Zweck verwendet, Berechtigungen an Benutzer zu verleihen,
die eine administrative Rolle in der Domäne spielen sollen. Die folgende Tabelle
zeigt die standardmäßigen Berechtigungen für jede dieser Gruppen und die generel-
len Berechtigungen für alle Benutzer auf, die in einer besonderen Gruppe namens
Jeder zusammengefasst sind.
Benutzerrechte Erlaubt Gruppen, denen diese

Rechte standardmäßig
zugewiesen sind
Zugriff auf diesen Verbindung mit diesem Administratoren, Jeder,

Computer im Netzwerk Computer über das Netz- Hauptbenutzer
werk
Dateien und Ordner sichern Dateien und Ordner unab- Administratoren, Siche-
hängig von den Datei- und rungs-Operatoren
Ordnerberechtigungen
sichern
Ordner durchsuchen Eine Ordnerstruktur durch- Jeder
suchen, in der der Benutzer
normalerweise kein Recht
zum Zugriff auf Unter-
ordner besitzt
Systemzeit ändern Systemzeit des Computers Administratoren,
einstellen Hauptbenutzer
Auslagerungsdatei erstellen Keine sonstigen Auswir- Administratoren
kungen
Programme debuggen Verschiedene System- Administratoren
objekte wie etwa Threads
debuggen
Herunterfahren von Computer im Netzwerk Administratoren
anderem System im Netz- herunterfahren
werk erzwingen
Multitaskingpriorität Priorität eines Prozesses Administratoren,
heraufsetzen heraufsetzen Hauptbenutzer
Gerätetreiber laden und Gerätetreiber installieren Administratoren
entladen und entfernen
Lokal anmelden Am Computer direkt Administratoren, Siche-
anmelden rungs-Operatoren, Jeder,
Gäste, Hauptbenutzer und
Benutzer
Tabelle 4.2: Die den integrierten administrativen Gruppen zugewiesenen Rechte

Benutzerrechte Erlaubt Gruppen, denen diese

Rechte standardmäßig
zugewiesen sind
Überwachungs- und Sicher- Überwachungsprotokoll Administratoren

heitsprotokoll kontrollieren und anzeigen
sowie Sicherheitsprotokoll
anzeigen und löschen.
Mitglieder der Gruppe
Administratoren können das
Sicherheitsprotokoll immer
anzeigen und löschen
Umgebungsvariablen des Die im nichtflüchtigen Administratoren
BIOS ändern RAM in Computern gespei-
cherten Umgebungsvari-
ablen ändern, die eine
Änderung unterstützen
Leistungsmessung eines Ausführen einer Leistungs- Administratoren,
Prozesses messung für einen Prozess Hauptbenutzer
Leistungsmessung des Ausführen einer Leistungs- Administratoren
Systems messung für den Computer
Dateien und Ordner wieder- Gesicherte Dateien und Administratoren, Siche-
herstellen Ordner unabhängig von den rungs-Operatoren
Datei- und Ordnerberechti-
gungen wiederherstellen
System herunterfahren Den Computer herunter- Administratoren, Siche-
fahren rungs-Operatoren, Jeder,
Hauptbenutzer und
Benutzer
Besitzrechte übernehmen Übernahme des Besitz- Administratoren
rechtes an Dateien,
Ordnern, Druckern und
anderen Objekten, die sich
auf dem Computer befinden
bzw. mit diesem verknüpft
sind
Tabelle 4.2: Die den integrierten administrativen Gruppen zugewiesenen Rechte
Außer den zusätzlichen lokalen Gruppen gibt es noch mehrere vordefinierte Grup-
pen mit globalem Bereich.
4.4.4 Vordefinierte globale Gruppen

Die im Ordner Users von Active Directory-Benutzer und -Computer untergebrach-
ten vordefinierten Gruppen sind die folgenden:
씰 Zertifikatherausgeber
씰 Domänen-Admins
씰 Domänencomputer
씰 Domänencontroller
씰 Domänen-Gäste
씰 Domänen-Benutzer
씰 Organisations-Admins
씰 Richtlinien-Ersteller-Besitzer
씰 Schema-Admins
Diese Gruppen ermöglichen Ihnen die Zusammenfassung verschiedener Benutzer-

typen und deren Verknüpfung mit den integrierten lokalen Gruppen. Standardmäßig
sind alle Benutzer Mitglieder der Gruppe Domänen-Benutzer, während alle Compu-
ter zur Gruppe Domänencomputer gehören. Mit diesen Gruppen können Sie die
Masse aller Benutzer und Computer in Ihrem Netzwerk verwalten. Standardmäßig
ist die Gruppe Domänenbenutzer in einer Domäne ein Mitglied der Gruppe Benut-
zer in derselben Domäne.
Die Gruppe Domänen-Admins wird für die Administratoren der Domäne verwendet
und ist ein Mitglied der lokalen Gruppe Administratoren. In diese Gruppe sollten
Sie nur dann Benutzer aufnehmen, wenn diese volle Administratorprivilegien inner-
halb der Domäne benötigen.
Die integrierten und vordefinierten Gruppen helfen bei der Verwaltung des größten
Teils Ihres Netzwerks. Diese Gruppen in Verbindung mit den von Ihnen selbst
erstellten Gruppen gestalten die Administration einfacher.
4.4.5 Spezielle Identitäten

Benutzer können zu drei speziellen Gruppen gehören. Sie werden zu Mitgliedern
dieser Gruppen nicht dadurch, dass sie in diese aufgenommen werden, sondern
durch die Aktionen, die sie selbst unternehmen. Es handelt sich um die folgenden
Gruppen:
씰 JEDER. Repräsentiert alle aktuellen Benutzer eines Systems, die sich über das
Netzwerk oder lokal anmelden.
씰 NETZWERK. Diese Gruppe enthält alle Benutzer, die eine Ressource im Netz-
werk benutzen.
씰 INTERAKTIV. Diese Gruppe ist für Benutzer bestimmt, die sich physisch am
Computer befinden.
Obwohl diesen speziellen Identitäten Rechte und Berechtigungen für Ressourcen

zugewiesen werden können, können Sie die Mitgliedschaften dieser speziellen
Identitäten nicht ändern oder anzeigen. Sie werden diese Gruppen im Rahmen der
Verwaltung nicht zu Gesicht bekommen, und können spezielle Identitäten auch
nicht in Gruppen unterbringen. Gruppenrichtlinien können auf spezielle Identitäten
nicht angewendet werden. Den Benutzern werden diese Identitäten automatisch
zugewiesen, sobald sie sich anmelden oder eine bestimmte Ressource beanspru-
chen.
4.4.6 Gruppen verwalten

Da Sie nun die Konzepte von Gruppen kennen gelernt haben, wird es Zeit zu sehen,
wie Administratoren mit ihnen arbeiten. Der folgende Abschnitt zeigt, wie Sie
Gruppen hinzufügen, bearbeiten und löschen, und wie Sie Mitglieder hinzufügen
oder löschen. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine
Gruppe hinzufügen.

4.18 Gruppe hinzufügen
2. Klicken Sie mit der rechten Maustaste auf dem Ordner, in welchen Sie die
Gruppe hinzufügen möchten, und zeigen Sie auf NEU/GRUPPE.
3. Geben Sie den Namen der neuen Gruppe ein. Standardmäßig wird der Name,
den Sie eingeben, ebenfalls als Gruppenname für Windows NT 3.5x/4.0 ver-
wendet. Sie können diesen Namen nach Bedarf ändern.
4. Klicken Sie den gewünschten Gruppenbereich an.
5. Klicken Sie den gewünschten Gruppentyp an.
6. Bestätigen Sie die Eingaben (siehe Abbildung 4.20) und klicken Sie auf OK.
Abbildung 4.20
Bestätigen Sie die

Eingaben und kli-
cken Sie auf OK
Vergessen Sie nicht, dass Sie mit globalen Gruppen Benutzer zusammenfassen, die
Sie zu administrativen Zwecken als Einheit behandeln wollen. Lokale Gruppen die-
nen zum Zusammenfassen von Rechten. Den Zweck einer vorhandenen Gruppe
sollten Sie immer genauestens überprüfen, da Sie ggf. die Gesamtzahl der Gruppen
und damit auch die Notwendigkeit von Berechtigungsüberprüfungen reduzieren
können.
Wie bei den Benutzern gibt es auch hier mehrere Optionen, die Sie einstellen kön-
nen. Zum Bearbeiten dieser Optionen müssen Sie die Gruppeneigenschaften bear-
beiten. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie dies tun.

4.19 Gruppeneigenschaften bearbeiten
2. Klicken Sie den Ordner an, der die Gruppe enthält.
3. Klicken Sie mit der rechten Maustaste auf der Gruppe, und klicken Sie dann
im Kontextmenü auf EIGENSCHAFTEN.
4. Ändern Sie nach Bedarf die Eigenschaften und klicken Sie auf OK.
Sie können zwar bei Bedarf die Eigenschaften der Gruppen ändern, werden jedoch
im Normalfall eher die Gruppenmitgliedschaften bearbeiten wollen. Damit haben
Sie die Möglichkeit, Benutzer der Gruppe hinzuzufügen oder von dort zu entfernen.
Außerdem können Sie den Manager dieser Gruppen ändern, sofern die Verwaltung
delegiert worden ist.
Es gibt sechs Registerkarten zum Konfigurieren von Gruppen. Die folgende Auf-
stellung benennt diese Registerkarten und die darin zur Verfügung stehenden Optio-
nen.
씰 ALLGEMEIN. Hiermit können Sie den Downlevel-Namen der Gruppe ändern.

Weiterhin können Sie eine Beschreibung und E-Mail-Adresse hinzufügen,
den Bereich und Typ der Gruppe modifizieren und Kommentare aufnehmen.
씰 MITGLIEDER. Diese Registerkarte ermöglicht Ihnen über die entsprechenden

Schaltflächen das Hinzufügen und Entfernen von Mitgliedern.
씰 MITGLIED VON. Wie Benutzer können auch Gruppen Mitglieder anderer

Gruppen sein. Diese Registerkarte gibt Ihnen die Gelegenheit, Gruppen ande-
ren Gruppen hinzuzufügen oder von dort zu entfernen.
씰 VERWALTET VOn. Hiermit können Sie den Benutzer einrichten, der der Mana-
ger der Gruppe ist. Die Informationen über diesen Benutzer werden ange-
zeigt.
씰 OBJEKT. Teilt Ihnen den Namen, das Erstellungsdatum, das Aktualisierungs-

datum und die USN des Objekts mit.
씰 SICHERHEITSEINSTELLUNGEN. Hiermit richten Sie die Sicherheit für das Ob-

jekt in Active Directory ein. Dies wird weiter unten in diesem Kapitel detail-
liert erörtert.
Gelegentlich möchten Sie eine Gruppe sicher auch einmal löschen. Denken Sie in
diesem Fall daran, dass eine Gruppe wie ein Benutzer eine eindeutige SID besitzt.
Mit dem Löschen der Gruppe löschen Sie gleichzeitig die SID. Mit dem Erstellen
einer neuen Gruppe mit genau demselben Namen stellen Sie die Rechte und Berech-
tigungen, die früher bestanden haben, nicht wieder her, sondern müssen diese neu
zuweisen. Die Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Gruppe
löschen.

4.20 Gruppe löschen
2. Klicken Sie in der Baumstruktur der Konsole zweimal auf den Domänenkno-
ten.
3. Klicken Sie den Ordner an, in dem sich die Gruppe befindet.
4. Klicken Sie im Detailfenster mit der rechten Maustaste auf der Gruppe, und
wählen Sie im Kontextmenü LÖSCHEN aus.
5. Klicken Sie im angezeigten Dialogfeld zum Bestätigen auf JA.
Wenn Sie eine Gruppe nicht mehr benötigen und sicher sind, dass auch niemand
sonst mehr mit dieser Gruppe arbeitet, sollten Sie sie löschen. Dadurch vermeiden
Sie, dass im System »herrrenlose« Berechtigungen einer Gruppe existieren. Gleich-
zeitig wird dieses Objekt damit aus Active Directory entfernt.
Denken Sie daran, dass Sie zum Hinzufügen eines Benutzers entweder die Gruppen-
eigenschaften bearbeiten oder den Benutzer über dessen Eigenschaften zur Gruppe
hinzufügen können. Mit diesen Vorgehensweisen überprüfen Sie gleichzeitig, zu
welchen Gruppen ein Benutzer gehört bzw. welche Benutzer Mitglieder einer
Gruppe sind.
Wie bei allen Netzwerkbetriebssystemen stellen Gruppen ein Schlüsselwerkzeug

für die Administration dar. Sie ermöglichen eine rasche und einfache Verwaltung
einer größeren Menge von Benutzern. Obwohl Gruppen kein offizieller Bestandteil
der Prüfung sind, können in dem einen oder anderen Fall diesbezügliche Fragen
auftauchen. Stellen Sie sicher, dass Sie die Gruppentypen (Sicherheit und Verteiler)
und den Bereich von Gruppen (global, universell und lokal) kennen.
Im nächsten Abschnitt erfahren Sie, wie Sie Objekte suchen, was sich als nützlich
erweisen wird, wenn Sie Gruppen erstellen.
4.5 Objekte in Verzeichnisdiensten suchen

씰 Objekte in Active Directory suchen
Mit der steigenden Anzahl von Objekten, die Sie in Active Directory speichern,
benötigen Sie auch eine Methode zum Suchen von Objekten, mit denen Sie arbeiten
möchten. Darüber hinaus genügt es nicht, einfach nur Active Directory zum Erzeu-
gen einer Liste mit unternehmensweiten Objekten zu konfigurieren, sondern die
Benutzer müssen diese Objekte auch ausfindig machen können. Im folgenden
Abschnitt werden Sie erfahren, wie Sie Objekte in Active Directory sowohl über die
administrative als auch die Benutzerschnittstelle suchen können.
4.5 Objekte in Verzeichnisdiensten suchen 231
4.5.1 Objekte über Active Directory-Benutzer und -

Computer lokalisieren
Wenn Sie mit den Benutzern und Computern Ihres Netzwerks arbeiten, müssen Sie
auch in der Lage sein, die Objekte ausfindig zu machen, die Sie verwalten möchten.
Dies erledigen Sie entweder über den Befehl SUCHEN, der sich im Kontextmenü der
Domäne befindet, oder über das Symbol SUCHEN in der Symbolleiste. Die folgende
Schritt-für-Schritt-Anleitung zeigt Ihnen, die Sie den Befehl SUCHEN zum Lokali-
sieren eines Objekts einsetzen.

4.21 Objekt mit dem Befehl Suchen lokalisieren
1. Öffnen Sie VERWALTUNG/ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
2. Klicken Sie mit der rechten Maustaste auf einer beliebigen Domäne und wäh-
len Sie im Kontextmenü SUCHEN aus.
3. Wählen Sie im Feld SUCHEN das Objekt aus, welches Sie lokalisieren möch-
ten (siehe Abbildung 4.21).
4. Wählen Sie im Feld IN die Domäne aus, in der Sie suchen möchten bzw.
legen Sie fest, dass Sie im gesamten Active Directory suchen wollen (siehe
Abbildung 4.22).
Abbildung 4.21
Das Dialogfeld
SUCHEN zeigt
Ihnen, welche
Objekte Sie lokali-
sieren können
5. Je nach Ihrer Auswahl können Sie nun die Optionen angeben, mit denen Sie
die Suche ausführen wollen. Folgende Optionen stehen Ihnen zur Verfügung:
씰 BENUTZER, KONTAKTE UND GRUPPEN. Hier können Sie einen Namen
bzw. eine Beschreibung angeben.
Abbildung 4.22
Das Dialogfeld
SUCHEN mit den
Suchoptionen
씰 COMPUTER. Geben Sie bei der Suche nach Computern den Namen des
Computers, des Besitzers oder der Rolle in der Domäne (Domänencon-
troller oder Arbeitsplatz-PC/Server) ein.
씰 DRUCKER. Bei Druckern können Sie nach dem Druckernamen, Standort
oder Modell suchen.
씰 FREIGEGEBENE ORDNER. Bei freigegebenen Ordnern haben Sie die Mög-
lichkeit, nach dem Namen oder nach Schlüsselwörtern, die mit dem frei-
gegebenen Ordner verknüpft sind, zu suchen.
씰 ORGANISATIONSEINHEIT. Falls Sie nach einer OU suchen müssen, können
Sie hier als einzige Option den Namen eingeben.
씰 BENUTZERDEFINIERTE SUCHE. Diese Option ermöglicht Ihnen eine genaue
Festlegung dessen, wonach und über welche Kriterien Sie suchen. Das
Dialogfeld BENUTZERDEFINIERTE SUCHE entspricht dem der Option WEI-
TERE für die restlichen lokalisierbaren Objekte. Die Option WEITERE wird
detailliert weiter unten in diesem Kapitel beschrieben.
씰 REMOTEINSTALLATIONSCLIENTS. Hiermit können Sie nach der global ein-
deutigen ID oder dem Remoteinstallationsserver suchen, dem sie zuge-
wiesen ist.
Sie brauchen nicht den vollständigen Wert eines Textfeldes einzugeben, da
der Suchvorgang normalerweise mit ein oder zwei Suchworten auskommt.
Beispielsweise finden Sie durch Eingabe von Schmidt im Suchfeld alle Per-
sonen mit dem Nachnamen Schmidt.
6. Wenn Sie nach einem Drucker suchen, können Sie auf die Registerkarte
FUNKTIONEN anklicken, und den Drucker über eine Suche nach seinen Funk-
tionen ausfindig machen (siehe Abbildung 4.23).
Abbildung 4.23
Drucker finden Sie

über deren Funktio-
nen
7. Wenn Sie auf JETZT SUCHEN klicken und das System den Suchvorgang
ausführt, werden die Ergebnisse im Ergebnisfenster dargestellt (siehe Abbil-
dung 4.24).
Abbildung 4.24
Das Ergebnis der

Suche
Nachdem Sie das Objekt oder die Objekte gefunden haben, nach denen Sie Aus-
schau halten, können Sie sie markieren und über die rechte Maustaste das Kontext-
menü anzeigen. Auf diese Weise stehen Ihnen dieselben Optionen zur Verfügung,
als ob Sie manuell nach dem Objekt gesucht und mit der rechten Maustaste geklickt
hätten.
4.5.2 Erweitertes Suchen

Über die erweiterte bzw. benutzerdefinierte Suche können Sie spezifischere Anga-
ben zu dem Objekt machen, welches Sie lokalisieren möchten. Die Objekte, nach
denen Sie suchen können, werden dabei zusammen mit einer Liste ihrer Attribute
angezeigt. Die folgende Schritt-für-Schritt-Anleitung demonstriert die Verwendung
der erweiterten Suchmöglichkeiten.

4.22 Erweitertes Suchen
1. Wählen Sie im Dialogfeld SUCHEN das zu lokalisierende Objekt aus, und kli-
cken Sie dann auf die Registerkarte WEITERE (siehe Abbildung 4.25).
2. Klicken Sie zum Anzeigen einer Liste von Feldern, nach denen Sie suchen
können, auf die Schaltfläche FELD. Wählen Sie das gewünschte Feld aus
Abbildung 4.25
Die Registerkarte
WEITERE
Abbildung 4.26
Ihre Suchoptionen
hängen von dem
gewünschten
Objekt ab. In eini-
gen Fällen erhalten
Sie eine Liste von
Objekten mit der
dazugehörigen Lis-
te von Feldern in
einem Menü ange-
zeigt
3. Wählen Sie die Bedingung im Drop-down-Listenfeld BEDINGUNG aus (siehe

Abbildung 4.27).
4. Geben Sie ggf. im Feld WERT einen Wert ein.
5. Klicken Sie zum Hinzufügen der Bedingung zur Liste auf HINZUFÜGEN.
Durch Markieren und Klicken auf ENTFERNEN entfernen Sie sie wieder aus
der Liste.
6. Wiederholen Sie die Schritte 2 bis 5 für alle folgenden Bedingungen, nach
denen Sie suchen. Die Bedingungen werden durch ein logisches UND ver-
knüpft.
7. Klicken Sie zum Ausführen der Suche auf JETZT SUCHEN.
Abbildung 4.27
Sie haben die Wahl

unter verschiede-
nen Bedingungen
mit Werten wie bei-
spielsweise Vor-
handen bzw. nicht
vorhanden (über-
prüft die Existenz
des Objekts)
Über die erweiterten Suchoptionen lokalisieren Sie die Objekte, die Sie benötigen,
schneller, und bekommen sie übersichtlicher präsentiert. Die erweiterte Suche
erlaubt Ihnen außerdem die Suche nach bestimmten Objektcharakteristiken, sodass
Sie Gruppen von Objekten mit gemeinsamen Eigenschaften lokalisieren können.
Nicht nur für Sie als Administrator ist die Lokalisierung von Objekten über die
unter VERWALTUNG zur Verfügung stehenden Funktionen nützlich, sondern auch
die Benutzer selbst müssen Objekte in Active Directory suchen können.
4.5.3 Objekte als Benutzer suchen

Auch Benutzer müssen Objekte in Active Directory suchen können. Drucker oder
andere Personen finden sie sehr leicht über das entsprechende Suchwerkzeug im
Startmenü. Die folgende Schritt-für-Schritt-Anleitung demonstriert die Suche nach
einem Drucker.

4.23 Als Benutzer nach einem Drucker suchen
1. Klicken Sie auf START/SUCHEN/NACH DRUCKERN. Das Dialogfeld in der
Abbildung 4.28 wird angezeigt.
2. Geben Sie die Suchkriterien wie in der Abbildung 4.28 ein, oder lassen Sie
das Dialogfeld leer, um nach allen Druckern zu suchen.
3. Klicken Sie auf JETZT SUCHEN.
Abbildung 4.28
Dieses Dialogfeld
ermöglicht Benut-
zern die Suche
nach Druckern
Hat der Benutzer einen Drucker lokalisiert, kann er ihn mit der rechten Maustaste
anklicken und mit VERBINDEN den Drucker nutzen. Das Suchen nach Personen
ähnelt der Suche nach Druckern. Die folgende Schritt-für-Schritt-Anleitung erklärt
Ihnen die Suche nach Personen in Active Directory.

4.24 Nach Personen in Active Directory suchen
1. Klicken Sie auf START/SUCHEN/NACH PERSONEN. Das Dialogfeld PERSONEN
SUCHEN wird angezeigt.
2. Wählen Sie im Listenfeld SUCHEN IN ACTIVE DIRECTORY aus (siehe Abbil-

dung 4.29).
3. Geben Sie den Namen oder andere Informationen zu der Person ein, und kli-
cken Sie auf SUCHEN (siehe Abbildung 4.30).
Abbildung 4.29
Mit dem Dialogfeld

PERSONEN SUCHEN
können Sie in
Active Directory
oder einem ande-
ren LDAP-Dienst
suchen
Abbildung 4.30
Die Ergebnisse
werden in einem
Ergebnisfenster
angezeigt
Mit diesem Programm können Benutzer andere Benutzer des Netzwerks ausfindig
machen und Informationen über sie erhalten. Sie können dieses Programm außer-
dem zu dem Zweck einsetzen, ihnen E-Mails zu schicken.
Sicherlich haben Sie nun gelernt, dass sowohl Administratoren als auch Benutzer
fähig sein müssen, Objekte zu lokalisieren. Vielleicht haben Sie sich in diesem
Zusammenhang bereits Gedanken über die Sicherheit gemacht, denn es sieht ja so
aus, als ob jede beliebige Person Objekte in Ihrem Netzwerk lokalisieren könnte.
Darum brauchen Sie sich jedoch keine Sorgen zu machen, denn alle Objekte sind
durch die jeweilige Zugriffssteuerungsliste (ACL, Access Control List) geschützt.
Bis hierhin haben Sie also erfahren, wie Sie mit Benutzer- und Computerkonten
umgehen, und wie Sie diese unter Verwendung von Gruppen verwalten. Außerdem
ist Ihnen nun die Suche nach Objekten in Active Directory bekannt. Als Nächstes
werden Sie sich mit Organisationseinheiten befassen und erfahren, wie Sie sie zum
Delegieren der Kontrolle über gewisse Objekte an andere Benutzer oder Gruppen
einsetzen.
4.6 Organisationseinheit erstellen

Active Directory
씰 Implementieren einer Organisationseinheitenstruktur
Mit dem zunehmenden Wachstum Ihres Netzwerks werden Sie feststellen, dass Sie
immer mehr Benutzer zu verwalten haben. Sie werden darüber hinaus bemerken,
dass Sie einen Weg finden müssen, all die Benutzer so voneinander zu trennen, dass
Sie sie als Benutzergruppen verwalten können. Noch besser wäre, wenn Sie auch
noch eine Methode zur Verfügung hätten, mit der Sie die Kontrolle von Benutzer-
gruppen an andere Benutzer im Netzwerk delegieren können.
Mit Organisationseinheiten sind Sie in der Lage, Benutzer, Computer und andere
Ressourcen im Netzwerk logisch zu organisieren. Mit Organisationseinheiten kön-
nen Sie nicht nur eine zentrale Kontrolle des Netzwerks aufbauen, sondern auch
Benutzer und Computer zu dem Zweck gruppieren, die Kontrolle zu delegieren und
Gruppenrichtlinien anzuwenden.
Stellen Sie sich einmal ein Netzwerk mit etwa 8.000 Benutzern vor, und überlegen
Sie, welche Möglichkeiten sich anbieten, um dieses Netzwerk sinnvoll zu organisie-
ren. Sie könnten eine Stammdomäne und anschließend untergeordnete Domänen
erstellen, oder Sie könnten ebenso gut eine einzelne Domäne erstellen und dann das
Netzwerk mit Hilfe von Organisationseinheiten aufsplitten. Sogar in einem Unter-
nehmen, in dem Sie die Organisation über untergeordnete Domänen innerhalb einer
einzigen Stammdomäne vorgenommen haben, können Sie immer noch Organisa-
tionseinheiten verwenden, um die Benutzer innerhalb einer Domäne zu organisie-
ren.
4.7 Berechtigungen in Active Directory-Diensten 239
4.6.1 Wo Organisationseinheiten sinnvoll sind

Die Wahl zwischen Domänen oder Organisationseinheiten ist ein Bestandteil des
Netzwerkdesigns. Domänen stellen normalerweise Grenzen hinsichtlich der Repli-
kation und Sicherheit dar. Sind keine Domänen vorhanden, dann kann Ihre logische
Organisation unter Verwendung von Organisationseinheiten erfolgen.

4.25 Organisationseinheit erstellen
2. Klicken Sie mit der rechten Maustaste auf den Ordner, in dem Sie die neue
Organisationseinheit erstellen wollen. In Active Directory verhält sich eine
Organisationseinheit wie ein Ordner.
3. Wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus.
4. Geben Sie den Namen der Organisationseinheit ein, und klicken Sie auf OK.
Nachdem Sie die Organisationseinheit erzeugt haben, können Sie Benutzer und
Computer in diese verschieben oder direkt darin neu erstellen. Darüber hinaus kön-
nen Sie in einer Organisationseinheit auch andere Objekte wie Gruppen, Drucker,
freigegebene Ordner und weitere Organisationseinheiten erstellen.
Vergessen Sie nicht, dass der Hauptgrund zum Erstellen einer Organisationseinheit
darin besteht, Ihnen die Delegierung der Kontrolle über die Organisationseinheit an
andere Benutzer oder Gruppen zu ermöglichen. Sie erledigen dies durch die Einstel-
lungen der Berechtigungen für diese Organisationseinheit, sodass ein Benutzer oder
eine Gruppe die entsprechenden Kontrollmöglichkeiten bekommen kann.
4.7 Berechtigungen in Active Directory-

Diensten
씰 Zugriff auf Active Directory-Objekte verwalten
Jedes Objekt in Active Directory besitzt eine Sicherheits-ID (SID), eine eindeutige
Nummer, die das Objekt identifiziert. Wenn sich ein Benutzer in Windows 2000
anmeldet, generiert das System ein Zugriffstoken, welches dann standardmäßig an
den Startprozess (Explorer.exe) des Benutzers angehängt wird. Das Zugriffstoken
besteht neben weiteren Informationen aus der SID des Benutzers und der SID jeder
Gruppe, zu der der Benutzer gehört.
Dieses Zugriffstoken wird an jeden weiteren Prozess angehängt, den der Benutzer
startet. Es wird laufend mit den Objektberechtigungen verglichen, um zu ermitteln,
ob der Benutzer dazu berechtigt ist, auf das Objekt zuzugreifen. In Windows 2000
beinhaltet dies auch den Zugriff auf Objekte in Active Directory.
Jedes Objekt verfügt über eine Sicherheitsbeschreibung, die SID des Besitzers, die
SID der Hauptgruppe des Besitzers sowie eine DACL (Discretionary Access Control
List, Zugriffssteuerungsliste) und eine SACL (System Access Control List, System-
zugriffssteuerungsliste). Die SID des Besitzers wird dazu verwendet, dem Besitzer
die Änderung von Berechtigungen möglich zu machen. Die SID der Gruppe wird für
den Gruppenzugriff aus POSIX-Anwendungen heraus und für Macintosh-Dienste
verwendet. Die SACL kontrolliert den Zugriff des lokalen Systems auf das Objekt.
Die DACL enthält zahlreiche Zugriffssteuerungseinträge. Ein solcher ACE-Eintrag

besteht aus einer SID, dem Zugriffstyp für den Eintrag, und einer Angabe darüber,
ob der Zugriff gewährt oder verweigert wird. Wenn ein Zugriff auf das Objekt statt-
findet (wenn Sie beispielsweise versuchen, die Attribute eines Objektes zu lesen),
wird das Zugriffstoken Ihrer Sitzung gelesen und jede SID mit dem ersten ACE ver-
glichen. Falls einer der SIDs in Ihrem Zugriffstoken der Zugriff erlaubt ist, haben
Sie damit freie Bahn und den Zugriff. Falls nicht, erhalten Sie den Zugriff nicht.
Verweigerungen sind immer als Erste aufgeführt. Wird Ihr Zugriff nicht im ersten
ACE gefunden, werden die folgenden so lange untersucht, bis Sie entweder die
erforderlichen Rechte besitzen oder nicht.
Über die Einstellung von Berechtigungen für ein Objekt können Sie die Aktionen
steuern, die Personen für diese Objekte ausführen dürfen. Auf diese Weise legen Sie
fest, wie andere Benutzer oder Gruppen im Netzwerk Teile Ihrer Organisation ver-
walten.
4.7.1 Berechtigungen auf Objektebene

Bevor Sie Berechtigungen auf Objektebene vergeben oder auch nur anzeigen kön-
nen, müssen Sie die erweiterten Einstellungen für Objekte in Active Directory
anzeigen. Dies erreichen Sie, in dem Sie den Befehl ERWEITERTE FUNKTIONEN im
Menü ANSICHT aktivieren. Hat er ein Häkchen, dann ist er eingeschaltet; anderen-
falls ist er ausgeschaltet. Dieser Befehl funktioniert wie ein Umschalter: Wenn Sie
ihn im ausgeschalteten Zustand anklicken, wird er eingeschaltet und umgekehrt.
Wenn die erweiterten Funktionen eingeschaltet sind, können Sie die Berechtigun-
gen auf Objektebene anzeigen und einstellen. Normalerweise werden Sie dies so
nicht tun, sondern anstelle dessen eine OU erstellen und die Kontrolle über die OU
an einen Benutzer oder eine Gruppe delegieren. Die folgende Schritt-für-Schritt-
Anleitung beschreibt nichtsdestotrotz den Vorgang.

4.26 Objektberechtigung einstellen
2. Suchen Sie nach dem Objekt, dessen Berechtigung Sie einstellen möchten,
und klicken Sie mit der rechten Maustaste. Wählen Sie im Kontextmenü
EIGENSCHAFTEN aus.
3. Klicken Sie auf die Registerkarte SICHERHEITSEINSTELLUNGEN. Sollte diese
Registerkarte nicht angezeigt werden, schließen Sie das Dialogfeld und über-
prüfen Sie, ob Sie im Menü ANSICHT ERWEITERTE FUNKTIONEN eingeschal-
tet haben.
4. Suchen Sie im Listenfeld den Benutzer oder die Gruppe zum Überprüfen
oder Ändern der Berechtigung heraus (siehe Abbildung 4.31). Falls der
gewünschte Benutzer oder die Gruppe nicht aufgeführt ist, klicken Sie auf
HINZUFÜGEN, und wählen den Benutzer bzw. die Gruppe explizit aus.
5. Wählen Sie im Listenfeld BERECHTIGUNGEN durch Aktivieren der entspre-
chenden Kontrollkästchen die Berechtigungen aus, die Sie gewähren oder
verweigern möchten. Durch Deaktivieren eines Kontrollkästchens wird die
Berechtigung verweigert. Alle Berechtigungen sind in einer Liste aufgeführt.
6. Klicken Sie zum Zuweisen der Berechtigungen auf OK.
Abbildung 4.31
Die Registerkarte
SICHERHEITSEINSTEL-
LUNGEN einer Orga-
nisationseinheit
HINWEIS
Vererbte Berechtigungen
Falls die Berechtigung abgeblendet dargestellt ist, wurde sie aus einer höheren
Ebene in Active Directory vererbt. Dieses Thema wird im nächsten Abschnitt,
»Vererbung von Berechtigungen«, erörtert.
Wie Sie gesehen haben, konnten Sie fünf verschiedene Berechtigungen einstellen.
Die Berechtigungen sind selbsterklärend und in der folgenden Übersicht dargestellt:
씰 UNEINGESCHRÄNKTER ZUGRIFF. Hiermit wird dem Benutzer bzw. der Grup-

pe der uneingeschränkte Zugriff auf das Objekt in Active Directory erlaubt.
Der Uneingeschränkter Zugriff umfasst die folgenden Berechtigungen:
씰 LESEN. Dies ermöglicht einem Benutzer das Lesen des Objekts und der mit
ihm verknüpften Eigenschaften. Es ist gleichzeitig die Standardberechtigung
aller Benutzer und versetzt sie in die Lage, das Objekt beim Durchsuchen des
Active Directory ausfindig machen können.
씰 SCHREIBEN. Der Benutzer kann die Eigenschaften des Objekts ändern.
씰 ALLE UNTERGEORDNETEN OBJEKTE ERSTELLEN. Der Benutzer bzw. die

Gruppe erhält die Erlaubnis zum Erstellen von weiteren Objekten. Damit
können Sie beispielsweise Benutzer und Computer in Containerobjekten wie
etwa Organisationseinheiten erstellen.
씰 ALLE UNTERGEORDNETEN OBJEKTE LÖSCHEN. Damit kann ein Benutzer die

untergeordneten Objekte in einem Containerobjekt wie beispielsweise einer
Organisationseinheit auch dann löschen, wenn er dieses Objekt nicht selbst
erstellt hat.
Wenn Sie sich die Abbildung 4.31 noch einmal anschauen, dann werden Sie bemer-
ken, dass es eine Schaltfläche ERWEITERT gibt. Damit können Sie einerseits die ein-
zelnen Berechtigungen noch spezifischer festlegen, und andererseits die Überwa-
chung konfigurieren sowie den Besitz am Objekt übernehmen. Die Schritt-für-
Schritt-Anleitung führt Sie durch die Schritte in der Anwendung der erweiterten
Berechtigung.

4.27 Erweiterte Berechtigung einstellen
1. Klicken Sie auf der Registerkarte SICHERHEITSEINSTELLUNGEN im Dialog-
feld für die Objekteigenschaften auf die Schaltfläche ERWEITERT.
2. Wählen Sie im Listenfeld BERECHTIGUNGSEINTRÄGE in der Registerkarte

BERECHTIGUNGEN (siehe Abbildung 4.32) einen Eintrag aus, den Sie bearbei-
ten möchten, und klicken Sie auf ANZEIGEN/BEARBEITEN. Wählen Sie einen
Benutzer aus der Liste aus.
3. Klicken Sie im Dialogfeld BERECHTIGUNGSEINTRAG auf die Registerkarte
(siehe Abbildung 4.33), über die Sie Berechtigungen einstellen möchten.
Wählen Sie entweder OBJEKT zur Kontrolle des gesamten Objekts, oder
EIGENSCHAFTEN zur Kontrolle individueller Eigenschaften des Objekts.
Abbildung 4.32
Über dieses Dia-

logfeld nehmen Sie
genaue Einstellun-
gen der Zugriffs-
steuerung für
Objekte vor
4. Wählen Sie auf der jeweiligen Registerkarte die gewünschten Berechtigun-

gen aus. Durch Anklicken der Schaltfläche ALLES LÖSCHEN löschen Sie alle
Berechtigungen auf einmal.
5. Klicken Sie zum Fortfahren auf OK.
Normalerweise brauchen Sie die erweiterten Berechtigungen nicht selbst einzustel-

len, da sie vom Assistenten zum Zuweisen der Objektverwaltung zugewiesen wer-
den. Die hier beschriebenen Schritte können Sie jedoch zu ihrer Überprüfung ver-
wenden, was wohl der häufigere Verwendungszweck sein dürfte.
Abbildung 4.33
Die erweiterten
Berechtigungen
können separat für
das Objekt und sei-
ne Eigenschaften
eingestellt werden
Es gibt zahlreiche Berechtigungen, die Sie einstellen können, und die allesamt in
der folgenden Übersicht aufgeführt sind. Diese Übersicht dient mehr Ihrer persönli-
chen Information und wird für die Prüfung nicht benötigt.
Sie haben die Auswahl unter folgenden Objektberechtigungen:
씰 UNEINGESCHRÄNKTER ZUGRIFF. Erlaubt dem Benutzer oder der Gruppe die

volle Kontrolle über das Objekt. Hier können Sie auch den Bereich kontrol-
lieren, auf den der uneingeschränkte Zugriff angewendet werden soll.
씰 INHALT AUFLISTEN. Der Benutzer oder die Gruppe darf den Inhalt eines Con-
tainerobjekts auflisten.
씰 ALLE EIGENSCHAFTEN LESEN. Ein Benutzer bzw. eine Gruppe darf alle Ei-
genschaften des Objekts lesen.
씰 ALLE EIGENSCHAFTEN SCHREIBEN. Damit kann ein Benutzer bzw. eine Grup-
pe sämtliche Eigenschaften eines Objektes schreiben.
씰 LÖSCHEN. Dem Benutzer oder der Gruppe wird das Löschen des Objekts er-
laubt.
씰 UNTERSTRUKTUR LÖSCHEN. Der Benutzer oder die Gruppe darf das Objekt
und alle darin enthaltenen Objekte löschen.
씰 BERECHTIGUNGEN LESEN. Der Benutzer bzw. die Gruppe darf die Berechti-
gungen des Objekts lesen.
씰 BERECHTIGUNGEN ÄNDERN. Der Benutzer oder die Gruppe hat die Erlaubnis,
die Berechtigungen für das Objekt zu ändern.
씰 BESITZER ÄNDERN. Falls diese Berechtigung gegeben ist, darf der Benutzer
bzw. die Gruppe den Besitz am Objekt übernehmen.
씰 ALLE BESTÄTIGTEN SCHREIBVORGÄNGE. Hiermit erhält der Benutzer oder die

Gruppe die Erlaubnis zum Ausführen von Schreiboperationen für das Objekt.
씰 ALLE ERWEITERTEN RECHTE. Der Benutzer oder die Gruppe erhält den Zu-
griff auf die erweiterten Rechte für das Objekt.
씰 ALLE UNTERGEORDNETEN OBJEKTE ERSTELLEN/LÖSCHEN. Der Benutzer oder

die Gruppe darf untergeordnete Objekte erstellen und über die LÖSCHEN-Be-
rechtigung alle untergeordneten Objekte einschließlich derjenigen, die ande-
ren gehören, löschen.
씰 OBJEKTEERSTELLEN/LÖSCHEN. Diese Reihe von Einträgen ähnelt ALLE UN-

TERGEORDNETEN OBJEKTE ERSTELLEN/LÖSCHEN mit der Ausnahme, dass die
Rechte nur das namentlich aufgeführte Objekt betreffen. Hier können Sie bei-
spielsweise die Kontrolle über Computer innerhalb einer Organisationsein-
heit delegieren.
Über die Registerkarte EIGENSCHAFTEN können Sie einem Benutzer selektiv das
Lesen und Schreiben der Eigenschaften eines Objekts erlauben oder verweigern.
Diese Einstellungen sollten Sie mit Sorgfalt handhaben, da sie Active Directory
dazu zwingt, eine spaltenweise Überprüfung der Berechtigungen vorzunehmen.
Die Optionen für den Bereich sind ähnlich wie bei den Eigenschaften aufgeteilt. Die
Berechtigungen können so eingestellt werden, dass sie nur das aktuelle Objekt, das
aktuelle Objekt und seine untergeordneten Objekte, nur die untergeordneten
Objekte oder einen bestimmten Objekttyp betreffen.
Die von Ihnen eingerichteten Berechtigungen haben unter Umständen auch Auswir-
kungen auf andere Objekte.
4.7.2 Vererbung von Berechtigungen

Die in einem Container erstellten Objekte vererben die Berechtigungen, die für
Containerobjekte in Active Directory eingerichtet worden sind.
Wenn Sie Berechtigungen in einer Organisationseinheit einrichten, und in dieser

Organisationseinheit dann eine weitere Organisationseinheit erstellen, werden die
Berechtigungen von der obersten Organisationseinheit an die Organisationseinheit
der unteren Ebene und an alle darin erstellten Objekte weitergereicht.
Obwohl diese Funktion standardmäßig gegeben ist, muss sie nicht immer erwünscht
sein. Sie verfügen daher über die Wahl, die Vererbung von Berechtigungen zuzulas-
sen oder nicht, was über die Registerkarte SICHERHEITSEINSTELLUNGEN erledigt
wird. Die Schritt-für-Schritt-Anleitung führt Sie durch die Schritte zum Blockieren
von vererbten Berechtigungen.
Abbildung 4.34
Betreffend die ver-

erbten Berechti-
gungen stehen
Ihnen zwei Aus-
wahlmöglichkeiten
zur Verfügung

4.28 Vererbung von Berechtigungen blockieren
2. Lokalisieren Sie das Objekt, dessen Berechtigungen Sie bearbeiten möchten,
und klicken Sie mit der rechten Maustaste. Wählen Sie im Kontextmenü
EIGENSCHAFTEN aus.
3. Klicken Sie auf die Registerkarte SICHERHEITSEINSTELLUNGEN. Falls diese
Registerkarte nicht angezeigt wird, schließen Sie das Dialogfeld und überprü-
fen Sie, ob Sie im Menü ANSICHT DIE ERWEITERTEN FUNKTIONEN einge-
schaltet haben.
4. Deaktivieren Sie das Kontrollkästchen VERERBBARE ÜBERGEORDNETE
BERECHTIGUNGEN ÜBERNEHMEN, damit die Einstellung an das Kontrollkäst-
chen dieses Objekts weitergegeben wird.
5. Ein Dialogfeld erscheint und fragt, was Sie mit den Berechtigungen machen
wollen, die dem Objekt bereits zugewiesen worden sind (siehe Abbildung 4.34).
6. Klicken Sie zum Beibehalten der Berechtigungen auf KOPIEREN, oder klicken
Sie zum Löschen auf ENTFERNEN.
Nach dem Deaktivieren dieses Kontrollkästchens werden die Berechtigungen nicht

mehr weitervererbt, bis Sie das Kontrollkästchen erneut aktivieren. Dies gilt sogar
dann, wenn Sie das Objekt in einen anderen Container verschieben.
In den meisten Fällen werden Sie diese Berechtigungen nicht direkt einrichten, son-
dern die Kontrolle einer Organisationseinheit mit den darin enthaltenen Objekten
delegieren.
4.7.3 Objektverwaltung zuweisen

씰 Administrative Kontrolle über Objekte in Active Directory zuweisen
Die Kombination von Organisationseinheiten und Berechtigungen bietet Ihnen die
Möglichkeit, die Verwaltung von Teilen von Active Directory an andere Benutzer
zu delegieren. Auf diese Weise können Sie eine Organisationseinheit erstellen und
einem Benutzer oder einer Gruppe dann die erforderlichen Rechte geben, die sie für
die Verwaltung dieser Organisationseinheit benötigen. Tatsächlich erzeugen Sie
damit so etwas wie eine Arbeitsgruppe oder eine Art lokalen Administrator inner-
halb einer einzelnen Domäne.
Die Zuweisung des erforderlichen Vollzugriffs können Sie zwar auch über die
Registerkarte SICHERHEITSEINSTELLUNGEN vornehmen, jedoch empfiehlt sich die
Verwendung des Assistenten zum Zuweisen der Objektverwaltung, über den Sie die
Kontrolle einer Organisationseinheit entweder vollständig oder teilweise zuweisen.
Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie es machen.

4.29 Der Assistent für die Objektverwaltung
1. Klicken Sie in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER mit der rech-
ten Maustaste auf der Organisationseinheit, deren Objektverwaltung Sie
zuweisen möchten.
2. Wählen Sie im Kontextmenü OBJEKTVERWALTUNG ZUWEISEN aus.
4. Benutzen Sie im nächsten Bildschirm die Schaltfläche HINZUFÜGEN zum

Hinzufügen von Benutzern oder Gruppen, denen Sie die Objektverwaltung
zuweisen möchten. Klicken Sie, wenn Sie fertig sind, auf OK.
5. Im nächsten Bildschirm des Assistenten werden Sie gefragt, was Sie dem
Benutzer bzw. der Gruppe zu tun erlauben möchten. Aus der Liste können
Sie ein oder mehr häufige Funktionen auswählen. Sie können auch genau
festlegen, was Sie zuweisen möchten. Folgende allgemeine Aufgaben können
Sie zuweisen:
씰 Erstellt, entfernt und verwaltet Benutzerkonten
씰 Setzt Kennwörter von Benutzerkonten zurück
씰 Liest alle Benutzerinformationen
씰 Erstellt, löscht und verwaltet Gruppen
씰 Ändert die Mitgliedschaft einer Gruppe
씰 Verwaltet Gruppenrichtlinien-Verknüpfungen
6. Wenn Sie BENUTZERDEFINIERTE AUFGABEN ZUM ZUWEISEN ERSTELLEN aus-
gewählt haben, werden Sie zur Angabe des oder der Objekte aufgefordert, die
der Benutzer oder die Gruppe kontrollieren darf.
7. Anschließend erhalten Sie eine Liste der generellen Berechtigungen angezeigt,
die in der Aufzählung weiter oben in diesem Abschnitt beschrieben worden
sind. Durch Aktivieren der Kontrollkästchen EIGENSCHAFTENSPEZIFISCH bzw.
ERSTELLEN/LÖSCHEN der Berechtigungen von bestimmten untergeordneten
Objekten zeigen Sie außerdem die erweiterten Berechtigungen an.
8. Legen Sie die Rechte fest, die der Benutzer oder die Gruppe haben soll, und
klicken Sie auf WEITER.
9. Überprüfen Sie die Informationen, und klicken Sie auf FERTIG STELLEN.
Der Hauptgrund zum Erstellen von Organisationseinheiten besteht im Delegieren

der Kontrolle. Durch den Vorgang der Delegierung werden die erforderlichen
Berechtigungen zugewiesen, was Sie so oft machen können, wie Berechtigungen
vergeben werden sollen.
Es ist wichtig, die Vergabe von Berechtigungen an Objekte verstanden zu haben, da

Sie auf diese Weise die Aktionen der Benutzer und, in manchen Fällen, auch der
Administratoren kontrollieren können. Es sind die Berechtigungen, die die Delegie-
rung der Kontrolle und sichere dynamische Aktualisierungen möglich machen. Sie
müssen darüber hinaus aber auch Berechtigungen für Drucker und freigegebene
Ordner vergeben können.
4.8 Freigaben verwalten 249
4.8 Freigaben verwalten

Eine Freigabe ist ein Datenbereich auf Ihrem Datenträger, auf den andere Personen
im Netzwerk mit Ihrer Erlaubnis zugreifen dürfen. Dort, wo Sie die Freigabe erstel-
len, kann auf alle Verzeichnisse darunter über die Freigabe zugegriffen werden.
Dies stellt die hauptsächliche Methode dafür dar, Benutzern den Zugriff auf Server-
daten zu erlauben.
Die Freigabe von Verzeichnissen ist kein Bestandteil der Verwaltung von Active
Directory. Dieser Abschnitt wurde nur deshalb hier aufgenommen, damit Sie eine
Grundlage zum Verständnis öffentlicher Freigaben in Active Directory haben und
verstehen können, wie die Berechtigungen vergeben werden.
Bei der Freigabe eines Verzeichnisses erstellen Sie einen Namen, der dieses Ver-
zeichnis im Netzwerk repräsentiert und vom Benutzer unter Verwendung der UNC-
Konvention (UNC, Universal Naming Convention) angesprochen werden kann. Das
Erstellen einer Freigabe ist ein simpler Vorgang, den Sie mit verschiedenen Metho-
den erledigen können. Die folgende Schritt-für-Schritt-Anleitung erstellt eine Frei-
gabe mit Hilfe der Eingabeaufforderung.

4.30 Freigabe über die Eingabeaufforderung erstellen
1. Starten Sie über START/PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG die
Eingabeaufforderung.
2. Geben Sie folgenden Befehl ein: NET SHARE Freigabename=Pfad ein.
Freigabename ist der Name, mit dem sich die Benutzer im Netzwerk verbin-
den können.
Pfad ist der Name auf Ihrem Datenträger, den Sie freigeben möchten.
3. Drücken Sie die (¢).
Obwohl Sie normalerweise nicht die Eingabeaufforderung zum Erstellen von Frei-
gaben verwenden, müssen Sie doch wissen, wie Sie diese einsetzen können, um
gelegentlich mit Skripten einige Ihrer administrativen Aufgaben automatisieren
können. Dies ist recht nützlich, wenn Sie sich der Vorteile des Telnet-Dienstes
bedienen, der mit Windows 2000 ausgeliefert wird. Er kann nämlich dazu benutzt
werden, eine Liste der Verzeichnisse und Namen zu erstellen, die Sie freigegeben
haben. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie Sie eine Liste der Frei-
gaben erstellen.

4.31 Liste der Freigaben über die Eingabeaufforderung erstellen
1. Starten Sie eine Eingabeaufforderung (START/PROGRAMME/ZUBEHÖR/EIN-
GABEAUFFORDERUNG).
2. Geben Sie den Befehl NET SHARE ein und drücken Sie die (¢).
Dies ist eine recht schnelle Methode zum Anzeigen der Freigaben, die auf Ihrem
Computer erstellt worden sind.
In den meisten Fällen erstellen Sie Freigaben auf Ihrem Computer unter Verwen-
dung des Explorer, des Snap-In Computerverwaltung oder des Snap-In Active
Directory-Benutzer und -Computer. Hierbei wird zum Erstellen der Freigabe die
grafische Oberfläche benutzt. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie
Sie mit dem Explorer eine Freigabe erstellen.
Abbildung 4.35
Das Dialogfeld zu
den Eigenschaften
eines Ordners mit
der Registerkarte
FREIGABE

4.32 Verzeichnis mit Explorer freigeben
1. Öffnen Sie den Explorer (klicken Sie mit der rechten Maustaste auf ARBEITS-
PLATZ und wählen Sie im Kontextmenü EXPLORER aus).
2. Lokalisieren Sie das Verzeichnis, welches Sie freigeben möchten.

3. Klicken Sie mit der rechten Maustaste das Verzeichnis an, und wählen Sie im
Kontextmenü FREIGABE aus.
4. Klicken Sie in der Registerkarte FREIGABE (siehe Abbildung 4.35) auf DIE-
SEN ORDNER FREIGEBEN.
5. Nun wird ein Standardname für die Freigabe angezeigt, den Sie nach Wunsch
ändern können.
6. Geben Sie einen Kommentar zum Beschreiben der Freigabe und ihres Inhalts
ein.
7. Stellen Sie mit der Option BENUTZERBEGRENZUNG die Anzahl gleichzeitiger
Benutzer ein. Sie haben die Wahl unter MAXIMUM ERLAUBT oder MAX. N
BENUTZER. Geben Sie im letzteren Fall die erlaubte Anzahl ein.
8. Stellen Sie ggf. die Optionen BERECHTIGUNGEN und ZWISCHENSPEICHERN
ein.
9. Klicken Sie zum Freigeben des Ordners auf OK. Schließen Sie dann das Dia-
logfeld EIGENSCHAFTEN.
Diesen üblichen Weg zum Erstellen von Freigaben sollten Sie kennen, da Sie ihn
gelegentlich zum Erstellen von Freigaben benutzen werden. Vielleicht müssen Sie
auch einmal einen Benutzer dazu anleiten, eine Freigabe über eben diesen Weg zu
erstellen.
Eine Freigabe können Sie auch über die Computerwaltung erstellen. Starten Sie das
Snap-In COMPUTERVERWALTUNG entweder durch Öffnen von Computerverwaltung
im Ordner VERWALTUNG oder durch Öffnen von ACTIVE DIRECTORY-BENUTZER
UND -COMPUTER. Anschließend können Sie mit der rechten Maustaste den Compu-
ter anklicken, auf dem Sie die Freigabe erstellen möchten, und wählen im Kontext-
menü VERWALTEN aus. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie
Sie über die Computerverwaltung eine Freigabe erstellen.

4.33 Freigabe über die Computerverwaltung erstellen
1. Blenden Sie die Ordner SYSTEM, FREIGEGEBENE ORDNER und FREIGABEN
ein.
2. Klicken Sie mit der rechten Maustaste auf dem Ordner FREIGABEN, und wäh-
len Sie im Kontextmenü NEUE DATEIFREIGABE aus.
3. Lokalisieren Sie im Dialogfeld FREIGABE ERSTELLEN durch Einblenden des
Laufwerks und der Unterverzeichnisse den Ordner, den Sie freigeben wollen,
und klicken Sie diesen an. Der Ordnername erscheint im Dialogfeld ORDNER.
Alternativ dazu geben Sie den Namen einfach manuell ein. Geben Sie im Feld
FREIGABENAME den Namen ein, mit dem sich die Benutzer verbinden sollen.
4. Klicken Sie auf WEITER. Sie haben nun die Gelegenheit, Berechtigungen ein-
zustellen. Wenn Sie die Berechtigungen ändern wollen, haben Sie die Gele-
genheit, diese entweder nur der Freigabe oder der Freigabe und den Dateien
und Ordnern darin zuzuweisen. Klicken Sie zum Erstellen der Freigabe auf
FERTIG STELLEN.
5. Falls Sie eine weitere Freigabe erstellen möchten, klicken Sie im Dialogfeld
FREIGABE ERSTELLEN auf JA – anderenfalls auf NEIN.
Die Freigabe eines Ordners ist eine grundlegende Aktion in einem Netzwerk und
wird viele Male vorgenommen. Eine andere Art der Freigabe in Windows 2000
nennt sich Distributed File System (DFS). Eine umfassende Erörterung des verteil-
ten Dateisystems DFS würde über das Thema dieses Buches hinausgehen – hin-
sichtlich Ihrer Prüfung sollten Sie aber schon einmal davon gehört haben.
Mit dem Dateisystem DFS können Sie einen einzelnen Freigabepunkt wie beispiels-
weise \\server\DFS erstellen, mit dem sich andere Benutzer verbinden. Unterhalb
dieser Freigabe erstellen Sie dann untergeordnete DFS-Knoten, die eigentlich Zei-
ger auf andere Freigaben im Netzwerk darstellen. Die Benutzer brauchen sich jetzt
nur noch mit der Hauptfreigabe zu verbinden, um alle anderen Freigaben einfach
durch das Wechseln von »Verzeichnissen« erreichen zu können. Unter DFS stehen
die folgenden zwei Typen zur Verfügung: Domänen-DFS-Stamm und der eigen-
ständige DFS-Stamm. Ein eigenständiger DFS-Stamm ist wie eine reguläre Frei-
gabe, die Sie nach Wunsch in Active Directory veröffentlichen können. Ein Domä-
nen-DFS-Stamm stellt einen untergeordneten Knoten zur Verfügung, der auf mehr
als einen Server zeigt. Dies in Kombination mit dem Dateireplikationssystem macht
DFS fehlertolerant und ermöglicht einen Lastenausgleich. Der Domänen-DFS-
Stamm wird zu einem Bestandteil von Active Directory – es wird automatisch ver-
öffentlicht.
Beim Freigeben von Dateien müssen Sie immer auch die Berechtigungen einrich-
ten.
4.8.1 Berechtigungen freigeben

Wenn Sie eine Freigabe erstellen, werden die Informationen in dieser Freigabe im
Netzwerk bekannt gegeben. Um sicherzustellen, dass nur autorisierte Benutzer den
Zugriff auf die Freigabe erhalten, müssen Sie die entsprechenden Berechtigungen
einstellen. Die tatsächlichen Berechtigungen für eine Freigabe bestehen aus einer
Kombination der Freigabe- und NTFS-Berechtigungen, sofern sich die Freigabe auf
einem NTFS-Laufwerk befindet (was immer der Fall sein sollte).
Normalerweise vergeben Sie für eine Freigabe etwas liberalere Berechtigungen als
bei NTFS, insofern für das freigegebene Verzeichnis und alle Unterverzeichnisse
darin ein und dieselben Freigabeberechtigungen verwendet werden. Die Berechti-
gungen der Freigabe werden dann mit den NTFS-Berechtigungen verglichen und
diejenigen angewendet, die restriktiver sind.
Falls ein Benutzer über NTFS voll auf eine Datei zugreifen kann, als Zugriff für die
Freigabe jedoch nur Lesen erhält, wird die Lesen-Berechtigung angewendet – der
Benutzer verliert also einen Teil seiner zuvor zugewiesenen Rechte. Hat der Benut-
zer dagegen vollen Zugriff über die Freigabe und auf NTFS-Ebene nur Zugriff über
eine einzelne Datei, nicht über die anderen, dann kann er nur mit dieser einen Datei
arbeiten. Er erhält den Zugriff auf diese Datei, weil die Berechtigungen der Freigabe
und der Datei zusammenarbeiten und gleich behandelt werden. Die Zugriffsberech-
tigungen werden kombiniert und restriktiv angewandt.
Für eine Datei kann der Benutzer die folgenden sechs NTFS-Hauptberechtigungen
erhalten:
씰 LESEN (R). Der Benutzer darf Informationen lesen.
씰 SCHREIBEN (W). Der Benutzer darf Informationen ändern und die geänderte
Version speichern.
씰 AUSFÜHREN (X). Der Benutzer darf eine Programmdatei laden und den Code
darin ausführen.
씰 LÖSCHEN (D). Der Benutzer darf eine Datei oder einen Ordner löschen.
씰 BERECHTIGUNGEN (P). Der Benutzer darf die Berechtigungen für eine Datei
ändern.
씰 BESITZ ÜBERNEHMEN (O). Der Benutzer darf den Besitz an der Datei über-
nehmen und erhält damit die Möglichkeit, Berechtigungen zu ändern.
Die Standardberechtigungen stellen eine Kombination dieser Rechte dar und erlau-
ben dem Benutzer die Ausführung verschiedener Funktionen. Es gibt drei Freigabe-
berechtigungen, die Sie Benutzern gewähren oder verweigern können: LESEN (RX),
ÄNDERN (RWXD) und VOLLZUGRIFF (RWXDPO). Die folgende Schritt-für-Schritt-
Anleitung demonstriert die Anwendung von Berechtigungen auf freigegebene Ord-
ner.

4.34 Berechtigungen für freigegebene Ordner einstellen
1. Öffnen Sie die Freigabeeigenschaften
(siehe die vorige Schritt-für-Schrittanleitung).
2. Klicken Sie auf die Schaltfläche FREIGABEBERECHTIGUNGEN.
3. Klicken Sie auf HINZUFÜGEN und fügen Sie die Gruppen oder Benutzer
hinzu, die den Zugriff erhalten sollen. Falls sich der Benutzer in einer ande-
ren Domäne befindet, verwenden Sie zum Suchen der Domäne das Listenfeld
SUCHEN IN.
4. Wählen Sie nach dem Hinzufügen aller Benutzer den Zugriffstyp aus, den Sie
ihnen gewähren wollen, und klicken Sie auf OK.
5. Wiederholen Sie nach Bedarf die Schritte 2 bis 4. Falls Sie einen Benutzer
entfernen möchten, klicken Sie ihn an, und klicken dann auf ENTFERNEN.
6. Klicken Sie auf OK, wenn Sie fertig sind, und schließen Sie das Dialogfeld
EIGENSCHAFTEN.
HINWEIS
Berechtigungen verweigern
Microsoft empfiehlt, dass Sie die Funktion zum Verweigern von Berechtigungen
möglichst sparsam verwenden. Die Verweigerung überschreibt nämlich sämtli-
che anderen Berechtigungen auch in dem Fall, dass der Benutzer den Vollzugriff
bekommen hat. Daher kann es in Abhängigkeit davon, wo die Verweigerung ein-
gestellt worden ist, schwierig werden, ihren Ursprung zu finden. Vergessen Sie
nicht, dass ein Benutzer, dem Sie keine Berechtigungen verleihen, auch keine
Berechtigungen besitzt. Wenn Sie bei der Vergabe von Berechtigungen umsich-
tig sind, besteht auch keine Notwendigkeit, diese wieder zu verweigern.
Neben der Einstellung der Freigabeberechtigungen sollten Sie ebenfalls die NTFS-
Berechtigungen einstellen. Sie erledigen dies in ähnlicher Weise wie bei der Frei-
gabe, indem Sie mit der rechten Maustaste im Explorer eine Datei oder einen Ord-
ner anklicken und im Kontextmenü EIGENSCHAFTEN auswählen. Von da aus können
Sie dann in der Registerkarte SICHERHEITSEINSTELLUNGEN die NTFS-Berechtigun-
gen einstellen.
4.8.2 Freigabe veröffentlichen

Über die Veröffentlichung einer Freigabe können die Benutzer die Freigabe in
Active Directory lokalisieren. Die Veröffentlichung selbst ist ein simpler Vorgang,
der unter Active Directory-Benutzer und -Computer erledigt wird, wie die folgende
Anleitung demonstriert.

4.35 Freigabe in Active Directory veröffentlichen
2. Blenden Sie die Domäne ein, in der Sie die Freigabe veröffentlichen möch-
ten, und lokalisieren Sie den Ordner, unter dem Sie sie veröffentlichen wol-
len.
3. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie im
Kontextmenü NEU/FREIGEGEBENER ORDNER aus.
4. Geben Sie den Namen ein, der in Active Directory erscheinen soll, und den
Namen der Freigabe selbst.
Durch die Einbindung einer Freigabe in Active Directory wird es einfacher für die
Benutzer, diese zu finden. Manche Benutzer können nicht mit UNC-Namen umge-
hen und haben so eine einfache Möglichkeit, die gesuchte Freigabe ausfindig zu
machen.
So wie Sie Ordner veröffentlichen können, können Sie auch Drucker zum einfache-
ren Lokalisieren veröffentlichen.
4.9 Drucker veröffentlichen

Durch die Veröffentlichung von Druckern werden diese in Active Directory verfüg-
bar, was den Benutzern die Gelegenheit gibt, sie suchen und sich mit ihnen verbin-
den zu können. In Windows 2000 erledigen Sie dies über die Registerkarte FREI-
GABE in den Eigenschaften des Druckers durch Anklicken von IM VERZEICHNIS
ANZEIGEN.
Falls der Drucker nicht an einen Windows-2000-Computer angeschlossen ist, müs-

sen Sie ihn über Active Directory-Benutzer und -Computer hinzufügen. Die fol-
gende Schritt-für-Schritt-Anleitung demonstriert, wie Sie dies tun.

4.36 Drucker (nicht Windows 2000) in Active Directory veröffentlichen
2. Blenden Sie die Domäne ein, in der Sie die Freigabe veröffentlichen möch-
ten, und lokalisieren Sie den Ordner, unter dem Sie sie veröffentlichen wol-
len.
3. Klicken Sie mit der rechten Maustaste auf den Ordner und wählen Sie im
Kontextmenü NEU/DRUCKER aus.
4. Geben Sie den Netzwerkpfad des Druckers ein.
Der Drucker stellt nun ein Objekt in Active Directory dar, nach dem die Benutzer
suchen können. Drucker gehören zu den Objekten, die Active Directory standard-
mäßig immer hinzugefügt werden – Sie sollten daher wissen, wie Sie diese Arbeit
erledigen. Darüber hinaus müssen Sie auch noch den Vorgang des Verschiebens
von Objekten kennen lernen.
4.10 Objekte im Verzeichnis verschieben

씰 Active Directory-Objekte verschieben
4.10 Objekte im Verzeichnis verschieben 257
Im Laufe der Zeit werden Sie zusätzliche Organisationseinheiten erstellen und

Benutzer neu organisieren, was die Folge der normalen Reorganisation des Unter-
nehmens oder des Zu- und Abgangs der Mitarbeiter ist. Das Verschieben von
Objekten in Active Directory ist sehr einfach, sofern Sie Benutzer zwischen Organi-
sationseinheiten verschieben. Müssen Sie dagegen einen Benutzer in eine andere
Domäne verschieben, benötigen Sie dazu das Programm MOVETREE. Die fol-
gende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie ein Objekt zwischen Orga-
nisationseinheiten verschieben.

4.37 Objekt zwischen Organisationseinheiten verschieben
1. Lokalisieren Sie in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER das
Objekt, welches Sie verschieben möchten.
2. Klicken Sie mit der rechten Maustaste auf dem Objekt, und wählen Sie im
Kontextmenü VERSCHIEBEN aus.
3. Wählen Sie in der angezeigten Liste die Organisationseinheit aus, in der Sie das
Objekt verschieben möchten, und klicken Sie auf OK (siehe Abbildung 4.36).
Abbildung 4.36
In der Liste wählen

Sie die Organisa-
tionseinheit aus, in
die Sie das Objekt
verschieben möch-
ten
Durch das Verschieben von Objekten können Sie Veränderungen in Ihrer Organisa-
tionsstruktur, die im Laufe der Zeit immer wieder auftreten werden, abbilden. Das
Verschieben der in Active Directory-Benutzer und -Computer integrierten Objekte
wird Ihre Alltagsarbeit als Administrator einfacher machen; Programme von Dritt-
anbietern sind zu diesem Zweck nicht nötig.
Das Verschieben eines Objekts zwischen Domänen ist schwieriger als das Verschie-
ben zwischen Organisationseinheiten. Der Grund liegt darin, dass die SID auch aus
der SID der Domäne in Verbindung mit der relativen ID besteht. Zum Verschieben
eines Objekts zwischen Domänen benötigen Sie daher das Programm Movetree.
Der Befehl Movetree erwartet von Ihnen die Angabe des Quell- und Zielservers
sowie die Distinguished Names von Quelle und Ziel. Die Server können beliebige
Server in der Quell- oder Zieldomäne darstellen. Die Syntax des Befehls lautet wie
folgt:
Movetree [/Operation ] [/s Quellserver ] [/d

Zielserver ] [/sdn Quellname ]
[/ddn Zielname ] [/u Domäne\Benutzername ] [/p Kennwort]
[/verbose ]
Unter Operation können Sie Start zum Start des Vorgangs, Check zum Überprüfen
der Verzeichnisstruktur oder Continue zum Fortführen einer abgebrochenen Move-
Operation angeben. Wenn Sie beispielsweise eine Organisationseinheit namens
Marketing von der Domäne Office in eine neue Domäne namens Marketing ver-
schieben möchten, lautet der Befehl etwa wie folgt:
Movetree /start /s ADSRV1.office.local /d ADSRV1.marketing.office.local

/sdn cn=marketing,dc=office,dc=local /ddn
cn=Users,dc=marketing,dc=office,dc=local
/p office \administrator /p kennwort
Das Verschieben von Objekten innerhalb einer Domäne ist einfach und unproble-
matisch, was für Sie besonders deshalb von Bedeutung ist, weil die Benutzer inner-
halb einer Organisation öfter die Funktion wechseln. Das Verfahren zum Verschie-
ben von Objekten zwischen Domänen ist zwar etwas heikler, spart Ihnen aber im
Gegensatz zur Verwendung von Drittanbieter-Programmen Zeit und Mühe.
Fallstudie: Active Directory verwalten

Im Folgenden wird das Erstellen von Organisationseinheiten und die Platzie-
rung der Server erörtert. Solange Sie einige wesentliche Punkte nicht aus dem
Auge verlieren, gibt es hier nicht viel zu überlegen:
씰 Jeder Standort benötigt mindestens einen Server für den globalen Kata-
log und mindestens einen Domänencontroller in jeder Domäne.
Fallstudie: Active Directory verwalten 259
씰 Es gibt fünf Domänen, die nicht auf dem Aufenthaltsort des Benutzers,
sondern auf seiner Funktion in der Organisation beruhen.
씰 Für die verschiedenen Stationierungsorte werden Standorte erstellt, de-
ren Replikation so konfiguriert ist, dass die Daten jedes Hauptstationie-
rungsortes nicht älter als drei Stunden sind.
씰 Es gibt 15 Standorte, von denen 4 die Hauptbüros und die restlichen 11
die Zweigbüros darstellen.
In diesem Kapitel sind Sie mit umfangreichen Informationen konfrontiert wor-
den. Die meisten dieser Informationen betreffen nicht das Design, des Netz-
werks, sondern die notwendigen Richtlinien im Netzwerk. Richtlinien werden
zum Erstellen und zur Verwendung von Gruppentypen und zum Hinzufügen
von Objekten in Active Directory benötigt.
Richtlinien müssen außerdem zu dem Zweck entwickelt werden, die Delegie-
rung der Kontrolle über die Organisationseinheiten und den Inhalt der jeweili-
gen Kontrollfunktionen zu regeln. Weiterhin wird die Sonnenschein-Brauerei
Standards für die verschiedenen Sicherheitsebenen für Dokumente setzen und
festlegen müssen, welche Berechtigungen und Überwachungsanforderungen
für diese Dokumente bestehen sollten.
Die Fallstudie wird sich auch mit dem Erstellen der Organisationseinheiten und
der Platzierung der Server für den globalen Katalog beschäftigen. Durch die
hier vorgeschlagene Organisation der Standorte, die korrekte Platzierung der
Server und die erstellten Organisationseinheiten werden Sie unabhängig von
den jeweils gewählten Richtlinien immer auf der sicheren Seite sein.
Dieses Beispiel ist, es sei noch einmal gesagt, recht unproblematisch – Sie müs-
sen vor allem dafür Sorge tragen, dass es an jedem Standort einen Server für
den globalen Katalog gibt, und dass die entsprechenden Organisationseinheiten
erstellt werden.
Situationsanalyse
Möglicherweise werden Sie viele Organisationseinheiten benötigen, was je-
doch kein Problem sein sollte, da alle von ihnen nur als Objekte in Active
Directory existieren. In jeder Domäne werden schließlich getrennte Organisa-
tionseinheiten für jeden Standort existieren.
Hierdurch erhalten Sie die Möglichkeit, alle Benutzer eines Typs auf der
Domänenebene oder alle Benutzer desselben Typs am selben Standort auf der
Organisationseinheitenebene verwalten zu können. Die Anwendung standort-
bezogener Gruppenrichtlinien wird dadurch schwieriger, weil Sie diese in einer
Domäne definieren und dann Verknüpfungen von anderen Domänen her erstel-
len müssen. Dies hat zur Folge, dass standortbezogene Richtlinien in der
Stammdomäne definiert werden müssen, die mindestens einen Domänencon-
troller an jedem Standort hat.
Hinsichtlich der Server für den globalen Katalog werden Sie noch erfahren, wie
die Bridgehead-Server für die Standortverknüpfungen so konfiguriert werden,
dass sie als Server für den globalen Katalog eingesetzt werden können.
Zusammenfassung
Dieses Kapitel hat sich mit der elementaren Administration von Active Directory
beschäftigt. Sie haben erfahren, wie Objekte verschiedenen Typs erstellt und ver-
schoben, und wie Berechtigungen für Objekte zugewiesen werden. Weiterhin haben
Sie gesehen, wie Organisationseinheiten erstellt werden, und wie Sie die Kontrolle
über diese Organisationseinheiten an andere Benutzer und Gruppen delegieren.
Schlüsselbegriffe
쎲 Berechtigung auf Objektebene 쎲 Verteilergruppe
쎲 Domänenlokale Gruppe 쎲 MOVETREE
쎲 Einheitlicher Modus 쎲 Rechte
쎲 Gemischter Modus 쎲 Sicherheitsgruppe
쎲 Globale Gruppe 쎲 Sicherheits-Principal
쎲 Lokale Gruppe 쎲 Universelle Gruppe
쎲 Vererbung
Lernzielkontrolle
Übungen
4.1 Konten in Active Directory erstellen
In dieser Übung werden Sie über Active Directory-Benutzer und -Computer Benut-
zer- und Computerkonten erstellen, die in den nachfolgenden Übungen verwendet
werden.

2. Blenden Sie Ihre Domäne ein.
3. Klicken Sie mit der rechten Maustaste auf den Ordner USERS und wählen Sie
im Kontextmenü NEU/BENUTZER aus.
4. Geben Sie als Vornamen Sales und als Nachnamen Admin ein.
5. Geben Sie als Benutzernamen SalesAdmin ein, und klicken Sie dann auf
WEITER.
6. Deaktivieren Sie auf der Bildschirmseite des Assistenten für das Kennwort
das Kontrollkästchen BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN AN-
MELDUNG ÄNDERN, geben Sie Trojan als Kennwort ein, und bestätigen Sie
die Eingaben zum Kennwort.
7. Klicken Sie auf WEITER und dann im Abschlussbildschirm auf FERTIG STEL-
len.
8. Fügen Sie mit den Schritten 3 bis 7 die folgenden Benutzer hinzu:
Vorname Nachname Benutzername Kennwort
Marylou Scott MScott eastern

Anne Sheard ASheard eastern
Judy Jamieson JJamieson eastern
Ralph Smith RSmith eastern
Krista Bailey KBailey eastern
Dan Harris DHarris western
Peter Loke PLoke western
Helen Burke HBurke western
Vorname Nachname Benutzername Kennwort
Mark Spence MSpence western

Jim Xu JXu western
9. Klicken Sie mit der rechten Maustaste auf den Ordner COMPUTERS und wäh-
len Sie im Kontextmenü NEU/COMPUTER aus.
10. Geben Sie als den Computernamen WKS5542 ein.
11. Klicken Sie auf WEITER und im Abschlussbildschirm auf FERTIG STELLEN.
12. Fügen Sie mit den Schritten 9 bis 11 die folgenden Computer hinzu:
씰 WKS8726
씰 WKS8652
씰 WKS0823
씰 WKS0564
씰 WKS8762
씰 WKS7645
씰 WKS2735
씰 WKS0012
씰 WKS3218
4.2 Organisationseinheiten erstellen

In dieser Übung werden Sie die Organisationseinheit Sales und innerhalb der Orga-
nisationseinheit Sales zwei weitere Organisationseinheiten namens Eastern und
Western erzeugen.

2. Klicken Sie mit der rechten Maustaste auf Ihrer Domäne und wählen Sie im
Kontextmenü NEU/ORGANISATIONSEINHEIT aus.
3. Geben Sie als den Namen der Organisationseinheit Sales ein, und klicken Sie
auf OK.
4. Blenden Sie, falls erforderlich, Ihre Domäne ein und lokalisieren Sie die ge-
rade erstellte Organisationseinheit.
5. Klicken Sie mit der rechten Maustaste auf der Organisationseinheit Sales und
wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus.
6. Geben Sie als den Namen der neuen Organisationseinheit Eastern ein, und
klicken Sie auf OK.
7. Wiederholen Sie die Schritte 5 und 6 zum Erstellen der Organisationseinheit
Western.
4.3 Objektverwaltung für Organisationseinheit zuweisen
In dieser Übung werden Sie die Objektverwaltung für die Organisationseinheit
Sales dem Konto SalesAdmin zuweisen.

2. Öffnen Sie den Ordner BENUTZER und lokalisieren Sie das Konto SalesAd-
min.
3. Klicken Sie mit der rechten Maustaste auf das Konto SalesAdmin, und wäh-
len Sie im Kontextmenü VERSCHIEBEN aus.
4. Wählen Sie in der Ordnerliste die Organisationseinheit Sales aus, und klicken
Sie auf OK.
5. Klicken Sie die Organisationseinheit Sales an und vergewissern Sie sich, dass
das Konto SalesAdmin vorhanden ist.
wählen Sie im Kontextmenü OBJEKTVERWALTUNG ZUWEISEN aus.
8. Klicken Sie auf dem nächsten Bildschirm auf die Schaltfläche HINZUFÜGEN.
Wählen Sie den Benutzer SalesAdmin aus, klicken Sie auf HINZUFÜGEN und
dann auf OK. Klicken Sie zum Anzeigen des nächsten Bildschirms auf WEI-
TER.
9. Aktivieren Sie im nächsten Bildschirm des Assistenten die im Folgenden auf-

geführten Optionen und klicken Sie anschließend auf WEITER.
씰 Erstellt, entfernt und verwaltet Benutzerkonten
씰 Setzt Kennwörter von Benutzerkonten zurück

씰 Liest alle Benutzerinformationen
씰 Erstellt, löscht und verwaltet Gruppen
씰 Ändert die Mitgliedschaft einer Gruppe

10. Überprüfen Sie die Informationen und klicken Sie dann auf FERTIG STELLEN.
4.4 Objekte in Active Directory verschieben
In dieser Übung werden Sie Benutzer in die Organisationseinheit Eastern innerhalb
der Organisationseinheit Sales verschieben.

2. Klicken Sie das Benutzerobjekt KBailey an. Halten Sie die Taste (Strg) ge-
drückt, und klicken Sie die restlichen vier Konten der Region Eastern an
(MScott, ASheard, JJamison und RSmith).
3. Klicken Sie die markierten Konten mit der rechten Maustaste an, und wählen
Sie im Kontextmenü VERSCHIEBEN aus.
4. Blenden Sie in der Liste der Ordner die Organisationseinheit Sales ein, und
klicken Sie dann auf die Organisationseinheit Eastern. Klicken Sie auf OK.
5. Blenden Sie die Organisationseinheit Sales ein, und klicken Sie auf der Orga-
nisationseinheit Eastern. Vergewissern Sie sich, dass die Konten darin vor-
handen sind.
6. Verschieben Sie die verbleibenden fünf Konten in die Organisationseinheit
Western unterhalb von Sales (DHarris, PLoke, HBurke, MSpence und JXu).
4.5 Benutzer lokalisieren
In dieser Übung setzen Sie die Funktion Suchen zum Lokalisieren eines Benutzer-
kontos ein.
1. Klicken Sie zum Anzeigen des Dialogfeldes PERSONEN SUCHEN auf START/
SUCHEN/NACH PERSONEN.
2. Wählen Sie im Listenfeld SUCHEN IN ACTIVE DIRECTORY aus.
3. Geben Sie den Namen Dan ein und klicken Sie auf SUCHEN.
4. Überprüfen Sie, ob die Informationen zu Dan Harris angezeigt werden.
4.6 Freigabe veröffentlichen

In dieser Übung werden Sie eine Freigabe in Active Directory veröffentlichen.
1. Öffnen Sie den Explorer, indem Sie mit der rechten Maustaste auf ARBEITS-
PLATZ klicken und im Kontextmenü EXPLORER wählen.
2. Klicken Sie auf dem Laufwerk C:. Klicken Sie dann im rechten Detailfenster
eine leere Stelle an.
3. Wählen Sie im Kontextmenü NEU/ORDNER aus. Geben Sie als Ordnernamen
PubText ein, und drücken Sie die (¢).
4. Klicken Sie mit der rechten Maustaste das Verzeichnis PubTest an, und wäh-
len Sie im Kontextmenü FREIGABE aus.
5. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf DIESEN ORDNER FREIGEBEN,
und klicken Sie anschließend zur Übernahme der Standardwerte auf OK.
7. Blenden Sie Ihre Domäne und die Organisationseinheit Sales ein.
wählen Sie im Kontextmenü NEU/FREIGEGEBENER ORDNER aus.
9. Geben Sie als den in Active Directory anzuzeigenden Namen SalesFiles und
als Freigabenamen \\Servername\PupText ein (Servername ist der Name Ih-
res Server).
11. Vergewissern Sie sich, dass der Ordner in der Organisationseinheit Sales an-
gezeigt wird. Falls nicht, klicken Sie mit der rechten Maustaste Sales an und
wählen AKTUALISIEREN im Kontextmenü aus.
Wiederholungsfragen
1. Worin besteht der Hauptzweck der Organisationseinheiten?
2. Welches Protokoll wird zum Suchen in Active Directory verwendet?
3. Worin besteht der Zweck von Gruppen?
4. Bis zu welcher Anzahl von Ebenen sollten Sie Organisationseinheiten maxi-
mal schachteln?
5. Worin besteht der Effekt in der Delegierung des Zugriffs auf eine Organisa-
tionseinheit?
6. Was passiert mit den Berechtigungen des Objekts in einer Organisationsein-

heit, sobald Sie die Berechtigungen der Organisationseinheit einrichten?
7. Was müssen Sie tun, um einen Drucker in Active Directory veröffentlichen
zu können?
8. Welches Werkzeug sollten Sie zum Verschieben eines Objekts innerhalb ei-
ner Domäne einsetzen?
9. Was passiert mit den Berechtigungen eines Objekts, dessen Kontrollkästchen
VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN Sie deakti-
viert haben, und welches Sie in eine andere Domäne verschieben?
10. Was können Sie mit der Registerkarte WEITERE im Bildschirm SUCHEN ma-
chen?
Prüfungsfragen
1. Jon ist für ein Netzwerk mit nur einer einzigen Windows-2000-Domäne ver-
antwortlich. Das Netzwerk wird gegenwärtig von 700 Benutzern verwendet
und steht dem gesamten Unternehmen zur Verfügung. Jon hat in den letzten
Tagen mit der Personalabteilung gesprochen und mit dieser vereinbart, dass
sie ihre Computerkonten selbst verwalten darf. Was muss Jon tun, um der
Abteilung die Verwaltung ihrer eigenen Computerkonten zu ermöglichen
(wählen Sie zwei Antworten aus)?
A. Er muss eine neue Domäne erstellen.
B. Er muss eine neue Organisationseinheit erstellen.
C. Er muss einen neuen Standort erstellen.

D. Er muss die individuellen Berechtigungen der Computerkonten ändern.
E. Er muss den Assistenten zum Zuweisen der Objektverwaltung einsetzen.
2. Ein Benutzer namens Ralph hat ein Problem in Active Directory, und Wanda
ist auf der Fehlersuche. Ralph verfügt über die Berechtigung zum Verwalten
einer Organisationseinheit und versucht die Kontoinformationen eines Benut-
zers zu ändern, der gerade das Unternehmen verlassen hat. Ralph kann die In-
formationen aber nicht ändern. Was sollte Wanda überprüfen?
A. Sie sollte überprüfen, ob der Benutzer tatsächlich die Berechtigung zum
Verwalten der Organisationseinheit besitzt.
B. Sie sollte überprüfen, ob das Konto in die richtige Organisationseinheit

verschoben worden ist.
C. Sie sollte überprüfen, ob die Option VERERBBARE ÜBERGEORDNETE BE-

RECHTIGUNGEN ÜBERNEHMEN aktiviert worden ist.
D. Sie sollte die Datenbankintegrität überprüfen.

3. Sie haben vor, mehrere Computer zu verschieben, um sie besser verwalten zu
können. Wohin können Sie die Computer verschieben (wählen Sie alle zu-
treffenden Antworten aus)?
A. Domänen
B. Standorte
C. Organisationseinheiten
D. Gruppen
E. Vertrauensstellungen
4. Sally versucht einen Drucker in Active Directory zu veröffentlichen. Der
Drucker ist an einen Computer mit Windows 95 angeschlossen und wird über
einen Computer mit Windows 2000 verwaltet. Was muss Sie tun, um den
Drucker in Active Directory erstellen zu können?
A. Sie muss den Drucker auf dem Windows-95-Computer freigeben.
B. Sie muss den Drucker auf dem Windows-2000-Computer freigeben.

C. Sie muss auf dem Windows-95-Computer eine Dateifreigabe erstellen.
D. Sie muss den Drucker manuell zu Active Directory hinzufügen, weil er an
den Windows-95-Computer angeschlossen ist.
5. David versucht ein Objekt von cn=user, dc=sonnenschein, dc=com nach

cn=accounting, dc=sonnenschein, dc=com zu verschieben. Was muss er tun,
um den Benutzer zu verschieben?
A. Er muss die Benutzer vom ersten Standort löschen und an einem anderen
Standort neu erstellen.
B. Er muss mit der rechten Maustaste auf den Benutzer klicken und die zu-
treffende Organisationseinheit auswählen.
C. Er muss über die Eingabeaufforderung den Befehl Movetree verwenden.

D. Er muss NTDSUTIL zum Verschieben des Benutzers verwenden.
6. David versucht ein Objekt von cn=user, dc=sonnenschein, dc=com nach

cn=accounting, dc=hq, dc=sonnenschein, dc=com zu verschieben. Was muss
er tun, um den Benutzer zu verschieben?
A. Er muss die Benutzer im ersten Standort löschen und an einem anderen
Standort neu erstellen.
B. Er muss mit der rechten Maustaste auf den Benutzer klicken und die zu-
treffende Organisationseinheit auswählen.
C. Er muss den Befehl Movetree über die Eingabeaufforderung verwenden.

D. Er kann den Benutzer nicht verschieben.
7. Sam erstellt Gruppen in einer neuen Domäne in einer Active Directory-Struk-
tur. In der Domäne befindet sich eine Benutzergruppe, die den Zugriff auf
Ressourcen in drei anderen Domänen benötigt. Welche Gruppentypen muss
er verwenden?
A. Global
B. Universell
C. Domänenlokal
D. Lokal
8. Tom ist auf der Fehlersuche bei einem Berechtigungsproblem von Danielle.
Danielle hat eine Datei, die sie einmal pro Woche auf den Server laden muss.
Die Datei kann von den Benutzern des Managements in der Organisation ge-
lesen werden. Im Moment muss Danielle immer zu dem Server gehen, sich
anmelden und dann über eine Diskette die Datei auf den Server kopieren.
Stattdessen möchte sie sich aber lieber mit der Freigabe verbinden, die die
Mitarbeiter des Managements zum Lesen der Datei verwenden. Was muss
Tom überprüfen?
A. Die NTFS-Berechtigungen.
B. Die Berechtigungen der Gruppe Jeder.
C. Die Freigabeberechtigungen.
D. Die Berechtigungen des Dateiobjekts in Active Directory.
9. Ein Computer in Ihrem Netzwerk ist vor kurzem abgestürzt. Bei dem System
handelte es sich um einen älteren P233 MMX mit 64MB RAM. Sie wollen es
durch ein neues Multiprozessor-System ersetzen. Da hierdurch die Hardware-
Abstraction-Layer von einem einzelnen auf mehrere Prozessoren geändert
werden muss, wissen Sie, dass Sie den Computer neu installieren müssen.
Was sollten Sie in Active Directory tun, um sicherzustellen, dass Sie den
Computer später wieder leicht zur Domäne hinzufügen können?
A. Das vorhandene Computerkonto umbenennen.
B. Das vorhandene Computerkonto in den Ordner Lost and Found verschie-

ben.
C. Das Computerkonto löschen.
D. Das Computerkonto zurücksetzen.
10. Dave hat eine Benutzergruppe in einer Domäne, auf die er andere Gruppen-
richtlinien anwenden möchte. Was muss er tun, um die Gruppenrichtlinie an-
zuwenden?
A. Eine globale Gruppe erstellen.
B. Eine universelle Gruppe erstellen.
C. Eine neue Domänen erstellen.

D. Eine Organisationseinheit erstellen.
11. Glen ist am Helpdesk tätig und bekommt einen dringenden Anruf von einem
Benutzer namens Tim. Tims Chef Lesslie befindet sich auf einem Meeting in
Rom und braucht unbedingt ein Dokument auf ihrer Festplatte. Im Moment
kann sie aber nicht an ihre E-Mail heran. Was sollte Glen Tim raten?
A. Das Dokument auf eine Diskette kopieren und per Kurier schicken.
B. Das Dokument drucken und faxen.
C. Einen Drucker im Active Directory in Rom lokalisieren und das Doku-

ment dort drucken.
D. Tim anweisen, sich von Lesslie anrufen zu lassen und ihr beim Zugang zur
E-Mail zu helfen.
12. Die Personalabteilung hat sich an Sie mit einem Problem gewandt. Sie hat ein
freigegebenes Verzeichnis namens HR mit Personaldaten, das anscheinend
niemand lokalisieren kann. Die Abteilung möchte sicherstellen, dass die Be-
nutzer die Dokumente lokalisieren können. Was können Sie tun, um dies zu
ermöglichen?
A. Eine neue Gruppe erstellen und die Dokumente dort hineinkopieren.
B. Eine Mailliste erstellen und die Personalabteilung veranlassen, die Doku-
mente an alle Benutzer zu mailen.
C. Die Freigabe HR in Active Directory veröffentlichen.

D. Das Verzeichnis in einem neuen DFS-Stamm unterbringen.
13. Sam erstellt gerade Gruppen in einer neuen Domäne einer Active Directory-
Struktur. Er verfügt über eine Ressource auf einem Domänencontroller mit
Windows 2000 in der Domäne, auf die von Gruppen in der lokalen und von
vier weiteren Domänen aus zugegriffen wird. Welche Gruppentypen sollte er
verwenden?
A. Global
B. Universell
C. Domänenlokal
D. Lokal
14. Um die Anzahl der Anrufe, die das Helpdesk in Ihrer Organisation bearbeiten
muss, zu minimieren, haben Sie sich dazu entschlossen, eine Gruppe »Benut-
zerberater« zu erstellen, die eine zusätzliche Schulung und einige besondere
Berechtigungen im Netzwerk bekommen sollen. Diese Benutzer sollen in der
Lage sein, die Benutzercomputer zu verwalten. Die Computer werden in je
einer Organisationseinheit pro Domäne (es gibt sechs Domänen) unter-
gebracht. Die Benutzerberater sollen außerdem dazu berechtigt sein, die
Kennwörter von Benutzern zurückzusetzen, die sich ebenfalls in einer Orga-
nisationseinheit pro Domäne befinden. Die Benutzer, die zu den Benutzerbe-
ratern gemacht werden sollen, sind in den verschiedenen Domänen verstreut.
Welchen Gruppentyp müssen Sie verwenden, um die Berechtigungen, die be-
nötigt werden, delegieren zu können?
A. Global
B. Universell
C. Domänenlokal
D. Keine Gruppe verwenden, nehmen Sie anstelle dessen eine Organisations-
einheit.
15. Sally versucht ein Verzeichnis freizugeben. Welches Werkzeug sollte sie zu
diesem Zweck verwenden?
A. Explorer
B. Active Directory-Standorte und -Dienste
C. Active Directory-Benutzer und -Computer

D. Servermanager
1. Der Hauptzweck der Organisationseinheiten besteht darin, Ihnen die Delegie-
rung der Kontrolle über eine Gruppe von Computern, Benutzern und anderen
Objekten in Active Directory zu ermöglichen. Erledigt wird dies entweder
über die manuelle Einstellung der Berechtigungen für die Organisationsein-
heit oder durch Einsatz des Assistenten zum Zuweisen der Objektverwaltung.
Siehe dazu den Abschnitt »Organisationseinheit erstellen«.
2. Das Protokoll, welches in Active Directory zum Suchen verwendet wird, ist
das LDAP-Protokoll (LDAP, Lightweight Directory Access Protocol). Es
wurde ursprünglich über die X.500-Spezifikationen definiert. Siehe dazu den
Abschnitt »Objekte in Active Directory suchen«.
3. Der Zweck von Gruppen besteht darin, Benutzer oder Rechte zusammenzu-
fassen. Globale Gruppen werden zum Zusammenfassen von Benutzern in
besser verwaltbare Einheiten und zu dem Zweck angelegt, diese Gruppen in
der lokalen und in allen anderen Domänen verfügbar zu machen. Die lokale
Gruppe fasst typischerweise alle die Rechte zusammen, die Sie zuweisen
möchten. Die Benutzer erhalten ihre Rechte dann durch die Zuweisung der
globalen Gruppe zur lokalen Gruppe. Universelle Gruppen fungieren als Brü-
cke zwischen globalen und lokalen Gruppen und können mehrere Domänen
umfassen. Siehe dazu den Abschnitt »Gruppen in Windows 2000«.
4. Microsoft empfiehlt, dass Sie Organisationseinheiten nicht über drei Ebenen
hinaus schachteln. Der Grund liegt hauptsächlich darin, dass jede Organisa-
tionseinheitenebene neben der Domäne und dem Standort des Benutzers über
zugewiesene Gruppenrichtlinien verfügen kann. Durch mehr als fünf Grup-
penrichtliniendokumente jedoch würde der Anmeldevorgang unzumutbar
verlangsamt werden. Siehe dazu den Abschnitt »Organisationseinheit erstel-
len«.
5. Bei der Delegierung des Zugriffs auf eine Organisationseinheit vergeben Sie
gleichzeitig Berechtigungen für die Organisationseinheit und die Objekte da-
rin. Die Person, an die Sie delegieren, kann nur das kontrollieren, was die Be-
rechtigungen zulassen. Siehe dazu den Abschnitt »Administrative Kontrolle
delegieren«.
6. Wenn Sie die Berechtigungen einer Organisationseinheit einstellen, erben die
Objekte in der Organisationseinheit diese Einstellungen. Dieses Standardver-
halten kann durch die Blockierung der Vererbung aufgehoben werden. Siehe
dazu den Abschnitt »Vererbung von Berechtigungen«.
7. Wenn der Drucker an einen Windows-2000-Computer angeschlossen ist,

brauchen Sie den Drucker nur freizugeben und das Kontrollkästchen IM VER-
ZEICHNIS ANZEIGEN aktivieren (ist standardmäßig aktiviert). Siehe dazu den
Abschnitt »Drucker veröffentlichen«.
8. Das Verschieben eines Objekts innerhalb einer Domäne kann mit dem Befehl
VERSCHIEBEN im Kontextmenü des Objekts erledigt werden. Falls Sie ein
Objekt über Domänengrenzen hinweg verschieben müssen, nehmen Sie dazu
Movetree. Siehe dazu den Abschnitt »Objekte im Verzeichnis verschieben«.
9. Die Berechtigungen bleiben dieselben. Die Berechtigungen für das Objekt,
dessen Vererbung Sie deaktiviert haben, bleiben unabhängig davon, ob das
Objekt nun verschoben wird oder nicht, dieselben. Siehe dazu den Abschnitt
»Objekte im Verzeichnis verschieben«.
10. Über die Registerkarte WEITERE können Sie im Einzelnen festlegen, wonach
Sie suchen. Sie erhalten zu diesem Zweck eine Liste der Objekte und Attribu-
te, nach denen Sie suchen können. Siehe dazu den Abschnitt »Erweitertes Su-
chen«.
Antworten auf die Prüfungsfragen
1. B, E. Die beste Entscheidung besteht in diesem Fall darin, eine Organisa-
tionseinheit zu erstellen und über den Assistenten zum Zuweisen der Objekt-
verwaltung den Benutzern von HR die Kontrolle zuzuweisen. Sie könnten
auch eine Domäne (A) erstellen, jedoch würde dies dem Netzwerk eine zu-
sätzliche Komplexität hinzufügen, die nicht nötig ist. Obwohl er auch an je-
dem einzelnen Computer (D) die Berechtigungen einstellen könnte, würde
dies mehr Arbeit machen, als für dasselbe Ergebnis den Assistenten zu benut-
zen. Das Erstellen eines Standorts (C) erlaubt keine Delegierung der Kontrol-
le. Siehe dazu den Abschnitt »Administrative Kontrolle delegieren«.
2. C. In diesem Fall ist bekannt, dass das Benutzerkonto verschoben wurde. Das
wahrscheinliche Problem wird daher darin bestehen, dass das Kontrollkäst-
chen zum Vererben der Berechtigungen deaktiviert wurde. Antwort A ist
auch möglich, setzt jedoch voraus, dass der Benutzer die Berechtigung be-
sitzt, über die er jedoch gerade für dieses Konto nicht verfügt. Auch Antwort
B ist möglich. Jedoch können Sie davon ausgehen, dass der Benutzer dies be-
reits getan hat und daher an der richtigen Stelle nach dem Konto schaut. Hin-
sichtlich der Überprüfung der Integrität, was auch möglich wäre, wären
vermutlich andere Fehlersymptome aufgetreten. Siehe dazu den Abschnitt
»Objekte im Verzeichnis verschieben«.
3. A, C, D. Ein Computerkonto kann Bestandteil einer Domäne, Organisations-
einheit oder Gruppe sein. Hierdurch wird eine zusätzliche Kontrolle möglich,
die es in NT 4.0 nicht gab. Der Standort ist kein Container für Computer (aus-
genommen Domänencontroller), und Vertrauensstellungen stellen die Ver-

knüpfungen dazwischen dar. Siehe dazu die Abschnitte »Gruppen in
Windows 2000« und »Organisationseinheit erstellen«.
4. B. In Windows 2000 werden freigegebene Drucker automatisch in Active Di-
rectory veröffentlicht. Da dieser Drucker über ein Windows-2000-System
kontrolliert wird, gibt es darüber hinaus nichts zu tun. Weil der Drucker an
ein System mit Windows 95 angeschlossen ist, sind die Antworten A und D
falsch. Dateifreigaben haben mit dem Drucker in Active Directory nichts zu
tun, sodass die Antwort C auch falsch ist. Siehe dazu den Abschnitt »Drucker
veröffentlichen«.
5. B. In diesem Fall wird das Objekt von einer Organisationseinheit in eine an-
dere derselben Domäne verschoben. Dies können Sie mit dem Befehl VER-
SCHIEBEN im Kontextmenü erledigen. Die Antwort A ist falsch und würde
dazu führen, dass sämtliche Benutzerberechtigungen verloren gehen. Die
Antwort C ist falsch, weil der Verschiebevorgang innerhalb einer Domäne
stattfindet. Die Antwort D ist falsch, weil NTDSUTIL zum Verwalten und
nicht zum Verschieben von Benutzern verwendet wird. Siehe dazu den Ab-
schnitt »Objekte im Verzeichnis verschieben«.
6. C. In diesem Fall wird der Benutzer von einer Domäne in eine andere ver-
schoben. Der Befehl VERSCHIEBEN aus dem Kontextmenü funktioniert nur in-
nerhalb einer einzelnen Domäne, sodass Antwort B falsch ist. Die Antwort A
würde gehen, jedoch alle Benutzerinformationen und -berechtigungen aufhe-
ben und dem Benutzer eine neue SID geben, was diese Antwort nicht zu der
bestmöglichen macht. Die Antwort C ist richtig, weil dies der Zweck des Be-
fehls Movetree ist. Die Antwort D ist falsch, weil Antwort C korrekt ist. Siehe
dazu den Abschnitt »Objekte im Verzeichnis verschieben«.
7. A. Globale Gruppen stehen in der Domäne zur Verfügung, in der sie erstellt
worden sind, sowie in anderen Domänen innerhalb einer Gesamtstruktur. Lo-
kale und domänenlokale Gruppen stehen nur in der Domäne zur Verfügung,
in der sie erstellt worden sind, und würden in diesem Fall nicht sinnvoll sein,
was die Antworten C und D falsch macht. Eine universelle Gruppe wird ver-
wendet, wenn Sie Benutzer aus mehreren Domänen haben, die alle den Zu-
griff auf Ressourcen in mehreren Domänen benötigen – die Antwort B ist
daher falsch. Siehe dazu den Abschnitt »Strategien zum Einsatz von Grup-
pen«.
8. C. In diesem Fall können Sie die NTFS-Berechtigungen ausschließen, da der
Benutzer die Operation lokal ausführen kann. Die Antwort A ist daher falsch.
Die Gruppe Jeder besitzt keine Berechtigungen, was wegen der Vertraulich-
keit der Informationen, die nur für leitende Mitarbeiter bestimmt sind, auch
richtig ist (Antwort B daher falsch). Dateiobjekte sind kein Bestandteil von
Active Directory, wodurch die Antwort D unzutreffend wird. Damit bleiben
die Freigabeberechtigungen, was richtig ist. Denken Sie daran, dass Freigabe-
und NTFS-Berechtigungen kombiniert und die niedrigeren Berechtigungen
verwendet werden. Da Danielle die NTFS-Berechtigung besitzt, kann sie lo-
kal operieren. Daher können Sie davon ausgehen, dass die Freigabeberechti-
gungen falsch sind. Siehe dazu den Abschnitt »Freigaben verwalten«.
9. D. Das Umbenennen des Computerkontos würde ein totes Computerkonto in
Active Directory zurücklassen, welches nie wieder benutzt werden würde.
Daher ist die Antwort A falsch. Im Verzeichnis Lost and Found hinterlegt das
System die verwaisten Objekte, die es gefunden hat. Dieses Verzeichnis wird
von den Benutzern nicht verwendet, sodass die Antwort B falsch ist. Das Lö-
schen und Neuerstellen des Kontos führt zum Verlust aller Gruppenmitglied-
schaften und Gruppenrichtlinien und ist daher auch falsch. Das Zurücksetzen
des Kontos behält das Konto bei und gibt Ihnen die Möglichkeit, den Compu-
ter später wieder der Domäne hinzuzufügen – dies ist daher die beste Ant-
wort. Siehe dazu den Abschnitt »Computerkonten«.
10. D. Da Sie eine Gruppenrichtlinie auf der Ebene der Organisationseinheit an-
wenden können, ist dies die beste Antwort. Die Antworten A und B wären
möglich, falls Sie Gruppenrichtlinienfilter verwenden, was jedoch nicht der
beste Weg wäre, da alle anderen Benutzer die Richtliniendatei ebenfalls wür-
den laden müssen. Es gibt bei Gruppenrichtlinien meist keine Notwendigkeit,
eine neue Domäne zu erstellen, was die Antwort C falsch macht. Siehe dazu
den Abschnitt »Organisationseinheit erstellen«.
11. C. Diese einfache Frage überprüft, ob Sie wissen, dass Sie in Active Directo-
ry suchen können. Die Antwort A wäre möglich, jedoch wären die damit ver-
bundenen Kosten und der Zeitaufwand zu hoch. Die Antwort B ist
wahrscheinlich das, was die meisten Benutzer tun würden, jedoch gibt es
auch hier zu hohe Kosten. Außerdem wäre eine Faxkopie vielleicht unleser-
lich. Die Antwort D wäre zwar ebenfalls möglich, jedoch ist Antwort C simp-
ler, da Tims Chef wahrscheinlich recht beschäftigt ist. Siehe dazu den
Abschnitt »Objekte in Active Directory suchen«.
12. C. Obwohl eine neue Gruppe verwendet werden könnte, würde dies nicht
dazu führen, dass die HR-Dokumente einfacher gefunden werden könnten,
weil die Benutzer dazu den Newsserver überprüfen und neue Gruppen suchen
müssten. Die Mailliste könnte funktionieren, würde aber die Last auf dem
Mailserver und dem Netzwerk stark erhöhen. Das Verzeichnis in einem neu-
en DFS-Stamm zu lokalisieren, würde es leichter machen, den Zugriff darauf
zu bekommen, aber nicht, es zu finden. Die Antwort C bleibt damit als einzig
richtige Antwort übrig. Sie ist sinnvoll, weil die Veröffentlichung einer Frei-
gabe gleichzeitig dazu führt, dass die Freigabe einfacher lokalisiert werden
kann. Siehe dazu den Abschnitt »Freigaben verwalten«.
13. C. Eine lokale Gruppe wird nur auf Standalone-Servern und Windows Pro-
fessional verwendet, was die Antwort D falsch macht. Globale Gruppen wer-
den dazu eingesetzt, die Benutzer in einer Domäne anderen Domänen
verfügbar zu machen, weshalb die Antwort A falsch ist, da es sich um eine
Ressource handelt. Universelle Gruppen (Antwort B) werden benutzt, um
Benutzer aus mehreren Domänen zusammenzufassen und ihnen Berechtigun-
gen in mehreren Domänen zu verschaffen. Übrig bleibt daher nur eine domä-
nenlokale Gruppe, wodurch die Antwort C korrekt wird. Die globalen
Gruppen aus der lokalen und den vier anderen Domänen würden dieser do-
mänenlokalen Gruppe hinzugefügt werden und den Benutzern die erforderli-
chen Rechte geben. Siehe dazu den Abschnitt »Strategien zum Einsatz von
Gruppen«.
14. B. In diesem Fall haben Sie es mit Benutzern zu tun, die Teil mehrerer Domä-
nen sind, und denen Sie Rechte in mehreren Domänen verschaffen. Das kor-
rekte Werkzeug dafür ist eine universelle Gruppe. Globale Gruppen erlauben
Ihnen die Zusammenfassung von Benutzern und können in anderen Domänen
verwendet werden, während lokale Gruppen Rechte beherbergen und norma-
lerweise globale Gruppen als Mitglieder enthalten. Sie könnten in diesem Fall
auch eine Kombination einer globalen und lokalen Gruppe einsetzen, was
über die universelle Gruppe jedoch viel leichter erledigt wird, die daher die
richtige Antwort darstellt. Siehe dazu den Abschnitt »Strategien zum Einsatz
von Gruppen«.
15. A. Sally kann drei Werkzeuge einsetzen: den Befehl NET, Explorer und das
Snap-In COMPUTERVERWALTUNG. Aufgeführt ist lediglich der Explorer.
Standorte und Dienste wird nur zur Kontrolle von Standorten in Active Di-
rectory und einigen Diensten eingesetzt, während Benutzer und Computer der
Verwaltung von Active Directory-Objekten dient und auch dazu benutzt wer-
den kann, das Snap-In Computerverwaltung für einen Computer zu laden.
Unter NT 4.0 war dafür der Servermanager zuständig, während wir es hier
aber mit Windows 2000 zu tun haben. Siehe dazu den Abschnitt »Freigaben
verwalten«.

Microsoft Windows 2000 Server Manual, Microsoft Press, 2000.
Microsoft Windows 2000 Resource Kit, Deployment Planning Guide.
Microsoft Press, 2000.
Server verwalten
Lernziele
5
Dieses Kapitel behandelt einige der Themen und Unterthemen der Lerneinheiten
»Installieren, Konfigurieren und Fehlerbehebung von Active Directory« und »Ver-
walten, Überwachen und Optimieren der Komponenten von Active Directory«. Die
übrigen Themen und Unterthemen dieser Lerneinheiten finden Sie in den entspre-
chenden sonstigen Kapiteln.

Active Directory
씰 Funktion des Betriebsmasters übertragen
Dieses Thema wurde hier wegen der großen Bedeutung der Betriebsmaster aufge-
nommen. Sie müssen verstanden haben, was die verschiedenen Betriebsmaster tun,
und welche Auswirkungen ein Betriebsmaster hat, der online ist. Darüber hinaus
sollten Sie in der Lage sein, die Rolle des Betriebsmasters übertragen zu können,
und zwar unabhängig von der Verfügbarkeit des Masters, der vorher existiert hat.
Active Directory sichern und wiederherstellen

씰 Autorisierte Wiederherstellung von Active Directory durchführen
씰 Wiederherstellung nach einem Systemausfall
Die Sicherung und Wiederherstellung ist eine wichtige Funktionen in der Verwal-
tung eines Netzwerks, zu der auch die Sicherung und Wiederherstellung des Ver-
zeichnisdienstes gehört. Dieses Thema wird erörtert, um sicherzustellen, dass Sie
eine normale Wiederherstellungsprozedur durchführen können, indem Sie entweder
einen Ersatzcontroller installieren oder über eine Datensicherung wiederherstellen.
278 Kapitel 5 Server verwalten
Active Directory-Leistung verwalten

씰 Überwachen, Verwalten und Fehlerbehebung der Domänencontrollerleistung
씰 Überwachen, Verwalten und Fehlerbehebung der Komponenten von Active
Directory
Dieses Thema wurde hauptsächlich deswegen einbezogen, damit Sie wissen, wie
Sie die Active Directory-Datenbank überwachen und verwalten. Zu diesem Zweck
müssen Sie die zur Verfügung stehenden Werkzeuge kennen und wissen, welche
von diesen Sie auf welche Weise verwenden.
Dieses Kapitel befasst sich mit den allgemeinen Administrationsaufgaben für Ser-
ver. Es beginnt mit einer Betrachtung der Rollen, die ein Server im Netzwerk über-
nehmen kann. Anschließend wird es sich mit der Sicherung und Wiederherstellung
von Servern und insbesondere mit den drei zur Verfügung stehenden Methoden zur
Wiederherstellung eines Domänencontrollers beschäftigen. Der Rest des Kapitels
behandelt die Überwachung und Verwaltung von Servern im Netzwerk. Achten Sie
beim Studium dieses Kapitels vor allem auf die folgenden Punkte:
씰 Sie müssen die fünf Betriebsmasterrollen kennen

씰 Sie sollten wissen, welche Rollen auf der Domänen- und Unternehmensebene
existieren
씰 Sie sollten wissen, wie Rollen übertragen und überschrieben werden
씰 Sie sollten wissen, welche Server wiedereingesetzt werden können, nachdem
die Rolle überschrieben wurde
씰 Sie sollten die standardmäßigen Optionen zum Sichern und Wiederherstellen
bei Microsoft Backup kennen
씰 Sie müssen wissen, welche drei Methoden zur Wiederherstellung eines
Domänencontrollers zur Verfügung stehen, und wie Sie diese verwenden
씰 Sie sollten mit den Optionen von NTDSUTIL vertraut sein
씰 Sie sollten wissen, welche Werkzeuge zur Überwachung eines Servers oder
Netzwerks zur Verfügung stehen, und wann Sie sie nutzen sollten
5.1 Einführung 279
5.1 Einführung
Eine Funktion, die ein Netzwerkadministrator häufig auszuführen hat, ist die Ver-
waltung der Server. Im Zuge der Einführung von Windows 2000 werden Sie keine
primären Domänencontroller, Backupdomänencontroller und Mitgliedsserver mehr
haben, sondern anstelle dessen verschiedene andere Servertypen, die Sie kennen
und verwalten müssen. Hierzu gehören der Schemamaster, der Domänennamens-
master, der PDC-Emulator, der RID-Master und der Infrastrukturmaster.
Über die Funktionen hinaus, die Sie bereits im vorigen Kapitel kennen gelernt
haben (Benutzer, Computer und Gruppen verwalten), müssen Sie auch die Überwa-
chung Ihrer Server beherrschen; d.h., Sie müssen Sicherungen und Wiederherstel-
lungen durchführen und Schlüsselserverrollen von einem auf den anderen Server
übertragen können.
5.2 Serverrollen
Active Directory
씰 Funktion des Betriebsmasters übertragen
Die Betriebsmaster besitzen im Netzwerk eine entscheidende Funktion. Als Netz-
werkadministrator müssen Sie sicherzustellen, dass diese einsatzbereit sind, wenn
sie gebraucht werden. Manchmal bleibt der Ausfall derartiger Rollen längere Zeit
ohne ernste Auswirkungen, während zu anderen Zeitpunkten sehr schnell dramati-
sche Beeinträchtigungen entstehen können.
In den nächsten Abschnitten werden Sie mehr über die einzelnen Betriebsmasterrol-
len erfahren. Die Diskussion wird sich darum drehen, wie Rollen platziert und über-
tragen werden. Anschließend werden Sie sehen, wie eine Rolle in dem Fall über-
schrieben wird, dass ein Server abgestürzt ist. Zum Schluss wird es noch eine
Erörterung des Servers für den globalen Katalog geben.
5.2.1 Betriebsmaster
In Active Directory können Änderungen an Benutzerkonten, Computerkonten, Frei-
gaben u.ä. an jedem Domänencontroller vorgenommen werden, was Ihnen eine
große Flexibilität ermöglicht. Manche Änderungen dürfen dagegen nur an einer ein-
zigen Stelle durchgeführt werden (z.B. Schemaänderungen).
Diese Einschränkung umgeht Active Directory durch den Einsatz einer Gruppe von
Servern, die Betriebsmaster genannt werden, und bestimmte Rollen innerhalb des
Unternehmens oder einer Domäne übernehmen. Für den Fall, dass ein Server
heruntergefahren wird oder abstürzt, müssen Sie wissen, welche Rollen dies sind,
und wie Sie die fünf Betriebsmaster übertragen können.
씰 Schemamaster. Es gibt immer nur einem Schemamaster für das gesamte Un-
ternehmen. Der Schemamaster verfügt über die Originalversion des Schemas
und stellt den einzigen Ort dar, an dem das Schema geändert werden kann.
씰 Domänennamensmaster. Der Server, der diese Rolle übernimmt, ist für das
Hinzufügen und Entfernen von Domänen im gesamten Unternehmen verant-
wortlich und ist daher der einzige Server seiner Art. Dieser Server gewähr-
leistet die Eindeutigkeit der Domänennamen und stellt sicher, dass sie in den
Namespace des Unternehmens passen. Die Informationen über die logische
Struktur des Active Directory-Namespace werden bei der Verwaltung der
Vertrauensstellungen zwischen den Domänen verwendet.
씰 RID(Relative ID)-Master. Jedes auf einem Domänencontroller erstellte Ob-

jekt besitzt eine Sicherheits-ID (SID). In Active Directory ist dies eine Kom-
bination der Sicherheits-ID der Domäne plus einer eindeutigen ID innerhalb
der Domäne. Der RID-Master ist nun dafür verantwortlich, den zweiten Teil
der Sicherheits-ID zu erstellen. Er generiert zu diesem Zweck eine ganze Se-
rie davon und reicht diese IDs an die Controller weiter. Da die gesamte SID
nur in der Domäne eindeutig ist, stellt sie lediglich eine beschränkt eindeutige
ID dar. Ein RID-Master ist für jede Domäne zwingend erforderlich.
씰 PDC-Emulator. Zur Unterstützung von Downlevel-Clients übernimmt einer

der Domänencontroller in einer Domäne die Rolle eines primären Domänen-
controllers (PDC). Dieser Domänencontroller ist für die Replikation der Acti-
ve Directory-Domäne mit den Backupdomänencontrollern von NT 4.0 ver-
antwortlich. Der PDC-Emulator empfängt, sofern sich Ihre Domäne im
einheitlichen Modus befindet, die Replikation von Kennwortänderungen.
Falls ein Downlevel-Client sich dann anzumelden versucht und von einem
anderen Controller bedient wird, der die Aktualisierung nicht empfangen hat,
reicht dieser Controller die Anmeldung an den PDC-Emulator weiter.
씰 Infrastrukturmaster. Dieser Server verwaltet die Zuordnung Benutzer-

Gruppe seiner Domäne. Wenn die Benutzer umbenannt oder in einen anderen
Container verschoben werden, aktualisiert der Infrastrukturmaster die ent-
sprechenden Referenzen und repliziert sie an andere Domänencontroller. Je-
der Infrastrukturmaster bearbeitet nur die Konten innerhalb der eigenen Do-
mäne; auch für Gruppen aus anderen Domänen.
5.2 Serverrollen 281
Alle diese Rollen müssen verwaltet werden, um sicherzustellen, dass sie den Syste-
men im Netzwerk zur Verfügung stehen, und dass bei Systemausfällen Möglichkei-
ten zur Wiederherstellung vorhanden sind. Hierin eingeschlossen ist die Planung
sinnvoller Standorte für diese Server.
5.2.2 Standorte von Betriebsmastern planen

Beim Aufbau Ihrer Domänenstruktur und der Installation Ihres ersten Domänencon-
trollers sorgen Sie gleichzeitig auch für die Standorte aller zuvor erwähnten Rollen.
Mit dem zunehmenden Wachstum des Unternehmens und dem Hinzufügen neuer
untergeordneter Domänen wird der erste Domänencontroller, den Sie in jeder
Domäne installieren, der Domänenbetriebsmaster (RID-Master, PDC-Emulator und
Infrastrukturmaster) für diese Domäne sein.
Für eine kleine Domäne in einem kleineren Gebäude oder für eine Gesamtstruktur,
die nur wenige Domänen mit wenigen Controllern besitzt, funktioniert dieses Ver-
fahren im Allgemeinen recht gut. Im Verlauf von Erweiterungen jedoch werden Sie
in Ihrer Planung auch das Verschieben von Domänenbetriebsmastern in Erwägung
ziehen. Die Planung von Betriebsmastern in einer Domäne stellt daher das Thema
des nächsten Abschnitts dar, dem eine Erörterung über die Planung von Betriebs-
mastern in einer Gesamtstruktur folgt.
Betriebsmaster in einer Domäne planen

In einer Domäne mit nur einem Domänencontroller erfüllt dieser Controller sämtli-
che Betriebsmasterrollen. Normalerweise werden Sie mehrere Domänencontroller
und daher auch eine gewisse Wahl dahingehend haben, welche Controller Sie für
die verschiedenen Betriebsmasterrollen einsetzen. Im Allgemeinen kommen dafür
eher die besonders leistungsfähigen Systeme im Netzwerk in Frage. Darüber hinaus
können Sie noch einen Betriebsmaster als Standby-System festlegen, welches über
eine gute Anbindung an den Betriebsmaster verfügen sollte.
Normalerweise fassen Sie die Betriebsmasterrollen auf demselben Server zusam-

men, was bedeutet, dass Sie die verschiedenen Rollen nicht irgendwie noch separat
überwachen müssen. Bei einer wachsenden Anzahl von Änderungen an Gruppen,
einer großen Menge von Downlevel-Clients, oder bei fortwährendem Hinzufügen
neuer Benutzer und Computer wäre jedoch unter Umständen eine Trennung dieser
Rollen erwägenswert. Normalerweise trennen Sie die Rollen, indem Sie den PDC-
Emulator auf ein anderes System verschieben. Dabei sollten Sie sicherstellen, dass
das entsprechende System eine gute Netzwerkanbindung an den Standby-Betriebs-
master besitzt.
Betriebsmaster in einer Gesamtstruktur planen

Eine Trennung des Schemamasters und Domänennamensmasters erbringt keinerlei
Vorteil, da diese Funktionen nur gelegentlich ausgeführt werden. Der Server, der
diese Rollen ausführt, sollte sich nahe an den Arbeitsplätzen befinden, die für
Administrationszwecke verwendet werden. Außer diesen eher logistischen Anfor-
derungen besteht keine weitere Notwendigkeit zum Ändern der Serverstandorte.
Über die Planung der Standorte von Betriebsmastern sind Sie nun informiert – als
Nächstes sollten Sie wissen, wie Sie die Rollen übertragen.
5.2.3 Betriebsmasterrollen übertragen

Durch die Übertragung einer Masterrolle wird die Rolle von einem Server auf einen
anderen übertragen, wobei beide Server verfügbar sein müssen. Wie Sie in den fol-
genden Abschnitten erfahren werden, sind die erforderlichen Schritte für die einzel-
nen Rollen, die Sie ggf. werden verschieben müssen, recht ähnlich.
HINWEIS
Falls Sie das Snap-In noch nicht hinzugefügt haben sollten, erklären die folgen-
den Schritte die Vorgehensweise. Klicken Sie auf START/AUSFÜHREN, und geben
Sie mmc ein. Nach dem Klicken wird die Management-Konsole angezeigt. Klicken
Sie nun KONSOLE/SNAP-IN HINZUFÜGEN/ENTFERNEN und anschließend die Schaltflä-
che HINZUFÜGEN an. Wählen Sie aus der Liste ACTIVE DIRECTORY-SCHEMA aus, und
klicken Sie auf HINZUFÜGEN. Schließen Sie das Dialogfeld EIGENSTÄNDIGES SNAP-IN
HINZUFÜGEN und klicken Sie auf OK, um zur Konsole zurückzukehren.
Falls sich dieses Snap-In nicht auf Ihrem System befinden sollte, klicken Sie mit
der rechten Maustaste im Dateiverzeichnis auf Adminpak.msi und folgen den an-
gezeigten Anweisungen.
Schemamasterrolle übertragen
Führen Sie zum Übertragen der Schemamasterrolle die folgende Schritt-für-Schritt-
Anleitung aus.

5.1 Schemamasterrolle übertragen
1. Öffnen Sie das Snap-In ACTIVE DIRECTORY-SCHEMA. Dieses Snap-In müs-
sen Sie zuvor über die Microsoft Management Console hinzufügen.
2. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHEMA, und
klicken Sie dann auf DOMÄNENCONTROLLER ÄNDERN.
Abbildung 5.1
Entweder wählen
Sie selbst einen
bestimmten Cont-
roller aus, oder Sie
lassen ihn durch
das System festle-
gen
3. Sie können entweder BELIEBIGER DOMÄNENCONTROLLER auswählen, das

System selbst einen Controller festlegen lassen, oder aber auf NAMEN ANGE-
BEN klicken und den Namen des Controllers eingeben, dem Sie die Rolle
eines Schemamasters zuweisen möchten (siehe Abbildung 5.1). Dieser Cont-
roller erhält damit den Fokus – vergewissern Sie sich, dass kein anderes Sys-
tem als der aktuelle Schemamaster den Fokus hat.
4. Klicken Sie ein weiteres Mal auf ACTIVE DIRECTORY-SCHEMA und wählen
Sie BETRIEBSMASTER aus.
5. Klicken Sie auf ÄNDERN.
Der Schemamaster stellt eine der Rollen auf Unternehmensebene dar und wird
Ihnen nur dann ggf. Probleme bereiten, wenn über einen Administrator oder eine
Softwareinstallation der Versuch unternommen wird, das Schema zu modifizieren.
Nachdem Sie dem Schemamaster einmal seinen Platz angewiesen haben, brauchen
Sie ihn nicht wieder zu verschieben; es sei denn, Sie möchten das System, auf wel-
chem er untergebracht ist, austauschen (dasselbe gilt auch für den Domänenna-
mensmaster).
Rolle des Domänennamensmaster übertragen

Stellen Sie sicher, dass sich der Domänennamensmaster wie auch der Schemamas-
ter in einem Subnetz zusammen mit einem anderen Domänencontroller befinden,
damit alle Änderungen schnell an den zweiten Controller repliziert werden können.
Normalerweise liegen in dieser Situation der Schemamaster und der Domänenna-
mensmaster auf demselben Controller, während sich ein weiterer Controller zu
Sicherungszwecken in demselben Subnetz befindet.
Den Standort der Rolle des Domänennamensmaster ändern Sie mit der folgenden
Schritt-für-Schritt-Anleitung.

5.2 Standort der Rolle des Domänennamensmasters ändern
1. Öffnen Sie ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN
(unter START/PROGRAMME/VERWALTUNG).
2. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄNEN
UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü VERBIN-
DUNG MIT DOMÄNENCONTROLLER HERSTELLEN aus.
3. Wählen Sie die Domäne entweder durch Eingabe ihres Namens oder über die
Schaltfläche DURCHSUCHEN aus. Normalerweise sollte sich der Domänenna-
mensmaster in der Stammdomäne befinden. Legen Sie dann in der Liste der
verfügbaren Domänencontroller einen Controller fest, zu dem Sie die Rolle
verschieben können. Klicken Sie zum Verbinden mit dem Controller auf OK.
Der Controller, der die Rolle ausüben soll, erhält damit den Fokus (siehe
Abbildung 5.2).
4. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄ-
NEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü
BETRIEBSMASTER aus.
5. Klicken Sie zum Verschieben der Rolle auf ÄNDERN.
Abbildung 5.2
Wählen Sie den

Domänencontroller
aus, auf den Sie die
Rolle verschieben
möchten
Domänenmasterrolle übertragen
Der Betriebsmaster auf der Domänenebene befindet sich ebenfalls typischerweise
auf einem einzelnen Controller, dem ein weiterer Controller in demselben Subnetz
für Sicherungszwecke zugeordnet ist. Gelegentlich werden Sie diese Rollen ver-
schieben müssen, um Wartungsarbeiten auf dem Controller durchzuführen, oder

weil der Server ausfällt. Die folgende Schritt-für-Schrittanleitung beschreibt, wie
Sie eine oder alle Domänenmasterrollen übertragen.

5.3 Domänenmasterrollen übertragen
1. Öffnen Sie im Ordner Verwaltung ACTIVE DIRECTORY-BENUTZER UND
-COMPUTER.
2. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-BENUTZER
UND -COMPUTER und wählen Sie im Kontextmenü VERBINDUNG MIT DOMÄ-
NENCONTROLLER HERSTELLEN aus.
3. Wählen Sie den Domänencontroller aus, auf den Sie die Rolle verschieben
möchten, und klicken Sie auf OK. Hiermit ist der Fokus auf den Domänen-
controller übergegangen.
4. Klicken Sie ein weiteres Mal auf ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER und wählen Sie BETRIEBSMASTER im Kontextmenü aus (siehe Abbil-
dung 5.3).
Abbildung 5.3
Wählen Sie die ent-

sprechende Regis-
terkarte der Rolle
aus, die Sie ändern
möchten, und kli-
cken Sie dann zum
Verschieben der
Rolle auf Ändern
5. Legen Sie den Betriebsmaster fest, indem Sie die Registerkarte der Rolle, die
Sie ändern möchten, auswählen. Klicken Sie auf dieser Registerkarte zum
Verschieben der Rolle auf ÄNDERN. Zum Verschieben sämtlicher Rollen kli-
cken Sie ÄNDERN auf allen Registerkarten an.
Wie Sie selbst sehen, ist das Verschieben der Betriebsmasterrollen recht einfach,
solange beide System online sind. Ist dies aber nicht der Fall, müssen Sie feststellen,
welcher Master ausgefallen ist, und wie lange das System nicht zur Verfügung ste-
hen wird. In manchen Fällen müssen Sie die Rolle dann überschreiben.
5.2.4 Wiederherstellung nach Ausfall eines Masters

Wie schon unter Windows NT 4.0 müssen Sie beim Ausfall eines Systems gewisse
Schritte einleiten, um das Problem zu beheben. In diesem Fall überschreiben Sie die
Rolle vom System, welches sie zuvor innehatte, an ein Standby-System. Dieser
Schritt ist recht drastisch, weil die Gefahr besteht, dass das gesamte Netzwerk einen
Schaden in dem Fall erleidet, dass Sie später den ursprünglichen Master wieder in
Betrieb nehmen. Der PDC-Emulator und der Infrastrukturmaster können jedoch
wieder online genommen werden. Führen Sie zum Überschreiben einer Serverrolle
die folgende Schritt-für-Schritt-Anleitung aus.

5.4 Betriebsmasterrolle überschreiben
1. Starten Sie eine Eingabeaufforderung und geben Sie ntdsutil ein.
2. Geben Sie in der Eingabeaufforderung von NTDSUTIL roles ein.
3. Jetzt wird die Eingabeaufforderung von NTDSUTIL, fsmo maintenance,
angezeigt. Geben Sie connections ein.
4. Geben Sie in der Eingabeaufforderung der Server-Connections connect to
server gefolgt von dem FQDN-Namen des Standby-Servers ein.
5. Geben Sie quit ein, um zur Eingabeaufforderung fsmo maintenance zurück-
zukehren.
6. Geben Sie seize gefolgt von der zu überschreibenden Rolle ein.
7. Ein Dialogfeld fragt Sie nun nach einer Bestätigung Ihrer seize-Aktion (siehe
Abbildung 5.4).
8. Geben Sie quit zum Verlassen von fsmo maintenance ein, und geben Sie zum
Verlassen von NTDSUTIL quit ein.
Abbildung 5.4
Seize-Befehl bestä-
tigen
HINWEIS
Rollen übertragen
NTDSUTIL können Sie auch zum Übertragen der Betriebsmasterrollen verwen-

den, indem Sie anstelle des Befehls seize den Befehl transfer verwenden.
Ihre vollständige Sitzung sollte etwa den folgenden Inhalt haben:

C:\>ntdsutil
ntdsutil:roles
fsmo maintenance:connections
server connections:connect to server behemoth
Binding to behemoth ...
Connected to behemoth using credentials of locally logged on user
server connections:quit
fsmo maintenance:seize PDC
Attempting safe transfer of PDC FSMO before seizure.
FSMO transferred successfully – seizure not required.
Server "behemoth" knows about 5 roles
Schema -CN=NTDS
Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOffice,CN=Sites,CN=Configuration,DC
=SonnenscheinBrauerei,DC=com
Domain -CN=NTDS
PDC -CN=NTDS
RID -CN=NTDS
HINWEIS
Infrastructure -CN=NTDS Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOf-
fice,CN=Sites,CN=Configuration,DC=SonnenscheinBrauerei,DC=com
fsmo maintenance:quit
ntdsutil:quit
Disconnecting from behemoth ...
Sie können folgende Rollen überschreiben:
씰 Schemamaster
씰 Domänennamensmaster
씰 RID-Master
씰 PDC
씰 Infrastrukturmaster
Das Überschreiben einer Rolle sollte nur die allerletzte Zuflucht darstellen, da Sie
sich dadurch Probleme im Netzwerk einhandeln können. Der einzige spezielle Ser-
vertyp, von dem Sie mehrere verwenden können, ist der Server für den globalen
Katalog.
5.2.5 Server für den globalen Katalog

Zusätzlich zu den Rollen, die Sie bereits kennen gelernt haben, gibt es noch eine
weitere Rolle, die ein Server in Ihrem Unternehmen spielen kann: die Rolle des Ser-
vers für den globalen Katalog. Dieser Server speichert eine Liste sämtlicher Infor-
mationen über Objekte in seiner Domäne plus sämtlicher in anderen Domänen des
gesamten Unternehmens befindlichen Objekte; bezüglich der Letzteren jedoch nur
eine Untermenge der Objektattribute.
Der globale Katalog wird für gewisse unternehmensweite Informationen wie etwa
die Mitgliedschaften bestimmter (insbesondere universeller) Gruppen verwendet.
Die andere Hauptfunktion des globalen Katalogs besteht darin, den Benutzern und
anderen Prozessen im System die Suche nach benötigten Objekten im gesamten
Unternehmen zu ermöglichen.
Der erste Domänencontroller in der Domäne ist standardmäßig der Server für den
globalen Katalog. Sie können weitere Server für den globalen Katalog hinzufügen,
wenn Sie dies wünschen oder vorhandene Server austauschen wollen. Es muss
5.3 Server sichern und wiederherstellen 289
jedoch immer mindestens einen Server für den globalen Katalog pro Gesamtstruktur
geben. Zum Konfigurieren eines Domänencontrollers als einen Server für den glo-
balen Katalog führen Sie die folgenden Schritte aus.

5.5 Domänencontroller für globalen Katalog konfigurieren
2. Blenden Sie den Ordner SITES und den Ordner des Standorts ein, der den
Domänencontroller enthält, den Sie bearbeiten möchten.
3. Öffnen Sie im Standort den Ordner SERVERS und blenden Sie den Server ein,
den Sie konfigurieren möchten.
4. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS, und wählen Sie
im Kontextmenü EIGENSCHAFTEN aus.
5. Aktivieren Sie in der Registerkarte ALLGEMEIN das Kontrollkästchen GLO-
BALER KATALOG, um den Domänencontroller zum Server für den globalen
Katalog zu machen. Wenn das System die Rolle nicht länger innehat, deakti-
vieren Sie dieses Kontrollkästchen. Klicken Sie zum Schluss auf OK.
In diesem Abschnitt haben Sie die Betriebsmasterrollen und ihren Verwendungs-

zweck kennen gelernt. Sie haben etwas über die Platzierung der Server und darüber
erfahren, wie die Betriebsmasterrollen übertragen und überschrieben werden. Der
Zweck dieser Erörterung bestand darin, Sie bei Problemen mit einem Server in die
Lage zu versetzen, einzugreifen und das Problem zu lösen. Ein weiterer wichtiger
Aspekt bei der Behebung eines Systemausfalls ist der Einsatz des Sicherungs- und
Wiederherstellungsprogramms.
5.3 Server sichern und wiederherstellen

Die Systemsicherung ist in jeder Produktionsumgebung ein kritischer Punkt. Prob-
leme mit versehentlich verloren gegangenen oder wegen eines Systemausfalls
beschädigten Daten, die von Ihnen den Einsatz eines Sicherungsverfahrens verlan-
gen, können immer wieder mal auftreten.
Die in Windows 2000 ausgelieferte Version der Datensicherung stellt gegenüber der
früheren Version eine deutliche Verbesserung dar, wobei die wichtigste Neuerung
darin besteht, dass Sie als Sicherungsmedium nun auch andere Medien als nur Bän-
der festlegen können. Mit dem Sicherungsprogramm können Sie die folgenden
Aktionen ausführen:
씰 Ausgewählte Dateien und Ordner sichern
씰 Gesicherte Dateien auf unterschiedlichen Datenträgern wiederherstellen
씰 Eine Notfalldiskette erstellen
씰 Sichern lokaler Daten, von verbundenen Netzlaufwerken sowie Daten von

Remotespeichern
씰 Eine Sicherung des Systemstatus einschließlich der Registrierung, der Active

Directory-Datenbank und der Zertifikatsdienstedatenbank erstellen
Die folgenden Abschnitte zeigen Ihnen, wie Sie das Sicherungsprogramm verwen-
den, und wie Sie damit einen Windows-2000-Server sichern und wiederherstellen.
5.3.1 Sicherungsarten
Zunächst müssen Sie eine Entscheidung darüber treffen, welchen Sicherungstyp
und welche Sicherungshäufigkeit Sie zu verwenden gedenken, und was Sie eigent-
lich sichern wollen. Mit dem Sicherungsprogramm in Windows 2000 können Sie
lokale FAT- oder NTFS-Partitionen sichern oder Partitionen, die sich im Netzwerk
befinden.
Für die Sicherungen, die Sie zum Vermeiden von Datenverlusten ausführen, stehen
Ihnen fünf verschiedene Arten zur Verfügung, die Sie separat oder kombiniert ver-
wenden können. Die folgende Liste erläutert diese fünf Sicherungsarten.
씰 Kopieren. Diese Sicherungsart kopiert die von Ihnen ausgewählten Dateien

auf das Sicherungsmedium. Das Archivattribut wird durch sie nicht verän-
dert, was sinnvoll ist, wenn Sie beispielsweise vor der Installation einer neu-
en Software schnell eine Datensicherung machen wollen, die die regulären
normalen und inkrementellen Sicherungen nicht stören soll.
씰 Täglich. Diese Sicherungsart verwendet das Datumsattribut einer Datei dazu,

jede Datei zu kopieren, die sich während des Tages geändert hat. Auch diese
Sicherungsart setzt das Archivattribut nicht, und hat daher auch keinerlei Stö-
rungen der sonstigen Sicherungsarten zur Folge. Dies ist eine schnelle Me-
thode zum Erfassen von Änderungen, die während des Tages stattgefunden
haben, und kann in Verbindung mit anderen Sicherungsverfahren dazu ver-
wendet werden, uhrzeitgenaue Wiederherstellungen vorzunehmen.
씰 Differenziell. Bei einer differenziellen Sicherung werden alle Dateien, bei

denen das Archivattribut gesetzt worden ist, gesichert, ohne dass das Archiv-
attribut gesetzt wird. Beispielsweise können Sie einer normalen Systemsiche-
rung mehrere differenzielle Sicherungen folgen lassen, und brauchen später

bei der Wiederherstellung nur die normale und die letzte differenzielle Siche-
rung einzuspielen. Negativ wirkt sich bei dieser Sicherungsart aus, dass der
Umfang einer solchen Sicherung im Laufe der Zeit beträchtlich wachsen
kann.
씰 Inkrementell. Hiermit werden alle Dateien gesichert, die seit der letzten nor-
malen oder inkrementellen Sicherung gesichert worden sind. Diese Art setzt
das Archivattribut zurück und zeigt damit an, dass die entsprechenden Datei-
en gesichert worden sind. Bei dieser Sicherungsart benötigen Sie zur Wieder-
herstellung eine normale und alle inkrementellen Sicherungen, die seitdem
stattgefunden haben.
씰 Normal. Dies ist die vollständige Sicherungsart, die einfach alle Dateien
nach und nach sichert und anschließend das Archivattribut zurücksetzt.
Normalerweise legen Sie fest, ob Sie entweder die normale und inkrementelle oder
die normale und differenzielle Sicherungsart miteinander kombinieren möchten.
Bei jeder Methode führen Sie typischerweise eine wöchentliche vollständige und
anschließend tägliche differenzielle oder inkrementelle Sicherung aus. Inkremen-
telle Sicherungen reduzieren die Menge des erforderlichen Speicherplatzes für die
Daten und die Zeit, die zur Ausführung der täglichen Sicherungen benötigt wird.
Allerdings dauert dafür der Wiederherstellungsprozess länger. Differenzielle Siche-
rungen benötigen dagegen mehr Speicherplatz und mehr Zeit, machen jedoch dafür
die Wiederherstellungszeit kürzer, da nur die normale und die letzte differenzielle
Sicherung wiederhergestellt werden müssen.
5.3.2 Erforderliche Berechtigungen für Sicherungen

Natürlich darf nicht jedermann hingehen und Sicherungen des Systems durchfüh-
ren, da man auf diese Weise recht einfach die Daten des Systems mit sich nehmen
könnte. Ebenso wäre ohne eine Zugangsbeschränkung beim Wiederherstellen der
Daten kein Schutz von Daten gewährleistet, die nicht für jedermann bestimmt sind.
Zum Ausführen einer Datensicherung brauchen Sie also die entsprechenden
Berechtigungen.
Generell gilt, dass Sie dafür ein Mitglied entweder der Gruppe Administratoren
oder Sicherungs-Operatoren sein müssen. Sie müssen sich sowohl für das lokale
System als auch für jedes weitere System, welches Sie über das Netzwerk sichern,
in einer dieser Gruppen befinden. Erst damit steht Ihnen die Möglichkeit zur Verfü-
gung, Daten zu sichern, die nicht Ihre eigenen sind.
ACHTUNG
Lesen-Berechtigungen verwenden
Vergessen Sie nicht, dass jeder Benutzer mit Lesen- oder höheren Berechtigun-
gen in der Lage ist, Daten zu kopieren und daher auch zu lesen.
Hinsichtlich von Datensicherungen gibt es eine Reihe von Vorsichtsmassnahmen,

die Sie treffen können, wenn Sie sich vor Sicherheitsrisiken schützen wollen. Eine
dieser Optionen lautet ZUGRIFF AUF SICHERUNGSDATEN NUR FÜR BESITZER ODER
ADMINISTRATOR ZULASSEN und hindert eine Person, die Zugriff auf ein Sicherungs-
medium hat, daran, die Daten auf diesem Medium selbst wiederherzustellen. Des
Weiteren können Sie die Gruppenrichtlinien (in Kapitel 6, »Gruppenrichtlinien zum
Verwalten von Benutzern verwenden«) so anpassen, dass die Sicherungs-Operato-
ren die Daten nur sichern, nicht jedoch auch wiederherstellen können.
5.3.3 Systemstatus sichern

Beim Systemstatus handelt es sich um spezielle Daten, deren Sicherung Sie geson-
dert vorsehen müssen. Diese Daten können nicht über das Netzwerk gesichert wer-
den, sondern nur über das lokale System. Zu den Systemstatusdaten gehören:
씰 Die Registrierung
씰 Die COM+-Registrierungsdatenbank
씰 Die Bootdateien einschließlich der Systemdateien
씰 Die Zertifikatsdienstedatenbank
씰 Die Active Directory-Dienstedatenbank
씰 Das Systemvolume (SYSVOL)
씰 Die Clusterdienstinformationen
Nicht jede Konfiguration von Windows 2000 enthält diese Objekte. Sie werden
jedoch alle, sofern vorhanden, gesichert, wenn Sie über das Sicherungsprogramm
die Sicherung der Systemstatusdaten veranlassen. Eine Wahl hinsichtlich der
Objekte, die im Rahmen des Systemstatus gesichert werden, haben Sie wegen des
internen Zusammenhangs der Komponenten nicht – entweder alles oder gar nichts!
Bei der Wiederherstellung der Systemstatusdaten müssen Sie das System in einem
speziellen Modus starten, der unter der Bezeichnung »Verzeichnisdienste wieder-
herstellen« bekannt ist und im über (F8) erscheinenden Menü angezeigt wird. Sie
haben dabei die Möglichkeit, die Systemstatusdaten auch an einen anderen Speiche-
rungsort zurückzuschreiben, wodurch jedoch lediglich die Registrierungsdateien,
die Systemvolumeinformationen, die Clusterdienstdatenbank und die Bootdateien
wiederhergestellt werden; die restlichen Daten werden nicht wiederhergestellt. Der
Grund liegt darin, dass die COM-Registrierungsdatenbank während der Installation
von Komponenten aufgebaut wird, und diese neu installiert werden müssen, wenn
die Quelldateien an anderen Speicherungsorten abgelegt werden. Auch die Zertifi-
katsinformationen müssen neu aufgebaut werden, da der Zertifikatsserver neu
installiert werden muss, und daher auch einen neuen Signaturschlüssel erhält.
Die Active Directory-Datenbank muss nicht wiederhergestellt werden. Es wird

vorausgesetzt, dass Sie mehrere Domänencontroller im Einsatz haben und daher in
der Lage sind, die entsprechenden Informationen über Replikationsvorgänge wie-
derherzustellen. Eine wiederhergestellte Active Directory-Datenbank (die nicht an
einen alternativen Speicherungsort zurückgeschrieben wurde) würde ohnehin erneut
überschrieben werden.
Zu einem Problem kann dies führen, wenn Teile Ihres Active Directory versehent-
lich verlorengegangen sind. Falls Sie beispielsweise irrtümlich eine Organisations-
einheit (OU) gelöscht haben, würde die Wiederherstellung über eine Datensiche-
rung diese Organisationseinheit nicht wiederherstellen. Zur Wiederherstellung eines
gelöschten Objekts in Active Directory müssen Sie eine maßgebende Wiederher-
stellung durchführen.
5.3.4 Maßgebende Wiederherstellungen

In Fällen wie einer gelöschten OU könnten Sie zwar eine vollständige Wiederher-
stellung an den normalen Speicherungsort erzwingen, was tatsächlich eine Wieder-
herstellung der Active Directory-Datenbank bewirken würde. Jedoch entstünde
dabei das Problem, dass zusammen mit dem Objekt auch die originalen USNs
(Update Sequence Number, ein numerischer Wert, der bei jeder Änderung eines
Objekts aktualisiert wird, wobei der höchste Wert den aktuellen Zustand darstellt)
wiederhergestellt würden. Da die USN des gelöschten Objekts, welches sich noch in
Active Directory befindet, höher als diejenige des wiederhergestellten Objekts ist,
hat dies zur Folge, dass das Objekt erneut gelöscht wird.
Bei der Wiederherstellung der OU im Verlauf der nächsten Replikation würden die
USNs dem lokalen System mitteilen, dass die Organisationseinheit gelöscht worden
ist. Die OU wird daher ein weiteres Mal gelöscht und nicht an die anderen Domä-
nencontroller repliziert. Um dieses Problem zu umgehen, müssen Sie mit NTDS-
UTIL eine maßgebende Wiederherstellung durchführen.
Der Vorgang ist problemlos insofern, als Sie wie gewohnt den Wiederherstellungs-
prozess veranlassen. Vor dem Neustart des Servers jedoch starten Sie NTDSUTIL
zu dem Zweck, den Teil von Active Directory, den Sie wiederherstellen wollen, zu
markieren. Durch diesen Vorgang werden die USNs einfach nur auf einen höheren
Wert gesetzt. Nach dem Start des Servers und dem Beginn der Replikation ist der
Wert der Kopie nun höher, was bewirkt, dass das Objekt an andere Domänencon-
troller repliziert wird.
Denken Sie also daran, dass Sie zur Wiederherstellung eines ausgefallenen Compu-
ters lediglich eine reguläre Wiederherstellung durchführen, die die Daten ersetzt
und es der Replikation überlässt, das System erneut zu aktualisieren. Führen Sie
dagegen eine Wiederherstellung an einen anderen Speicherungsort durch, werden
nur Teile der Systemstatusdaten wiederhergestellt, wobei auch hier der Prozess der
Replikation das System aktualisiert.
Eine maßgebende Wiederherstellung müssen Sie nur dann vornehmen, wenn Teile
von Active Directory verlorengegangen sind.
5.3.5 Sicherungen durchführen

Nach der Theorie wird es nun Zeit dafür, die praktische Durchführung von Siche-
rungs- und Wiederherstellungsoperationen detailliert zu betrachten. Grundlage die-
ses Abschnitts stellt das in Windows 2000 enthaltene Sicherungsprogramm dar.
Das Sicherungsprogramm von Windows 2000 ermöglicht Ihnen eine Sicherung auf
ein Band oder in eine Datei. Wenn Sie eine Datei verwenden, müssen Sie einen
Speicherungsort und einen Namen angeben – die standardmäßige Dateinamenser-
weiterung .BKF ist dabei optional. Verwenden Sie am besten immer die Standarder-
weiterungen, damit auch andere Benutzer die Dateitypen erkennen können. Die
Datei kann sich auf einem festen oder wechselbaren Datenträger im System oder in
einer Freigabe eines Netzcomputers befinden.
Eine Sicherung besteht aus den folgenden grundlegenden Schritten:
1. Wählen Sie über die im Sicherungsprogramm angezeigte Verzeichnisstruktur

die Dateien und Verzeichnisse aus, die Sie sichern möchten.
2. Legen Sie das Sicherungsmedium fest, welches Sie verwenden möchten (Da-
tei oder Band). Identifizieren Sie das Band bzw. die Datei.
3. Legen Sie die Optionen für den Sicherungstyp fest, und bestimmen Sie, ob
die Sicherung protokolliert werden soll. Weiterhin können Sie entscheiden,
ob Daten auf gemounteten Laufwerken gesichert werden sollen, ob Sie be-
stimmte Dateitypen von der Sicherung ausschließen möchten, und ob die Si-
cherung verifiziert werden soll.
4. Legen Sie ggf. erweiterte Optionen sowie den Zeitplan für die Sicherung fest.
Zum Konfigurieren der Sicherung können Sie auch den eingebauten Assistenten
verwenden.
Sicherungs-Assistent verwenden
Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Sicherung mit
dem Sicherungs-Assistenten konfigurieren.

5.6 Sicherung über den Sicherungs-Assistenten durchführen
1. Starten Sie das Sicherungsprogramm (START/PROGRAMME/ZUBEHÖR/
SYSTEMPROGRAMME/SICHERUNG).
2. Klicken Sie auf die Schaltfläche SICHERUNGS-ASSISTENT
Abbildung 5.5
Klicken Sie im
Sicherungspro-
gramm auf die
Schaltfläche
SICHERUNGS-
ASSISTENT

4. Legen Sie fest, was Sie sichern möchten, und klicken Sie dann auf WEITER
5. Wenn Sie sich dazu entschlossen haben, die zu sichernden Dateien selbst aus-
zuwählen, erhalten Sie eine Baumstruktur angezeigt, in der die Laufwerke
und Dateien auf Ihrem Computer enthalten sind. Durch Einblenden der
Baumstruktur können Sie Dateien oder Ordner anzeigen und durch Aktivie-
ren der Kontrollkästchen vor den Namen der Objekte dafür sorgen, dass sie
gesichert werden (siehe Abbildung 5.7).
Abbildung 5.6
Legen Sie fest, was

Sie sichern möch-
ten
Abbildung 5.7
Wählen Sie die

Dateien aus, die
Sie sichern möch-
ten
6. Legen Sie das Sicherungsmedium (Band oder Datei) und das Bandlaufwerk
bzw. den Dateinamen fest (siehe Abbildung 5.8).
7. Klicken Sie im nächsten Bildschirm auf FERTIG STELLEN – die Sicherung
beginnt. Durch Anklicken der Schaltfläche ERWEITERT erhalten Sie weitere
Einstelloptionen (siehe Abbildung 5.9).
Abbildung 5.8
Legen Sie den

Speicherungsort
und den Namen
der Sicherung fest
Abbildung 5.9
Auf dem Zusam-

menfassungsbild-
schirm können Sie
erweiterte Sicher-
ungsoptionen ein-
stellen
8. Die erste erweiterte Option fragt danach, welche Sicherungsart Sie verwen-
den möchten (siehe Abbildung 5.10). Wählen Sie unter den verfügbaren
Sicherungsarten die gewünschte Art aus. Außerdem können Sie Dateien
sichern lassen, die auf Remotespeicher migriert worden sind. Aktivieren Sie
das Kontrollkästchen, wenn Sie dies wünschen, und klicken Sie dann auf
WEITER.
Abbildung 5.10
Wählen Sie die

Sicherungsart aus
und legen Sie fest,
ob migrierte Daten
gesichert werden
sollen
9. Auf dem nächsten Bildschirm können Sie festlegen, ob Sie die fertig gestellte
Sicherung verifizieren lassen möchten (siehe Abbildung 5.11), was empfeh-
lenswert ist. Außerdem geben Sie an, ob Ihr Bandlaufwerk eine Hardware-
kompression unterstützt. Klicken Sie nach dem Einstellen der Optionen auf
WEITER.
Abbildung 5.11
Die Verifizierung
der Sicherung soll-
ten Sie immer vor-
nehmen lassen
10. Als Nächstes können Sie festlegen, ob die vorhandenen Daten überschrieben
werden sollen, oder ob die Sicherung angehängt werden soll. Wenn Sie sich
für das Überschreiben entscheiden, haben Sie noch die Wahl, ob nur der
Besitzer bzw. Administrator auf die Sicherung zugreifen darf. Klicken Sie
zum Fortfahren auf WEITER (siehe Abbildung 5.12).
Abbildung 5.12
Legen Sie fest, ob

die Sicherung an
das bestehende
Medium ange-
hängt werden soll
Abbildung 5.13
Geben Sie
Bezeichnungen für
die Sicherung und
das Medium ein
11. Als Nächstes haben Sie die Möglichkeit, Bezeichnungen für die Sicherung
und das Medium einzugeben (siehe Abbildung 5.13). Klicken Sie nach dem
Einstellen auf WEITER.
12. Der nächste Bildschirm gibt Ihnen die Gelegenheit, die Sicherung sofort oder
nach einem Zeitplan auszuführen (siehe Abbildung 5.14). Wählen Sie die
Abbildung 5.14
Legen Sie den Zeit-

plan dieser Sicher-
ung fest
Abbildung 5.15
Die Sicherung läuft

13. Wenn Sie auf SPÄTER klicken, werden Sie zur Eingabe des Benutzernamens
und Kennwortes für den Sicherungsauftrag aufgefordert. Nehmen Sie die
Eingaben vor und geben Sie dann den Namen des Sicherungsauftrags ein.
Klicken Sie zur Einstellung des Zeitplans auf die Schaltfläche ZEITPLAN
FESTLEGEN (die Zeitplanoptionen werden in der folgenden Schritt-für-Schritt-
Anleitung demonstriert). Klicken Sie danach zum Fortfahren auf WEITER.
14. Jetzt können Sie auf FERTIG STELLEN klicken – der Auftrag wird nun gestartet
oder als geplanter Auftrag gespeichert (siehe Abbildung 5.15).

5.7 Sicherung planen
1. Klicken Sie auf der Bildschirmseite ZEITPUNKT DER SICHERUNG im Assisten-
ten auf SPÄTER. Geben Sie nach Aufforderung einen Benutzernamen und ein
Kennwort zum Ausführen der Sicherung ein.
2. Geben Sie einen Auftragsnamen im Feld AUFTRAG ein, und klicken Sie auf
ZEITPLAN FESTLEGEN.
Abbildung 5.16
Wählen Sie die

Sicherungshäufig-
keit aus
3. Geben Sie im Dialogfeld AUFTRAG PLANEN als Erstes ein, wie oft der Auf-
trag laufen soll. Die Häufigkeit legen Sie über das Drop-down-Listenfeld
TASK AUSFÜHREN fest (siehe Abbildung 5.16).
4. Je nach der gewählten Option erhalten Sie nun acht verschiedene Auswahl-
möglichkeiten angezeigt.
씰 TÄGLICH. Bei täglichen Aufträgen können Sie festlegen, zu welchem Zeit-
punkt der Auftrag gestartet wird, und ob die Sicherungen jeden Tag oder
weniger häufig laufen sollen.
씰 WÖCHENTLICH. Bei wöchentlichen Aufträgen legen Sie wieder fest, ob
die Sicherung jede Woche oder weniger häufig laufen soll. Außerdem
können Sie die Startzeit des Auftrags und die Wochentage der Sicherung
bestimmen.
씰 MONATLICH. Auch hier legen Sie wieder die Startzeit des Auftrags fest.
Darüber hinaus bestimmen Sie noch den Tag des Monats (entweder über
die Nummer des Tages oder über den Wochentag; z.B. der erste Dienstag
des Monats). Darüber hinaus wählen Sie über die Schaltfläche MONATE
AUSWÄHLEN die Monate zur Ausführung des Zeitplans aus.
씰 ERWEITERT. Die Schaltfläche ERWEITERT steht für tägliche, wöchentliche

und monatliche Zeitpläne zur Verfügung und gibt Ihnen die Möglichkeit,
ein Start- und Endedatum für den Auftrag festzulegen. Außerdem kann
der Auftrag auch noch mehrmals am Tag ausgeführt werden. Beispiels-
weise können Sie ihn erneut minuten- oder stundenweise oder auch nur
bis zu einem bestimmten Zeitpunkt ausführen lassen, wobei Ihnen die
Option zur Verfügung steht, den Auftrag vorher zu beenden, sofern er
noch ausgeführt wird.
씰 EINMAL. Der Auftrag wird zum gegebenen Datum und der gegebenen
Uhrzeit gestartet.
씰 BEIM SYSTEMSTART. Der Auftrag wird beim Start des Systems ausge-
führt.
씰 BEI DER ANMELDUNG. Der Auftrag wird ausgeführt, sobald sich ein
Benutzer am System anmeldet.
씰 IM LEERLAUF. Der Auftrag wird ausgeführt, wenn das System für die
angegebene Anzahl Minuten im Leerlauf ist.
5. Falls Sie mehr als einen Zeitplan für den Sicherungsauftrag benötigen, akti-
vieren Sie das Kontrollkästchen MEHRFACHE ZEITPLÄNE ANZEIGEN und
erstellen weitere Zeitpläne.
6. Klicken Sie zum Festlegen der Optionen des Zeitplans auf die Registerkarte
EINSTELLUNGEN (siehe Abbildung 5.17).
Abbildung 5.17
Die Registerkarte
EINSTELLUNGEN bie-
tet weitere Optio-
nen für den Auftrag
an
7. Wählen Sie unter den folgenden zur Verfügung stehenden Optionen aus:
씰 TASK LÖSCHEN, WENN ER NICHT ERNEUT GEPLANT WIRD. Hiermit wird
der Task, sofern er nicht erneut geplant ist, aus der Taskliste entfernt.
씰 TASK BEENDEN NACH. Hier können Sie eine Grenze für die Laufzeit des
Auftrags festlegen. Der Auftrag wird beendet, sobald die Zeitgrenze über-
schritten ist.
씰 LEERLAUF. Sie legen hier fest, ob der Task nur dann gestartet werden soll,
wenn der Computer für mindestens die angegebene Zeitdauer im Leerlauf
ist. Derartige Tasks werden nur im Leerlauf des Computers ausgeführt.
Sie können die gewünschte Leerlaufzeit in Minuten und die Wartezeit für
wiederholte Versuche zum Start des Auftrags einstellen. Außerdem legen
Sie fest, ob der Task gestoppt werden soll, wenn der Computer nicht
mehr im Leerlauf ist.
씰 ENERGIEVERWALTUNG. Mit den Optionen an dieser Stelle können Sie die
Ausführung eines Tasks verhindern, wenn der Computer im Akkubetrieb
läuft bzw. einen laufenden Task abbrechen, wenn der Computer in den
Akkubetrieb wechselt.
8. Klicken Sie nach dem Einstellen des Zeitplans auf WEITER.
HINWEIS
Zeitpläne bearbeiten
Zum Bearbeiten eines Zeitplans klicken Sie auf START/PROGRAMME/ZUBEHÖR/

SYSTEMPROGRAMME/GEPLANTE TASKS, und klicken den Zeitplan dann zweimal an.
Sie haben in diesem Abschnitt die Grundlagen der Sicherung eines Servers in Ihrem
Netzwerk kennen gelernt. Einmal erstellte Sicherungen sollten Sie als Nächstes
natürlich auch wiederherstellen können!
5.3.6 Nicht maßgebende Wiederherstellung ausführen

Es ist außerordentlich wichtig, die Daten eines Domänencontrollers oder anderen
Servers ordnungsgemäß wiederherstellen zu können. Dieser Abschnitt befasst sich
daher mit den grundlegenden Wiederherstellungsprozeduren, während der darauf
folgende Abschnitt eine maßgebende Wiederherstellung behandelt.
Die folgende Schritt-für-Schritt-Anleitung zeigt, wie einfach die Wiederherstellung

einer Sicherung auf einem Server ist.

5.8 Wiederherstellung ausführen
1. Ein häufiger Grund zum Wiederherstellen besteht darin, dass versehentlich
Dateien gelöscht wurden. Das Sicherungsprogramm zeigt Ihnen einen Ver-
zeichnisbaum an, in dem Sie die Dateien, die Sie wiederherstellen möchten,
bequem selektieren können. Wählen Sie daher als Erstes die Dateien aus, die
Sie wiederherstellen möchten.
2. Legen Sie als Nächstes einen Speicherungsort fest, an dem die Dateien wie-
derhergestellt werden sollen. Das Programm bietet Ihnen dazu drei Auswahl-
möglichkeiten an: Sie können die Daten in der ursprünglichen Verzeich-
nisstruktur, in einem alternativen Verzeichnis unter Beibehaltung der
ursprünglichen Verzeichnisstruktur oder in einem einzelnen Ordner ohne die
Verzeichnisstruktur (alle Dateien werden in einen einzigen Ordner geschrie-
ben) wiederherstellen.
3. Legen Sie fest, was geschehen soll, wenn sich die wiederherzustellenden
Dateien bereits auf dem Datenträger befinden. Die zur Verfügung stehenden
Optionen lauten DATEIEN NICHT ERSETZEN (EMPFOHLEN), DATEI NUR ERSET-
ZEN, WENN SIE ÄLTER IST oder DATEI IMMER ERSETZEN.
4. Nun können Sie entweder die Wiederherstellung starten oder vorher noch
die erweiterten Optionen einstellen. Die erweiterten Optionen betreffen die
Sicherheitseinstellungen, die Datenbank des Wechselmediendienstes und die
Abzweigungspunkte.
ACHTUNG
Wiederherstellung auf FAT-Partition
Daten, die auf einer NTFS-Partition unter Windows 2000 gesichert worden sind,
sollten auch wieder auf der ursprünglichen Partition wiederhergestellt werden. Es
werden nämlich auch verschiedene Eigenschaften des NTFS-Dateisystems mit-
gesichert, die die Berechtigungen, die Verschlüsselung und die Remotespeicher-
informationen betreffen. Diese Informationen können nicht wiederhergestellt
werden, wenn die Zielpartition eine FAT-Partition ist. Ein Teil dieser Informationen
kann dagegen auf einer NTFS-Partition unter Windows NT 4.0 wiederhergestellt
werden.

씰 Wiederherstellen nach einem Systemausfall
Zum Wiederherstellen eines Domänencontrollers stehen mehrere Methoden zur
Verfügung. Beispielsweise können Sie über die Replikation dafür sorgen, dass die
Daten des Active Directory im Netzwerk aktuell gehalten werden. Auf diesem
Wege sind die Daten immer vollständig up to date. Sie können die Systemstatusin-
formationen aber auch über eine Sicherung wiederherstellen.
Bevor Sie eine der Wiederherstellungsmethoden verwenden, müssen Sie erst das
Problem beheben bzw. den Computer neu installieren. Falls Sie den Computer kom-
plett neu installieren müssen, sollten Sie sicherstellen, dass die Anzahl und Größe
der Datenträger und ihr Format gleich sind.
Wiederherstellen über die Replikation

Der einfachste Weg zum Wiederherstellen eines Domänencontrollers besteht im
Einsatz der Replikation. Normalerweise ist dies der Fall, wenn Sie den Computer
wegen eines Hardwarefehlers oder einer Beschädigung des Betriebssystems voll-
ständig neu installieren müssen; eine Prozedur, die nur dann funktioniert, wenn das
System aktuell noch kein Domänencontroller ist (d.h., der Computer ist gerade
frisch installiert, und Sie haben noch kein DCPROMO laufen lassen). Alle Extra-
dienste, die auf dem System gelaufen sind, müssen neu installiert und konfiguriert
werden, da die Konfigurationsinformationen sonst nicht vorhanden sind.
Der Vorgang selbst ist einfach und verläuft relativ schnell. Die folgende Schritt-für-
Schritt-Anleitung demonstriert, wie Sie einen Domänencontroller mit Hilfe der
Replikation wiederherstellen.

5.9 Wiederherstellen eines Domänencontrollers über die Replikation
1. Öffnen Sie auf einem arbeitenden System ACTIVE DIRECTORY-STANDORTE
UND -DIENSTE und löschen Sie die Referenz auf den Domänencontroller.
2. Stufen Sie das System mit dem Installationsassistenten für Active Directory
auf einem Domänencontroller herauf.
Durch diesen Vorgang wird ein arbeitsfähiger Domänencontroller mit allen aktuel-
len Active Directory-Informationen erzeugt. Auch wenn Sie die volle Wiederher-
stellung eines ausgefallenen Systems planen, sollten Sie normalerweise erst den
Computer neu installieren und dann vor dem Start des Vorgangs diese Schritte aus-
führen.
Wiederherstellen über eine Sicherung

Wenn ein Domänencontroller noch über weitere konfigurierte Dienste verfügt, müs-
sen Sie den gesamten Domänencontroller wiederherstellen. Dazu müssen Sie vor
dem Start dieses Vorgangs die Dateien und den Systemstatus sichern.
Bevor Sie mit dem Wiederherstellen der Systemstatusdaten beginnen können, müs-
sen Sie den Computer neu starten und in den Modus VERZEICHNISDIENST WIEDER-
HERSTELLEN wechseln. Führen Sie dazu die folgende Schritt-für-Schritt-Anleitung
aus.

5.10 Computer im Modus Verzeichnisdienstwiederherstellung starten
1. Schalten Sie Ihren Computer ein. Klicken Sie im Startmenü auf BEENDEN
und wählen Sie im Menü NEU STARTEN aus.
2. Beim Neustart des Computers erscheint eine Eingabeaufforderung, über die
Sie das zu startende Betriebssystem auswählen können. Drücken Sie nach der
Auswahl (F8).
3. Wählen Sie mit den Pfeiltasten den Modus VERZEICHNISDIENSTWIEDERHER-
STELLUNG (WINDOWS-2000-DOMÄNENCONTROLLER) aus und drücken Sie die
(Eingabetaste).
4. Melden Sie sich nach der Aufforderung am System an. Während der Anmel-
dung wird eine Warnung angezeigt, dass das System im abgesicherten Modus
läuft (siehe Abbildung 5.18).
Abbildung 5.18
Diese Warnung
weist darauf hin,
dass das System
im abgesicherten
Modus läuft
Nun befindet sich Ihr System im korrekten Betriebsmodus – Sie können jetzt mit
dem Wiederherstellungsprogramm die Systemstatusdaten und andere erforderliche
Dateien wie etwa die für die Dienste benötigten Dateien wiederherstellen. Zum
Wiederherstellen der Systemstatusdaten führen Sie die folgende Schritt-für-Schritt-
Anleitung aus.

5.11 Systemstatusdaten wiederherstellen
1. Starten Sie das Sicherungsprogramm (START/PROGRAMME/ZUBEHÖR/SYS-
TEMPROGRAMME/SICHERUNG).
2. Klicken Sie auf die Schaltfläche WIEDERHERSTELLUNGS-ASSISTENT.

4. Im folgenden Bildschirm können Sie festlegen, welche Sicherung wiederher-
gestellt werden soll (siehe Abbildung 5.19). Falls die Sicherung nicht erschei-
nen sollte, klicken Sie auf die Schaltfläche DATEI IMPORTIEREN und suchen
nach der Datei, die die Sicherung enthält. Anschließend klicken Sie auf OK,
um die Sicherung in die Liste zu übernehmen (siehe Abbildung 5.20).
5. Klicken Sie auf WEITER, um zum Bildschirm FERTIGSTELLEN DES ASSISTEN-
TEN weiterzugehen. Klicken Sie zum Start der Wiederherstellung auf FERTIG
STELLEN.
6. Wenn das Programm Sie nach einer Bestätigung des Dateinamens für die
Wiederherstellung fragt, überprüfen Sie diesen und klicken auf OK.
Anschließend beginnt die Wiederherstellung (siehe Abbildung 5.21).
Abbildung 5.19
Wählen Sie die wie-

derherzustellende
Sicherung aus
Abbildung 5.20
Falls die Sicherung

nicht angezeigt
wird, können Sie
sie importieren
Abbildung 5.21
Die Systemstatus-
daten werden wie-
derhergestellt
7. Nach der Wiederherstellung klicken Sie zum Schließen des Dialogfeldes auf
OK, und schließen dann auch das Sicherungsprogramm.
8. Starten Sie den Computer im normalen Modus.
Nach dem Neustart sollte sich das System wieder im normalen Zustand mit der Aus-
nahme befinden, dass es unter Umständen nicht mehr aktuell ist. Mit dem Eintreffen
der Replikationen von den anderen Domänencontrollern sollte sich dieser Zustand
jedoch nach und nach ändern.
Dadurch entsteht allerdings eine Frage: Was geschieht, wenn Sie Active Directory
wiederherstellen, um ein oder mehr Objekte wiederzugewinnen, die gelöscht wur-
den? Die Antwort lautet, dass diese Art der Wiederherstellung nicht die erhofften
Ergebnisse bringen wird, da die lokale Kopie von Active Directory durch die Repli-
kation mit den anderen Domänencontrollern wie jede andere Kopie auch aussehen
wird. Um ein gelöschtes Objekt wiederherzustellen, müssen Sie eine maßgebende
Wiederherstellung durchführen.
5.3.7 Maßgebende Wiederherstellung ausführen

씰 Maßgebende Wiederherstellung von Active Directory ausführen
Nach der Wiederherstellung eines Domänencontrollers aus einer Sicherung werden
die Daten, die sich zum Schluss auf dem System befinden, exakt dieselben sein, die
sich auch früher darauf befunden haben. Normalerweise ist dies auch genau das
Ergebnis, welches Sie sich wünschen werden. Falls Sie jedoch eine Löschung eines
Objekts in Active Directory rückgängig machen möchten, müssen Sie ein anderes
Verfahren wählen.
Die USN (Update Sequence Number) des Objekts, welches wiederhergestellt wird,
liegt niedriger als die letzte Version dieses Objekts im Active Directory der anderen
Domänencontroller. Dies hat zur Folge, dass der lokale Controller bei Beginn der
Replikation aufgrund der höheren USN der anderen Domänencontroller gezwungen
ist, das Objekt erneut zu löschen.
Um diesen Effekt zu vermeiden, müssen Sie eine maßgebende Wiederherstellung

durchführen. Eine maßgebende Wiederherstellung folgt exakt den in der vorherigen
Schritt-für-Schritt-Anleitung angegebenen Schritten mit der Ausnahme eines weite-
ren Schrittes, der vor den Neustart des Computers eingeschaltet wird. Dieser zusätz-
liche Schritt liegt zwischen den ursprünglichen Schritten 7 und 8. Sein Zweck liegt
darin, die Attribut-USN zu erhöhen, und so die anderen Server zu zwingen, dies als
die letzte Änderung des Objekts zu akzeptieren.
Die folgende Schritt-für-Schritt-Anleitung führt Sie durch eine maßgebende Wie-

derherstellung.

5.12 Aktualisieren der USN zum Wiederherstellen eines Objekts
1. Starten Sie die Eingabeaufforderung und geben Sie ntdsutil ein.
2. Geben Sie in der Eingabeaufforderung von ntdsutil authoritative restore
ein, und drücken Sie die (Eingabetaste).
3. Geben Sie restore subtree und den vollständigen Namen des Objekts ein,
welches Sie wiederherstellen. Der Name besteht aus den Bestandteilen cn=
und dc= und darf keine Leerzeichen enthalten.
4. Es wird ein Dialogfeld angezeigt, welches Sie zu einer Bestätigung der Wie-
derherstellung auffordert. Überprüfen Sie das Objekt und klicken Sie auf JA,
wenn Sie sicher sind (siehe Abbildung 5.22).
Abbildung 5.22
Bestätigen Sie,
dass der Objektna-
me korrekt ist
5. Nach Beendigung der Wiederherstellung können Sie entweder weitere

Objekte wiederherstellen oder quit zum Verlassen des Restore-Modus einge-
ben. Geben Sie noch einmal quit zum Beenden von NTDSUTIL ein.
6. Starten Sie den Computer neu.
Der ganze Vorgang ist im folgenden Listing verzeichnet:
C:\>ntdsutil
ntdsutil:authoritative restore
authoritative restore:restore subtree cn=testit,dc=SonnenscheinBrauerei,dc=com
Opening DIT database...Done.
The current time is 03-10-00 15:00.52.
Most recent database update occured at 03-10-00 13:51.56.
Increasing attribute version numbers by 10000.
Counting records that need updating...
Records found:0000000018
Done.
5.4 Andere administrative Funktionen 311
Found 18 records to update.

Updating records...
Records remaining:0000000000
Done.
Successfully updated 18 records.

Authoritative Restore completed successfully.
authoritative restore:quit
ntdsutil:quit
C:\>
Maßgebende Wiederherstellungen sind, wie Sie eben gesehen haben, nicht beson-
ders schwierig durchzuführen. Hoffentlich haben Sie nichtsdestotrotz nicht zu oft
mit ihnen zu tun!
Dieser Abschnitt hat die Grundlagen der Sicherung und Wiederherstellung behan-
delt, die einen wesentlichen Bestandteil der Alltagsarbeit eines Administrators aus-
machen, und Ihnen vertraut sein sollten. Eine andere Hauptfunktion Ihrer Arbeit
besteht im Überwachen der Server, um deren Betriebsbereitschaft zu gewährleisten
oder ein Problem zu beseitigen.
5.4 Andere administrative Funktionen

Active Directory-Leistung überwachen
씰 Überwachen, Verwalten und Fehlerbehebung der Domänencontrollerleistung
씰 Überwachen, Verwalten und Fehlerbehebung der Active Directory-Kompo-
nenten
Zusätzlich zur Fähigkeit im Umgang mit Problemen, die von Zeit zu Zeit auftau-
chen, müssen Sie auch in der Lage sein, Ihre Server einschließlich Ihrer Domänen-
controller zu verwalten. Die Überwachung Ihrer Domänencontroller hilft Ihnen
dabei, deren Leistung auf dem Höchststand zu halten.
Dieser Abschnitt befasst sich mit generellen Fragen der Überwachung und den
dafür zur Verfügung stehenden Werkzeugen. Es wird außerdem darüber gespro-
chen, welche verschiedenen Probleme bei Domänencontrollern auftreten, und wie
Sie diese beseitigen können.
5.4.1 NTDSUTIL
Eines der Schlüsselwerkzeuge zum Verwalten von Active Directory ist NTDS-
UTIL, ein Befehlszeilenprogramm für verschiedene Funktionen:
씰 Authoritative Restore. Die maßgebende Wiederherstellung wird, wie Sie

bereits erfahren haben, dazu verwendet, die Wiederherstellung eines Objektes
zu erzwingen. Dies geschieht durch Wiederherstellen des Objekts aus einer
Datensicherung und anschließender Aktualisierung seiner USN.
씰 Domain Management. Mit dieser Option können Sie vor dem eigentlichen
Installieren Objekte in Active Directory wie etwa untergeordnete Domänen
erstellen, sodass der Benutzer, der das System physisch installiert, nicht über
die Privilegien eines Organisations-Admins verfügen muss.
씰 File. Mit dieser Option verwalten Sie NTDS.dit und die dazugehörigen Ver-
zeichnisdienstdatenbanken. Zum Verwalten dieser Dateien müssen Sie den
Computer im Modus VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS-
2000-DOMÄNENCONTROLLER) starten, um zu vermeiden, dass die Dateien ge-
öffnet werden.
씰 IPDenyList. Diese Option erlaubt Ihnen das Erstellen einer Liste von IP-
Adressen, die der Server zum Abweisen von LDAP-Abfragen benutzt. Diese
Option betrifft die standardmäßige LDAP-Richtlinie und wirkt sich auf alle
Domänencontroller aus, die über keine bestimmte LDAP-Richtlinie verfügen.
씰 LDAP Policies. Um sicherzustellen, dass die Domänencontroller ordnungs-

gemäß weiterarbeiten, müssen Sie eine Grenze für die Anzahl der LDAP-
Operationen festlegen, was über diese Option geschieht.
씰 Metadata Cleanup. Wenn ein Domänencontroller ausgefallen oder ohne

Verwendung von DCPROMO entfernt worden ist, bleiben noch Informatio-
nen über die Domänen bzw. den Server in den Konfigurationsdaten zurück.
Mit dieser Option können Sie solche verwaisten Datensätze beseitigen.
씰 Roles. Wie Sie schon erfahren haben, gibt es fünf verschiedene Betriebsmas-
terrollen. Die Rollen dienen als Grundlage für bestimmte Funktionen inner-
halb des Netzwerks. Mit dieser Option übertragen bzw. überschreiben Sie die
Betriebsmasterrolle.
씰 Security Account Management. Falls es ein Problem mit dem RID-Master

und damit die Gefahr doppelter SIDs im Netzwerk gibt, suchen und beseiti-
gen Sie mit dieser Option doppelte SIDs.
씰 Semantic Database Analysis. Der Befehl files hat mit den Dateien zu tun,
aus denen Active Directory besteht. Die Semantic Database Analysis kann
dazu verwendet werden, Probleme bei den Verknüpfungen zwischen logi-
schen Strukturen ausfindig zu machen. Dazu gehört beispielsweise ein ver-
waister Benutzer, der Teil einer Organisationseinheit ist, die nicht mehr exis-
tiert. Inkonsistenzen dieser Art sollten sich auch im Container Lost+Found
zeigen.
Das Programm NTDSUTIL ist einfach zu bedienen, besitzt aber keine grafische
Oberfläche, weil davon ausgegangen wird, dass die entsprechende Funktion später
einmal über eine spezielle Managementschnittstelle zur Verfügung stehen wird.
Einige dieser Funktionen müssen jedoch auch über die Wiederherstellungskonsole
ausgeführt werden, die ein reines Befehlszeilenprogramm ist, sodass NTDSUTIL in
der vorliegenden Form immer seinen Sinn haben wird.
Neben NTDSUTIL zum Untersuchen und Verwalten von Active Directory stehen
noch einige weitere Werkzeuge zur Verfügung, die zum Überwachen von Domä-
nencontrollern und des Netzwerks eingesetzt werden können.
5.4.2 Domänencontroller überwachen

Zum Überwachen der Systeme in Ihrem Netzwerk stehen Ihnen verschiedene Pro-
gramme zur Verfügung, wie beispielsweise der Task-Manager, die Ereignisanzeige,
der Netzwerkmonitor und die Programme für die Leistungsmessung, die in diesem
Abschnitt behandelt werden. Jedes dieser Programme hat seinen ganz speziellen
Nutzen, und Sie werden im Allgemeinen immer mehr als eines davon benötigen, um
ein Problem festzustellen und zu lösen.
Einige Programme wie beispielsweise der Task-Manager, mit dem Sie rasch fest-
stellen können, ob Sie weitere Überwachungswerkzeuge einsetzen müssen, werden
häufig verwendet. Die Verwendungsweise dieses Programms wird daher als Erste
erörtert.
Task-Manager
Eine besonders schnelle und einfache Methode zur Überprüfung Ihrer Systemleis-
tung steht mit dem Task-Manager zur Verfügung. Ursprünglich sollte Ihnen dieses
Programm lediglich nur die Gelegenheit geben, im System laufende Tasks anzuzei-
gen, zu starten und zu stoppen. Tatsächlich ist der Task-Manager gleichzeitig aber
auch ein sehr nützliches Werkzeug bei der Fehlersuche.
Abbildung 5.23
Der Task-Manager
mit der Registerkar-
te ANWENDUNGEN
Den Task-Manager starten Sie über die folgenden Verfahrensweisen:
씰 Drücken Sie (Strg)+(Shift)+(Esc).
씰 Klicken Sie mit der rechten Maustaste auf der Taskleiste, und wählen Sie im
Kontextmenü TASK-MANAGER aus.
씰 Drücken Sie (Strg)+(Alt)+(Entf) und klicken Sie auf die Schaltfläche

TASK-MANAGER.
Nach dem Start des Task-Managers werden Sie bemerken, dass er drei verschiedene
Registerkarten enthält: ANWENDUNGEN, PROZESSE und SYSTEMLEISTUNG (siehe
Abbildung 5.23).
In den Registerkarten befinden sich jeweils unterschiedliche Informationen – bei-

spielsweise teilt Ihnen ANWENDUNGEN mit, welche Anwendungen gerade geladen
sind und laufen. An dieser Stelle können Sie durch Anklicken der Anwendung und
der Schaltfläche TASK BEENDEN einen Task beenden, der abgestürzt ist oder sich
aufgehängt hat. Mit der Schaltfläche NEUER TASK können Sie eine neue Anwen-
dung starten.
In der Registerkarte PROZESSE können Sie alle Prozesse einschließlich der Anwen-
dungen und Dienste anzeigen, aus denen Windows 2000 besteht und die gegenwär-
tig in Ihrem System laufen. In dieser Registerkarte befinden sich standardmäßig die
folgenden Spaltenüberschriften:
씰 NAME. Dies ist der Name des gegenwärtig laufenden Prozesses. Pro gestarte-
ter Instanz eines Prozesses kann es mehrere Namen für denselben Prozess ge-
ben.
씰 PID. Über die Prozess-ID verfolgt das Betriebssystem den laufenden Prozess
im Kernel von Windows 2000.
씰 CPU-NUTZUNG (%). Dies stellt die vom Prozess gegenwärtig beanspruchte

CPU-Zeit dar und ist eine schnelle Methode, um Prozesse zu entdecken, die
die CPU übermäßig belasten. Durch Anklicken der Spaltenüberschrift erhal-
ten Sie eine sortierte Liste.
씰 CPU-ZEIT. Dies ist die aktuelle Betriebsdauer des Prozesses.
씰 SPEICHERNUTZUNG. Dies ist die Speichergröße, die die Anwendung im Sys-

tem beansprucht. Auch dies stellt eine Gelegenheit für Sie dar, bei Speicher-
engpässen oder übermäßiger Aktivität der Auslagerungsdatei speicherhungri-
ge Anwendungen zu entdecken.
HINWEIS
Ausgelastete Anwendungen
Manchmal gibt es Anwendungen, die so stark ausgelastet sind, dass sie als nicht
reagierende Anwendungen angezeigt werden. Solche Anwendungen sind aber
nicht zwangsläufig immer auch abgestürzte Anwendungen. Der Task-Manager
schaut nur nach, ob die betreffende Anwendung noch auf die Systemanfragen
reagiert. Wenn diese stark belastet ist, kann sie das aber nicht immer. Bevor Sie
solche Anwendungen beenden, sollten Sie ihr noch einige Minuten Zeit geben.
Zusätzlich zu den genannten können Sie jedoch noch weitere Datenquellen anzei-
gen. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie es machen.

5.13 Spalten im Task-Manager hinzufügen
1. Wählen Sie im Task-Manager ANSICHT/SPALTEN AUSWÄHLEN aus.
2. Aktivieren Sie die Kontrollkästchen neben den Namen der Datenquellen, die
Sie anzeigen möchten.
Spalten, die Sie hinzufügen können, gibt es viele. Falls Sie sich über die Bedeutung
einzelner Datenquellen nicht im Klaren sein sollten, erfahren Sie über die Hilfe im
Menü weitere Einzelheiten.
Die letzte Registerkarte liefert Ihnen einen raschen Überblick über die Systemleis-
tung. Sie soll keinen erschöpfenden Einblick in die Aktivität des Systems darstellen,
sondern dient lediglich der Anzeige des aktuellen Systemstatus. Auf dieser Register-
karte befinden sich sechs Bereiche, die in der folgenden Liste beschrieben werden:
씰 CPU-NUTZUNG. Zeigt die aktuelle CPU-Nutzung einschließlich einer grafi-

schen Verlaufskurve der Nutzung in der letzten Zeit an, deren Verteilung von
der von Ihnen eingestellten Aktualisierungsgeschwindigkeit abhängt. Dieser
Bereich wird über zwei Optionen im Menü ANSICHT beeinflusst: CPU-VER-
LAUF hat mit der Verlaufskurve zu tun und ermöglicht die Auswahl einer
Kurve pro CPU oder einer Gesamtkurve für alle CPUs. Die zweite Option,
KERNEL-ZEITEN ANZEIGEN, fügt eine zweite Verlaufskurve in Rot hinzu, die
die Kernelmoduszeit anzeigt. Dies ermöglicht eine rasche Überprüfung der
CPU des Systems. Falls die Prozessorzeit(en) konstant über 80% liegen, soll-
ten Sie sich einmal die Registerkarte PROZESSE ansehen und überprüfen, wel-
cher Prozess die Belastung verursacht. Falls kein Prozess dafür verantwort-
lich ist, benötigen Sie unter Umständen eine Hardwareerweiterung.
씰 SPEICHERNUTZUNG. Zeigt die Speichermenge an, die gegenwärtig bean-

sprucht wird, und kann Ihnen einen schnellen Überblick darüber verschaffen,
ob das System überlastet ist. Wenn die Speichermenge größer als die phy-
sisch im System vorhandene Speichermenge ist, benötigen Sie einen Spei-
cherausbau.
씰 INSGESAMT. Teilt Ihnen die Gesamtanzahl der Handles, Threads und Prozes-
se mit.
씰 REALER SPEICHER (KB). Dies ist die Menge physischen Speichers, der im
System zur Verfügung steht und nach der verfügbaren Menge sowie der für
den Systemcache benötigten Menge aufgeteilt ist. Idealerweise sollte der ver-
fügbare Speicher nicht unter 4096 KB fallen. Generell gilt: je mehr Speicher,
umso besser. Haben Sie jedoch mehr als 65536 KB frei, dann haben Sie ent-
weder zuviel Speicher im System, oder es gibt Dienste, die nicht gestartet
worden sind.
씰 ZUGESICHERTER VIRTUELLER SPEICHER (KB). Dies ist die Gesamtmenge an

Speicher einschließlich dem physischen RAM und den Auslagerungsdateien,
der allen im System laufenden Anwendungen zugeteilt wird. INSGESAMT gibt
die aktuell zugeteilte Speichermenge an. Wenn dieser Wert höher als der phy-
sische RAM liegt, brauchen Sie ggf. mehr Speicher im System. GRENZWERT
gibt die RAM-Menge und die verfügbare Größe der Auslagerungsdatei an.
MAXIMALWERT gibt den höchsten Speicherbetrag an, der seit dem letzten
Systemstart verbraucht worden ist.
씰 KERNEL-SPEICHER (KB). Dies ist Speicher, der Systemfunktionen wie etwa

dem Serverdienst und dem RPC-Subsystem zugewiesenen ist. Der Wert unter
INSGESAMT steigt mit den zunehmenden Belastungen des Systems. Der Wert
unter AUSGELAGERT ist die Speichermenge, die erforderlichenfalls auf die
Platte ausgelagert werden kann. Der Speicherwert NICHT AUSGELAGERT stellt
den Speicherbedarf des Betriebssystemkerns dar, und hängt von den instal-
lierten Treibern ab. Wenn Sie feststellen, dass sich dieser Wert langsam, aber
stetig steigert, haben Sie wahrscheinlich Speicher»lecks« im System. Ein
Speicher»leck« entsteht, wenn ein Treiber oder eine andere Anwendung
Speicher allokiert, aber später nicht wieder korrekt freigibt. Gegebenenfalls
müssen Sie Ihr System dann neu starten. Entfernen Sie in einem solchen Fall
die Treiber (einen nach dem anderen), bis das »Leck« verschwindet. Nach-
dem Sie so den schuldigen Treiber gefunden haben, besorgen Sie sich als
Nächstes am besten eine aktuelle Version dieses Treibers.
Wie Sie sehen, ist der Task-Manager ein recht nützliches Werkzeug, welches Sie
immer dann einsetzen können, wenn sich eine Anwendung auffällig verhält. Außer-
dem können Sie mit ihm den Status des Systems überprüfen. Die Grenze des Task-
Managers liegt darin, dass Sie mit ihm nur sehen können, was im Moment passiert.
Gelegentlich möchten Sie jedoch auch wissen, was bereits zu früheren Zeitpunkten
im System geschehen ist – dies erledigen Sie mit der Ereignisanzeige.
Ereignisanzeige
Windows 2000 besitzt die Fähigkeit, auch bei Problemen mit einem Dienst oder
Gerät starten zu können. Gleichwohl kann es frustrierend sein, während des Boot-
vorgangs auf die entsprechenden Meldungen des fehlerhaften Gerätes oder Dienstes
warten zu müssen, bis es endlich weitergeht. Unter Windows 2000 können Sie
anschließend das System untersuchen und das Problem beseitigen. Nach dem Start
sollten Sie daher als Erstes über die Ereignisanzeige die Ursache des Problems fest-
stellen.
Bestandteile des Ereignisprotokolls
Abbildung 5.24
Die Ereignisanzei-
ge starten Sie über
PROGRAMME/VER-
WALTUNG/
EREIGNISANZEIGE
Wie andere Verwaltungsprogramme in Windows 2000 ist auch die Ereignisanzeige

ein Snap-In von MMC. Microsoft und andere Hersteller erhalten dadurch die Gele-
genheit, der Ereignisanzeige weitere Protokolle hinzuzufügen. Die folgende
Beschreibung enthält die üblichen sechs Protokolle (siehe Abbildung 5.24).
씰 Anwendungsprotokoll. Jede Anwendung, die nach den Microsoft-Standards

entwickelt worden ist, kann im Anwendungsprotokoll Informationen hinter-
legen. Dieses Protokoll kann Ihnen oftmals Auskunft darüber geben, weshalb
beispielsweise der Exchange Server nicht richtig läuft, oder warum der SQL
Server nicht gestartet worden ist.
씰 Sicherheitsprotokoll. Dieses Protokoll verzeichnet Ereignisse, die im Zu-

sammenhang mit der Sicherheit des Systems eingetreten sind. Die Informati-
onen, die protokolliert werden, hängen von den von Ihnen vorgenommenen
Einstellungen in den Gruppenrichtlinien ab. Denken Sie daran, dass exzessi-
ve Protokollierungen negative Auswirkungen auf die Systemleistung haben.
씰 Systemprotokoll. In dieses Protokoll schreiben sowohl alle Gerätetreiber

und Dienste als auch systembezogene Komponenten ihre Fehler. In diesem
Protokoll finden Sie nähere Hinweise, wenn beim Systemstart von Windows
2000 die Meldung erscheint, dass mindestens ein Treiber oder Dienst nicht
gestartet werden konnte.
씰 Directory Service. Dieses Protokoll enthält Ereignisse, die mit der Active
Directory-Datenbank und ihrer Replizierung zu tun haben.
씰 DNS Server. Dieses Protokoll verfolgt Ereignisse, die mit dem DNS-Server
zu tun haben. Sie sollten es immer dann kontrollieren, wenn Sie Probleme
beim Auflösen von Netzwerknamen oder beim Anmelden haben.
씰 Dateireplikationsdienst. Dieser Service bearbeitet die Replikation von Da-

teien in SYSVOL. Wenn Sie feststellen, dass die Gruppenrichtlinien oder an-
dere im SYSVOL-Verzeichnis enthaltene Informationen nicht an alle Domä-
nencontroller übermittelt werden, sollten Sie dieses Protokoll überprüfen.
Die Ereignisprotokolle sollten Sie regelmäßig überprüfen. Sie teilen Ihnen oftmals
die Ursachen von Problemen mit, auf die Sie noch gar nicht aufmerksam geworden
sind, und können mögliche Fehlerquellen in der Zukunft aufzeigen.
Ereignisprotokolle konfigurieren
Die Ereignisprotokolle enthalten ziemlich viele und wichtige Informationen. Je
mehr Dienste und Anwendungen im System laufen, und je mehr Überwachung Sie
erwarten, umso umfangreicher werden auch die zur Verfügung stehenden Informa-
tionen werden. Um zu vermeiden, dass die Ereignisprotokolle zu viel Platz wegneh-
men und damit vielleicht Probleme verursachen, sollten Sie sie so konfigurieren,
dass sie nur so viel Speicherplatz wie nötig verbrauchen. Damit stellen Sie gleich-
zeitig sicher, dass die Protokollinformationen zur Verfügung stehen, wenn sie
gebraucht werden. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie
die Ereignisprotokolle konfigurieren.

5.14 Ereignisprotokoll konfigurieren
1. Starten Sie die Ereignisanzeige.
2. Klicken Sie mit der rechten Maustaste auf dem Protokoll, welches Sie konfi-
gurieren möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus
(siehe Abbildung 5.25). Jede Eigenschaft kann individuell konfiguriert wer-
den.
3. Konfigurieren Sie in der Registerkarte ALLGEMEIN die gewünschte Protokoll-
option, von denen Ihnen die folgenden zur Verfügung stehen:
씰 ANGEZEIGTER NAME. Dieser Name erscheint in der Liste der Protokolle.
씰 MAXIMALE PROTOKOLLGRÖSSE. Dieser Wert in Kilobyte legt die maxi-

male Größe des Protokolls fest.
Abbildung 5.25
Die Registerkarte
ALLGEMEIN im Dia-
logfeld EIGENSCHAF-
TEN VON ANWEN-
DUNGSPROTOKOLL
씰 WENN DIE MAXIMALE PROTOKOLLGRÖSSE ERREICHT IST. Teilt dem Sys-

tem mit, was getan werden soll, wenn die maximale Größe des Protokolls
erreicht ist. Die zur Verfügung stehenden Optionen lauten: EREIGNISSE
NACH BEDARF ÜBERSCHREIBEN, EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER
ALS N TAGE SIND, oder EREIGNISSE NIE ÜBERSCHREIBEN. Denken Sie bei
Auswahl der Optionen 2 und 3 daran, dass in diesem Fall Aktionen, die
im Server stattfinden könnten, ggf. nicht mehr protokolliert werden. Bei
den meisten Protokollen ist die Option EREIGNISSE NACH BEDARF ÜBER-
SCHREIBEN wahrscheinlich die günstigste. Allerdings verfügt das Sicher-
heitsprotokoll nicht über diese Option. Sie haben die Möglichkeit, den
Server so zu konfigurieren, dass er bei einem Ausfall der Protokollierung
beendet wird, was vermeidet, dass nicht protokollierte Aktivität im Server
stattfindet.
씰 STANDARD WIEDERHERSTELLEN. Hiermit werden die Standardeinstellun-
gen wiederhergestellt.
씰 PROTOKOLL LÖSCHEN. Löscht das Protokoll. Vorher werden Sie gefragt,
ob Sie die Informationen darin archivieren möchten.
씰 NIEDRIGE ÜBERTRAGUNGSRATE. Damit können Sie dem System mittei-
len, dass Sie sich mit dem Remote-System über eine langsame Leitung
verbinden.
4. Klicken Sie zur Übernahme der Einstellungen auf OK.
Da die Ereignisprotokolle pro Computer im Netzwerk verwaltet werden, müssen

Sie die zuvor beschriebenen Einstellungen einzeln für jedes System vornehmen.
Dazu begeben Sie sich entweder selbst zu den Computern oder verbinden sich mit
ihnen über das Netzwerk.
Mit Remote-System verbinden

Die Protokolle anderer Systeme im Netzwerk können Sie auch konfigurieren, indem
Sie sich mit der Ereignisanzeige des Remote-Systems verbinden. Die Schritte dazu
zeigt die folgende Schritt-für-Schritt-Anleitung auf.

5.15 Ereignisprotokoll auf Remote-System anzeigen
1. Starten Sie die Ereignisanzeige und klicken Sie mit der rechten Maustaste auf
den Ordner EREIGNISANZEIGE.
2. Wählen Sie im Kontextmenü VERBINDUNG ZU ANDEREM COMPUTER HER-
STELLEN aus.
3. Wählen Sie im Dialogfeld COMPUTER WÄHLEN entweder LOKALEN COMPU-

TER oder ANDEREN COMPUTER aus, und geben Sie dessen Namen ein.
Auf diese Weise können Sie den Status von Remote-Systemen überprüfen, ohne die
Computer selbst aufsuchen zu müssen. Besonders praktisch wird dies, wenn Ihre
Clients mit Windows 2000 Professional laufen, da Sie in diesem Fall Probleme
unter Verwendung des Ereignisprotokolls sogar über das Netzwerk beseitigen kön-
nen.
Ereignisprotokoll verwenden
Das Ereignisprotokoll verzeichnet alle Aktivitäten im System, wozu nicht nur nor-
male Aktivitäten, sondern auch Fehler gehören. Jeder Ereignistyp, der im Protokoll
verzeichnet ist, ist mit einem Symbol markiert, welches das Erkennen von Proble-
men erleichtert. Es gibt fünf verschiedene Symbole:
Information. Dieses Ereignis ist nicht kritisch, sondern lediglich informati-

onshalber aufgeführt. Eine Information dieser Art kann nützlich sein, wenn
Sie feststellen möchten, ob alle Prozesse korrekt laufen.
Warnung. Diese Warnung weist darauf hin, dass etwas nicht richtig arbeitet.
Der Fehler verhindert nicht den Start des Prozesses, sollte aber trotzdem von
Ihnen überprüft werden.
Fehler. Dies ist ein kritischer Fehler und weist auf einen Prozess hin, der we-
gen eines Fehlers nicht fortfahren konnte. Manche Prozesse versuchen nach
einem Fehler erneut zu starten, und schreiben daher das Protokoll mit ihren
Fehlermeldungen voll.
Fehlerüberwachung. Dieser Eintrag zeigt an, dass jemand eine Aktion aus-
zuführen versucht hat, für die er nicht die erforderliche Berechtigung besaß.
Dies passiert nur im Sicherheitsprotokoll und sollte überprüft werden.
Erfolgsüberwachung. Zeigt an, dass eine Aktion versucht wurde, für die der
Benutzer die erforderliche Berechtigung besaß. Die Meldung ist im Allge-
meinen zwar ein gutes Zeichen, kann Ihnen aber auch dazu dienen, Benutzer
zu verfolgen, die es geschafft haben, in Ihr System einzudringen.
In den meisten Fällen können Sie die reinen Informationsmeldungen ignorieren.

Entscheidend sind die Fehlerüberwachungs-Hinweise im Sicherheitsprotokoll –
diese sollten Sie unverzüglich überprüfen, weil sie darauf hinweisen, dass jemand
eine Aktion versucht hat, zu der er nicht berechtigt war.
Hinsichtlich der anderen Protokolle müssen Sie sich die Warnungen und Fehler
näher anschauen. Bei der Arbeit mit den Ereignisprotokollen beginnen die meisten
Leute normalerweise mit dem ersten Eintrag, und arbeiten sich dann nach unten
weiter. Der Trick besteht aber darin, erst nach dem Beginn des Fehlers zu suchen,
und ab dieser Stelle das Protokoll durchzuarbeiten. Schauen Sie sich die Einträge
beginnend mit dem ältesten bis zum neuesten Eintrag an – so können Sie den Ver-
lauf des Problems besser verfolgen.
Wenn Sie dann den ersten bzw. frühesten Eintrag gefunden haben, der auf das Prob-
lem hinweist, können Sie die Details des Ereignisses anzeigen.
Ereignisdetails anzeigen
Durch die Anzeige der Ereignisdetails erhalten Sie nicht nur mehr Informationen
über das betreffende Ereignis, sondern in manchen Fällen sogar nützliche Daten. Sie
brauchen nur zweimal auf den Ereigniseintrag zu klicken (siehe Abbildung 5.26).
Das Dialogfeld EIGENSCHAFTEN besteht aus vier Bereichen. Die Informationen

oben im Dialogfeld informieren über den Fehler und seine Quelle. Es gibt drei
Schaltflächen, mit denen Sie im Ereignisprotokoll wandern können. Das Dialogfeld
enthält darüber hinaus die Bereiche BESCHREIBUNG und DATEN.
Abbildung 5.26
Die Details eines

Ereignisses
Folgende Einträge sind im Dialogfeld vorhanden:
씰 DATUM. Das Datum des Ereignisses.
씰 UHRZEIT. Die Uhrzeit des Ereignisses.
씰 TYP. Der Fehlertyp (beispielsweise Information, Warnung, Fehler).
씰 BENUTZER. Der Name des Benutzers, der den Fehler verursacht bzw. den
Prozess gestartet hat, der zum Fehler führte.
씰 COMPUTER. Der Name des Computers, auf dem das Ereignis aufgetreten ist.
씰 QUELLE. Der Prozess (ein Programm oder Dienst), der das Ereignis gemeldet
hat.
씰 KATEGORIE. Manchen Diensten sind spezielle Kategorien zugewiesen, die

bei der Identifizierung des Dienstes helfen, der das Problem verursacht hat.
씰 EREIGNIS-ID. Diese Nummer können Sie in TechNet suchen. Es handelt sich

dabei um eine interne Nummer des Dienstes, die das Ereignis beschreibt.
Die Schaltfläche mit dem Aufwärtspfeil ermöglicht Ihnen standardmäßig die Auf-
wärtswanderung im Ereignisprotokoll bzw. die Vorwärtsbewegung in der Zeit.
Diese Option eignet sich gut, wenn Sie die zeitliche Reihenfolge eines Ereignisses
verfolgen möchten. Die Schaltfläche mit dem Abwärtspfeil bewirkt das Gegenteil.
Mit der anderen Schaltfläche können Sie das Ereignis in die Zwischenablage kopie-
ren und in eine Anwendung (wie z.B. die E-Mail) wieder einfügen.
Die Beschreibung soll Ihnen beim Verständnis des Fehlers helfen. Microsoft hat
sich zwar bemüht, die Fehlerbeschreibungen in Windows 2000 möglichst aussage-
kräftig zu formulieren, jedoch werden Sie sich gelegentlich doch einmal an andere
Quellen wie etwa TechNet auf der Microsoft-Website wenden müssen, um schwie-
rige Fehlermeldungen zu verstehen.
Die angezeigten Datenbereiche können sich als nützlich erweisen, und als Bytes
oder Words angezeigt werden. Die Anzeige als Bytes ist am besten, um lesbare Zei-
chen auf der rechten Seite zu erhalten. Die Anzeige der Nachricht als Words (ein
Wort besteht aus 16 Bit) liefert Ihnen in der Regel keine sinnvollen Informationen.
Das Durchsuchen des ganzen Protokolls kann seine Zeit dauern. Um diese Zeit zu
verkürzen, können Sie die Informationen im Protokoll auch filtern.
Abbildung 5.27
Die Registerkarte
FILTER im Dialogfeld
EIGENSCHAFTEN VON
ANWENDUNGSPRO-
TOKOLL
Filter
Im Ereignisprotokoll können Tausende von Ereignissen verzeichnet sein. Um ein
Problem schneller entdecken zu können, filtern Sie das Protokoll. Führen Sie zum
Filtern des Protokolls die folgenden Schritte aus.

5.16 Ereignisprotokoll filtern
2. Klicken Sie mit der rechten Maustaste auf dem Protokoll, welches Sie filtern
möchten, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie die Registerkarte FILTER an und wählen Sie die Ereignistypen
aus, die Sie sehen wollen (siehe Abbildung 5.27).
4. Klicken Sie zur Anwendung des Filters auf OK.
Das Filtern stellt eine Methode dar, die Ansicht der Ereignisse im Protokoll anders
zu gestalten. Es stehen aber noch weitere Ansichtsoptionen zur Verfügung, die im
folgenden Abschnitt erläutert werden.
HINWEIS
Statusleiste
Ob ein Filter gerade aktiv ist oder nicht, können Sie über die Statusleiste oberhalb
der Liste der Ereignisse feststellen. Zum Abschalten des Filters gehen Sie wieder
zur Registerkarte FILTER, und klicken auf die Schaltfläche STANDARD WIEDERHER-
STELLEN.
Ansichtsoptionen
Zusätzlich zum Filtern der Ereignisse können Sie auch ANSICHT im Kontextmenü
(siehe Abbildung 5.28) dazu verwenden, die Anzeige der Informationen zu verän-
dern.
Es stehen die folgenden Optionen zur Verfügung:
씰 SPALTEN WÄHLEN. Hiermit können Sie die Spalten festlegen, die Sie im De-
tailbereich anzeigen lassen möchten. Standardmäßig werden alle verfügbaren
Spalten angezeigt.
씰 ALLE EINTRÄGE. Hiermit wird der Filter, der ggf. eingeschaltet ist, wieder ab-
geschaltet.
Abbildung 5.28
Das Menü Ansicht

im Kontextmenü.
Sie müssen erst auf
dem Protokoll kli-
cken, damit es den
Fokus erhält;
anschließend erhal-
ten Sie das Menü
durch Klicken mit
der rechten Maus-
taste
씰 FILTER. Eine andere Möglichkeit, zu den Einstellungen zum Datenfiltern zu

gelangen.
씰 NEUERE ZUERST. Hiermit werden die Einträge beginnend mit den neuesten
bis zu den ältesten Einträgen sortiert.
씰 ÄLTERE ZUERST. Hiermit werden die Einträge beginnend mit den ältesten bis
zu den neuesten Einträgen sortiert.
씰 SUCHEN. Hiermit wird ein Dialogfeld ähnlich dem Dialogfeld FILTER ange-
zeigt. Der Unterschied besteht darin, dass SUCHEN Sie zum jeweils nächsten
Eintrag bringt, der Ihren Suchkriterien entspricht.
씰 ANPASSEN. Hiermit können Sie die Ansicht Ihrer Microsoft-Management-

Konsole anpassen.
Die meisten Optionen, die Ihnen zur Verfügung stehen, um die Ansicht der Ereig-
nisprotokolle anzupassen, haben Sie nun kennen gelernt. Der Abschnitt schließt mit
einem Blick auf das Speichern und Laden von Protokolldateien.
Protokolle archivieren
In einigen Fällen möchten Sie die Ereignisprotokolle archivieren, um Sie zu einem
späteren Zeitpunkt noch einmal zu überprüfen oder mit gewissen Programmen wei-
terzubearbeiten, um Probleme herausfiltern zu können. Das Speichern und Laden
eines Ereignisprotokolls wird, wie die folgende Schritt-für-Schritt-Anleitung zeigt,
über das Kontextmenü erledigt.

5.17 Speichern und Laden von Ereignisprotokollen
2. Klicken Sie mit der rechten Maustaste auf dem Protokoll, mit dem Sie arbei-
ten möchten.
3. Wählen Sie unter den folgenden Optionen aus:
씰 PROTOKOLLDATEI ÖFFNEN. Über diese Option können Sie eine gespei-
cherte Protokolldatei laden und den Inhalt anzeigen.
씰 PROTOKOLLDATEI SPEICHERN UNTER. Hiermit speichern Sie die Proto-
kolldatei. Hinsichtlich des Dateityps haben Sie die Wahl unter Ereignis-
protokoll, Textdatei oder kommaseparierter Datei.
씰 NEUE PROTOKOLLANSICHT. Hiermit wird die aktuelle Protokolldatei
beendet und eine neue angefangen.
씰 ALLE EREIGNISSE LÖSCHEN. Löscht die Protokolldatei. Sie werden vorher
gefragt, ob Sie die Ereignisse speichern wollen.
Mit diesen Schritten können Sie die Aktivitäten des Systems über einen größeren
Zeitraum hinweg verfolgen und überprüfen.
Die Ereignisanzeige ist ein recht wichtiges Werkzeug, weil Sie mit ihm überwachen
können, was eigentlich auf Ihrem Computer passiert. Es gibt Ihnen allerdings keine
Informationen darüber, was im Netzwerk geschieht – dazu benötigen Sie den Netz-
werkmonitor, der eines der Schlüsselprogramme zur Diagnose darstellt und in Win-
dows 2000 enthalten ist.
Netzwerkmonitor
Eine vollständige Erörterung des Netzwerkmonitors wäre für Sie sicher interessant,
übersteigt aber bei weitem den Rahmen dieses Buches. Nichtsdestotrotz sind Sie
dringend aufgefordert, sich eingehend mit dem Netzwerkmonitor zu beschäftigen,
um Techniken zur Fehlerbehebung zu erlernen, die Sie nicht nur auf lokale, sondern
auch auf Systeme im Netzwerk anwenden können.
Die Kenntnisse über die Funktionsweise des Netzwerkmonitors brauchen Sie für die
Vorbereitung auf die Prüfung 70-217.
In einem Broadcasting-Netzwerk wie Ethernet oder Token Ring wird ein gesendetes
Datenpaket von jeder Netzwerkkarte im Subnetz empfangen. Die Karte identifiziert
das Paket und überprüft die Zieladresse, um feststellen zu können, ob es sich um
einen vollständigen Broadcast oder ein Datenpaket für das lokale System handelt.
Falls das Paket nicht für eine dieser Adressen bestimmt ist, wird es gelöscht.
Der Netzwerkmonitor veranlasst die Karte, in den »Promiscuous«-Modus umzu-

schalten. Die Karte beginnt nun alle Pakete im Netzwerk zu sammeln und für Ana-
lysezwecke zu speichern (siehe Abbildung 5.29).
Abbildung 5.29
Die vom Netzwerk-

monitor gesammel-
ten Daten
Der Netzwerkmonitor fasst die Daten zusammen und erzeugt Berichte über die ver-
schiedenen Protokolle im Netzwerk und die Sitzungen zwischen den Computern. Er
gibt Ihnen auch die Gelegenheit, den Netzwerkverkehr in einer Form zu verfolgen,
die durch eine Aufbereitung und Interpretation aller Codes des Netzwerks besser
lesbar ist (siehe Abbildung 5.30).
Sie können sich die Informationen auch detailliert anzeigen lassen und die verschie-
denen Schichten betrachten (siehe Abbildung 5.31).
Mit dem Netzwerkmonitor können Sie die Daten, die durch Ihr Netzwerk wandern,
unmittelbar analysieren, was sich als nützlich erweisen kann, wenn Sie beispiels-
weise Probleme beim Suchen von Computern haben. Mit dem Netzwerkmonitor
stellen Sie fest, wie die DNS-Abfrage aussieht und wo sie hingeht. Oder schauen
Sie sich bei Problemen mit der Authentifizierung einmal die Sitzung und den
Authentifizierungs-Handshake genauer an. Dies sind nur zwei Beispiele für den
sinnvollen Einsatz des Netzwerkmonitors.
Abbildung 5.30
Eine Anzeige der

Daten, die beim
Erfassen über das
Netzwerk gesen-
det wurden
Abbildung 5.31
Anzeige der Daten-

pakete im Detail
Mit dem Netzwerkmonitor haben Sie die Gelegenheit, die Ereignisse im Netzwerk
näher untersuchen zu können. Falls das Problem, welches Sie zu beheben versu-
chen, mit dem Computer selbst zu tun hat, hilft er Ihnen wahrscheinlich nicht –
dafür brauchen Sie ein anderes wichtiges Diagnosewerkzeug in Windows 2000, den
Systemmonitor.
Leistung
Eine vollständige Erörterung des Leistungsprogramms würde den Rahmen dieses
Buches überschreiten. Nichtsdestotrotz benötigen Sie zur Vorbereitung auf die Prü-
fung 70-217 Kenntnisse über seinen Zweck und seine Verwendung.
Das Leistungsprogramm besteht eigentlich aus zwei Teilen: Es gibt einmal den Sys-
temmonitor, der Ihnen eine grafische Anzeige der aktuellen oder protokollierten
Aktivitäten auf einem Server bietet. Damit erhalten Sie die Gelegenheit, Trends in
einer Zeitkurve erkennen und minutengenaue Informationen über Ihr System
gewinnen zu können. Der andere Teil des Leistungsprogramms sind die Leistungs-
datenprotokolle und Warnungen, mit denen Sie Protokolldateien über die Aktivitä-
ten auf dem Server erstellen oder Warnungen konfigurieren können, die beim Über-
schreiten bestimmter Schwellenwerte ausgelöst werden. Beide Werkzeuge können
Sie für unterschiedliche Aufgabenstellungen einsetzen:
씰 Durch eine Leistungsmessung der Dienste in Ihrem System erhalten Sie eine
Auskunft darüber, wie viele Benutzer sie unterstützen können, und welche
Ressourcen noch für andere Dienste übrigbleiben. Daten dieser Art können
Sie dann zur Optimierung von Diensten auf Domänencontrollern verwenden.
씰 Das Leistungsprogramm kann Ihnen dazu dienen, Durchschnittswerte der

Systemleistung zu ermitteln. Wenn Sie dann später einmal Änderungen zur
Steigerung der Leistung vornehmen, können Sie die aktuelle Leistung mit
diesen Durchschnittswerten vergleichen und den Leistungsgewinn besser be-
urteilen.
씰 Durch Leistungsmessungen und Tuningmaßnahmen, die Sie im Verlauf der

Systemnutzung durch Hinzufügen oder Entfernen der Ressourcen vorneh-
men, gewährleisten Sie die konstante Wartung und Pflege Ihrer Systeme.
An dieser Stelle können Sie auch eine Parallele zwischen dem Leistungsprogramm
und dem Netzwerkmonitor ziehen – was der Netzwerkmonitor für Ihr Netzwerk ist,
ist das Leistungsprogramm für Ihren Einzel-PC.
Objekte
Das Leistungsprogramm arbeitet unter Mitwirkung verschiedener Datenquellen, die
in die Microsoft-Dienste eingebaut sind und vom Leistungsprogramm ausgewertet
werden. Die Ergebniswerte können grafisch angezeigt, protokolliert oder in Verbin-
dung mit einer Warnung verwendet werden.
Der Ursprung der Datenquelle, also der Dienst, in den die Datenquelle eingebaut ist,
ist aus der Sicht des Leistungsprogramms ein Leistungsindikator. So stellt beispiels-
weise der Prozessor einen vom Betriebssystemkern bereitgestellten Leistungsindi-
kator dar, während der Server ein vom Serverdienst angebotener Leistungsindikator
ist.
Jedes Objekt verfügt über verschiedene Leistungsindikatoren, die Sie darstellen

können. Unter diesen befindet sich beispielsweise der Indikator Prozessorzeit (%),
über den die meisten Prozesse verfügen.
Weiterhin stehen Leistungsindikatoren zur Verfügung, die für das jeweilige Objekt
spezifisch sind. Beispielsweise besitzt das Prozessorobjekt den Indikator Interrupts/s,
und das Serverobjekt den Indikator Anmeldungen/s.
Zusätzlich zur Festlegung des Objekts und dessen Leistungsindikator können Sie
noch auswählen, welche Instanz eines Objekts Sie untersuchen möchten. Dies ist
notwendig, weil Sie mehr als eine verfügbare Instanz des Objekts haben können. So
können Sie beispielsweise zwei Kopien desselben Programms starten oder mehrere
physikalische Datenträger im System haben.
Das Leistungsprogramm besteht aus zwei Hauptkomponenten: dem Systemmonitor

und den Leistungsdatenprotokollen und Warnungen. Im Systemmonitor nehmen Sie
die Analyse und Anzeige der Daten vor, die der Computer generiert oder die Sie
zuvor gesammelt haben.
Systemmonitor
Den Systemmonitor setzen Sie zur Analyse der von Ihnen gesammelten Daten ein.
Diese Daten können von einem Live-System oder aus einer gespeicherten Proto-
kolldatei stammen. Bezüglich des Live-Systems können Sie festlegen, welches der
verfügbaren Objekte Sie analysieren möchten, und welche Leistungsindikatoren Sie
für die Instanz, die Sie beobachten möchten, benutzen.
Außerdem haben Sie die Gelegenheit, eine Aktualisierungshäufigkeit für die

Abfrage der Live-Daten oder ein Zeitfenster zum Mitprotokollieren einzustellen.
Ein weiterer Bestandteil des Leistungsprogramms ist dessen Fähigkeit, die Leis-
tungsindikatoren im System zu protokollieren, um sie später im Systemmonitor
betrachten zu können. Außerdem kann dieser Teil dazu verwendet werden, Warnun-
gen einzurichten, die ausgelöst werden, wenn gewisse Leistungsindikatoren einer
spezifischen Instanz eines Objekts unterhalb oder oberhalb eines bestimmten
Schwellenwerts liegen.
ACHTUNG
Aktualisierungshäufigkeit
Eine kleine Aktualisierungshäufigkeit (also viele Aktualisierungen) beeinträchtigt

die Systemleistung und führt dazu, dass das Protokoll rasch gefüllt wird und
eventuell den Datenträgerplatz verknappt.
Leistungsdatenprotokolle und Warnungen

Die Leistungsprotokolle zeichnen dieselben Daten auf, die Sie auch grafisch im
Systemmonitor verfolgen können, der ja auch zum Anzeigen dieser Daten verwen-
det wird. Leistungsprotokolle können für alle verfügbaren Objekte und deren Leis-
tungsindikatoren erstellt und zu einstellbaren Zeitpunkten gestartet und gestoppt
werden. Auch für Protokolldateien müssen Sie eine Aktualisierungshäufigkeit fest-
legen.
Es gibt auch ein Ablaufverfolgungsprotokoll, welches Informationen über den Start

und Stopp von Prozessen oder Threads enthält oder I/Os der Datenträger überwacht.
Warnungen sind ein weiterer Bestandteil der Leistungsmessung. Mit Warnungen

haben Sie die Gelegenheit, einen Schwellenwert für einen Leistungsindikator zu
definieren und das System zu veranlassen, beim Erreichen eines Schwellenwertes
(unter – oder oberhalb) eine bestimmte Aktion auszuführen. Eine solche Aktion
kann im Senden einer Netzwerkwarnung, Starten eines Leistungsprotokolls oder
Ausführen eines Programms bestehen.
Das Leistungsprogramm ist ein Werkzeug, mit dem Sie die Anzahl der Benutzer
ermitteln können, die ein Server bearbeiten kann, oder mit dem Sie die Quelle eines
Flaschenhalses in der Systemleistung entdecken.
Die Hauptwerkzeuge zur Überwachung eines Domänencontrollers bzw. der

Aspekte eines Domänencontrollers haben Sie jetzt kennen gelernt. Mit einigen wei-
teren Werkzeugen können Sie einen Blick auf weitere Details in Windows 2000 und
Active Directory werfen.
5.4.3 Weitere Werkzeuge zur Fehlersuche

Zusätzlich zu den zuvor erörterten Werkzeugen stehen noch einige andere zur Ver-
fügung, die Bestandteil des Resource Kit sind. Das Setupprogramm für diese Werk-
zeuge finden Sie auf der Windows-2000-CD im Verzeichnis \support\tools. Obwohl
nicht alle diese Werkzeuge mit Active Directory zu tun haben, sollten Sie doch die
folgenden Programme kennen:
씰 ACLDiag. Mit diesem Programm können Sie feststellen, ob einem Benutzer

der Zugriff auf ein Verzeichnisobjekt gegeben worden ist. Außerdem wird es
dazu verwendet, Zugriffssteuerungslisten auf ihren Standardzustand zurück-
zusetzen.
씰 ADSIEdit. Dieses MMC-Snap-In ermöglicht Ihnen die Anzeige aller Objekte

im Verzeichnis und deren Modifizierung bzw. die Änderung der Zugriffs-
steuerungslisten.
씰 DNSCMD. Dieses Programm überprüft die dynamische Registrierung der

DNS-Ressourceneinträge.
씰 DOMMAP. Dieses Programm überprüft die Replikationstopologie und Do-

mänenbeziehungen.
씰 DSACLS. Hiermit können Sie die Zugriffssteuerungslisten von Verzeichnis-

objekten überprüfen und bearbeiten.
씰 DSAStat. Vergleicht die Informationen auf Domänencontrollern und sucht

nach Unterschieden.
씰 ESEUtil. Dieses Programm arbeitet mit der erweiterbaren Speicherengine zu-

sammen und kann Datenbankdateien reparieren, überprüfen, kompaktifizie-
ren, verschieben und ausgeben. Diese Funktionen werden von NTDSUTIL zu
verschiedenen Zwecken verwendet.
씰 NETDOM5. Dieses Programm behandelt die Stapelverarbeitung von Vertrau-

ensstellungen, verbindet Computer mit Domänen und verifiziert Vertrauens-
stellungen und gesicherte Verbindungen.
씰 NETTest. Dieses Programm kann die Netzwerk-Konnektivität und die Funk-

tionen verteilter Dienste überprüfen.
씰 NLTest. Dieses Programm überprüft, ob der Locatordienst und die gesicherte

Verbindung funktionieren.
씰 NTDSUtil. Zusätzlich zum Verwalten der Betriebsmaster und dem Zulassen

maßgebender Wiederherstellungen bearbeitet dieses Programm unter Ver-
wendung von ESEUtil Datenbankdateien und zeigt Standorte, Domänen und
Serverinformationen an.
씰 REPAdmin. Überprüft die Replikationskonsistenz zwischen Replikationspart-

nern, überwacht den Replikationsstatus, zeigt Replikationsmetadaten an, und
erzwingt Replikationsereignisse sowie Neuberechnungen des Knowledge-
Konsistenzprüfers.
씰 REPLMon. Dieses Programm zeigt die Replikationstopologie an, überwacht

den Replikationsstatus und erzwingt Replikationsereignisse sowie Neube-
rechnungen des Knowledge-Konsistenzprüfers.
씰 SDCheck. Mit diesem Programm kann ein Administrator überprüfen, ob Zu-

griffssteuerungslisten korrekt vererbt wurden, und ob Änderungen an Zu-
griffssteuerungslisten von einem Domänencontroller an den anderen repli-
ziert werden.
씰 SIDWalker. Mit diesem Programm können Sie die ACL von Objekten bear-
beiten, die verschobenen, gelöschten oder verwaisten Konten gehören.
Alle diese Werkzeuge können Sie dazu verwenden, das Problem, welches Sie ein-
mal erkannt haben, dingfest zu machen und zu beseitigen. Für die Prüfung sollten
Sie die Namen und den Verwendungszweck dieser Programme kennen. Wenn
Ihnen die Zeit zur Verfügung steht, sollten Sie diese Programme außerdem auspro-
bieren, um ein Gefühl für ihre Funktionsweise zu bekommen.
Die Überwachung von Servern ist wichtig, um Probleme schon im Keim vermeiden
zu können. Die Programme, die Sie gerade kennen gelernt haben, haben alle ihren
jeweiligen spezifischen Einsatzzweck und -zeitpunkt, und Sie sollten verstanden
haben, wie sie mit ihnen umgehen.
Fallstudie: Überwachen und Verwalten von Active

Directory

Bei der Rückschau auf das Unternehmen Sonnenschein-Brauerei werden Sie
sich vielleicht noch daran erinnern, dass es eine Reihe von Standorten gibt, die
Sie bearbeiten müssen, und fünf verschiedene Domänen, die diese Standorte
umfassen. Die Wiederherstellung wird hierdurch erschwert, weil Sie in der
Lage sein müssen, jede Domäne von jedem Standort aus wiederherzustellen. Es
gibt noch einige weitere Gesichtspunkte, die im Folgenden aufgeführt sind:
Fallstudie: Überwachen und Verwalten von Active Directory 335
씰 Es gibt nur wenige Änderungen in Active Directory, und obwohl die Be-
nutzer gelegentlich von Standort zu Standort wandern, bleiben sie nor-
malerweise am gewohnten Platz und damit auch in derselben Domäne.
씰 Sie brauchen pro Standort einen Server für den globalen Katalog. Die
Anzahl der Standorte ist hoch.
씰 Zu Wiederherstellungszwecken werden Sie die Betriebsmaster in Ottawa
verwenden.
씰 Sie planen alle Sicherungen so, dass sie automatisch ausgeführt werden.
Wenn Sie die angesprochenen Punkte berücksichtigen, werden Sie bei der Ana-
lyse des Falls keine großen Schwierigkeiten haben.
Diese Fallstudie beschäftigt sich mit den Vorbereitungen einer Wiederherstel-
lung. Dies gehört zu den Dingen, die Sie bereits im Vorfeld gut geplant haben
sollten, sodass Sie beispielsweise auch wissen, wo Sie im Katastrophenfall
Ersatzteile oder andere Server bekommen können. Weiterhin sollten Sie einen
Plan für eine alternative Platzierung der Server für den Fall haben, dass der
Computerraum nicht zur Verfügung steht. Ihr Plan sollte ebenfalls die Frage
der Notstromversorgung vorsehen.
Im vorliegenden Fall werden Sie jedoch speziell mit der Platzierung der Server
und der Planung der Sicherungsstrategie zu tun haben.
Situationsanalyse
Bezüglich der Stationierung der Betriebsmaster ist vorgesehen, dass ein Paar
Domänencontroller in Ottawa untergebracht und ein Verbindungsobjekt zwi-
schen diesen beiden erstellt wird, welches sicherstellt, dass beide Replikations-
partner sind. Einer dieser Server wird als Schema- und Domänennamensmaster
und der andere nur als ein Domänencontroller konfiguriert. Für die Betriebs-
master auf Domänenebene wird ein ähnliches Paar für jede Domäne im Büro
Ottawa erstellt.
Die Sicherungen im Büro Ottawa für die Server, die als Betriebsmaster und
Backups konfiguriert sind, finden einmal wöchentlich voll und jede Nacht dif-
ferenziell statt. Die Sicherungen werden vier Wochen lang aufgehoben und
dann von hinten her wieder überschrieben. Es wird weiterhin monatliche, vier-
teljährliche und jährliche Sicherungen geben. Die monatlichen Sicherungen
werden bis zur nächsten monatlichen Sicherung am Standort aufbewahrt, und
dann außerhalb des Standortes für 15 Jahre gelagert.
Zusammenfassung
Dieses Kapitel hat sich mit den Serverrollen einschließlich der zwei Unternehmens-
rollen Schema- und Domänennamensmaster beschäftigt. Es hat weiterhin die drei
Masterrollen erörtert, die sich in jeder Domäne finden: der PDC-Emulator, der RID-
Master und der Infrastrukturmaster. Sie haben erfahren, welchem Zweck jede Rolle
dient, und wie Sie die Rolle in dem Fall, dass ein Server abstürzt, auf einen anderen
Server verschieben oder überschreiben.
Anschließend haben Sie die Sicherungs- und Wiederherstellungsoptionen kennen

gelernt, die Ihnen in Windows 2000 zur Verfügung stehen. Es wurden die Grundla-
gen der Sicherung – die verschiedenen Arten und Verwendungszwecke – und das
Sicherungsprogramm selbst vorgestellt. Weiterhin wurde der Wiederherstellungs-
vorgang für Server, die zuvor andere Dienste betrieben haben, untersucht, und Sie
haben erfahren, wie Sie einen Server grundsätzlich neu installieren. Anschließend
ging die Diskussion zur maßgebenden Wiederherstellung und den Voraussetzungen
über, die mit diesem Vorgang verbunden sind.
Zum Schluss haben Sie einige der verfügbaren Werkzeuge zur Überwachung und
Fehlersuche kennen gelernt. Diese Programme erfordern eine Menge Übung – sie
sollten sich einige Zeit lang mit ihnen beschäftigen, bevor Sie in die Prüfung gehen!
Schlüsselbegriffe
쎲 Betriebsmaster 쎲 PDC-Emulator
쎲 Ereignisanzeige 쎲 RID-Master
쎲 Infrastrukturmaster 쎲 Server für den globalen
Katalog
쎲 Leistung 쎲 Sicherung
쎲 Maßgebende 쎲 Systemstatusdaten
Wiederherstellung
쎲 Netzwerkmonitor 쎲 Task-Manager
쎲 NTDSUTIL 쎲 Wiederherstellen
Lernzielkontrolle
Übungen
5.1 Mit Serverrollen arbeiten
In dieser Übung werden Sie den Betriebsmaster auf Unternehmensebene von einem
Server auf den anderen verschieben. Die Übung setzt voraus, dass Sie zwei Server
mit Windows 2000 oder mit Advanced Server installiert und zu Domänencontrol-
lern in derselben Domäne heraufgestuft haben.
1. Melden Sie sich am zweiten Domänencontroller als Administrator an.

2. Lokalisieren Sie Ihr Quelldateienverzeichnis; in der Regel Ihre Installations-
CD mit Windows 2000, sofern Sie das Verzeichnis i386 nicht auf die Fest-
platte kopiert haben.
3. Starten Sie Windows Explorer und lokalisieren Sie die Datei adminpak.msi.
Klicken Sie mit der rechten Maustaste auf der Datei und wählen Sie im Kon-
textmenü INSTALLIEREN aus.
4. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms des Assistenten
auf WEITER.
5. Wählen Sie im nächsten Bildschirm ALLE VERWALTUNGSPROGRAMME IN-
STALLIEREN aus, und klicken Sie auf WEITER.
6. Klicken Sie nach Beendigung der Installation auf FERTIG STELLEN.

7. Schließen Sie Windows Explorer und wählen Sie im Startmenü AUSFÜHREN
aus. Geben Sie MMC ein und drücken Sie (Enter).
8. Wählen Sie im Menü KONSOLE/SNAP-IN HINZUFÜGEN/ENTFERNEN aus.
9. Klicken Sie im Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN auf HINZUFÜ-
GEN, lokalisieren Sie ACTIVE DIRECTORY-SCHEMA und klicken Sie auf HIN-
ZUFÜGEN.
10. Klicken Sie zum Schließen der Snap-In-Liste auf SCHLIESSEN, und klicken
Sie danach zum Schließen des Dialogfeldes SNAP-IN HINZUFÜGEN/ENTFER-
NEN auf OK.
11. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHEMA und
wählen Sie im Kontextmenü DOMÄNENCONTROLLER ÄNDERN aus.
12. Klicken Sie auf NAMEN ANGEBEN und geben Sie den Namen des zweiten Do-
mänencontrollers ein. Klicken Sie auf OK.
13. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHE-
MA und wählen Sie im Kontextmenü BETRIEBSMASTER aus.
14. Vergewissern Sie sich, dass AKTUELLER FOKUS und DER SERVER IST ZUR-
ZEIT zwei verschiedene Server bezeichnen. Falls dies nicht der Fall sein soll-
te, gehen Sie zu Schritt 11 zurück und geben den Namen des anderen Servers
ein.
16. Schließen Sie MMC. Klicken Sie auf NEIN, wenn Sie zum Speichern der Än-
derungen aufgefordert werden.
17. Öffnen Sie im Ordner VERWALTUNG ACTIVE DIRECTORY-DOMÄNEN UND
-VERTRAUENSSTELLUNGEN.
18. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄNEN
UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü VERBIN-
DUNG MIT DOMÄNENCONTROLLER HERSTELLEN aus.
19. Klicken Sie auf die Schaltfläche DURCHSUCHEN und wählen Sie Ihre Domäne
aus. Wählen Sie aus der Serverliste den Server aus, auf den Sie die Schema-
masterrolle übertragen haben.
20. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄ-
NEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü BE-
TRIEBSMASTER aus.
21. Vergewissern Sie sich, dass die Servernamen im Dialogfeld ÄNDERN unter-
schiedlich sind. Falls nicht, gehen Sie zu Schritt 18 zurück und legen einen
anderen Server fest.
23. Schließen Sie ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUN-
GEN.
5.2 Systemstatusdaten sichern

Diese Übung erfordert zwei Computer, von denen der eine als Sicherungsziel und
der andere als Quelle der Sicherung benutzt wird.
1. Melden Sie sich am System an, welches die Sicherung speichern soll.
2. Erstellen Sie auf diesem System ein Verzeichnis namens Backup und geben
Sie das Verzeichnis frei.
3. Melden Sie sich an dem System, welches Sie sichern werden, als Administra-
tor an.
Sie im Kontextmenü NETZLAUFWERK VERBINDEN aus.
5. Wählen Sie als Laufwerk O: aus und geben Sie als Pfad \\ihr-anderer-ser-
ver\Backup ein.
Kontextmenü NEU/ORGANISATIONSEINHEIT aus. Geben Sie Testit und den
Namen ein, und klicken Sie auf OK.
8. Blenden Sie Ihre Domäne ein und klicken Sie mit der rechten Maustaste die
Organisationseinheit Testit an. Wählen Sie im Kontextmenü NEU/BENUTZER
aus. Verwenden Sie den Namen David Smith und den Anmeldenamen
Dsmith. Klicken Sie auf WEITER.
9. Klicken Sie im Kennwortbildschirm zur Übernahme der Standardwerte auf
WEITER, und klicken Sie dann auf FERTIG STELLEN.
10. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
11. Wählen Sie START/PROGRAMME/ZUBEHÖR/SYSTEMPROGRAMME/SICHERUNG
zum Start des Sicherungsprogramms aus.
12. Klicken Sie auf die Schaltfläche SICHERUNGS-ASSISTENT und dann zum Wei-
terschalten des Begrüßungsbildschirms auf WEITER.
13. Klicken Sie im Bildschirm ZU SICHERNDE DATEN auf NUR DIE SYSTEMSTA-
TUSDATEN SICHERN.
14. Geben Sie im Bildschirm SPEICHERORT DER SICHERUNG O:\state.bkf ein,

15. Klicken Sie im Bildschirm FERTIGSTELLEN DES ASSISTENTEN auf FERTIG
STELLEN.
16. Klicken Sie nach der Beendigung der Sicherung auf SCHLIESSEN und been-
den Sie danach das Sicherungsprogramm.
5.3 Domänencontroller wiederherstellen
In dieser Übung werden Sie den in der vorherigen Übung gesicherten Domänencon-
troller wiederherstellen. Vor der Wiederherstellung des Domänencontrollers werden
Sie der Domäne einen Benutzer hinzufügen.

2. Klicken Sie mit der rechten Maustaste auf dem Ordner USERS und wählen Sie
NEU/BENUTZER im Kontextmenü aus.
3. Geben Sie als Namen John White und als Anmeldenamen JWhite ein. Klicken
Sie auf WEITER.
4. Übernehmen Sie die Standardwerte beim Kennwort durch Klicken auf WEI-
TER und FERTIG STELLEN.
5. Warten Sie sechs Minuten, bis die Replikation stattgefunden hat.

6. Starten Sie den Computer neu, den Sie gesichert haben.
7. Wählen Sie beim Erscheinen des Bootmenüs das Betriebssystem aus. Drü-
cken Sie während der Anzeige des Startvorgangs (F8), um zu den erweiterten
Startoptionen zu gelangen.
8. Wählen Sie VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS-2000-DO-
MÄNENCONTROLLER) aus.
9. Drücken Sie nach Aufforderung (Strg)+(Alt)+(Entf) und melden Sie sich

als Administrator an.
10. Klicken Sie auf OK, um das Meldungsfeld zu schließen, welches Sie auf den
abgesicherten Modus hinweist.
11. Starten Sie das Sicherungsprogramm.
13. Klicken Sie zum Weiterschalten des ersten Bildschirms auf WEITER.
14. Blenden Sie den Eintrag DATEI links im Fenster ein und wählen Sie Ihre letz-
te Sicherung (aus der letzten Übung) aus. Nach der Markierung der Sicherung
(durch Häkchen kenntlich) klicken Sie zum Fortfahren auf WEITER.
15. Klicken Sie auf der Bildschirmseite FERTIGSTELLEN DES ASSISTENTEN zum
Start des Wiederherstellungsprozesses auf FERTIG STELLEN. Wenn das Pro-
gramm Sie zur Überprüfung des Namens der wiederherzustellenden Siche-
rung auffordert, überprüfen Sie dessen Richtigkeit und klicken auf OK.
16. Nach Beendigung der Wiederherstellung klicken Sie zum Schließen des Dia-
logfeldes auf OK und beenden das Sicherungsprogramm.
17. Starten Sie den Computer nach der Aufforderung neu.
18. Melden Sie sich am System als Administrator an.

20. Klicken Sie auf den Ordner USERS und suchen Sie nach John White. Falls er
nicht darin ist, warten Sie einige Minuten, klicken mit der rechten Maustaste
auf den Ordner USERS und wählen im Kontextmenü AKTUALISIEREN aus.
5.4 Maßgebende Wiederherstellung durchführen
In dieser Übung werden Sie eine maßgebende Wiederherstellung für den Domänen-
controller durchführen, den Sie in der vorherigen Übung gesichert haben. In diesem
Fall werden Sie die Organisationseinheit Testit nach einer versehentlichen
Löschung wiederherstellen.

2. Klicken Sie mit der rechten Maustaste auf den Ordner Testit und wählen Sie
im Kontextmenü LÖSCHEN aus.
3. Sie erhalten nun eine Warnung angezeigt, die darauf hinweist, dass Testit ein
Container ist. Die Warnung fragt Sie danach, ob Sie den Container und alle
Objekte darin löschen wollen. Klicken Sie auf JA.
4. Warten Sie sechs Minuten, bis die Replikation stattgefunden hat.
5. Starten Sie den Computer neu, den Sie gesichert haben.
6. Wählen Sie beim Erscheinen des Bootmenüs das Betriebssystem aus. Drü-
cken Sie während der Anzeige des Startvorgangs (F8), um zu den erweiterten
Startoptionen zu gelangen.
7. Wählen Sie VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS-2000-DO-
MÄNENCONTROLLER) aus.
8. Drücken Sie nach Aufforderung (Strg)+(Alt)+(Entf) und melden Sie sich

als Administrator an.
9. Klicken Sie auf OK, um das Meldungsfeld zu schließen, welches Sie auf den
abgesicherten Modus hinweist.
10. Starten Sie das Sicherungsprogramm.
12. Klicken Sie zum Weiterschalten des ersten Bildschirms auf WEITER.
13. Blenden Sie den Eintrag DATEI links im Fenster ein und wählen Sie Ihre letz-
te Sicherung aus. Nach der Markierung der Sicherung (durch Häkchen kennt-
lich) klicken Sie zum Fortfahren auf WEITER.
14. Klicken Sie auf der Bildschirmseite FERTIGSTELLEN DES ASSISTENTEN zum
Start des Wiederherstellungsprozesses auf FERTIG STELLEN. Wenn das Pro-
gramm Sie zur Überprüfung des Namens der wiederherzustellenden Siche-
rung auffordert, überprüfen Sie dessen Richtigkeit und klicken auf OK.
15. Nach Beendigung der Wiederherstellung klicken Sie zum Schließen des Dia-
logfeldes auf OK und beenden das Sicherungsprogramm.
16. Starten Sie den Computer nach der Aufforderung jetzt nicht neu.
17. Starten Sie eine Eingabeaufforderung und geben Sie ntdsutil ein.
18. Geben Sie an der Eingabeaufforderung von NTDSUTIL authoritative res-
tore ein, und drücken Sie (Enter).
19. Geben Sie restore subtree und den vollständigen Namen der Organisations-
einheit ein, die Sie zuvor gelöscht haben. Wenn Ihre Domäne beispielsweise
ODIN.COM heißt, geben Sie nun dc=com,dc=odin,cn=Testit ein.
20. Ein Dialogfeld fragt Sie danach, ob Sie dieses Objekt tatsächlich wiederher-
stellen möchten. Klicken Sie auf JA.
21. Geben Sie nach Ende der Wiederherstellung quit zum Beenden des Wieder-
herstellungsmodus ein, und geben Sie ein weiteres Mal quit zum Beenden
von NTDSUTIL ein.
22. Starten Sie den Computer neu.
23. Melden Sie sich als Administrator an.
25. Vergewissern Sie sich, dass die Organisationseinheit Testit wieder an Ort und
Stelle ist.
Wiederholungsfragen
1. Was ist die Rolle des Domänennamensmasters?
2. Was müssen Sie wiederherstellen, bevor Sie eine inkrementelle Sicherung
wiederherstellen?
3. Sie möchten wissen, wie viele Benutzer ein neuer Servertyp bearbeiten kann.
Welches Werkzeug verwenden Sie zu diesem Zweck?
4. Aus welchen zwei Komponenten besteht die SID eines Objektes in Active
Directory?
5. Welches Programm verwenden Sie zum Erfassen der Schemamasterrolle,
wenn diese fehlerhaft ist?
6. Sie haben einen Server, der andere Server im Netzwerk nicht erkennen kann.
Mit welchem Werkzeug stellen Sie fest, welche Abfragen er sendet?
7. Sie mussten die Schemamasterrolle überschreiben. Welche Vorsichtsmaßnah-
me sollten Sie hinsichtlich des Servers ergreifen, der ausgewechselt wurde?
8. Wenn Sie Ihren Computer starten, erhalten Sie eine Meldung, die darauf hin-
weist, dass ein Dienst oder Gerät nicht gestartet werden konnte. Was müssen
Sie tun, um die Ursache des Problems zu finden?
9. Sie müssen eine Organisationseinheit wiederherstellen, die versehentlich ge-
löscht worden ist. Was müssen Sie tun?
10. Was müssen Sie erwägen, wenn Sie eine Rolle überschreiben müssen, und
den Server festlegen, auf dem Sie die Rolle platzieren möchten?
Prüfungsfragen
1. Jon versucht einen Computer zum ersten Domänencontroller in einer neuen
untergeordneten Domäne heraufzustufen. Alles läuft soweit gut. Als er den
Domänennamen eingeben will, hängt sich das System jedoch auf.
Er wiederholt die Aktion zwei weitere Male, nachdem er sichergestellt hat,
dass alle Einstellungen korrekt sind und die Berechtigungen stimmen. Was
sollte Jon tun?
A. Überprüfen, ob der Infrastrukturmaster offline ist.
B. Überprüfen, ob der DNS-Server beendet ist.
C. Überprüfen, ob der Domänennamensmaster offline ist.
D. Keine der genannten Möglichkeiten.
2. Franz fügt einer Domäne Benutzer hinzu. Nachdem er die ersten 117 Benut-
zer der Domäne hinzugefügt hat, kann er plötzlich keine weiteren Benutzer
mehr aufnehmen. Warum nicht?
A. Der PDC-Emulator steht nicht zur Verfügung.
B. Die Domäne, der er Benutzer hinzufügt, hat ein Maximum von 10.000 Be-
nutzern erreicht.
C. Der DNS-Server kann die neuen Benutzer nicht registrieren.
D. Der RID-Master ist offline.
3. Diane ist am Helpdesk und nimmt einen Benutzeranruf entgegen. Der Benut-
zer kann sein Netzwerkkennwort nicht ändern. Er arbeitet an einem alten
Windows-95-PC. Diane verifiziert den Benutzernamen und setzt das Kenn-
wort für ihn zurück. Der Benutzer kann es immer noch nicht ändern. Was
sollte Diane als Nächstes überprüfen?
A. Sie sollte sicherstellen, dass der Benutzer einen DNS-Eintrag in seiner
TCP/IP-Konfiguration hat.
B. Sie sollte sicherstellen, dass er eine gültige TCP/IP-Adresse hat.

C. Sie sollte sicherstellen, dass der PDC-Emulator online ist.
D. Sie sollte sicherstellen, dass die Dateireplikation arbeitet.
4. Bubba arbeitet an einem Server, der letztens sehr langsam reagiert hat. Er
versucht das TCP-Fenster und die SRTT-Werte zu tunen. Er stellt für eine der
Anwendungen einen neuen Wert ein und dreht noch an einigen anderen Ein-
stellungen. Er glaubt, dass der Server jetzt schneller läuft, aber die Benutzer
beklagen sich immer noch. Einige behaupten sogar, es sei noch schlimmer
geworden.
Was sollte Bubba vor dem Tunen des TCP-Fensters und der SRTT-Werte
machen, um feststellen zu können, ob die Leistung besser oder schlechter
wird?
A. Er hätte mit der Stoppuhr einige Anwendungen stoppen sollen, die auf
dem Computer gelaufen sind, den er getunt hat. Diese Zeiten kann er dann
dazu benutzen, den Status der Anwendungen vor und nach der Änderung
miteinander zu vergleichen.
B. Er hätte den Netzwerkmonitor verwenden sollen, um die Leistung des Ser-
vers zu verfolgen.
C. Er hätte mit der Stoppuhr einige Anwendungen stoppen sollen, die im
Netzwerk auf einem Computer gelaufen sind, der mit dem von ihm getun-
ten Computer verbunden ist. Diese Zeiten kann er dann dazu benutzen,
den Status der Anwendungen vor und nach der Änderung miteinander zu
vergleichen
D. Er hätte mit dem Systemmonitor einen Ausgangswert ermitteln und diesen
dann mit den Werten nach der Änderung vergleichen sollen.
5. Welche der folgenden Möglichkeiten steht zur Verfügung, um einen ausge-
fallenen Domänencontroller wiederherzustellen?
A. Windows 2000 neu installieren und den Domänencontroller heraufstufen.
B. Windows 2000 neu installieren und die letzte Sicherung wiederherstellen.
C. Windows 2000 neu installieren und eine maßgebende Wiederherstellung

durchführen.
D. Alles oben Genannte.

6. Welche der folgenden Optionen sind bei der Durchführung einer Sicherung
für das Sicherungsprogramm gültig (wählen Sie alles Zutreffende aus)?
A. Nach Sicherung verifizieren
B. Softwarekompression verwenden
C. Benutzerzugriff auf Sicherung zulassen
D. Nur dem Besitzer und Administrator den Zugriff auf die Sicherung erlau-
ben
7. Amanda richtet gerade die ersten Domänencontroller in Ihrer Organisation

ein. Sie hat bis jetzt vier davon eingerichtet. Plötzlich erinnert sich Amanda
daran, dass Sie für den Kunden Änderungen am Schema vornehmen muss.
Sie fügt das Snap-In ACTIVE DIRECTORY-SCHEMA hinzu und versucht das
Schema zu ändern. Es geht aber nicht. Was ist die wahrscheinliche Ursache?
A. Sie verfügt nicht über die Berechtigung.
B. Sie kann den Schemamaster nicht finden.
C. Das Schema kann nur geändert werden, bevor andere Server hinzugefügt
worden sind.
D. Dies muss interaktiv auf dem System gemacht werden, welches der Sche-
mamaster ist.
8. Bobby hat einen Sicherungszeitplan für die Server eingestellt und konfigu-
riert die Server gerade für die Ausführung der Sicherungen. Sie sollen eine
volle Sicherung am Sonntag um 1 Uhr nachts und differenzielle Sicherungen
am Montag, Dienstag, Mittwoch, Donnerstag und Freitagnacht um 1 Uhr aus-
führen.
Am Donnerstag um 2 Uhr nachts stürzt ein Server ab, den Bobby auf die oben
beschriebene Weise konfiguriert hat. Was muss er zur Wiederherstellung des
Servers tun?
A. Er muss die vollständige Sicherung und danach die differenzielle Siche-
rung vom Mittwoch einspielen.
B. Er muss die vollständige Sicherung und danach die differenziellen Siche-

rungen von Montag, Dienstag und Mittwoch einspielen.
C. Er muss die differenzielle Sicherung von Mittwochnacht einspielen.

D. Er muss die differenziellen Sicherungen von Montag, Dienstag und Mitt-
woch einspielen.
9. Bill versucht einen Domänencontroller wiederherzustellen, den er gerade re-
pariert hat. Zur Reparatur gehörte auch der Austausch eines Laufwerks, auf
dem sich das Verzeichnis SYSVOL befunden hat. Das Laufwerk wurde getes-
tet und ist jetzt mit NTFS formatiert. Bill lässt das Sicherungsprogramm lau-
fen und versucht den Domänencontroller wiederherzustellen. Er bekommt
aber einen Fehler. Was läuft falsch?
A. Das Laufwerk benutzt einen anderen Laufwerkbuchstaben.
B. Das Laufwerk ist nicht mit NTFS formatiert.
C. Das System muss neu gestartet werden, weil das Laufwerk formatiert wor-
den ist.
D. Das System muss neu gestartet und in den richtigen Modus gebracht wer-
den.
10. Welche Funktionen können Sie mit NTDSUTIL ausführen (wählen Sie alles
Zutreffende aus)?
A. Serverrollen ändern
B. Sicherungsoptionen ändern
C. Update Number eines Objekts in Active Directory ändern
D. Berechtigungen eines Objekts in Active Directory ändern
11. Joanne arbeitet für ein Unternehmen mit einem Multidomänennetzwerk. Im
Moment erstellt sie neue Gruppen, die für ein Projekt verwendet werden sol-
len, welches auf SQL Server läuft. Sie erstellt die Gruppen und fügt anschlie-
ßend die Benutzer hinzu. Als sie vom Mittagessen zurückkommt, bemerkt
Joanne, dass sich die Benutzer nicht mehr in den Gruppen befinden. Was
kann das Problem sein?
A. Sie verfügte nicht über die Berechtigung zum Verwalten der Benutzer.
B. Der Infrastrukturmaster ist nicht online.
C. Sie hat die Benutzer zur falschen Domäne hinzugefügt.
D. Die Gruppen wurden nicht repliziert, als sie die Benutzer hinzugefügt hat.
12. Bobby hat einen Sicherungszeitplan für die Server eingestellt und konfigu-
riert die Server gerade für die Ausführung der Sicherungen. Sie sollen eine
volle Sicherung am Sonntag um 1 Uhr nachts und differenzielle Sicherungen
am Montag, Dienstag, Mittwoch, Donnerstag und Freitag nachts um 1 Uhr
ausführen.
Am Freitag um 10 Uhr vormittags stürzt ein Server, den Bobby auf die oben
beschriebene Weise konfiguriert hat, ab. Wie viele Daten sind verlorengegan-
gen?
A. Alles seit der letzten vollständigen Sicherung
B. Alles seit der inkrementellen Sicherung vom Dienstag
C. Alles seit der differenziellen Sicherung
D. Keine der Antworten trifft zu

13. Welches der folgenden Programme können Sie zum Ändern von Berechti-
gungen in Active Directory verwenden (wählen Sie alles Zutreffende aus)?
A. NTDSUTIL
B. ACLDiag
C. DSACLS
D. DSAStat
14. Frank arbeitet an einem Konnektivitätsproblem und muss die Datenpakete im
Netzwerk untersuchen. Was sollte er tun?
A. Ereignisanzeige benutzen
B. Systemmonitor benutzen
C. Netzwerkmonitor benutzen
D. NETSTAT benutzen
15. Erika versucht eine Verbindung mit einer Ressource in der Domäne HR her-
zustellen. Sie befindet sich in der Domäne VERTRIEB und braucht die Res-
source, um ihre Überstunden geltend zu machen. Als sie das Helpdesk anruft,
verifiziert Mia, dass sie ein gültiger Benutzer ist und korrekt angemeldet ist.
Mia vergewissert sich außerdem, dass Erika die Berechtigungen besitzt. Mia
versucht sich nun mit Ressource von ihrer Domäne (Administration) her zu
verbinden, kann es aber auch nicht. Was sollte sie als Nächstes tun?
A. Sie sollte sicherstellen, dass der Domänennamensmaster online ist.

B. Sie sollte sicherstellen, dass der Schemamaster online ist.
C. Sie sollte sicherstellen, dass der PDC-Emulator in der HR-Domäne online
ist.
D. Sie sollte sicherstellen, dass der Infrastrukturmaster in der Domäne
VERTRIEB online ist.
1. Der Domänennamensmaster ist für das Hinzufügen und Entfernen von Do-
mänen im gesamten Unternehmen zuständig und ist daher der Einzige seiner
Art im Unternehmen. Der Server stellt die Eindeutigkeit der Domänennamen
und deren Einpassung in den Namespace des Unternehmens sicher. Siehe
dazu den Abschnitt »Serverrollen«.
2. Zum Wiederherstellen einer inkrementellen Sicherung müssen Sie zunächst
die letzte vollständige Sicherung vor der inkrementellen Sicherung wieder-
herstellen. Außerdem müssen Sie alle inkrementellen Sicherungen, die seit-
dem ausgeführt worden sind, in der gleichen Reihenfolge wiederherstellen.
Siehe dazu den Abschnitt »Sicherungsarten«.
3. In diesem Fall sollten Sie den Systemmonitor einsetzen. Sie können damit die
Dienste, die auf dem Server laufen, messen und feststellen, wie viel Last je-
der Dienst vom Server fordert. Mit dieser Information sind Sie dann in der
Lage, die Anzahl Benutzer einzuschätzen, die der Server bearbeiten kann.
Siehe dazu den Abschnitt »Domänencontroller überwachen«.
4. Die SID eines Objekts besteht aus der Domänen-SID, gefolgt von einer relati-
ven ID, die dem Domänencontroller vom RID-Master geliefert wird. Siehe
dazu den Abschnitt »Serverrollen«.
5. Falls Sie eine Rolle überschreiben müssen, verwenden Sie NTDSUTIL. Mit
diesem Programm können Sie die Rolle auch dann übernehmen, wenn der ur-
sprüngliche Server nicht verfügbar ist. In den meisten Fällen sollten Sie si-
cherstellen, dass der vorherige Server nicht mehr in Betrieb genommen wird,
da dann zwei gleiche Betriebsmaster im Netzwerk liegen. Siehe dazu den Ab-
schnitt »Wiederherstellen nach Ausfall des Masters«.
6. In diesem Fall setzen Sie den Netzwerkmonitor ein, mit dem Sie die tatsäch-
lich gesendeten Abfragen und die ggf. von anderen Servern gesendeten Ant-
worten überprüfen können. Siehe dazu den Abschnitt »Domänencontroller
überwachen«.
7. Nach dem Überschreiben der Schemamasterrolle müssen Sie sicherstellen,

das der vorherige Server nicht mehr ins Netzwerk zurückkehrt, weil Sie dann
zwei Schemamaster im Netz hätten. Siehe dazu den Abschnitt »Wiederher-
stellen nach Ausfall des Masters«.
8. Wenn Sie diese Meldung erhalten, sollten Sie zuallererst in der Ereignisan-
zeige nachschauen. Das Ereignisprotokoll wird Einzelheiten zu dem Fehler
enthalten, der während des Startvorgangs aufgetreten ist. Denken Sie daran,
erst den Zeitpunkt des Fehlers und dann auf der Zeitachse vorwärts den ei-
gentlichen Eintrag zu suchen. Siehe dazu den Abschnitt »Domänencontroller
überwachen«.
9. Falls Sie ein gelöschtes Active Directory-Objekt wiederherstellen müssen,
müssen Sie eine maßgebende Wiederherstellung durchführen. Die Ände-
rungsnummer des Objekts wird hierdurch auf einen Wert heraufgesetzt, der
eine Replikation des Objekts zurück zu den anderen Servern erzwingt. Siehe
dazu den Abschnitt »Maßgebende Wiederherstellung ausführen«.
10. Der beste Server ist einer, der sich auf demselben Subnetz wie der vorherige
befindet. Auf diese Weise können Sie sicher sein, dass der Server die aktu-
ellste Information enthält. Anderenfalls sollten Sie die Standorte und Dienste
überprüfen und die Replikationspartner des Servers ermitteln. Von diesen
wählen Sie dann einen aus. Siehe dazu den Abschnitt »Wiederherstellen nach
Ausfall des Masters«.
1. C. Wenn Sie einer vorhandenen Domänenstruktur eine neue Domäne hinzu-
fügen, müssen Sie in der Lage sein, Ihren Namen gegenüber dem Domänen-
namensmaster zu validieren. Die Antwort A ist nicht zutreffend, weil der
neue Server zum Infrastrukturmaster seiner Domäne wird, da dies ein Server
auf Domänenebene ist. Die Antwort B ist falsch, weil DNS vorausgesetzt ist;
außerdem würde der Server einen entsprechenden Fehler gemeldet haben. Da
die Antwort C zutrifft, ist damit die Antwort D falsch. Siehe dazu den Ab-
schnitt »Serverrollen«.
2. D. Der PDC-Emulator empfängt die Replikation als Erster. Falls er nicht ver-
fügbar sein sollte, können Sie trotzdem noch Benutzer hinzufügen, was die
Antwort A falsch macht. Eine praktische Grenze hinsichtlich der Anzahl von
Objekten in einer Domäne gibt es nicht, sodass die Antwort B falsch ist. Die
Antwort C ist falsch, weil sich die Benutzer nicht beim DNS-Server registrie-
ren, was bedeutet, dass nur Antwort D übrig bleibt. Wenn es keine relativen
IDs gibt, kann der Server keine weiteren Objekte hinzufügen. Es gibt keine
Möglichkeit, eine SID zu erstellen. Siehe dazu den Abschnitt »Serverrollen«.
3. C. In diesem Fall konnte sich der Benutzer anmelden. Die Antworten A und
B sind, obschon möglich, nicht wahrscheinlich. Weil dies eine Prüfung zu
Active Directory ist, können Sie davon ausgehen, dass es sich nicht um ein
Netzwerkproblem handelt, da die Sache gestern noch funktionierte. Da eine
Dateireplikation für die Anmeldung nicht erforderlich ist, scheidet die Ant-
wort D aus. Die Antwort D hätte richtig sein können, falls verbindliche Profi-
le erwähnt worden wären. Damit bleibt nur die Antwort C übrig, die auch
sinnvoll ist, weil es sich um Windows 95 handelt, das standardmäßig kein
Active Directory-Client ist. Der Client-Computer braucht zum Ändern von
Kennwörtern einen PDC. Siehe dazu den Abschnitt »Serverrollen«.
4. D. Bubba hat mit einer Reihe von Dingen zu tun, die im Buch noch nicht er-
örtert wurden und auch nicht erörtert werden. Sie sollten sich an dieser Stelle
nur darüber im Klaren sein, dass Bubba offenbar nicht genug zu tun hat und
aufhören sollte, an der Registrierung zu spielen! Sie sollten außerdem wissen,
dass Microsoft manchmal in eine Frage viele irrelevante Informationen unter-
bringt, von denen Sie sich nicht irritieren lassen dürfen. Die Antworten A und
C haben mit einer Stoppuhr zu tun und messen daher nur einen Aspekt der
Leistung, der einen Hinweis liefern könnte, aber weder genau noch aussage-
kräftig ist. Die Antwort B ist richtig, wenn Sie es mit der Frage zu tun haben,
was eigentlich in das Netzwerk gesendet wird. Jedoch sollten quantitative
Messungen im Netzwerk besser zusammen mit der Leistung des Speichers,
Datenträgerzugriffs und der CPU-Nutzung vorgenommen werden, was den
Einsatz des Leistungsprogramms empfiehlt. Siehe dazu den Abschnitt »Do-
mänencontroller überwachen«.
5. A, B. Die Antworten A und B betreffen einen Domänencontroller. Die Ant-
wort C beschreibt, wie Sie ein in Active Directory gelöschtes Objekt wieder-
herstellen können. Die Antwort D trifft nicht zu, weil die Antwort C falsch
ist. Wenn Sie auf derartige Fragen stoßen, müssen Sie verstehen, was sich der
Fragesteller dabei gedacht hat. Lesen Sie die Frage daher immer sorgfältig.
Siehe dazu den Abschnitt »Server sichern und wiederherstellen«.
6. A, D. Die Antwort B ist falsch, wenn Sie sie mit der Hardwarekompression
verwechseln. Die Antwort C ist falsch, weil Benutzern keine Sicherungs-
oder Wiederherstellungsaktionen erlaubt sind. Die Antworten A und D sind
beide richtig. Siehe dazu den Abschnitt »Server sichern und wiederherstel-
len«.
7. B. In diesem Fall können Sie voraussetzen, dass die Person, die alle vier Do-
mänencontroller installiert hat, auch das Administratorkennwort besitzt. Das
Schema kann jederzeit modifiziert werden, sodass die Antwort C falsch ist.
Die Antwort D sieht wegen der Bedeutung des Schemas zunächst richtig aus,
scheidet aber aus, weil dann keine Remoteverwaltung möglich wäre – nahezu
alles von Microsoft kann remote verwaltet werden. Damit bleibt nur die Ant-
wort B, die auch sinnvoll ist. Siehe dazu den Abschnitt »Serverrollen«.
8. A. Wenn Sie Daten wiederherstellen, beginnen Sie immer mit der vollständi-
gen Sicherung, und fahren dann mit der Wiederherstellung aller inkrementel-
len Sicherungen fort (beim differenziellen Verfahren benötigen Sie nur eine
einzige Sicherung). Die Antworten C und D haben nichts mit einer vollstän-
digen Sicherung zu tun. Die Antwort B stellt Sicherungen wieder her, die gar
nicht wiederhergestellt werden müssen. Siehe dazu den Abschnitt »Server si-
chern und wiederherstellen«.
9. D. Wenn Sie einen Domänencontroller wiederherzustellen versuchen, müs-
sen Sie sich im Modus Verzeichnisdienstwiederherstellung befinden, damit
Sie auf das Verzeichnis SYSVOL zugreifen können. Der Laufwerkbezeichner
kann derselbe sein, muss aber nicht, weshalb die Antwort A falsch ist. Die
Frage stellt schon fest, dass das Laufwerk ein NTFS-Laufwerk ist; daher ist
die Antwort B falsch (so was kann Ihnen in der Prüfung auch passieren!).
Wenn Sie bei einer Prüfungsfrage einmal nicht genug Informationen haben,
was auch vorkommen kann, müssen Sie die Antwort einzuschätzen versu-
chen. Falls es eine offensichtliche Antwort geben sollte, sollten Sie diese
wählen und sich nicht von Inkonsistenzen irritieren lassen. Die Antwort C
war lange Jahre hindurch falsch – heute aber können Sie ein Laufwerk partiti-
onieren und formatieren, ohne den Computer neu zu starten. Siehe dazu den
Abschnitt »Server sichern und wiederherstellen«.
10. A, C. Diese Frage ist einfach – manchmal bekommen Sie eine solche gestellt.
NTDSUTIL kann die USN eines Objekts ändern, was über die maßgebende
Wiederherstellung erledigt wird. NTDSUTIL kann außerdem Betriebsmas-
terrollen ändern und überschreiben. Das Sicherungsprogramm arbeitet mit Si-
cherungen, weshalb die Antwort B falsch ist. Das Programm zum Ändern
von Berechtigungen heißt DSACLS (Directory Service Access Control Lists
Setting), wodurch Antwort D falsch wird. Siehe dazu den Abschnitt
»NTDSUTIL«.
11. B. Wenn sie keine Berechtigungen gehabt hätte, hätte sie sie nicht erstellen
können. Die Antwort A ist daher falsch. Die Benutzer wären immer noch in
der Gruppe, wenn sie die Benutzer über eine Vertrauensstellung hinzugefügt
hätte. Die Antwort C ist daher falsch. Das Erstellen von Objekten verursacht
unverzüglich eine Replikation. Wenn sie die Gruppe gesehen hat, der sie die
Benutzer hinzugefügt hat, war sie offensichtlich auch vorhanden; die Antwort
D ist daher falsch. Damit bleibt der Infrastrukturmaster, der für die Zuord-
nung der Benutzer zu Gruppen verantwortlich ist. Siehe dazu den Abschnitt
»Serverrollen«.
12. C. In diesem Fall gibt es keine inkrementelle Sicherung, sodass die Antwort
B ausscheidet. Die differenziellen Sicherungen sind verfügbar, sodass mit der
Antwort C die letzte Sicherung bezeichnet wird und daher der Punkt ist, ab
dem die Daten verloren sind. Wenn Sie alles bis zur letzten vollständigen Si-
cherung verloren haben, werden differenzielle Sicherungen sinnlos, daher ist

Antwort A falsch. Da die Antwort C schon zutrifft, ist die Antwort D automa-
tisch unzutreffend. Siehe den Abschnitt »Server sichern und wiederherstel-
len«.
13. B, C. NTDSUTIL wird zum Verwalten von Servern, nicht von Berechtigun-
gen verwendet. Die Antwort A scheidet daher aus. ACLDiag wird zum An-
zeigen und Zurücksetzen der Berechtigungen verwendet. Das Zurücksetzen
ändert die Berechtigungen, sodass Antwort B richtig ist. DSCALS ist speziell
für diesen Zweck gedacht, sodass die Antwort C korrekt ist. DSAStat wird
zum Auffinden und Vergleichen von Unterschieden zwischen den Verzeich-
nisdatenbanken zweier Server verwendet. Es nimmt keinerlei Änderungen
vor, sodass die Antwort D ausscheidet. Siehe dazu den Abschnitt »NTDSU-
TIL«.
14. C. Das einzige Werkzeug, welches Datenpakete im Netzwerk sammelt und
anzeigt, ist der Netzwerkmonitor. Die Ereignisanzeige (Antwort A) zeichnet
nicht ein- und ausgehende Datenpakete, sondern Ereignisse im System auf,
und ist daher falsch. Der Systemmonitor kann Ihnen viele Informationen über
den Server liefern, zeigt aber nicht den Inhalt der Datenpakete an. Die Ant-
wort B ist falsch. NETSTAT kann zum Anzeigen Ihrer Netzwerksitzungen
verwendet werden, sammelt aber nichts und zeigt keine Daten an, weshalb
die Antwort D falsch ist. Siehe dazu den Abschnitt »Domänencontroller über-
wachen«.
15. C. Diese Frage ist knifflig. Als Erstes denkt man, dass es ein Problem mit
dem Server ist, weil sich keiner mit ihm verbinden kann. Jedoch kommt dies
nicht in Frage – daher müssen Sie die einzelnen Antworten eliminieren. Die
erste falsche Antwort betrifft den Schemamaster, der mit den alltäglichen Ar-
beitsabläufen nichts zu tun hat. Als Nächstes können Sie den Infrastruktur-
master ausscheiden lassen – die Benutzer konnten sich anmelden, sodass kein
Problem mit den Gruppen vorliegt. Damit bleiben der Domänennamensmas-
ter und der PDC-Emulator übrig. Das Problem könnte die Vertrauensstellun-
gen betreffen, was den Domänennamensmaster ins Spiel bringt, der aber
keine Beziehungen verwaltet. Die Beziehungen werden von den PDC-Emula-
toren verwaltet, was bedeutet, dass die Antwort C korrekt ist. Siehe dazu den
Abschnitt »Serverrollen«.

Microsoft Windows 2000 Server Resource Kit, Microsoft Windows 2000
Server Operations Guide, Microsoft Press, 2000.
Microsoft Windows 2000 Server Resource Kit, Microsoft Windows 2000
Server Deployment Planning Guide, Microsoft Press, 2000.
Benutzerverwaltung mit
Gruppenrichtlinien
Lernziele
6
In diesem Kapitel werden Sie erfahren, wie Sie die Gruppenrichtlinie zu dem
Zweck einsetzen, Benutzer und Gruppen auf der Ebene eines Standorts, einer
Domäne und einer Organisationseinheit (OU) zu verwalten. Zunächst wird erklärt,
was Gruppenrichtlinien sind, wie sie funktionieren und was unter ihrem Bereich zu
verstehen ist; weiterhin, wo sie erstellt werden können, und wie ihre Anwendung
durchgesetzt wird. Anschließend folgt eine Erörterung darüber, wie Gruppenrichtli-
nienobjekte auf den verschiedenen Ebenen in Active Directory erstellt werden. Das
Durchsetzen der Gruppenrichtlinie und die Sicherheitseinstellungen der Richtlinien
sind die nächsten Themen. Organisationen und Untenehmen sind keine statischen
Gebilde, sondern im steten Wandel begriffen; Änderungen der geschäftlichen Ver-
fahrensweisen kommen häufig vor. Der Schwerpunkt des anschließenden Themas
wird sich daher mit der Verwaltung von Gruppenrichtlinien beschäftigen, worin das
Delegieren der administrativen Kontrolle und die Modifizierung der Gruppenrichtli-
nie, nachdem sie erstellt worden ist, eingeschlossen sind. Das Kapitel wird dann die
einzelnen Dinge erörtern, die durch Gruppenrichtlinien kontrolliert werden, wozu
Computer- und Benutzereinstellungen und deren Rangfolge gehören. Zum Schluss
folgen wieder eine Fallstudie und ein Abschnitt, in dem Sie das Erlernte testen und
praktisch anwenden können.
Im Kapitel sind einige der Themen und Unterthemen der Lerneinheit »Installieren,
Konfigurieren, Verwalten, Überwachen, Optimieren und Fehlerbehebung im Ände-
rungs- und Konfigurationsmanagement« enthalten. Die übrigen Themen werden in
den entsprechenden anderen Kapiteln behandelt.
Implementieren und Fehlerbehebung von Gruppenrichtlinien

씰 Gruppenrichtlinienvererbung modifizieren
씰 Vorhandenes GPO verknüpfen
354 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
씰 Gruppenrichtlinieneinstellungen durch die Verknüpfung von Sicherheits-

gruppen und GPOs filtern
씰 Administrative Kontrolle über Gruppenrichtlinien delegieren
씰 Gruppenrichtlinien modifizieren
Die Gruppenrichtlinie ist eine der Schlüsselfunktionen von Windows 2000, die
Ihnen die Möglichkeit zur wirksamen Kontrolle von Benutzer- und Computerumge-
bungen gibt. Der Zweck dieses Lernziels liegt darin, Sie mit den Vorgängen des
Hinzufügens von Gruppenrichtlinien zu einem Active Directory-Container, der Ver-
knüpfung existierender Gruppenrichtlinien mit einem Active Directory-Container
und dem Löschen von Gruppenrichtlinienobjekten (GPOs) vertraut zu machen. Dar-
über hinaus werden Sie in Fragen der Vererbung von Gruppenrichtlinien zwischen
verschiedenen Active Directory-Containern wie Standorten, Domänen und Organi-
sationseinheiten geprüft. Auch die Konfigurierung der Sicherheit von Gruppenricht-
linienobjekten einschließlich der Delegierung der Verwaltung einer Gruppenrichtli-
nie an andere Benutzer gehört zur Prüfung.
Verwaltung und Fehlerbehebung von Benutzerumgebungen mit

Gruppenrichtlinien
씰 Benutzerumgebungen mit administrativen Vorlagen kontrollieren
씰 Skriptrichtlinien auf Benutzer und Computer anwenden
Durch administrative Vorlagen werden Registrierungseinstellungen für den Benut-
zer und/oder den Computer modifiziert, an dem der Benutzer sich anmeldet. Sie
werden in der Frage geprüft werden, mit welchen Optionen Sie festlegen können,
was dem Benutzer zu tun erlaubt ist, und wann in den administrativen Vorlagen
Computer- oder Benutzereinstellungen verwendet werden.
In manchen Fällen kann es erforderlich werden, Skripte zu dem Zweck einzusetzen,

das Maß der Kontrolle über eine Benutzerumgebung über die Möglichkeiten admi-
nistrativer Vorlagen hinaus auszudehnen. Sie werden zu der Frage getestet werden,
wie Skripte erstellt und verarbeitet werden, und welche Skripttypen möglich sind.
씰 Netzwerkkonfiguration über Gruppenrichtlinien verwalten

Der Zweck dieses Lernziels besteht darin, sicherzustellen, dass Sie mit den Netz-
werkelementen, die von Gruppenrichtlinien kontrolliert werden, vertraut sind.
Hierzu gehören die Umleitung bestimmter Ordner und die Einstellungen für den
Ablauf von RAS- und Netzwerkverbindungen sowie der Fähigkeit der Benutzer,
Änderungen an den Netzwerkeinstellungen vorzunehmen.
6.1 Einführung 355
Hinsichtlich der Vorbereitung auf die Gruppenrichtlinien in der Prüfung »Imple-

menting and Administering a Microsoft Windows 2000 Directory Services Infra-
structure (70-217)« besteht der beste Weg, mit dem Thema vertraut zu werden,
darin, die Sache praktisch in die Hand zu nehmen. Mit anderen Worten: Um zu ver-
stehen, wie Gruppenrichtlinien funktionieren und welche Dinge mit ihnen kontrol-
liert werden können, sollten Sie unbedingt den Schritt-für-Schritt-Anleitungen und
Übungen in diesem Kapitel sorgfältig folgen. Darüber hinaus ist auch ein gründli-
ches Verständnis der Gruppenrichtlinienvererbung, des Filterns und der Optionen,
die mit diesen beiden Gebieten zu tun haben, erforderlich. In der Prüfung werden
Sie nicht nur dahingehend getestet werden, wie die Gruppenrichtlinie konfiguriert
wird, sondern auch, wie sie arbeitet. Dabei werden Ihnen die Prüfungs- und Wieder-
holungsfragen am Ende dieses Kapitels eine gute Unterstützung sein.
Das Thema Gruppenrichtlinien in der Windows-2000-Welt ist recht umfangreich

und in diesem Buch daher in drei Kapitel aufgeteilt worden. Empfehlenswert ist
auch ein gutes Verständnis dessen, was Sie mit Gruppenrichtlinien in sämtlichen
Anwendungsbereichen (administrative Vorlagen, Sicherheitseinstellungen, Soft-
warebereitstellung und Desktop-Konfiguration) erreichen können. Arbeiten Sie
daher dieses und die folgenden zwei Kapitel sorgfältig durch.
6.1 Einführung
Eines der leistungsfähigsten Werkzeuge innerhalb von Windows 2000 Active
Directory ist der Einsatz der Gruppenrichtlinie, die eine zentrale Kontrolle der
Benutzer, Gruppen und Computer in einem großen Unternehmen bietet. Über die
Gruppenrichtlinie kann der Administrator eines sehr großen Netzwerks die Aktivi-
täten auf dem Desktop eines Benutzers auch dann kontrollieren, wenn der Benutzer
selbst viele Kilometer entfernt ist. Die Gruppenrichtlinie befähigt den Administra-
tor, Teile oder sogar alle administrativen Aufgaben an lokale administrative Res-
sourcen zu delegieren. Die Gruppenrichtlinie stellt vielleicht die bei weitem leis-
tungsfähigste einzelne Komponente von Windows 2000 dar, die gleichwohl bei
falscher Handhabung und Implementierung den meisten Kummer verursachen
kann.
6.1.1 Gruppenrichtlinien – eine Einführung

Eine große Herausforderung jedes Administrators in einem Windows-2000-Netz-
werk besteht darin, die Einstellungen für die Benutzer-Desktops und andere Kom-
ponenten an die im Unternehmen gebräuchlichen Standards anzupassen. Insbeson-
dere gilt dies für große Organisationen mit vielen Benutzern oder sogar mehreren
Niederlassungen in verschiedenen und voneinander getrennten Standorten. Active

Directory stellt ein Verfahren zur Verfügung, mit dem derartige Einstellungen zen-
tral kontrolliert werden können. Active Directory bietet außerdem ein Verfahren an,
mit dem sichergestellt wird, dass sich diese Einstellungen auf alle Benutzer erstre-
cken, die diese benötigen, und zwar unabhängig von ihrem Standort. Das Verfahren,
mit dem dies realisiert wird, ist die Gruppenrichtlinie.
Mit der Gruppenrichtlinie kann ein Administrator den Status der Arbeitsumgebung
eines Benutzers definieren und festlegen. Windows 2000 Active Directory sorgt
dann dafür, dass die damit verbundenen Einstellungen durchgesetzt werden, und
zwar unabhängig davon, welchen PC der Benutzer verwendet oder um welchen
Benutzer es sich handelt. Die Gruppenrichtlinie erlaubt dem Administrator die fol-
genden Funktionen:
씰 Durchsetzen einer zentralen Kontrolle der Benutzer- und Computereinstel-

lungen auf der Ebene von Standort und Domäne oder optional die Möglich-
keit, lokalen Administratoren die Einbettung lokaler Einstellungen auf der
Ebene der Organisationseinheit in die Hand zu geben. Dies ist insbesondere
in großen Unternehmen mit vielen geografischen Standorten nützlich, da der
Administrator auf diese Weise unternehmensweit geltende Einstellungen
durchsetzen kann, während auf der lokalen Ebene immer noch kontrollierte
Anpassungen möglich sind. Auf diese Weise steht beispielsweise allen Be-
nutzern die unternehmensweite Intranet-Verknüpfung auf ihrem Desktop zur
Verfügung, ohne dass sie dadurch an der Arbeit mit lokal angepassten An-
wendungen wie etwa Office 2000 (z.B. die französische Version in Frank-
reich und die englischsprachige Version in Großbritannien) gehindert wer-
den.
씰 Eine Desktop-Umgebung zur Verfügung stellen, in der die Benutzer ihrer

täglichen Arbeit nachkommen können, ohne jedoch gleichzeitig unterneh-
menswichtige Anwendungen ändern oder entfernen zu können. Hierdurch
werden gleichzeitig die Anforderungen an den technischen Support verrin-
gert, da Probleme wegen funktionsunfähiger und falsch bedienter Computer
vermieden werden.
씰 Festlegen des Erscheinungsbildes des Desktops und der Computerfunktionen

durch Kontrolle der Software, die installiert ist bzw. installiert werden darf.
Die Gruppenrichtlinie erlaubt die Kontrolle über die Registrierungseinstel-
lungen für Benutzer und Computer, den Start von Skripten zum Ändern der
Computer- und Benutzerumgebung, Sicherheitseinstellungen für Computer
und Domänen sowie die automatische Installation (oder sogar Entfernung)
von Software. Mit der Gruppenrichtlinie ist auch die Kontrolle bestimmter
6.1 Einführung 357
kritischer Datenverzeichnisse wie etwa dem Basisverzeichnis des Benutzers

und dem Arbeitsverzeichnis für das Desktop möglich.
씰 Sicherstellen, dass die unternehmensweiten Richtlinien einschließlich von

Geschäftsregeln und Sicherheitsanforderungen durchgesetzt werden. So kann
beispielsweise gewährleistet werden, dass ein Benutzerkennwort immer eine
minimale Länge haben muss, die Benutzer ihr Kennwort alle 90 Tage zu än-
dern haben, und sich auf dem Desktop aller Benutzer immer eine Verknüp-
fung zum Unternehmens-Intranet befindet.
HINWEIS
Gruppenrichtlinie unter Windows NT 3.51 oder 4.0
Die Gruppenrichtlinie kann die Durchsetzung der Einstellungen für Clients mit
Windows NT 3.51 oder 4.0 nicht erzwingen, da diese Betriebssysteme Active Di-
rectory nicht unterstützen. Für Clients mit Windows NT 3.51 oder niedriger müs-
sen Sie nach wie vor auf die in NT verfügbaren Systemrichtlinien zurückgreifen,
mit denen Benutzer- und Computereinstellungen innerhalb der NT-Domänen-
struktur durchgesetzt werden. Dasselbe gilt für Clients mit Windows 95 und 98.
Grundsätzlich gilt, dass kein Client Gruppenrichtlinien verwenden kann, der nicht
unter Windows 2000 läuft. Sie müssen an dieser Stelle Systemrichtlinien einset-
zen.
Die Gruppenrichtlinie ist eine Technik, die auf der Ebene des Standorts, der
Domäne und Organisationseinheit innerhalb von Active Directory angewendet wer-
den kann. Weil die Gruppenrichtlinie ein Active Directory-Objekt ist, kann man sie
dazu benutzen, die zuvor erwähnten Einstellungen auf jedem Windows-2000-Client
durchzusetzen. Dies sind Clients mit Windows 2000 Professional, Windows 2000
Server, Windows 2000 Advanced Server und Windows 2000 Data Center Server.
6.1.2 Gruppenrichtlinienkomponenten
Die Gruppenrichtlinie stellt ein Objekt innerhalb von Active Directory dar und wird
als Gruppenrichtlinienobjekt (GPO = Group Policy Object) bezeichnet. Die GPO
stellt viele Einstellungen zur Verfügung, mit denen Sie zahlreiche Aspekte der IT-
Umgebung kontrollieren können. Als Objekt in Active Directory kann es mit ver-
schiedenen Active Directory-Containern verknüpft werden (Standorte, Domänen
und OUs). Weil sich GPOs mit verschiedenen Containern verknüpfen lassen, eignen
sie sich auch zur Durchsetzung organisationsweit (Standorte und Domänen) oder
abteilungsweit (OU) geltender Regeln.
HINWEIS
Vorkonfigurierte GPOs
Wenn Sie Active Directory installieren und den ersten Domänencontroller in der
ersten Domäne der ersten Gesamtstruktur installieren, erstellt Windows 2000 Ac-
tive Directory automatisch zwei Gruppenrichtlinienobjekte: Default Domain Policy
und Default Domain Controllers Policy (standardmäßige Domänen- und Domä-
nencontrollerrichtlinie). Diese Standardrichtlinien werden an alle Domänencont-
roller verteilt, die in allen anderen Domänen in der Gesamtstruktur erstellt werden.
Voreinstellungen für die Werte in den GPOs der Benutzer und Computer in der
Domäne nehmen Sie in der Default Domain Policy vor. Wenn alle Domänencon-
troller in allen Domänen mit denselben Einstellungen starten sollen, modifizieren
Sie zu diesem Zweck die Default Domain Controllers Policy auf diesem ersten
Domänencontroller. Wie Sie später noch erfahren werden, können Domänenad-
ministratoren innerhalb der untergeordneten Domänen diese Einstellungen wie-
der ändern.
Gruppenrichtlinienobjekte bestehen aus zwei Komponenten: Gruppenrichtlinien-

Container (GPC) und Gruppenrichtlinienvorlage (GPT).
Abbildung 6.1
Der Gruppenrichtli-
nien-Container in
ACTIVE DIRECTORY-
BENUTZER UND
-COMPUTER
Der GPC (siehe Abbildung 6.1) ist ein Active Directory-Objekt, welches die GPO-
Attribute und Versionsinformationen enthält. Jedes GPO wird durch eine globale ID
(Globally Unique Identifier, GUID) dargestellt. Die GUID ist eine 128-Bit-Zahl, die
das GPO innerhalb der Gesamtstruktur, der Domänenstruktur und der Domäne ein-
deutig identifiziert. Die GUID kann vom Benutzer weder geändert noch entfernt
werden, und wird automatisch von Active Directory verwaltet. Auch die mit dem
GPO verknüpften Versionsinformationen werden innerhalb von Active Directory
überwacht. Sie werden mit dem GPC verknüpft und von den Domänencontrollern
6.1 Einführung 359
gemeinsam genutzt. Jeder Domänencontroller überprüft mit den in Active Directory

und dem GPC enthaltenen Informationen, ob er die aktuelle Version eines GPO
besitzt. Hat er diese aktuelle Version nicht, findet ein Replikationsvorgang statt, der
diese Version von einem anderen Domänencontroller überträgt. Die folgenden
Schritte demonstrieren, wie dies geschieht.

6.1 GUIDs der Gruppenrichtlinie anzeigen
1. Klicken Sie zum Anzeigen des Gruppenrichtlinien-Containers in Active Di-
rectory im Menü ANSICHT auf ERWEITERTE FUNKTIONEN.
2. Blenden Sie zur Anzeige der GUIDs aller bekannten GPOs innerhalb der Do-
mäne die Domäne, den System-Container und den Policies(Richtlinien)-Con-
tainer ein.
Die Gruppenrichtlinienvorlage (GPT) stellt einen Satz von Ordnern und Unterord-
nern in der SYSVOL-Freigabe auf Windows-2000-Domänencontrollern dar. Jede
erzeugte GPO ergibt eine neue Ordnerhierarchie, in der die vom GPO benötigten
physischen Dateien und Einstellungen enthalten sind. Hierzu gehören die administ-
rativen Vorlagen, die Sicherheitseinstellungen, Skripte, Softwareinstallationsvorga-
ben und die Ordnerumleitungsdirektiven. Clients mit Windows 2000 verbinden sich
mit dem freigegebenen SYSVOL-Ordner, um diese Einstellungen zu bekommen
und den Inhalt anzuwenden.
Jeder GPT-Ordner heißt so wie die GUID des GPOs, die gleichzeitig zur Identifizie-
rung im GPC verwendet wird. Die von Active Directory und der dazugehörigen
GPT-Struktur wie auch dem GPC verwendete eindeutige ID (die GIUD) ändert sich
auch dann nicht, wenn Sie ein GPO nach dem Erstellen umbenennen. Die Abbil-
dung 6.2 zeigt die Struktur einer Beispiel-GPT in der SYSVOL-Freigabe eines
Domänencontrollers.
Wie Sie also gesehen haben, kann die Gruppenrichtlinie dazu verwendet werden,
sowohl für Computer als auch Benutzer eine Reihe von Einstellungen durchzuset-
zen. Wie zuvor erwähnt, bestehen Gruppenrichtlinienobjekte aus zwei Komponen-
ten: GPC und GPT. Die Gruppenrichtlinie kann nur zum Durchsetzen von Compu-
ter- und benutzerbezogenen Einstellungen auf Windows-2000-Computern benutzt
werden – Einstellungen anderer Computer (Windows NT, Windows 9x) bedürfen
immer noch der Systemrichtlinie.
Abbildung 6.2
Die Ordnerhierar-
chie der Gruppen-
richtlinienvorlage in
der SYSVOL-Freiga-
be auf einem Win-
dows-2000-Domä-
nencontroller
6.2 Gruppenrichtlinienbereich
Die Gruppenrichtlinie verfügt über einen bestimmten Satz von Regeln, dem sie
folgt, wenn sie auf Benutzer und Computer angewendet wird. Einer dieser Regel-
sätze hat damit zu tun, was mit jedem Active Directory-Container passiert, in dem
eine Gruppenrichtlinie existiert (Vererbung), während andere Regeln die Frage
betreffen, wie die Einstellungen mehrerer GPOs kombiniert werden, um eine maxi-
male Wirkung in der Anwendung zu erzielen. Schließlich gibt es noch einen dritten
Regelsatz, der sich damit befasst, wie GPOs innerhalb desselben Active Directory-
Containers verarbeitet werden. Alle diese verschiedenen Bereiche werden im Fol-
genden besprochen.
Jedes GPO kann innerhalb von Active Directory mit einem oder mehreren Contai-
nern verknüpft werden, weil GPOs aus einem separaten Gruppenrichtlinien-Contai-
ner bestehen. Anders ausgedrückt: Sie können ein einzelnes Gruppenrichtlinienob-
jekt mit einer vordefinierten Sammlung von Einstellungen erzeugen, die immer
angewendet werden sollen (beispielsweise ein Hintergrundbild auf dem Desktop
mit dem Firmenlogo). Dieses GPO könnte dann selektiv mit den Organisationsein-
heiten Marketing und Vertrieb innerhalb der Unternehmensdomäne verknüpft wer-
den, während andere Organisationseinheiten wie beispielsweise FuE oder Support
solche verknüpften GPOs unter Umständen gar nicht haben. Auf diese Weise
gewährleisten die GPOs die Geltung bestimmter Einstellungen nur für bestimmte
Benutzer und Computer, während andere diese nie zu Gesicht bekommen. Der Vor-
teil dieser Verfahrensweise besteht darin, dass es nicht notwendig wird, mehrere
separate GPOs zu erstellen, um für verschiedene Teile Ihres Unternehmens diesel-
6.2 Gruppenrichtlinienbereich 361
ben Einstellungen durchzusetzen. Eine GPO kann für mehr als einen organisatori-
schen Teil in Active Directory verwendet werden.
Die Administratoren haben außerdem die Möglichkeit, mehr als eine GPO mit dem-
selben Active Directory-Container zu verknüpfen. Anstatt beispielsweise sowohl
die Einstellungen für den Benutzerdesktop und die Softwareinstallation in einer
GPO unterzubringen, kann der Administrator festlegen, für jede Einstellung ein
getrenntes GPO zu erzeugen. Auf diese Weise würden Änderungen am Desktop, die
über die GPO durchgeführt werden, nicht dazu führen, dass das GPO für die Soft-
wareinstallation unnötig repliziert wird. Die Administration wird dadurch erleich-
tert und beeinträchtigt die Systemleistung weniger. Die GPOs werden bei der
Anmeldung eines Benutzers oder beim Start eines Computers nur dann angewendet,
wenn sie für diesen Container konfiguriert worden sind.
6.2.1 Gruppenrichtlinienvererbung
Abbildung 6.3
Gruppenrichtlinien-
vererbung wäh-
rend der Verarbei-
SITE
tung
Domäne
Organisationseinheit
Bei der Verarbeitung der Gruppenrichtlinien wird eine eindeutige Vererbungshier-

archie eingehalten (siehe Abbildung 6.3). Dies bedeutet, dass beim Vorliegen ähnli-
cher Einstellungen auf verschiedenen Ebenen die Reihenfolge der angewendeten
GPOs darüber entscheidet, welche Einstellung schließlich auf den Computer oder
den Benutzer angewendet wird. Ein Administrator kann auf diese Weise auf der
Ebene der Organisationseinheit eine Einstellung überschreiben, die auf der Ebene
der Domäne oder des Standorts definiert worden ist. Wie Sie später im Kapitel noch
sehen werden, kann dies von einem Administrator einer höheren Ebene (Domäne
oder Organisation) wiederum überschrieben werden.
Die zuerst verarbeiteten GPOs sind diejenigen für das Active Directory an dem
Standort, an dem sich der Benutzercomputer befindet. Die Computer- und Benutzer-
einstellungen werden verarbeitet und auf die Registrierung angewendet. Da der
Standort einen physischen Ort repräsentiert und ein einzelner Standort mehr als eine
Domäne haben kann, ist es wichtig, mit der Gruppenrichtlinie zu beginnen, die
eventuelle nationale Besonderheiten oder andere regionale Anforderungen berück-
sichtigt. Diese Gruppenrichtlinie gilt für den Standort, an dem sich der Computer
und der Benutzer befinden.
Die nächsten verarbeiteten GPOs sind diejenigen für eine Domäne. Benutzer, Grup-
pen und Computer sind immer mit einer Domäne verknüpft. Domänenweite Richtli-
nien betreffen daher auch sämtliche Benutzer und werden hauptsächlich zu dem
Zweck verwendet, domänenweite Restriktionen oder allgemeine Geschäftsregeln
und Einstellungen durchzusetzen. In Unternehmen, die zur Differenzierung von ver-
schiedenen Geschäftsfeldern eine Domänenstruktur benutzen, stellt diese Verfah-
rensweise sicher, dass jedes Geschäftsfeld seine eigenen Regeln anwendet, ohne die
anderen Teile des Unternehmens zu beeinflussen. Wie bei der Anwendung von
GPOs auf Standorte werden auch die Computer- und Benutzereinstellungen, die
über die Richtlinie definiert sind, auf die Registrierung übertragen.
HINWEIS
Lokales Gruppenrichtlinienobjekt
Jeder Computer mit Windows 2000 verfügt auch über ein lokales GPO. So kön-
nen Einstellungen konfiguriert werden, die nur für diesen Computer gelten und
nicht an andere PCs mit Windows 2000 repliziert werden. Bei Verwendung von
Active Directory können diese Einstellungen durch Richtlinien überschrieben wer-
den, die auf der Ebene des Standorts, der Domäne oder Organisationseinheit de-
finiert worden sind. Diese Einstellungen gelten dann als die am wenigsten
einflussreichsten (d.h., sie haben die niedrigste Priorität). In einer Umgebung
ohne Active Directory wie beispielsweise einer Arbeitsgruppe ohne Windows-
2000-Domänencontroller sind GPOs dieser Art die einzigen, die angewendet wer-
den können – ihre Bedeutung ist daher entsprechend größer.
Zuletzt werden die GPOs für die Organisationseinheit verarbeitet, in der sich der
Benutzer oder Computer innerhalb von Active Directory befindet. Active Directory
ermöglicht es einer Domäne oder einem Organisations-Admin, die Benutzer und
Computer innerhalb einer Domäne weiter in administrative Einheiten namens OUs
zu unterteilen. Richtlinien dieser Art sollten daher nur für die kleinstmögliche
Anzahl an Objekten angewendet werden, und Sie sollten sicherstellen, dass darüber
hinaus sehr spezielle Regeln durchgesetzt werden. Nehmen Sie beispielsweise an,
dass Sie innerhalb der Unternehmensstruktur eine Domäne Vertrieb haben, in der
Sie eine Organisationseinheit Telemarketing erstellen. Die Benutzer, die in dieser
OU untergebracht werden, brauchen restriktivere Desktopeinstellungen als die
anderen Vertriebsmitarbeiter in der Organisation. Sie erreichen dies, indem Sie eine
GPO mit der OU Telemarketing verknüpfen und die Gruppenrichtlinie mit dieser
Einstellung konfigurieren. Wie bei der Anwendung der GPOs auf Standorte und
Domänen werden auch die von der Richtlinie definierten Benutzer- und Computer-
einstellungen auf die Registrierung übertragen.
HINWEIS
Verarbeitung der Systemrichtlinie
In Umgebungen, in denen sich sowohl Clients mit Windows 2000 und Windows
9x oder NT 4.0 befinden, brauchen Sie unter Umständen immer noch System-
richtlinien zum Durchsetzen von Desktop- oder anderen Einstellungen. Bei der
Anmeldung eines Clients mit Windows 9x oder NT 4.0 am Netzwerk verarbeitet
dieser anstelle der Gruppenrichtlinie die Systemrichtlinie.
Falls sich Domänencontroller mit Windows NT 4.0 in der Domäne befinden, sen-
den diese den Benutzern bei der Anmeldung an der Domäne ebenfalls die Sys-
temrichtlinie. Je nach den Richtlinieneinstellungen kann dies die Konfiguration
eines Client-Computers ändern; sogar eines Clients mit Windows 2000. Es ist da-
her empfehlenswert, Domänencontroller so schnell wie möglich auf Windows
2000 zu aktualisieren.
Auf Windows 2000 aktualisierte Computer behalten nach der Aktualisierung die
Registrierungsänderungen bei, die von der Systemrichtlinie des Windows-NT-
Systems vorgenommen worden sind. Der Grund liegt darin, dass Änderungen
der Registrierung als Ergebnis einer Systemrichtlinie während der Aktualisierung
nicht zurückgesetzt werden.
Gruppenrichtlinien folgen einem bestimmten Vererbungspfad, der dem Administra-

tor die Gelegenheit verschafft, die Anwendung der Einstellungen auf Benutzer und
Computer speziell anzupassen. Die Vererbungshierarchie verläuft immer in Rich-
tung Standort, Domäne und OU, und endet dabei mit der OU, die sich in unmittelba-
rer Nähe des Benutzer- oder Computerobjekts befindet, auf welches das GPO ange-
wendet wird.
6.2.2 Gruppenrichtlinienverarbeitung
Wie schon erwähnt, können GPOs mit einem Standort, einer Domäne oder Organi-
sationseinheit in Active Directory verknüpft werden. Es ist möglich, mehr als eine
GPO mit demselben Container zu verknüpfen, die alle zusammen in Abhängigkeit
von der Sicherheit und weiteren konfigurierten Einstellungen verarbeitet werden.
Die tatsächlich von Windows 2000 ausgeführten Schritte bei der Verarbeitung einer
Gruppenrichtlinie sind recht simpel. Als Erstes muss ein Windows-2000-Computer
beim Start mit den Domänencontrollern in der Domäne kommunizieren, um DNS
und andere Einstellungen zu aktualisieren und um sicherzustellen, dass er vom
Domänencontroller bemerkt wird. Während dieser Prozedur werden die GPOs mit
den Computereinstellungen, die auf den Windows-2000-Computer angewendet
werden müssen, verarbeitet und auf die Registrierung übertragen. Zu diesem Zeit-
punkt werden außerdem die zuvor erstellten und dem Computer zugewiesenen
Startskripte verarbeitet, und gewährleisten damit, dass die Computereinstellungen
erwartungsgemäß angewendet werden.
Bei der Anmeldung eines Benutzers an einem Windows-2000-Computer werden

sämtliche GPOs angewendet, die mit dem Standort, der Domäne oder Organisa-
tionseinheit verknüpft worden sind, zu der der Benutzer gehört, und die für diesen
Benutzer oder die Gruppe, in der der Benutzer Mitglied ist, konfiguriert worden
sind. Dies bedeutet, dass zwei Benutzer, die sich zu verschiedenen Zeiten am selben
Computer anmelden, je nach ihren Richtlinien zwei komplett andersartige Umge-
bungen vorfinden können. Außerdem kann Windows 2000 nach der Anmeldung
eines Benutzers am Computer Anmeldeskripte ausführen, die für dieses Benutzer
oder eine Gruppe, in der er Mitglied ist, konfiguriert worden sind.
Die Administratoren können den Inhalt von GPOs im Laufe der Zeit abändern. Da
einige dieser Einstellungen unter Umständen in sehr kurzer Zeit angewendet werden
müssen unterstützt Windows 2000 eine automatische Aktualisierung von Gruppen-
richtlinien im laufenden Betrieb und bei noch angemeldeten Benutzern. Dies
gewährleistet, dass Gruppenrichtlinien konsequent auf alle Benutzer und Computer
sogar dann angewendet werden, wenn sich ein Benutzer niemals abmeldet oder der
betreffende Computer niemals abgeschaltet wird. Auf diese Weise ist es möglich,
einen konsistenten Satz von Regeln aufzustellen, die überall im Unternehmen und
in jedem Teilbereich einer Organisation befolgt werden.
Domänencontroller innerhalb von Windows 2000 Active Directory aktualisieren

bzw. erneuern die Anwendung von GPOs alle 5 Minuten. Windows-2000-Mit-
gliedsserver, die im Rahmen der Verarbeitung von GPOs als Clients angesehen
werden, aktualisieren die Gruppenrichtlinie alle 90 Minuten plus/minus einer Ver-
zögerungszeit von etwa 30 Minuten. Hierdurch wird gewährleistet, dass alle Domä-
nencontroller und die Server, mit denen sich die Benutzer verbinden, aktuelle
Kopien der geltenden Gruppenrichtlinien haben. Dies heißt nicht, dass GPOs alle 5
Minuten unter den Domänencontrollern ausgetauscht werden, sondern dies
geschieht erst dann, wenn die Gruppenrichtlinien verändert werden. Ein Teil dieser
Überprüfung findet statt, wenn ein GPO aktualisiert werden muss. Die Aktualisie-
rung geschieht bei der Veränderung eines GPO, was über die Versionsnummer der
GPO verfolgt wird.
Windows-2000-Clients aktualisieren GPOs ebenfalls nur alle 90 Minuten plus/

minus 30 Minuten. Der Aktualisierungsintervall wird unter den Windows-2000-Cli-
ents absichtlich verzögert, damit sichergestellt ist, dass die Netzwerkbandbreite im
Verlauf der GPO-Aktualisierung nicht überlastet wird. Nehmen Sie beispielsweise
an, dass Sie 200 oder mehr Clients haben, die mit einer kleinen Anzahl von Servern
und Domänencontrollern verbunden sind. Jeder Client kommuniziert mit jedem
Domänencontroller im Rahmen der GPO-Aktualisierung zu unterschiedlichen Zei-
ten, jedoch immer innerhalb des 90-Minuten-Intervalls. Die erstmalige Überprüfung
stellt fest, ob GPOs sich geändert haben und downgeloadet werden müssen. Diesem
Vorgang folgt dann der Download der geänderten GPOs. Während dieses Vorgangs
werden Änderungen, die an dem GPO vorgenommen worden sind, unverzüglich auf
den Client angewendet; auch dann, wenn der Benutzer noch angemeldet sein sollte.
Die standardmäßig eingestellte Aktualisierungsrate für ein GPO kann innerhalb der
GPO-Vorlage verändert werden. Sie haben so die Möglichkeit, eine standardmäßige
Aktualisierungshäufigkeit, die Ihnen zu hoch erscheint, zu verringern oder umge-
kehrt auch zu erhöhen. Das Ändern der Aktualisierungshäufigkeit kann eine
gewisse Verzögerung zwischen der Änderung der GPO und der entsprechenden
Anwendung auf dem Client-Computer mit sich bringen (sofern anstelle des Aktuali-
sierungsintervalls von 90 ein höherer von beispielsweise 180 Minuten verwendet
wird). Das Ändern der Aktualisierungshäufigkeit kann Netzwerkprobleme verursa-
chen, wenn die Aktualisierung stark verkürzt wird, weil dann alle Clients viel häufi-
ger mit den Domänencontrollern kommunizieren müssen, um nach anstehenden
Aktualisierungen zu fragen.
HINWEIS
Aktualisierungsregeln
Die Einstellungen zur Softwareinstallation, zu Offline-Dateien und zur Ordnerum-

leitung, die über die Gruppenrichtlinie festgelegt werden können, folgen nicht den
Aktualisierungsregeln. Diese GPO-Einstellungen werden nur beim Start eines
Computers oder bei der Anmeldung eines Benutzers angewendet. Damit Ände-
rungen an den Einstellungen eines GPO wirksam werden, muss der PC entweder
neu gestartet oder der Benutzer ab- und wieder angemeldet werden. Hierdurch
wird sichergestellt, dass Dateien, die ein Benutzer während einer Sitzung benö-
tigt, nicht zu mehr als einem Standort umgeleitet werden, und somit keine Verwir-
rung entsteht.
Eine der größten Veränderungen in Windows 2000 betrifft die Möglichkeit, Grup-
penrichtlinieneinstellungen über verschiedene Ebenen (Standort, Domäne oder OU)
in Active Directory zu vererben. Die automatische Neuanwendung von GPO-Ein-
stellungen auf alle Domänencontroller, Mitgliedsserver und Windows-2000-Clients
zur Gewährleistung aktueller Einstellungen stellt einen Schlüsselvorteil dar. Die
Kombination der Gruppenrichtlinienvererbung (die Reihenfolge, in der GPOs aus-
gewertet werden) mit ihrer Verarbeitung (wie GPOs innerhalb desselben Containers
und im Netzwerk verarbeitet werden) ist ein sehr wichtiger Punkt dieses Themas
und wird als Nächstes behandelt.
6.2.3 Gruppenrichtlinien kombinieren

씰 Gruppenrichtlinienvererbung modifizieren
Sie haben bereits erfahren, dass Sie GPOs auf drei Ebenen erstellen können: Stand-
orte, Domänen und OUs. Es ist darüber hinaus möglich, mehr als eine Richtlinie pro
Ebene mit verschiedenen oder ähnlichen Einstellungen zu erzeugen. Es ist daher
wichtig zu verstehen, was genau bei der Kombination von GPOs geschieht, und was
das Endergebnis aller angewendeten GPOs sein wird. Der Prozess ist aber wegen
der gradlinigen Regeln einfacher, als Sie ihn sich vielleicht vorgestellt haben.
Beim Start eines Computers und bei der Anmeldung eines Benutzers stellt der
Domänencontroller fest, welche GPOs sowohl auf den Computer als auch den
Benutzer angewendet werden müssen. Der Domänencontroller verarbeitet nun als
Erstes die GPOs des Computers und anschließend diejenigen für den Benutzer. Er
reicht anschließend an den Client eine Liste der angewendeten GPOs weiter. Der
Client verbindet sich mit dem SYSVOL-Ordner auf dem Domänencontroller, lokali-
siert die Gruppenrichtlinienvorlage des ersten vom Domänencontroller gelieferten
GPO, und wendet die Gruppenrichtlinieneinstellungen an. Dieser Prozess wird für
alle GPOs wiederholt, die der Domänencontroller für den Client bereithält.
Der ganze Vorgang fährt dann mit den Regeln zur Gruppenrichtlinienvererbung
fort, die weiter oben erörtert worden sind (Standort, dann Domäne, und zum Schluss
OU). Falls auf dieser Stufe der Verarbeitung mehrfache GPOs auf den Computer
und/oder Benutzer auf derselben Ebene (Standort, Domäne oder OU) angewendet
werden müssen, werden sie von unten nach oben verarbeitet; und zwar in der Rei-
henfolge, in der sie im Gruppenrichtlinienbereich des Containers, mit dem sie ver-
knüpft sind, auftauchen. Im Beispiel der Abbildung 6.4 werden beide GPOs auf
denselben Benutzer bzw. Computer angewendet, wobei zuerst die Kennwortrichtli-
nie und anschließend die Default Domain Policy angewendet wird. Falls auch in der
Default Domain Policy Einstellungen zur Kennwortrichtlinie (siehe Abbildung 6.5
als Beispiel für Kennworteinstellungen) enthalten sind, erhalten die Einstellungen
in der Default Domain Policy den Vorrang.
Abbildung 6.4
Mehrfache GPOs
können mit dem-
selben Active
Directory-Contai-
ner verknüpft wer-
den. Die Verarbei-
tung erfolgt von
unten nach oben
Abbildung 6.5
Kennwortrichtlinie
für Einstellungen
zur Komplexität und
Länge des Kenn-
worts
Das folgende Szenario soll als Beispiel dienen: Sie definieren eine Einstellung in
der Kennwortrichtlinie. Diese Richtlinie sieht vor, dass das Kennwort mindestens
aus sechs Zeichen bestehen und eine Kombination aus Großbuchstaben, Kleinbuch-
staben, Ziffern oder Symbolen darstellen soll. Die Default Domain Policy verfügt
ebenfalls über eine Kennwortrichtlinie, die besagt, dass das Kennwort aus acht Zei-
chen bestehen soll, aber keine Komplexität haben muss. Aus dieser Situation ergibt
sich als wirksame Richtlinie, dass ein Kennwort aus acht Zeichen (wie zuletzt in der
Default Domain Policy definiert) besteht und, wie in der Kennwortrichtlinie vorge-
sehen, die Komplexität durchgesetzt wird, weil diese Einstellung von der Default
Domain Policy nicht explizit behandelt bzw. nicht deaktiviert worden ist (siehe
Abbildung 6.6).
Abbildung 6.6
Die Default Domain

Policy zur Komple-
xität und Länge des
Kennworts. Beach-
ten Sie, dass die
Einstellung zur
Kennwortkomplexi-
tät nicht aktiviert ist,
sodass auf dieser
Ebene keine Ände-
rungen stattfinden
Regeln zur Gruppenrichtlinienverarbeitung

Wie zuvor schon erwähnt, folgt Windows 2000 bei der Anwendung der Gruppen-
richtlinien einer ganzen Reihe von Regeln, von denen einige bereits erörtert worden
sind. Alle Regeln finden Sie in der folgenden Übersicht aufgereiht:
씰 Gruppenrichtlinieneinstellungen werden so lange angewendet, wie kein Kon-

flikt auftritt. Dies bedeutet, dass die effektiv wirksamen Richtlinien, die auf
einen Benutzer oder Computer angewendet werden, eine Summe der GPOs
aller Standorte, Domänen und OUs darstellen, die für den Benutzer und den
Computer definiert worden sind.
씰 Auftretende Konflikte werden als identische Einstellungen definiert, die auf

mehr als einer Ebene oder in mehr als einer OU in derselben Ebene definiert
worden sind (wie im Beispiel weiter oben demonstriert). Tritt ein Konflikt
auf, werden die Regeln der Gruppenrichtlinienvererbung angewendet, bis der
Konflikt aufgelöst ist.
씰 Die Gruppenrichtlinienvererbung folgt dem Pfad Standort – Domäne – OU.

6.3 Gruppenrichtlinien erstellen und verwalten 369
씰 Falls mehr als ein GPO mit demselben Active Directory-Container verknüpft
ist, werden die GPOs von unten nach oben entsprechend der Liste Gruppen-
richtlinie des Containers verarbeitet.
씰 Es wird immer die letzte verarbeitete Einstellung angewendet, was bedeutet,

dass bei Konflikten in den Einstellungen verschiedener GPOs in der Verer-
bungshierarchie diejenige Einstellung angewendet wird, die sich im letzten
Container befindet.
씰 Wenn Einstellungen von GPOs, die mit demselben Active Directory-Contai-

ner verknüpft sind, im Konflikt miteinander stehen, wird die GPO angewen-
det, die zuoberst in der Liste steht und somit die höchste Priorität hat.
씰 Falls eine Einstellung sowohl für einen Benutzer als auch einen Computer auf
derselben GPO-Ebene definiert worden ist, wird die Computereinstellung im-
mer dann angewendet, wenn sie mit einer Benutzereinstellung im Konflikt
steht. Mit anderen Worten: Auf derselben GPO-Ebene besitzt die Computer-
einstellung gegenüber der Benutzereinstellung den Vorrang.
Bereich, Vererbung und Verarbeitungsreihenfolge einer Gruppenrichtlinie sind klar

definiert. Gruppenrichtlinien können entweder auf den Computer oder den Benutzer
angewendet werden, wobei die Computerrichtlinie eine höhere Priorität gegenüber
der Benutzereinstellung besitzt. Der folgende Abschnitt erläutert, wie Sie GPOs auf
verschiedenen Ebenen in Active Directory erstellen.
6.3 Gruppenrichtlinien erstellen und

verwalten
씰 Vorhandene GPO verknüpfen
Das Erstellen von GPOs ist ein recht einfacher und gradliniger Vorgang. Sie benöti-
gen dafür die Administratorrechte in der Domäne oder OU, in der Sie die Richtlinie
erstellen möchten. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie
eine Gruppenrichtlinie für eine Domäne erstellen.

6.2 Gruppenrichtlinie für eine Domäne erstellen
1. Klicken Sie auf START/PROGRAMME/VERWALTUNG (siehe Abbildung 6.7).
Abbildung 6.7
Die Programm-
gruppe VERWAL-
TUNG in Windows
2000
2. Da Sie eine Gruppenrichtlinie für die Domäne erstellen, wählen Sie als
Nächstes ACTIVE DIRECTORY-BENUTZER UND -COMPUTER aus. Jetzt wird die
Microsoft Management Console (MMC) gestartet (siehe Abbildung 6.8).
Abbildung 6.8
Das Snap-In Active

Directory-Benutzer
und -Computer in
der Microsoft
Management Con-
sole
3. Zum Erstellen der Gruppenrichtlinie klicken Sie mit der rechten Maustaste
auf dem Active Directory-Container, in dem Sie die Richtlinie erstellen
möchten. In Windows 2000 Active Directory-Benutzer und -Computer haben
Sie die Berechtigung, ein GPO entweder im Container des Domänencontrol-
lers oder in der Domäne selbst zu erstellen. Zum Erstellen einer domänenweit
geltenden Richtlinie klicken Sie mit der rechten Maustaste auf dem Domä-
nennamen und wählen im Kontextmenü EIGENSCHAFTEN aus (siehe Abbil-
dung 6.9)
Abbildung 6.9
Das Dialogfeld
EIGENSCHAFTEN für
die Domäne in Acti-
ve Directory-Benut-
zer und -Computer
HINWEIS
Gruppenrichtlinien und Standard-Container
Es ist nicht möglich, eine Gruppenrichtlinie mit den standardmäßigen Active Di-
rectory-Containern Users, Computers, Builtin und Foreign Security Principals zu
verknüpfen. Der Grund liegt darin, dass das Standard-Domänen-GPO, welches
während der Installation von Windows 2000 erstellt wird, bereits mit dem Inhalt
dieser Container in Verbindung steht. Das Erstellen eines GPO in diesen Contai-
nern wäre also redundant, da diese mit allen GPOs, die in der Domäne erstellt
werden, bzw. mit GPOs, die mit Domänencontrollern verknüpft sind, zu tun ha-
ben.
4. Das Dialogfeld in der Abbildung 6.9 zeigt alle Container in Active Directory
an, mit denen GPOs verknüpft werden können. Durch die Auswahl der
Registerkarte GRUPPENRICHTLINIE in diesem Dialogfeld erscheint der Bild-
schirm in der Abbildung 6.10, der die aktuell mit dem Container verknüpften
GPOs anzeigt. Falls mehr als ein GPO mit dem Container verknüpft ist, ver-
läuft die Anwendungsreihenfolge von unten nach oben. In dieser Register-
karte stehen Ihnen verschiedene Schaltflächen zum Erstellen und Verwalten
von Gruppenrichtlinien zur Verfügung, deren Funktionen jetzt beschrieben
werden:
Abbildung 6.10
Die Registerkarte
GRUPPENRICHTLINIE
eines Active Direc-
tory-Containers, der
ein mit ihm ver-
knüpftes GPO
besitzt
Schaltfläche Funktion
NEU Erstellt ein neues GPO auf der Ebene dieses Containers und fügt
es unten in die Liste der GPOs dieses Containers ein. Die GPO
wird dann automatisch mit diesem Container verknüpft und nach
dem Erstellen auf die normalen Benutzer angewendet.
HINZUFÜGEN Damit verknüpfen Sie ein in einem anderen Active Directory-
Container erstelltes GPO mit diesem Container und fügen es
unten in die Liste der GPOs für diesen Container ein. Das
verknüpfte GPO wird ebenfalls nach der Verknüpfung automa-
tisch auf normale Benutzer angewendet.
Schaltfläche Funktion
BEARBEITEN Hiermit können Sie die Attribute des GPO bearbeiten und Richtli-
nieneinstellungen aktivieren oder deaktivieren. Nach der Bearbei-
tung des GPO werden die Änderungen unter Verwendung der
zuvor umrissenen normalen Aktualisierungsrate auf alle Benutzer
und Computer angewendet, die von der Richtlinie betroffen sind.
OPTIONEN Ermöglicht Ihnen die Einstellung von Optionen für das GPO.
Hierin eingeschlossen ist, ob das GPO aktiviert oder deaktiviert
ist, und ob seine Einstellungen auf niedrigeren Ebenen der Verer-
bungshierarchie deaktiviert werden sollen.
LÖSCHEN Hiermit können Sie die Verknüpfung zum GPO in diesem
Container und optional die mit dem GPO verknüpfte GPT
löschen. Durch das Löschen der GPT wird das GPO vollständig
gelöscht und kann nicht mehr mit anderen Containern verknüpft
werden. Wird dagegen nur die Verknüpfung für das GPO
gelöscht, bleiben die GPT und die Verknüpfungsmöglichkeit mit
anderen Containern bestehen.
EIGENSCHAFTEN Zeigt ein Dialogfeld an, in dem Sie die Sicherheit des GPO konfi-
gurieren, Teile des GPO, die nicht verwendet werden, deakti-
vieren und nach allen Containern suchen können, mit denen das
GPO verknüpft ist. Diese letzte Option bietet ein Verfahren an,
mit dem sichergestellt wird, dass ein gelöschtes GPO keine Prob-
leme mehr in anderen Unternehmensbereichen verursacht.
Eine weitere Option, die der Administrator einstellen kann, betrifft die Deak-
tivierung der Richtlinienvererbung; ein Thema, welches weiter unten im Ab-
schnitt »Gruppenrichtliniensicherheit« näher besprochen werden wird.
Mit den restlichen Schaltflächen können Sie die richtige Reihenfolge in der
Anwendung der Gruppenrichtlinie innerhalb des Containers einstellen, sofern
dieser mit mehr als einem GPO verknüpft ist. Wie weiter oben erläutert, wer-
den GPOs innerhalb desselben Containers von unten nach oben in der Rei-
henfolge, in der sie im Dialogfeld angezeigt werden, angewendet. Mit den
Schaltflächen NACH OBEN und NACH UNTEN können Sie festlegen, welches
GPO als Erstes (das am weitesten unten stehende) und als Letztes angewen-
det wird, wodurch unter Umständen andere GPO-Einstellungen überschrie-
ben werden.
Abbildung 6.11
Neues GPO
erstellen
Abbildung 6.12
Das Dialogfeld
zeigt vorhandene
GPO-Verknüpfun-
gen an
5. Zum Erstellen eines neuen GPO, welches automatisch mit diesem Container
verknüpft wird, klicken Sie auf die Schaltfläche NEU. Dadurch wird eine
GPO ans Ende der Liste angefügt, der Sie sofort einen Namen geben können
Abbildung 6.13
Eine Liste aller

GPOs (in alphabeti-
scher Reihenfolge)
im Unternehmen
finden Sie in der
Registerkarte ALLE
des Dialogfeldes
Gruppenrichtlinien-
objekt-Verknüp-
fung hinzufügen
6. Zum Hinzufügen zu bzw. Verknüpfen einer vorhandenen GPO mit diesem

Active Directory-Container klicken Sie auf die Schaltfläche HINZUFÜGEN. Es
wird ein Dialogfeld (siehe Abbildung 6.12) mit drei Registerkarten angezeigt.
Weil GPOs auf Ebene der Standorte, Domänen und OUs verknüpft werden
können, wird in der Registerkarte DOMÄNEN/ORGANISATIONSEINHEITEN die
Liste der GPOs angezeigt, die auf der Domänen- oder OU-Ebene erstellt wor-
den sind. Die Liste der GPOs, die nur für Standorte gelten, befindet sich in
der Registerkarte STANDORTE. Eine alphabetische Liste aller GPOs, die auf
diesem Domänencontroller bekannt und sehr wahrscheinlich im gesamten
Unternehmen vorhanden sind, erhalten Sie durch Anklicken der Schaltfläche
ALLE. Sie bekommen daraufhin die Liste (siehe Abbildung 6.13) angezeigt.
7. Nach dem Markieren eines GPO haben Sie durch Anklicken der Schaltfläche
BEARBEITEN die Gelegenheit, die Einstellungen des GPO zu bearbeiten. Falls
das GPO von einem anderen Administrator einer höheren Ebene in Active
Directory erstellt worden sein sollte, haben Sie unter Umständen für diese
Funktion nicht die erforderlichen Berechtigungen – Sie erhalten dann eine
entsprechende Fehlermeldung. Wenn Sie die erforderlichen Berechtigungen
zum Ändern der GPO-Einstellungen besitzen, wird ein Dialogfeld (siehe
Abbildung 6.14) angezeigt, dem Sie unschwer entnehmen können, wie viele
Einstellmöglichkeiten für Benutzer und Computer innerhalb der Gruppen-
richtlinie zur Verfügung stehen. Die Bedeutung dieser Einstellungen wird
weiter unten erläutert.
Abbildung 6.14
Die Gruppenrichtli-
nieneinstellungen
können über MMC
bearbeitet werden.
MMC wird durch
Klicken auf die
Schaltfläche Bear-
beiten automatisch
gestartet
Abbildung 6.15
Mit dem Dialogfeld

Optionen für ein
GPO können Sie
eine GPO deakti-
vieren oder eine
weitere Änderungs-
übernahme nach
unten verhindern
8. Durch Anklicken der Schaltfläche OPTIONEN erhalten Sie ein Dialogfeld mit
Kontrollkästchen (siehe Abbildung 6.15).
Mit dem Kontrollkästchen KEIN VORRANG kann ein Administrator bestimmte

GPO-Einstellungen auch dann durchsetzen, wenn andere GPOs weiter unten
in der Vererbungshierarchie die Einstellungen überschreiben. KEIN VORRANG
wird typischerweise in Situationen benutzt, in denen ein Administrator einer
höheren Ebene auf der Domänenebene sicherstellen will, dass GPO-Einstel-
lungen, die Geschäftsregeln betreffen, von Administratoren einer niedrigeren
Ebene nicht mehr geändert werden. Auf diese Weise kann verhindert werden,
dass Einstellungen aus höheren Ebenen nicht mehr von anderen GPOs außer
Kraft gesetzt werden.
Das Kontrollkästchen DEAKTIVIERT besagt genau das: Das GPO wird auf die-
ser Ebene deaktiviert. GPOs können immer aktiviert bzw. deaktiviert werden
– wenn Sie nicht möchten, dass eine bestimmte GPO auf den Container ange-
wendet wird, deaktivieren Sie es mit dieser Option. Sie ist auch in Fällen
nützlich, wenn Sie gerade die Einstellungen einer Richtlinie konfigurieren
und nicht wünschen, dass sie vor ihrem Abschluss und vor Beseitigung aller
Fehler angewendet wird.
Abbildung 6.16
Die Schaltfläche
LÖSCHEN zeigt ein
Dialogfeld an, in
dem Sie entweder
die Verknüpfung
eines GPO oder
das GPO selbst
löschen können
Abbildung 6.17
Das Dialogfeld mit

den Haupteigen-
schaften eines
GPO enthält die
GUID, das Erstell-
datum/Zeit, Revisi-
onen und die
Domäne eines
GPO. Hier können
auch Computer-
und Benutzerein-
stellungen für das
GPO deaktiviert
werden
9. Die Schaltfläche LÖSCHEN zeigt Ihnen das Dialogfeld in der Abbildung 6.16
an. Sie haben damit die Möglichkeit, eine Verknüpfung des aktuellen Active
Directory-Containers für das GPO zu löschen, oder das GPO permanent aus
Active Directory zu löschen. Zum Löschen der Verknüpfung müssen Sie die
Administratorrechte für den Container besitzen. Zum permanenten Löschen
der GPO müssen Sie die Administratorrechte für den Container besitzen, in
dem das GPO ursprünglich erstellt worden ist.
10. Beim Anklicken der Schaltfläche EIGENSCHAFTEN erhalten Sie das Dialog-
feld in der Abbildung 6.17. Die Registerkarte ALLGEMEIN zeigt die GUID des
GPO in Active Directory an. Außerdem werden das Erstelldatum/Zeit des
GPO sowie die letzten Änderungszeiten und Revisionen angezeigt, die an den
Computer- und Benutzereinstellungen vorgenommen worden sind. Sie haben
weiterhin die Gelegenheit, den Computer- und Benutzerteil des GPO zu akti-
vieren bzw. zu deaktivieren. Durch das Deaktivieren des einen oder anderen
Teils des GPO werden die Downloadzeiten schneller, da nicht alle Teile der
GPT mehr downgeloaded und auf den Client angewendet werden müssen.
Durch Anklicken der Registerkarte VERKNÜPFUNGEN im Dialogfeld EIGEN-

SCHAFTEN erhalten Sie den Bildschirm der Abbildung 6.18. Über die Schalt-
fläche SUCHEN wird eine Suche nach Verknüpfungen für dieses GPO
innerhalb des ausgewählten Bereichs ausgelöst. Dies ist sehr nützlich, wenn
Sie sicherstellen möchten, dass die GPOs, die Sie permanent löschen möch-
ten, keine Probleme mehr bei anderen Administratoren machen werden, die
mit dieser GPO arbeiten.
Abbildung 6.18
Über die Register-

karte LINKS können
Sie herausfinden,
an welcher Stelle
aktuell verwendete
Verknüpfungen für
eine GPO bestehen
6.4 Gruppenrichtliniensicherheit 379
HINWEIS
Konfigurationseinstellungen des Computers deaktivieren und Benut-
zerdefinierte Konfigurationseinstellungen deaktivieren
Wenn Sie in der Registerkarte ALLGEMEIN des Dialogfeldes zu den GPO-Eigen-

schaften die Kontrollkästchen KONFIGURATIONSEINSTELLUNGEN DES COMPUTERS
DEAKTIVIEREN und KONFIGURATIONSEINSTELLUNGEN DEAKTIVIEREN deaktivieren, wer-
den überhaupt keine GPO-Einstellungen mehr auf den Benutzer oder Computer
angewendet. Eine Verarbeitung des GPO bei Anmeldung eines Benutzers findet
aber immer noch statt. Allerdings entspricht dies nicht dem Deaktivieren der GPO
im Dialogfeld OPTIONEN, da das GPO immer noch verarbeitet wird, aber keine
GPTs oder Skripte mehr downgeloaded werden. Zum vollständigen Abschalten
der GPO-Verarbeitung verwenden Sie das Dialogfeld OPTIONEN.
Die Registerkarte SICHERHEITSEINSTELLUNGEN im Dialogfeld EIGENSCHAF-

TEN ermöglicht Ihnen das Zulassen und Verweigern von Berechtigungen für
dieses GPO. Außerdem haben Sie die Gelegenheit, Berechtigungen für dieje-
nigen Benutzer zu vergeben, auf welche bei der Anmeldung das GPO ange-
wendet wird; ein Thema, welches im folgenden Abschnitt näher erörtert wird.
Wie die letzte Schritt-für-Schritt-Anleitung gezeigt hat, ist das Erstellen eines GPO
kein Problem. Auch die Verwaltung des GPO ist einfach vorzunehmen. Der wirk-
lich schwierige Teil besteht in der Festlegung, welche Einstellungen innerhalb des
GPO gelten, und welche Benutzer und Computer von der Richtlinie betroffen sein
sollen. Dies sind Themen, die später im Zusammenhang mit den administrativen
Vorlagen und in den Kapiteln 7 (»Softwarebereitstellung mittels Gruppenrichtli-
nien«) und 8 (»Sicherheitsmanagement mittels Gruppenrichtlinien«) näher erläutert
werden.
6.4 Gruppenrichtliniensicherheit
Implementieren und Fehlerbehebung der Gruppenrichtlinie
씰 Gruppenrichtlinieneinstellungen durch die Verknüpfung von Sicherheits-
gruppen mit GPOs filtern
씰 Administrative Kontrolle über Gruppenrichtlinien delegieren
Eine der besten Eigenschaften der Gruppenrichtlinie in Windows 2000 ist die Mög-
lichkeit, die Benutzer und Computer festlegen zu können, auf die ein GPO ange-
wendet werden soll, sowie auch die Benutzer, die die Richtlinie verwalten dürfen,
bestimmen zu können. Der Administrator hat die Gelegenheit, über die Vergabe von
Berechtigungen und Sicherheitseinstellungen sehr genau festlegen zu können, wie
der Zugriff auf und die Anwendung eines GPO erfolgen soll. Schon diese eine
Eigenschaft der Gruppenrichtlinie stellt gegenüber der Systemrichtlinie in
Windows NT 4.0, die vor Windows 2000 Verwendung fand, eine enorme Verbesse-
rung dar.
Beim Einstellen von Berechtigungen für eine Gruppenrichtlinie kann der Administ-
rator zwei Dinge definieren:
씰 Auf wen die Richtlinie angewendet wird
씰 Welche Benutzer die Erlaubnis haben, Änderungen an der Richtlinie und ih-
rer Vererbung vorzunehmen
Beide Themen werden ausführlich im nächsten Abschnitt erörtert. Die Konfigura-

tion sowohl der oben genannten Berechtigungen als auch der Vererbung wird über
das Dialogfeld EIGENSCHAFTEN des Containers vorgenommen, mit dem das GPO
verknüpft ist (siehe Abbildung 6.10).
6.4.1 Gruppenrichtliniensicherheit konfigurieren

Die Konfigurierung der Gruppenrichtliniensicherheit berührt eine Anzahl verschie-
dener Bereiche. Als Erstes müssen Sie die Berechtigungen für die Gruppenrichtlinie
festlegen, um die Benutzer und Computer, auf die das GPO angewendet wird, zu
bestimmen. Weiterhin müssen Sie Berechtigungen spezifizieren, die anderen Benut-
zern die Abänderung der Richtlinie erlauben. Falls Sie es sehr genau machen wol-
len, können Sie noch erweiterte Berechtigungen für das GPO konfigurieren, was
praktisch ein Feintuning hinsichtlich der Frage darstellt, wer welche Privilegien
erhält.
Berechtigungen zum Verwenden der Richtlinie zuweisen

Die Zuweisung von Berechtigungen ist der Ausgangspunkt bei der Konfigurierung
der Gruppenrichtliniensicherheit. Standardmäßig wird die Gruppenrichtlinie auf alle
Mitglieder der Gruppe Authentifizierte Benutzer angewendet. Wenn Sie diese über-
schreiben und die Anwendung der Gruppenrichtlinie auf eine bestimmte Gruppe
von Benutzern, Computern oder Gruppen einschränken möchten, weisen Sie die
Berechtigungen explizit zu. Die folgende Schritt-für-Schritt-Anleitung führt Sie
durch den Vorgang beim Zuweisen von Berechtigungen.
HINWEIS
GPO-Sicherheit ändern
Klicken Sie nicht zweimal auf den GPO-Namen, weil Sie dann in den Bearbei-
tungsmodus für das GPO gelangen. Zum Ändern der GPO-Sicherheit müssen
Sie das GPO durch Anklicken ihres Namens markieren und dann über die Schalt-
fläche EIGENSCHAFTEN anzeigen, dass Sie die GPO-Eigenschaften ändern möch-
ten.

6.3 Berechtigung zum Verwenden eines GPO zuweisen
1. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORY-
BENUTZER UND -COMPUTER.
2. Klicken Sie mit der rechten Maustaste auf Ihrem Domänennamen und wählen
Sie im Kontextmenü EIGENSCHAFTEN aus. Falls sich das GPO, dessen Eigen-
schaften Sie ändern möchten, auf der Ebene der OU befindet, klicken Sie mit
der rechten Maustaste die OU an, und wählen im Kontextmenü EIGENSCHAF-
TEN aus.
3. Wählen Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE

aus.
4. Klicken Sie auf Default Domain Policy oder eine andere Richtlinie, deren
Berechtigungen Sie bearbeiten möchten, und klicken Sie dann auf die Schalt-
fläche EIGENSCHAFTEN.
5. Klicken Sie auf die Registerkarte SICHERHEITSEINSTELLUNGEN, um sich
selbst die Berechtigungen zum Ändern dieses GPO zu verschaffen. Im ange-
zeigten Dialogfeld (siehe Abbildung 6.19) können Sie dann die Berechtigun-
gen zum Verwalten und zum Verwenden der Richtlinie bearbeiten.
Wie die Abbildung 6.19 zeigt, bekommen Sie eine Liste der Benutzer und
Gruppen angezeigt, denen aktuell Berechtigungen für dieses GPO zugewie-
sen sind. Beim Anklicken der Benutzer- oder Gruppenkonten werden unten
im Dialogfeld die verschiedenen Berechtigungen der jeweiligen Gruppe an-
gezeigt. Auf diese Weise können Sie im Rahmen ein und derselben Richtlinie
verschiedene Berechtigungen für unterschiedliche Benutzer und Computer
zuweisen.
Im Abschnitt BERECHTIGUNGEN des Dialogfelds werden die standardmäßi-
gen Berechtigungen aufgeführt, die dem GPO zugewiesen sind. Er zeigt da-
rüber hinaus an, ob diese Berechtigungen dem Benutzer, der Gruppe oder
dem Computer gewährt oder verweigert worden sind.
Abbildung 6.19
Die Registerkarte
SICHERHEITSEINSTEL-
LUNGEN des Dialog-
feldes für die
Eigenschaften von
Default Domain
Policy
Die Standardberechtigungen lauten wie folgt:
Berechtigung Bedeutung
Uneingeschränkter Zugriff Der Benutzer bzw. die Gruppe darf sämtliche Funk-
tionen für dieses GPO ausführen. Hierzu gehören das
Ändern der GPO-Einstellungen, das Hinzufügen oder
Ändern der Berechtigungen für das GPO, der
Erstellen und Löschen von untergeordneten Objekten
sowie das Löschen des GPO selbst.
Lesen Der Benutzer, die Gruppe oder der Computer darf das
GPO lesen. Falls zusammen mit der Berechtigung
zum Lesen der GPO auch die Berechtigung Über-
nehmen zugewiesen wird, kann der Benutzer oder der
Computer auch die angewendeten Einstellungen
lesen. Obwohl für die Anwendung eines GPO die
Lesen-Berechtigung vorausgesetzt wird, kann diese
Berechtigung auch separat zugewiesen werden, um
dem Benutzer das Lesen des Inhalts eines GPO zu
ermöglichen. Beispielsweise muss der Administrator
zum Ändern der GPO-Einstellungen immer das GPO
selbst lesen können; auch dann, wenn es nicht auf ihn
angewendet wird.
Berechtigung Bedeutung
Schreiben Der Benutzer oder die Gruppe darf die Einstellungen

des GPO ändern. Der Administrator muss über
Schreiben-Berechtigungen für das GPO verfügen, um
dessen Auswirkung zu ändern. Hiermit können Sie
die Richtlinieneinstellungen bearbeiten. Um das
MMC-Snap-In Gruppenrichtlinie zum Bearbeiten des
GPO verwenden zu können, brauchen Sie außerdem
noch die Lesen-Berechtigung zum Lesen der aktu-
ellen Einstellungen.
Alle untergeordneten Diese Berechtigung erlaubt Ihnen das Hinzufügen
Objekte erstellen von Objekten zu GPO-Einstellungen. Beispielsweise
müssen Sie bei den Einstellungen zur Softwareinstal-
lation Pakete mit dem GPO verknüpfen, was mit
dieser Berechtigung möglich gemacht wird.
Alle untergeordneten Hiermit können Sie untergeordnete Objekte löschen,
Objekte löschen die ggf. für ein GPO vorhanden sind.
Gruppenrichtlinie über- Diese Berechtigung teilt Active Directory mit, die
nehmen innerhalb der Gruppenrichtlinienvorlage spezifi-
zierten Einstellungen auf den Benutzer, die Gruppe
oder Computer anzuwenden, dem diese Berechtigung
gewährt worden ist. Damit ein GPO vollständig ange-
wendet wird, müssen der Benutzer, die Gruppe oder
der Computer ebenfalls über die Lesen-Berechtigung
verfügen.
HINWEIS
Berechtigungen verweigern
Die Möglichkeit, eine bestimmte Berechtigung explizit verweigern zu können, ist
eine neue Funktion in Windows 2000. Diese Funktion sollte, wenn überhaupt, nur
nach reiflicher Überlegung angewendet werden. Wenn Sie explizit eine Berechti-
gung verweigern (indem Sie das Kontrollkästchen in der Spalte VERWEIGERN akti-
vieren), legen Sie fest, dass die Berechtigung völlig unabhängig davon verweigert
wird, welche Berechtigungen über die Mitgliedschaft des Benutzers oder der
Gruppe in anderen Gruppen darüber hinaus noch bestehen. Dies kann gefährli-
che Konsequenzen haben. Es kann nämlich schwierig werden zu entscheiden,
auf welcher Ebene ein Problem bei der Anwendung einer GPO tatsächlich be-
steht. Anstatt einer expliziten Verweigerung einer Berechtigung ist es empfehlens-
werter, einfach das Kontrollkästchen ZULASSEN der Berechtigung, die Sie dem
Benutzer oder der Gruppe nicht geben möchten, zu deaktivieren. Die Berechti-
gung wird damit dem Benutzer bzw. der Gruppe entzogen und überlässt es den
bestehenden Gruppenmitgliedschaften, die tatsächlichen Berechtigungen festzu-
legen.
HINWEIS
Administratoren und Gruppenrichtlinien
Mitglieder der Gruppen Domänen-Admins und Organisations-Admins verfügen

unter Umständen auch dann noch über auf sie angewandte GPO-Einstellungen,
obwohl ihnen die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN explizit gar nicht
gewährt worden ist. Der Grund liegt darin, dass alle Benutzer, die sich an einer
Domäne anmelden, Mitglieder der Systemgruppe Authentifizierte Benutzer sind.
Diese Gruppe verfügt jedoch immer über die Berechtigung GRUPPENRICHTLINIE
ÜBERNEHMEN. Falls Sie sicherstellen möchten, dass die Berechtigungen in einer
bestimmten GPO nicht auf Domänen-Admins oder Organisations-Admins ange-
wendet werden, müssen Sie bei diesen Gruppen das Kontrollkästchen VERWEI-
GERN für GRUPPENRICHTLINIE ÜBERNEHMEN deaktivieren.
Jedes GPO, das Sie erstellen, verfügt über einen standardmäßigen Satz von
Berechtigungen, die auf die verschiedenen in Active Directory vorhandenen
Gruppen angewendet werden. Bei diesen Gruppen handelt es sich um die fol-
genden:
Gruppe standardmäßige Berechtigungen
Authentifizierte Benutzer Lesen und Übernehmen. Die GPO wird auf jeden
Benutzer, dessen Benutzerkonto vom Container
betroffen ist (Standort, Domäne oder Organisations-
einheit), angewendet. Die Lesen-Berechtigung macht
dies möglich. Um das GPO anwenden zu können,
müssen Sie es lesen können.
Ersteller-Besitzer Alle Kontrollkästchen sind deaktiviert. Dies bedeutet,
dass keinerlei Berechtigungen explizit gewährt oder
verweigert werden. Die Berechtigungen werden im
Gegenteil über anderenorts zugelassene Berechti-
gungen vererbt.
Domänen-Admins Lesen, Schreiben, Alle untergeordneten Objekte
erstellen und Alle untergeordneten Objekte löschen.
Mitgliedern von Domänen-Admins sind alle notwen-
digen Änderungen an GPOs wie auch das Lesen der
Inhalte erlaubt. Die GPOs werden jedoch auf sie bei
der Anmeldung nicht angewendet.
Organisations-Admins Wie bei den Domänen-Admins. Die Organisations-
Admins stellen eine globale Gruppe in Domänen des
gemischten Modus und eine universelle Gruppe in
Domänen mit einheitlichem Modus dar.
Gruppe standardmäßige Berechtigungen
System Wie bei den Domänen-Admins. System ist das

Betriebssystemkonto.
System ist ein eingebautes Betriebssystemkonto und
gehört nicht zur Gruppe Authentifizierte Benutzer;
aus diesem Grunde wird die Standard-Domänen-GPO
nicht auf dieses Konto angewendet.
6. Zum Hinzufügen einer Berechtigung für einen Benutzer oder eine Sicher-
heitsgruppe klicken Sie auf die Schaltfläche HINZUFÜGEN. Es wird dann ein
Dialogfeld (siehe Abbildung 6.20) angezeigt, in dem alle Benutzer, Gruppen
und Computer der Containerebene, auf der Sie sich aktuell befinden
(Domäne), aufgelistet sind.
Durch Anklicken des Pfeils im Listenfeld SUCHEN wird die Active Directory-
Domänenstruktur angezeigt. Sie haben dann die Möglichkeit, die Benutzer,
Gruppen und Computer auszuwählen, auf welche Sie die Richtlinie anwenden
möchten. Außerdem können Sie den gesamten Inhalt des Verzeichnisses
durchsuchen (siehe Abbildung 6.21). Auf diese Weise können Sie den Bereich
der Objekte, auf die Sie die GPO-Berechtigungen anwenden möchten, und de-
ren Zahl unter Umständen in die Hunderte oder Tausende geht, einengen.
Abbildung 6.20
Das Dialogfeld
BENUTZER, COMPU-
TER ODER GRUPPEN
AUSWÄHLEN für die
Gruppenrichtlinien-
berechtigungen
Abbildung 6.21
Bereich für die

Zuweisung von
Berechtigungen
festlegen
Durch Abwärtsblättern im Container erhalten Sie eine Liste der Gruppen,

Computer und Benutzer, auf die Berechtigungen angewendet werden können.
HINWEIS
Gruppen sind besser
Wenn Sie vor der Frage stehen, ob Sie Berechtigungen für GPOs auf Benutzer
oder Gruppen anwenden sollen, denken Sie daran, dass die Anwendung von Be-
rechtigungen auf Gruppen empfehlenswerter ist. Der Grund liegt darin, dass es
sehr einfach ist, Benutzer und Computer in Gruppen aufzunehmen und wieder
von dort zu entfernen. In Windows 2000 können auch Computer Mitglieder von
Gruppen sein. Die Berechtigungen, die der Gruppe gewährt worden sind, können
automatisch auf alle Mitglieder der Gruppe angewendet werden. Die individuelle
Zuweisung von Berechtigungen an Benutzer oder Computer in der GPO erfordert
mehr Aufwand und ist fehleranfälliger.
7. Zum Hinzufügen eines Benutzers suchen Sie nur seinen Namen in der Liste
und klicken dann auf die Schaltfläche HINZUFÜGEN. Zum Hinzufügen weite-
rer Benutzer markieren Sie einen weiteren Namen und klicken wieder auf
HINZUFÜGEN. Mehrere Benutzer fügen Sie hinzu, indem Sie (Strg) gedrückt
halten und die Benutzer, Gruppen oder Computer markieren, denen Sie
Berechtigungen zuweisen möchten. Anschließend klicken Sie wieder auf
HINZUFÜGEN. Wie die Abbildung 6.22 zeigt, enthält dabei der untere Bereich
des Dialogfensters die von Ihnen ausgewählten Objekte. Sie haben auch die
Möglichkeit zu verifizieren, ob die Benutzer, Computer und Gruppen inner-

halb von Active Directory noch gültig sind, indem Sie auf die Schaltfläche
NAMEN ÜBERPRÜFEN klicken. Ihre Auswahlliste speichern Sie mit OK.
Abbildung 6.22
Auswählen von
Benutzern, Grup-
pen und Compu-
tern, um ihnen
Berechtigungen
zuzuweisen
8. Nachdem Sie die Liste der Active Directory-Objekte, denen Sie Berechtigun-
gen zuweisen möchten, gespeichert haben, kehren Sie zur Registerkarte
SICHERHEITSEINSTELLUNGEN für GPO-Eigenschaften zurück. Die jedem
Objekt zugewiesene Standardberechtigung lautet LESEN (siehe Abbildung
6.23), was bedeutet, dass diese Benutzer, Gruppen und Computer das GPO
lesen können. Die Berechtigung kann ihnen außerdem aufgrund ihrer Mit-
gliedschaft in der Gruppe Authentifizierte Mitglieder, die über die Berechti-
gungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN verfügt, über vererbte
Berechtigungen zukommen.
Berechtigungen zum Verwalten der Richtlinie zuweisen

In großen Unternehmensumgebungen kann die Administration einer Windows-
2000-Active-Directory-Struktur stark zentralisiert sein. Es kann dann auf derselben
Ebene in der Active Directory-Hierarchie viele verschiedene Administratoren
geben, die alle mit der Ausführung bestimmter Funktionen beauftragt sind. Grup-
penrichtlinien betreffen zahlreiche Aspekte der Computerkonfiguration und Benut-
zerumgebung – aus diesem Grunde kann es daher hilfreich sein, mehrere verant-
wortliche Personen für die Anpassung der GPO-Einstellungen zu haben.
Abbildung 6.23
Die standardmäßi-
ge Berechtigung
für neue Objekte ist
LESEN
Als Administrator können Sie das Recht zum Ändern und Aktualisieren von GPO-
Einstellungen, die erstellt worden sind, an andere Benutzer vergeben, die nicht über
direkte administrative Privilegien für den Container verfügen, mit dem das GPO
verknüpft ist. Damit bekommen Sie einen Benutzer, der Änderungen am GPO vor-
nehmen kann, aber nicht den sonstigen Inhalt des Containers verändern kann. Der
Benutzer kann also weder untergeordnete Objekte in dem Container erstellen noch
entfernen. Auf diese Weise kann eine Organisation individuelle Verantwortliche für
die Konfiguration von GPOs einsetzen, die nicht zwangsläufig auch Einfluss auf die
Active Directory-Struktur haben.
Ein Benutzer, dem administrative Kontrolle über ein GPO gewährt worden ist, kann
Änderungen an den GPO-Einstellungen vornehmen, aber keine neuen GPOs im sel-
ben Container erstellen. Falls ein Benutzer Administratorprivilegien für einen Con-
tainer hat, mit dem das GPO verknüpft ist, hat dieser Benutzer gleichzeitig die
Administratorprivilegien für das GPO. Das Zulassen von Administratorprivilegien
für ein GPO ist insbesondere dann nützlich, wenn ein Benutzer für den Test von
GPO-Einstellungen verantwortlich ist, bevor diese im ganzen Unternehmen einge-
setzt werden, oder wenn er für die Veröffentlichung und Pflege von über GPOs ver-
teilte Softwareanwendungen verantwortlich ist, oder wenn das Personal des Help-
desk Änderungen an GPO-Einstellungen vornehmen muss, um Probleme zu lösen.
HINWEIS
Berechtigungen für eine Gruppenrichtlinie
Berechtigungen für eine Gruppenrichtlinie werden beginnend mit der niedrigsten

möglichen Ebene ausgewertet. Berechtigungen, die auf der Gruppenebene zu-
gewiesen worden sind (beispielsweise Vertrieb), können daher durch eine explizit
für ein Mitglied der Gruppe zugewiesene Berechtigung (beispielsweise JSmith)
überschrieben werden. Nehmen Sie einmal an, dass Sie die Berechtigungen Le-
sen und Gruppenrichtlinie übernehmen der Gruppe Vertrieb zuweisen, und dann
nur die Berechtigung Lesen für den Benutzer JSmith festlegen. Auf alle Benutzer
in Vertrieb außer JSmith wird nun das GPO angewendet, weil eine Berechtigungs-
zuweisung auf Benutzerebene Vorrang vor der Einstellung für die Gruppe hat, in
der der Benutzer Mitglied ist. Damit haben Sie die Anwendung des GPO auf alle
Mitglieder von Vertrieb mit der Ausnahme von JSmith beschränkt (dies heißt
gleichzeitig, dass Sie damit die Gruppe Authentifizierte Benutzer aus der Liste der
Gruppen mit Berechtigungen für das GPO entfernt haben).
Damit Benutzer Änderungen an GPO-Einstellungen vornehmen können, brauchen

sie zwei Berechtigungen: Lesen, um die aktuellen Einstellungen lesen zu können,
und Schreiben, um diese ändern zu können. Allerdings ist die Delegierung der
administrativen Kontrolle über eine GPO auf Domänen-Admins und Organisations-
Admins beschränkt, was bedeutet, dass nur Benutzer, die Mitglieder der Sicher-
heitsgruppen Domänen-Admins und Organisations-Admins sind, anderen Benut-
zern die Schreiben-Berechtigung gewähren können, was unabhängig davon gilt,
wem das GPO gehört.
Führen Sie die folgenden Schritte aus, um einem Benutzer die Berechtigung zum
Verwalten einer Gruppenrichtlinie zuzuweisen.

6.4 Berechtigung zum Verwalten eines GPO zuweisen
1. Klicken Sie auf START/PROGRAMME/VERWALTEN/ACTIVE DIRECORY-
BENUTZER UND -COMPUTER.
2. Klicken Sie mit der rechten Maustaste auf Ihrem Domänennamen (oder der
Organisationseinheit, in der das GPO erstellt wurde), und wählen Sie im
3. Wählen Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE
aus.
4. Klicken Sie auf Default Domain Policy, und klicken Sie dann auf die Schalt-
fläche EIGENSCHAFTEN.
5. Klicken Sie zum Anzeigen der vorhandenen Berechtigungen auf die Regis-
terkarte SICHERHEITSEINSTELLUNGEN.
6. Klicken Sie zum Anzeigen einer Liste mit Benutzern, Gruppen und Compu-
tern, unter denen Sie eine Auswahl treffen können, auf die Schaltfläche HIN-
ZUFÜGEN.
7. Klicken Sie den Benutzer oder die Gruppe an, der das GPO verwalten soll,
und klicken Sie dann auf HINZUFÜGEN.
8. Klicken Sie auf OK, wenn Sie alle Benutzer und Gruppen festgelegt haben,
die die Richtlinie verwalten sollen. Sie kehren daraufhin zur Registerkarte
SICHERHEITSEINSTELLUNGEN im Dialogfeld mit den Eigenschaften der Grup-
penrichtlinie zurück.
9. Klicken Sie den Namen des Benutzers bzw. der Gruppe an, den Sie zur Liste
der Berechtigungen für dieses GPO hinzufügen möchten, und aktivieren Sie
die Kontrollkästchen LESEN und SCHREIBEN in der Spalte ZULASSEN.
10. Klicken Sie, wenn Sie fertig sind, zum Speichern Ihrer Änderungen auf
ÜBERNEHMEN und OK. Das Dialogfeld mit den Eigenschaften der Gruppen-
richtlinie wird geschlossen.
In den meisten Fällen werden Sie hinsichtlich der Zuweisung von Berechtigungen
für Anwendung und Bearbeitung des GPO Gebrauch von den zuvor erwähnten
kombinierten Berechtigungen machen. Mit diesen können Sie nicht nur einstellen,
auf welche Benutzer, Computer oder Gruppen die Richtlinie angewendet werden
soll, sondern auch, wer die Kontrolle über die Bearbeitung der Richtlinie hat. Falls
Sie detailliertere Berechtigungen benötigen, greifen Sie auf die erweiterten Berech-
tigungen zurück.
Erweiterte Gruppenrichtlinienberechtigungen
Windows 2000 Active Directory stellt eine außerordentliche Vielfalt an Berechti-
gungen zur Verfügung, die Sie einem Benutzer, einer Gruppe oder Computer
gewähren oder verweigern können. Um den Vorgang der Zuweisung zu vereinfa-
chen, werden sie normalerweise zwar nicht angezeigt, können jedoch jederzeit
sichtbar gemacht werden.
Wenn Sie im Dialogfeld der Eigenschaften zur Gruppenrichtlinie auf die Schaltflä-
che ERWEITERT klicken, erhalten Sie das Dialogfeld in der Abbildung 6.24. In die-
sem können Sie die aktuellen Berechtigungen anzeigen und bearbeiten, die Überwa-
chung anzeigen und bearbeiten, sowie den Besitzer des GPO, mit dem Sie gerade zu
tun haben, anzeigen und ändern.
Abbildung 6.24
Das Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN für die
Gruppenrichtlinie
wird durch Ankli-
cken der Schaltflä-
che ERWEITERT in
der Registerkarte
SICHERHEITSEINSTEL-
LUNGEN ZUR GRUP-
PENRICHTLINIE ange-
zeigt
Abbildung 6.25
Diese detaillierte
Übersicht über die
Berechtigungen im
Dialogfeld Berech-
tigungseintrag
erscheint, wenn Sie
ANZEIGEN/BEARBEI-
TEN im Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN anklicken
In der Registerkarte BERECHTIGUNGEN des Dialogfeldes BERECHTIGUNGSEINTRAG

sehen Sie jetzt den Typ der Berechtigung (ZULASSEN oder VERWEIGERN). Sie sehen
weiterhin die Namen der Benutzer, Gruppen oder Computer, für welche die Berech-
tigung gilt (NAME). Weiterhin wird der Name der jeweiligen Berechtigung ange-
zeigt. In der Liste der Berechtigungen finden Sie manchmal die Bezeichnung SPEZI-
ELL, was bedeutet, dass Sie durch Anklicken der Schaltfläche ANZEIGEN/
BEARBEITEN weitere Details zur Berechtigung anzeigen können, oder auch die
Bezeichnung GRUPPENRICHTLINIE ÜBERNEHMEN. Außerdem können Sie feststellen,
auf was diese Einstellungen angewendet werden: auf das Objekt und alle unterge-
ordneten Objekte, nur auf dieses Objekt oder nur auf untergeordnete Objekte. In der
Registerkarte BERECHTIGUNGEN können Sie die jeweiligen Berechtigungen, die
zugewiesen wurden, auch hinzufügen, entfernen oder anzeigen bzw. bearbeiten.
Wenn Sie einen Benutzer oder eine Gruppe, der Berechtigungen zugewiesen wor-
den sind, auswählen und die Schaltfläche ANZEIGEN/BEARBEITEN anklicken, erhal-
ten Sie das Dialogfeld der Abbildung 6.25. Darin werden die spezifischen ein-
schließlich derjenigen Berechtigungen angezeigt, die schon in der vereinfachten
Darstellung der Registerkarte SICHERHEITSEINSTELLUNGEN im Dialogfeld EIGEN-
SCHAFTEN zum GPO aufgelistet wurden. Wie Sie sehen, werden die Berechtigungen
LESEN, SCHREIBEN, ALLE UNTERGEORDNETEN OBJEKTE ERSTELLEN und ALLE
UNTERGEORDNETEN OBJEKTE LÖSCHEN für die Domänen-Admins auf der Register-
karte SICHERHEITSEINSTELLUNGEN in eine größere Gruppe mit noch spezifischeren
Berechtigungen aufgeteilt. Zu diesen gehören Berechtigungen wie ALLE EIGEN-
SCHAFTEN LESEN, INHALT AUFLISTEN, LESEN- und SCHREIBEN-Berechtigungen, um
nur einige wenige zu nennen. Diese und viele weitere Berechtigungen stehen auf
der Registerkarte OBJEKT im Dialogfeld BERECHTIGUNGSEINTRAG zur Verfügung.
Berechtigungen können nur auf die Eigenschaften des GPO angewendet werden,
die auch in der Registerkarte EIGENSCHAFTEN aufgeführt sind (siehe Abbildung
6.26).
Auf jeder Registerkarte werden Sie außerdem noch einige andere Einträge bemer-
ken. Als Erstes gehört dazu das Feld NAME, welches Ihnen den Benutzer, die
Gruppe oder den Computer angibt, auf den diese Berechtigungen angewendet wer-
den. Dadurch stellen Sie fest, für wen oder was die aktuellen Einstellungen gelten.
Über die Schaltfläche ÄNDERN neben dem Feld NAME können Sie angeben, für wen
diese Berechtigungen gültig sein sollen. Mit anderen Worten: Damit weisen Sie die-
sen Satz von Berechtigungen einem anderen Benutzer, einer anderen Gruppe oder
einem anderen Computer zu.
Im Listenfeld ÜBERNEHMEN FÜR legen Sie fest, auf welcher Ebene diese Berechti-
gungen angewendet werden sollen: nur dieses Objekt, dieses und alle untergeordne-
ten Objekte, nur untergeordnete Objekte, nur Computer, nur Gruppen, Standorte
oder Benutzer. Einen Teil dieser Liste zeigt die Abbildung 6.27, die Ihnen die große
Flexibilität der Berechtigungszuweisung in Windows 2000 demonstriert.
Abbildung 6.26
Berechtigungen,
die auf die Eigen-
schaften des GPO
angewendet wer-
den können, wer-
den in der Register-
karte
EIGENSCHAFTEN des
Dialogfeldes
BERECHTIGUNGSEIN-
TRAG angezeigt
Durch die selektive Zuweisung von GPO-Berechtigungen auf bestimmte Active

Directory-Objekte können Sie den Bereich der Richtlinie weiter einengen und auf
diese Weise eine außerordentlich wirksame Kontrolle über GPOs im gesamten
Unternehmen realisieren.
Hauptsächlich zeigt dieses Dialogfeld die Berechtigungen, die Sie zuweisen kön-
nen, sowie deren Typ (ob für das jeweilige Objekt zugelassen oder verweigert).
Durch Aktivieren und Deaktivieren legen Sie die gewünschte Kombination von
Berechtigungen fest.
Unten im Dialogfeld stehen noch einige weitere Optionen zur Verfügung: Mit der
Schaltfläche ALLES LÖSCHEN entfernen Sie die angezeigten Berechtigungen alle auf
einmal, anstatt sie einzeln löschen zu müssen. So haben Sie die Gelegenheit, ganz
neu aufzusetzen und nur die Berechtigungen in die Liste zu übernehmen, die Sie
wirklich brauchen. Am besten notieren Sie sich vor dem Löschen die zuvor zuge-
wiesenen Berechtigungen, falls Sie den früheren Zustand später einmal wiederher-
stellen müssen.
Abbildung 6.27
Berechtigungen
können auf zahlrei-
chen Ebenen und
auf viele Typen von
Objekten angewen-
det werden
HINWEIS
Erweiterte Berechtigungen zuweisen
Berechtigungen sollten auf dieser Ebene besser nicht zugewiesen werden, weil
es im Fehlerfall sehr schwierig werden kann, die konkrete Anwendungsweise ei-
nes GPO zu debuggen. Die auf der Registerkarte SICHERHEITSEINSTELLUNGEN des
Dialogfeldes zu den Eigenschaften des GPO zur Verfügung stehenden Berechti-
gungen sollten in den meisten Fällen ausreichen, um die korrekte Ausführung der
Gruppenrichtlinie zu gewährleisten. Erweiterte Berechtigungen können bei der
Anwendung einer Gruppenrichtlinie zu fehlerhaften Funktionen führen und sollten
daher nur nach sehr sorgfältiger Planung vergeben werden.
Das Kontrollkästchen BERECHTIGUNGEN NUR FÜR OBJEKTE UND/ODER CONTAINER

IN DIESEM CONTAINER ÜBERNEHMEN unten im Dialogfeld beschränkt die Weiter-
verteilung der Berechtigungen auf diese Ebene und verhindert eine Anwendung
auch auf die unteren Ebenen. Allerdings betrifft diese Einstellmöglichkeit nicht so
sehr GPOs, sondern gewährleistet beispielsweise bei der Berechtigungszuweisung
im NTFS-Dateisystem, dass einmal vergebene Berechtigungen nicht ein oder zwei
Ebenen tiefer wieder überschrieben werden. Die Berechtigungen können nur auf der
Ebene überschrieben werden, auf der sie vergeben wurden.
Durch die Verwendung von Berechtigungen kann der Administrator nicht nur kon-
trollieren, auf wen die Richtlinie angewendet wird, sondern auch, wer das Recht
zum Erstellen oder Bearbeiten der Richtlinieneinstellungen besitzt. Auf diese Weise
können Sie sicherstellen, dass nur bestimmte Richtlinien auf eine bestimmte Gruppe
von Benutzern oder Computer angewendet werden, andere dagegen nicht.
Richtlinien einer höheren Ebene (Standort oder Domäne) können dafür konfiguriert
werden, die niedrigstufigeren Richtlinien auf der OU-Ebene zu überschreiben. Auch
ein Administrator einer niedrigeren Ebene (einer Organisationseinheit beispiels-
weise) verfügt über die Möglichkeit, die Richtlinienvererbung zu deaktivieren und
zu verhindern, dass Einstellungen von GPOs, die auf der Standort- oder Domänen-
ebene erstellt worden sind, auf ihn oder seine Benutzer angewendet werden (es sei
denn, dass diese GPOs mit der Einstellung KEIN VORRRANG konfiguriert wurden).
Diese Optionen werden im nächsten Abschnitt erörtert.
6.4.2 Gruppenrichtlinienvererbung
In manchen Fällen reicht die einfache Vergabe von Berechtigungen für ein GPO
unter Umständen nicht aus. Sie wünschen sich in solchen Fällen vielleicht, dass die
Anwendung eines GPO auf einen Teil von Active Directory blockiert wird, oder dass
Unternehmensstandards durchgesetzt werden, deren Anwendung auf alle Bestand-
teile der Organisation sichergestellt ist. Vielleicht möchten Sie aber auch ein GPO
haben, welches ausschließlich nur auf bestimmte Benutzer oder Computer angewen-
det werden soll. Diese drei Fälle betreffen die Deaktivierung, den Vorrang und die
Filterung der Gruppenrichtlinie, und werden in den nächsten Abschnitten erörtert.
Die Gruppenrichtlinienvererbung stellt ein äußerst wichtiges Element in der Frage

dar, wie die Gruppenrichtlinie implementiert wird, obschon dies nicht speziell mit
der Sicherheit zu hat. Indem Sie die Verfahren der Deaktivierung, des Vorrangs und
des Filterns einsetzen, stehen Ihnen sehr effiziente Mittel zum Feintuning der GPO-
Anwendung in der gesamten Organisation zur Verfügung.
Mit diesen Verfahren setzen Sie für alle Benutzer bestimmte Einstellungen durch
(Vorrang), verhindern die Anwendung von Richtlinien einer höheren Ebene auf
niedrigere Ebenen (Deaktivierung, etwa bei einer OU) oder vergeben Berechtigun-
gen auf eine Weise, die sicherstellt, dass Sie nur auf bestimmte Benutzer angewen-
det wird (Filtern). Die folgenden Abschnitte stellen diese Verfahren vor.
Gruppenrichtlinienvererbung deaktivieren
Gruppenrichtlinien können auf der Ebene des Standorts, der Domäne und der OU
vergeben werden. Ein Administrator auf der Ebene der OU oder Domäne möchte
jedoch unter Umständen gar nicht, dass GPOs höherer Ebenen auf seine jeweilige
OU angewendet werden. Oder ein Administrator einer niedrigeren Ebene in Paris
wünscht aus verständlichen Gründen nicht, dass die Landeseinstellungen eines in
New York konfigurierten GPO die landesspezifischen Einstellungen berühren, die

er für Frankreich vorgesehen hat (denken Sie daran, dass Active Directory eine
Baumstruktur aller im Unternehmen vorhandenen Domänen erlaubt). Eine Deakti-
vierung ist daher sinnvoll, wenn Sie einen ganz spezifischen Satz von GPO-Einstel-
lungen benötigen und die Vererbung von Einstellungen aus höheren Ebenen wegen
regionsspezifischer Konfigurationen von GPOs problematisch ist. Die Deaktivie-
rung ist besonders dann sinnvoll, wenn ein Administrator für einen Container wie
etwa einer OU die volle Kontrolle über sämtliche Eigenschaften dieses Containers
einschließlich der GPOs besitzen muss.
Wenn Sie sich die Frage stellen, ob Sie die Deaktivierung anwenden sollen, sollten
Sie an zwei Regeln denken: Wenn Sie sich für die Deaktivierung der Richtlinienver-
erbung entscheiden, tun Sie dies für sämtliche GPOs, die höher in der Vererbungs-
hierarchie liegen. Sie haben keinesfalls die Möglichkeit, selektiv festzulegen, wel-
che GPOs deaktiviert werden – die Entscheidung lautet immer: Alles oder gar
nichts! Sie deaktivieren entweder alle auf einer höheren Ebene konfigurierten GPO-
Einstellungen, und konfigurieren dann die Einstellungen, die Sie deaktiviert haben,
selbst für Ihre eigenen GPOs, oder aber keine der GPOs auf höherer Ebene werden
deaktiviert. Dazwischen gibt es nichts – entweder alle GPOs oder keine!
Die zweite Regel in der Frage, wann Sie Deaktivierungen einsetzen sollten, lautet,
dass Administratoren der höheren Ebene unter Umständen gar nicht möchten, dass
gewisse GPOs blockiert werden. In diesem Fall werden diese Administratoren die
Durchsetzung der GPO auch dann erzwingen, wenn Sie die Vererbung deaktiviert
haben. GPOs eines übergeordneten Containers wie eines Standorts oder einer
Domäne, deren Vorrang festgelegt worden ist, können im untergeordneten Objekt
nicht deaktiviert werden. Damit wird sichergestellt, dass unternehmenswichtige
Einstellungen niemals umgangen werden können. Ein Beispiel hierfür wäre ein
GPO, welches die automatische Installation und Aktualisierung einer Antivirussoft-
ware auf der Standortebene vorsieht. Wenn Sie jetzt festlegen, dass die Vererbung
auf Ebene der OU oder Domäne deaktiviert wird, wird die Software trotzdem, wie
im Standort-GPO vorgegeben, installiert und ausgeführt, sofern der Vorrang des
GPO entsprechend konfiguriert worden ist.
Führen Sie zum Deaktivieren der Gruppenrichtlinienvererbung die folgenden

Schritte aus:

6.5 Gruppenrichtlinienvererbung deaktivieren
1. Starten Sie entweder ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder
2. Klicken Sie mit der rechten Maustaste auf den Container, für den Sie die
Gruppenrichtlinienvererbung deaktivieren möchten, und wählen Sie im Kon-
textmenü EIGENSCHAFTEN aus.
3. Klicken Sie in dem Dialogfeld auf die Registerkarte GRUPPENRICHTLINIE.
4. Aktivieren Sie das Kontrollkästchen RICHTLINIENVERERBUNG DEAKTIVIEREN
(siehe Abbildung 6.28), damit GPO-Einstellungen aus höheren Ebenen auf
diesen Active Directory-Container nicht mehr angewendet werden.
5. Klicken Sie auf ÜBERNEHMEN und OK, um Ihre Einstellung zu speichern.
Abbildung 6.28
Deaktivieren der
GRUPPENRICHTLINI-
ENVERERBUNG durch
Aktivieren des Kon-
trollkästchens
Richtlinienverer-
bung deaktivieren
Die Deaktivierung der Gruppenrichtlinienvererbung im GPO ist simpel, aber Sie

müssen auch an die Folgen denken. Nach der Deaktivierung der GPO-Einstellungen
eines bestimmten Active Directory-Containers (normalerweise ein OU) werden
keine Einstellungen einer höheren Ebene mehr auf den Container angewendet. Dies
bedeutet, dass Sie selbst ein GPO erstellen müssen, falls Sie die Wirkungen der Ein-
stellungen, die Sie deaktiviert haben, wieder herbeiführen möchten. Ein Administ-
rator einer höheren Ebene (beispielsweise einer Domäne) kann entscheiden, die
Deaktivierung gewisser GPOs zu verhindern. Diese Option, mit der die Durchset-
zung des GPO auf alle unteren Ebenen der Active Directory-Container durchgesetzt
wird, steht Ihnen zur Verfügung und wird als nächstes Thema erörtert.
Gruppenrichtlinieneinstellungen durchsetzen
Auf der Domänen- oder Standortebene sind Sie als Administrator für eine große
Anzahl von Benutzern und Computern in der gesamten Organisation verantwort-
lich. Sie wollen nun an Administratoren der niedrigeren Ebenen administrative
Rechte für deren Unterdomäne oder OU delegieren, wollen aber gleichzeitig sicher
sein, dass verschiedene wichtige Einstellungen, die von der Geschäftspolitik
erzwungen werden, von diesem Administratoren nicht abgeändert werden. Solche
Geschäftsregeln können beispielsweise vorsehen, dass als Desktop-Hintergrundbild
für alle Benutzer immer das Firmenlogo angezeigt wird, oder dass auf jedem Com-
puter eine Antivirussoftware installiert sein muss. Als Erstes erstellen Sie die GPOs,
die diese unternehmenswichtigen Richtlinien enthalten, und sorgen nun als Nächs-
tes dafür, dass diese auch im gesamten Unternehmen angewendet werden. Die
Funktionen der Gruppenrichtlinie ermöglichen es Ihnen, die GPOs und ihre Einstel-
lungen auf allen niedrigeren Ebenen durchzusetzen, und zwar unabhängig davon, ob
die Gruppenrichtlinienvererbung deaktiviert wurde oder nicht.
Stellen Sie im Zusammenhang mit der Frage, ob Sie eine GPO auf niedrigeren Ebe-
nen durchsetzen sollten, immer sicher, dass dies tatsächlich der gangbare Weg zur
Realisierung Ihrer Ziele ist. Wenn Sie beispielsweise auf der Domänenebene die
Einstellungen eines GPO für einen Active Directory-Container durchsetzen möch-
ten, die nur für die Vertriebsabteilung gültig sein sollen, macht die Durchsetzung
des GPO keinen Sinn, weil nun auch die Einstellungen für alle anderen Abteilungen
geändert werden. Das Verfahren führt also nicht zum gewünschten Ergebnis. Beim
Durchsetzen eines GPO überschreiben dessen Einstellungen sämtliche Einstellun-
gen auf niedrigeren Ebenen unabhängig davon, ob diese auf der Ebene des unteren
Containers geändert worden sind oder nicht.
Legen Sie sich, wenn Sie GPO-Einstellungen auf niedrigeren Ebenen in der Hierar-
chie durchsetzen möchten, zwei Fragen vor: »MÜSSEN alle Container in den unte-
ren Ebenen diese Einstellungen haben?« Und weiter: »Sollten Administratoren der
unteren Ebenen diese Einstellungen ändern können?« Wenn die Antwort auf die
erste Frage Ja lautet, dann käme ein Durchsetzen des GPO in Frage. Lautet die Ant-
wort auf die zweite Frage auch Ja, dann müssen Sie die Sache noch einmal überden-
ken. Ist die Antwort auf die erste Frage Ja, und auf die zweite Frage Nein, dann sieht
es so aus, als wäre das Durchsetzen des GPO der beste Weg.
Führen Sie die folgenden Schritte aus, um die GPO-Einstellungen auf alle niedrige-
ren Ebenen durchzusetzen.

6.6 Gruppenrichtlinienvererbung durchsetzen
1. Starten Sie entweder ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder
2. Klicken Sie mit der rechten Maustaste auf den Container, für den Sie die
Gruppenrichtlinienvererbung deaktivieren möchten, und wählen Sie im Kon-
textmenü EIGENSCHAFTEN aus.
4. Klicken Sie zum Anzeigen des Dialogfeldes OPTIONEN auf die Schaltfläche
OPTIONEN (siehe Abbildung 6.29).
5. Aktivieren Sie das Kontrollkästchen KEIN VORRANG, damit diese GPO-Ein-
stellung auf allen niedrigeren Ebenen durchgesetzt wird.
6. Klicken Sie zum Speichern der Option auf OK.
7. Klicken Sie zum Speichern Ihrer Änderungen im Hauptdialogfeld auf ÜBER-
NEHMEN und OK.
Abbildung 6.29
Aktivieren Sie das

Kontrollkästchen
KEIN VORRANG,
damit alle Grup-
penrichtlinienein-
stellungen auf alle
Container der unte-
ren Ebenen durch-
gesetzt werden
Denken Sie noch einmal daran, wie wichtig es ist, sich darüber im Klaren zu sein,
dass mit dieser Aktion die Einstellungen auf dieser Ebene auf sämtliche Active
Directory-Container unterer Ebenen durchgesetzt werden, und zwar unabhängig
davon, ob dieselben Einstellungen auf der unteren Ebene geändert worden sind oder
nicht! Eine gleiche Einstellung auf der Unterdomänen- oder Organisationseinheiten-
ebene, die ein Administrator dort konfiguriert haben mag, wird in Zukunft nicht
mehr angewendet.
Die Deaktivierung und Durchsetzung der GPO-Einstellungen bietet Ihnen zwar

bedeutend mehr Möglichkeiten, als mit der Systemrichtlinie unter Windows NT 4.0
zur Verfügung stand, gibt Ihnen aber nicht die Kontrolle darüber, auf welche Benut-
zer die Richtlinie angewendet wird. Dies ist mit dem Filtern bzw. der selektiven
Zuweisung von Berechtigungen an ein GPO möglich.
Gruppenrichtlinie filtern
Sie haben bis hierhin erfahren, wie die Anwendung von GPOs auf Container der
niedrigeren Ebenen deaktiviert und GPO-Einstellungen auf alle diese Container
durchgesetzt werden. Vielleicht haben Sie aber auch gewisse GPOs, die Sie nur auf
ganz bestimmte Benutzer, Gruppen oder Computer anwenden möchten. Der Prozess
der selektiven Festlegung, welche GPO-Einstellungen im Einzelnen verwendet wer-
den, heißt Filtern.
Mit dem Filtern von Gruppenrichtlinien ist gemeint, Berechtigungen des GPO so
anzuwenden, dass bestimmte Benutzer, Sicherheitsgruppen oder Computer ausge-
schlossen werden. Das Filtern stellt daher eine besonders sorgfältig geplante Ver-
waltung von Berechtigungen für Fälle dar, in denen das GPO nur auf bestimmte
Objekte angewendet werden soll.
GPOs, die mit Active Directory-Containern verknüpft sind, wurden bereits weiter
oben erörtert. Wenn ein GPO mit einem Active Directory-Container verknüpft wird,
wird damit standardmäßig der Sicherheitsgruppe Authentifizierte Benutzer, die alle
Benutzer und Computer enthält, die Gruppenrichtlinienberechtigung Lesen und
Schreiben gewährt. GPO-Einstellungen werden daher standardmäßig auf jedermann
und alles so lange angewendet, wie keine anderslautenden Berechtigungen ein-
schließlich Administratorenprivilegien etwas anderes vorschreiben. Führen Sie
zum Filtern der Gruppenrichtlinie die folgenden Schritte aus.

6.7 Gruppenrichtlinie filtern
1. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE
DIRECTORY-STANDORTE UND -DIENSTE zum Öffnen des Containers, dessen
GPO-Einstellungen Sie filtern möchten.
2. Klicken Sie mit der rechten Maustaste auf den Container, dessen GPO-Ein-
stellungen Sie filtern möchten, und wählen Sie im Kontextmenü EIGEN-
SCHAFTEN aus.

4. Klicken Sie zum Öffnen des Dialogfeldes EIGENSCHAFTEN für das GPO auf
die Schaltfläche EIGENSCHAFTEN.
5. Klicken Sie zum Anzeigen einer Liste der Benutzer, Gruppen und Computer,
denen Berechtigungen der GPO zugewiesen wurden, auf die Registerkarte
SICHERHEITSEINSTELLUNGEN.
6. Falls der Benutzer, die Gruppe oder der Computer, für den Sie die Richtlinie
filtern möchten, nicht in der Liste aufgeführt ist, klicken Sie auf die Schaltflä-
che HINZUFÜGEN. Sie erhalten daraufhin eine Liste mit Benutzern, Gruppen
und Computern angezeigt. Wählen Sie die Objekte aus, für die Sie eine Filte-
rung der Gruppenrichtlinieneinstellungen vornehmen möchten, und klicken
Sie auf HINZUFÜGEN und OK.
Abbildung 6.30
Durch Deaktivieren
der Berechtigun-
gen LESEN und
GRUPPENRICHTLINIE
ÜBERNEHMEN bei
einem Benutzer,
einer Sicherheits-
gruppe oder einem
Computer filtern Sie
das GPO und stel-
len sicher, dass es
nicht mehr auf die-
ses Objekt ange-
wendet wird
7. Wie in Abbildung 6.30 gezeigt, filtern Sie die Anwendung der GPO-Einstel-
lungen, indem Sie die Kontrollkästchen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN in der Spalte ZULASSEN auf der Registerkarte SICHERHEITSEIN-
STELLUNGEN deaktivieren. Dadurch wird sichergestellt, dass die GPO-Ein-
stellungen nicht mehr auf diesen Benutzer, Computer oder diese Sicherheits-
gruppe angewendet werden. Deaktivieren Sie das Kontrollkästchen
GRUPPENRICHTLINIE ÜBERNEHMEN auch für die Gruppe Authentifizierte
Benutzer bzw. entfernen Sie die Gruppe Authentifizierte Benutzer.
Eine alternative Möglichkeit zum Filtern der Richtlinie besteht darin, für den
Benutzer, die Gruppe oder den Computer, auf welche die Richtlinie nicht an-
gewendet werden soll, das Kontrollkästchen VERWEIGERN bei GRUPPEN-
RICHTLINIE ÜBERNEHMEN zu aktivieren. Eine Verweigerung hat immer den
Vorrang vor Zulassen und ist dann nützlich, wenn Sie die GPO-Einstellungen
auf die meisten Benutzer mit wenigen Ausnahmen wie etwa Administratoren
anwenden möchten.
8. Klicken Sie zum Speichern Ihrer Sicherheitseinstellungen auf ÜBERNEHMEN
und OK.
9. Klicken Sie im Hauptdialogfeld zum Speichern Ihrer Einstellungen auf
ÜBERNEHMEN und OK.
Wie Sie nun erfahren haben, können Sie Gruppenrichtlinien deaktivieren, durchset-
zen und filtern. Die Deaktivierung der Richtlinienvererbung bedeutet, dass die
GPO-Einstellungen aus Active Directory-Containern höherer Ebenen (typischer-
weise Standorte und Domänen) nicht mehr auf Active Directory-Container niedri-
gerer Ebenen (OUs) angewendet werden. Das Durchsetzen von GPO-Einstellungen
stellt das Gegenteil der Deaktivierung dar – Sie gewährleisten damit, dass GPO-
Einstellungen, die auf höherer Ebene in einem Active Directory-Container erstellt
wurden, in allen Active Directory-Containern niedrigerer Ebenen ungeachtet der
Deaktivierung oder Aktivierung der GPO-Vererbung durchgesetzt werden. Das Fil-
tern stellt eine weitere Feinabstimmung von Berechtigungen zu dem Zweck dar,
GPO-Einstellungen nur auf bestimmte Benutzer oder Computer anzuwenden, denen
die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN gewährt wurde.
Schön und gut – aber was können Sie mit der Gruppenrichtlinie nun eigentlich alles
kontrollieren? Der nächste Abschnitt erörtert die Frage, wie Sie Gruppenrichtlinien
einsetzen, und wie Benutzer- und Computerumgebungen durch die Kombination
von GPOs mit administrativen Vorlagen kontrolliert werden. In den Kapiteln 7
(»Softwarebereitstellung mittels Gruppenrichtlinien«) und 8 (»Sicherheitsmanage-
ment mittels Gruppenrichtlinien«) werden weitere Details zu anderen Aspekten der
Gruppenrichtlinie diskutiert.
6.5 Benutzerumgebungen mit

Gruppenrichtlinien verwalten
Verwalten und Fehlerbehebung von Benutzerumgebungen mit Grup-
penrichtlinien
씰 Benutzerumgebungen mit administrativen Vorlagen kontrollieren
씰 Skriptrichtlinien auf Benutzer und Computer anwenden
Eine der Herausforderungen für Administratoren eines Windows-2000-Netzwerks
und jedes anderen Netzwerks besteht in der Frage, wie Sie sicherstellen, dass die
Benutzer den Zugriff auf die Ressourcen erhalten, die sie für ihre tägliche Arbeit
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 403
benötigen. Da die Ressourcen, die von den Benutzern gebraucht werden, sich im
Laufe der Zeit auch ändern, muss den Administratoren ein Verfahren zur Verfügung
stehen, welches ihnen die rasche und effiziente Weiterverteilung dieser Änderungen
an die betroffenen Benutzer ermöglicht. Im Idealfall sollte diese Fragestellung eine
Lösung haben, die die Belastung der Administratoren verringern hilft und richtig
konfigurierte Arbeitsumgebungen für die Benutzer ergibt.
Mit Windows-2000-Gruppenrichtlinien verfügt der Administrator über die Mög-

lichkeit, über den Einsatz administrativer Vorlagen und Skripte Benutzer- und
Computerumgebungen einmal zu definieren, und diese Einstellungen dann automa-
tisch auf alle Benutzer und Computer anzuwenden, die diese Einstellungen benöti-
gen. Mit administrativen Vorlagen werden Änderungen an der Registrierung vorge-
nommen, während Skripte Batchdateien, Programme oder Dateien des Windows
Scripting Host (wie etwa VBScript oder JavaScript) sind. Änderungen an GPOs
innerhalb eines Containers (beispielsweise einer OU) werden automatisch auf alle
Benutzer und Computer innerhalb des Containers angewendet; vorausgesetzt, dass
die Berechtigungen entsprechend konfiguriert worden sind. Auf diese Weise wer-
den die definierten Einstellungen ohne weiteren Konfigurationsaufwand seitens des
Administrators automatisch auf jeden neuen Benutzer oder Computer, der demsel-
ben Container (beispielsweise einer OU) hinzugefügt wird, angewendet. GPOs kön-
nen hinsichtlich der Verwaltung von Benutzerumgebungen durch den Einsatz admi-
nistrativer Vorlagen und Skripte so konfiguriert werden, dass die folgenden
Möglichkeiten realisierbar werden:
씰 Sicherstellen, dass alle Benutzer denselben Standarddesktop des Unterneh-

mens verwenden. Mit Gruppenrichtlinien können Sie durchsetzen, dass unter-
nehmensweite Standards eingehalten werden. Zu diesen Standards können
das Hintergrundbild des Desktops, der jeweilige zu verwendende Bildschirm-
schoner, die Eigenschaften der Benutzerkennwörter, die Häufigkeit der
Kennwortwechsel oder die Anmeldenachrichten gehören. Der Grundgedanke
besteht darin, möglichst viel von dem, was die Benutzer für die Konfigurati-
on ihres Desktops benötigen, für sie zu erledigen. Auf diese Weise brauchen
die Benutzer zur Ausführung ihrer Alltagsarbeiten selbst keine Änderungen
mehr vorzunehmen; es sei denn, sie haben unübliche Wünsche. Aber auch
»normwidriges Verhalten« kann von Ihnen nach Bedarf verhindert werden.
씰 Benutzer von der Verwendung bestimmter Programme oder Teile des Be-
triebssystems ausschließen. Obwohl es vielleicht einen falschen Eindruck er-
wecken kann, ist es doch empfehlenswert, manche Benutzer am Zugriff auf
bestimmte Bereiche von Windows 2000 zu hindern, weil sie sich anderenfalls
mehr Schaden zufügen könnten, als ihnen selbst bewusst ist. Beispielsweise
können Sie einen Benutzer daran hindern, die Systemsteuerung zum Ändern
der Systemeinstellungen zu öffnen. In Umgebungen, in denen eine Abwei-
chung von bestimmten Standards der Desktopkonfiguration verhindert wer-
den soll, kann es sinnvoll sein, die Benutzer davon abzuhalten. Ähnlich dazu
möchten Sie vielleicht auch sicherstellen, dass die Benutzer keinen Zugang
zur Eingabeaufforderung oder AUSFÜHREN-Option im Startmenü haben, um
das Laden von Programmen zu verhindern, die potenziell Viren enthalten.
Bestünden solche Restriktionen nicht, wäre die Konsequenz eine vermehrte

Belastung des Helpdesk und der Benutzerunterstützung, was wiederum die
Wartungskosten in der gesamten Organisation in die Höhe treiben würde. Die
Benutzerbeschränkung verfolgt im Allgemeinen zwei Ziele: Zum einen soll
gewährleistet werden, dass Benutzer keine Schäden an den Systemen verur-
sachen, und dass die potenziellen Auswirkungen ihrer Aktionen so gering wie
möglich gehalten werden, damit die Supportkosten im Unternehmen niedrig
bleiben. Zum anderen sollen alle Benutzer mit den nötigen Werkzeugen aus-
gestattet werden, um ihre Alltagsarbeiten so effizient wie möglich verrichten
zu können.
씰 Sicherstellen, dass die Benutzer immer die Desktopeinstellungen, Netzwerk-
und Druckerverbindungen und Programme zur Verfügung haben, die sie für
ihren Job benötigen, und zwar unabhängig vom Computer, der zum Verbin-
den mit dem Netzwerk eingesetzt wird. Die Gruppenrichtlinie in Windows
2000 gibt Ihnen die Möglichkeit, den Speicherungsort von Benutzerprofilen
und Basisordnern auf Netzlaufwerke umzuleiten, was dem Benutzer wiede-
rum die Möglichkeit verschafft, an wechselnden Arbeitsplätzen im Unterneh-
men zu arbeiten, da seine Desktopeinstellungen und Netzwerkfreigaben auf
allen Arbeitsplätzen gleich bleiben. Sie können außerdem festlegen, wie um-
fangreich Benutzerprofile werden dürfen, und ob die Benutzer an ihnen Än-
derungen vornehmen können. Freigegebene Drucker und Netzlaufwerke, die
für einen Benutzer eingerichtet worden sind, können bei jeder Anmeldung am
Netzwerk unabhängig vom verwendeten Arbeitsplatz und auch bei Remote-
verbindungen wiederhergestellt werden.
씰 Die Verwendung bestimmter Windows-2000-Komponenten wie Internet Ex-

plorer, Windows Explorer und Microsoft Management Console konfigurieren
und einschränken. Als Administrator haben Sie die Gelegenheit, die Benutzer
über Gruppenrichtlinien an der Ausführung gewisser Windows-Programme
zu hindern.
씰 Computer- und Desktopumgebung auf Grundeinstellungen zurücksetzen.

Eine der schönen Funktionen der Gruppenrichtlinien besteht darin, dass man
mit ihnen die Einstellungen eines Benutzers vom Desktop entfernen kann, so-
bald ein anderer Benutzer sich anmeldet. Beim Abmelden oder Neustarten
des Computers können spezielle administrative Vorlagen dafür sorgen, dass
alle für einen bestimmten Benutzer konfigurierten Desktopeinstellungen vom
Computer entfernt und ein aufgeräumter Desktop und eine neutrale Konfigu-
ration für den nächsten Benutzer bereitgestellt werden. So wird verhindert,

dass die Einstellungen eines bestimmten Benutzers unerwünschte Auswir-
kungen auf den nächsten Benutzer haben, was Irritation und damit wieder
Supportkosten vermeidet.
In den folgenden Abschnitten werden Sie die Einstellungen administrativer Vorla-

gen für Benutzer und Computer kennen lernen. Weiterhin werden Sie erfahren, wie
Sie administrative Vorlagen verändern. Manchmal müssen Sie gewisse Aspekte der
Benutzerumgebung konfigurieren, wie beispielsweise die Zuordnung von Lauf-
werkbuchstaben zu Freigaben im LAN. Die folgenden Abschnitte erläutern, wie Sie
Skripte in Gruppenrichtlinien konfigurieren und andere konfigurierbare Einstellun-
gen in Gruppenrichtlinien verwenden.
6.5.1 Einstellungen für administrative Vorlagen

Verwalten und Fehlerbehebung von Benutzerumgebungen unter Ver-
wendung von Gruppenrichtlinien
씰 Benutzerumgebungen durch Verwendung administrativer Vorlagen kontrol-
lieren
Wenn Sie ein GPO konfigurieren oder die Einstellungen darin bearbeiten, machen
Sie das über die Microsoft Management Console mit dem Snap-In GRUPPENRICHT-
LINIE (siehe Abbildung 6.31). Wie Sie in der Abbildung sehen können, werden
administrative Vorlagen sowohl auf die Computer- als auch Benutzerkonfiguration
der Gruppenrichtlinie angewendet. Viele Einstellungen sind für beide Konfiguratio-
nen gleich; es gibt aber auch einige wenige, die spezifisch für die jeweilige Konfi-
guration sind.
Der folgenden Tabellen entnehmen Sie, welche Einstellungsarten administrativer

Vorlagen es gibt, was diese im Einzelnen kontrollieren, und auf was sie angewendet
werden.
Einstellungsart zum Kontrollieren von angewendet auf
Windows- Teile von Windows 2000 und der darin enthal- Computer
Komponenten tenen Werkzeuge. An dieser Stelle können Sie die Benutzer
Funktion bestimmter Komponenten von Windows
2000 einschließlich Internet Explorer, Microsoft
NetMeeting, Windows Explorer, Windows
Installer, Taskplaner und Microsoft Management
Console festlegen. Konfigurieren können Sie, ob
das Programm gestartet werden darf, welcher Teil
des Programms verwendet werden darf, und wie
die Funktion des Programms nach dem Start ist.
System Wie Teile von Windows 2000 arbeiten. Hierzu Computer

gehört, was bei der An- und Abmeldung passieren Benutzer
soll, wie die DNS-Client-Suffix-Konfiguration
stattfindet, ob Datenträgerkontingente erzwungen
werden, und wie Eigenschaften der Gruppenricht-
linien wie etwa das Aktualisierungsintervall und
die Windows-Dateiwiederherstellung (der Fähig-
keit von Windows 2000, automatisch kritische
Systemdateien wieder zu ersetzen, die von
anderen Programmen überschrieben worden sind)
Netzwerk Attribute von Netzwerkverbindungen, wie etwa, Computer
ob die RAS-Unterstützung für eingehende oder Benutzer
ausgehende Einwählverbindungen gegeben ist, ob
Änderungen an den Netzwerkeigenschaften
erlaubt sind, und wie Offline-Dateien konfiguriert
werden (ob die Benutzer Offline-Dateien
verwenden dürfen, und wie und wann die
Synchronisierung stattfindet).
Drucker Konfiguration von Druckern, wie etwa, ob diese Computer
in Active Directory veröffentlicht werden, ob
Drucker automatisch veröffentlicht werden, ob
weborientiertes Drucken eingesetzt wird, sowie
weitere Einstellungen wie der Computerstandort,
die Abfragehäufigkeit für Drucker usw.
Startmenü und Der verfügbare Teil des Startmenüs und der Benutzer
Taskleiste Taskleiste. Hierzu gehört, ob dem Benutzer die
Befehle Suchen, Ausführen, die Hilfe und die
Favoriten im Startmenü zur Verfügung stehen.
Außerdem können Sie an dieser Stelle konfigu-
rieren, ob dem Benutzer gemeinsame Programm-
gruppen sichtbar sind, ob Windows Update
verfügbar sein soll u.a.m. Der Grundgedanke
dieser Einstellmöglichkeiten besteht darin, dem
Benutzer Optionen zur Verfügung zu stellen, die
er für die Alltagsarbeit braucht, und andere
auszublenden, die in seiner Arbeitsumgebung
Schaden anrichten könnten.
Desktop Einstellungen des Active Desktop. Dazu gehört, Benutzer

ob Active Desktop aktiv ist (standardmäßig
immer aktiv), ob der Benutzer Änderungen an
den Desktopeinstellungen vornehmen kann, ein
Hintergrundbild festlegen kann, ob das Symbol
Netzwerkumgebung auf dem Desktop des Benut-
zers ausgeblendet wird, ob Einstellungen beim
Beenden gespeichert werden sollen u.v.a.
Außerdem konfigurieren Sie an dieser Stelle, ob
ein Benutzer eine Suche in Active Directory nach
Computern und Druckern durchführen kann, und
welchen Umfang der Bereich für diese Suche hat.
Systemsteuerung Die Funktionen verschiedener Aspekte der Benutzer
Systemsteuerung, wie etwa, ob diese aktiv ist,
welche Applets in der Systemsteuerung dem
Benutzer zur Verfügung stehen, ob der Benutzer
in der Lage sein soll, das Symbol Software zum
Installieren oder Deinstallieren von Software zu
verwenden, von wo aus die Software installiert
werden darf (CD, Internet, Netzwerk), ob er
Anzeigeeigenschaften kontrollieren darf, wie
etwa das Hinzufügen eines Bildschirmschoners,
ob er Einstellungen ändern kann, Änderungen des
Hintergrundbildes ein- oder abschalten kann
u.a.m., ob der Benutzer Drucker hinzufügen,
löschen und ändern kann, und ob für alle
Benutzer, auf die die Gruppenrichtlinie ange-
wendet wird, eine bestimmte Sprache verwendet
wird.
Die nächsten Abschnitte befassen sich mit den Einstellungen administrativer Vorla-
gen, die den Benutzer betreffen.
Einstellungen administrativer Vorlagen, die den Benutzer betreffen

Wie zuvor schon erwähnt, können die Einstellungen administrativer Vorlagen, die
den Benutzer betreffen, in sechs Kategorien aufgeteilt werden: Windows-Kompo-
nenten, Startmenü und Taskleiste, Desktop, Systemsteuerung, Netzwerk und Sys-
tem. In jeder Kategorie hat der Administrator die Möglichkeit, bestimmte Funk-
tionsaspekte vor dem Benutzer zu verbergen. Die einzelnen Kategorien werden in
den folgenden Abschnitten näher erläutert.
Abbildung 6.31
Einige administrati-
ve Vorlagen werden
entweder auf die
Computer- oder die
Benutzerkonfigura-
tion der Gruppen-
richtlinie angewen-
det
Einstellungen benutzerseitiger administrativer Vorlagen zu Windows-

Komponenten
Die administrative Vorlage zu Windows-Komponenten gibt Ihnen die Möglichkeit,
die Funktionen von sechs Komponenten des Windows-2000-Betriebssystems (siehe
Abbildung 6.32) zu konfigurieren: Microsoft NetMeeting, Internet Explorer, Win-
dows Explorer, Microsoft Management Console, Taskplaner und Windows Instal-
ler.
Abbildung 6.32
Änderbare Einstel-
lungen administrati-
ver Vorlagen zu
Windows-Kompo-
nenten für Benutzer
Microsoft NetMeeting
In der Vorlage für Microsoft NetMeeting können Sie einige allgemeine Einstellun-
gen (siehe Abbildung 6.33) festlegen, wie etwa, ob das Whiteboard aktiviert wird,
oder der Benutzer die Erlaubnis zum Verwenden des Chatmodus erhält. Außerdem
gibt es noch drei weitere Ordner mit weiteren Einstellungen, die die Konfiguration
betreffen: Anwendungsfreigabe, Audio & Video und die Optionsseite von NetMee-
ting.
Über die Anwendungsfreigabe können Sie festlegen, ob der Benutzer während einer
NetMeeting-Sitzung eine Anwendung freigeben und damit anderen Benutzern die
Möglichkeit verschaffen kann, die Kontrolle über die Anwendung zu übernehmen
bzw. den Desktop gemeinsam zu nutzen.
Bei der Konfigurierung von Audio & Video legen Sie die erlaubte Bandbreite einer
NetMeeting-Sitzung oder die Verwendung von Audio und Video und deren Eigen-
schaften fest.
Die Einstellungen zur Optionsseite erlauben Ihnen eine Festlegung dessen, was für
den Benutzer sichtbar und änderbar wird, sobald er Optionen von NetMeeting aus-
wählt.
Abbildung 6.33
Einstellungen
benutzerseitiger
administrativer Vor-
lagen von Micro-
soft NetMeeting
Internet Explorer
Über die Gruppenrichtlinien in Windows 2000 können Sie ziemlich präzise festle-
gen, wie Internet Explorer (IE) sich verhält, und wie der Benutzer das Programm
konfigurieren kann. Die von Ihnen festgelegten Einstellungen beziehen sich auf die
Systemsteuerung von Internet Explorer. Sie können eine Reihe allgemeiner IE-Ein-
stellungen konfigurieren (siehe Abbildung 6.34), wie beispielsweise, ob der Benut-
zer digitale Zertifikate verwalten darf, wie die Spracheinstellung ist, wie die Farb-
einstellung ist, ob der Benutzer die Suchen-Seite anpassen kann u.a.m. Darüber
hinaus gibt es noch eine Anzahl weiterer Elemente des IE, die über die Gruppen-
richtlinie eingestellt werden:
씰 Internetsystemsteuerung. Welche Seiten verfügbar sind, wenn der Benutzer

EXTRAS/INTERNETOPTIONEN im IE auswählt.
씰 Offlineseiten. Die Konfiguration der Kanäle und Abonnements sowie die

Häufigkeit von Aktualisierungen.
씰 Browser-Menüs. Die Eigenschaften der verfügbaren Menüs und der darin

enthaltenen Optionen. Beispielsweise gehört hierzu das Abschalten der Opti-
on QUELLTEXT ANZEIGEN zum Sichtbarmachen des HTML-Quelltextes einer
Seite.
씰 Symbolleisten. Die Konfiguration der Symbolleisten, und ob sie vom Benut-

zer geändert werden dürfen.
씰 Dauerhaftigkeitsverhalten. Begrenzt den verfügbaren Datenträgerplatz für

das Caching verschiedener IE-Zonen.
씰 Vom Administrator überprüfte Steuerelemente. Legt fest, welche Steuerele-

mente und Komponenten der Benutzer verwenden kann (beispielsweise Me-
dia Player oder Shockwave).
Windows Explorer
Als Administrator können Sie über die administrativen Vorlagen der Gruppenricht-
linie auch einstellen, welche Eigenschaften von Windows Explorer dem Benutzer
zur Verfügung stehen sollen (siehe Abbildung 6.35). Dies gibt Ihnen die Möglich-
keit festzulegen, ob der Benutzer andere Computer im Netzwerk sehen kann, indem
Sie entsprechend dazu GESAMTES NETZWERK oder BENACHBARTE COMPUTER in
Windows Explorer aktivieren bzw. deaktivieren. Außerdem legen Sie fest, ob der
Benutzer in Windows Explorer Netzlaufwerke zuordnen darf.
Abbildung 6.34
Einstellungen
benutzerseitiger
lagen von Internet
Explorer
Abbildung 6.35
Einstellungen
benutzerseitiger
lagen von Win-
dows Explorer
Weitere Einstellungen, die Sie vornehmen können, betreffen die Darstellung von
Windows Explorer, ob neuere Dokumente angezeigt werden und dem Benutzer zur
Verfügung stehen, und wie sich Verknüpfungen verhalten, wenn der Benutzer den
Arbeitsplatz wechselt.
Microsoft Management Console
Eine der wirklich praktischen Funktionen von administrativen Vorlagen für Benut-
zer betrifft hinsichtlich der Verwaltung von Windows 2000 die Möglichkeit, die
administrativen Funktionen eines Domänen-Admins an andere Benutzer delegieren,

aber gleichzeitig auch bestimmte Funktionen in der Microsoft Management Console
für untergeordnete Administratoren sperren zu können. Über die MMC-Einstellun-
gen der Gruppenrichtlinie (siehe Abbildung 6.36) kann ein Hauptadministrator fest-
legen, ob ein untergeordneter Administrator oder ein anderer Benutzer in der Lage
ist, die MMC-Konsolen zu verändern. Sie können darüber hinaus festlegen, ob der
untergeordnete Administrator über alle oder nur eine Untermenge der verfügbaren
MMC-Snap-Ins verfügen darf, oder ob er Änderungen an bereits konfigurierten
Aspekten der Gruppenrichtlinie vornehmen kann. Diese Kontrollmöglichkeit steht
zur Verfügung, weil MMC mit seinen diversen Snap-Ins immerhin ein Hauptver-
waltungsinstrument in Windows 2000 ist und nur von autorisierten Personen
bedient werden sollte.
Abbildung 6.36
Einstellungen
benutzerseitiger
lagen von Micro-
soft Management
Console
Taskplaner
Windows 2000 enthält auch einen Taskplaner, der gegenüber dem AT-Scheduler
unter Windows NT stark verbessert worden ist. Wie die Abbildung 6.37 zeigt, kön-
nen Sie im Zusammenhang mit Gruppenrichtlinien die Funktionen des Taskplaner
dahingehend konfigurieren, ob der Benutzer Tasks löschen oder erstellen, ja sogar,
ob er sie ablaufen lassen kann. Auf diese Weise erlauben Sie den Start unerwünsch-
ter Programme nur zu bestimmten Zeiten oder verhindern generell, dass diese über-
haupt gestartet werden.
Abbildung 6.37
Einstellungen
benutzerseitiger
lagen von Taskpla-
ner
Windows Installer
Die Vorlageneinstellungen für Windows Installer sind sehr nützlich insofern, als sie
Benutzer daran hindern können, Software zu installieren, die sich eigentlich nicht
auf ihren Computern befinden sollte. Mit den Einstellungen zum Windows Installer
für den Benutzer (siehe Abbildung 6.38) können Sie beispielsweise die Suchreihen-
folge der Medienquellen für Installationsdateien konfigurieren (d.h. Diskette, CD
oder Netzwerk). Sie haben außerdem die Gelegenheit, die Installation von Software
über Wechseldatenträger zu unterbinden (Diskette oder CD), oder festzulegen, ob
das Installationsprogramm mit Administratorprivilegien ausgeführt werden soll.
Wie Sie also gesehen haben, können Sie mit den administrativen Vorlagen zu Win-
dows-Komponenten des Benutzers die Funktionen einer ganzen Anzahl wichtiger
Programme in Windows 2000 konfigurieren: Microsoft NetMeeting, Internet
Explorer, Windows Explorer, Microsoft Management Console, Taskplaner und
Windows Installer. Andere Bestandteile von Windows 2000 wie etwa das Start-
menü und die Taskleiste (werden als Nächstes erläutert) können über Gruppenricht-
linien ebenfalls konfiguriert werden.
Einstellungen benutzerseitiger administrativer Vorlagen für Startmenü und

Taskleiste
Die Startmenü- und Taskleisteneinstellungen, die Sie für den Benutzer mit Hilfe der
administrativen Vorlagen konfigurieren können, legen fest, wie das Windows-Start-
menü erscheint und welche Funktionen es besitzt. Sie legen fest (siehe Abbildung
6.39), ob dem Benutzer der Befehl AUSFÜHREN in seinem Startmenü zum Starten
von Programmen zur Verfügung steht.
Abbildung 6.38
Einstellungen
benutzerseitiger
lagen von Win-
dows Installer
Das Abschalten von AUSFÜHREN hindert den Benutzer am Ausführen von Program-
men mit Ausnahme derjenigen, für welche bereits Verknüpfungen existieren.
Außerdem kann er Programme immer noch durch Doppelklick im Windows Explo-
rer oder über die Eingabeaufforderung starten. Sie können weiterhin konfigurieren,
ob im Startmenü des Benutzers die Menüs SUCHEN, HILFE, FAVORITEN und DOKU-
MENTE zur Verfügung stehen. Sie haben auch die Gelegenheit, die gemeinsamen
und/oder benutzerbezogenen Programmgruppen aus der Liste der Programme aus-
zuschließen, was die Anzahl der Programme, auf die der Benutzer Zugriff hat, wei-
ter beschränkt.
Abbildung 6.39
Einstellungen
benutzerseitiger
lagen für Startme-
nü und Taskleiste
Wie Sie sehen können, legen die über administrative Vorlagen einstellbaren Start-
menü- und Taskleisteneigenschaften fest, wie das Windows-Startmenü und seine
Funktionalität dem Benutzer angezeigt werden.
Einstellungen benutzerseitiger administrativer Vorlagen für den Desktop

Zu den für Benutzer konfigurierbaren Desktopeinstellungen gehören u.a. sowohl
Einstellungen zu Active Directory und Active Desktop als auch einige allgemeine
Desktopeinstellungen (siehe Abbildung 6.40). Unter die allgemeinen Einstellungen
fällt die Option, ob EIGENE DATEIEN auf dem Desktop und/oder im Startmenü ange-
zeigt werden. Sie legen außerdem fest, ob Änderungen des Desktops bei der Abmel-
dung des Benutzers gespeichert werden. Diese Vorlage dient Ihnen auch für die
Vorgabe, ob Internet Explorer, Netzwerkumgebung oder andere Symbole auf dem
Desktop angezeigt werden, und ob der Benutzer die Lage der Taskleiste verändern
kann.
Abbildung 6.40
Einstellungen
benutzerseitiger
lagen für den Desk-
top
Hinsichtlich von Active Desktop (siehe Abbildung 6.41) legen Sie über die Grup-
penrichtlinie fest, ob Active Desktop verwendet wird, welches Hintergrundbild
angezeigt wird, und ob dieses Hintergrundbild eine Bitmapdatei (BMP) oder ein
anderer Grafikdateityp wie JPEG oder GIF ist. Außerdem können Sie konfigurieren,
ob dem Benutzer Änderungen am Desktop einschließlich Hinzufügen, Löschen,
Ändern oder sogar Schließen von Objekten erlaubt sind. Über eine umfangreiche
Liste von nicht zugelassenen Aktionen können Sie außerdem eine Reihe nicht
erlaubter Aktionen definieren.
Abbildung 6.41
Einstellungen
benutzerseitiger
lagen für Active
Desktop
Abbildung 6.42
Einstellungen
benutzerseitiger
lagen für Active
Directory
Hinsichtlich von Active Directory gibt es nur einige wenige Einstellungen, die über
benutzerseitige administrative Vorlagen konfiguriert werden können (siehe Abbil-
dung 6.42). Die verfügbaren Einstellungen haben mit der Größe der Suchvorgänge
in Active Directory zu tun (die Anzahl der Objekte, die von einer einzelnen Suche
zurückgeliefert werden), und erlauben Ihnen eine Konfiguration dahingehend, ob
der Benutzer diese Suche filtern kann. Diese Einstellungen sind für den Einsatz in
großen Organisationen mit Tausenden von Benutzern und Computern gedacht, und
sollen primär sicherstellen, dass eine Suche in Active Directory zeitsparend verläuft
und möglichst wenig Netzwerkbandbreite bzw. Domänencontrollerressourcen ver-
braucht.
Mit den benutzerseitigen administrativen Vorlagen für Desktopeinstellungen kann

der Administrator bestimmte Elemente des Desktops, wie etwa das angezeigte Hin-
tergrundbild, die Umleitung von Basisordnern zu einem Netzlaufwerk u.a.m., vor-
definieren. Einstellungen dieser Art dienen dem Zweck, die Desktops an Unterneh-
mensstandards anzupassen.
Einstellungen benutzerseitiger administrativer Vorlagen für die

Systemsteuerung
Eine große potenzielle Besorgnis eines Administrators hat mit den Änderungen zu
tun, die Benutzer an ihrer Konfiguration vornehmen, ohne sich über die Folgen im
Klaren zu sein. Sicher haben Sie auch schon oft von der Geschichte gehört (oder sie
sogar selbst erlebt), dass ein Benutzer sich durch Basteln an seiner Netzwerkkonfi-
guration vom Zugang zum Netzwerk ausgeschlossen hat. Anschließend musste
dann der Support kommen, um das Problem wieder zu beseitigen. In manchen Fäl-
len kann ein »sanfter Dirigismus« sehr sinnvoll sein, um Benutzer daran zu hindern,
sich selbst ins Knie zu schießen (und es gibt Benutzer, die es unbedingt immer wie-
der wissen wollen)!
In benutzerseitigen administrativen Vorlagen, die sich auf die Systemsteuerung

(siehe Abbildung 6.43) beziehen, können Sie die folgenden vier wichtigen Dinge
konfigurieren: Software, Anzeige, Drucker und Ländereinstellungen (sowie noch
einige generelle Einstellungen). Eine sehr nützliche Einstellung betrifft die Mög-
lichkeit, die Systemsteuerung zu deaktivieren, was für die große Masse der Benut-
zer sinnvoll ist, die keine Änderungen an ihren Systemen vorzunehmen brauchen,
oder die nur den im Unternehmen üblichen Standarddesktop verwenden. Wollen Sie
den Benutzern hingegen die Verwendung von Symbolen in der Systemsteuerung
erlauben, dann können Sie festlegen, welche davon angezeigt oder versteckt wer-
den. Der potenzielle Schaden, der durch Benutzerfehler entstehen kann, wird
dadurch minimiert.
Wie zuvor schon erwähnt, gibt es in den benutzerseitigen administrativen Vorlagen

für die Systemsteuerung vier Objekte, die Sie konfigurieren können (Software,
Anzeige, Drucker und Ländereinstellungen), und die in den folgenden Abschnitten
erörtert werden.
Abbildung 6.43
Einstellungen
benutzerseitiger
lagen für die Sys-
temsteuerung
Software
Im Ordner SOFTWARE der benutzerseitigen administrativen Vorlage für die System-

steuerung (siehe Abbildung 6.44) legen Sie fest, ob der Benutzer Gebrauch von die-
sem Applet machen kann. Wenn ja, entscheiden Sie weiterhin darüber, ob der
Benutzer Programme hinzufügen, ändern oder entfernen kann. Sie legen weiterhin
fest, ob der Benutzer Programme von einem CD-Laufwerk, einer Diskette, vom
Netzwerk oder über Microsoft (Windows Update) installieren darf. Sie erlauben
oder verweigern dem Benutzer an dieser Stelle auch die Installation von Windows-
Komponenten wie etwa Spielen oder anderen Teilen des Betriebssystems, die optio-
nal zur Installation von Windows 2000 gehören.
Anzeige
Eine wichtige Voraussetzung zur Kontrolle des Benutzerdesktops besteht darin,

sein Erscheinungsbild festzulegen. Dies geschieht über ANZEIGE in der Systemsteu-
erung und kann ebenfalls über die administrativen Vorlagen der Gruppenrichtlinie
beeinflusst werden (siehe Abbildung 6.45). Sie als Administrator legen an dieser
Stelle fest, ob ein Benutzer Änderungen an seinen Anzeigeeinstellungen vornehmen
kann, und falls ja, welche Änderungen zugelassen sind. Hierzu gehören normaler-
weise Dinge wie das Hintergrundbild oder der Bildschirmschoner, wobei Sie eben-
falls einen Kennwortschutz für den aktiven Bildschirmschoner definieren können.
Ein Kennwortschutz ist sinnvoll, weil er in Situationen, in denen der Benutzer sei-
nen Arbeitsplatz verlässt, zumindest die Minimalanforderung an die Sicherheit bie-
tet. Außerdem können Sie steuern, ob der Benutzer die Bildschirmauflösung und die
Anzahl der Farben ändern kann.
Abbildung 6.44
Einstellungen
benutzerseitiger
lagen für Software
in der Systemsteu-
erung
Abbildung 6.45
Einstellungen
benutzerseitiger
lagen für Anzeige in
der Systemsteue-
rung
Drucker
Zur Kontrolle von Druckern stellen Sie über die administrativen Vorlagen (siehe
Abbildung 6.46) ein, ob ein Benutzer über das Applet DRUCKER in der Systemsteu-
erung oder über START/EINSTELLUNGEN/DRUCKER Drucker hinzufügen oder entfer-
nen kann. Weiterhin stellen Sie ein, ob der Benutzer nach Druckern suchen kann,
um diese ggf. hinzuzufügen (über eine Website, Active Directory oder das Netz-
werk).
Abbildung 6.46
Einstellungen
benutzerseitiger
lagen für Drucker in
der Systemsteue-
rung
Ländereinstellungen
Unter LÄNDEREINSTELLUNGEN steht Ihnen in der benutzerseitigen administrativen

Vorlage für die Systemsteuerung (siehe Abbildung 6.47) nur eine Option zur Verfü-
gung, nämlich ob länderspezifische Einstellungen erlaubt sind oder nicht. Hier
legen Sie fest, ob der Benutzer die Sprache und andere landesbezogene Eigenschaf-
ten des PC einstellen darf, wozu u.a. das Datums- und Uhrzeitformat, die Wäh-
rungssymbole und numerische Formate (z.B. Dezimal- und Trennzeichen) gehören.
Falls Sie sicherstellen möchten, dass alle Benutzer dieselben Einstellungen verwen-
den, die nicht geändert werden dürfen, deaktivieren Sie diese Option.
In der Systemsteuerung kann der Administrator mit der Gruppenrichtlinie im

Voraus definieren, welche Optionen den Benutzern zum Ändern ihrer PC-Einstel-
lungen zur Verfügung stehen. Hierdurch wird verhindert, dass die Benutzer durch
eigene Aktionen Störungen ihrer PCs verursachen und damit unnötig Supportperso-
nal beanspruchen.
Einstellungen benutzerseitiger administrativer Vorlagen für das Netzwerk

Mit den Netzwerkeinstellungen der benutzerseitigen administrativen Vorlagen für
Gruppenrichtlinien definieren Sie die Funktionen von Offline-Dateien und Netz-
werk- bzw. DFÜ-Verbindungen (siehe Abbildung 6.48).
Abbildung 6.47
Einstellungen
benutzerseitiger
lagen für Länder-
einstellungen in der
Systemsteuerung
Abbildung 6.48
Einstellungen
benutzerseitiger
lagen für das Netz-
werk
Netzwerkeinstellungen für Offline-Dateien
Eine schöne Funktion von Windows 2000 insbesondere für Leute, die viel reisen
und sich über ein Notebook mit dem Büro verbinden, besteht in der Offline-Verfüg-
barkeit von Netzwerkordnern. Für den Administrator kann dies wiederum zu einem
Problem führen, weil er unter Umständen gar nicht wünscht, dass bestimmte
Dateien offline zur Verfügung stehen (beispielsweise der Quellcode einer neu ent-
wickelten und kommerziell vertriebenen Software). Mit administrativen Vorlagen
bestimmen Sie, wie Offline-Dateien Benutzern zur Verfügung stehen (siehe Abbil-
dung 6.49). Diese Funktion können Sie ggf. auch gänzlich abschalten. Sie können
weiterhin kontrollieren, auf welche Ordner Benutzer offline zugreifen und welche
sie selber konfigurieren dürfen. Außerdem legen Sie die Häufigkeit von Erinnerun-
gen an die Synchronisation und die Verfügbarkeit der Offline-Dateien fest. Über die
administrative Vorlage bestimmen Sie, was passieren soll, wenn ein Server verfüg-
bar wird (d.h., ob zwischengespeicherte Kopien der Dateien verwendet oder die
Dateien nicht verfügbar werden sollen). Sie bestimmen auch, ob die Menüauswahl
OFFLINE VERFÜGBAR MACHEN auch für Netzwerkressourcen angezeigt wird.
Abbildung 6.49
Einstellungen
benutzerseitiger
lagen für Offline-
Dateien im Netz-
werk
DFÜ-Verbindungen
Der andere Teil benutzerseitig konfigurierbarer Netzwerkeinstellungen betrifft die

DFÜ-Verbindungen und Netzwerkkonfiguration. Über diese Richtlinieneinstellun-
gen (siehe Abbildung 6.50) definieren Sie, ob ein Benutzer für sich selbst oder
andere Benutzer RAS-Verbindungen (d.h., DFÜ-Verbindungen) hinzufügen oder
entfernen kann. Sie legen fest, ob sich Benutzer über RAS oder das Netzwerk ver-
binden können, ob sie RAS-Verbindungen umbenennen dürfen, und ob sie die TCP/
IP-Einstellungen ändern können. Auf diese Weise sperren Sie Netzwerkeinstellun-
gen, die der Benutzer unter Umständen zu seinem eigenen Schaden ändern könnte.
Dieselben Einstellungen wiederum können Sie für Benutzer aktivieren, die tech-
nisch etwas informierter sind und die Konsequenzen von Änderungen an RAS-Ver-
bindungen oder TCP/IP-Einstellungen besser verstehen.
Abbildung 6.50
Einstellungen
benutzerseitiger
lagen für Netz-
werk- und DFÜ-Ver-
bindungen
Hinsichtlich der Konfiguration von Netzwerkeinstellungen über Gruppenrichtlinien

können Sie steuern, ob Offline-Dateien standardmäßig verfügbar sind oder nicht,
und wie ihre Eigenschaften sein sollen. Außerdem können Sie die Funktionen von
Netzwerk- und DFÜ-Verbindungen kontrollieren.
Einstellungen benutzerseitiger administrativer Vorlagen für das System

Der letzte Satz von Konfigurationseinstellungen in benutzerseitigen administrativen
Vorlagen betrifft die Systemfunktionen. Hierzu gehören sowohl einige generelle
Einstellungen (siehe Abbildung 6.51) als auch zwei spezielle Kategorien von System-
einstellungen: ANMELDUNG/ABMELDUNG und GRUPPENRICHTLINIEN.
HINWEIS
Programme zum Bearbeiten der Registrierung deaktivieren
Es ist dringend zu empfehlen, dass Sie dem größten Teil der Benutzer den Ein-
satz von Programmen zur Bearbeitung der Registrierung verweigern. In der Re-
gistrierung sind systemwichtige Einstellungen und Anwendungsdaten enthalten,
die von Windows 2000 und den meisten Windows-2000-Anwendungen benötigt
werden. Eine Änderung der Registrierung durch einen Benutzer kann nicht mehr
rückgängig gemacht werden; es sei denn, dass der Benutzer sich noch an den
Ausgangszustand erinnern kann. Ein Benutzer, der Änderungen an der Registrie-
rung vornimmt und die Folgen nicht richtig einschätzt, kann ernste Probleme auf
seinem PC verursachen.
Wenn Sie verhindern, dass ein Benutzer die Registrierung ändert, heißt dies nicht,
dass Sie selbst keine Änderungen mehr vornehmen können. Sie haben nach wie
vor die Möglichkeit, die Registrierung entweder lokal auf dem PC, auf dem die
Änderung erforderlich ist, oder remote durchzuführen. Administratoren können
standardmäßig immer Bearbeitungen der Systemregistrierung durchführen.
Abbildung 6.51
Einstellungen
benutzerseitiger
lagen für das Sys-
tem
Allgemeine Einstellungen
Im allgemeinen Teil der Systemeinstellungen legen Sie fest, ob bei der Anmeldung
ein Begrüßungsbildschirm angezeigt wird, oder ob der Benutzer Programme zum
Bearbeiten der Registrierung verwenden darf. Sie können weiterhin bestimmte
Anwendungen sperren (z.B. indem Sie festlegen, dass nur Programmdateien, die in
der Einstellung aufgeführt sind, gestartet werden können), die automatische Wie-
dergabe von CDs im CD-ROM-Laufwerk deaktivieren und die Eingabeaufforde-
rung abschalten. Alle diese Einstellungen sind für den Benutzer recht restriktiv und
haben unmittelbare Auswirkungen auf seine Möglichkeiten im Umgang mit dem
System.
Einstellungen zu An- und Abmeldungen
Bei den Einstellungen zu den An- und Abmeldungen eines Benutzers (siehe Abbil-
dung 6.52) steuern Sie die Ausführung von Skripten während der An- und Abmel-
dung. Beispielsweise legen Sie fest, ob diese Skripte sichtbar sind, oder ob sie asyn-
chron ausgeführt werden sollen. Sie bestimmen außerdem, ob ein Benutzer sein
Kennwort ändern kann, und ob er sich überhaupt abmelden darf. Sie haben die
Möglichkeit, die Größe des Benutzerprofils zu begrenzen, bestimmte Ordner aus

dem Profil zu entfernen und die Programme zu definieren, die bei der Anmeldung
laufen sollen.
Abbildung 6.52
Einstellungen
benutzerseitiger
lagen für An- und
Abmeldung im Sys-
tem
Gruppenrichtlinien
Bezüglich der Gruppenrichtlinien (siehe Abbildung 6.53) in der benutzerseitigen

administrativen Vorlage legen Sie fest, welche Domänencontroller zum Download
der Gruppenrichtlinienvorlagen von einem Domänencontroller verwendet werden.
Sie können bestimmen, wie oft der PC Aktualisierungen der Gruppenrichtlinien von
einem Domänencontroller anfordert, und ob administrative Vorlagendateien (ADM)
automatisch aktualisiert werden sollen.
Die Systemeinstellungen in der benutzerseitigen administrativen Vorlage sind ziem-

lich tiefgreifend. Als Administrator legen Sie mit ihnen fest, wie die Gruppenrichtli-
nie auf einzelne Benutzer angewendet wird, ob sich der Benutzer anmelden muss,
und wenn ja, ob eine unternehmensspezifische Meldung angezeigt wird. Domänen-
Admins können sogar eine noch weitgehendere Kontrolle über den Desktop eines
Benutzers ausüben.
Die Vorteile benutzerseitiger administrativer Vorlagen

Da Sie nun einige der Dinge kennen gelernt haben, die Sie unter Verwendung
benutzerseitiger administrativer Vorlagen einstellen können, sehen Sie, welche Art
von Kontrollmöglichkeiten dem Administrator damit zur Verfügung stehen.
Abbildung 6.53
Einstellungen
benutzerseitiger
lagen für Gruppen-
richtlinien im Sys-
tem
Mit benutzerseitigen administrativen Vorlagen kann der Administrator folgende

Kontrollmöglichkeiten ausüben:
씰 Desktop des Benutzers kontrollieren. Durch eine sinnvolle Konfiguration

von Windows-Komponenten, Desktop und Einstellungen zum Startmenü und
zur Taskleiste steuern Sie die Darstellung und die Funktionen des Desktops,
auf die der Benutzer Zugriff hat.
씰 Benutzerzugang zu Ressourcen kontrollieren. Durch die Einstellmöglich-

keiten der Windows-Komponenten, des Desktops und des Startmenüs sowie
der Taskleiste sorgen Sie dafür, dass dem Benutzer ein definierter Satz von
Netzwerkordnern, Druckern und lokalen Ressourcen zur Verfügung steht.
Dies stellt keinen Ersatz, sondern eine Ergänzung der NTFS- und Freigabebe-
rechtigungen für diese Ressourcen dar.
씰 Benutzerzugang zu administrativen Werkzeugen und Programmen kon-

trollieren. Durch die Festlegung der Windows-Komponenten, des Desktops,
des Startmenüs und der Taskleiste sowie der Systemeinstellungen hindern Sie
Benutzer daran, administrative Werkzeuge wie die Systemsteuerung, MMC,
Bearbeitungsprogramme für die Registrierung und andere Programme einzu-
setzen, die die Systemkonfiguration beschädigen können.
Über Gruppenrichtlinien kann ein Administrator zahlreiche Aspekte der Benutzer-

umgebung eines Windows-2000-Computers festlegen. Hierzu gehört, um nur einige
wenige zu nennen, die Spezifizierung, welche Programme gestartet werden können,
wie der Desktop angezeigt wird, welche Netzwerkfunktionalität zur Verfügung
steht, und ob sich der Benutzer anzumelden hat. Durch administrative Vorlagen
können aber nicht nur die Desktopeinstellungen des Benutzers beeinflusst werden –
auch die Computereinstellungen unterliegen der Gruppenrichtlinie. Mit ihnen wird
dafür gesorgt, dass ein Computer unabhängig vom angemeldeten Benutzer immer
mit vordefinierten Einstellungen arbeitet.
HINWEIS
Administrative Vorlagen – Benutzer- versus Computereinstellungen
Kommt ein und dieselbe Einstellung einer administrativen Vorlage sowohl in der
Benutzer- als auch in der Computerkonfiguration einer Gruppenrichtlinie vor, wird
immer die Computereinstellung angewendet. Anders gesagt, wenn Sie in der
Computerkonfiguration der administrativen Vorlage eines GPO definieren, dass
Autoplay für CD-ROM-Laufwerke deaktiviert wird, während die Benutzerkonfigu-
ration Autoplay aktiviert, behält die Computereinstellung die Oberhand – Autoplay
bleibt deaktiviert. Der Grund liegt darin, dass ein Benutzer sich gleichzeitig an
mehreren PCs anmelden kann, und daher auch dieselbe GPO-Einstellung unab-
hängig davon angewendet wird, an welchem Arbeitsplatz er sich gerade befin-
det. Da ein Computer aber nur einmal existieren kann, müssen auch seine
Konfigurationseinstellungen auf Kosten der Benutzereinstellungen geschützt wer-
den.
Einstellungen administrativer Vorlagen, die den Computer betreffen

Wie schon zuvor erwähnt, sind administrative Vorlagen sowohl auf den Benutzer
als auch den Computer anwendbar. Die Anzahl der Bereiche, in denen Einstellun-
gen aus computerseitigen administrativen Vorlagen überhaupt anwendbar sind, ist
jedoch weitaus geringer als bei den Benutzern (siehe Abbildung 6.54). Es stehen
hier nur vier anstelle von sechs Bereichen zur Verfügung, und die Anzahl der ver-
fügbaren Einstellungen ist ebenfalls kleiner. Der Grund ist hauptsächlich darin zu
sehen, dass alle für den Computer konfigurierten Einstellungen auf sämtliche
Benutzer dieses Computers angewendet werden; d. h., jeder Benutzer, der sich am
Computer anmeldet, für den über administrative Vorlagen Computereinstellungen
konfiguriert worden sind, ist auch automatisch diesen Einstellungen unterworfen.
Die computerseitig konfigurierbaren Einstellungen betreffen WINDOWS-KOMPO-
NENTEN, SYSTEM, NETZWERK und DRUCKER.
Generell gilt, dass die Anzahl der Objekte, die für computerseitige administrative
Vorlagen konfiguriert werden können, weitaus geringer als diejenige für den korre-
spondierenden Benutzerteil administrativer Vorlagen ist. Obwohl beispielsweise der
Ordner WINDOWS-KOMPONENTEN im Computer- und Benutzerteil erscheint, ist die
Anzahl der für den Benutzer konfigurierbaren Einstellungen weitaus höher und
detaillierter. Der Grund liegt darin, dass viele der Einstellungen Änderungen betref-
fen, die sich nicht auf den Computerteil (HKEY_LOCAL_MACHINE), sondern auf den
Benutzerteil der Registrierung (HKEY_CURRENT_USER) beziehen.
Abbildung 6.54
Einstellungen
lagen für den Com-
puter
Außerdem ist es einleuchtend, dass der Benutzerteil detaillierter ist, da der Compu-
terteil mit den Systemeigenschaften zu tun hat, die sich auf alle Benutzer beziehen,
während der Benutzerteil individuelle Präferenzen betrifft, von denen es naturge-
mäß viele geben kann.
Einstellungen computerseitiger administrativer Vorlagen zu

Windowskomponenten
Im Teil WINDOWS-KOMPONENTEN der computerseitigen administrativen Vorlage
(siehe Abbildung 6.55) finden Sie vier Bereiche in Windows 2000, deren Einstel-
lungen Sie konfigurieren können: NetMeeting, Internet Explorer, Taskplaner und
Windows Installer. Sie finden diese auch im Benutzerteil des GPO, wobei zusätz-
lich noch MMC und Windows Explorer enthalten sind.
NetMeeting
Im Ordner NetMeeting gibt es nur eine einzige für den Computer konfigurierbare
Einstellung (siehe Abbildung 6.56), die die Aktivierung der Remotedesktop-Frei-
gabe betrifft, was sich beträchtlich von den für Benutzer zur Verfügung stehenden
Optionen unterscheidet. Mit der Remotedesktop-Freigabe ist die Fähigkeit gemeint,
den Desktop remote über NetMeeting zu steuern. Indem Sie diese Option abschal-
ten, verhindern Sie, dass jemand den Computer übernimmt und damit ein potenziel-
les Sicherheitsrisiko darstellt.
Abbildung 6.55
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Windows-Kom-
ponenten
Abbildung 6.56
Einstellungen com-
puterseitiger admi-
für Windows-Kom-
ponenten/NetMee-
ting
Internet Explorer
Mit den Einstellungen, die Internet Explorer (siehe Abbildung 6.57) betreffen, kon-
trollieren Sie sowohl die Proxy-Parameter wie die Sicherheitsrichtlinien für alle
Benutzer des Computers. Sie verfügen über die Option, die Anzeige des Begrü-
ßungsbildschirms beim Start von Internet Explorer zu deaktivieren, die Suche des
IE nach eigenen Softwareaktualisierungen freizugeben, oder die automatische
Installation von fehlenden Komponenten zu deaktivieren, die stattfinden kann,
sobald der Benutzer eine Site mit Softwarekomponenten aufruft, über die IE noch
nicht verfügt. Mit diesen Einstellungen legen Sie mit anderen Worten das Erschei-
nungsbild, die Bedienung und die Funktionen von IE für alle Benutzer des Compu-
ters fest.
Abbildung 6.57
Einstellungen com-
puterseitiger admi-
für Windows-Kom-
ponenten/Internet
Explorer
Taskplaner
Die computerseitigen Einstellungen zum Taskplaner (siehe Abbildung 6.58) sind

nahezu identisch mit denjenigen für den Benutzer. Wie schon weiter oben erwähnt,
werden Computereinstellungen bei Konflikten gegenüber Benutzereinstellungen
immer bevorzugt, sodass Einstellungen hier garantiert immer auf alle Benutzer ange-
wendet werden. Hierzu gehört, ob der Benutzer auf dem Computer einen Task erstel-
len oder löschen kann, und ob die Eigenschaften des Tasks angezeigt werden können.
Windows Installer
In den computerseitigen Einstellungen des Windows Installer (siehe Abbildung

6.59) können Sie steuern, ob Windows Installer zum Installieren von Anwendungen
auf einem Windows-2000-Computer verwendet werden soll, und wenn ja, wie sich
diese Installationsvorgänge im interaktiven Betrieb dem Benutzer präsentieren. Zu
den möglichen Einstellungen gehört etwa die Option, ob der Benutzer die Installa-
tion kontrollieren kann (d.h., ob er Änderungen an den Installationsoptionen vor-
nehmen kann, die normalerweise nur für Administratoren zur Verfügung stehen;
z.B. wohin bestimmte Dateien geschrieben werden, und welche Art von Programm-
gruppe – gemeinsam oder Benutzer – eine Anwendung erstellen darf), oder ob ein
Benutzer gewisse zusätzliche Funktionen wie etwa das Durchsuchen des Mediums
oder einen Patch der Anwendung ausführen darf.
Abbildung 6.58
Einstellungen com-
puterseitiger admi-
für Windows-Kom-
ponenten/Taskpla-
ner
Im letzteren Fall werden im Rahmen der Anwendungsinstallation die Berechtigun-

gen des Benutzers entsprechend erhöht. Sie können außerdem festlegen, ob diese
Erhöhung von Benutzerberechtigungen während der Installation überhaupt stattfin-
den darf, und ob die Installation protokolliert werden kann.
Abbildung 6.59
Einstellungen com-
puterseitiger admi-
für Windows-Kom-
ponenten/Win-
dows Installer
Eine Konfiguration der Programmfunktionen von Windows Installer, Internet

Explorer, NetMeeting und Taskplaner stellt sicher, dass diese Richtlinien auf alle
Benutzer dieses Computers angewendet werden. Darüber hinaus können Sie über
die Systemeinstellungen noch weitere Systemfunktionen wie etwa die Datenträger-
kontingente konfigurieren.
Einstellungen computerseitiger administrativer Vorlagen zum System

Systemseitig betreffen die Einstellmöglichkeiten administrativer Vorlagen für die
Computerebene (siehe Abbildung 6.60) fünf Bereiche: Anmeldung, Datenträger-
kontingente, DNS-Client, Gruppenrichtlinie und Windows-Dateischutz. Einige all-
gemeine konfigurierbare Einstellungen betreffen darüber hinaus den Computer als
Ganzes und wirken sich auf bestimmte Optionen aus, die im Startmenü angezeigt
werden, sobald sich ein Benutzer unter Verwendung der Terminaldienste in Win-
dows 2000 anmeldet. Mit dieser Vorlage wird das Erscheinungsbild der Statusmel-
dungen konfiguriert, die beim Startvorgang, bei der Anmeldung, Abmeldung oder
beim Herunterfahren des Systems erscheinen. Schließlich können Sie noch festle-
gen, welche Programme beim Start ausgeführt werden sollen.
Abbildung 6.60
Einstellungen com-
puterseitiger admi-
für SYSTEM
Anmeldung
Während der Anmeldung durchläuft Windows 2000 eine Reihe besonderer Start-
phasen, von denen einige eine Benutzeraktion erfordern. Mit dem Anmeldungsteil
der administrativen Vorlage eines GPO für das System (siehe Abbildung 6.61) kön-
nen Sie festlegen, was geschehen soll, wenn solche Systemzustände auftreten. Hier
definieren Sie beispielsweise, wie Startskripte für den Computer ausgeführt werden
sollen (dies unterscheidet sich von den Anmeldeskripts für Benutzer, die im Benut-
zerbereich für dieses GPO eingestellt werden). Beispielsweise können Sie veranlas-
sen, dass servergespeicherte Profile nach der Abmeldung eines Benutzers gelöscht
werden, oder dass ein Benutzerprofil auch dann downgeloaded wird, wenn die
Anmeldung über eine langsame Netzwerkverbindung wie etwa Modem-DFÜ statt-
findet. Außerdem legen Sie Zeitlimits für Dialogfelder und Profildownloads fest.
Abbildung 6.61
Einstellungen com-
puterseitiger admi-
für SYSTEM/ANMEL-
DUNG
Datenträgerkontingente
Über den Ordner DATENTRÄGERKONTINGENTE im Systemteil computerseitiger

administrativer Vorlagen (siehe Abbildung 6.62) aktivieren bzw. deaktivieren Sie
die Datenträgerkontingente eines Computers. Mit Datenträgerkontingenten wird der
verfügbare Datenträgerplatz begrenzt, der einem Benutzer auf diesem Computer zur
Verfügung steht. Eine Aktivierung der Kontingente in der Vorlage ermöglicht die
Spezifizierung von Kontingenten auf der Dateisystemebene, während die Deaktivie-
rung in der Richtlinie die Kontingentierung abschaltet, und zwar unabhängig von
bestehenden Konfigurationen auf der Ebene des Dateisystems. Darüber können Sie
festlegen, was geschehen soll, wenn ein Benutzer sein Kontingent überschreitet,
und wo die Datenträgerkontingentgrenze liegt. Schließlich definieren Sie in dieser
Vorlage noch, ob bei Erreichen einer Warn- oder Maximalgrenze des Kontingents
eine Protokollierung im Ereignisprotokoll von Windows NT stattfinden soll.
Abbildung 6.62
Einstellungen com-
puterseitiger admi-
für SYSTEM/DATEN-
TRÄGERKONTINGENTE
DNS-Client
Im Bereich DNS-Client der administrativen Vorlage steht Ihnen für den Computer
nur eine einzige Einstellung zur Verfügung (siehe Abbildung 6.63), nämlich das pri-
märe DNS-Suffix. Die Einstellung gibt einen Anhang für den Computernamen zur
Erzeugung eines FQDN-Namens (FQDN, Fully Qualified Domain Name) für den
Host an, der für Active Directory und die Hostnamensauflösung benötigt wird. Die
hier vorgenommene Einstellung kann von Benutzern einschließlich Administrato-
ren im Dialogfeld TCP/IP-Eigenschaften der Netzwerkkonfiguration des Computers
nicht mehr geändert werden.
Gruppenrichtlinien
Ähnlich dem Gruppenrichtlinienteil der benutzerseitigen administrativen Vorlage

(siehe Abbildung 6.64) legen die Gruppenrichtlinieneinstellungen in der computer-
seitigen administrativen Vorlage fest, was während der Verarbeitung des GPO für
den Computer geschehen soll. Sie legen an dieser Stelle die Aktualisierungen für
Domänencontroller und andere Typen von Windows-2000-Computern fest, und
entscheiden darüber, welche Teile des GPO für den Computer einschließlich
Skripte, Softwareinstallationsrichtlinien, EFS-Richtlinien und Datenträgerkontin-
genterichtlinien verarbeitet werden.
Abbildung 6.63
Einstellungen com-
puterseitiger admi-
für SYSTEM/DNS-
CLIENT
Abbildung 6.64
Einstellungen com-
puterseitiger admi-
für SYSTEM/GRUP-
PENRICHTLINIEN
Windows-Dateischutz
Windows-Dateischutz (WFP, Windows File Protection) ist die Fähigkeit von Win-
dows-2000-Computern, kritische Systemdateien, die von anderen Anwendungen
wie beispielsweise einem Installer-Programm überschrieben worden sind, automa-
tisch wiederherzustellen. Mit WINDOWS-DATEISCHUTZ in der computerseitigen
administrativen Vorlage (siehe Abbildung 6.65) können Sie die Häufigkeit der
Suchvorgänge von WFP einstellen. Die Suchvorgänge ermitteln, ob es Dateien gibt,
die auf ihren ursprünglichen Status zurückgesetzt werden müssen. Wenn Sie möch-
ten, können Sie auch den Cache von WFP an einen anderen als den standardmäßig
eingestellten Speicherungsort verschieben. Weiterhin können Sie die Größe des
Dateischutzcache festlegen. Der Cache wird zum Zwischenspeichern von Kopien
der Windows-2000-Dateien verwendet, die von anderen Programmen überschrieben
werden könnten. Die Dateien werden über diesen Cache wiederhergestellt, ohne
dass Sie eine CD mit den Originaldateien einlegen müssen. Außerdem legen Sie
noch fest, ob das Statusfenster während des Suchvorganges ausgeblendet wird.
Abbildung 6.65
Einstellungen com-
puterseitiger admi-
für SYSTEM/W IN-
DOWS-DATEISCHUTZ
Über die Systemeinstellungen der computerseitigen administrativen Vorlagen kon-

figurieren Sie für alle Benutzer des Computers die Anmeldung, Datenträgerkontin-
gente, Namenssuffixe des DNS-Clients, Gruppenrichtlinien und den Windows-
Dateischutz. Hierdurch wird die Einheitlichkeit vorhandener Unternehmensstan-
dards gewährleistet. Mit den jetzt folgenden Netzwerkeinstellungen legen Sie die
Funktionen des Computers im Netzwerk fest.
Einstellungen computerseitiger administrativer Vorlagen zum Netzwerk

씰 Verwalten der Netzwerkkonfiguration über Gruppenrichtlinien
Wie der Benutzerteil der administrativen Vorlage ermöglicht Ihnen auch der com-
puterseitige Teil (siehe Abbildung 6.66) die Konfiguration von Offline-Dateien und
Netzwerk- bzw. DFÜ-Verbindungen.
Abbildung 6.66
Einstellungen com-
puterseitiger admi-
für das Netzwerk
Offline-Dateien
Die Einstellungen zu Offline-Dateien der administrativen Vorlage (siehe Abbildung

6.67) sind nahezu identisch mit denjenigen der benutzerseitigen Einstellungen. An
dieser Stelle verfügen Sie über die Gelegenheit, die Offline-Verfügbarkeit von
Dateiordnern zu deaktivieren und Einstellungen zu Erinnerungssymbolen vorzuneh-
men. Es existieren auch noch weitere computerseitige Einstellungen, wie etwa ob
auf diesem Computer Offline-Dateien unterstützt werden sollen, oder ob lokale
Kopien von Offline-Dateien nach der Abmeldung eines Benutzers auf der Festplatte
gelöscht werden sollen. Weiterhin können Sie die Ereignisprotokollierungsstufe für
Offline-Dateiereignisse und die standardmäßige Cachegröße festlegen. Einstellun-
gen, die Auswirkungen auf viele Benutzer haben und den verfügbaren Datenträger-
platz reduzieren können, stehen also nur im computerseitigen Teil der administrati-
ven Vorlage zur Verfügung.
Netzwerk- und DFÜ-Verbindungen
Die einzige Einstellung, die in der computerseitigen administrativen Vorlage im

Ordner Netzwerk- und DFÜ-Verbindungen definiert werden kann, besteht in der
Festlegung, ob die Konfiguration von Verbindungsfreigaben zugelassen ist oder
nicht (siehe Abbildung 6.68). Die Verbindungsfreigabe ist eine Funktion von Win-
dows 2000, die Benutzern die Freigabe ihres Systems als Gateway für das Internet
für ein kleines Netzwerk mit 2 bis 10 Benutzern erlaubt.
Abbildung 6.67
Einstellungen com-
puterseitiger admi-
für NETZWERK/OFF-
LINE-DATEIEN
Abbildung 6.68
Einstellungen com-
puterseitiger admi-
für Netzwerk- und
DFÜ-Verbindungen
Mit den Netzwerkeinstellungen für den Computer kann der Administrator die Funk-
tionen von Offline-Dateien und die Freigabe einer Internet-Verbindung auf dem
Computer konfigurieren.
Einstellungen computerseitiger administrativer Vorlagen zum Drucker

Der Druckerteil der computerseitigen administrativen Vorlage (siehe Abbildung
6.69) erlaubt Ihnen die Festlegung, ob auf dem Computer definierte Drucker in
Active Directory veröffentlicht werden können.
Außerdem legen Sie fest, ob webbasiertes Drucken, eine neue Windows-2000-

Funktion, zugelassen ist. In diesem Teil der Vorlage stellen Sie ein, ob Drucker des
Computers bei Suchvorgängen im Netzwerk angezeigt werden. Sie legen weiterhin
fest, ob Drucker gelöscht werden sollen, und wie die Löscheigenschaften sind. Das
Löschen ist eine Funktion von Windows-2000-Domänencontrollern, die automa-
tisch Drucker aus Active Directory entfernt, die nicht mehr verfügbar sind, und sie
neu veröffentlicht, sobald sie wieder anwesend sind.
Abbildung 6.69
Einstellungen com-
puterseitiger admi-
für Drucker
Über die Einstellungen computerseitiger administrativer Vorlagen können Sie ver-

schiedene Aspekte der Computerfunktionen konfigurieren, die Windows-2000-
Komponenten wie IE oder Windows Installer, Systemfunktionen wie Datenträger-
kontingente, Windows-Dateischutz und Netzwerk- sowie Druckereinstellungen
umfassen. Alle diese Elemente konfigurieren Sie ähnlich wie auf der Benutzerseite.
In Fällen, in denen Benutzer- und Computereinstellungen im Konflikt stehen, wer-
den immer die Computereinstellungen angewendet.
Da Sie nun die verfügbaren Optionen der administrativen Gruppenrichtlinienvorla-

gen für die Konfiguration von Benutzern und Computern kennen gelernt haben,
besteht der nächste logische Schritt darin, sie in einem GPO zu implementieren
6.5.2 Administrative Vorlagen bearbeiten

Bis hierhin haben Sie sich hauptsächlich damit befasst, welche Einstellungen in
administrativen Vorlagen für Benutzer und Computer zur Verfügung stehen; die
Implementierung einer administrativen Vorlage wurde dagegen noch nicht erörtert.
Die folgende Schritt-für-Schritt-Anleitung stellt Ihnen daher das notwendige Wis-
sen zum Bearbeiten einer administrativen Vorlage zur Verfügung.

6.8 Einstellungen einer administrativen Vorlage für eine
Gruppenrichtlinie konfigurieren
1. Starten Sie zur Bearbeitung des Containers mit dem GPO, dessen administra-
tive Vorlage Sie konfigurieren möchten, entweder ACTIVE DIRECTORY-
BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND
-DIENSTE.
2. Klicken Sie mit der rechten Maustaste auf dem Container mit dem GPO, des-
sen Einstellungen Sie bearbeiten möchten, und wählen Sie im Kontextmenü
EIGENSCHAFTEN aus.
3. Klicken Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE
an.
4. Klicken Sie in der Liste der angezeigten Gruppenrichtlinien diejenige an, deren
Einstellungen Sie bearbeiten möchten, und klicken Sie auf BEARBEITEN, oder
klicken Sie einfach nur zweimal auf dem entsprechenden GPO. Jetzt wird eine
MMC-Konsole zum Bearbeiten der Gruppenrichtlinie gestartet.
5. Blenden Sie in Abhängigkeit davon, ob Sie eine Computer- oder Benutzer-
einstellung bearbeiten möchten, den Ordner ADMINISTRATIVE VORLAGEN
(klicken Sie das Pluszeichen (+) daneben an) im Bereich COMPUTER- oder
BENUTZERKONFIGURATION des GPO ein. Falls Sie beispielsweise Datenträ-
gerkontingente für alle Benutzer des Computers aktivieren möchten, blenden
Sie dazu den Bereich ADMINISTRATIVE VORLAGEN von COMPUTERKONFIGU-
RATION ein.
6. Blenden Sie nach und nach auch die Ordner der unteren Ebenen von ADMI-
NISTRATIVE VORLAGEN ein, bis Sie den Ordner mit der Einstellung erreicht
haben, die Sie bearbeiten möchten. Um beispielsweise Datenträgerkontin-
gente zu aktivieren, blenden Sie SYSTEM und DATENTRÄGERKONTINGENTE
ein, bis Sie die MMC-Konsole in der Abbildung 6.70 erhalten.
7. Zum Aktivieren bzw. Deaktivieren einer Einstellung klicken Sie zweimal auf
der Einstellung, die Sie bearbeiten möchten, und klicken dann das entspre-
chende Optionsfeld an: AKTIVIERT, DEAKTIVIERT oder NICHT KONFIGURIERT
(siehe Abbildung 6.71). AKTIVIERT bedeutet, dass die Richtlinieneinstellung
zwar auf dieser Ebene durchgesetzt wird, aber auf einer niedrigeren Ebene
wie einer OU überschrieben werden kann. DEAKTIVIERT bedeutet, dass die
Einstellung auf dieser Ebene nicht durchgesetzt wird. NICHT KONFIGURIERT
ist eine Einstellung, die im Moment nicht gesetzt ist, jedoch von einem über-
geordneten Container wie einer Domäne oder einem Standort ererbt werden
kann. NICHT KONFIGURIERT ist beim Erstellen eines neuen GPO der Stan-
dardwert aller Einstellungen.
Abbildung 6.70
Zum Aktivieren von

Datenträgerkontin-
genten blenden Sie
die Ordner ADMINIS-
TRATIVE VORLAGEN,
SYSTEM, DATENTRÄ-
GERKONTINGENTE im
Bereich COMPUTER-
KONFIGURATION des
GPO ein
Abbildung 6.71
Zum Aktivieren der

Datenträgerkontin-
gentierung klicken
Sie das Optionsfeld
AKTIVIERT im Dialog-
feld EIGENSCHAFTEN
VON DATENTRÄGER-
KONTINGENTE
ermöglichen an
8. Wie die Abbildung 6.72 zeigt, können Sie auch zusätzliche Informationen zu
der jeweiligen Einstellung bekommen, die Sie über den Windows-2000-
Gruppenrichtlinieneditor bearbeiten. Durch Anklicken der Registerkarte
ERKLÄRUNG erhalten Sie eine kurze Erläuterung zur Funktion der Einstellung
und dem Ergebnis ihrer Aktivierung oder Deaktivierung.
Abbildung 6.72
Die Registerkarte
ERKLÄRUNG erläu-
tert die Auswirkung
einer aktiven Ein-
stellung
9. Zum Speichern Ihrer Änderungen an der Einstellung klicken Sie auf ÜBER-
NEHMEN und anschließend auf OK, um das Dialogfeld EIGENSCHAFTEN zu
schließen. Nach Abschluss aller Ihrer Änderungen am GPO schließen Sie
zum Speichern des GPO die Konsole GRUPPENRICHTLINIE.
10. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN für den Contai-
ner, dessen GPO Sie gerade bearbeitet haben, auf OK.
11. Beenden Sie die Konsole ACTIVE DIRECTORY-BENUTZER UND -COMPUTER
bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
Die Festlegung von Gruppenrichtlinien unter Verwendung administrativer Vorlagen

ist, wie Sie gesehen haben, recht einfach. Sie suchen sich einfach nur die Einstel-
lung heraus, die Sie aktivieren bzw. deaktivieren möchten, klicken auf die entspre-
chende Schaltfläche, und haben damit die Gruppenrichtlinie bereits definiert. Der
schwierigste Teil der Sache besteht in der Entscheidung, welche Einstellung akti-
viert oder deaktiviert werden soll – unter Umständen bedarf es hier einer eingehen-
den Diskussion zur Festlegung einer konsistenten Verfahrensweise. In manchen
Fällen jedoch bieten administrative Vorlagen nicht genug Funktionalität für die
gewünschte Konfiguration einer Benutzer- oder Computerumgebung an. Für solche
Fälle stellt Microsoft Windows 2000 Ihnen das Erstellen von Skripten und deren
Durchsetzung über Gruppenrichtlinien zur Verfügung.
Skripte in Gruppenrichtlinien konfigurieren und verwenden

In diesem Abschnitt werden Sie Skripte und deren Verarbeitung auf Windows-
2000-Computern kennen lernen. Sie werden erfahren, wie Sie ein Skript mit dem
computerseitigen (Skripte für Starten und Herunterfahren) oder benutzerseitigen
(Skripte für An- und Abmeldungen) Bereich eines GPO verknüpfen.
Die in Verbindung mit administrativen Vorlagen verfügbaren Optionen reichen

unter Umständen nicht aus, um die Umgebung bereitzustellen, die ein Benutzer zur
Durchführung seiner Aufgaben benötigt. Beispiele für einen erweiterten Bedarf
wären die automatische Erstellung bestimmter Verknüpfungen auf dem Desktop
oder die Einrichtung von Drucker- und Netzwerkordnerverbindungen während der
Benutzeranmeldung. Um solche Änderungen automatisch beim Start eines Compu-
ters oder Anmelden eines Benutzers durchführen zu lassen, können Sie Gruppen-
richtlinienskripte einsetzen.
Mit Gruppenrichtlinien können Sie Skripte konfigurieren, die beim Starten oder
Herunterfahren eines Computers ablaufen. Weiterhin können Sie Skripte erstellen,
die bei der An- oder Abmeldung eines Benutzers ausgeführt werden, und Änderun-
gen an seiner oder der Umgebung aller Benutzer vornehmen. Sie haben auch die
Möglichkeit, Skripte zu konfigurieren, die noch vor der Anmeldung des nächsten
Benutzers oder dem Start des Computers sämtliche Änderungen beseitigen, die von
anderen Benutzern herbeigeführt worden sind. Als Skripte können Batchdateien
(BAT oder CMD), ausführbare Programmdateien (EXE) oder Skripte des Windows
Script Host (VBScript oder JScript) eingesetzt werden. Im Allgemeinen machen Sie
dann Gebrauch von Skripten, wenn Sie eine Gruppenrichtlinie implementieren
möchten, deren Anforderungen über eine administrative Vorlage nicht realisiert
werden können. Zu diesem Zweck erstellen Sie dann ein Skript, welches die ent-
sprechende Aufgabe ausführt und das gewünschte Ergebnis erbringt. Mit Skripten,
die über VBScript und Windows Script Host (WSH) unterstützt werden, können Sie
nahezu jede beliebige Aufgabe realisieren.
Ausführungsreihenfolge von Skripten in Gruppenrichtlinien

Die Ausführungsreihenfolge von Skripten in Gruppenrichtlinien ist wie die Anwen-
dung von Gruppenrichtlinieneinstellungen genau festgelegt. Dem entspricht, dass
bei einem Konflikt zwischen verschiedenen Skripten immer die im letzten verarbei-
teten Skript vorgefundene Einstellung den Vorrang besitzt, was sich etwas von der
Anwendung der Einstellungen in administrativen Vorlagen unterscheidet.
Wenn Sie dieselbe Einstellung in einer administrativen Vorlage für den Benutzer
und den Computer definieren, erhält die Computereinstellung immer den Vorrang.
Nehmen Sie als Beispiel einmal an, dass im Ordner SYSTEM der administrativen
Vorlage für den Computer Autoplay deaktiviert worden ist, während Sie dieselbe
Einstellung für den Benutzer aktiviert haben. Autoplay bleibt in diesem Fall deakti-
viert, weil die Computereinstellung den Vorrang besitzt. Der Grund hierfür liegt
darin, dass die für den Computer und den Benutzer spezifizierten Konfigurationen
bei der Anwendung der GPO-Einstellungen kombiniert und Konflikte noch vor der
Anwendung der Vorlageneinstellungen aufgelöst werden. Auf diese Weise ist sich
der Administrator immer des Endergebnisses von Änderungen in der Vorlagenein-
stellung sicher.
Skripte können beim Starten und Herunterfahren des Computers sowie beim An-
und Abmelden des Benutzers ausgeführt werden. Jedes dieser Ereignisse ist recht
spezifisch (An- und Abmeldungen von Benutzern können vor dem Herunterfahren
des Computers viele Male erfolgen), wobei die Skripte beim Auftreten der jeweili-
gen Ereignisse ausgeführt werden. Da Skripte einfach nur Batch-, Programm- oder
WSH-Skriptdateien darstellen, stehen in ihnen keine Techniken zur Verfügung, mit
denen ein vorheriger Zustand erkannt und entschieden werden kann, dass die im
Skript festgelegten Einstellungen besser nicht angewendet werden sollten. Skripte
setzen voraus, dass sämtliche Einstellungen immer, komme was wolle, auch ange-
wendet werden. Durch dieses spezifische Verhalten kann es geschehen, dass eine im
Skript für die Benutzeranmeldung vorgesehene Einstellung eine gleichartige im
Skript für den Computerstart überschreibt. Da dies nichts anderes als die normale
vorgesehene Arbeitsweise von Skripten ist, müssen Sie sich als Administrator der
Folgen bewusst sein.
Die tatsächliche Verarbeitungsreihenfolge von Skripten verläuft folgendermaßen:
1. Sobald ein Benutzer einen Computer startet und sich anmeldet, laufen zwei
Typen von Skripten: Start- und Anmeldeskripte. Startskripte laufen sequenti-
ell ab (synchron). Jedes Skript muss erst komplett ablaufen oder per Zeitüber-
schreitung abbrechen, bevor das nächste Skript starten kann. Die Skripte
werden im Hintergrund ausgeführt und sind für den Benutzer nicht sichtbar.
Mit anderen Worten: Der Benutzer kann die Skripte nicht »ausspionieren«
und feststellen, welche Änderungen am System als Ergebnis des Startskripts
vorgenommen werden. Die Ausführungsreihenfolge der Startskripte wird im
Dialogfeld EIGENSCHAFTEN VON STARTEN (siehe Abbildung 6.73) festgelegt,
welches sich in WINDOWS-EINSTELLUNGEN, SKRIPTS, STARTEN im Gruppen-
richtlinieneditor befindet.
Anmeldeskripte laufen nach Startskripten und werden asynchron ausgeführt,
womit die Möglichkeit besteht, dass mehrere Skripte gleichzeitig ausgeführt
werden. Falls zwischen den Einstellungen in diesen Skripten Konflikte beste-
hen sollten, wird die letzte ausgeführte Einstellung angewendet. Falls daher
eine Einstellung in verschiedenen Skripten identisch ist, lässt sich nicht mehr
mit Sicherheit sagen, was das Endergebnis in der Ausführung der Skripte sein
wird. Als Faustregel sollten Sie daran denken, gleiche Einstellungen in meh-
reren Skripten zu vermeiden.
HINWEIS
Standardmäßige Zeitüberschreitungswerte
Der standardmäßige Zeitüberschreitungswert für Skripte beträgt 10 Minuten.

Wenn ein Skript daher vor Ablauf von 10 Minuten noch nicht fertig geworden ist,
wird eine Zeitüberschreitung angenommen und das nächste Skript ausgeführt.
Falls Ihr Skript umfangreich ist und mehr als 10 Minuten zur Ausführung benötigt,
können Sie den standardmäßigen Zeitüberschreitungswert unter COMPUTERKONFI-
GURATION, ADMINISTRATIVE VORLAGEN, SYSTEM, ANMELDUNG, MAXIMALE WARTEZEIT
FÜR GRUPPENRICHTLINIENSKRIPTS ändern. Die Einstellung wird auf alle Skripte an-
gewendet: Starten, Herunterfahren, Anmelden und Abmelden. Allerdings kann
dadurch der Prozess der An- oder Abmeldung bzw. des Computerstarts recht
langwierig werden. Wenn Sie den Wert zu niedrig einstellen, könnten Skripte früh-
zeitig abbrechen und damit zu unvollständigen Konfigurationen führen. Generell
ist zu empfehlen, dass standardmäßige Einstellungen immer beibehalten werden
sollten, solange es keine guten Gründe für eine Änderung gibt.
Abbildung 6.73
Die Verarbeitungs-
reihenfolge von
Startskripten kann
im Dialogfeld
EIGENSCHAFTEN VON
STARTEN unter
W INDOWS-EINSTEL-
LUNGEN, SKRIPTS,
STARTEN IM GRUP-
PENRICHTLINIENEDI-
TOR eingestellt wer-
den
2. Nach der Abmeldung eines Benutzers werden die Abmeldeskripte gestartet.

3. Wenn der Benutzer den Computer herunterfährt oder als Teil des Abmelde-
vorgangs neu startet, laufen die Skripte für das Herunterfahren.
Vergessen Sie nicht, wie wichtig die Feststellung ist, dass Startskripte zum Zeit-
punkt des Computerstarts ausgeführt werden, während Anmeldeskripte zum Zeit-
punkt der Benutzeranmeldung starten. Dementsprechend starten Abmeldeskripte
bei der Abmeldung eines Benutzers und Skripte für das Herunterfahren beim
Herunterfahren des Computers. Wie zuvor schon erwähnt, laufen Startskripte in der
Reihenfolge ab, in der Sie in der Gruppenrichtlinie spezifiziert sind, während
Anmeldeskripte keine besondere Ausführungsreihenfolge kennen. Falls ein und die-
selbe Einstellung in mehr als einem Anmeldeskript vorkommt, gibt es keine Mög-
lichkeit dafür, das exakte Endergebnis der Skripte vorherzusagen.
Skripte über Gruppenrichtlinien implementieren

Vielleicht der schwierigste Teil einer Implementierung von Skripten in Windows
2000 besteht darin, sie überhaupt zu erstellen. Bevor Sie das Skript mit der Compu-
ter- oder Benutzerkonfiguration in der Gruppenrichtlinie verknüpfen, schreiben Sie
es mit dem Editor von Windows 2000 oder einem anderen Texteditor. Wie weiter
oben schon erwähnt, können Skripte aus BAT-, CMD-, Programm- oder WSH-
Dateien bestehen.
HINWEIS
BAT- und CMD-Dateien
In Windows 2000 können Sie zwar sowohl BAT- als auch CMD-Dateien ausfüh-
ren, jedoch werden beide Typen ganz unterschiedlich ausgeführt. Batchdateien
werden innerhalb einer virtuellen Maschine von NT (NTVDM) ausgeführt und sind
mit DOS und MS Windows 3.x/9x kompatibel. Sie laufen im 16-Bit-Modus und
können daher bei einem Absturz auch die virtuelle Maschine zum Absturz bringen
(sofern diese von anderen Anwendungen mitbenutzt wird). CMD-Dateien laufen
im 32-Bit-Modus und werden unter Verwendung des Befehlsinterpreters
CMD.EXE im eigenen Speicherbereich ausgeführt. Probleme mit einer CMD-Da-
tei betreffen, da der Prozess isoliert verläuft, daher niemals die Ausführung ande-
rer Programme. Dieser Unterschied kann manchmal verwirrend sein, da die
Befehle, die Sie in BAT- oder CMD-Dateien schreiben können, im Großen und
Ganzen dieselben sind.
Nachdem Sie ein Skript erstellt haben, welches zu dem Zweck eingesetzt werden
soll, entweder den Computer zum Zeitpunkt des Startens oder Herunterfahrens oder
eine Benutzerumgebung zum Zeitpunkt der An- oder Abmeldung zu konfigurieren,
müssen Sie zwei Dinge tun: Als Erstes kopieren Sie die Datei in einen gemeinsam
genutzten Speicherungsort, damit sie von dort downgeloaded und ausgeführt wer-
den kann; typischerweise ein Ordner innerhalb der GPO-Struktur im Ordner SYS-
VOL auf einem Domänencontroller. Als Nächstes müssen Sie das Skript mit einem
GPO verknüpfen. Die folgende Schritt-für-Schritt-Anleitung führt Sie durch den
Vorgang des Kopierens und Verknüpfens von Skripts hindurch.

6.9 Skripte zur Verwendung in Gruppenrichtlinie implementieren
1. Starten Sie zur Bearbeitung des Containers, dessen Gruppenrichtlinie Sie ein
Skript hinzufügen möchten, entweder ACTIVE DIRECTORY-BENUTZER UND
-COMPUTER oder ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
2. Klicken Sie mit der rechten Maustaste auf dem Container mit dem GPO, dem
Sie ein Skript hinzufügen möchten, und wählen Sie im Kontextmenü EIGEN-
SCHAFTEN aus.

an.
4. Klicken Sie in der Liste der angezeigten GPOs auf das GPO, dem Sie ein
Skript hinzufügen möchten, und klicken Sie dann auf BEARBEITEN, oder kli-
cken Sie das GPO einfach nur zweimal an. Nun startet eine MMC-Konsole,
mit der Sie die Gruppenrichtlinie bearbeiten können.
5. Zum Bearbeiten eines Start- oder Herunterfahren-Skripts blenden Sie COM-
PUTERKONFIGURATION, WINDOWS-EINSTELLUNGEN und SKRIPTS ein (siehe
Abbildung 6.74). Sie werden in dieser Anleitung jedoch ein Anmeldeskript
konfigurieren. Blenden Sie zum Start dieses Vorgangs BENUTZERKONFIGU-
RATION im Gruppenrichtlinieneditor ein.
Abbildung 6.74
Klicken Sie zum

Erstellen eines
Start-oder Herun-
terfahren-Skripts
zweimal auf die
Optionen STARTEN
BZW. HERUNTERFAH-
REN im Bereich
COMPUTERKONFIGU-
RATION DES GRUP-
PENRICHTLINIENEDI-
TORS
Abbildung 6.75
Die An- und Abmel-

deskripte befinden
sich im Ordner W IN-
DOWS-EINSTELLUN-
GEN des Bereichs
BENUTZERKONFIGU-
RATION
6. Blenden Sie WINDOWS-EINSTELLUNGEN ein (siehe Abbildung 6.75).

7. Klicken Sie SKRIPTS an, und klicken Sie dann in Abhängigkeit von dem
Skript, welches Sie erstellen möchten, zweimal auf ANMELDEN oder ABMEL-
DEN. Da Sie in dieser Anleitung ein Anmeldeskript erstellen sollen, zeigt die
Abbildung 6.76 das Dialogfeld EIGENSCHAFTEN VON ANMELDEN.
Abbildung 6.76
Im Dialogfeld
EIGENSCHAFTEN VON
ANMELDEN können
Sie Skripte hinzufü-
gen und die Liste
der Skripte anzei-
gen
8. An dieser Stelle können Sie Skripte hinzufügen. Falls mehrere Skripte aufge-
listet sein sollten, können Sie außerdem deren Eigenschaften bearbeiten oder
ein Skript entfernen. Darüber hinaus können Sie noch die Dateien anzeigen,
die hinter den hier genannten Skripten stehen und physisch auf der Festplatte
liegen. Zum Kopieren eines Skripts an die für Anmeldeskripte vorgesehene
Stelle klicken Sie zum Anzeigen eines Windows-Explorer-Fensters (siehe
Abbildung 6.77) auf DATEIEN ANZEIGEN und zeigen auf den Ordner, in dem
Sie das Anmeldeskript erstellt haben. Anschließend klicken Sie das Skript an
und ziehen es in das mit der Schaltfläche DATEIEN ANZEIGEN geöffnete Win-
dows Explorer-Fenster.
Abbildung 6.77
Das Windows-
Explorer-Fenster
zeigt eine Liste der
physischen Dateien
im GPT-Ordner
Logon an
HINWEIS
Die Gruppenrichtlinienvorlage
Damit eine Skriptdatei an Domänencontroller repliziert und als ein Gruppenrichtli-
nienskript ausgeführt werden kann, muss es sich physisch im Vorlagenpfad für
Gruppenrichtlinien auf einem Domänencontroller befinden. Der standardmäßige
Speicherungsort eines Anmeldeskripts befindet sich in der Freigabe SYSVOL des
Domänencontrollers in der Ordnerhierarchie <Domänenname>\Policies\<GPO-
GUID>\User\Scripts\Logon. Ein Abmeldeskript liegt in demselben Pfad mit der
Ausnahme, dass der Name des letzten Ordners Logoff anstelle von Logon lautet.
Start- und Anmeldeskripte befinden sich in der Ordnerhierarchie <Domänen-
name>\Policies\<GPO-GUID>\Machine\Scripts\Startup bzw. Shutdown in der
Freigabe SYSVOL.
Skripte können nur dann ausgeführt werden, wenn Sie zuvor an diese Speiche-
rungsorte kopiert werden.
Abbildung 6.78
Zum Kopieren
eines Skripts auf
der Festplatte zum
passenden Ordner
innerhalb der GPT
ziehen Sie es ein-
fach nur mit der
Maus vom
Ursprungsort zum
Windows Explorer,
den Sie mit der
Schaltfläche DATEI-
EN ANZEIGEN geöff-
net haben.
Abbildung 6.79
Der Ordner Logon

in einem Windows-
Explorer-Fenster
nach dem Kopieren
von Dateien
HINWEIS
Dateien dem Ordner für Skripte hinzufügen
Da die Berechtigungen automatisch von Windows 2000 bei der Einrichtung eines
Domänencontrollers konfiguriert werden, können nur Mitglieder der Gruppen Ad-
ministratoren, Domänen-Admins oder Organisations-Admins Dateien in die für
Skripte vorgesehenen Ordner kopieren. Der Grund liegt darin, dass die GPT-Ord-
nerstruktur alle Benutzer betrifft und daher auch besonders geschützt werden
muss. Falls Sie eine Datei in einen Skriptordner der GPT zu kopieren versuchen
und die Meldung erhalten, dass Sie nicht über die erforderlichen Berechtigungen
verfügen, wenden Sie sich bitte an Ihren Administrator.
Die Abbildung 6.78 zeigt einen Ordner namens SKRIPTE auf einem Laufwerk
E:, der Skripte für ein GPO enthält (diese Skripte sind Beispieldateien und
existieren nicht auf Ihrem Computer – Sie müssen selbst zwei solche Dateien
erstellen, um die folgende Erläuterung nachstellen zu können). Wenn Sie nun
zwei Dateien mit dem Namen PRINTERS.BAT und SHARES.CMD in das
richtige Verzeichnis für Anmeldeskripte kopieren möchten, müssen Sie die
Dateien nur markieren und dann mit der Maus in das Windows-Explorer-
Fenster Logon ziehen. Das Ergebnis zeigt Abbildung 6.79. Schließen Sie das
Windows-Exporer-Fenster wieder, wenn Sie mit dem Kopieren der Dateien
in den GPT-Ordner fertig sind.
9. Zum Hinzufügen eines Anmeldeskripts nach dem Kopieren in den passenden

Ordner klicken Sie im Dialogfeld EIGENSCHAFTEN VON ANMELDEN auf HIN-
ZUFÜGEN. In einem Dialogfeld (siehe Abbildung 6.80) können Sie den
Namen des Skripts angeben, welches Sie hinzufügen, und Skriptparameter
eingeben oder über den schon bekannten Windows Explorer nach der Skript-
datei suchen.
Abbildung 6.80
Das Dialogfeld HIN-

ZUFÜGEN EINES
SKRIPTS ermöglicht
Ihnen die Suche
nach der Skriptda-
tei und die Angabe
von Skriptparame-
tern, die dem Skript
zur Laufzeit überge-
ben werden
Zum Suchen der bereits früher erstellten Dateien klicken Sie auf DURCHSU-
CHEN und kopieren die gefundene Datei in den entsprechenden Ordner. Be-
achten Sie, dass Sie sich automatisch im GPT-Ordner für den Skripttyp
befinden, den Sie hinzufügen möchten. Zum Verknüpfen mit diesem GPO
klicken Sie eine der Dateien an. Klicken Sie zum Abschluss auf OK. Wieder-
holen Sie diese Schritte für alle Skripte, die Sie hinzufügen möchten.
10. Nachdem Sie die Skripte hinzugefügt haben, gehen Sie wieder zum Dialog-
feld EIGENSCHAFTEN von ANMELDEN mit den darin enthaltenen Namen der
Skripte zurück (siehe Abbildung 6.81). Wenn Sie einen der Skriptnamen
anklicken, werden die Schaltflächen BEARBEITEN und ENTFERNEN aktiviert.
Zum Ändern der Parameter für Skriptausführung oder Speicherungsort des
Skripts klicken Sie die Schaltfläche BEARBEITEN an (BEARBEITEN bedeutet
hier nicht, das Skript direkt zu bearbeiten, sondern nur Änderungen an den
Ausführungsparametern vorzunehmen). Um ein Skript von der Ausführung
auszuschließen, klicken Sie auf die Schaltfläche ENTFERNEN. Mit ENTFER-
NEN wird das Skript nicht auf der Festplatte gelöscht, sondern nur die Ver-
knüpfung zwischen dem GPO und dem Skript entfernt. Die eigentliche
Skriptdatei müssen Sie manuell löschen.
11. Wenn Sie alle Skripte konfiguriert haben, klicken Sie auf ÜBERNEHMEN und
OK. Damit kehren Sie zum Gruppenrichtlinieneditor zurück.
12. Schließen Sie die MMC-Konsole des Gruppenrichtlinieneditors.
13. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Active
Directory-Container mit dem GPO zu schließen.
14. Zum Abschluss können Sie noch, wenn Sie wollen, die MMC-Konsole
ACTIVE DIRECTORY-BENUTZER UND -COMPUTER bzw. ACTIVE DIRECTORY-
STANDORTE UND -DIENSTE schließen.
Hinsichtlich der Konfiguration und dem Einsatz von Skripten ist für Sie besonders
die Frage wichtig, welche Skripttypen zur Verfügung stehen (Anmelden, Abmel-
den, Starten und Herunterfahren), und wofür diese Skripte benötigt werden. Skripte
sind in Windows 2000 nicht enthalten und müssen von Ihnen selbst manuell erstel-
len werden.
Skripte können mit GPOs verknüpft und Benutzern und Computern zugewiesen
werden. Skripte für Starten und Herunterfahren werden selbstverständlich nur Com-
putern zugewiesen. Ihre Ausführungsreihenfolge verläuft sequenziell, und bei Kon-
flikten in gleichen Einstellungen wird die letzte verarbeitete Einstellung angewen-
det. An- und Abmeldeskripte werden nur auf Benutzer angewendet und in keiner
bestimmten Reihenfolge ausgeführt (asynchron), sodass unvorhersehbare Konflikte
auftreten können.
Abbildung 6.81
Das Dialogfeld
EIGENSCHAFTEN VON
ANMELDEN nach
dem Hinzufügen
von Skripten
Skripte werden immer im Ordner SYSVOL auf einem Domänencontroller unterhalb

der GUID des GPO gespeichert, in dem sie verwendet werden (als Bestandteil der
Gruppenrichtlinienvorlage). Der Administrator muss sie manuell an diese Stelle
kopieren.
Zusätzlich zu Skripten und administrativen Vorlagen können unter Verwendung

von Gruppenrichtlinien noch weitere Einstellungen konfiguriert werden, mit denen
sich der nächste Abschnitt beschäftigt. Einstellungen, die die Software und Sicher-
heit betreffen, werden in anderen Kapiteln erörtert.
Weitere über Gruppenrichtlinien konfigurierbare Einstellungen

In Gruppenrichtlinien können unter Verwendung von administrativen Vorlagen und
Skripten noch zahlreiche weitere Einstellungen konfiguriert werden, von denen
einige wie die Software-Installation, Sicherheitseinstellungen und Remoteinstalla-
tionsdienste in anderen Kapiteln behandelt werden. In der Abbildung 6.82 sehen Sie
Einstellungen zur Internet Explorer-Wartung und Ordnerumleitung, die in diesem
Abschnitt näher erläutert werden, während die den Computer betreffenden Einstel-
lungen Thema der noch folgenden Kapitel sind.
Abbildung 6.82
Weitere Windows-
Einstellungen für
die Computer- und
Benutzerkonfigura-
tion, die über GRUP-
PENRICHTLINIEN defi-
niert werden
können
Benutzerseitige Einstellungen für Internet Explorer-Wartung

Mit Windows-2000-Gruppenrichtlinien kann ein Administrator außerhalb der admi-
nistrativen Vorlagen für das GPO noch verschiedene Einstellungen für Internet
Explorer konfigurieren (siehe Abbildung 6.83). Hierzu gehören die Browseroberflä-
che, die Verbindungseinstellungen, verschiedene vorkonfigurierte URLs, IE-Sicher-
heitseinstellungen und automatisch von IE aufgerufene Programme.
Abbildung 6.83
Benutzerseitig über
GRUPPENRICHTLINI-
EN konfigurierbare
Einstellungen für
Internet Explorer
Benutzeroberfläche des Browsers
Zu denen Ihnen zur Verfügung stehenden benutzerseitigen Einstellungen zur Benut-

zeroberfläche des Browsers (siehe Abbildung 6.84) gehören der Titel, der auf der
Symbolleiste erscheint, und das Hintergrundbitmap für die Symbolleiste. Mit Ein-
stellungen für animierte Bitmaps legen Sie das animierte Bitmap fest, welches in
der oberen rechten Ecke beim Warten auf Datenübertragungen von Websites ange-
zeigt wird. Darüber hinaus können Sie ein eigenes Logo definieren, welches in der
oberen rechten Ecke des Browserfensters erscheint, nachdem eine Webseite voll-
ständig übertragen worden ist. Schließlich haben Sie noch die Gelegenheit, einige
zusätzliche Symbolleistenschaltflächen des Browsers für den Benutzer zu konfigu-
rieren bzw. die aktuellen zu entfernen und durch einen neuen, von Ihnen erstellten
Satz von Schaltflächen zu ersetzen. Mit all diesen Einstellungen legen Sie das
Erscheinungsbild und die Funktionen der Benutzeroberfläche des Browsers fest.
Abbildung 6.84
Benutzerseitig kon-
figurierbare Einstel-
lungen zur Benut-
zeroberfläche des
Browsers
Verbindung
Mit der Gruppenrichtlinie können Sie dafür sorgen, dass die Verbindungseinstellun-
gen transparent für den Benutzer im Hintergrund abgewickelt werden, ohne dass die
Benutzer krude Fehlermeldungen des Inhalts erhalten, dass aus dem einen oder
anderen Grunde keine Verbindung mit der Site möglich war. Zu den konfigurierba-
ren Optionen (siehe Abbildung 6.85) gehört die Möglichkeit, die Verbindungsein-
stellungen eines Benutzers durch einen vordefinierten Satz von Optionen zu erset-
zen. Sie können festlegen, ob die Einstellungen zu einem Proxyserver automatisch
erkannt werden sollen, oder Sie können eine Konfiguration eines Proxyservers auch
manuell erstellen und dem Benutzer zuweisen. Schließlich können Sie noch den
Benutzeragententext definieren, einen Identifikationstext, den der Browser bei der
Verbindung mit einer Website sendet.
Vorkonfigurierte URL-Einstellungen
Mit den URL-Einstellungen zu Internet Explorer-Wartung (siehe Abbildung 6.86)

stellen Sie sicher, dass bestimmte Sites in der Liste der Favoriten und Links des
Benutzers angezeigt werden. Außerdem können Sie vorhandene Favoriten entfer-
nen, die der Benutzer hinzugefügt hat, oder diejenigen ersetzen, die vom Administ-
rator erstellt worden sind. Diese Option gibt Ihnen die Möglichkeit, einen älteren
Satz von Favoriten und Links durch eine aktuelle Version zu ersetzen. Auch wich-
tige URLs können definiert werden, zu denen beispielsweise die Homepage des
Benutzers, die standardmäßige Suchseite und eine URL für den Online-Support
gehören. Schließlich können Sie noch Channels vordefinieren, die der Benutzer
abonniert.
Abbildung 6.85
Mit GRUPPENRICHTLI-
NIEN können auch
Verbindungsein-
stellungen des
Internet Explorer
definiert werden
IE-Sicherheitszonen
Als Administrator möchten Sie sicherlich kontrollieren, wie die Sicherheitszonen

des Internet Explorer konfiguriert werden, und wie Authenticode-Einstellungen im
Internet Explorer gehandhabt werden. Beide Kontrollmöglichkeiten stehen Ihnen
über die Option SICHERHEIT in INTERNET EXPLORER-WARTUNG zur Verfügung
Abbildung 6.86
Mit den URL-Ein-

stellungen des
Internet Explorer
stellt der Administ-
rator sicher, dass
bestimmte Sites
immer in den Favo-
riten (oder Chan-
nels) des Benut-
zers angezeigt
werden, und dass
URLs, die in der
Liste enthalten sein
sollen, dem Benut-
zer auch tatsäch-
lich zur Verfügung
stehen
Abbildung 6.87
INTERNET EXPLORER-
WARTUNG erlaubt
dem Administrator
auch die Anpas-
sung der Sicher-
heitseinstellungen
Schließlich kann der Administrator auch noch die Programme festlegen, die gestar-
tet werden sollen (siehe Abbildung 6.88), wenn der Benutzer Usenet-Nachrichten
lesen, Internet-E-Mails abrufen oder senden, einen Anruf über das Internet empfan-
gen, Termine eingeben und abrufen, eine Webseite bearbeiten und nach Kontakten
suchen möchte. Eine Konfiguration all dieser Optionen ist zum Herbeiführen eines
unternehmensweiten Standards für alle oder bestimmte Benutzergruppen möglich.
Mit den Konfigurationsmöglichkeiten zum Internet Explorer kann der Administra-

tor sicherstellen, dass alle Benutzer dieselbe Konfiguration für IE verwenden, was
Anrufe beim Helpdesk und damit Supportkosten minimieren hilft. Neue Verknüp-
fungen für den IE können ebenso wie andere Konfigurationsoptionen zentral vom
Administrator verwaltet werden.
Die letzten benutzerseitig konfigurierbaren Einstellungen (die in späteren Kapiteln

nicht mehr behandelt werden) betreffen die Ordnerumleitung.
Abbildung 6.88
Programmeinstel-
lungen in INTERNET
EXPLORER-WAR-
TUNG, die dem
Administrator die
Festlegung der Pro-
gramme erlauben,
die für die E-Mail
verwendet werden
sollen
Benutzerseitige Einstellungen für die Ordnerumleitung definieren

Die über die Gruppenrichtlinie konfigurierbare Ordnerumleitung (siehe Abbildung
6.89) betrifft die selektive Platzierung von gemeinsam nutzbaren Ordnern auf ver-
schiedenen Volumes lokaler Computer oder in freigegebenen Volumes des Netz-
werks, die gesichert werden können. Anders als Windows NT 4.0, welches dieses
Verfahren über servergespeicherte Profile realisierte, ermöglichen die Windows-
2000-Gruppenrichtlinien dem Administrator die selektive Platzierung von Ordnern
an verschiedenen Orten, wobei beispielsweise ein Ordner, der Bestandteil des stan-
dardmäßigen Benutzerprofils ist, lokal abgelegt wird, während sich ein anderer Ord-
ner an anderer Stelle befindet. Darüber hinaus werden Ordner, die umgeleitet wer-
den, nicht auf den lokalen Computer kopiert, was Speicherplatz auf dem
Datenträger spart.
Ein Beispiel hierfür wäre der Ordner Eigene Dateien, der oft dazu benutzt wird, die
Textverarbeitung, das Tabellenkalkulationsprogramms oder andere Dateien des
Benutzers aufzunehmen. Damit diese Dateien in die Sicherung einbezogen werden,
können Sie sie in eine Netzwerkfreigabe auf einem Laufwerk umleiten, welches
jede Nacht gesichert wird. Andere Ordner wie etwa die Desktopverknüpfungen, die
Startmenükonfiguration oder die Ordner mit den Anwendungsdaten können auf
dem lokalen Laufwerk bleiben.
Abbildung 6.89
Die benutzerseiti-
gen Einstellungen
zur Ordnerumlei-
tung, die über
GRUPPENRICHTLINI-
EN konfiguriert wer-
den können
Abbildung 6.90
Mit den Eigen-

schaften zur Ord-
nerumleitung kön-
nen Sie die Ordner
für alle Benutzer
oder selektiv über
deren Gruppenmit-
gliedschaft umlei-
ten
Abbildung 6.91
Die grundlegen-
den Konfigurations-
einstellungen in
dem Fall, dass alle
Benutzerordner an
denselben Ort
umgeleitet worden
sind
Zum Umleiten eines Ordners an einen anderen als den standardmäßigen Ort wählen
Sie zuerst den Ordner aus, klicken mit der rechten Maustaste auf dem Namen, und
wählen dann im Kontextmenü EIGENSCHAFTEN aus. Ein Dialogfeld (siehe Abbil-
dung 6.90) ermöglicht Ihnen die Festlegung der Art und Weise, wie Sie den Ordner
umleiten. Sie können ihn zu einem gemeinsamen Pfad für alle Benutzer (Standard)
oder zu einem anderen Pfad auf der Grundlage der Gruppenmitgliedschaft des
Benutzers (Erweitert) umleiten, oder aber die aktuellen Einstellungen unverändert
lassen.
Wenn Sie alle Benutzerordner auf denselben Pfad umleiten, haben Sie die Möglich-
keit, weitere Konfigurationen des Ordners vorzunehmen, was beispielsweise bein-
haltet, ob Sie den aktuellen Inhalt des Ordners zum neuen Pfad verschieben möch-
ten. Weiterhin legen Sie fest, ob Sie dem entsprechenden Benutzer exklusive
Zugriffsrechte für den umgeleiteten Ordner gewähren. Benutzer, die auf diesen Ord-
ner keinen Zugriff haben sollen, werden dadurch an der Anzeige seines Inhalts
gehindert. Sie legen außerdem fest, was in dem Fall passiert, wenn die Ordnerum-
leitungsrichtlinie entfernt wird. In Abhängigkeit von dem Ordner, den Sie umleiten,
stehen Ihnen noch andere Einstellungen zur Verfügung.
Microsoft hat im Zusammenhang mit den Entwurfszielen von Windows 2000

darauf hingewiesen, dass eines dieser Ziele darin bestanden hat, die Wartungskosten
von Windows-2000-Computern zu senken. Durch die Kombination von Active
6.6 Fehlerbehebung bei Gruppenrichtlinien 461
Directory und Gruppenrichtlinien wurde dieses Ziel weitgehend erreicht. Mit Grup-
penrichtlinien kann der Administrator Benutzer- und Computereinstellungen auf der
Ebene des Standorts, der Domäne oder OU definieren und diese selektiv auf Benut-
zer und Computer anwenden. Bei der Konfiguration von Benutzer- und Computer-
umgebungen greift der Administrator auf administrative Vorlagen zurück, die die
benötigten Einstellungen enthalten. Durch administrative Vorlagen werden auf dem
Zielcomputer entweder die Registrierungseinträge für den Benutzer oder Computer
modifiziert. Falls administrative Vorlagen in einer spezifischen Situation einmal
nicht ausreichen, können Sie über Skripte weitere Elemente der Benutzer- und
Computerumgebung konfigurieren.
Selbstverständlich ist eine umsichtige Planung erforderlich, damit gewährleistet ist,

dass das gewünschte Endergebnis erwartungsgemäß eintrifft. Allerdings gibt es
Situationen, in denen auch die beste Planung nicht immer zufriedenstellend arbeitet.
In solchen Fällen ist die Fehlerbehebung gefragt.
6.6 Fehlerbehebung bei Gruppenrichtlinien

Es gibt Fälle, in denen die von Ihnen spezifizierten Konfigurationseinstellungen
nicht die erwarteten Auswirkungen auf die Computer der Benutzer haben und Sie
daher feststellen müssen, was in der Gruppenrichtlinie passiert. In Windows 2000
können Sie die Verarbeitung von Gruppenrichtlinien überwachen. Mit der Überwa-
chung stellen Sie Fehler fest und kommen so der Problemlösung näher.
6.6.1 Überlegungen zur Implementierung der

Gruppenrichtlinie
Die korrekte Funktion von Gruppenrichtlinien gewährleisten Sie unter anderem
dadurch am besten, dass Sie die Empfehlungen von Microsoft betreffend deren kor-
rekte Implementierung beachten. Diese Empfehlungen, die in der folgenden Über-
sicht zusammengefasst sind, sollen Ihnen als Orientierungshilfe bei der Implemen-
tierung von Gruppenrichtlinien in Ihrer eigenen IT-Umgebung dienen:
씰 Erstellen Sie nicht zu viele GPOs. Es ist zwar möglich, GPOs auf der Ebene
des Standorts, der Domäne und OU zu erstellen, jedoch sollten Sie darauf
achten, nicht zuviel des Guten zu tun. Ideal ist die geringstmögliche Menge
von GPOs, die zur Unterstützung der Anforderungen innerhalb der Organisa-
tion oder des Unternehmens notwendig ist. Wenn Sie keine GPOs auf Stand-
ortebene brauchen, sollten Sie auch keine solchen erstellen. Wahrscheinlich
werden Sie mindestens ein GPO auf Domänenebene erstellen, sollten sich
aber genau überlegen, ob ein zweites oder drittes noch einen Nutzen bringen
kann. Erstellen Sie GPOs auf OU-Ebene nur dann, wenn die OU sehr spezifi-
sche Eigenschaften besitzt, die nicht von allen Benutzern und Computern in
der Domäne genutzt werden. Strenge Planung hat zur Folge, dass weniger
GPOs erstellt werden, und weniger GPOs wiederum verursachen ein geringe-
res Fehlerpotenzial. Außerdem würden viele GPOs den Anmeldevorgang für
die Benutzer entsprechend verlängern.
씰 Verwenden Sie zur Kontrolle des Desktops benutzerseitige und nicht compu-
terseitige Einstellungen. Computerseitige GPO-Einstellungen werden nur auf
den Computer angewendet und betreffen die Benutzer, die sich an dem jewei-
ligen Computer anmelden. Benutzerseitige Einstellungen werden auf den Be-
nutzer angewendet, und zwar unabhängig davon, an welchem Computer im
Netzwerk er sich anmeldet. Da der Bereich benutzerseitiger Einstellungen
potenziell größer ist, bieten diese eine bessere Kontrolle über die Benutzer-
umgebung.
씰 Verwenden Sie zum Filtern der Gruppenrichtlinienanwendung die Mitglied-

schaft in Sicherheitsgruppen. GPOs werden standardmäßig für Mitglieder der
Gruppe Authentifizierte Benutzer ausgeführt, in welche Administratoren, Do-
mänen-Admins und Organisations-Admins eingeschlossen sind. Falls gewis-
se GPOs nicht für andere Benutzer ausgeführt werden sollen, platzieren Sie
diese Benutzer in einer eigenen Sicherheitsgruppe (vorzugsweise auf dersel-
ben Ebene wie das GPO, auf welches sich Ihre Filterung bezieht) und aktivie-
ren das Kontrollkästchen VERWEIGERN bei GRUPPENRICHTLINIE ÜBERNEH-
MEN, um sicherzustellen, dass das GPO keine Anwendung findet. Benutzer,
die keinen ACE besitzen, der angibt, dass bestimmte GPOs angewendet wer-
den sollen, können sich wegen der Umgehung der GPO-Verarbeitung schnel-
ler anmelden.
씰 Deaktivieren Sie Teile der Gruppenrichtlinie, die ohnehin nicht durchgesetzt

werden. Falls Sie lediglich den Benutzerteil eines GPO konfigurieren, nicht
jedoch den Computerteil, sollten Sie die Gruppenrichtlinie so einstellen, dass
die Einstellungen der Computerkonfiguration gar nicht erst downgeloaded
und verarbeitet werden. Dadurch wird die Verarbeitungsgeschwindigkeit des
GPO erhöht und viel Zeit beim Anmeldevorgang gespart.
씰 Melden Sie sich nach Änderungen eines GPO als betroffener Benutzer an und
testen Sie, ob die Änderungen wie gewünscht umgesetzt werden. Das
Schlechteste, was ein Administrator von einer Gruppenrichtlinie denken
kann, ist, dass sie sofort funktionieren wird – Glauben ist nicht Wissen!
Sämtliche Einstellungen und Skripte sollten vor der Implementierung der
Richtlinie immer ausgiebig getestet werden. Durch Filtern gewährleisten Sie,
dass bis zur Freigabe der Richtlinie in der gesamten Organisation nur Testbe-
nutzer von der Richtlinie betroffen sind.
씰 Das A und O: Absoluten Vorrang hat die sorgfältige Planung der Gruppen-
richtlinie. Sie sollten sich immer wieder die Frage stellen, welches Ziel Sie
erreichen möchten, und welches der beste Weg ist, dieses Ziel zu erreichen.
Die Gruppenrichtlinie kann die richtige Antwort sein – wenn ja, planen Sie
deren Einführung und Konfiguration sorgfältig. Vergessen Sie auch nicht,
wie zuvor erwähnt, den sorgfältigen Test. Es gibt nichts Schlimmeres für Ih-
ren Ruf als eine schlecht vorbereitete und unreife Implementierung einer
Funktion, die die weitreichendsten Auswirkungen haben kann!
씰 Begrenzen Sie das Deaktivieren, Durchsetzen und (gilt in geringerem Aus-

maß) Filtern von GPOs. Der Ausgangspunkt eines Problems wird hierdurch
versteckt; außerdem können unvorhersagbare Resultate die Folge sein (sofern
nicht sorgfältig geplant).
씰 Delegieren Sie die Kontrolle über GPOs nicht an andere Personen, sofern
dies nicht notwendig ist. Zu viele Köche verderben den Brei – als Administ-
rator sollten Sie eigentlich immer gern die Kontrolle in Ihren eigenen Händen
behalten wollen, und diese nicht leichtfertig weggeben! In manchen Situatio-
nen wie beispielsweise in der Organisation eines multinationalen Unterneh-
mens sind Sie natürlich gezwungen, die Kontrolle teilweise aufzugeben und
in die Hände anderer Leute zu legen.
Wie zuvor schon angedeutet, lautet das Kardinalprinzip beim Planen und Imple-
mentieren der Gruppenrichtlinie KIS – Keep It Simple! Packen Sie nicht zuviel in
eine einzige Gruppenrichtlinie hinein. Vermeiden Sie aber auch viele Gruppenricht-
linien, weil Sie dann längere Anmeldezeiten hinnehmen müssen. Verlegen Sie all-
gemeine Einstellungen in die Domänen- und spezifische in die OU-Ebene. Erstellen
Sie nicht auf jeder OU-Ebene eine Gruppenrichtlinie (nur eine dort, wo sie auch
benötigt wird), und sorgen Sie dafür, dass die Richtlinien über Vererbung weiterge-
reicht werden.
Falls diese Ratschläge noch nicht geholfen haben sollten, haben Sie unter Umstän-
den ein ganz simples Problem, dem man leicht beikommen kann.
6.6.2 Häufige Probleme bei Gruppenrichtlinien

Trotz bester Planung und Befolgung aller in der Liste oben aufgeführten Empfeh-
lungen kann es immer noch Dinge geben, die schief laufen. Besonders häufig auf-
tretende Probleme und ihre Lösungen finden Sie in der nachstehenden Tabelle.
Problem Ursache Lösung
Gruppenrichtlinie wird Die wahrscheinliche Aktivieren Sie KEIN

nicht auf die Benutzer und Ursache besteht darin, dass VORRANG für dieses GPO,
Computer eines Standorts, die GPO-Vererbung deakti- um Administratoren niedri-
einer Domäne oder OU viert wurde. Eine zweite gerer Ebenen daran zu
angewendet Ursache dieser Situation hindern, GPO-Einstel-
kann darin liegen, dass das lungen zu deaktivieren.
GPO so gefiltert worden ist,
dass Benutzer und Computer
ausgeschlossen wurden.
Bei Anwendung mehrerer Überprüfen Sie die GPO-

GPOs (Standort-, Domäne- Sicherheitseinstellungen
und OU-Ebene) ist es dahingehend, ob ggf. zu
möglich, dass Einstellungen viele Filter vorhanden sind.
einer höheren Ebene (wie
einer Domäne) durch GPO-
Einstellungen einer niedri-
geren Ebene (wie einer OU)
überschrieben worden sind.
Die Gruppenrichtlinie wird Gruppenrichtlinien können Gewähren Sie der Sicher-
nicht für eine Sicherheits- mit Standorten, Domänen heitsgruppe die Berechti-
gruppe in einer OU durch- oder OUs verknüpft werden. gungen Lesen und Grup-
gesetzt, mit der sie Dass ein GPO mit einer OU penrichtlinien übernehmen.
verknüpft ist. verknüpft werden kann,
bedeutet noch nicht, dass es
auch auf die Sicherheits-
gruppen in dieser OU ange-
wendet wird. Auf welche
Sicherheitsgruppen das GPO
angewendet wird, hängt von
den Berechtigungen ab, die
für das GPO konfiguriert
wurden.
Ein Administrator kann Jeder Benutzer, der ein GPO Gewähren Sie dem
das GPO nicht zum Bear- bearbeiten möchte, braucht Benutzer bzw. der Sicher-
beiten öffnen. den uneingeschränkten heitsgruppe den uneinge-
Zugriff für das GPO. Wenn schränkten Zugriff für das
ein Administrator nicht in GPO.
der Lage ist, das GPO anzu-
zeigen und/oder zu bear-
beiten, dann hat er sehr
wahrscheinlich nicht die
erforderlichen Berechti-
gungen.
Der Versuch, ein GPO zu Dieses Problem tritt gele- Vergewissern Sie sich, dass
bearbeiten, führte zu der gentlich dann auf, wenn ein Domänencontroller
Fehlermeldung, dass das Netzwerkprobleme verfügbar ist.
GPO nicht geöffnet werden vorliegen. Dies können Vergewissern Sie sich, dass
konnte. physische Probleme mit dem keine Netzwerkprobleme
Netzwerk, nicht verfügbare existieren.
Server oder (sehr wahr- Überprüfen Sie die DNS-
scheinlich) DNS-Konfigura- Konfiguration und Verfüg-
tionsprobleme sein. barkeit von DNS.
Die häufigsten Fehler, die im Zusammenhang mit der Verarbeitung einer Gruppen-
richtlinie auftreten, können leicht beseitigt werden, wenn Sie mit logischer Überle-
gung an das Problem herangehen. Überprüfen Sie als Erstes die zur Verfügung ste-
henden Domänencontroller und stellen Sie fest, ob sie die betreffenden
Gruppenrichtlinienvorlagen enthalten. Überlegen Sie als Nächstes Schritt für
Schritt, was eigentlich hätte passieren sollen, und wie die der Gruppenrichtlinie
zugewiesenen Berechtigungen lauten. Die meisten Probleme haben mit Berechti-
gungen oder damit zu tun, dass sich das GPO nicht auf der richtigen Ebene befindet.
Falls dies nicht ausreicht und eine ausgedehnte Überprüfung der Verarbeitung des
GPO erforderlich wird, können Sie die Überwachung einschalten.
6.6.3 Gruppenrichtlinie überwachen

Falls Sie in Situationen mit Problemen geraten, die sich nicht ohne weiteres feststel-
len und einordnen lassen, während Sie jedoch sicher sind, alle Empfehlungen hin-
sichtlich der Implementierung von Gruppenrichtlinien befolgt zu haben, bietet
Ihnen Microsoft Windows 2000 die Möglichkeit an, die Ausführung und Änderung
von Gruppenrichtlinien zu überwachen.
Die Überwachung eines GPO konfigurieren Sie mit der folgenden Schritt-für-
Schritt-Anleitung.

6.10 Überwachung für Gruppenrichtlinie konfigurieren
1. Starten Sie zur Bearbeitung des Containers, für den Sie eine Überwachung
einer Gruppenrichtlinie konfigurieren möchten, entweder ACTIVE DIREC-
TORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STANDORTE
UND -DIENSTE.
2. Klicken Sie mit der rechten Maustaste auf dem Container mit dem GPO, für
welches Sie die Überwachung konfigurieren möchten, und wählen Sie im
an.
4. Wählen Sie das GPO aus, für welches Sie die Überwachung konfigurieren
möchten, und klicken Sie auf die Schaltfläche EIGENSCHAFTEN.
5. Klicken Sie im Dialogfeld EIGENSCHAFTEN die Registerkarte SICHERHEITS-
EINSTELLUNGEN an.
6. Klicken Sie zur Anzeige der erweiterten Berechtigungseinstellungen auf die

Schaltfläche ERWEITERT (siehe Abbildung 6.92).
7. Klicken Sie zur Anzeige der aktuellen Überwachungseinstellungen der Grup-
penrichtlinie auf die Registerkarte ÜBERWACHUNG. Im angezeigten Dialog-
feld (siehe Abbildung 6.93) finden Sie unten ggf. einen Hinweis, dass die
Überwachungseinstellungen von einem übergeordneten Objekt vererbt wor-
den sind. Falls dies der Fall sein sollte, müssen Sie zum übergeordneten Con-
tainer gehen, um die angezeigte Überwachungskonfiguration zu entfernen.
8. Zum Hinzufügen einer Überwachungskonfiguration für die ausgewählte
Gruppenrichtlinie klicken Sie auf die Schaltfläche HINZUFÜGEN. Sie erhalten
nun eine Liste der Benutzer, Computer und Gruppen angezeigt, die in der
Domäne zur Verfügung stehen. Wählen Sie den Benutzer, Computer bzw. die
Gruppe aus, den/die Sie überwachen möchten, und klicken Sie auf OK.
9. Nach der Auswahl der Benutzer, Computer bzw. Gruppen, deren Überwa-
chung Sie konfigurieren möchten, erhalten Sie ein Dialogfeld angezeigt, in
dem Sie die Überwachung einer Reihe von Ereignissen für dieses GPO konfi-
gurieren können (siehe Abbildung 6.94). Über dieses Dialogfeld überwachen
Sie die erfolgreiche und fehlgeschlagene Verwendung einer GPO-Berechti-
gung. Die Liste der zur Verfügung stehenden Optionen entspricht exakt der
Liste der verfügbaren Berechtigungen für das GPO.
Sie haben weiterhin die Gelegenheit, durch Anklicken der Registerkarte EI-
GENSCHAFTEN die Manipulation von Eigenschaften des GPO zu überwachen.
Wie Sie bemerken werden, können Sie festlegen, ob die Überwachung sich
nur auf den ausgewählten GPO-Container und alle untergeordneten Objekte,
nur auf den ausgewählten Container, nur die untergeordneten Objekte oder
nur die Computerobjekte usw. beziehen soll.
Abbildung 6.92
Das Dialogfeld mit

den erweiterten
Zugriffseinstellun-
gen für eine Grup-
penrichtlinie
ermöglicht Ihnen
die Konfigurierung
der Überwachung
Abbildung 6.93
Die Registerkarte
ÜBERWACHUNG des
Dialogfeldes mit
den erweiterten
Zugriffseinstellun-
gen für eine Grup-
penrichtlinie
Abbildung 6.94
Das Dialogfeld
ÜBERWACHUNGSEIN-
TRAG für die Grup-
penrichtlinie
Falls Sie die Überwachung auf die untergeordneten Objekte des aktuellen
Containers ausweiten möchten, können Sie den Ausdehnungsbereich auf die
aktuelle Ebene begrenzen, indem Sie das Kontrollkästchen ÜBERWACHUNGS-
EINTRÄGE NUR FÜR OBJEKTE UND/ODER CONTAINER DIESES CONTAINERS
ÜBERNEHMEN aktivieren.
Mit der Schaltfläche ALLES LÖSCHEN löschen Sie alle vorgenommenen Ein-
stellungen auf einmal. Falls Sie einen Fehler gemacht haben und ganz von
vorne anfangen möchten, oder falls in der Überwachung ein Fehler steckt und
Sie die Einstellungen neu initialisieren möchten, wird Ihnen diese Schaltflä-
che von Nutzen sein.
10. Wenn Sie die Festlegung der Berechtigungen und Eigenschaften des GPO,
die überwacht werden sollen, abgeschlossen haben, speichern Sie Ihre Ein-
stellungen mit OK. Sie sollten wenigstens die Überwachung der fehlgeschla-
genen (bzw. erfolgreicher und fehlgeschlagener) Zugriffe LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN aktiviert haben, um die Anwendung des
GPO verfolgen zu können.
11. Klicken Sie auf ÜBERNEHMEN, und anschließend zum Schließen des Dialog-
feldes ZUGRIFFSEINSTELLUNGEN auf OK.
12. Klicken Sie zum Schließen des Dialogfeldes mit den Eigenschaften des GPO
und Speichern Ihrer Einstellungen auf OK.
13. Klicken Sie zum Schließen des Dialogfeldes für den Active Directory-Con-
tainer auf OK.
14. Schließen Sie auch die MMC-Konsole.
Nachdem Sie die Überwachung konfiguriert haben, können Sie die Ergebnisse der
Überwachung durch Anzeige der Ereignisanzeige und darin des Sicherheitsproto-
kolls überprüfen (siehe Abbildung 6.95), was Ihnen genügend Informationen über
die Verarbeitung des GPO liefern sollte. Außerdem können Sie daraus ersehen, bei
welchen Benutzern und Computern die GPO-Verarbeitung auf Schwierigkeiten
stößt.
Abbildung 6.95
Überwachungsein-
träge für Gruppen-
richtlinien werden
im Sicherheitspro-
tokoll der Ereignis-
anzeige angezeigt
Bei der Fehlerbehebung für Gruppenrichtlinien müssen Sie als Erstes festlegen, was
falsch läuft, und wer davon betroffen ist. Überprüfen Sie daher die Verarbeitung des
GPO im Hinblick sowohl auf die Berechtigungen für das GPO als auch auf Verer-
bung und Deaktivierung. Falls ein Problem schwierig zu verfolgen ist, können Sie
die Überwachung einschalten, um Erfolg oder Fehlschlag von GPO-Ereignissen zu
protokollieren, was Ihnen die Möglichkeit gibt, die einzelnen Verarbeitungsschritte
nachzuvollziehen und damit der Problemlösung näher zu kommen.
Fallstudie: Gruppenrichtlinien zum Konfigurieren der

Benutzer- und Computereinstellungen bei der
Sonnenschein-Brauerei

Sie haben die folgenden Anforderungen mitgeteilt bekommen:
씰 Ihr Manager hat entschieden, dass alle Benutzer als gemeinsames Desk-
top-Hintergrundbild das Unternehmenslogo bekommen sollen, damit
Besuchern aller Filialen der Sonnenschein-Brauerei die Corporate Identi-
ty präsentiert werden kann. Im Moment verwenden alle Benutzer eigene
Hintergrundbilder.
씰 Die Vertriebsleiter in allen Büros möchten, dass auf den Desktops ihrer
Mitarbeiter ständig die aktuellen Top-Verkaufszahlen der besten Ver-
triebsbeauftragten im Team angezeigt werden.
씰 Die Benutzer in der Zentrale des Unternehmens haben sich darüber be-
klagt, dass sie immer dann, wenn sie Dokumente auf freigegebenen Ord-
nern im Netzwerk mit nach Hause nehmen wollen, daran denken müs-
sen, aktuelle Kopien von ihnen auf das Notebook zu übertragen. Wenn
sie das einmal vergessen, müssten sie immer extra ins Büro fahren, um
die Kopie nachzuholen. Sie möchten gern die Dateien, an denen sie ar-
beiten, gern automatisch auf die Festplatte ihres Notebooks, und von dort
bei der Anmeldung auch wieder zurück ins Netzwerk kopieren lassen.
씰 Das Personal des Helpdesk in der Zentrale hat eine Website entwickelt,
die Antworten auf viele Benutzerfragen enthält. Das Personal möchte,
dass diese Site automatisch in allen im Unternehmen eingesetzten Instan-
zen von Internet Explorer in der Favoritenliste erscheint. Da IE5 der Un-
ternehmensstandard ist, wäre dadurch jeder Benutzer im Unternehmen in
der Lage, vor der Kontaktierung des Helpdesk zuerst die Informationen
auf dieser Site zu überprüfen. Hierdurch würde das Helpdesk Zeit und
Ressourcen sparen.
씰 Die Benutzer beklagen sich darüber, dass sie bei der Suche nach dem
nächsten Drucker und der Verwendung der Windows-2000-Suchfunkti-
on immer erst eine lange Liste durchblättern müssen. Sie möchten gern
standardmäßig eine Liste mit Druckern angezeigt bekommen, die sich in
der Nähe ihres Standorts befinden.
Fallstudie: Gruppenrichtlinien 471
씰 Die Chefs der Administratoren in den einzelnen Büros sind übereinge-

kommen, dass ihr Personal derzeit während der Arbeitszeit zuviel Zeit
mit Computerspielen und anderen Programmen verschwendet. Sie
möchten ein Verfahren, mit dem diese Benutzer auf die Verwendung des
Buchhaltungsprogramms, der E-Mail, der Office-Anwendungen und In-
ternet Explorer beschränkt werden.
씰 Alle Benutzer mit Ausnahme von IT und FuE sollen in der Lage sein, die
Applets SOFTWARE und ANZEIGE in der Systemsteuerung benutzen zu
können.
씰 Die Administratoren in jeder Abteilung sollen in der Lage sein, abtei-
lungsspezifische Einstellungen zu konfigurieren, die später noch zu defi-
nieren wären.
Sie wurden gebeten, einen Plan zu entwickeln, der diese Anforderungen in kür-
zester Zeit realisiert. Außerdem sollen Sie sicherstellen, dass alle Änderungen
an diesen Einstellungen unkompliziert verlaufen und ohne manuelle Eingriffe
auf die Benutzer oder Computer übertragen werden können.
Ihre Vorgesetzten möchten, dass alle diese Anforderungen implementiert wer-
den, es sei denn, sie werden vom Betriebssystem nicht unterstützt.
In diesem Kapitel haben Sie erfahren, was Gruppenrichtlinien sind und wie sie
zur Verwaltung der Benutzer- und Computerumgebung verwendet werden kön-
nen. Da die Sonnenschein-Brauerei ein international tätiges Unternehmen ist,
bieten sich Gruppenrichtlinien zur Unterstützung der Konfiguration von Benut-
zer- und Computereinstellungen im gesamten Unternehmen an.
Die Implementierung von Active Directory-Standorten, OUs und Domänen in
der Sonnenschein-Brauerei ist, wie auch die Migration der Desktop- und Note-
book-Computer der Benutzer auf Windows 2000, erfolgreich verlaufen. Alle
wichtigen Benutzercomputer laufen jetzt auf der Windows-2000-Plattform. Sie
als Hauptadministrator der Sonnenschein-Brauerei erhalten nun sowohl von
den Junior-Administratoren der verschiedenen Büros als auch vom Manage-
ment verschiedene Anfragen nach der Implementierung spezifischer Anpassun-
gen.
Situationsanalyse
Wie Sie sehen, reichen die Anfragen und Anforderungen von unternehmens-
weiten Themen bis hin zu abteilungsspezifischen Elementen, von denen nur ein
Teil der Organisation betroffen ist. Ihre Lösung muss alle diese Elemente
umfassen und trotzdem hinsichtlich der Verwaltbarkeit unproblematisch sein.
Die beste Lösung für alle diese Anforderungen besteht im Einsatz der Gruppen-
richtlinien von Windows 2000, wobei Sie sich insbesondere der administrati-
ven Vorlagen und der Konfigurationsoptionen zu Windows-Einstellungen im
GPO bedienen werden.
Die erste Anforderung (unternehmensweites Hintergrundbild mit dem Unter-
nehmenslogo) erfüllen Sie, indem Sie eine Gruppenrichtlinie auf Domänen-
ebene erstellen, die das zu verwendende Hintergrundbild spezifiziert. Sie geben
einen Speicherungsort für das Bild in einer Netzwerkfreigabe an, die über einen
fehlertoleranten DFS-Link an andere Server repliziert wird. Diese Anforderung
können Sie über das von Windows 2000 Active Directory installierte GPO
Default Domain Policy implementieren.
Die Anforderung der Vertriebsbenutzer nach einem Hintergrundbild mit den
aktuellen Verkaufszahlen erfüllen Sie, indem Sie ein GPO auf Standortebene
erstellen, welches ein solches Hintergrundbild spezifiziert. Da dieses Bild auf
Ebene der Domänenrichtlinie nicht modifiziert werden soll, stellen Sie KEIN
VORRANG in der Standortrichtlinie ein, um sicherzustellen, dass die Einstellung
nicht geändert wird. Damit dieses GPO außerdem nur auf die Vertriebsbenutzer
am Standort angewendet wird, filtern Sie das GPO, damit seine Inhalte nur auf
die Mitglieder der Sicherheitsgruppe Vertrieb angewendet werden.
Damit Benutzer, die nicht mit dem Netzwerk verbunden sind oder deren Server
nicht verfügbar ist, den Zugriff auf ihre Dateien bekommen, konfigurieren Sie
über ein GPO in der Unternehmenszentrale in Ottawa die Unterstützung für
Offline-Dateien, in welchem Sie die freigegebenen Ordner festlegen, für wel-
che die Offline-Unterstützung besteht. Auf diese Weise können die Benutzer
mit ihren Dateien auch außerhalb des Büros arbeiten und Dateien, an denen sie
gerade arbeiten, auf ihren Computer kopieren lassen.
Zur Unterstützung des Helpdesk-Personals, welches eine Favoriten-Verknüp-
fung im IE haben möchte, die auf die Website des Helpdesk verweist, erstellen
Sie ein GPO auf Domänenebene mit der Option KEIN VORRANG. Das GPO fügt
den URL der Website der Favoritenliste der Benutzer hinzu. So steht diese Ver-
knüpfung allen Benutzern permanent zur Verfügung.
Zusammenfassung 473
Suchvorgänge in Active Directory finden standardmäßig im gesamten Ver-

zeichnis statt. Zum Ändern des standardmäßigen Suchbereichs von Druckern
erstellen Sie auf der Domänenebene ein GPO, welches durch Aktivieren der
Einstellung ADMINISTRATIVE VORLAGEN, DESKTOP, ACTIVE DIRECTORY ein
Filtern der Active Directory-Suchvorgänge vorsieht. Auf diese Weise finden
Suchvorgänge für Druckerobjekte standardmäßig nur für Drucker statt, die sich
physisch in der Nähe des Benutzerstandorts befinden.
Damit die Admin-Benutzer nur spezielle Anwendungen betreiben können,
erstellen Sie ein GPO in der Admin-OU und legen fest, welche Anwendungen
von den Benutzern betrieben werden können. Alle anderen in dieser Liste nicht
enthaltenen Anwendungen stehen den Benutzern nicht zur Verfügung.
Um die Benutzer auf die Applets Software und Anzeige in der Systemsteue-
rung zu beschränken, reduzieren Sie die Liste der ausführbaren Applets auf
diese zwei. Damit das Personal aus IT und FuE von dieser Richtlinie nicht
betroffen wird, filtern Sie die Gruppenrichtlinie entsprechend, indem Sie dafür
sorgen, dass bei diesen Sicherheitsgruppen das Kontrollkästchen GRUPPEN-
RICHTLINIE ÜBERNEHMEN deaktiviert ist.
Um schließlich den Administratoren auf OU- oder Standortebene zur Möglich-

keit zu verhelfen, neue Richtlinien zu erstellen, delegieren Sie die administra-
tive Kontrolle an diese Container und gewähren erforderliche Berechtigungen,
wie etwa diejenige zum Erstellen eines Gruppenrichtlinien-Containerobjekts.
Wie Sie sehen, können Gruppenrichtlinien eine Antwort auf viele komplexe
Anforderungen darstellen, auch auf solche, die zunächst widersprüchlich
erscheinen.
Zusammenfassung
Sie haben in diesem Kapitel die Gruppenrichtlinie kennen gelernt und erfahren, wie
Sie sie zum Durchsetzen einer konsistenten Konfiguration auf der Ebene des Stand-
orts, der Domäne und/oder der OU verwenden können. Die Gruppenrichtlinie ist
eine sehr leistungsfähige Funktion von Windows 2000 und stellt gegenüber der Sys-
temrichtlinie, die unter Windows 9x und Windows NT zur Verfügung stand, eine
bedeutende Verbesserung dar.
Über die Konfigurierung der Gruppenrichtlinie können Sie festlegen, wie ein Com-
puter konfiguriert wird, und ob die Benutzer Änderungen an bestimmten Computer-
konfigurationen vornehmen dürfen. Sie haben weiterhin die Gelegenheit, Desktop-
einstellungen und andere Eigenschaften der Benutzer unabhängig davon, wo und
wie sich diese im Netzwerk oder in der Domäne anmelden (über den Arbeitsplatz-
PC, eine DFÜ-Verbindung, einen anderen Netzwerknoten in demselben Standort
oder über einen Computer irgendwo sonst auf der Welt), zu sperren.
Die Gruppenrichtlinie besteht aus zwei Teilen: einem Gruppenrichtlinien-Container

(GPC) und einer Gruppenrichtlinienvorlage (GPT). GPCs sind Active Directory-
Objekte, die mit einem Standort, einer Domäne oder OU verknüpft sind. GPTs sind
physische Dateien einschließlich von administrativen Vorlagen und Skripten, die
innerhalb des Containers POLICIES der SYSVOL-Freigabe auf Domänencontrollern
gespeichert sind. Jede GPT wird in einem Ordner mit demselben Namen wie die
GUID für das GPO, für welches sie die Vorlage ist, gespeichert.
Gruppenrichtlinien, die auf einer höheren Ebene wie etwa einer Domäne oder einem
Standort definiert werden, werden automatisch an alle Active Directory-Objekte
niedrigerer Ebenen wie etwa OUs vererbt. Ein lokaler Administrator, der für eine
Unterdomäne oder OU verantwortlich ist, kann die Richtlinienvererbung aus höhe-
ren Ebenen wie einem Standort deaktivieren und damit sicherstellen, dass nur seine
GPOs verarbeitet werden. Der Administrator der höheren Ebene wiederum verfügt
über die Option, die Deaktivierung der GPO-Anwendung auf untere Ebenen zu
überschreiben und GPO-Einstellungen auch dann durchzusetzen, wenn diese auf
der unteren Ebene deaktiviert sind.
Die Verarbeitungsreihenfolge von Gruppenrichtlinien geschieht immer in der Rei-

henfolge Standort – Domäne – OU. So wie OUs in OUs enthalten sein können, ist
auch die Verarbeitung vieler GPOs bei der Anmeldung eines Benutzers oder dem
Start eines Computers möglich. Es wird empfohlen, eher wenige GPOs zu erstellen,
um die Anmeldezeiten in einem akzeptablen Rahmen zu halten.
Gruppenrichtlinien können auch gefiltert werden, wodurch sichergestellt wird, dass

sie nur für bestimmte Benutzer verarbeitet werden. Auf diese Weise ist eine selek-
tive Implementierung von Gruppenrichtlinien für eine Sicherheitsgruppe, einen
Computer oder Benutzer möglich. Um die korrekte Anwendung einer Gruppen-
richtlinie zu überprüfen, kann der Administrator die Überwachung der GPO-Verar-
beitung aktivieren und die Ergebnisse in der Ereignisanzeige anzeigen lassen.
Gleichzeitig stellt dieses Verfahren eine Unterstützung bei der Fehlersuche dar.
GPO-Einstellungen können über administrative Vorlagen oder Skripte implemen-

tiert werden. Administrative Vorlagen und Skripte können wiederum auf Computer
und Benutzer angewendet werden. Falls in der Anwendung einer Einstellung in
einer administrativen Vorlage ein Konflikt zwischen Computer und Benutzer auf-
tritt, überschreibt die Computereinstellung immer die Benutzereinstellung. Bei
Skripten werden immer die Einstellungen des zuletzt ausgeführten Skripts ange-
wendet, ungeachtet dessen, ob es sich um ein Anmeldeskript eines Benutzers oder

ein Startskript des Computers handelt.
In Situationen, in denen ein GPO mit einem Active Directory-Container verknüpft

wurde, und das GPO nur Computereinstellungen enthält, kann der Administrator
über eine GPO-Option die Verarbeitungsgeschwindigkeit erhöhen, indem er nur die
Verarbeitung der Computereinstellungen zulässt und den Download der Benutzer-
einstellungen vermeidet. Auch der umgekehrte Fall ist möglich. Auf diese Weise
kann die Ausführungsgeschwindigkeit in Situationen verbessert werden, in denen
viele Skripte verarbeitet werden müssen.
Schlüsselbegriffe
쎲 Administrative Vorlagen 쎲 Gruppenrichtlinienvorlage
쎲 Anmelde/Abmeldeskripte 쎲 Gruppenrichtlinienvorrang
쎲 GPO-Bereich 쎲 GUID
쎲 GPO-Vererbung 쎲 Kein Vorrang
쎲 Gruppenrichtlinie durchsetzen 쎲 Ordnerumleitung
쎲 Gruppenrichtlinien-Container 쎲 Registrierung
쎲 Gruppenrichtlinienfilter 쎲 Richtlinienvererbung
deaktivieren
쎲 Gruppenrichtlinienobjekt 쎲 Starten/Herunterfahren-
Skripte
Lernzielkontrolle
Übungen
Die Übungen dieses Kapitels setzen voraus, dass Sie auf einem Computer Windows
2000 Server (bzw. Advanced Server) installiert haben. Damit die Übungen korrekt
verlaufen können, muss Ihr Windows 2000 Server gleichzeitig der Domänencon-
troller einer Domäne sein. Weiterhin müssen Sie sich als Administrator am System
anmelden können. Ihr Benutzerkonto muss Mitglied entweder der Gruppe Organi-
sations-Admins oder Domänen-Admins sein. Es reicht, wenn Sie das Kennwort für
den Benutzer Administrator kennen.
6.1 Organisationseinheiten, Benutzer und Gruppen erstellen und den

Domänencontroller verschieben
In dieser Übung werden Sie zwei Organisationseinheiten erstellen, die verwendet
werden. Außerdem werden Sie eine Sicherheitsgruppe und einige Benutzer erstel-
len. Zum Schluss werden Sie Ihren Domänencontroller in eine der gerade erstellten
OUs verschieben und damit sicherstellen, dass die in späteren Übungen erstellten
GPO-Einstellungen auf Ihren Computer angewendet werden.
Führen Sie zum Erstellen der OUs, Gruppen und Benutzer die folgenden Schritte
aus:
1. Melden Sie sich am Domänencontroller unter Windows 2000 Server als Ad-
ministrator für Ihre Domäne an.
2. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORY-BE-
NUTZER UND -COMPUTER, um die MMC-Konsole zum Verwalten der Benut-
zer und Computer Ihrer Domäne zu starten.
Kontextmenü NEU/ORGANISATIONSEINHEIT aus. Geben Sie im angezeigten
Dialogfeld Forschung ein.
4. Wiederholen Sie den Schritt 3 zum Hinzufügen der Organisationseinheit Ver-
trieb.
5. Klicken Sie mit der rechten Maustaste auf der OU Forschung und wählen Sie
im Kontextmenü NEU/GRUPPE aus. Geben Sie als Gruppennamen Entwickler,
als Gruppenbereich LOKALE DOMÄNE und als Gruppentyp SICHERHEIT ein.
6. Wiederholen Sie den Schritt 5 zum Erstellen einer domänenlokalen Sicher-
heitsgruppe namens Telemarketing in der OU Vertrieb.
7. Nehmen Sie in die OU Vertrieb drei neue Benutzer mit den Anmeldenamen
HowardH (Howard Ham), PhilC (Philip Chambers) und NatashaW (Natasha
Wilson) auf. Machen Sie PhilC und NatashaW (nicht jedoch HowardH) zu
Mitgliedern der Gruppe Telemarketing. Geben Sie nach Aufforderung für je-
den Benutzer das Kennwort kennwort ein. Lassen Sie bei allen anderen Ein-
stellungen die Standardwerte stehen.
8. Fügen Sie der OU Forschung zwei neue Benutzer mit den Anmeldenamen
RalphD (RalpDowning) und TimC (Tim Clark) hinzu. Machen Sie TimC
zum Mitglied der Gruppe Entwickler. Geben Sie nach Aufforderung für jeden
Benutzer das Kennwort kennwort ein. Lassen Sie bei allen anderen Einstel-
lungen die Standardwerte stehen.
Führen Sie zum Verschieben Ihres Domänencontrollers in die OU Forschung die

folgenden Schritte aus:
1. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und blenden Sie

Ihre Domäne ein.
2. Klicken Sie auf DOMAIN CONTROLLERS.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf Ihrem Computer
(der gleichzeitig der Domänencontroller ist) und wählen Sie im Kontextmenü
VERSCHIEBEN aus.
4. Blenden Sie im Dialogfeld VERSCHIEBEN Ihre Domäne ein, klicken Sie die
OU Forschung an, und klicken Sie anschließend auf OK.
5. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
6.2 Gruppenrichtlinienobjekt für Computer erstellen
In dieser Übung erstellen Sie eine Gruppenrichtlinie, mit deren Hilfe Sie Datenträ-
gerkontingente für die Computer der OU Forschung sowohl einführen als auch
durchsetzen. Dabei werden Sie ein standardmäßiges Kontingent konfigurieren.
Führen Sie die folgenden Schritte zum Erstellen der Computerrichtlinien für die OU
Forschung durch:
1. Starten Sie, während Sie als Administrator angemeldet sind, ACTIVE DIREC-
TORY-BENUTZER UND -COMPUTER.
2. Blenden Sie Ihre Domäne ein, und klicken Sie mit der rechten Maustaste auf
der OU Forschung. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie auf der Registerkarte GRUPPENRICHTLINIE auf NEU, geben Sie
den Namen Forschung-Gruppenrichtlinie ein und drücken Sie (Enter).
Führen Sie zum Bearbeiten der Computereinstellungen der administrativen Vorlage
für Forschung folgende Schritte aus:
1. Wählen Sie die gerade erstellte Forschung-Gruppenrichtlinie aus, und klicken

Sie auf BEARBEITEN. Der Gruppenrichtlinieneditor wird gestartet.
2. Blenden Sie in der Baumstruktur der Gruppenrichtlinie COMPUTERKONFIGU-
RATION und ADMINISTRATIVE VORLAGEN ein.
3. Blenden Sie in der Baumstruktur der Konsole SYSTEM ein, klicken Sie auf
DATENTRÄGERKONTINGENTE, und klicken Sie im Detailfenster zweimal auf
DATENTRÄGERKONTINGENTE ERMÖGLICHEN.
4. Wählen Sie im Dialogfeld EIGENSCHAFTEN AKTIVIERT aus, und klicken Sie

auf OK.
5. Klicken Sie im Detailfenster zweimal auf STANDARDDATENTRÄGERKONTIN-
GENT UND WARNSCHWELLE. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf
AKTIVIERT und lassen Sie den Standardwert von 100 MB stehen. Klicken Sie
zum Schließen des Dialogfeldes und Speichern Ihrer Änderungen auf OK.
6. Klicken Sie im Detailfenster zweimal auf DATENTRÄGERKONTINGENTSGREN-
ZE ERZWINGEN, klicken Sie auf AKTIVIERT zum Aktivieren dieser Einstel-
lung, und speichern Sie Ihre Änderungen mit OK.
7. Schließen Sie den Gruppenrichtlinieneditor.
8. Schließen Sie das Dialogfeld mit den Eigenschaften der OU Forschung und
beenden Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
9. Starten Sie Ihren Computer neu, damit die Änderungen angewendet werden.
Um den Neustart Ihres Computers zu vermeiden, können Sie auch auf START/
PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Im Fenster der
Eingabeaufforderung geben Sie dann Folgendes ein:
secedit/refreshpolicy user policy and secedit/refreshpolicy machine
policy.
Damit aktualisieren Sie die Benutzer- und Computerrichtlinien auf dem Do-
mänencontroller, was unter Umständen einige Minuten dauern kann.
6.3 Gruppenrichtlinienobjekt für Benutzer erstellen
In dieser Übung erstellen Sie eine Gruppenrichtlinie, die für alle Telemarketing-
Benutzer den Befehl AUSFÜHREN aus dem Startmenü entfernt und die Verwendung
der Systemsteuerung unterbindet.
Führen Sie die folgenden Schritte zum Erstellen der Richtlinie Telemarketing-
Benutzer aus:
1. Starten Sie unter der Kennung des Domänen-Administrators ACTIVE DIREC-

TORY-BENUTZER UND -COMPUTER.
2. Blenden Sie Ihre Domäne ein, klicken Sie mit der rechten Maustaste auf der
OU Vertrieb, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie auf der Registerkarte GRUPPENRICHTLINIE auf NEU, geben Sie als
Namen Telemarketing-Gruppenrichtlinie ein, und drücken Sie (Enter).
Führen Sie zum Bearbeiten der Einstellungen der administrativen Vorlage für die
Telemarketing-Benutzer folgende Schritte aus:
1. Wählen Sie die Telemarketing-Gruppenrichtlinie aus, die Sie gerade erstellt

haben, klicken Sie auf EIGENSCHAFTEN und SICHERHEITSEINSTELLUNGEN.
2. Wählen Sie die Gruppe Authentifizierte Benutzer aus, und klicken Sie auf
ENTFERNEN.
3. Klicken Sie auf HINZUFÜGEN und wählen Sie in der Liste der Benutzer und
Gruppen Ihrer Domäne die Gruppe Telemarketing aus. Klicken Sie auf HIN-
ZUFÜGEN und OK.
4. Stellen Sie sicher, dass die Gruppe Telemarketing markiert und die Kontroll-
kästchen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN unter ZULASSEN ak-
tiviert sind. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN auf
OK.
5. Wählen Sie TELEMARKETING-GRUPPENRICHTLINIE aus und klicken Sie auf
BEARBEITEN. Der Gruppenrichtlinieneditor wird gestartet.
6. Blenden Sie in der Baumstruktur der Gruppenrichtlinie BENUTZERKONFIGU-
RATION und ADMINISTRATIVE VORLAGEN ein.
7. Klicken Sie in der Konsole auf STARTMENÜ UND TASKLEISTE und klicken Sie
im Detailfenster zweimal auf MENÜEINTRAG »AUSFÜHREN« AUS DEM
STARTMENÜ ENTFERNEN.
8. Wählen Sie im Dialogfeld EIGENSCHAFTEN AKTIVIERT aus, und klicken Sie
auf OK.
9. Klicken Sie in der MMC-Konsole des Gruppenrichtlinieneditors auf SYSTEM-
STEUERUNG (zwei Ordner unterhalb von STARTMENÜ UND TASKLEISTE).
10. Klicken Sie zur Anzeige des Dialogfeldes EIGENSCHAFTEN zweimal auf SYS-
TEMSTEUERUNG DEAKTIVIEREN im Detailfenster.
11. Klicken Sie auf AKTIVIERT und OK, um das Dialogfeld EIGENSCHAFTEN VON
SYSTEMSTEUERUNG zu schließen.
12. Schließen Sie die MMC-Konsole des Gruppenrichtlinieneditors.
13. Schließen Sie das Dialogfeld mit den Eigenschaften der OU Vertrieb und be-
enden Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
14. Starten Sie Ihren Computer neu, damit die Änderungen wirksam werden.
Um den Neustart Ihres Computers zu vermeiden, können Sie auch auf START/
PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Im Fenster der
Eingabeaufforderung geben Sie dann Folgendes ein:
secedit/refreshpolicy user policy and secedit/refreshpolicy machine

policy.
Damit aktualisieren Sie die Benutzer- und Computerrichtlinien auf dem Do-
mänencontroller, was unter Umständen einige Minuten dauern kann.
6.4 Gruppenrichtlinien der administrativen Vorlage verifizieren
In dieser Übung werden Sie sich als HowardH anmelden und verifizieren, dass
sowohl die Computer- als auch die Benutzereinstellungen, die Sie gerade konfigu-
riert haben, ordnungsgemäß übernommen werden.
1. Falls Sie gerade am Computer angemeldet sind, melden Sie sich ab und er-
neut als HowardH mit dem Kennwort kennwort wieder an.
2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/WIN-
DOWS EXPLORER.
3. Blenden Sie ARBEITSPLATZ ein, und klicken Sie das Laufwerk C: an. Wie
viel freier Speicherplatz wird im Windows Explorer für dieses Laufwerk an-
gezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Klicken Sie eine andere verfügbare NTFS-Partition an, und überprüfen Sie
den für HowardH verfügbaren freien Speicherplatz. Wie viel davon steht zur
Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Warum steht dem Benutzer auf jeder NTFS-Partition dieser Speicherplatz zur
Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
6. Klicken Sie auf START/EINSTELLUNGEN. Steht die Systemsteuerung dort zur
Verfügung? Wenn ja, warum, bzw. wenn nein, warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
7. Klicken Sie auf START. Steht die Option AUSFÜHREN im Startmenü zur Ver-
fügung? Wenn ja, warum, bzw. wenn nein, warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
8. Werden die Einstellungen zur Computerrichtlinie für die OU Forschung auf

Ihrem Computer durchgesetzt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
9. Werden die Einstellungen zur Benutzerrichtlinie für die OU Vertrieb auf Ih-
rem Computer durchgesetzt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
10. Melden Sie sich in Windows 2000 ab.
6.5 Richtlinien über An- und Abmeldeskripte implementieren
In dieser Übung werden Sie ein einfaches Anmeldeskript erstellen, welches Benut-
zer bei der Anmeldung mit einer Netzwerkfreigabe verbinden wird. Sie werden ein
GPO erstellen, mit dem Sie sicherstellen, dass dieses Skript auf alle Benutzer in der
OU Forschung angewendet wird.
Zum Erstellen einer Freigabe und eines Anmeldeskripts führen Sie nun die folgen-
den Schritte aus:
1. Melden Sie sich am Computer als Administrator Ihrer Domäne an.

2. Starten Sie Windows Explorer und erstellen Sie im Hauptverzeichnis von C:
einen neuen Order namens CORPDATA.
3. Geben Sie diesen Ordner über den Freigabenamen CORPDATA frei. Neh-
men Sie keine Änderungen an den standardmäßigen Berechtigungen und al-
len anderen Einstellungen vor.
4. Erstellen Sie einen neuen Ordner im Hauptverzeichnis von C:, den Sie Skrip-
te nennen.
5. Wechseln Sie in den Skripte-Ordner und klicken Sie mit der rechten Maustas-
te. Erstellen Sie ein neues Textdokument. Lassen Sie den standardmäßigen
Dateinamen stehen und klicken Sie zweimal zum Start von Notepad auf dem
Dateinamen.
6. Wählen Sie im Menü DATEI von Notepad SPEICHERN UNTER und nennen Sie
die Datei "CORPDATA.CMD" (mit Anführungszeichen). Speichern Sie sie
unter dem Dateityp ALLE DATEIEN, was nötig ist, weil Notepad die Datei
sonst mit der Endung .txt speichert, was sie als Skriptdatei unbrauchbar
macht.
7. Geben Sie noch in Notepad den folgenden Text in die Datei ein:
net use k: \\<server>\corpdata
wobei <server> der Name Ihres Computers ist. Speichern Sie die Datei und
beenden Sie Notepad.
8. Schließen Sie Windows Explorer.
Führen Sie die folgenden Schritte zum Erstellen einer Gruppenrichtlinie für ein
Anmeldeskript aus:
1. Melden Sie sich am Computer als Administrator Ihrer Domäne an.

die OU Forschung ein.
3. Klicken Sie mit der rechten Maustaste auf der OU Forschung und wählen Sie
EIGENSCHAFTEN aus.
4. Wählen Sie im Dialogfeld EIGENSCHAFTEN die Registerkarte GRUPPEN-
RICHTLINIE aus und klicken Sie zum Hinzufügen einer neuen Gruppenrichtli-
nie namens Forschung-Anmeldeskriptrichtlinie auf NEU.
5. Wählen Sie FORSCHUNG-ANMELDESKRIPTRICHTLINIE aus, und klicken Sie
zum Start des Gruppenrichtlinieneditor auf BEARBEITEN.
6. Blenden Sie BENUTZERKONFIGURATION und WINDOWS-EINSTELLUNGEN ein,
und klicken Sie auf SKRIPTS. Klicken Sie zweimal zum Start des Dialogfeldes
EIGENSCHAFTEN VON ANMELDEN auf ANMELDEN.
7. Versuchen Sie eine Liste der Dateien im GPT-Ordner mit der Schaltfläche
DATEIEN ANZEIGEN anzuzeigen. Das Fenster Logon dürfte keinerlei Dateien
enthalten.
8. Klicken Sie auf das Startmenü und wählen Sie AUSFÜHREN aus. Geben Sie
im AUSFÜHREN-Eingabefeld C:\Skripte ein und drücken Sie (Enter). Ein
Fenster mit dem Inhalt des Ordners C:\Skripte (CORPDATA.CMD; die Da-
tei, die Sie weiter oben erstellt haben) wird angezeigt.
9. Klicken Sie die Datei CORPDATA.CMD an und ziehen Sie sie in das Fenster
Logon. Hierdurch wird die Datei in den richtigen GPT-Ordner kopiert und
steht der Gruppenrichtlinie zur Verfügung. Schließen Sie die Fenster mit den
Ordnern Skripte und Logon.
10. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON ANMELDEN auf HINZUFÜ-
GEN und anschließend auf DURCHSUCHEN. Wählen Sie aus der Liste der Da-
teien CORPDATA.CMD aus. Damit die Datei ganz sicher als ein Skript
behandelt wird, legen Sie im DURCHSUCHEN-Fenster als anzuzeigenden Da-
teityp SKRIPTDATEIEN fest. Klicken Sie zum Schließen des Dialogfeldes HIN-
ZUFÜGEN EINES SKRIPTS auf OK.
11. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON ANMEL-
DEN auf OK.
12. Schließen Sie die Konsole des Gruppenrichtlinieneditors.

13. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON FOR-
SCHUNG auf OK, und beenden Sie anschließend ACTIVE DIRECTORY-BENUT-
ZER UND -COMPUTER.

6.6 Anmeldeskript der Gruppenrichtlinie verifizieren
In dieser Übung werden Sie sich als RalpD und HowardH anmelden und verifizie-
ren, dass die Richtlinie des Anmeldeskripts korrekt durchgesetzt wird.
1. Melden Sie sich, falls Sie gegenwärtig am Computer angemeldet sind, ab und
erneut als RalphD mit dem Kennwort kennwort wieder an.
2. Klicken Sie zum Start von WINDOWS EXPLORER AUF START/PROGRAMME/
ZUBEHÖR/WINDOWS EXPLORER.
3. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freiga-
be CORPDATA auf Ihrem Computer? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Melden Sie sich ab, und erneut als HowardH mit dem Kennwort kennwort an.
5. Klicken Sie zum Start von WINDOWS EXPLORER AUF START/PROGRAMME/
ZUBEHÖR/WINDOWS EXPLORER.
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
6.7 Vorhandenes GPO mit einer OU verknüpfen
In dieser Übung werden Sie die Forschung-Anmeldeskriptrichtlinie mit der OU
Vertrieb verknüpfen. Der Grund ist, dass der Vertrieb Zugriff auf Terminpläne
haben muss, die von den Benutzern aus der OU Forschung in der Freigabe CORP-
DATA abgelegt werden.
1. Melden Sie sich am Domänencontroller unter Windows 2000 Server als Ad-
ministrator für Ihre Domäne an.
2. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORY-BE-
NUTZER UND -COMPUTER, um die MMC-Konsole zum Verwalten der Benut-
zer und Computer in Ihrer Domäne zu öffnen.
3. Blenden Sie Ihre Domäne ein, klicken Sie mit der rechten Maustaste auf der
OU Vertrieb, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
4. Klicken Sie auf die Registerkarte ALLE, wählen Sie FORSCHUNG-ANMELDE-
SKRIPTRICHTLINIE aus, und klicken Sie auf OK.
5. Im Dialogfeld mit den Eigenschaften zu Vertrieb müsste jetzt in der Liste

auch FORSCHUNG-ANMELDESKRIPTRICHTLINIE angezeigt werden.
6. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON VERTRIEB
AUF OK, und schließen Sie auch ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER.

6.8 Gruppenrichtlinienverknüpfung und Anmeldeskripteinstellungen
verifizieren
In dieser Übung werden Sie sich als RalpD und HowardH anmelden und verifizie-
ren, dass die Anmeldeskriptrichtlinie korrekt durchgesetzt wird.
1. Melden Sie sich am Computer ab, und erneut als RalpD mit dem Kennwort
kennwort wieder an.
2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZU-
BEHÖR/WINDOWS EXPLORER.
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Melden Sie sich ab, und erneut als HowardH mit dem Kennwort kennwort an.
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
7. Melden Sie sich in Windows 2000 ab
6.9 Administrative Kontrolle der Gruppenrichtlinie delegieren
In dieser Übung werden Sie die Verwaltung der Richtlinie von Telemarketing an
HowardH delegieren, der Manager der Vertriebsabteilung ist. Da die Organisation
recht klein ist, sind auch seine Ressourcen knapp. Howard hat schon einige Win-
dows-2000-Kurse besucht und kennt sich etwas mit Active Directory und Gruppen-
richtlinien aus. Sie glauben, dass er in der Lage ist, die Richtlinie für den Teil des
Unternehmens, für den er verantwortlich ist, zu verwalten.
1. Melden Sie sich in Windows 2000 als Administrator für Ihre Domäne an.
Ihre Domäne ein. Klicken Sie mit der rechten Maustaste auf der OU Vertrieb
3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an, wählen Sie TELEMAR-
KETING-GRUPPENRICHTLINIE aus, und klicken Sie auf EIGENSCHAFTEN.
4. Klicken Sie die Registerkarte SICHERHEITSEINSTELLUNGEN an. Über welche

Berechtigungen verfügt HowardH gegenwärtig betreffend dieser Gruppen-
richtlinie?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Klicken Sie zum Anzeigen einer Liste von Benutzern und Gruppen in Ihrer
Domäne auf HINZUFÜGEN.
6. Blättern Sie in der Liste, bis Sie HowardH gefunden haben, markieren Sie
seinen Namen und klicken Sie dann auf HINZUFÜGEN. Klicken Sie auf OK.
7. Über welche Berechtigungen verfügt HowardH jetzt betreffend der Gruppen-
richtlinie?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
8. Welche Berechtigungen würde HowardH zum Verwalten des GPO benöti-
gen?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
9. Gewähren Sie HowardH die erforderlichen zusätzlichen Berechtigungen zum

Verwalten der Gruppenrichtlinie. Stellen Sie sicher, dass die Richtlinie im-
mer noch auf ihn selbst angewendet wird. Klicken Sie auf OK, um das Dia-
logfeld EIGENSCHAFTEN VON TELEMARKETING zu schließen.
6.10 Delegation der administrativen Kontrolle über die
Gruppenrichtlinie testen
In dieser Übung werden Sie überprüfen, ob HowardH die Telemarketing-Gruppen-
richtlinie tatsächlich bearbeiten kann.
1. Melden Sie sich in Windows 2000 als HowardH mit dem Kennwort kennwort
an.
Ihre Domäne ein. Klicken Sie mit der rechten Maustaste auf der OU Vertrieb
3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an und wählen Sie TELE-
MARKETING-GRUPPENRICHTLINIE aus. Welche der sechs Schaltflächen unten
im Dialogfeld stehen HowardH zur Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Klicken Sie FORSCHUNG-ANMELDESKRIPTRICHTLINIE an. Gibt es in den
HowardH zur Verfügung stehenden Schaltflächen einen Unterschied zwi-
schen Telemarketing-Gruppenrichtlinie und Forschung-Anmeldeskriptricht-
linie?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Klicken Sie auf TELEMARKETING-GRUPPENRICHTLINIE und dann auf EIGEN-
SCHAFTEN. Kann HowardH die Berechtigungen für dieses GPO ändern? Wa-
rum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
6. Schließen Sie das Dialogfeld EIGENSCHAFTEN VON TELEMARKETING-GRUP-
PENRICHTLINIE und klicken Sie auf BEARBEITEN. Wird jetzt der MMC-Grup-
penrichtlinieneditor angezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
7. Sie werden jetzt als HowardH das GPO ändern und dem Startmenü die Op-
tion ABMELDEN hinzufügen. Blenden Sie dazu BENUTZERKONFIGURATION,
ADMINISTRATIVE VORLAGEN, STARTMENÜ UND TASKLEISTE ein. Klicken Sie
im Detailfenster zweimal auf OPTION »ABMELDEN« DEM STARTMENÜ HINZU-
FÜGEN. Klicken Sie auf AKTIVIERT. Konnte HowardH die GPO-Einstellung
ändern? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
8. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON OPTION
»ABMELDEN« DEM STARTMENÜ HINZUFÜGEN auf OK, und schließen Sie auch
den MMC-Gruppenrichtlinieneditor.
auf OK, und schließen Sie auch ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER.
6.11 Filtern und Gruppenrichtlinienvererbung deaktivieren

Nach ausgiebigen Diskussionen wurde entschieden, dass der Vertrieb einen Bereich
des Unternehmens darstellt, der seine eigenen Richtlinien für verschiedene Benut-
zer einrichten sollte. Außerdem soll die Telemarketing-Gruppenrichtlinie nur auf
Benutzer in der Sicherheitsgruppe Telemarketing angewendet werden.
In dieser Übung werden Sie die Richtlinienvererbung für die OU Vertrieb deaktivie-
ren und gleichzeitig filtern, um sicherzustellen, dass die Telemarketing-Richtlinie
nur auf Benutzer in der Sicherheitsgruppe Telemarketing durchgesetzt wird.
1. Melden Sie sich an Ihrem Computer als Domänen-Administrator an.

2. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER, blenden Sie
Ihre Domäne ein, und klicken Sie mit der rechten Maustaste auf der OU Ver-
trieb. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an. Wie stellen Sie nun si-
cher, dass Richtlinien aus höheren Ebenen in dieser OU nicht mehr durchge-
setzt werden? Konfigurieren Sie die Einstellung, die verhindert, das GPOs
höherer Ebenen in dieser OU durchgesetzt werden.
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Klicken Sie auf TELEMARKETING-GRUPPENRICHTLINIE und dann auf die Re-
gisterkarte SICHERHEITSEINSTELLUNGEN. Welche Änderungen müssen Sie
vornehmen, um sicherzustellen, dass diese Richtlinie nur auf die Sicherheits-
gruppe Telemarketing angewendet wird? Führen Sie jetzt die entsprechenden
Schritte aus:
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON TELEMAR-
KETING-GRUPPENRICHTLINIE auf OK.

auf OK, und schließen Sie auch ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER.

6.12 Filtern der Gruppenrichtlinie testen
In dieser Übung werden Sie sich an Ihrem Computer als Mitglied der Sicherheits-
gruppe Telemarketing anmelden, um den GPO-Filter zu testen. Sie werden sich als
HowardH anmelden und auf entsprechende Umstimmigkeiten achten.
1. Melden Sie sich am Computer als NatashaW (eines der Mitglieder der Si-
cherheitsgruppe Telemarketing) mit dem Kennwort kennwort an.
viel freier Speicherplatz auf dem Datenträger wird angezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Klicken Sie auf eine andere NTFS-Partition, falls verfügbar, und überprüfen
Sie, wie viel freier Speicherplatz NatashaW zur Verfügung steht. Wie viel da-
von hat Sie?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Warum steht dem Benutzer auf den einzelnen NTFS-Partitionen diese Menge
an Speicherplatz zur Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
6. Klicken Sie auf START/EINSTELLUNGEN. Wird unter EINSTELLUNGEN die
SYSTEMSTEUERUNG angezeigt? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
fügung? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
8. Werden die Computereinstellungen der Richtlinie für die Organisationsein-
heit Forschung auf Ihrem Computer durchgesetzt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
9. Werden die Benutzereinstellungen der Richtlinie für die Organisationseinheit
Vertrieb auf Ihrem Computer durchgesetzt?
11. Melden Sie sich am Computer als HowardH mit dem Kennwort kennwort an.
viel freier Speicherplatz auf dem Datenträger wird angezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
14. Klicken Sie auf eine andere NTFS-Partition, falls verfügbar, und überprüfen
Sie, wie viel freier Speicherplatz HowardH zur Verfügung steht. Wie viel da-
von hat er?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
15. Warum steht dem Benutzer auf den einzelnen NTFS-Partitionen diese Menge
an Speicherplatz zur Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
16. Klicken Sie auf START/EINSTELLUNGEN. Wird unter EINSTELLUNGEN die
SYSTEMSTEUERUNG angezeigt? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
fügung? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
18. Werden die Computereinstellungen der Richtlinie für die Organisationsein-

heit Forschung auf Ihrem Computer durchgesetzt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
19. Werden die Benutzereinstellungen der Richtlinie für die Organisationseinheit
Vertrieb auf Ihrem Computer durchgesetzt?
Wiederholungsfragen
1. Was ist der Unterschied zwischen einem Gruppenrichtlinien-Container und
einer Gruppenrichtlinienvorlage?
2. Was müssen Sie tun, wenn Sie sicherstellen wollen, dass ein GPO eines
Standorts auf alle Benutzer und Computer in dem Standort angewendet wird?
3. Auf welche Benutzer und Computer werden GPO-Einstellungen standardmä-
ßig angewendet?
4. Was ist der Unterschied zwischen administrativen Vorlagen und Skripten?
5. Welche Arten von Skripten werden von der Windows-2000-Gruppenrichtli-
nie unterstützt?
6. Welche Vorteile hat die Gruppenrichtlinie für den Administrator?
7. Sie möchten sicherstellen, dass alle Benutzer in der Domäne dasselbe Hinter-
grundbild auf ihren Desktops anzeigen (das Unternehmenslogo). Der Leiter
der Abteilung Vertrieb möchte darüber hinaus vierteljährlich die Verkaufs-
zahlen als Hintergrund für die Mitarbeiter im Vertrieb, die Mitglieder der Si-
cherheitsgruppe Vertrieb sind, anzeigen lassen. Wie erreichen Sie beide
Ziele?
8. Wenn in einer Computereinstellung AutoPlay deaktiviert und in einer Benut-
zereinstellung desselben GPO AutoPlay aktiviert ist, hat welche Einstellung
den Vorrang?
9. Was ist mit Durchsetzen der Gruppenrichtlinie gemeint?
10. Welche Berechtigungen werden benötigt, wenn Sie einem Benutzer die admi-
nistrative Kontrolle über ein GPO geben möchten? An welcher Stelle müssen
Berechtigungen gesetzt werden, um Benutzer in die Lage zu versetzen, zu-
sätzliche GPO im selben Container erstellen zu können?
11. Falls alle von Ihnen konfigurierten Gruppenrichtlinien nur die Benutzerkonfi-
guration des GPO betreffen, können Sie die Geschwindigkeit der GPO-Ver-
arbeitung verbessern. Wie?
Prüfungsfragen
1. Sie sind Administrator von LearnWin2K.com, einem Online-Trainingsinsti-
tut, welches Windows-2000-Kurse anbietet. Sie müssen sämtliche Computer
des Kundenservice so konfigurieren, dass der Internetzugang für alle außer
den Supervisoren des Kundenservice abgeschaltet ist. Alle Benutzer des Kun-
denservice sind Teil der Sicherheitsgruppe KundenService, während die Su-
pervisoren obendrein noch Mitglieder der Sicherheitsgruppe KSSupervisoren
sind.
Welche der folgenden Antworten beschreibt, was Sie unternehmen müssen,

um dieses Ziel zu erreichen (wählen Sie die beste Antwort aus)?
A. Erstellen Sie zwei GPOs, von denen das eine den Internetzugang deakti-
viert und das andere ihn aktiviert. Gewähren Sie der Sicherheitsgruppe
KundenService die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN für das erste GPO. Gewähren Sie der Sicherheitsgruppe
KSSupervisoren die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN für das zweite GPO.
B. Erstellen Sie zwei GPOs, von denen das eine den Internetzugang deakti-
viert und das andere ihn aktiviert. Gewähren Sie der Sicherheitsgruppe
KundenService die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN für das erste GPO. Gewähren Sie der Sicherheitsgruppe
KSSupervisoren die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN für das zweite GPO. Gewähren Sie weiterhin der Sicher-
heitsgruppe KSSupervisoren die Berechtigung LESEN für das erste GPO.
C. Erstellen Sie ein GPO zum Deaktivieren des Internetzugangs. Gewähren
Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN.
D. Erstellen Sie ein GPO zum Deaktivieren des Internetzugangs. Gewähren
Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN, und gewähren Sie der Sicherheits-
gruppe KSSupervisoren lediglich die LESEN-Berechtigung für das GPO.
2. Sie haben ein GPO mit der Domäne verknüpft, in welchem der Befehl AUS-
FÜHREN aus dem Startmenü für alle Domänenbenutzer entfernt wird. Wäh-
rend der Installation eines neuen Servers in der Buchhaltungsabteilung
bemerken Sie, dass einige der Computer mit Windows 2000 Professional im-
mer noch über diesen Befehl verfügen. Warum (wählen Sie zwei zutreffende
Antworten aus)?
A. Die Buchhalter sind keine Domänenbenutzer.
B. Sie haben die GPO-Einstellung nicht durchgesetzt.
C. Die Gruppenrichtlinie wird auf Computern mit Windows 2000 Professio-

nal nicht erzwungen.
D. Die Richtlinienvererbung war auf der Ebene der OU Buchhaltung deakti-

viert.
E. Die Benutzer haben keinen Arbeitsplatz-PC mit Windows 98. Damit der
Befehl AUSFÜHREN abgeschaltet werden kann, müssen die Benutzer mit
Windows 98 arbeiten.
3. Sie stellen fest, dass die Verwaltung der Gruppenrichtlinien mit dem Wachs-
tum Ihres Unternehmens immer zeitaufwendiger wird. Die einzelnen Abtei-
lungen fordern bereits mehr Kontrolle über ihre eigenen OUs an. Jede
Abteilung verfügt über einen Junior-Administrator, der die Abteilung verwal-
tet. Was müssen Sie tun, um die Kontrolle über die GPOs der einzelnen Ab-
teilungen an diese Junior-Administratoren zu delegieren (wählen Sie die
beste Antwort aus)?
A. Weisen Sie den Junior-Administratoren die Kontrolle der GPOs in den
OUs über den Assistent zum Zuweisen der Objektverwaltung zu.
B. Gewähren Sie den Junior-Administratoren die Berechtigung UNEINGE-
SCHRÄNKTER ZUGRIFF für die GPOs, die mit ihren OUs verknüpft sind.
C. Machen Sie die Junior-Administratoren zu Mitgliedern der Sicherheits-

gruppe OU-Admins.
D. Gewähren Sie den Junior-Administratoren für die mit ihren OUs ver-
knüpften GPOs die Berechtigungen LESEN und SCHREIBEN.
E. Machen Sie die Junior-Administratoren zu Mitgliedern der Sicherheits-
gruppe Domänen-Admins.
F. Gewähren Sie den Junior-Administratoren für ihre OUs die Berechtigun-
gen LESEN und SCHREIBEN.
4. Sie stellen fest, dass die Verwaltung der Gruppenrichtlinien mit dem Wachs-
tum Ihres Unternehmens immer zeitaufwendiger wird. Die einzelnen Abtei-
lungen fordern bereits mehr Kontrolle über ihre eigenen OUs an. Jede
Abteilung verfügt über einen Junior-Administrator, der die Abteilung verwal-
tet. Was müssen Sie tun, um diesen Junior-Administratoren die Verwaltung
der vorhandenen GPOs in ihren OUs zu ermöglichen? Was tun Sie, um ihnen
zu erlauben, nach Bedarf GPOs erstellen und löschen zu können (wählen Sie
die besten zutreffenden Antworten aus)?
A. Verwenden Sie den Assistent zum Zuweisen der Objektverwaltung dazu,
ihnen die Kontrolle über die GPOs ihrer OUs zu übertragen.
B. Gewähren Sie ihnen den uneingeschränkten Zugriff auf die mit ihren OUs
verknüpften GPOs.
C. Machen Sie sie zu Mitgliedern der Sicherheitsgruppe OU-Admins.

D. Gewähren Sie den Junior-Administratoren für die mit ihren OUs ver-
knüpften GPOs die Berechtigungen LESEN und SCHREIBEN.
E. Machen Sie die Junior-Administratoren zu Mitgliedern der Sicherheits-
gruppe Domänen-Admins.
F. Gewähren Sie ihnen für ihre OUs die Berechtigungen LESEN und SCHREI-
BEN.
5. Wie verläuft die Anwendungsreihenfolge der Gruppenrichtlinie (wählen Sie

die beste Antwort aus)?
A. Computer, Benutzer, Skript
B. Standort, Domäne, OU
C. Domäne, Standort, OU
D. OU, Standort, Domäne
E. Benutzer, Skript, Computer
6. Sie haben die Gruppenrichtlinie folgendermaßen konfiguriert:
Auf der Domänenebene haben Sie das GPO1, welches die Systemsteuerung
aus dem Menü EINSTELLUNGEN ausblendet.
Auf der Standortebene haben Sie das GPO2, welches eine Kennwortlänge für
die Benutzer von 6 Zeichen erzwingt. Das GPO wurde mit der Option KEIN
VORRANG definiert.
Auf der Ebene der OU haben Sie das GPO3, welches den Befehl AUSFÜHREN
aus dem Startmenü ausblendet.
Auf Ebene der OU haben Sie die Richtlinienvererbung deaktiviert.
Welches Ergebnis haben Sie in dem Fall, wenn sich ein Benutzer an einem
Computer mit Windows 2000 Professional anmeldet, der sich in dem OU-
Container befindet (wählen Sie alle zutreffenden Antworten aus)?
A. Die Systemsteuerung steht nicht zur Verfügung.
B. Die Systemsteuerung steht zur Verfügung.

C. Die Benutzerkennwörter müssen 6 Zeichen lang sein.
D. Der Befehl AUSFÜHREN steht im Startmenü zur Verfügung.

E. Der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfügung.
7. Auf Computern mit welchen Betriebssystemen werden Gruppenrichtlinien
durchgesetzt (wählen Sie alle zutreffenden Antworten aus)?
A. Microsoft Windows for Workgroups 3.11
B. Microsoft Windows 2000 Advanced Server
C. Microsoft Windows 95
D. Microsoft Windows NT 4.0 mit Servicepack 6 oder höher
E. Microsoft Windows 2000 Professional
F. Red Hat Linux 6.1 mit Samba
8. Was müssen Sie hinsichtlich der Gruppenrichtlinie tun, wenn auf der OU-
Ebene nur die Computereinstellungen eines GPO angewendet und diese Ein-
stellungen nicht durch die GPO-Konfiguration auf Domänenebene verändert
werden sollen (wählen Sie die beste Antwort aus)?
A. Aktivieren Sie die Einstellungen der Computerkonfiguration und die Op-
tion KEIN VORRANG.
B. Aktivieren Sie die Einstellungen der Computerkonfiguration und deakti-
vieren Sie die Richtlinienvererbung.
C. Deaktivieren Sie die Einstellungen der Benutzerkonfiguration und deakti-
vieren Sie die Richtlinienvererbung.
D. Deaktivieren Sie die Einstellungen der Benutzerkonfiguration und die Op-
tion KEIN VORRANG.
E. Aktivieren Sie die Einstellungen der Benutzerkonfiguration und die Richt-
linienvererbung.
9. Sie entwerfen eine Gruppenrichtlinienstruktur mit zwei GPOs, eine auf der
Domänenebene und eine andere auf der Ebene der OU Marketing.
Nach dem Speichern Ihrer Änderungen und einer Aktualisierung des GPO
auf allen betroffenen Domänencontrollern meldet sich ein Benutzer der OU
Marketing am Netzwerk an. Wie werden sich Ihre GPO-Einstellungen auf
den Desktop des Benutzers auswirken (wählen Sie alle zutreffenden Antwor-
ten aus)?
A. Dem Benutzer steht die Systemsteuerung zur Verfügung.

B. In der Systemsteuerung stehen nur SOFTWARE und ANZEIGE zur Verfü-
gung.
C. Der Benutzer verfügt über ein domänenbezogenes Hintergrundbild.

D. Der Benutzer verfügt über das Hintergrundbild, welches im GPO der OU
Marketing definiert wurde.
10. Wie ist das standardmäßige Aktualisierungsintervall für Gruppenrichtlinien
auf Computern in der Domäne (wählen Sie zwei zutreffende Antworten aus)?
A. Die Gruppenrichtlinie wird auf Domänencontrollern alle 15 Minuten aktu-
alisiert.
B. Die Gruppenrichtlinie wird auf Mitgliedsservern und Arbeitsplatz-PCs
alle 15 Minuten aktualisiert.
C. Die Gruppenrichtlinie wird auf Mitgliedsservern und Arbeitsplatz-PCs

D. Die Gruppenrichtlinie wird auf Domänencontrollern alle 90 Minuten aktu-
alisiert.
E. Die Gruppenrichtlinie wird auf Mitgliedsservern und Arbeitsplatz-PCs

F. Die Gruppenrichtlinie wird auf Domänencontrollern alle 5 Minuten aktua-
lisiert.
11. Sie sind der Administrator der Domäne factron.com und haben die folgenden
Active Directory-Container erstellt:
씰 Eine OU Vertrieb
씰 Eine OU Entwicklung
씰 Eine OU Finanzen
In welchen Active Directory-Containern können Sie eine Gruppenrichtlinie
erstellen (wählen Sie alle zutreffenden Antworten aus)?
A. Benutzer
B. OU Vertrieb
C. OU Finanzen
D. Computer
E. OU Entwicklung
F. Domäne factron.com
G. Domänencontroller
12. Sie ändern für die Benutzer eines vorhandenen GPO, welches der Sicher-
heitsgruppe VertriebsPersonal zugewiesen ist, die Einstellungen zu Offline-
Ordnern. NatashaW, ein Mitglied der Sicherheitsgruppe VertriebsPersonal,
ist bereits an einem Computer mit Windows 98 in der Domäne angemeldet.
Wann werden die geänderten Einstellungen für die Offline-Ordner auf ihrem
Computer wirksam werden (wählen Sie die beste Antwort aus)?
A. Bei ihrer nächsten Anmeldung in der Domäne.
B. Innerhalb von 5 Minuten.
C. Innerhalb von 90 Minuten.
D. Innerhalb von 15 Minuten.

E. Beim nächsten Neustart des Computers.
F. Die neue Einstellung wird nicht wirksam.
13. Wo werden die Einstellungen der Gruppenrichtlinienvorlagen gespeichert
(wählen Sie die beste Antwort aus)?
A. Im Ordner %SystemRoot%\GPO eines Windows-2000-Computers.
B. Im Ordner %SystemRoot%\GPO eines Domänencontrollers.
C. In der Freigabe SYSVOL eines Domänencontrollers in einem Ordner, der
denselben Namen wie das GPO hat.
D. In der Freigabe SYSVOL eines Domänencontrollers in einem Ordner, der
denselben Namen wie die GUID des GPO hat.
E. In der Freigabe SYSVOL eines Windows-2000-Computers in einem Ord-
ner, der denselben Namen wie das GPO hat.
F. In der Freigabe SYSVOL eines Windows-2000-Computers in einem Ord-
ner, der denselben Namen wie die GUID des GPO hat.
14. Sie erstellen ein Anmeldeskript, welches LPT1 einem Drucker namens HP5
auf dem Dateiserver DEVWORK zuweist. Sie erstellen ein Starten-Skript,
welches LPT1 einem Drucker namens LEXMARK auf dem Server DEV-
WORK zuweist. Sie erstellen ein weiteres Anmeldeskript, welches alle Zu-
ordnungen zu LPT1 löscht.
Sie erstellen ein GPO in der OU Vertrieb. Sie fügen das Starten-Skript der
Computerkonfiguration des GPO hinzu. Außerdem fügen Sie beide Anmel-
deskripte der Benutzerkonfiguration des GPO hinzu. Sie weisen der Sicher-
heitsgruppe Vertrieb die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN für
das GPO zu und entfernen die Gruppe Authentifizierte Benutzer aus der Liste
der Gruppen mit Berechtigungen für das GPO.
HaraldH, ein Mitglied der Sicherheitsgruppe Vertrieb, dessen Computerkonto
in der OU Vertrieb definiert ist, meldet sich am Netzwerk an. Wie wird LPT1
auf seinem Computer zugeordnet werden (wählen Sie die beste Antwort
aus)?
A. \\DEVWORK\HP5
B. \\DEVWORK\LEXMARK
C. Die Zuordnung wird gelöscht.
D. \\DEVWORK\HP5 und \\DEVWORK\LEXMARK
E. Die Zuordnung kann nicht vorhergesagt werden.
15. Sie versuchen ein GPO zu bearbeiten, erhalten aber die Meldung, dass das
Gruppenrichtlinienobjekt nicht geöffnet werden kann. Sie verbinden sich mit
einer Freigabe auf einem einzelnen Domänencontroller Ihres Standorts und
überprüfen, ob der Domänencontroller verfügbar ist und das Netzwerk fehler-
frei arbeitet. Was ist die wahrscheinliche Ursache des Problems (wählen Sie
die beste Antwort aus)?
A. Sie verfügen nicht über die erforderlichen Berechtigungen zum Bearbei-
ten des GPO.
B. Es steht kein DHCP-Server zur Verfügung.
C. Das GPO ist in Active Directory nicht autorisiert.
D. Der DNS-Server steht nicht zur Verfügung.
E. Der WINS-Server steht nicht zur Verfügung.
F. Das GPO existiert nicht.
Antworten zu den Übungen
Gruppenrichtlinien der administrativen Vorlage verifizieren
1. Der freie Speicherplatz auf dem Datenträger solle knapp unterhalb von 100
MB liegen. Das über die Richtlinie eingerichtete Datenträgerkontingent ist
standardmäßig 100 MB für alle Benutzer. Da Windows 2000 auf dem Lauf-
werk C: installiert und dieses der Standardspeicherungsort der Benutzerprofi-
le ist, werden Sie an freien Speicherplatz knapp unterhalb von 100 MB

haben.
2. Der Benutzer wird etwa 100 MB freien Speicherplatz haben. Dies entspricht
dem für alle Benutzer über die Gruppenrichtlinie eingerichteten Standardda-
tenträgerkontingent.
3. Sie haben eine Computerrichtlinie konfiguriert, die ein Datenträgerkontin-
gent durchsetzt und definiert. Das jedem Benutzer zugewiesene Standardda-
tenträgerkontingent beträgt laut der Richtlinie 100 MB auf allen NTFS-
Partitionen. Da Sie diesen Standardwert für das Benutzerkonto von HowardH
nicht verändert haben, erhält er über die GPO-Einstellungen 100 MB Spei-
cherplatz.
4. Nein, die Systemsteuerung steht unter EINSTELLUNGEN nicht zur Verfügung.
Die für die OU Vertrieb konfigurierte Gruppenrichtlinie deaktiviert die Sys-
temsteuerung – die Option wird bei durchgesetzter Richtlinie daher nicht an-
gezeigt.
5. Nein, der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfügung. Dieser
Befehl wurde für die Benutzer in der OU Vertrieb über die Benutzereinstel-
lungen der Gruppenrichtlinie entfernt.
6. Ja, die Computereinstellungen der Richtlinie werden durchgesetzt. Es wurden
Datenträgerkontingente für alle Benutzer von Computern in der OU For-
schung eingerichtet und durchgesetzt. Jedem Benutzer wurde ein Standardda-
tenträgerkontingent von 100 MB auf jeder Partition zugewiesen.
7. Ja, die Benutzereinstellungen der Richtlinie für die OU Vertrieb werden auf
dem Computer durchgesetzt. Wie in der Gruppenrichtlinie vorgesehen, steht
der Befehl AUSFÜHREN vom Startmenü nicht zur Verfügung; auch die Sys-
temsteuerung nicht.
Anmeldeskript der Gruppenrichtlinie verifizieren
1. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint. Der
Grund liegt darin, dass RalphD ein Benutzer in der OU Forschung ist, in der
das GPO definiert wurde, und den in der Richtlinie definierten Skripts unter-
liegt.
2. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint nicht in
der Liste des Windows Explorer. HowardH ist Benutzer der OU Vertrieb
undnicht den Bedingungen und Einstellungen der für die OU Forschung defi-
nierten Richtlinie unterworfen, in der sich das Anmeldeskript befindet.
Gruppenrichtlinienverknüpfung und Anmeldeskripteinstellungen verifi-

zieren
1. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint. Der
Grund liegt darin, dass RalphD ein Benutzer in der OU Forschung ist, in der
das GPO ursprünglich definiert wurde, und den in der Richtlinie definierten
Skripts unterliegt. Die Verknüpfung der Richtlinie mit der OU Vertrieb än-
dert nicht die ursprüngliche Beziehung zwischen der Richtlinie und der OU
Forschung.
2. Eine Zuordnung der Freigabe CORPDATA zum Laufwerk K: erscheint in der
Liste in Windows Explorer. HowardH ist ein Benutzer der OU Vertrieb und
den Bedingungen und Einstellungen der für Forschung definierten Anmelde-
skriptrichtlinie unterworfen, die mit der OU Vertrieb verknüpft wurde.
Administrative Kontrolle der Gruppenrichtlinie delegieren
1. HowardH sind gegenwärtig keine Berechtigungen direkt zugewiesen. Ho-
wardH ist ein Mitglied der Gruppe integrierter Domänen-Benutzer und ver-
fügt daher über die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN.
2. HowardH verfügt nun über die Berechtigungen LESEN für das GPO. Das
Kontrollkästchen GRUPPENRICHTLINIE ÜBERNEHMEN ist deaktiviert, sodass er
nicht länger über diese Berechtigung des GPO verfügt.
3. Er braucht zum Verwalten des GPO die Berechtigungen LESEN und SCHREI-
BEN. Falls Sie die Richtlinie auch auf ihn angewendet wissen wollen, müssen
Sie ihm außerdem die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN ge-
währen.
Delegation der administrativen Kontrolle über die Gruppenrichtlinie
testen
1. HowardH stehen die Schaltflächen EIGENSCHAFTEN und BEARBEITEN zur Ver-
fügung. Die Schaltflächen NEU, HINZUFÜGEN, LÖSCHEN und OPTIONEN sind
inaktiv. HowardH kann daher die GPO-Inhalte bearbeiten und die Eigenschaf-
ten anzeigen. Er kann dagegen nicht hinzufügen, löschen, die Reihenfolge der
Anwendung ändern, die Richtlinienvererbung deaktivieren, Richtlinien niedri-
ger Ebenen überschreiben oder die Gruppenrichtlinie deaktivieren.
2. HowardH verfügt hinsichtlich von FORSCHUNG-ANMELDESKRIPTRICHTLINIE
lediglich über die Schaltfläche EIGENSCHAFTEN, was ihm die Anzeige der Ei-
genschaften des GPO, aber nicht ihre Veränderung erlaubt. Er kann die Grup-
penrichtlinie nicht bearbeiten. Er kann aber die Gruppenrichtlinie
TELEMARKETING-BENUTZER bearbeiten.
3. HowardH erhält ein Dialogfeld mit der Meldung, dass er die Berechtigungen
für das GPO nicht ändern kann. Er braucht die Berechtigungen UNEINGE-
SCHRÄNKTER ZUGRIFF oder ÄNDERN, um die Sicherheitseinstellungen des
GPO ändern zu können.
4. Ja, die MMC wird angezeigt, da HowardH die Berechtigungen LESEN und
SCHREIBEN für das GPO besitzt.
5. Ja, HowardH kann Änderungen an den GPO-Einstellungen vornehmen, weil
ihm die Berechtigung SCHREIBEN für das GPO gegeben worden ist.
Filtern und Gruppenrichtlinienvererbung deaktivieren
1. Sie müssen die Richtlinienvererbung auf der Ebene der OU Vertrieb deakti-
vieren. Dazu aktivieren Sie das Kontrollkästchen RICHTLINIENVERERBUNG
DEAKTIVIEREN unten links im Dialogfeld.
2. Entfernen Sie Authentifizierte Benutzer aus der Liste der Gruppen, denen Be-
rechtigungen zugewiesen wurden. Deaktivieren Sie außerdem das Kontroll-
kästchen bei GRUPPENRICHTLINIE ÜBERNEHMEN für den Benutzer HowardH,
da dieser kein Mitglied der Sicherheitsgruppe Telemarketing ist. Fügen Sie
schließlich die Sicherheitsgruppe Telemarketing der Liste der Gruppen mit
Berechtigungen hinzu und weisen Sie ihnen die Berechtigungen LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN zu.
Filtern der Gruppenrichtlinie testen
1. Der freie Speicherplatz auf dem Datenträger soll knapp unterhalb von 100
MB liegen. Das über die Computerrichtlinie eingerichtete Datenträgerkontin-
gent ist standardmäßig 100 MB für alle Benutzer. Da Windows 2000 auf dem
Laufwerk C: installiert und dieses der Standardspeicherungsort der Benutzer-
profile ist, werden Sie an freiem Speicherplatz knapp unterhalb 100 MB ha-
ben. Dies liegt nicht an der Richtlinie für die Benutzer von Telemarketing,
sondern an der dem Computer zugewiesenen Computerrichtlinie, die sich in
der OU Forschung befindet.
2. Der Benutzer wird etwa 100 MB freien Speicherplatz haben. Dies entspricht
dem für alle Benutzer über die Computerrichtlinie eingerichteten Standardda-
tenträgerkontingent.
tenträgerkontingent beträgt laut der Richtlinie 100 MB auf allen NTFS-
Partitionen. Da Sie diesen Standardwert für das Benutzerkonto von HowardH
nicht verändert haben, erhält er über die GPO-Einstellungen 100 MB Spei-
cherplatz.
4. Nein, die Systemsteuerung steht unter EINSTELLUNGEN nicht zur Verfügung.

Die für die OU Telemarketing konfigurierte Gruppenrichtlinie deaktiviert die
Systemsteuerung – die Option wird bei durchgesetzter Richtlinie daher nicht
angezeigt.
5. Nein, der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfügung. Dieser
Befehl wurde für die Benutzer in der OU Telemarketing über die Benutzer-
einstellungen der Gruppenrichtlinie entfernt. NatashaW ist ein Mitglied der
Sicherheitsgruppe Telemarketing.
6. Ja, die Computereinstellungen der Richtlinie werden durchgesetzt. Es wurden
schung eingerichtet und durchgesetzt. Jedem Benutzer wurde ein Standardda-
tenträgerkontingent von 100 Mbyte auf jeder Partition zugewiesen.
7. Ja, die Benutzereinstellungen der Richtlinie für die OU Vertrieb werden auf
dem Computer durchgesetzt. Der Benutzer ist ein Mitglied der Sicherheits-
gruppe Telemarketing, auf welche die Richtlinie angewendet wird. Wie in
der Gruppenrichtlinie vorgesehen, stehen die Befehle AUSFÜHREN und EIN-
STELLUNGEN im Startmenü nicht zur Verfügung.
8. Der freie Speicherplatz auf dem Datenträger sollte knapp unterhalb von 100
MB liegen. Das über die Computerrichtlinie eingerichtete Datenträgerkontin-
gent ist standardmäßig 100 Mbyte für alle Benutzer. Da Windows 2000 auf
dem Laufwerk C: installiert und dieses der Standardspeicherungsort der Be-
nutzerprofile ist, werden Sie an freiem Speicherplatz knapp unterhalb 100
MB haben. Dies liegt nicht an der Richtlinie für die Benutzer von Telemarke-
ting, sondern an der dem Computer zugewiesenen Computerrichtlinie, die
sich in der OU Forschung befindet. HowardH ist dieser Richtlinie unterwor-
fen.
9. Der Benutzer wird 100 Mbyte freien Speicherplatz haben, was der allen Be-
nutzern über das Standarddatenträgerkontingent in der Computerrichtlinie zu-
gewiesene Betrag ist.
tenträgerkontingent beträgt laut der Richtlinie 100 Mbyte auf allen NTFS-
Partitionen. Das Sie diesen Standardwert für das Benutzerkonto von Ho-
wardH nicht verändert haben, erhält er über die GPO-Einstellungen 100
Mbyte Speicherplatz.
11. Ja, die Systemsteuerung steht unter EINSTELLUNGEN zur Verfügung. Die für
die Sicherheitsgruppe Telemarketing in der OU Vertrieb konfigurierte Grup-
penrichtlinie wird wegen des Filters nicht auf HowardH angewendet.
12. Ja, der Befehl AUSFÜHREN steht im Startmenü zur Verfügung. In den Benut-
zereinstellungen der Gruppenrichtlinie wurde dieser Befehl für die Sicher-
heitsgruppe Telemarketing in der OU Vertrieb entfernt. HowardH ist jedoch
kein Mitglied der Sicherheitsgruppe Telemarketing, sodass diese Richtli-
nieneinstellung auf ihn nicht angewendet wird.
13. Ja, die Computerrichtlinieneinstellungen werden durchgesetzt. Es wurden
schung eingerichtet, und jedem Benutzer für jede Partition ein Standarddaten-
trägerkontingent von 100 Mbyte zugewiesen.
14. Nein, die Einstellungen der Benutzerrichtlinie der OU Vertrieb werden für
diesen Benutzer auf dem Computer nicht durchgesetzt. HowardH ist kein
Mitglied der Sicherheitsgruppe Telemarketing, auf welche die Richtlinie an-
gewendet wird. Der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfü-
gung, während die Systemsteuerung zur Verfügung steht.
1. Ein GPO besteht aus zwei Teilen: einem Gruppenrichtlinien-Container und
einer Gruppenrichtlinienvorlage. Der GPC ist ein Active Directory-Objekt,
welches die GPO-Attribute und Versionsinformationen enthält. Die Domä-
nencontroller verwenden den GPC zur Entscheidung darüber, ob sie über die
neueste Version des GPO verfügen. Die GPT stellt eine Ordnerhierarchie im
freigegebenen Ordner SYSVOL auf Domänencontrollern dar. Die GPT ent-
hält sämtliche GPO-Einstellungen betreffend administrative Vorlagen, Skrip-
te, die Softwareinstallation, Ordnerumleitung und Sicherheit. Siehe dazu
»Gruppenrichtlinien – eine Einführung« und »Gruppenrichtlinienkomponen-
ten«.
2. Um sicherzustellen, dass ein GPO eines Standorts auf alle Benutzer und
Computer im Standort angewendet wird, aktivieren Sie KEIN VORRANG FÜR
DAS GPO. Hierdurch werden die GPO-Einstellungen auf alle nachfolgenden
Ebenen der Hierarchie einschließlich Domänen und OUs durchgesetzt, da
GPOs für einen Standort als Erste verarbeitet werden. Siehe dazu »Gruppen-
richtliniensicherheit«, »Gruppenrichtlinienvererbung« und »Gruppenrichtli-
nieneinstellungen durchsetzen«.
3. GPO-Einstellungen werden standardmäßig nur auf die Mitglieder der Gruppe
Authentifizierte Benutzer angewendet. Auf dieser Ebene werden die GPO-
Einstellungen auf alle in der Domäne angemeldeten Benutzer und alle nach
dem Start in der Domäne angemeldeten Computer angewendet. Siehe dazu
»Gruppenrichtliniensicherheit« und Gruppenrichtliniensicherheit konfigurie-
ren«.
4. Einstellungen administrativer Vorlagen in GPOs nehmen entweder an den

Schlüsseln HKEY_LOCAL_MACHINE (sofern Sie die Computerkonfiguration der ad-
ministrativen Vorlage bearbeiten) oder HKEY_CURRENT_USER (sofern Sie die Be-
nutzerkonfiguration der administrativen Vorlage bearbeiten) in der
Registrierung Veränderungen vor. Skripte können für vielfältige Aufgaben
und Einstellungsänderungen einschließlich von Registrierungseinstellungen
verwendet werden, da es sich bei ihnen entweder um BAT-, CMD-, EXE(Pro-
gramm)-Dateien oder von Windows Script Host verarbeitete Skripte handelt.
Siehe dazu »Benutzerumgebungen mit Gruppenrichtlinien verwalten«.
5. Windows-2000-Gruppenrichtlinien unterstützen vier Skripttypen: Hinsicht-
lich des Computers stehen Starten- und Herunterfahren-Skripte zur Verfü-
gung, während für Benutzer Anmelde- und Abmeldeskripte konfiguriert
werden können. Siehe dazu »Benutzerumgebungen mit Gruppenrichtlinien
verwalten« und »Skripte in Gruppenrichtlinien konfigurieren und verwen-
den«.
6. Mit Gruppenrichtlinien kann der Administrator zentrale bzw. dezentrale
Richtlinien einrichten, die eine Kontrolle über die Computer- und Benutzer-
umgebung ermöglichen. Über GPOs stellt der Administrator sicher, dass die
Benutzer über die erforderlichen Anwendungs- und Umgebungseinstellungen
zur Ausführung ihrer alltäglichen Arbeiten verfügen. Mit Gruppenrichtlinien
übt der Administrator eine Kontrolle über Benutzer und Computer unabhän-
gig davon aus, ob sich diese im nächsten Raum oder irgendwo sonst auf dem
Globus befinden. Da die GPO-Verwaltung an andere Personen delegiert wer-
den kann, erhält ein Unternehmensadministrator die Möglichkeit, jede ge-
wünschte lokale Anpassung von Desktops in unternehmensweite Standards
integrieren zu können. Schließlich stellt der Administrator mit GPOs sicher,
dass Unternehmensstandards und Geschäftsregeln im gesamten Unternehmen
durchgesetzt werden. Siehe dazu »Gruppenrichtlinien – eine Einführung«
und »Gruppenrichtlinienbereich«.
7. Um sicherzustellen, dass alle Benutzer in der Domäne ein Unternehmenslogo
als Hintergrundbild verwenden, erstellen Sie ein GPO auf Domänenebene
und konfigurieren die Hintergrundbildeinstellung in der Benutzerkonfigurati-
on der administrativen Vorlage des GPO. Außerdem sorgen Sie dafür, dass
die Sicherheitsgruppe Domänenbenutzer die Berechtigungen LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN für das GPO erhält.
Um sicherzustellen, dass die Mitglieder der Vertriebsabteilung die viertel-

jährlichen Verkaufszahlen als Hintergrundbild auf dem Desktop angezeigt
bekommen, erstellen Sie auf Domänenebene ein GPO und konfigurieren die
Hintergrundbildeinstellungen in der Benutzerkonfiguration der administrati-
ven Vorlage des GPO. Außerdem sorgen Sie dafür, dass die Sicherheitsgrup-
pe Vertrieb die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN für das GPO erhält. Damit dieses GPO nicht auf andere Benut-
zer der Domäne angewendet wird, entfernen Sie die Sicherheitsgruppe Do-
mänenbenutzer aus der Liste der Benutzer und Gruppen mit Berechtigungen
für das GPO.
Um sicherzustellen, dass die Vertriebsbenutzer nicht das Hintergrundbild er-

halten, welches alle anderen Benutzer bekommen, filtern Sie die Gruppen-
richtlinie der Domänenbenutzer, fügen die Sicherheitsgruppe Vertrieb zur
Liste der Gruppen mit Berechtigungen für das GPO der Domänenbenutzer
hinzu, und deaktivieren die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN,
damit die Richtlinie für die Sicherheitsgruppe Vertrieb nicht durchgesetzt
wird.
Damit diese Einstellungen von Administratoren niedrigerer Ebenen nicht
mehr verändert werden, aktivieren Sie für beide GPOs die Option KEIN VOR-
RANG. Siehe dazu »Benutzerumgebungen mit Gruppenrichtlinien verwalten«
und »Gruppenrichtlinienbereich«.
8. AutoPlay bleibt deaktiviert. Computereinstellungen haben immer den Vor-
rang vor Benutzereinstellungen – die Computereinstellung zur Deaktivierung
von AutoPlay setzt sich also durch. Siehe dazu »Gruppenrichtlinienbereich«
und »Gruppenrichtlinienverarbeitung«.
9. Das Durchsetzen der Gruppenrichtlinie bedeutet, dass Sie die Option KEIN
VORRANG für das GPO konfiguriert haben. Das Endergebnis besteht darin,
dass die Einstellungen des GPO mit der aktiven Option KEIN VORRANG durch
GPOs niedriger Ebenen auch dann nicht verändert werden können, wenn die
Administratoren dieser Ebenen (Domäne oder OU) die Richtlinienvererbung
deaktiviert haben. Siehe dazu »Gruppenrichtliniensicherheit«.
10. Damit der Benutzer in der Lage ist, ein vorhandenes GPO ändern zu können,
braucht er die Berechtigungen zum Lesen und Schreiben des GPO. Wenn Sie
möchten, dass die Benutzer zusätzliche GPO-Objekte in demselben Contai-
ner erstellen, brauchen sie die entsprechenden Berechtigungen für den Con-
tainer, in dem das GPO definiert wird, nämlich »GROUPPOLICYCONTAINER-
OBJEKTE« ERSTELLEN und »GROUPPOLICYCONTAINER-OBJEKTE« LÖSCHEN.
Die Berechtigungen LESEN und SCHREIBEN wären ebenfalls möglich, würde
aber mehr Rechte verleihen, als Sie den Benutzern vielleicht zugestehen
möchten. Siehe dazu »Gruppenrichtliniensicherheit konfigurieren« und »Be-
rechtigungen zum Verwenden der Richtlinie zuweisen«.
11. Zum Verbessern der Leistung der Richtlinienverarbeitung, sofern nur die Be-
nutzerkonfiguration des GPO in Ihrer Richtlinie verarbeitet wird, aktivieren
Sie auf der Registerkarte ALLGEMEIN des Dialogfeldes EIGENSCHAFTEN des
GPO das Kontrollkästchen KONFIGURATIONSEINSTELLUNGEN DES COMPU-
TERS DEAKTIVIEREN. Dadurch werden in Zukunft alle Computer, auf die die
Richtlinie zutrifft, angewiesen, nur die Benutzerkonfiguration downzuloaden,

ohne Zeit mit dem Download der Computerkonfiguration zu verschwenden,
die nicht gebraucht wird. Siehe dazu »Fehlerbehebung bei Gruppenrichtlini-
en«.
1. D. Bei der Installation von Windows 2000 ist der Internetzugang standardmä-
ßig aktiviert. Falls Sie ihn deaktivieren möchten, müssen Sie ein GPO erstellen,
welches den Internetzugang abschaltet. Die Supervisoren des Kundenservice
sind Mitglieder sowohl der Sicherheitsgruppe KundenService als auch KS-
Supervisoren. Falls Sie der Gruppe KundenService nur die Berechtigungen
LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN zuweisen, haben die Supervi-
soren keinen Internet-Zugang. Um dies zu korrigieren, gewähren Sie KSSuper-
visoren nur die Berechtigung LESEN für das GPO, womit Sie für diese Gruppe
einen Filter für die Gruppenrichtlinie setzen.
Auch die Antwort B stellt eine Lösung dar, setzt aber das Erstellen zweier
Richtlinien voraus, was mehr Administrationsaufwand als nötig bedeutet. Da
nach der besten Antwort gefragt wurde, ist D die einzige logische Möglichkeit.
Siehe dazu »Gruppenrichtlinienbereich« und »Gruppenrichtliniensicherheit«.
2. B, D. Dass einigen Benutzern immer noch den Befehl AUSFÜHREN zur Verfü-
gung steht, weist darauf hin, dass die GPO-Vererbung auf der Ebene der OU
Buchhaltung deaktiviert ist. Es gibt GPOs, die manchen Benutzern die Ver-
wendung von AUSFÜHREN im Startmenü erlauben, und andere, die dies ver-
bieten. Wenn Sie die GPO-Einstellungen mit der Option KEIN VORRANG
durchgesetzt hätten, wäre es nicht zu diesem Ergebnis gekommen – der Be-
fehl AUSFÜHREN stünde keinem Benutzer zur Verfügung. Ursache des Pro-
blems ist also einerseits die Tatsache, dass das GPO nicht durchgesetzt
worden ist, und andererseits, dass die OU-Administratoren noch die Richtli-
nienvererbung deaktivieren können. Siehe dazu »Gruppenrichtliniensicher-
heit« und »Gruppenrichtlinienvererbung«.
3. D. Um den Junior-Administratoren die Bearbeitung von GPOs in ihren OUs
zu erlauben, müssen Sie ihnen die Berechtigungen LESEN und SCHREIBEN für
die GPOs in ihrer OU zuweisen. Auch die Zuweisung des uneingeschränkten
Zugriffs wäre möglich, würde aber mehr Rechte verleihen, als benötigt wer-
den (beispielsweise das Recht zum Ändern der Berechtigungen eines GPO
oder die Aktivierung von KEIN VORRANG). Das Gewähren der Berechtigun-
gen LESEN und SCHREIBEN für die OU ermöglicht ihnen, andere Objekte in-
nerhalb der OU ändern zu können, und verschafft ihnen wiederum höhere
Rechte, als benötigt werden. Den Assistent zum Zuweisen der Objektverwal-
tung können Sie zum Delegieren der Kontrolle über GPOs nicht verwenden;
dieser kann nur zum Delegieren der administrativen Autorität an übergeordne-
te Container des GPO wie einer OU eingesetzt werden. Benutzer zu Mitglie-

dern der Gruppe Domänen-Admins zu machen, ist nie eine gute Idee. Siehe
dazu »Gruppenrichtliniensicherheit«, »Gruppenrichtliniensicherheit konfigu-
rieren« und »Berechtigungen zum Verwalten der Richtlinie zuweisen«.
4. D, F. Die Antwort auf diese Frage ist ähnlich wie die vorherige mit der
Ausnahme, dass die Benutzer hier in der Lage sein müssen, den Inhalt des
übergeordneten OU-Containers ändern zu können. Zu diesem Zweck benö-
tigen Sie auch die Berechtigungen LESEN und SCHREIBEN für die OU, die sie
kontrollieren sollen. Eigentlich brauchen die Junior-Administratoren nur
die Berechtigungen »GROUPPOLICYCONTAINER-OBJEKTE« ERSTELLEN und
»GROUPPOLICYCONTAINER-OBJEKTE« LÖSCHEN, die aber aus der Frage nicht
hervorgehen. Siehe dazu »Gruppenrichtliniensicherheit« und »Gruppenricht-
liniensicherheit konfigurieren«.
5. B. Die Anwendung von Richtlinien beginnt immer auf der Ebene des Stand-
orts, geht dann zur Domäne und schließlich zur OU über. Der Grund liegt da-
rin, dass standortbezogene GPOs zur Konfiguration von Computer- und
Benutzereinstellungen verwendet werden können, die eventuell geografische
und lokale Bedingungen berücksichtigen müssen. Domänenbezogene GPOs
legen Einstellungen fest, die für alle Benutzer und Computer einer Domäne
gelten. Alle diese Einstellungen können auf der OU-Ebene, auf der die
kleinste Anzahl von Computern und Benutzern als Active Directory-Objekte
betroffen ist, überschrieben und/oder geändert werden. Auf jeder Ebene ha-
ben Sie mit entsprechend weniger Active Directory-Objekten zu tun, die von
einem GPO betroffen sind. Siehe »Gruppenrichtlinienbereich«.
6. B, C, F. Die Richtlinienvererbung war auf der OU-Ebene deaktiviert, was be-
deutet, dass alle GPOs höherer Ebenen nicht auf die OU angewendet werden,
in der der Befehl AUSFÜHREN (GPO3) aus dem Startmenü entfernt worden ist
(Antwort F). Das standortbezogene GPO (GPO2) wurde mit KEIN VORRANG
konfiguriert, sodass die deaktivierte Richtlinienvererbung auf der OU-Ebene
keine Wirkung hat. Die Richtlinie gilt immer noch und bestimmt, dass die
Kennwortlänge 6 Zeichen betragen muss (Antwort C). Auf der Domänenebe-
ne war die Systemsteuerung deaktiviert (GPO1), aber da dieses GPO nicht
mit der Option KEIN VORRANG konfiguriert worden ist, wurde es auf der OU-
Ebene deaktiviert und nicht verarbeitet. Die Systemsteuerung steht daher den
Benutzern auf der OU-Ebene immer noch zur Verfügung (Antwort B). Siehe
dazu »Gruppenrichtliniensicherheit« und Gruppenrichtlinienvererbung«.
7. B, E. Die Gruppenrichtlinie wird nur auf Computern mit einer Variante von
Windows 2000 durchgesetzt, was Windows 2000 Professional, Windows
2000 Advanced Server sowie Windows 2000 Server und Windows 2000 Data
Center einschließt. Siehe dazu »Gruppenrichtlinien – eine Einführung«.
8. C. Durch die Deaktivierung der Benutzerkonfigurationseinstellungen werden

alle Computer, die die Richtlinie downloaden, angewiesen, nicht die Benut-
zerkonfiguration des GPO, sondern nur die Computerkonfiguration downzu-
loaden. Durch die Deaktivierung der Richtlinienvererbung werden GPO-
Einstellungen höherer Ebenen nicht mehr auf der OU-Ebene angewendet, so-
fern sie nicht mit der Option KEIN VORRANG konfiguriert worden sind. Siehe
dazu »Gruppenrichtlinienbereich«, »Gruppenrichtlinien kombinieren«,
»Gruppenrichtliniensicherheit« und »Gruppenrichtlinienvererbung«.
9. B, C. Da Sie das GPO auf Domänenebene mit KEIN VORRANG konfiguriert
haben, existieren keine Konflikte zwischen ihnen. Das GPO Marketing stellt
sicher, dass die Einstellungen auf Domänenebene angewendet werden. In die-
sem Fall erhalten die Benutzer den Hintergrund der Domänenebene und die
Einstellungen zur Systemsteuerung. Siehe »Gruppenrichtliniensicherheit«
und »Gruppenrichtlinienvererbung«.
10. C, F. Das standardmäßige Aktualisierungsintervall der Gruppenrichtlinie be-
trägt 5 Minuten auf Domänencontrollern und 90 Minuten auf Mitgliedsservern
und Arbeitsplatz-PCs plus/minus einem 30-minütigen Verzögerungsintervall.
Siehe dazu »Gruppenrichtlinien – eine Einführung«, »Gruppenrichtlinienbe-
reich« und »Gruppenrichtlinienverarbeitung«.
11. B, C, E, F, G. Sie können sowohl GPOs in den OUs Vertrieb, Finanzen und
Entwicklung als auch die Container auf Ebene des Domänencontrollers und
der Domänenebene erstellen. Sie können kein GPO auf Ebene der Benutzer-
und Computer-Container erstellen. Siehe dazu »Gruppenrichtlinien erstellen
und verwalten« und »Gruppenrichtlinie – eine Einführung«.
12. F. Da NatashaW Windows 98 verwendet, wird die Gruppenrichtlinie nicht
durchgesetzt. GPO-Einstellungen werden nur auf Windows 2000 Professional,
Server, Advanced Server und Data Center Server angewendet. Systemricht-
linien beziehen sich auf Computer mit Windows 9x und Windows NT 4.0. Sie-
he dazu »Gruppenrichtlinien – eine Einführung«.
13. D. Gruppenrichtlinienvorlagen werden auf jedem Domänencontroller in der
Freigabe SYSVOL in einem Ordner mit demselben Namen wie die GUID für
das Gruppenrichtlinienobjekt gespeichert. Siehe dazu »Gruppenrichtlinien –
eine Einführung« und »Gruppenrichtlinienkomponenten«.
14. E. In diesem Fall kann die Zuordnung nicht vorhergesagt werden, da die An-
meldeskripte asynchron laufen. Beide Anmeldeskripte laufen gleichzeitig –
dasjenige, welches als Letztes die LPT1-Zuordnung definiert, wird daher ge-
winnen. Das Ergebnis kann entweder die Zuordnung \\DEVWORK\LEX-
MARK oder die Löschung der Zuordnung sein. Siehe dazu »Skripte in
Gruppenrichtlinien konfigurieren und verwenden« und »Ausführungsreihen-
folge von Skripten in Gruppenrichtlinien«.
15. D. Die wahrscheinliche Ursache dieses Problems ist die DNS-Konfiguration.

Falls kein DNS-Server mit den zum Lokalisieren des GPO erforderlichen
SRV-Einträgen verfügbar ist, können Sie das GPO auch dann nicht zur Bear-
beitung öffnen, wenn Sie mit dem Domänencontroller hinsichtlich der Datei-
und Druckerfreigabe Verbindung haben. Der Grund liegt darin, dass der
Hostname des Domänencontrollers nicht von einem anderen DNS- oder
WINS-Server aufgelöst werden kann. Die Anwesenheit eines DHCP- oder
WINS-Servers spielt dabei keine Rolle. Zum Bearbeiten eines GPO müssen
Sie in Active Directory nicht autorisiert sein, sondern benötigen lediglich die
entsprechenden Berechtigungen. Autorisierungen finden für DHCP- und
RIS-Server statt. Falls das GPO nicht existiert, werden Sie es auch nicht bear-
beiten könne. Die einzige mögliche Antwort ist D. Siehe dazu »Fehlerbehe-
bung bei Gruppenrichtlinien«.

Microsoft Windows 2000 Resource Kit, Deployment Planning Guide. Micro-
soft Press, 2000
Tim Hill, Windows 2000 Windows Script Host, Macmillan Technical Publi-
shing, 1999
Using Group Policy Scenarios über Microsofts Website unter http://
www.microsoft.com/windows2000/library/howitworks/management/grouppo-
licy.asp.
Introduction to Windows 2000 Group Policy über Microsofts Website unter
http://www.microsoft.com/windows2000/library/howitworks/management/
grouppolicyintro.asp.
Windows 2000 Simplifies Top 15 Administrative Tasks über Microsofts Web-
site unter http://www.microsoft.com/windows2000/library/howitworks/
management/adminsave.asp.
Windows Script Host: A Universal Scripting Host for Scripting Languages
über Microsofts Website unter http://www.microsoft.com/windows2000/
library/howitworks/management/winscrwp.asp.
Windows 2000 Desktop Management Overview über Microsofts Website unter
http://www.microsoft.com/windows2000/library/howitworks/management/
ccmintro.asp.
Step-by-Step Guide to Understanding the Group Policy Feature Set über Mic-
rosofts Website unter http://www.microsoft.com/windows2000/library/plan-
ning/management/groupsteps.asp.

Step-by-Step Guide to User Data and User Settings über Microsofts Website
unter http://www.microsoft.com/windows2000/library/planning/management/
userdata.asp.
Manage Change with the Windows 2000 Platform über Microsofts Website
unter http://www.microsoft.com/windows2000/guide/server/solutions/manage-
change.asp.
Group Policy Simplifies Administration über Microsofts Website unter http://
www.microsoft.com/windows2000/guide/server/solutions/gpsimpli .es.asp.
Softwarebereitstellung
mittels Gruppenrichtlinien
Lernziele
7
In diesem Kapitel wird ein Ziel aus dem Prüfungsabschnitt »Installation, Konfigura-
tion, Verwaltung, Überwachung und Fehlerbehebung beim Änderungs- und Konfi-
gurationsmanagement« behandelt. Andere Ziele und Teilziele dieser Einheit werden
in anderen Kapiteln behandelt. In diesem Kapitel wird auf das folgende Prüfungs-
ziel eingegangen:
Wartung und Fehlerbehebung von Software mittels Gruppenrichtlinien

씰 Bereitstellung von Software mittels Gruppenrichtlinien
씰 Wartung von Software mittels Gruppenrichtlinien
씰 Konfiguration von Bereitstellungsoptionen
씰 Fehlersuche bei verbreiteten Problemen während der Softwarebereitstellung
Die Bereitstellung von Software kann in jeder Organisation eine gewaltige Aufgabe
sein. Windows 2000 Active Directory bietet eine Methode, die den Job erleichtern
kann: Gruppenrichtlinien. Sie werden auf Ihr Verständnis der Softwarebereitstel-
lung im Zusammenhang mit Gruppenrichtlinien hin geprüft. Zur Bereitstellung von
Software können unterschiedliche Methoden eingesetzt werden. Zu solchen Metho-
den gehören die Zuweisung und die Veröffentlichung. Software kann für Benutzer
oder für Computer bereitgestellt werden. Software kann Computern und Benutzern
zugewiesen, aber nur für Benutzer veröffentlicht werden. Für die Prüfung müssen
Sie beide Bereitstellungskonzepte vollkommen verstehen. Die Aktualisierung und
Entfernung von Software ist ebenfalls ein Prüfungsthema, einschließlich der unter-
schiedlichen Methoden zur Erledigung dieser beiden Aufgaben. In der Prüfung wer-
den Ihre Kenntnisse über die Bereitstellungsoptionen und Möglichkeiten zur Ände-
rung der Softwarebereitstellung in Anpassung an spezifische Anforderungen
innerhalb der Organisation getestet.
512 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
씰 Wir empfehlen dringend, bei der Vorbereitung auf die Microsoft-Prüfung alle
Schritt-für-Schritt-Abschnitte und Übungen in diesem Kapitel durchzuarbeiten.
씰 Ein Verständnis der verschiedenen Optionen bei der Bereitstellung von Soft-
ware sowie von Windows Installer, Gruppenrichtlinien und ZAP-Dateien ist
unabdingbar. Testen Sie sich selbst anhand der Wiederholungsfragen und der
Beispiele für Prüfungsfragen in diesem Kapitel.
씰 Machen Sie sich mit den Features und Regeln rund um Gruppenrichtlinien
vertraut, insbesondere mit Vererbung, Filterung und Vorrang.
씰 »Übung macht den Meister.« Wie das alte Sprichwort sagt, durch Übung des
Umgangs mit Gruppenrichtlinien sowie mit der Erstellung, Bereitstellung
und Entfernung von Softwarepaketen bringen Sie sich in Bestform für die
Bewältigung der Probleme, die in der Prüfung auf Sie zukommen.
7.1 Einführung
Im letzten Kapitel wurden die Gruppenrichtlinien von Windows 2000 und ihre Ver-
wendung für die Konfigurierung von Computer- und Benutzerumgebungen vorge-
stellt. Darüber hinaus bieten Gruppenrichtlinien eine Reihe von Möglichkeiten, die
sie für den Windows-2000-Netzwerkadministrator unentbehrlich machen. Eine
davon ist die Möglichkeit, Softwareanwendungen an Benutzer zu verteilen, um
deren Bedarf zu decken oder einen Unternehmensstandard durchzusetzen. Mit die-
sem Feature können Sie außerdem Software aktualisieren, wenn eine neue Version
erschienen ist, oder Software zwangsweise vom Computer eines Benutzers entfer-
nen, wenn die Organisation deren Einsatz nicht mehr wünscht.
Dieses Kapitel definiert zunächst den Softwarebereitstellungs-Lebenszyklus ein-

schließlich der vier Phasen jeder manuellen oder automatisierten Softwarebereitstel-
lung. Danach wird jede der vier Phasen unter dem Gesichtspunkt betrachtet, wie
Gruppenrichtlinien dazu beitragen können, die Softwarebereitstellung genauer, zeit-
gerechter und einfacher zu gestalten. Das Kapitel schließt mit einer Fallstudie und
einem Abschnitt mit Übungen und Beispielen für Prüfungsfragen ab. Mit den Übun-
gen und Prüfungsfragen können Sie die in diesem Kapitel vermittelten Fähigkeiten
anwenden. Dies sollte Ihnen helfen, besser zu verstehen, wie Gruppenrichtlinien
beim Management der Softwarebereitstellung verwendet werden.
7.2 Der Softwarebereitstellungs-Lebenszyklus 513
7.2 Der Softwarebereitstellungs-

Lebenszyklus
Beim Einsatz von Software in einem Unternehmen oder einem zentralen Standort,
wie er mittels Gruppenrichtlinien möglich ist, werden normalerweise vier Phasen
durchlaufen: Vorbereitung, Einsatz, Wartung und Entfernung. Jede dieser Phasen
zeichnet sich durch eine charakteristische Folge von Schritten aus, die vor Beginn
der nächsten Phase durchlaufen werden müssen. Wie Sie bereits im vorangegange-
nen Kapitel gesehen haben, sind Gruppenrichtlinien ein mächtiges Werkzeug für
den Administrator; die Tatsache, dass sie außerdem den Softwareeinsatz unterstüt-
zen, macht sie nur umso wertvoller.
Die Phasen des Softwarebereitstellungs-Lebenszyklus sind folgende:
씰 Vorbereitung. Die Vorbereitungsphase betrifft alle Elemente, die Vorausset-

zung dafür sind, dass überhaupt ein Softwareeinsatz stattfinden kann. Zu die-
sen Elementen gehören u.a. die Erstellung eines Windows-Installer-Pakets,
die Erstellung eines Netzwerkfreigabeordners für die zu installierende Soft-
ware sowie das Kopieren der Dateien für die einzusetzende Softwareanwen-
dung in den Netzwerkfreigabeordner. In manchen Fällen wird die Software
vielleicht nicht in einem Format geliefert, das von der Windows-2000-Kom-
ponente Windows Installer verwendbar ist. Möglicherweise müssen Sie das
Werkzeug eines Drittherstellers einsetzen, um das Paket zu erstellen, oder al-
ternativ eine ZAP-Datei für die Installation der Softwareanwendung erstellen.
Alle diese Elemente werden im Abschnitt »Vorbereitung der Software für
den Einsatz mittels Gruppenrichtlinien« in diesem Kapitel behandelt.
씰 Bereitstellung. In der Bereitstellungsphase wird die Software tatsächlich an

den Benutzer und/oder Computer weitergegeben. In dieser Phase erstellen Sie
ein Gruppenrichtlinienobjekt (GPO), das die Installation der Software auto-
matisiert und diese mit dem passenden Active Directory-Container (Standort,
Domäne oder OU) verknüpft. Außerdem legen Sie fest, ob die Software ver-
öffentlicht oder zugewiesen wird. Es muss entschieden werden, ob Software
an den Computer oder an den Benutzer weitergegeben werden soll. Darüber
hinaus müssen Sie festlegen, wie viel Interaktion dem Benutzer während des
Installationsvorgangs geboten werden soll. Dies ist in vielerlei Hinsicht der
einfachste Teil des Softwareeinsatzes. Die schwere Arbeit wurde in der Vor-
bereitungsphase geleistet. Wenn die Software ordnungsgemäß konfiguriert
wurde, läuft dieser Vorgang reibungslos. Die verschiedenen Arten der Soft-
warebereitstellung und die Erstellung eines GPO werden im Abschnitt »Soft-
warebereitstellung mittels Gruppenrichtlinien« in diesem Kapitel behandelt.
씰 Wartung. Wie Ihnen bereits bestens bekannt sein dürfte, bleibt in dieser
Branche nichts statisch. Software ist keine Ausnahme. Würden Sie dieses
Buch lesen, wenn Microsoft nicht NT 4 auf Windows 2000 aktualisiert hätte?
Im Laufe der Zeit müssen Sie möglicherweise eine Aktualisierung für Soft-
ware auf Benutzercomputern konfigurieren und verteilen. In anderen Fällen
ist es evtl. nötig, bereits verteilte Software erneut zu verteilen; vielleicht müs-
sen Patches oder ein Service Pack eingesetzt werden, um die Software auf
den neuesten Stand zu bringen und/oder ggf. vorhandene Mängel (Fehler
oder Anomalien – undokumentierte Features) zu reparieren. Im Abschnitt
»Wartung von Softwarepaketen mittels Gruppenrichtlinien« wird diskutiert,
wie Software im Feld aktualisiert werden kann und welche Aktualisierungs-
optionen verfügbar sind.
씰 Entfernung. Es kommt vor, dass Software nicht mehr nützlich ist und ent-
fernt werden muss. Wie viele Ihrer Benutzer benötigen immer noch Micro-
soft Word 2.0 auf ihrem Computer? Im Abschnitt »Entfernen eines Pakets«
werden die Fragen rund um die zwangsweise oder freiwillige Entfernung von
Software vom Desktop des Benutzers behandelt.
Mit Microsoft Windows-2000-Gruppenrichtlinien kann der Administrator die

Bereitstellung, Entfernung und Wartung von Softwarepaketen auf Benutzerdesktops
automatisieren. Beginnen wir bei der Vorbereitung der Software für die Bereitstel-
lung.
7.3 Vorbereitung der Software für die

Bereitstellung mittels Gruppenrichtlinien
Bevor Sie die Features der Gruppenrichtlinien nutzen können, welche die Software-
bereitstellung so einfach machen, müssen Vorbereitungsarbeiten geleistet werden,
damit gewährleistet ist, dass die zu verteilende Software in einem Format vorliegt,
das von Windows-2000-Gruppenrichtlinien genutzt werden kann. Anschließend
muss auf einem Server, von dem aus die Software installiert werden soll, eine Soft-
wareverteilungsfreigabe erstellt werden, und die notwendigen Dateien müssen an
diesen Speicherort kopiert werden. Nun kann das GPO für die Softwarebereitstel-
lung erstellt werden. In diesem Abschnitt werden die Technologien behandelt, die
bei der Bereitstellung von Software mittels Gruppenrichtlinien eine Rolle spielen:
Windows-Installer-Pakete (MSI-Dateien) und ZAP-Dateien. Anschließend wird die
Erstellung eines Windows-Installer-Pakets für herkömmliche Anwendungen oder
solche Softwarepakete, die in einem von Windows Installer nicht nutzbaren Format
vorliegen, kurz diskutiert.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien 515
HINWEIS
Windows-2000-zertifizierte Anwendungen
Microsoft besitzt ein Verfahren zur Zertifizierung von Anwendungen, die unter
Windows 2000 und Windows 98 korrekt ausgeführt werden können. Weitere Infor-
mationen über Voraussetzungen zur Zertifizierung einer Anwendung für Windows
2000 finden Sie auf der Website von Microsoft unter http://msdn.microsoft.com/
certification/default.asp. Dazu gehören Informationen zum Ablauf des Verfahrens,
die verschiedenen Stufen Zertifiziert oder Kompatibel, sowie einige der Tools, die
für den Test eines Pakets zur Verfügung stehen. Eine Liste der Pakete, die für
Windows 2000 zertifiziert sind (die höchste Stufe) bzw. vom Hersteller für kompa-
tibel gehalten werden, finden Sie unter http://www.microsoft.com/windows2000/
upgrade/compat/search/software.asp auf der Website von Microsoft. Beide bie-
ten gute Unterstützung bei der Feststellung, ob die zu verteilende Software unter
Windows 2000 ordnungsgemäß ausgeführt wird.
7.3.1 Packung von Software für die Bereitstellung

Wie zuvor angesprochen, ist der erste Schritt bei der Softwarebereitstellung mittels Grup-
penrichtlinien die Packung der Software in einem Format, das Windows Installer zur
Automatisierung des Bereitstellungsvorgangs verwenden kann. Wenn es sich bei der zu
verteilenden Software um eine neuere Anwendung handelt, die für den Betrieb unter
Windows 2000 zertifiziert ist (z.B. Microsoft Office 2000), haben Sie vielleicht nicht
allzu viel zu tun. Neuere Anwendungen werden höchstwahrscheinlich in einem Format
ausgeliefert, das vom Windows Installer genutzt werden kann. Wenn Ihre Anwendung
allerdings älteren Datums ist (z.B. Microsoft Office 97), müssen Sie möglicherweise
zusätzliche Arbeiten erledigen, um sicherzustellen, dass die automatische Installation
planmäßig verläuft. Möglicherweise müssen Sie die Anwendung in ein Format umpa-
cken, das mit Windows Installer kompatibel ist, oder eine Textdatei (d.h. eine ZAP-Datei)
erstellen, um Windows Installer mitzuteilen, wie die Anwendung zu installieren ist.
HINWEIS
Windows Installer unter NT 4. 0
Windows Installer wird auch unter NT 4.0 installiert, wenn Sie Microsoft Office
2000 oder eine andere Anwendung installieren, die davon Gebrauch macht. Er
kann von einem Entwickler in das Setup-Programm einer Anwendung aufgenom-
men werden und wird beim Start des Setup-Programms installiert, wenn es nicht
gefunden wurde. Die bloße Installation des Windows-Installer-Dienstes unter
Windows NT 4.0 bedeutet nicht, dass Sie Software auf Windows-NT-4.0-Desk-
tops verteilen können. Dies ist nicht möglich. Windows NT 4.0 unterstützt nicht
die Gruppenrichtlinien von Windows 2000 und kann folglich die Softwarebereit-
stellungsfeatures der Gruppenrichtlinien nicht verwenden. Auf dem Zieldesktop
ist sowohl die Unterstützung der Gruppenrichtlinien als auch die Unterstützung
des Windows-Installer-Dienstes erforderlich, damit Gruppenrichtlinien zur auto-
matischen Softwarebereitstellung eingesetzt werden können.
Windows-Installer-Technologie
Windows Installer wurde mit Microsoft Office 2000 zum ersten Mal in großem
Maßstab eingeführt und stellt die Technologie dar, die es ermöglicht, Software mit-
tels Gruppenrichtlinien zu installieren und zu managen. Er besteht aus zwei Haupt-
komponenten:
씰 Windows-Installer-Dienst
씰 Windows-Installer-Paket
Der Windows-Installer-Dienst ist ein Dienst, der auf allen Windows-2000-Compu-

tern installiert und ausgeführt wird. Dieser Dienst erleichtert die automatische
Installation und Bereitstellung von Software. Außerdem bietet er die Möglichkeit,
vorhandene Anwendungen automatisch zu reparieren oder zu ändern, wenn Dateien
überschrieben oder gelöscht werden. Auf diese Weise wird sichergestellt, dass die
Software ordnungsgemäß installiert wird und funktionsfähig bleibt. Sie können den
Windows-Installer-Dienst verwenden, um eine Anwendung direkt von einer CD-
ROM bzw. einem anderen Verteilungsmedium oder über Gruppenrichtlinien zu
installieren.
Das Windows-Installer-Paket enthält alle Informationen, die der Windows-Installer-

Dienst benötigt, um eine Anwendung zu installieren oder zu entfernen. Dazu gehö-
ren die von der Software benötigten Dateien ebenso wie notwendige Änderungen an
der Registrierung und der INI-Datei. Außerdem enthält das Paket alle zusätzlich
benötigten Unterstützungsdateien, zusammenfassende Informationen über das Paket
und die Anwendung, die dem Benutzer angezeigt werden können, sowie einen Ver-
weis auf den Speicherort der Produktdateien (d.h., von woher die Software zu
installieren ist). Der Großteil dieser Informationen ist in einer einzigen Datei mit der
Erweiterung .MSI enthalten, der Paketdatei selbst. Wie zuvor erwähnt, kann das
vollständig zu installierende Paket auch weitere Unterstützungsdateien enthalten
(beispielsweise enthält MS Office 2000 eine MSI-Datei, aber auch viele Dateien in
Ordnern, die von Windows Installer auf die Festplatte kopiert werden).
Windows Installer bietet dem Administrator wie dem Endbenutzer die folgenden
drei wesentlichen Vorteile gegenüber bisherigen Verfahren:
씰 Widerstandsfähige Software. Falls eine für eine Anwendung unerlässliche

Datei versehentlich gelöscht oder auf irgendeine Weise (z.B. durch einen Vi-
rus im System) verändert wird, stellt der Windows-Installer-Dienst eine Ver-
bindung mit der Softwareverteilungsfreigabe her und ersetzt die Datei durch
eine einwandfreie Kopie. Damit wird sichergestellt, dass Softwareanwendun-
gen dem Endbenutzer immer zur Verfügung stehen und tatsächlich selbstre-
parierend sind.
씰 Sauberes Entfernen. Eines der vielen Probleme mit Windows-Software älte-

ren Datums ist es, dass beim Löschen eines Teils der Software u.U. eine Datei
entfernt wird, die ein anderer Teil noch benötigt. Wahrscheinlich haben Sie
beim Deinstallieren eines Pakets schon die Abfrage gesehen, ob bestimmte
gemeinsame Dateien entfernt werden sollen. Sie können nicht wissen, ob Sie
Ja oder Nein sagen sollen. Fällt ein anderes Programm aus, wenn Sie Ja sa-
gen? Bleibt eine Reihe von verwaisten Dateien auf Ihrer Festplatte zurück,
wenn Sie Nein sagen? Windows Installer führt auf jedem Windows-2000-
Computer einen Dienst aus und führt Buch darüber, welche Dateien von wel-
chen Anwendungen benötigt werden. Damit wird sichergestellt, dass keine
notwendige gemeinsame Datei entfernt und alle nicht mehr benötigten Datei-
en gelöscht werden. Dies betrifft alle Anwendungen, die mit Windows Instal-
ler installiert wurden.
씰 Erhöhte Sicherheit. Häufig setzen Softwareanwendungen voraus, dass der

Benutzer, der die Installation durchführt, auf dem Computer, auf dem die An-
wendung installiert werden soll, administrative Berechtigungen besitzt. Als
Administrator möchten Sie Ihren Benutzern keine administrativen Rechte auf
deren Computer einräumen und sie zur Ausführung von Operationen ermäch-
tigen, die den Computer u.U. lahm legen. Vor Windows Installer war die au-
tomatische Installation solcher Pakete eine Herausforderung. Da Windows
Installer einen Dienst standardmäßig unter dem Konto LocalSystem ausführt,
besitzt er bereits höhere Privilegien auf dem System. Anwendungen, die Än-
derungen an der Computerkomponente von Windows 2000 erfordern, können
dies während des Installationsvorgangs tun, ohne dass dem Benutzer admi-
nistrative Privilegien gewährt werden müssen. Auf diese Weise können An-
wendungen verteilt werden, die Änderungen an wichtigen Betriebssystemein-
stellungen vornehmen (z.B. Registrierung von DLLs und COM-Objekten
oder Änderung der Registrierungsstruktur HKEY_LOCAL_MACHINE), ohne dem
Endbenutzer die gleichen Privilegien einzuräumen.
Windows Installer ist eine Komponente, die dem Administrator viele Vorteile bei
der Automatisierung der Softwarebereitstellung verschaffen kann. Der Windows-
Installer-Dienst ist für die automatische Installation, Aktualisierung und Entfernung
von Software mittels Gruppenrichtlinien erforderlich. Windows-Installer-Paketda-
teien sind die bevorzugte Methode zur Vorbereitung von Software für die automati-
sche Bereitstellung.
Was geschieht aber, wenn für die zu verteilende Software kein Paket verfügbar ist? In
Windows 2000 können Sie auch dann Software für die Bereitstellung konfigurieren,
wenn keine fertige Windows-Installer-Paketdatei vorhanden ist. Dazu gibt es zwei
Möglichkeiten: Sie können eine ZAP-Datei erzeugen, um dem Windows Installer
mitzuteilen, wie die Anwendung installiert werden soll, oder Sie können mit Hilfe
eines Werkzeugs von einem Dritthersteller ein Windows-Installer-Paket erstellen.

Wir wollen beide Methoden untersuchen und fangen mit der ZAP-Datei an.
Erstellung einer ZAP-Datei zur Bereitstellung von Software mittels

Gruppenrichtlinien
In manchen Fällen ist es notwendig, Software an Windows-2000-Computer zu ver-
teilen, die schon etwas betagt sind. Solche Computer wurden u.U. hausintern entwi-
ckelt oder halten schlicht die Windows-Installer-Konventionen nicht ein, die Micro-
soft festgelegt hat. Da die Anzahl aller Anwendungen bei weitem die Anzahl
derjenigen übersteigt, die tatsächlich das Windows-Installer-Paketformat verwen-
den, hat Microsoft eine Möglichkeit geschaffen, auch solche Softwarepakete zu ver-
teilen: das ZAP-Dateiformat.
Die ZAP-Datei ist eine normale Textdatei, die mit jedem Texteditor erstellt werden
kann (der Editor reicht aus) und eine Reihe von Angaben über die zu installierende
Software enthält. Die ZAP-Datei kann den Anwendungsnamen, den Namen des
Setup-Programms, beliebige Parameter für Setup sowie ggf. Dateierweiterungen,
die der Anwendung zugeordnet sind, und die Website-Adresse für technischen Sup-
port enthalten. Nicht alle diese Informationen müssen in der ZAP-Datei enthalten
sein, nur der Anwendungsname (FriendlyName) und der Dateiname der ausführba-
ren Setup-Datei (SetupCommand). Die Beispiel-ZAP-Datei im folgenden Code-
block zeigt einen einfachen Satz von Tags, die benutzt werden können.
[Application]
FriendlyName = Microsoft Office 97
SetupCommand = setup.exe /unattend
DisplayVersion = 8.0
Publisher = Microsoft Corporation
URL = http://www.microsoft.com/office
[Ext]
DOC=
DOT=
XLS=
RPT=
RTF=
ZAP-Dateiabschnitte
Die ZAP-Datei besteht aus zwei Abschnitten, wie im vorangegangenen Codeblock
gezeigt: dem Abschnitt Application und dem Abschnitt Ext (Extensions). Der
Abschnitt Application enthält Informationen über das Softwarepaket und dessen
Installation. Der Abschnitt Ext legt fest, welche Dateierweiterungen in Active
Directory mit der Anwendung verknüpft werden sollen.
Im Abschnitt Application kann eine Reihe von Tags verwendet werden. Diese sind
in Tabelle 7.1 beschrieben.
Tag Beschreibung Obligatorisch/

Optional
FriendlyName Dies ist der Name, der dem Endbenutzer und Erforderlich
dem Administrator nach Installation der Anwen-
dung angezeigt wird. Er wird auch in Software
in der Systemsteuerung angezeigt, wenn die
Anwendung veröffentlicht wird oder wenn der
Benutzer sie entfernen möchte. Dies ist ein
Name, der die Anwendung beschreibt. Er sollte
nicht der Name einer ausführbaren Datei sein.
Anders ausgedrückt, verwenden Sie als Friend-
lyName so etwas wie Microsoft Word97 statt
WINWORD.EXE. Der Name sollte benutzer-
freundlich sein.
SetupCommand Dies ist der Name des ausführbaren Programms Erforderlich
für die Installation der Anwendung. Dies kann
eine EXE-, BAT- oder CMD-Datei sein, solange
sie die zur Installation der Anwendung nötigen
Schritte ausführt. Der Dateiname sollte relativ
zum physischen Speicherort der ZAP-Datei
angegeben werden, die ihn enthält. Anders
ausgedrückt, wenn sich die ZAP-Datei und
SetupCommand im selben Ordner befinden, darf
dem Dateinamen nicht der Ordnername voran-
gestellt werden. Falls sich das Programm in
einem anderen Ordner befindet als die ZAP-
Datei, können Sie einen relativen Pfadnamen
vom Speicherort der ZAP-Datei aus als Setup-
Command verwenden. Angenommen, die ZAP-
Datei und SETUP.EXE befinden sich beide in
einem Ordner namens Office97 auf der Netz-
werkverteilungs-Freigabe. Sie müssen lediglich
das Tag angeben als SetupCommand=setup.exe /
unattend, ohne vorangestellten Pfadnamen.
Wenn andererseits die ZAP-Datei im Software-
verteilungs-Freigabeordner liegt und das Setup-
Programm in einem Unterordner namens
Office97, dann sollte das Tag den Pfadnamen
enthalten wie in SetupCom-
mand=Office97\setup.exe /unattend.
Tabelle 7.1: Tags im Abschnitt Application

Tag Beschreibung Obligatorisch/

Optional
DisplayVersion Dies ist die Versionsnummer der Anwendung. Optional

Diese Nummer wird in Software und im Bereich
Softwareinstallation der Gruppenrichtlinien
angezeigt. Sie dient zur Identifikation der
verschiedenen Versionen einer Anwendung, die
ggf. ähnliche Namen aufweisen. Beispielsweise
hat Office97 die Version 8.0; Office2000 hat die
Version 9.0.
Publisher Dies ist der Name der Firma oder der Person, die Optional
die Softwareanwendung publiziert. Der Heraus-
geber der Anwendung wird auch in Software
und im Bereich Softwareinstallation der Grup-
penrichtlinien angezeigt.
URL Dies ist der URL mit zusätzlichen Informationen Optional
über die Anwendung und/oder Details zum tech-
nischen Support. Der URL wird auch in Soft-
ware und im Bereich Softwareinstallation der
Gruppenrichtlinien angezeigt.
Tabelle 7.1: Tags im Abschnitt Application
Eine ZAP-Datei muss lediglich den Abschnitt Application und die Tags Friendly-
Name und SetupCommand enthalten. Alle anderen Bestandteile einschließlich des
Abschnitts Ext können jedoch sehr nützlich sein.
Der Abschnitt Ext (für Extensions) der ZAP-Datei wird verwendet, um die Anwen-
dung mit einer Dateierweiterung in Windows 2000 Active Directory zu verknüpfen.
Windows 2000 verwendet den Abschnitt Ext, um festzustellen, welche Anwendung
installiert werden soll, wenn ein Benutzer eine Betriebssystemdatei öffnet bzw.
darauf doppelklickt. Falls die Erweiterung der Datei nicht in einer Liste von
Anwendungen auf dem Computer vorkommt, mit denen diese Datei geöffnet wer-
den kann, dann wird das Setup-Programm für die Anwendung gestartet, die mit der
betreffenden Erweiterung verknüpft ist, und die Anwendung wird installiert, sodass
der Benutzer die Datei ansehen kann.
Angenommen, Sie verwenden Windows Explorer, um eine CD-ROM von Micro-

soft nach Dateien zu durchsuchen. In einem Ordner auf der CD-ROM finden Sie die
Datei »ZAP Dateibeschreibung.RTF« und möchten deren Inhalt anzeigen. Sie dop-
pelklicken auf die Datei, und das Setup-Programm von Word97 wird gestartet.
Nach Abschluss der Installation von Word 97 wird das RTF-Dokument angezeigt.
Die Tatsache, dass die Erweiterung .RTF im Abschnitt Ext der ZAP-Datei enthalten
war, ermöglichte die Veröffentlichung in Active Directory und den automatischen

Start des Setup-Programms von Word 97, was wiederum die Anzeige des Dateiin-
halts ermöglichte.
Um einen Abschnitt Ext in die ZAP-Datei einzufügen, geben Sie einfach auf einer
eigenen Zeile die Überschrift Ext ein. Geben Sie auf den nachfolgenden Zeilen die
Erweiterungen an, die mit der Anwendung verknüpft werden sollen, ohne führenden
Punkt. Ein Beispiel finden Sie im folgenden Codeblock.
[Application]
FriendlyName = Microsoft Office 97
SetupCommand = setup.exe /unattend
DisplayVersion = 8.0
Publisher = Microsoft Corporation
URL = http://www.microsoft.com/office
[Ext]
DOC=
DOT=
XLS=
RPT=
RTF=
Grenzen der ZAP-Datei

ZAP-Dateien weisen Beschränkungen auf und sind nicht gleichwertig mit Win-
dows-Installer-Paketen. Es sollte hervorgehoben werden, dass die bevorzugte
Methode zur Installation von Software die Erstellung eines Windows-Installer-
Pakets mit dem Werkzeug eines Drittanbieters ist. Bei Paketen sind sämtliche Opti-
onen verfügbar. Anwendungen, die mit ZAP-Dateien verteilt werden, unterliegen
folgenden Einschränkungen:
씰 ZAP-Dateien können nur veröffentlicht, aber Benutzern nicht zugewie-

sen werden. Wie Sie weiter hinten in diesem Kapitel sehen werden, gibt es
zwei Möglichkeiten zur Bereitstellung von Anwendungen mittels Gruppen-
richtlinien: Zuweisung an einen Benutzer bzw. Computer oder Veröffentli-
chung. Die Zuweisung ist eine obligatorische Installation eines Softwarepa-
kets, wogegen die Veröffentlichung freiwillig ist (d.h. der Benutzer kann
letztlich auf die Installation der Anwendung verzichten). Dadurch, dass An-
wendungen mit einer ZAP-Datei nur veröffentlicht werden können, kann der
Administrator nicht völlig sicherstellen, dass alle Benutzer die benötigte Soft-
ware auf ihrem Computer haben.
씰 ZAP-Dateien sind nicht selbst reparierend. Bei Anwendungen, die mittels

Windows-Installer-Paket installiert werden, wird eine wichtige Anwendungs-
datei automatisch durch eine bekanntermaßen korrekte Kopie ersetzt, wenn
sie gelöscht oder beschädigt wurde. Diese Möglichkeit ist bei ZAP-Dateien
nicht gegeben; Windows Installer kennt eine Datei der Anwendung: das Se-
tup-Programm. Windows Installer verfolgt nicht, was vom Setup-Programm
der Anwendung installiert wurde, und kann folglich nicht feststellen, ob die
Anwendung beschädigt ist.
씰 ZAP-Dateien benötigen normalerweise Benutzereingriffe zur Installation.

Die ZAP-Datei startet einfach das Installationsprogramm für die Anwendung.
Der Benutzer muss Informationen eingeben, um die Installation abzuschlie-
ßen, es sei denn, das Softwarepaket unterstützt einen völlig unbeaufsichtigten
Modus und dieser wurde ordnungsgemäß konfiguriert. Dies mag in Umgebun-
gen ausreichen, in denen Benutzer über gewisse technische Kenntnisse verfü-
gen, aber es kann bei Benutzern mit begrenzten Computerkenntnissen schwie-
rig sein und zusätzliche Supportlasten nach sich ziehen.
씰 ZAP-Dateien können nicht mit erhöhten Privilegien installiert werden.

Wie bereits erwähnt, ermöglicht Windows Installer die Bereitstellung von
Anwendungen auch für solche Benutzer, die nicht unbedingt alle Privilegien
zur Installation von Software auf ihrem Computer besitzen. Dies ist möglich,
weil der Prozess während der Installation von Windows-Installer-Paketen in-
nerhalb des Kontexts von Windows Installer ausgeführt wird. Windows In-
staller führt die Installation aus, nicht der Benutzer. Da Windows Installer ein
Dienst ist, der normalerweise administrative Privilegien auf dem Computer
besitzt, kann jede beliebige Software installiert werden, darunter auch solche,
die während der Installation administrative Rechte benötigt. Bei ZAP-Datei-
en wird das Programm zur Installation einer bestimmten Software vom Be-
nutzer gestartet und im Sicherheitskontext des Benutzers ausgeführt. Falls der
Benutzer nicht über genügend Rechte zur Installation des Programms verfügt,
schlägt die Installation fehl, und die Anwendung wird nicht installiert. Dies
kann u.U. mehr Supportfälle verursachen und ist möglicherweise nicht das
gewünschte Ergebnis.
Nach alledem werden Sie sich wahrscheinlich fragen, wann Sie eine ZAP-Datei ein-
setzen würden. Die Antwort ist höchstwahrscheinlich: »Kaum jemals.« ZAP-
Dateien bieten eine völlig annehmbare Möglichkeit zur Veröffentlichung von Soft-
ware, die auf einem Computer nicht unbedingt installiert sein muss. Sie stellen eine
Methode zur Bereitstellung optionaler Software wie etwa Dienstprogramme in
einem Unternehmen dar. Zu den Beispielen für Anwendungen, die sicher mittels
ZAP-Dateien verteilt werden können, gehören u.a. WinZip32, Dateidekomprimie-
rer oder Adobe Acrobat Reader. Solche Anwendungen sind nützlich, aber auf dem
Computer eines Benutzers nicht unbedingt erforderlich; der Benutzer hat die Wahl,
ob er das Produkt installieren möchte.
ZAP-Dateien sollten nicht verwendet werden, um eine wichtige Gruppe von

Geschäftsanwendungen oder Software zu verteilen, die alle Benutzer benötigen und
die bei allen Benutzern zu jeder Zeit auf einem konsistenten Stand gehalten werden
muss. Wenn eine Anwendung, die verteilt werden soll, in eine dieser Kategorien
passt, aber kein Windows-Installer-Paket besitzt, können Sie mit Hilfe eines Drit-
tanbieter-Werkzeugs ein Windows-Installer-Paket für die Anwendung erstellen.
Erstellung eines Windows-Installer-Pakets mit Drittanbieter-Werkzeugen

In manchen Fällen kann es erforderlich sein, eine Anwendung umzupacken, damit
sie mit Windows Installer verteilt werden kann. Wie zuvor gezeigt ist es oft besser,
ein Windows-Installer-Paket zur Bereitstellung einer Anwendung zu erstellen als
für dieselbe Aufgabe eine ZAP-Datei einzusetzen. Pakete bieten ein gutes Stück
mehr Flexibilität bei der Bereitstellung und sind außerdem selbst reparierend, ein
Feature, das Sie noch für die fast beste Erfindung seit dem Schnittbrot halten wer-
den.
Das Umpacken einer Anwendung und die Erstellung eines Windows-Installer-

Pakets zur Bereitstellung eines Softwareprodukts erfordert sieben Schritte und,
wenn möglich, zwei Computer. Es wird mit WinINSTALL LE durchgeführt, das mit
Windows 2000 ausgeliefert wird, oder mit einem anderen Programm von einem
Drittanbieter, das die Erstellung von Paketen unterstützt, u.a. etwa InstallShield. Für
den Rest dieses Abschnitts setzen wir die Verwendung von WinINSTALL LE
voraus.
HINWEIS
Speicherort von WinINSTALL LE
Microsoft stellt auf der Installations-CD-ROM für Windows 2000 eine Anwendung
WinINSTALL LE von einem Drittanbieter namens Veritas zur Verfügung, mit der
eine Anwendung umgepackt werden kann. Das Programm befindet sich bei jeder
Windows-2000-Version (Professional, Server und Advanced Server) im Ordner
VALUEADD\3RDPARTY\MGMT\WINSTLE und ist selbst eine Microsoft-Windows-Instal-
ler-Paketdatei.
Zu den Schritten des Umpackens einer Anwendung gehören die Vorbereitung eines
Referenzcomputers, die Vorbereitung eines Netzwerkinstallations-Freigabeord-
ners, die Installation von Veritas WinINSTALL LE sowie die Aufzeichnung eines
Vorher-Bilds der Systemkonfiguration. Mehrere Schritt-für-Schritt-Tutorien führen
Sie durch den Umpackprozess für eine Anwendung.
Bereiten Sie einen Windows-2000-Computer als Referenzcomputer vor. Um eine

Anwendung umzupacken, damit sie mittels Gruppenrichtlinien verteilt werden
kann, müssen Sie diese im Rahmen des Umpackvorgangs auf einem Computer
installieren. Normalerweise verwenden Sie dazu einen Computer mit Windows
2000 Professional, aber Windows 2000 Server oder irgendeine Variante davon
sollte auch funktionieren. Verwenden Sie die Version des Betriebssystems, die von
den Clients benutzt wird, die das verteilte Paket erhalten sollen.
Der erste Schritt bei der Installation der umzupackenden Anwendung ist die Vorbe-
reitung eines Computers, auf dem installiert werden soll. Auf dem Referenzcompu-
ter sollte lediglich Windows 2000 und keine andere Software installiert sein.
Andere Software auf dem Computer kann dazu führen, dass Teile der umzupacken-
den Anwendung nicht installiert werden (etwa, wenn die Dateien auf der Festplatte
bereits vorhanden sind), was dazu führen kann, dass WinINSTALL LE während des
Umpackvorgangs fehlerhafte Informationen erhält.
Bereiten Sie einen Netzwerkinstallations-Freigabeordner vor, in dem die Windows-

Installer-Pakete und ihre Unterstützungsdateien gespeichert werden. Benutzer wer-
den sich mit diesem gemeinsamen Ordner verbinden, um die Anwendung zu instal-
lieren. Der Name des gemeinsamen Ordners wird auch im Abschnitt Softwareinstal-
lation der Gruppenrichtlinien angegeben, damit Windows Installer ihn findet, wenn
Gruppenrichtlinien die Anwendung einem Benutzer bzw. Computer zuweisen oder
sie veröffentlichen.
Der nächste Schritt ist die Installation von Veritas WinINSTALL LE auf einem zwei-
ten Windows-2000-Computer. Sie sollten WinINSTALL LE nicht auf dem Referenz-
computer installieren, weil dadurch die saubere Umgebung, die Sie konfiguriert
haben, beeinträchtigt werden könnte. Installieren Sie WinINSTALL LE immer auf
einem zweiten Computer.
Folgen Sie zur Installation von WinINSTALL LE auf dem zweiten Computer der
Schritt-für-Schritt-Anleitung 7.1.
Abbildung 7.1
Der erste Bild-

schirm von
WinINSTALL LE

7.1 Installation und Konfiguration von WinINSTALL LE
1. Legen Sie die Windows-2000-CD-ROM in das Laufwerk ein und klicken Sie
auf DIESE CD DURCHSUCHEN, wenn der Windows-2000-Eröffnungsbild-
schirm angezeigt wird.
2. Doppelklicken Sie auf die nacheinander angezeigten Ordner, angefangen bei
VALUEADD, dann 3RDPARTY, MGMT und WINSTLE.
3. Klicken Sie im Ordner WINSTLE mit der rechten Maustaste auf die Datei
SWIADMLE, und wählen Sie INSTALLIEREN, oder doppelklicken Sie auf die
Datei. Damit wird die Installation von WinINSTALL LE gestartet und ein
Bildschirm ähnlich Abbildung 7.1 angezeigt.
4. WinINSTALL LE installiert sich in zwei Ordner auf dem Datenträger, auf dem
Windows 2000 installiert wurde. Diese Ordner WINSTALL und WINCONSOLE
befinden sich im Stammverzeichnis unter PROGRAMME\VERITAS SOFTWARE.
Sie müssen den Ordner WINSTALL freigeben, indem Sie in Windows Explorer
mit der rechten Maustaste darauf klicken und FREIGEBEN wählen. Klicken Sie
auf DIESEN ORDNER FREIGEBEN und legen Sie die konfigurierten Berechti-
gungen und den Freigabenamen nach den Erfordernissen Ihres Unternehmens
fest. Im Beispiel wird die Freigabe WINSTALL genannt.
5. Sie haben WinINSTALL LE erfolgreich installiert und für das Umpacken
einer Anwendung vorbereitet.
Nach Installation von WinINSTALL LE und Freigabe des Ordners WINSTALL kön-
nen Sie den ersten wichtigen Schritt beim Umpacken einer Anwendung angehen.
Sie sind bereit, das Vorher-Bild des Referenzcomputers aufzunehmen.
Dazu muss das Programm WinINSTALL Discover eingesetzt werden, um einen

Schnappschuss der Systemkonfiguration Ihres Referenzcomputers aufzunehmen,
bevor die Software installiert wird. Führen Sie hierzu die Schritte in Schritt für
Schritt 7.2 aus.

7.2 Aufnahme eines Vorher-Bildes vom Referenzcomputer
1. Stellen Sie eine Verbindung her vom Referenzcomputer zur Freigabe WIN-
STALL auf dem Computer, auf dem WinINSTALL LE installiert ist. Führen Sie
DISCOZ.EXE aus, um WinINSTALL Discover zu starten. Es wird ein Dialog-
feld ähnlich Abbildung 7.2 angezeigt.
Abbildung 7.2
Das Startdialogfeld
von WinINSTALL
Discover
Abbildung 7.3
Der Paketdefiniti-
onsschirm von
WinINSTALL
Discover
2. Klicken Sie auf WEITER, um die Erstellung des Schnappschusses fortzuset-

zen. Es wird ein Dialogfeld angezeigt, in dem Sie aufgefordert werden, den
Namen des zu erstellenden Pakets, den Speicherort und Namen der zu erstel-
lenden Datei sowie die Sprache einzugeben, in welcher die Meldungen für
den Benutzer angezeigt werden sollen, wie in Abbildung 7.3 gezeigt. Geben
Sie im Feld NAME den Namen der Anwendung ein, die umgepackt werden
soll. Geben Sie im Feld PFAD- UND DATEINAME den Namen der zu erstellen-
den Datei ein. Die zu erstellende Windows-Installer-Datei (d.h. MSI) sollte
auf einem Netzlaufwerk in dem zuvor erstellten gemeinsamen Installations-
ordner liegen. An dieser Stelle können Sie einen anderen Ordner angeben, in
dem die MSI-Datei gespeichert werden soll, und diese später in den endgülti-
gen Zielort verschieben.
Abbildung 7.4
Der WinINSTALL-
Bildschirm zur Aus-
wahl des temporä-
ren Laufwerks
Abbildung 7.5
Der Bildschirm zur

Laufwerkauswahl in
WinINSTALL
Discover
Dies ist sinnvoll, damit Sie testen können, ob die MSI-Datei funktioniert, be-
vor sie anderen zugänglich gemacht wird. Klicken Sie auf WEITER, um fort-
zufahren.
3. Wählen Sie im folgenden Bildschirm (Abbildung 7.4) das Laufwerk, auf dem
der Discover Wizard seine temporären Dateien speichern kann. Dies sollte
ein anderes Laufwerk sein als das für die Installation der Software vorgese-
hene. Klicken Sie auf WEITER, um fortzufahren.
4. Abbildung 7.5 zeigt den nächsten Bildschirm. Wählen Sie die Laufwerke, die
in das Vorher-Bild aufgenommen werden sollen. Die Liste der gewählten
Laufwerke sollte das Laufwerk umfassen, auf dem Windows 2000 installiert
ist, sowie das Laufwerk, auf dem die Software installiert werden soll.
Es müssen beide Laufwerke aufgenommen werden, weil manche Anwendun-

gen (außer auf dem für die Installation vorgesehenen Laufwerk) auch Dateien
auf dem Windows-2000-Systemlaufwerk installieren. Klicken Sie danach auf
WEITER.
5. Auf dem folgenden Bildschirm (Abbildung 7.6) können Sie wählen, welche
Dateien vom Vorher-Bild ausgeschlossen werden sollen. Die voreingestellte
Liste enthält die Windows-2000-Auslagerungsdatei, Indexserver-Katalogda-
teien und die meisten temporären Dateien. Wenn Sie andere Dateien kennen,
die in die Liste aufgenommen werden sollen, geben Sie diese hier an und kli-
cken Sie dann auf WEITER; wenn Sie im Zweifel sind, fügen Sie keine zusätz-
lichen Dateien hinzu.
Abbildung 7.6
Der Bildschirm zum

Ausschluss von
Dateien in WinINS-
TALL Discover
Wizard
Abbildung 7.7
Das Dialogfeld zur

Anzeige des Such-
fortschritts in
WinINSTALL Disco-
ver Wizard
6. Der WinINSTALL LE Discover Wizard beginnt, die angegebenen Festplatten

abzusuchen und erstellt das Vorher-Bild. Abbildung 7.7 zeigt das Dialogfeld,
das während der Suche angezeigt wird.
Abbildung 7.8
Das Dialogfeld zum

Abschluss des Vor-
her-Schnapp-
schusses in WinIN-
STALL Discover
Wizard
7. Nachdem der Vorher-Schnappschuss erstellt wurde, wie in Abbildung 7.8

gezeigt, fragt der Discover Wizard nach dem Namen und Speicherort des
Setup-Programms für die zu installierende Anwendung und startet dieses.
Nachdem Sie nun das Vorher-Bild des Referenzcomputers aufgenommen haben

und das Setup-Programm für die umzupackende Anwendung gestartet wurde, gehen
Sie einfach durch die normale Anwendungskonfiguration, als ob Sie auf einem
beliebigen Computer installieren würden. Sie sollten Einstellungen wählen, die für
alle Benutzer sinnvoll sind, bei denen dieses Paket installiert werden soll. Falls dazu
zusätzliche Desktop-Symbole als Verknüpfungen erstellt werden müssen, tun Sie
auch dies. Wenn das Installationsprogramm einen Neustart verlangt, führen Sie die-
sen durch. Mit anderen Worten, führen Sie denselben Vorgang aus wie bei der Ein-
richtung der Anwendung.
Nachdem die Anwendung konfiguriert ist, müssen Sie ein Nachher-Bild des Refe-
renzcomputers aufnehmen. Dieses wird auf Unterschiede durchsucht, und der Dis-
cover Wizard ermittelt den notwendigen Inhalt des Pakets. Verbinden Sie den Refe-
renzcomputer mit der Freigabe WINSTALL und starten Sie den Discover Wizard
erneut, um die Erstellung des Nachher-Bildes zu beginnen. Schritt für Schritt 7.3
führt Sie durch den Prozess.
Abbildung 7.9
Das Dialogfeld zur

Auswahl des Nach-
her-Bildes in Win-
INSTALL Discover
Wizard
Abbildung 7.10
Das Dialogfeld zur

Fortschrittsanzeige
für das Nachher-
Bild in WinINSTALL
Discover Wizard
Abbildung 7.11
Das Dialogfeld zur

Anzeige von Warn-
und Fehlermeldun-
gen für das Nach-
her-Bild in WinINS-
TALL Discover
Wizard
Abbildung 7.12
Das Dialogfeld zum

Abschluss des
Nachher-Schnapp-
schusses in WinIN-
STALL Discover
Wizard

7.3 Aufnahme eines Nachher-Bildes vom Referenzcomputer
1. Verbinden Sie den Referenzcomputer mit der Freigabe WINSTALL des Com-
puters, auf dem WinINSTALL LE installiert wurde. Führen Sie Discoz.exe
aus, um WinINSTALL zu starten. Es wird ein Dialogfeld ähnlich Abbildung
7.9 angezeigt.
2. An dieser Stelle müssen Sie entscheiden, ob das Nachher-Bild erstellt oder
das alte Vorher-Bild für die umzupackende Anwendung gelöscht werden soll.
Der Name der Anwendung, den Sie zuvor angegeben haben, wird auch zur
Unterstützung angezeigt (z.B. Adobe Acrobat 4.0 für den Adobe Acrobat 4.0
Reader, der in der Abbildung umgepackt wird). Aktivieren Sie PERFORM THE
´AFTER` SNAPSHOT NOW, und klicken Sie auf WEITER, um fortzufahren.
3. Der WinINSTALL LE Discover Wizard beginnt, die Festplatte und die Regist-
rierung zu durchsuchen, um festzustellen, welche Änderungen während der
Anwendungsinstallation stattgefunden haben. Während dieses Suchvorgangs
wird ein Statusbildschirm angezeigt wie in Abbildung 7.10. Am Ende werden
ggf. Fehler- und Warnmeldungen angezeigt, wie in Abbildung 7.11 zu sehen
ist. Notieren Sie die Warn- und Fehlermeldungen und klicken Sie auf OK, um
fortzufahren.
4. Der Nachher-Schnappschuss ist nun vollständig, wie das nächste Dialogfeld
zeigt (Abbildung 7.12). Außerdem wird angezeigt, wo die Paketdatei erstellt
wurde. Klicken Sie auf OK, um die Erstellung des Nachher-Bildes abzu-
schließen und den Discover Wizard zu beenden.
Sie haben nun erfolgreich eine Anwendung umgepackt. An dieser Stelle sollten Sie
die Paketdatei in die vorher erstellte Softwareverteilungsfreigabe kopieren, um sie
für die Installation verfügbar zu machen.
Beachten Sie beim Kopieren der Pakete in den Softwareverteilungspunkt Folgen-

des:
씰 Erstellen Sie für jedes Paket einen eigenen Ordner in der Softwarevertei-
lungsfreigabe. Mit anderen Worten, legen Sie jedes Paket mit allen zugehöri-
gen Dateien in einen eigenen Ordner in der Softwareverteilungsfreigabe. Dies
erleichtert die Wartung der Pakete und verringert potenzielle Probleme bei
der Zuordnung von Dateien zu Paketen.
씰 Verbergen Sie die Softwareverteilungsfreigabe, damit Benutzer sie nicht se-

hen, wenn sie das Netzwerk oder Active Directory durchsuchen. Damit wird
gewährleistet, dass Software weiterhin verteilt werden kann, aber Benutzer
sie nicht einfach deshalb installieren, weil sie diese im Netzwerk gefunden
haben. Alle Dateien mit der Erweiterung .MSI können mit Windows Installer
installiert werden, sodass Sie durch Verbergen der Freigabe vor Benutzern
per Gruppenrichtlinien steuern können, welche Pakete von welchen Benut-
zern installiert werden.
씰 Verwenden Sie das verteilte Dateisystem DFS (Distributed File System), um

für alle Anwendungen einen einzigen lokalen Freigabepunkt bereitzustellen,
auch wenn die Dateien physisch auf einem anderen Computer liegen. Mit
DFS können Sie außerdem Replikate von freigegebenen Ordnern auf mehre-
ren Computern konfigurieren, wodurch sichergestellt wird, dass Software
auch dann installiert werden kann, wenn ein einzelner Computer ausfällt.
Wenn Sie weitere Änderungen am Paket vornehmen möchten, sollten Sie dies tun,
bevor es in die Softwareverteilungsfreigabe kopiert wird. Damit ist gewährleistet,
dass kein Benutzer die Anwendung installiert, bevor sie fertig ist. Wenn die Anwen-
dung ausschließlich über Gruppenrichtlinien installiert wird, können Sie solche
Änderungen auch später vornehmen.
Änderung einer Windows-Installer-Paketdatei mit Tools von Drittanbietern

Nach Erstellung eines Pakets für die Software, die Sie über Gruppenrichtlinien an
Benutzer und Computer verteilen möchten, ist es u.U. erforderlich, den Paketinhalt
zu ändern. Dazu kann ein Tool von einem Drittanbieter verwendet werden, wie etwa
WinINSTALL LE, das sich auf der Windows-2000-CD-ROM befindet. Das Ändern
eines Pakets kann u.a. bedeuten, dass Desktopverknüpfungen zum Start der Anwen-
dung hinzugefügt, Website-Adressen und Namen für technischen Support bereitge-
stellt oder entfernt werden. Es sind sehr viele Optionen verfügbar.
Um ein Paket zu ändern, starten Sie die Veritas Software Console für WinINSTALL
LE, öffnen Sie das Paket und führen Sie die nötigen Änderungen durch, wie in
Schritt für Schritt 7.4 beschrieben.
Abbildung 7.13
Der Hauptbild-
schirm von Veritas
Software Console
Abbildung 7.14
Der Bildschirm von

Veritas Software
Console mit der
Übersicht der
Eigenschaften

7.4 Ändern eines Anwendungspakets mit WinINSTALL LE Software
Console
1. Klicken Sie auf dem Computer, auf dem Sie WinINSTALL LE installiert
haben, auf START/PROGRAMME/VERITAS/SOFTWARE/VERITAS SOFTWARE
CONSOLE. Damit wird die Software Console gestartet, wie in Abbildung 7.13
gezeigt. Beachten Sie, dass die Software Console auch als Untertitel im Win-
dows-Installer-Paketeditor angezeigt wird.
2. Um das erstellte Paket zu öffnen, wählen Sie OPEN im Menü FILE und suchen
Sie im Dialogfeld BROWSE nach der MSI-Datei, die von Discover Wizard
erstellt wurde. Klicken Sie dann auf OPEN, um die MSI-Datei in den Editor
zu laden.
3. Abbildung 7.14 zeigt die Registerkarte SUMMARY im Fensterbereich
DETAILS nach dem Öffnen des Pakets. Offensichtlich werden beim Öffnen
eines Pakets drei Fensterbereiche in der Software Console belegt:
씰 Der Fensterbereich DETAILS auf der rechten Bildschirmseite zeigt detail-
lierte Informationen je nach Auswahl der Elemente in den beiden Fenster-
bereichen auf der linken Bildschirmseite.
씰 Der Fensterbereich mit der Liste der Paketkomponenten links oben zeigt
das Paket an. Wenn Sie das Paket selbst erweitern, werden alle Kompo-
nenten, aus denen es besteht, ebenfalls angezeigt, etwa die installierten
Dateien und deren GUIDs.
씰 Der Fensterbereich KOMPONENTENEIGENSCHAFTEN befindet sich in der

linken unteren Bildschirmecke. Hier wird der Fokus des Fensterbereichs
DETAILS festgelegt. Wenn Sie beispielsweise im Fensterbereich links
oben auf die GUID einer Komponente des Pakets klicken und links unten
REGISTRIERUNG wählen, werden im Fensterbereich DETAILS die für diese
Komponente durchgeführten Registrierungsänderungen angezeigt.
4. Um zusätzliche Informationen über die im Paket enthaltene Software anzu-
bieten, klicken Sie auf den Paketnamen im linken oberen Fensterbereich.
Markieren Sie GENERAL im linken unteren Fensterbereich. Es wird ein Bild-
schirm wie in Abbildung 7.15 angezeigt. Wenn Sie eine Kontaktadresse für
das Paket, den URL des Herstellers, Versionsinformationen, den Onlinesup-
port-URL oder andere Faktoren angeben möchten, können Sie das hier tun.
Ändern Sie den Bildschirm, der Benutzer bei Problemen mit dem Software-
paket unterstützt. Bestimmte Optionen auf diesem Bildschirm sind von spezi-
eller Bedeutung. Mit dem Feld VERSION können Gruppenrichtlinien bei der
Entscheidung helfen, ob eine Softwareanwendung aktualisiert werden soll.
Sie können diese Option auch verwenden, um festzulegen, welche Anwen-
dung über Gruppenrichtlinien durch eine neue Version ersetzt werden soll.
Die drei Optionsfelder am unteren Rand des Fensterbereichs DETAILS legen
fest, wie das Paket mittels Gruppenrichtlinien installiert werden kann. Die
Option INSTALL ONLY PER USER erlaubt keine Zuweisung eines Pakets an
einen Computer, sondern erfordert die Installation durch den Benutzer. Die
Option INSTALL ONLY PER MACHINE hat die gegenteilige Bedeutung. Die
Option ATTEMPT PER MACHINE, IF FAILS, PER USER versucht zunächst, eine
Anwendung einem Computer zuzuweisen. Falls dies nicht gelingt, weil die
Anwendung während der Installation die Konfigurierung bestimmter Benut-
zereinstellungen verlangt, muss die Anwendung durch den Benutzer instal-
liert werden. Weitere Diskussionen dieser Optionen folgen im nächsten
Abschnitt.
5. Wenn Sie eine Liste der in diesem Paket enthaltenen Dateien anzeigen möch-
ten, markieren Sie den Paketnamen im linken oberen und die Dateien im lin-
ken unteren Fensterbereich. Nun wird im Detailbereich die gesamte Liste der
Dateien für das Paket mit deren Installationsort angezeigt, wie in Abbildung
7.16 gezeigt. Beachten Sie die drei Register im Detailbereich. Die Register-
karte ADD zeigt an, welche Dateien vom Paket benötigt werden und hinzuge-
fügt werden müssen. ENTFERNEN ermöglicht die Angabe von Dateien, die
während der Installation entfernt werden sollen und in FONTS können Schrift-
arten festgelegt werden, die im System installiert werden sollen, falls noch
nicht vorhanden.
Abbildung 7.15
Die allgemeine
Paketinformation in
VERITAS SOFTWARE
CONSOLE
Abbildung 7.16
Die Paketdateiliste
in VERITAS SOFTWARE
CONSOLE
6. Um zu prüfen, welche Verknüpfungen hinzugefügt werden, oder um eine

Verknüpfung hinzuzufügen, klicken Sie im linken unteren Fensterbereich auf
SHORTCUTS. Der Detailbereich sieht aus wie in Abbildung 7.17. Detaillierte
Informationen über eine Verknüpfung erhalten Sie, indem Sie auf die fragli-
che Verknüpfung doppelklicken. Dann wird ein Dialogfeld ähnlich wie in
Abbildung 7.18 angezeigt. Um eine Verknüpfung hinzuzufügen, klicken Sie
auf das Symbol in der linken oberen Ecke der Verknüpfungsliste im Fenster-
bereich DETAILS.
Abbildung 7.17
Die Paketverknüp-
fungsinformatio-
nen in VERITAS
SOFTWARE CONSOLE
Abbildung 7.18
Das Dialogfeld zu
Anwendungsver-
knüpfungsdetails in
VERITAS SOFTWARE
CONSOLE
7. Wenn Sie weitere Änderungen durchführen möchten, erkunden Sie die in

Veritas Software Console für WinINSTALL LE verfügbaren Optionen. Hilfe
erhalten Sie im Menü HELP, wo die verschiedenen Optionen erläutert werden.
7.4 Softwarebereitstellung mittels Gruppenrichtlinien 537
8. Wenn Ihre Änderungen abgeschlossen sind, speichern Sie diese durch Kli-
cken auf das Festplattensymbol unterhalb des Menüs FILE. Sie können Ihre
Änderungen auch speichern, indem Sie Veritas Software Console beenden
und die Frage, ob Sie Ihre Änderungen speichern möchten, positiv beantwor-
ten.
Die Vorbereitung von Software für die Bereitstellung ist eine wichtige Aufgabe, die
unbedingt ausgeführt werden sollte, damit gewährleistet ist, dass Alles, was auf dem
Computer eines Benutzers installiert wird, in Aussehen und Verhalten Ihren Erwar-
tungen entspricht. Das Umpacken von Anwendungen in eine MSI-Datei mit zuge-
hörigen Dateien für die Installation mit Windows Installer ist die beste Möglichkeit,
zu gewährleisten, dass Software so funktioniert wie erforderlich. Durch Speichern
der vollständigen Pakete auf einem Windows-2000-Computer, Freigabe des Ord-
ners und Festlegung der erforderlichen Berechtigungen für den Ordner wird
gewährleistet, dass die Software mittels Gruppenrichtlinien verteilt werden kann
und Benutzern wie Computern zugänglich ist.
7.4 Softwarebereitstellung mittels

Gruppenrichtlinien
Softwaremanagement und -fehlersuche mittels Gruppenrichtlinien
씰 Softwarebereitstellung mittels Gruppenrichtlinien
Sie haben nun die zu verteilende Software umgepackt, Softwareverteilungs-Freiga-
bepunkte erstellt und diesen Berechtigungen zugeordnet und sind damit bereit, die
Gruppenrichtlinien für die Bereitstellung der Software zu konfigurieren. Dabei
haben Sie die Wahl zwischen der Zuweisung eines Pakets an einen Benutzer bzw.
Computer und der Veröffentlichung des Pakets für einen Benutzer.
7.4.1 Veröffentlichung von Software

Durch Veröffentlichung wird die Software den Benutzern für die Installation zur
Verfügung gestellt. Benutzer können die Installation des Softwarepakets auf zwei
Arten einleiten:
씰 Verwendung von SOFTWARE in der Systemsteuerung. Wenn Sie SOFTWA-

RE in der Systemsteuerung aktivieren, wird eine Liste der Software angezeigt,
die Ihnen je nach Gruppenmitgliedschaft und den vom Administrator festge-
legten und für Sie gültigen Gruppenrichtlinien zur Verfügung steht. Sie kön-
nen nun die Software wählen, die Sie installieren möchten, und Windows In-
staller installiert die Anwendung für Sie.
씰 Verwendung der Datei- oder Dokumentaktivierung. Dabei handelt es sich

um die automatische Aktivierung der Installation eines Softwarepakets, wenn
der Benutzer auf ein Dokument doppelklickt, dessen Dateierweiterung mit ei-
ner für eine Anwendung konfigurierten Dateierweiterung übereinstimmt.
Wenn Sie auf die Datei doppelklicken, ohne dass die Softwareanwendung in-
stalliert ist, signalisieren Sie Windows Installer, dass Sie das Programm in-
stallieren möchten, das die Datei lesen und interpretieren kann. Nehmen wir
beispielsweise an, Sie doppelklicken auf eine Datei namens Gruppenrichtlini-
en.PDF auf einer CD-ROM in Ihrem CD-ROM-Laufwerk. Wenn Adobe
Acrobat Reader auf Ihrem Computer nicht installiert ist, prüft Windows
2000, ob eine veröffentlichte Anwendung für das Lesen von PDF-Dateien
konfiguriert ist, und findet, dass dies für Adobe Acrobat Reader zutrifft. Win-
dows 2000 startet nun den Windows Installer, um Adobe Acrobat Reader zu
installieren, damit Sie die Datei lesen können. Die Installation des Pro-
gramms (Adobe Acrobat Reader) wurde automatisch durch das Dokument
(Gruppenrichtlinien.PDF) eingeleitet, auf das Sie doppelgeklickt haben. Dies
geschah, weil kein Programm installiert war, das Dateien mit der Erweiterung
.PDF lesen kann. Die Erweiterung wurde in Active Directory veröffentlicht
und auf das Softwarepaket abgebildet.
Die Veröffentlichung von Software ist angebracht, wenn Sie dem Benutzer die Ent-
scheidung überlassen möchten, welche Softwareprodukte er installiert. Sie ist eben-
falls nützlich, wenn Sie sicher stellenmöchten, dass Benutzer Dokumente öffnen
können, aber nicht alle Dokumentarten für alle Benutzer unterstützt werden müssen.
Durch Veröffentlichung der Software geben Sie dem Benutzer mehr Wahlfreiheit,
aber sie ist nur für weniger wichtige Anwendungen wirklich sinnvoll. Software, die
alle Benutzer installiert haben sollten oder die für bestimmte Benutzer zur Erledi-
gung ihrer Aufgaben im Unternehmen unerlässlich ist, sollte nicht veröffentlicht,
sondern zugewiesen werden.
7.4.2 Zuweisung von Software an Benutzer und Computer

Software kann Benutzern oder Computern zugewiesen werden. Durch Zuweisung
von Software an Benutzer bzw. Computer wird gewährleistet, dass die Software
immer verfügbar ist.
Die Zuweisung von Software an Benutzer ermöglicht die Ankündigung der Soft-
ware auf dem Desktop des Benutzers. Dies bedeutet, dass die Symbole für die
Anwendung verfügbar sind, auch wenn diese noch gar nicht installiert ist. Durch
Doppelklicken auf das Softwaresymbol oder eine per Erweiterung mit der Software-
anwendung verknüpfte Datei wird automatisch die Installation ausgeführt. Wenn
der Benutzer niemals auf das Softwaresymbol oder eine per Erweiterung mit der
Softwareanwendung verknüpfte Datei doppelklickt, wird die Software nicht instal-

liert, sodass Speicherplatz, Netzwerkbandbreite und Administrationsarbeit einge-
spart werden.
Durch Zuweisung von Software an Computer wird gewährleistet, dass die Software
installiert wird, sobald der Computer eingeschaltet und mit dem Netzwerk verbun-
den wird. Wenn der Computer das nächste Mal seine Einstellungen der Gruppen-
richtlinien verarbeitet, stellt er fest, dass ihm Software zugewiesen wurde, und die
Software wird automatisch installiert. Jede einem Computer zugewiesene Software
ist für alle Benutzer dieses Computers verfügbar.
Software, die auf jeden Fall installiert werden muss, sollte einem Computer zuge-
wiesen werden. Software, die von allen Benutzern benötigt wird, aber nicht unbe-
dingt von Anfang an auf dem Computer installiert sein muss, kann dem Benutzer
bzw. der Gruppe zugewiesen und bei Bedarf installiert werden. Beide Methoden
gewährleisten, dass die Software bei Bedarf zur Verfügung steht.
7.4.3 Softwarebereitstellung mittels Gruppenrichtlinien

Zur Veröffentlichung oder Zuweisung von Software nutzen Sie Gruppenrichtlinien.
Die Festlegung der Softwarebereitstellungsmethode erfolgt bei der Verknüpfung
der Softwareanwendung mit dem GPO.
Folgen Sie Schritt für Schritt 7.5 zur Bereitstellung von Software mittels Gruppen-
richtlinien.

7.5 Bereitstellung von Software mittels Gruppenrichtlinien
1. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE
DIRECTORY-STANDORTE UND -DIENSTE (je nachdem, in welchem Container
Sie das GPO für die Softwarebereitstellung konfigurieren möchten) und
erweitern Sie die Ordnerliste, bis Sie den Container erreichen, für den Sie die
Softwarebereitstellung konfigurieren möchten (die Abbildungen in diesem
Abschnitt zeigen ACTIVE DIRECTORY-BENUTZER UND -COMPUTER).
2. Klicken Sie mit der rechten Maustaste auf den Container (Domäne, OU oder
Standort), für den Sie das GPO konfigurieren möchten, und wählen Sie
EIGENSCHAFTEN.
3. Klicken Sie auf das Register GRUPPENRICHTLINIE und wählen Sie ein vorhan-
denes GPO, das für die Softwarebereitstellung genutzt werden soll, oder kli-
cken Sie auf NEU, um ein neues GPO zu erstellen, oder klicken Sie auf HIN-
ZUFÜGEN, um ein vorhandenes GPO mit diesem Container zu verknüpfen.
4. Klicken Sie auf das GPO, das zur Softwarebereitstellung verwendet werden
soll, und dann auf BEARBEITEN, um den Gruppenrichtlinieneditor zu öffnen,
wie in Abbildung 7.19 gezeigt.
Abbildung 7.19
Der Hauptkonsol-
bildschirm des
GPO Editor MMC
5. Um die Softwarebereitstellung für den Computer zu konfigurieren, erweitern

Sie den Ordner SOFTWAREEINSTELLUNGEN unter dem Ordner COMPUTER-
KONFIGURATION in Gruppenrichtlinie. Um die Softwarebereitstellung für den
Benutzer oder die Gruppe zu konfigurieren, erweitern Sie den Ordner SOFT-
WAREEINSTELLUNGEN unter BENUTZERKONFIGURATION, wie in Abbildung
7.20 gezeigt.
6. Um ein Paket für die Bereitstellung zu konfigurieren, klicken Sie mit der
rechten Maustaste auf das Symbol SOFTWAREINSTALLATION und wählen Sie
NEU, PAKET. Es wird ein Suchfeld angezeigt. Durchsuchen Sie das Netzwerk
nach dem Softwareverteilungs-Freigabeordner, den Sie früher erstellt haben.
Der Pfad zum Paket wird in den Gruppenrichtlinien als der Punkt gespeichert,
von dem aus das Softwarepaket installiert werden soll, und er sollte ein Netz-
werkfreigabepunkt sein. Wählen Sie kein lokales Laufwerk, weil Benutzer
sich nicht mit einem lokalen Pfad auf Ihrem Computer verbinden können. Es
würde ein Dialogfeld wie in Abbildung 7.21 angezeigt, das feststellt, dass Sie
einen lokalen Pfad gewählt haben. Abbildung 7.22 zeigt eine Netzwerkfrei-
gabe, die zur Ermittlung der Paketdatei verwendet wird. Wenn Sie das zu
installierende Paket gefunden haben, klicken Sie darauf.
Abbildung 7.20
SOFTWAREBEREIT-
STELLUNG kann für
den Bereich Com-
puter oder Benut-
zer der Gruppen-
richtlinien
konfiguriert werden
Abbildung 7.21
Sie erhalten eine

Warnmeldung,
wenn der angege-
bene Pfad zum
Paket kein freige-
gebener Ordner ist
Abbildung 7.22
Auswahl eines
Pakets mittels Netz-
werkfreigabepfad
7. Wenn Sie entschieden haben, das Softwarepaket mit dem Benutzerteil der
Gruppenrichtlinien zu verknüpfen, wird ein Dialogfeld wie in Abbildung
7.23 angezeigt. Wenn das Paket mit dem Computerkonfigurationsteil des
GPO-Objekts verknüpft werden soll, wird ein Dialogfeld wie in Abbildung
7.24 angezeigt. Wie bereits erwähnt, können Pakete nicht für Computer ver-
öffentlicht werden. Die Option VERÖFFENTLICHT wird deshalb in der Compu-
terkonfiguration grau dargestellt. Die dritte Option erlaubt Ihnen einfach die
Konfiguration weiterer Optionen (d.h. die Änderung des Pakets), wenn Sie es
zuweisen oder veröffentlichen. Diese Option wird im nächsten Abschnitt
genauer behandelt. Entscheiden Sie, ob veröffentlicht oder zugewiesen wer-
den soll, und klicken Sie dann auf OK.
Abbildung 7.23
Paketoptionen bei
Verknüpfung mit
der Benutzerkonfi-
guration in GRUP-
PENRICHTLINIEN
Abbildung 7.24
Paketoptionen bei
Verknüpfung mit
der Computerkonfi-
guration in GRUP-
PENRICHTLINIEN
8. Sie haben nun Ihr Softwarepaket für Benutzer bzw. Computer veröffentlicht
oder zugewiesen. Der Gruppenrichtlinieneditor sieht aus wie in Abbildung
7.25. In den Eigenschaften des Paketes können Sie weitere Informationen
über das verteilte Paket sehen und bearbeiten. Klicken Sie dazu mit der rech-
ten Maustaste auf das Paket und wählen Sie EIGENSCHAFTEN. Zu den für
jedes Paket angezeigten Informationen gehört der Name des Pakets und seine
Versionsnummer, wie in der Paketdatei festgelegt. Der Bereitstellungsstatus
(veröffentlicht oder zugewiesen) und die Information, ob das Paket automa-
tisch per Dokumentaktivierung (über die Dateierweiterung) installiert werden
soll, werden hier zusammengefasst. Außerdem können Sie den Aktualisie-
rungs- bzw. Installationstyp (optional oder obligatorisch) feststellen und
ermitteln, ob es sich bei dem Paket um eine Aktualisierung für ein anderes
vorhandenes Paket handelt. Sie können diese selbst konfigurieren und die
Paketinformationen ändern.
Abbildung 7.25
Beim Klicken auf

SOFTWAREINSTALLA-
TION werden allge-
meine Informatio-
nen für Pakete
angezeigt, die der-
zeit für die Bereit-
stellung mittels
Gruppenrichtlinien
konfiguriert sind
9. Schließen Sie das Dialogfeld , indem Sie auf OK klicken. Beenden Sie zum
Abschluss der Konfiguration die verwendete MMC-Konsole.
7.4.4 Paketbereitstellungsoptionen
씰 Konfiguration von Paketbereitstellungsoptionen
Nachdem Sie ein Paket verteilt haben, können Sie diverse Optionen für das Paket
konfigurieren, die dessen Verhalten ändern und die Festlegung zusätzlicher Optio-
nen ermöglichen. Dazu klicken Sie mit der rechten Maustaste auf das Objekt SOFT-
WAREINSTALLATION im Ordner SOFTWAREEINSTELLUNGEN der Gruppenrichtlinien,
in dem Sie das Paket konfiguriert haben.
HINWEIS
Erweitert veröffentlicht oder zugewiesen
Diese Option wird beim Hinzufügen eines Pakets angezeigt und ist kein spezieller
Optionstyp für dieses Paket. Wenn Sie diese Option verwenden, bedeutet dies le-
diglich, dass die Eigenschaften des Pakets für Sie angezeigt werden, damit Sie
weitere Optionen für das Paket konfigurieren können. Dasselbe erreichen Sie, in-
dem Sie nach Zuweisung oder Veröffentlichung mit der rechten Maustaste auf
das Paket klicken und EIGENSCHAFTEN wählen.
Das in Abbildung 7.26 gezeigte Dialogfeld EIGENSCHAFTEN VON SOFTWAREIN-

STALLATION ermöglicht die Konfiguration allgemeiner Einstellungen für alle Pakete
im Gültigkeitsbereich des betreffenden Containers. Zu diesen Einstellungen gehö-
ren u.a. der Standardspeicherort für die Paketinstallation (d.h. die Netzwerkfrei-
gabe, in der die Pakete zu finden sind, wenn der Paketspeicherort nicht verfügbar
ist) und der Standardinstallationstyp für neue Pakete (VERÖFFENTLICHEN, ZUWEI-
SEN, ERWEITERT VERÖFFENTLICHT ODER ZUGEWIESEN oder VORHERIGES DIALOG-
FENSTER ANZEIGEN). Sie können den Umfang der während der Paketinstallation
möglichen Benutzerinteraktion festlegen (einfache Interaktion, was nicht viel ist,
oder Maximum). Sie können festlegen, ob ein Paket deinstalliert werden soll, wenn
es aus dem Gültigkeitsbereich des GPO herausfällt. Außerdem können Sie Einstel-
lungen für Dateierweiterungen und Softwarekategorien konfigurieren, die weiter
hinten diskutiert werden.
Abbildung 7.26
Das Dialogfeld
EIGENSCHAFTEN VON
SOFTWAREINSTALLA-
TION im Gruppen-
richtlinieneditor
Wenn Sie mit der rechten Maustaste auf ein Paket klicken und Eigenschaften wäh-
len, wird ein Dialogfeld angezeigt wie in Abbildung 7.27. Das Register ALLGEMEIN
des Dialogfelds EIGENSCHAFTEN für das Paket zeigt allgemeine Informationen über
das Paket an, u.a. Hersteller, Plattform, Support-URL und Kontaktinformationen.
Abbildung 7.27
Das Dialogfeld
EIGENSCHAFTEN des
Pakets in Gruppen-
richtlinie
In der Registerkarte BEREITSTELLUNG VON SOFTWARE (siehe Abbildung 7.28) kön-

nen die Bereitstellungsinformationen zu diesem Paket geändert werden. Sie können
die Bereitstellungsart von VERÖFFENTLICHT in ZUGEWIESEN ändern oder umge-
kehrt. Dadurch wird die Art der Bereitstellung an Benutzer bzw. Computer geändert
(beispielsweise Zuweisung an Benutzer bzw. Computer oder Veröffentlichung für
Benutzer).
Im Bereich BEREITSTELLUNGSOPTIONEN dieser Registerkarte wird festgelegt, was

bei der Bereitstellung geschieht, u.a. die Autoinstallation der Anwendung bei Doku-
mentaktivierung (d.h. über eine Dateierweiterung). Wenn Sie diese Option deakti-
vieren, werden die mit diesem Paket verknüpften Dateierweiterungen nicht veröf-
fentlicht, und es findet keine Dokumentaktivierung statt. Außerdem können Sie die
Anwendung deinstallieren, wenn das GPO für den Benutzer nicht mehr gültig ist
(d.h. wenn er bzw. sie innerhalb der Active Directory-Hierarchie einer anderen OU
zugeordnet wird). Daneben können Sie festlegen, dass das Paket nicht in der Sys-
temsteuerung unter Software angekündigt wird, damit die Benutzer nichts davon
erfahren.
Abbildung 7.28
Die Registerkarte
BEREITSTELLUNG VON
SOFTWARE im Dia-
logfeld EIGENSCHAF-
TEN von Gruppen-
richtlinie
HINWEIS
Widersprüchliche Optionen
Es ist nicht ratsam, die Option AUTOMATISCH INSTALLIEREN, WENN DIE DATEIERWEITE-
RUNG AKTIVIERT WIRD und die Option DIESES PAKET IN DER SYSTEMSTEUERUNG UNTER
»SOFTWARE« NICHT ANZEIGEN gleichzeitig zu deaktivieren. Dadurch wird die Instal-
lation der Software beim Öffnen eines passenden Dokuments verhindert; zu-
gleich wird verhindert, dass das Paket in Software angekündigt wird. Das Paket
ist zwar so konfiguriert, dass es dem Benutzer zur Verfügung steht, aber dieser
erfährt nie davon und kann das Installationsprogramm nicht starten. Das Paket
belegt Speicherplatz und verbraucht zusätzliche Kapazität für die GPO-Verarbei-
tung, wird aber niemals installiert. Dies ist nur unmittelbar vor einer Softwarefrei-
gabe sinnvoll, wenn Sie das Paket bis zum Startschuss unter Verschluss halten
möchten.
Mit den Optionen zur Installations-Benutzeroberfläche kann festgelegt werden, wie

viel Benutzerinteraktion dem Benutzer während der Installation geboten werden
soll. Die Standardeinstellung EINFACH lässt den Benutzer einfach zuschauen, wie
die Anwendung mit Standard-Konfigurationseinstellungen installiert wird. Bei der
Einstellung MAXIMUM wird der Benutzer während der Installation zur Eingabe von
Parameterwerten aufgefordert.
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien 547
Die Registerkarten AKTUALISIERUNGEN, KATEGORIEN, ÄNDERUNGEN und SICHER-

HEITSEINSTELLUNGEN werden weiter hinten in diesem Kapitel diskutiert.
Sie haben nun das Paket in eine Gruppenrichtlinie aufgenommen, sodass es an

Benutzer oder Computer weitergegeben werden kann. Sie haben die Bereitstel-
lungsoptionen des Pakets konfiguriert und festgelegt, wie es dem Benutzer präsen-
tiert werden soll. Außerdem haben Sie festgelegt, ob das Paket auf allen Computern
installiert oder Benutzern zugewiesen bzw. veröffentlicht werden soll. Im ersten
Fall haben Sie das Paket im Bereich Computerkonfiguration der Gruppenrichtlinien
konfiguriert. Im Laufe der Zeit werden Sie diese Optionen jedoch ändern oder sogar
Pakete aktualisieren müssen. Das Problem der Wartung von Softwarepaketen wird
als Nächstes behandelt.
7.5 Wartung von Softwarepaketen mittels

Gruppenrichtlinien
씰 Wartung von Software mittels Gruppenrichtlinien
Wie Sie mittlerweile wissen, ist Veränderung die einzige Konstante in dieser Bran-
che. Zweifellos werden Sie eine gewisse Zeit nach der Bereitstellung Ihres Pakets
mittels Gruppenrichtlinien eine Aktualisierung bereitstellen, um die Softwarean-
wendungen auf den Computern der Benutzer aktuell zu halten. In diesem Abschnitt
wird gezeigt, wie eine Aktualisierung für ein Paket mittels Gruppenrichtlinien kon-
figuriert wird und wie obligatorische und optionale Aktualisierungen bereitgestellt
werden. Schließlich lernen Sie, wie Software entfernt wird, die von der Organisa-
tion nicht mehr benötigt wird oder deren Lizenz abgelaufen ist.
7.5.1 Aktualisierung eines Pakets

Bei Microsoft Windows 2000 Gruppenrichtlinien können Aktualisierungen beste-
hender Pakete obligatorisch oder optional sein.
Obligatorische Aktualisierungen müssen dort installiert werden, wo die vorange-

gangene Version der Software existiert. Nehmen wir an, Sie haben Microsoft Office
97 umgepackt und danach erfahren, dass die Version auf den Benutzerdesktops
nicht die aktuellste ist. Sie beschließen, alle Benutzer auf die neueste Version von
Microsoft Office 97 zu aktualisieren, um etwaige Mängel an der Software zu korri-
gieren. Dazu konfigurieren Sie die Aktualisierung als obligatorisch. Das Aktualisie-
rungspaket wird automatisch auf den Benutzercomputern installiert, sobald ein
Benutzer sich anmeldet (wenn das Paket dem Benutzer zugewiesen oder veröffent-
licht wurde), oder wenn der Computer neu gestartet wird (wenn die Software dem
Computer zugewiesen wurde). Obligatorische Aktualisierungen sind ideal, wenn

sichergestellt werden muss, dass bei allen Benutzern die aktuellsten Versionen von
wichtigen Geschäftsanwendungen installiert sind.
Bei optionalen Aktualisierungen kann der Benutzer weiterhin die ältere Software-
version einsetzen oder wahlweise auf die neueste Version aktualisieren. Bei optio-
nalen Aktualisierungen werden die Benutzer darüber informiert, dass eine neuere
Version verfügbar ist, und gefragt, ob sie sofort aktualisieren möchten. Falls ein
Benutzer mit der Aktualisierung einverstanden ist, wird die neue Softwareversion
installiert und die alte ersetzt. Andernfalls kann der Benutzer weiterhin mit der älte-
ren Version der Software arbeiten. Er bzw. sie wird weiterhin aufgefordert, die neue
Version der Software zu installieren. Sie können auch ein Datum festlegen, zu dem
Benutzer die Aktualisierung durchgeführt haben müssen, andernfalls wird sie
zwangsweise installiert (eine Art optionale Aktualisierung mit obligatorischem
Ende).
Folgen Sie Schritt für Schritt 7.6, um eine der beiden Aktualisierungsarten auszu-
führen.

7.6 Aktualisierung von Software mittels Gruppenrichtlinien
1. Packen Sie die aktualisierte Version der Software um oder besorgen Sie sich
ein Windows-Installer-Paket mit der aktualisierten Software. Wird ein vor-
handenes Paket aktualisiert, so muss auch die neuere Version in Form eines
Windows-Installer-Pakets (oder einer ZAP-Datei) vorliegen. Der erste Schritt
der Aktualisierung ist das Umpacken der aktualisierten Version, wie zuvor
gezeigt, oder die Anschaffung eines Windows-Installer-Pakets.
2. Legen Sie das Aktualisierungspaket in den Freigabeordner, mit dem sich die
Benutzer verbinden, um die aktualisierte Anwendung zu installieren.
3. Erstellen oder bearbeiten Sie ein GPO, welches das neue Paket enthalten soll.
Sie können das Paket in denselben Container in dem GPO aufnehmen, in dem
die vorherige Version erstellt wurde. Dies wird in Abbildung 7.29 am Bei-
spiel des Softwarepakets Adobe Acrobat gezeigt.
4. Legen Sie fest, dass das Paket zur Aktualisierung eines vorhandenen Pakets
dient. Klicken Sie hierzu mit der rechten Maustaste auf das neue Paket und
wählen Sie EIGENSCHAFTEN. Es wird das Dialogfeld EIGENSCHAFTEN für das
Paket angezeigt, wie in Abbildung 7.30 gezeigt.
5. Klicken Sie auf das Register AKTUALISIERUNGEN, um eine Liste der anderen
Pakete anzuzeigen, die von diesem Paket aktualisiert werden, wie in Abbil-
dung 7.31 gezeigt.
Abbildung 7.29
Ein Paket muss

zum GPO hinzuge-
fügt werden, damit
es ein anderes
Paket aktualisieren
kann
Abbildung 7.30
Das Dialogfeld
EIGENSCHAFTEN für
das Paket
6. Klicken Sie auf HINZUFÜGEN, um ein Paket in die Liste derjenigen aufzuneh-
men, die vom vorliegenden Paket aktualisiert werden können. Es wird ein
Bildschirm wie in Abbildung 7.32 angezeigt. Dieser bietet mehrere Wahl-
möglichkeiten, u.a. wo das Aktualisierungspaket im aktuellen oder in einem
anderen GPO zu finden ist. Sie können dann unter den anderen GPOs im
Unternehmen nach einem Paket suchen, das zur Aktualisierung verwendet
werden soll.
Abbildung 7.31
Die Registerkarte
AKTUALISIERUNGEN
im Dialogfeld
EIGENSCHAFTEN des
Pakets in Gruppen-
richtlinien
Außerdem können Sie festlegen, ob bei der Aktualisierung das vorhandene

Paket deinstalliert und die Aktualisierung installiert oder ob einfach das alte
Softwarepaket beibehalten und die Aktualisierung darüber installiert werden
soll. Bei der Festlegung geeigneter Optionen sollten Sie sorgfältig vorgehen,
damit die Software nach der Aktualisierung korrekt funktioniert. Wenn Sie
bei der Überlegung, ob die vorherige Version deinstalliert werden soll, eher
in Richtung Überschreiben tendieren, sollten Sie dies testen. Im Allgemeinen
ist es besser, die ältere Version zu deinstallieren. Klicken Sie auf OK, wenn
Sie fertig sind, um zum Dialogfeld EIGENSCHAFTEN für das Paket zurückzu-
kehren.
7. Nun können Sie entscheiden, ob die Aktualisierung für ein vorhandenes
Paket obligatorisch oder optional sein soll. Um das Aktualisierungspaket
obligatorisch zu machen, klicken Sie in das Kontrollkästchen BESTEHENDE
PAKETE AKTUALISIEREN, wie in Abbildung 7.33 gezeigt.
Damit wird das Paket automatisch installiert, wenn sich ein Benutzer anmel-
det oder ein Computer gestartet wird, je nachdem, wie das ursprüngliche Pa-
ket verteilt wurde. Wenn Sie die Entscheidung getroffen haben, klicken Sie
auf OK, um das Dialogfeld EIGENSCHAFTEN zu schließen, und speichern Sie
Ihre Änderungen.
Abbildung 7.32
Festlegung eines
Pakets, das zur
Aktualisierung
eines vorhandenen
Pakets verwendet
werden soll
Abbildung 7.33
Paketaustauschin-
formationen in der
Registerkarte AKTU-
ALISIERUNGEN des
Dialogfelds EIGEN-
SCHAFTEN zum
Paket in Gruppen-
richtlinien
8. Sie haben nun, wie in Abbildung 7.34 gezeigt, zwei Pakete im Softwarepa-
ket-Detailbereich von Gruppenrichtlinien. Das jüngste installierte Paket ist
als obligatorische Aktualisierung für das in unserem Beispiel vorhergehende
Paket vorgesehen. Jeder neue Benutzer, der die Software installiert, erhält das
neueste Paket; bei vorhandenen Benutzern wird die Software automatisch
aktualisiert, weil die Aktualisierung als obligatorisch markiert ist. Schließen
Sie den Gruppenrichtlinieneditor, um die GPO-Einstellungen in Kraft zu set-
zen.
Abbildung 7.34
Der Softwarepaket-
Bildschirm in Grup-
penrichtlinien
Die Konfigurierung von Paketaktualisierungen ist ganz einfach, wenn man davon
absieht, dass sichergestellt werden muss, dass die Aktualisierung im richtigen For-
mat (d.h. als MSI-Datei) vorliegt. Sie können die Aktualisierung als obligatorisch
oder als optional konfigurieren. Bei obligatorischen Aktualisierungen wird der
Benutzer zum Austausch des älteren Pakets gegen das neuere gezwungen. Neue
Benutzer erhalten immer die aktuellste Version. Was geschieht jedoch, wenn Sie
nur bestimmte Dateien in einem Paket austauschen, es aber nicht aktualisieren müs-
sen?
7.5.2 Erneute Bereitstellung von Software

In manchen Situationen möchten Sie ein Paket einfach auf allen Benutzercomputern
neu installieren, statt es zu aktualisieren. Diese Methode wird als Neubereitstellung
bezeichnet, die Neuinstallation eines vorhandenen Pakets. Dies ist die bevorzugte
Methode, wenn Sie ein Paket geändert haben, ohne seinen Namen zu ändern (z.B.
wenn Sie Dateien zum Paket hinzugefügt oder aus ihm entfernt haben, was auch für
einen Patch der Software zuträfe), wenn Sie Verknüpfungen hinzugefügt, Registrie-
rungseinstellungen geändert oder andere Änderungen an einem vorhandenen Paket
vorgenommen haben. Damit gewährleistet ist, dass alle Benutzer die aktualisierte
Software haben, möchten Sie das Paket neu verteilen.
Möglicherweise möchten Sie auch eine neue Paketdatei (MSI) mit genau demsel-
ben Namen wie beim vorhandenen Paket erstellen und am selben Speicherort able-
gen wie das Originalpaket. Bei dieser Methode können Sie weit reichendere Ände-
rungen an der Software vornehmen, als nur das vorhandene Paket zu ändern. So
lange die Version und der Paketname identisch sind, wird davon ausgegangen, dass
es sich um dieselbe Software handelt. Sie können das Paket dann nach Bedarf neu
verteilen.
Um ein Paket nach Abschluss der Änderungen neu zu verteilen, folgen Sie der
Schrittanleitung.

7.7 Neubereitstellung eines Pakets mittels Gruppenrichtlinien
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE
DIRECTORY-STANDORTE UND -DIENSTE), klicken Sie mit der rechten Maus-
taste auf den Container, der das GPO enthält, und wählen Sie EIGENSCHAF-
TEN.
2. Gehen Sie zur Registerkarte GRUPPENRICHTLINIEN, markieren Sie das GPO,

das Informationen zur Bereitstellung des Pakets enthält, und klicken Sie auf
BEARBEITEN. Damit wird der Gruppenrichtlinieneditor geöffnet.
3. Erweitern Sie den Container innerhalb des Ordners SOFTWAREINSTALLA-
TION, in dem das Originalpaket definiert wurde, und suchen Sie das neu zu
verteilende Paket, wie in Abbildung 7.35 gezeigt.
Abbildung 7.35
Die Paketliste im
Ordner SOFTWAREIN-
STALLATION des
Gruppenrichtlinien-
editors
4. Um ein Paket neu zu verteilen, klicken Sie mit der rechten Maustaste auf das
Paket, wählen Sie ALLE TASKS und klicken Sie dann auf ANWENDUNG
ERNEUT BEREITSTELLEN. Abbildung 7.36 zeigt das Dialogfeld zur Bestäti-
gung der Neubereitstellung. Klicken Sie auf JA, um das Paket neu zu vertei-
len.
Abbildung 7.36
Das Dialogfeld zur

Bestätigung der
Neubereitstellung
in Gruppenricht-
linien
5. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu spei-

chern.
6. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu
schließen und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
Wie Sie gesehen haben, ist die Neubereitstellung ganz einfach in den Fällen, in
denen bestimmte Dateien für eine Anwendung aktualisiert wurden, der Rest des
Pakets aber unverändert bleibt. Sie sollten jedoch daran denken, dass ein Paket bei
Neubereitstellung auf sämtlichen Clientcomputern installiert wird, was einen
beträchtlichen Anteil der Netzwerkbandbreite beanspruchen kann.
7.5.3 Entfernen eines Pakets

Nachdem Sie Software über Gruppenrichtlinien verteilt haben, können Sie mit Hilfe
von Gruppenrichtlinien auch das Entfernen der Software automatisieren. Auf diese
Weise können nicht mehr benötigte Anwendungen oder veraltete Software von den
Computern der Benutzer entfernt werden, ohne dass Sie in größerem Umfang
manuell eingreifen müssten. Dies vereinfacht die Administration der Softwarebe-
reitstellung und verringert den manuellen Aufwand.
Die in Gruppenrichtlinien verfügbaren Entfernungsoptionen können auch bei optio-

nalen Aktualisierungen verwendet werden. In diesem Fall haben Benutzer etwas
Zeit bis zur Aktualisierung auf eine neue Version. Nach Ablauf einer gewissen Zeit
können Sie beschließen, die alte Software von den Benutzercomputern zu entfernen.
Für die Entfernung von Software gibt es zwei Optionen:
씰 Obligatorische bzw. erzwungene Entfernung, bei der die Software vom Com-
puter des Benutzers entfernt wird, ohne Rücksicht darauf, ob sie noch benö-
tigt wird oder nicht. Diese Option wird gewählt, indem Sie die Option SOFT-
WARE SOFORT VON BENUTZERN UND COMPUTERN DEINSTALLIEREN bei der

Konfigurierung der Paketentfernung für das GPO aktivieren. Falls das Paket
einem Benutzer zugewiesen war, wird es, für den Benutzer transparent, ent-
fernt, bevor das Benutzerdesktop angezeigt wird. Wenn es dem Computer zu-
gewiesen war, wird es beim nächsten Neustart des Computers entfernt. Wenn
eine Aktualisierung der Software vorliegt, kann der Benutzer die aktualisierte
Version installieren und die Funktionalität der Software weiterhin nutzen; an-
dernfalls ist die Software nicht mehr verfügbar.
씰 Optionale Entfernung ermöglicht es dem Benutzer, die Software weiterhin zu

verwenden. Diese Option wird aktiviert, indem Sie bei der Konfigurierung
der Entfernung die Option BENUTZER DÜRFEN DIE SOFTWARE WEITERHIN
VERWENDEN, ABER NEUINSTALLATIONEN SIND NICHT ZUGELASSEN aktivie-
ren. Die Software wird nicht in der Liste der Anwendungen unter Software in
der Systemsteuerung angezeigt, bleibt aber installiert. Wenn der Benutzer die
Software manuell in der Systemsteuerung unter SOFTWARE entfernt, kann er
sie nicht mehr installieren. Dies gilt als freundliche Methode der Softwareent-
fernung, kann aber problematisch sein, wenn Sie unternehmensweit Standar-
danwendungen durchsetzen möchten.
Um die Entfernung eines Pakets zu konfigurieren, folgen Sie der Schrittanleitung.

7.8 Entfernen eines Pakets mittels Gruppenrichtlinien
TEN.

das Informationen über das gewünschte Paket enthält, und klicken Sie auf
TION, in dem das Originalpaket definiert wurde, und suchen Sie das zu entfer-
nende Paket.
4. Um ein Paket zu entfernen, klicken Sie mit der rechten Maustaste auf das
Paket, wählen Sie ALLE TASKS und klicken Sie dann auf ENTFERNEN. Abbil-
dung 7.37 zeigt das Dialogfeld, in dem Sie die Entfernungsmethode (zwangs-
weise oder wahlweise) festlegen können. Wählen Sie die Methode und kli-
cken Sie auf OK, um Ihre Auswahl zu speichern. Sie kehren dann zum
Gruppenrichtlinieneditor zurück. Beachten Sie, dass das Paket nicht mehr in
der Liste angezeigt wird.
Abbildung 7.37
Dialogfeld zur Aus-

wahl der Paketent-
fernungsoptionen
in Gruppenricht-
linien
5. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu

setzen.
schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
Das Entfernen von Software mittels Gruppenrichtlinien ist relativ einfach. Denken
Sie daran, dass die Entscheidung zwischen optionaler und zwangsweiser Entfer-
nung nicht rückgängig gemacht werden kann. Das Paket wird aus dem GPO und
auch vom Computer des Benutzers entfernt, zwangsweise oder mit Einverständnis
des Benutzers. Wenn der Benutzer beschließt, das Paket auf seinem Computer zu
behalten, können Sie es später nicht mehr zwangsweise entfernen; das Paket ist
nicht mehr im GPO enthalten.
7.6 Management der Softwarebereitstellung

In großen Organisationen kann es erforderlich sein, den Softwarebereitstellungspro-
zess durch Berücksichtigung geografischer und sprachlicher Unterschiede benutzer-
freundlicher zu gestalten. Durch Einführung von Softwarekategorien für ähnliche
Pakete kann die Bereitstellung so gestaltet werden, dass Benutzer bei der Auswahl
der zu installierenden Software unterstützt werden. Außerdem kann die Installation
automatisch eingeleitet werden, wenn der Benutzer eine bestimmte Datei öffnet.
Der Bereitstellungsprozess selbst kann auf Probleme stoßen, und der Administrator
muss wissen, wie bestimmte weit verbreitete Probleme bei der Softwarebereitstel-
lung zu beheben sind. Das Umpacken von Anwendungen kann ebenfalls Probleme
bei der Bereitstellung aufwerfen, und ein Administrator sollte auch mit solchen Fra-
gen vertraut sein.
7.6.1 Konfiguration von Paketänderungen

Mit Windows-2000-Gruppenrichtlinien können Softwaremodifikations- bzw.
Transformationsdateien verwendet werden, um mehrere Konfigurationen einer
Anwendung zu verteilen. Transformationsdateien haben die Erweiterung .MST und
sind einem vorhandenen Paket zugeordnet. In Verbindung mit mehreren GPOs wer-
7.6 Management der Softwarebereitstellung 557
den Transformationsdateien eingesetzt, um das Verhalten eines Pakets bei Bereit-

stellung in unterschiedlichen Regionen zu ändern.
HINWEIS
Transformationsdateien (MST)
Eine Transformationsdatei ändert die Zusammensetzung einer Installation auf ei-

nem Benutzercomputer abhängig von dem GPO, das zur Bereitstellung der Soft-
ware benutzt wurde. Nachdem die Software installiert wurde, kann sie nicht mehr
mit einer MST-Datei geändert werden. Die Transformationsdatei hat nur vor der
Installation auf einem Computer eine Wirkung. Nehmen wir beispielsweise an, 20
Benutzer haben bereits Anwendung X installiert, und Sie beschließen eine Ände-
rung mit Hilfe einer Transformationsdatei für Anwendung X. An Benutzer, die An-
wendung X bereits installiert haben, kann die Änderung nicht verteilt werden. Nur
Benutzer, die Anwendung X noch nicht installiert haben, erhalten die in der MST-
Datei definierte Softwareänderung. Um eine MST-Datei bei allen Benutzern (alt
oder neu) einzusetzen, müssen Sie das Paket neu verteilen.
Nehmen wir beispielsweise an, Ihre Organisation besitzt Niederlassungen in USA,

Kanada, Frankreich und Deutschland und möchte weltweit Microsoft Office 2000
einsetzen. Sie möchten jedoch sicherstellen, dass Benutzer in Paris und Quebec bei
der Installation von Office 2000 neben den englischen auch französische Wörterbü-
cher erhalten. Um dieses Problem zu lösen, erstellen Sie eine Paketdatei für Office
2000. Zur Berücksichtigung der unterschiedlichen Wörterbücher erstellen Sie für
jedes Wörterbuch eine Transformationsdatei (MST). Dann erstellen Sie ein eigenes
GPO für den Standort Paris, welches das Office-2000-Paket und die MST-Datei für
die französischen Wörterbücher enthält. Für Quebec könnten Sie dasselbe GPO
oder ein anderes verwenden, um ebenfalls das französische Wörterbuch zu installie-
ren. Für Kanada und USA könnten Sie ein oder mehrere GPOs erstellen, welche die
Transformationsdatei für englische Wörterbücher enthalten.
Um Änderungen an einem Softwarepaket vorzunehmen, folgen Sie der Schrittanlei-

tung.

7.9 Änderung eines Pakets mittels MST-Datei
TEN.

TION, in dem das Originalpaket definiert wurde, und suchen Sie das Paket,
dem Sie eine Transformationsdatei hinzufügen möchten.
4. Um Änderungen hinzuzufügen, klicken Sie mit der rechten Maustaste auf das
Paket, wählen Sie EIGENSCHAFTEN, und klicken Sie dann auf das Register
ÄNDERUNGEN. Es wird ein Bildschirm wie in Abbildung 7.38 angezeigt.
Abbildung 7.38
Änderungen an
einem Paket kön-
nen in diesem Dia-
logfeld hinzugefügt
werden
5. Klicken Sie auf HINZUFÜGEN, um eine MST-Datei hinzuzufügen, wählen Sie

im Dialogfeld ÖFFNEN den Pfad und Dateinamen der MST-Datei, die zur
Änderung dieses Pakets verwendet werden soll, und klicken Sie auf OK.
6. Es ist möglich, durch Wiederholung des letzten Schritts mehrere MST-
Dateien für ein Paket auszuwählen. In diesem Fall werden die Dateien in der
Reihenfolge verarbeitet, in der sie in der Registerkarte ÄNDERUNGEN zu die-
sem Paket angezeigt werden. Sie können die Verarbeitungsreihenfolge mit
Hilfe der Schaltflächen NACH OBEN und NACH UNTEN ändern.
7. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für das Paket zu
schließen.
setzen.
9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Container zu
Mit Softwareänderungen im Rahmen der Softwarebereitstellung in einem GPO kön-

nen Sie die Einstellungen für ein zu verteilendes Anwendungspaket ändern. Dies ist
eine gute Möglichkeit, ein Paket an verschiedene Benutzer oder Computer zu ver-
teilen, ohne die Software für jede einzelne Konfiguration umpacken zu müssen. In
Transformationsdateien können Sie genau die Änderungen speichern, die an einem
Paket vorzunehmen sind, und Sie können diese mit einem bestimmten GPO vertei-
len.
7.6.2 Erstellung von Softwarekategorien

In großen Organisationen, aber auch in kleineren, in denen viele unterschiedliche
Softwareanwendungen eingesetzt werden, kann es von Vorteil sein, wenn Software-
kategorien definiert werden, um den Benutzern die Installation des gewünschten
Pakets zu erleichtern. Durch Softwarekategorien wird die Anzeige in der System-
steuerung unter SOFTWARE geändert (siehe Abbildung 7.39), sodass der Benutzer
die Software des gewünschten Typs finden kann.
Abbildung 7.39
In SOFTWARE in der
Systemsteuerung
werden im Netz-
werk verfügbare
Pakete nach Kate-
gorien aufgelistet
Angenommen, Sie verwenden Gruppenrichtlinien und möchten viele unterschiedli-

che Pakete verteilen, darunter Anwendungen zur Buchhaltung, Textverarbeitung,
Dienstprogramme, Tabellenkalkulation und Internet-Browser. Standardmäßig wer-
den alle Pakete im Netzwerk unter einer einzigen Kategorie aufgeführt. Wenn viele
Anwendungen zur Verfügung stehen, muss der Benutzer blättern, bis er bzw. sie das
benötigte Paket findet, und dies kann den Vorgang erschweren. Mit Softwarekate-
gorien kann der Benutzer die gewünschte Kategorie im gleichnamigen Drop-down-
Listenfeld wählen. Die Anzeige kann auf Software dieser Kategorie beschränkt
werden.
Eine einzelne Anwendung kann in mehreren Kategorien angezeigt werden. Bei-

spielsweise kann Microsoft Office 2000 in die Kategorien Büropakete, Textverar-
beitung, Tabellenkalkulation und Präsentationssoftware aufgenommen werden, weil
es alle diese Anwendungen abdeckt. Die Festlegung einer Kategorie für ein
bestimmtes Paket erleichtert dem Benutzer lediglich das Auffinden der Anwen-
dung. Sie verändert jedoch in keiner Weise das Verhalten der Gruppenrichtlinien, in
denen das Paket für die Bereitstellung konfiguriert ist. Außerdem können Sie die
Softwarekategorie, unter der ein Paket aufgeführt wird, jederzeit ändern, wenn neue
Kategorien eingeführt werden. Dies erleichtert die u.U. nötige Neudefinition und
Umstrukturierung von Kategorien.
Ein sehr wichtiger Punkt, den es zu vermitteln gilt, ist die Tatsache, dass Katego-
rien, die in einem GPO einer Domäne konfiguriert sind, in der gesamten Domäne
verfügbar sind. Dies bedeutet, dass Softwarekategorien domänenweit funktionieren.
Sie können aus jedem GPO in jeder OU der Domäne auf die Registerkarte KATEGO-
RIEN zugreifen. Alle Änderungen an den aufgeführten Kategorien sind in der
gesamten Domäne wirksam. Beispielsweise können Sie nicht einen Satz von Kate-
gorien in der OU Verkauf und einen anderen Satz in der OU Entwicklung definie-
ren, wenn beide zur selben Domäne gehören. Alle Kategorien in allen OUs sind in
der gesamten Domäne verfügbar. In unterschiedlichen Domänen können Sie jedoch
verschiedene Gruppen von Kategorien definieren.
Folgen Sie der Schrittanleitung zur Erstellung von Softwarekategorien.

7.10 Erstellung von Softwarekategorien für die Domäne
TEN.

3. Erweitern Sie COMPUTERKONFIGURATION bzw. BENUTZERKONFIGURATION,
und dann den Ordner SOFTWAREEINSTELLUNGEN.
4. Klicken Sie mit der rechten Maustaste auf SOFTWAREINSTALLATION und
wählen Sie EIGENSCHAFTEN.
5. Klicken Sie auf das Register KATEGORIEN, um die Liste der aktuell konfigu-
rierten Kategorien anzuzeigen, falls vorhanden, wie in Abbildung 7.40
gezeigt.
Abbildung 7.40
Die Registerkarte
K ATEGORIEN des
Dialogfelds EIGEN-
SCHAFTEN VON SOFT-
WAREINSTALLATION in
Gruppenrichtlinien
6. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um eine Kategorie hinzuzufü-

gen. Es wird ein Dialogfeld wie in Abbildung 7.41 angezeigt. Geben Sie den
Namen der neuen Kategorie ein und klicken Sie auf OK, um die Kategorie zu
speichern.
7. Sie sind nun wieder im Dialogfeld EIGENSCHAFTEN VON SOFTWAREINSTAL-
LATION, wo die neue Kategorie aufgelistet wird (siehe Abbildung 7.42). Kli-
cken Sie auf HINZUFÜGEN, um weitere Kategorien hinzuzufügen, auf
ÄNDERN, um den Namen einer vorhandenen Kategorie zu ändern, oder auf
ENTFERNEN, um eine Kategorie zu entfernen. Wenn Sie fertig sind, klicken
Sie auf ÜBERNEHMEN, dann auf OK, um die Änderungen zu speichern.
Abbildung 7.41
Durch Klicken auf

Hinzufügen wird
das Dialogfeld
GEBEN SIE EINE NEUE
K ATEGORIE EIN
geöffnet
Abbildung 7.42
Die Registerkarte
K ATEGORIEN des
Dialogfelds EIGEN-
SCHAFTEN VON SOFT-
WAREINSTALLATION in
Gruppenrichtlinien
nach Hinzufügen
einer Softwarekate-
gorie

setzen.
Nachdem Sie die Kategorien erstellt haben, können diese zur Gruppierung vorhan-
dener oder neuer Pakete verwendet werden, die Sie für die Bereitstellung konfigu-
riert haben. Folgen Sie der Schrittanleitung, um einem Paket eine Softwarekategorie
zuzuordnen.

7.11 Zuordnung eines Softwarepakets zu einer Kategorie
TEN.

4. Markieren Sie das Paket, dem Sie eine Kategorie aus der Liste zuordnen
möchten, die angezeigt wird, wenn Sie auf SOFTWAREINSTALLATION klicken.
Klicken Sie mit der rechten Maustaste auf das Paket und wählen Sie EIGEN-
SCHAFTEN.
5. Klicken Sie auf das Register KATEGORIEN, um die Liste der verfügbaren und
diesem Paket zugeordneten Kategorien anzuzeigen, wie in Abbildung 7.43
gezeigt.
Abbildung 7.43
Die Registerkarte
K ATEGORIEN des
Pakets zeigt die
Liste verfügbarer
Kategorien sowie
der Kategorien an,
die diesem Paket
zugeordnet sind
6. Klicken Sie unter VERFÜGBARE KATEGORIEN auf die Kategorie, der Sie die-
ses Paket zuordnen möchten, und klicken Sie dann auf AUSWÄHLEN, um das
Paket dieser Kategorie zuzuordnen. Um dieses Paket aus einer Kategorie zu
entfernen, markieren Sie die betreffende Kategorie unter AUSGEWÄHLTE
KATEGORIEN und klicken Sie auf ENTFERNEN. Wenn Sie fertig sind, klicken
Sie auf OK, um Ihre Änderungen zu speichern.
setzen.
Sie haben nun Kategorien erstellt und ein Paket einer oder mehreren Kategorien
zugeordnet. Wenn Sie in der Systemsteuerung SOFTWARE öffnen, wird die Liste der
zur Installation verfügbaren Software angezeigt. Dort können Sie die Kategorie der
zu installierenden Software wählen, und es werden nur die Pakete angezeigt, die in
dieser Kategorie konfiguriert sind.
Wie Sie gesehen haben, ist die Erstellung von Kategorien für Software ganz einfach.
Dies ist von großem Vorteil für Organisationen, die viele Anwendungen mittels
Gruppenrichtlinien veröffentlichen möchten. Es erleichtert Benutzern das Auffinden
der Anwendungen, die sie installieren möchten. Administratoren kategorisieren die
verfügbaren Anwendungen und Benutzer können die Kategorien verwenden, um
nach verfügbaren Anwendungen zu suchen. Wie gesagt, ein Paket kann in mehreren
Kategorien vorkommen.
Aber was ist, wenn Benutzer keinen Zugriff auf Software in der Systemsteuerung
haben?
7.6.3 Verknüpfung von Dateierweiterungen mit

Anwendungen
Windows 2000 Active Directory bietet großartige neue Funktionalität bei der
Bereitstellung von Softwareanwendungen mittels Gruppenrichtlinien. Wenn Sie
eine Paketdatei (MSI) erhalten oder eine Anwendung mit einem Produkt eines Dritt-
anbieters wie etwa Veritas WinINSTALL LE umpacken, werden Sie feststellen,
dass das Paket Dateierweiterungen veröffentlicht, die von der Software unterstützt
werden.
So wurde im letzten Beispiel Adobe Acrobat 4.05 veröffentlicht und informierte

Windows 2000 Active Directory, dass es zum Öffnen von Dateien mit der Erweite-
rung .ODF verwendet werden kann. Dies ist sehr nützlich. Damit kann die Soft-
wareanwendung automatisch auf dem Computer eines Benutzers installiert werden,
wenn dieser auf eine PDF-Datei doppelklickt, um sie zu öffnen, und die Software
noch nicht installiert ist. Auf diese Weise können Benutzer die Installation
bestimmter Softwareanwendungen starten.
Die Liste der Dateierweiterungen und der Anwendungen (Pakete), die diese Erwei-
terungen unterstützen, wird in Windows 2000 Active Directory veröffentlicht und
fortgeschrieben. Die Zuordnung zwischen Erweiterung und Softwarepaket wird
domänenweit geführt, aber die Festlegung, welches Softwarepaket installiert wer-
den soll, wenn ein Benutzer versucht, eine Datei mit einer bestimmten Erweiterung
zu öffnen, kann auf OU-Ebene oder einer anderen Ebene konfiguriert werden. Dies
bedeutet, dass Benutzer in einem bestimmten Zweig von Active Directory (z.B. in
der OU Verkauf) eine Anwendung installieren können, wenn sie ein Dokument
durch Doppelklicken aktivieren, wogegen für Benutzer in einer anderen OU (der
OU Entwicklung) eine andere Anwendung installiert wird.
Beispielsweise könnte es in Ihrer Organisation notwendig sein, für Dateien mit der
Erweiterung .DOC sowohl Microsoft Word 2000 als auch WordPerfect 2000 zu
unterstützen. Benutzer in der Rechtsabteilung bevorzugen aus historischen Gründen
WordPerfect 2000 für die Bearbeitung ihrer Dokumente. Die Anwendung WordPer-
fect enthält Vorlagen und andere für die Mitarbeiter in diesem Organisationsbereich
nützliche Tools. Benutzer in anderen Abteilungen bevorzugen jedoch Word 2000,
weil dies der Unternehmensstandard für Textverarbeitung ist. Sie können für die
Rechtsabteilung die Priorität der Anwendung festlegen, mit der eine .DOC-Datei
geöffnet werden soll, indem Sie das GPO anpassen, das zur Bereitstellung von Soft-
ware in der OU Recht benutzt wird. Alle anderen Bereiche des Unternehmens haben
Microsoft Word 2000 in einer höheren Priorität als WordPerfect 2000 mit der
Erweiterung .DOC verknüpft. Deshalb wird bei ihnen Microsoft Word 2000 instal-
liert, wenn sie eine DOC-Datei öffnen.
Prioritäten für Dateinamenserweiterungen werden GPO-spezifisch konfiguriert. Die

Priorität für die Installation einer bestimmten Anwendung per Dokumentaktivie-
rung wird im GPO konfiguriert, und dies betrifft nur Benutzer, bei denen dieses
GPO eingesetzt wird. Andere Benutzer sind von der Priorität in einem GPO nicht
betroffen und könnten sogar andere Anwendungen für dieselbe Dateierweiterung
installieren. Wenn Sie beispielsweise im GPO Recht WordPerfect als Standardan-
wendung für die Erweiterung DOC festlegen, wird bei Aktivierung einer DOC-
Datei nur für Benutzer in der OU Recht WordPerfect 2000 installiert.
HINWEIS
Nur Windows 2000
Die Priorität für Dateierweiterungen kann nur für Anwendungen konfiguriert wer-
den, die mittels Windows-2000-Gruppenrichtlinien verteilt werden (d.h. als Win-
dows-Installer-Paket konfiguriert sind). Auch wenn eine andere Anwendung, etwa
eine Standardkomponente von Windows 2000, das Öffnen einer Datei mit einer
bestimmten Erweiterung unterstützt, kann diese nicht innerhalb des GPO mit der
Erweiterung verknüpft werden. Beispielsweise kann WordPad in Windows 2000
zum Öffnen von .DOC-Dateien verwendet, aber nicht im GPO mit der Erweiterung
.DOC verknüpft werden. Dies liegt daran, dass es kein Paket gibt, das zur Bereit-
stellung von WordPad über ein GPO verwendet werden kann. Wenn Sie WordPad
mit der Erweiterung .DOC verknüpfen möchten, müssen Sie ein Paket zur Bereit-
stellung von WordPad erstellen. Der wesentliche Punkt hier ist, dass die Priorität
bei Dateierweiterungen nur für Pakete gilt, die mit Windows-2000-Gruppenrichtli-
nien verteilt werden. Sie gilt nicht für Software, die mit anderen Methoden verteilt
wird.
Folgen Sie der Schrittanleitung, um Prioritäten für Dateinamenserweiterungen zu

konfigurieren und zu ändern.

7.12 Konfiguration der Dateierweiterungspriorität für ein GPO
TEN.

4. Klicken Sie mit der rechten Maustaste auf den Container SOFTWAREINSTAL-
LATION und wählen Sie EIGENSCHAFTEN.
5. Klicken Sie auf das Register DATEIERWEITERUNGEN, um die Liste der Pakete
und Dateierweiterungen anzuzeigen, wie in Abbildung 7.44 gezeigt.
6. Wählen Sie die Erweiterung, zu der Sie die Anwendungspriorität ändern
möchten. Verwenden Sie hierzu das Drop-down-Listenfeld, um eine Liste der
mit der betreffenden Erweiterung verknüpften Softwareanwendungen anzu-
zeigen.
Abbildung 7.44
Die Registerkarte
DATEIERWEITERUN-
GEN des Dialog-
felds EIGENSCHAF-
TEN VON
SOFTWAREINSTALLA-
TION
7. Bringen Sie die Anwendung, die standardmäßig installiert werden soll, mit
Hilfe der Schaltflächen NACH OBEN und NACH UNTEN an den Anfang der
Liste. Klicken Sie OK, wenn Sie fertig sind, um die Änderungen zu spei-
chern.
setzen.
Wenn Sie sich fragen, wie die Dateierweiterung mit einem bestimmten Paket in
Verbindung gebracht wurde, denken Sie zurück an den Abschnitt »Packen von Soft-
ware für die Bereitstellung« in diesem Kapitel. Vielleicht erinnern Sie sich, dass Sie
beim Umpacken einer Anwendung festlegen konnten, mit welchen Dateierweiterun-
gen diese Anwendung verknüpft werden soll. Genauso verknüpft ein Softwareent-
wickler bestimmte Dateierweiterungen mit seiner Anwendung, wenn er ein Paket
für die Installation seiner Software erstellt. Auf diese Weise können Benutzer die
Anwendung nutzen wie vorgesehen.
Auf welche Weise auch immer eine Erweiterung mit einer Anwendung verknüpft
wird, diese Verknüpfung wird in Active Directory veröffentlicht und auf jedem Cli-
entcomputer fortgeschrieben. Dies geschieht, damit Dateien geöffnet werden kön-
nen und Benutzer nicht in die Verlegenheit kommen, Dateien zu besitzen, die sie
nicht öffnen können.
7.6.4 Fehlersuche bei der Softwarebereitstellung

Softwarewartung und -fehlersuche mittels Gruppenrichtlinien
씰 Fehlersuche bei verbreiteten Problemen während der Softwarebereitstellung
Nachdem Sie die Softwarebereitstellung konfiguriert haben, vor allem wenn Sie
einer großen Organisation angehören, die viele GPOs zur Bereitstellung von Soft-
ware einsetzt, kommt es gelegentlich vor, dass die Softwarebereitstellung nicht
genauso funktioniert wie erwartet. Einige der häufiger auftretenden Probleme und
ihre Ursachen sind in der folgenden Tabelle aufgeführt.
Problem Ursache und Lösung
Anwendung Die wahrscheinlichste Ursache dieses Problems ist, dass der Benutzer
kann nicht die Netzwerkfreigabe nicht erreichen kann, in der sich das Paket
installiert befindet. Prüfen Sie, ob die Freigabe wirklich verfügbar ist, und ob
werden der Benutzer berechtigt ist, auf die Paketdateien zuzugreifen. Die
nötigen Berechtigungen sind Lesen für die Freigabe und Lesen und
Ausführen auf NTFS-Ebene für den Datenträger, auf dem die Paketda-
teien liegen. Die NTFS-Berechtigungen sind für alle Dateien und
Ordner erforderlich, die zum Paket gehören.
Anwendungen Die wahrscheinlichste Ursache dieses Problems ist die Art der Bereit-
werden auf dem stellung der Software. Wenn die Anwendung dem Benutzer zuge-
Desktop nicht wiesen wurde, sollten die Verknüpfungen für die Anwendung auf dem
angezeigt wie Desktop des Benutzers angezeigt werden. Wenn dies nicht der Fall ist,
erwartet melden Sie sich als Benutzer an und prüfen Sie, ob die Anwendung in
der Systemsteuerung unter Software aufgeführt ist. Wenn ja, dann
wurde die Anwendung veröffentlicht, nicht zugewiesen. In diesem
Fall muss der Benutzer die Anwendung manuell installieren oder die
Installation per Dokumentaktivierung starten.
Wenn die Anwendung nicht unter Software aufgeführt wird und keine
Verknüpfungen auf dem Desktop angezeigt werden, dann könnte es
sein, dass die Anwendung nie verteilt oder in einer anderen OU
verteilt wurde. Es ist ebenfalls möglich, dass die Anwendung in der
richtigen OU verteilt wurde, dass aber der Benutzer aus dem Gültig-
keitsbereich des GPO herausgefiltert wurde, in dem die Anwendungs-
bereitstellung festgelegt ist. Prüfen Sie die Sicherheitseinstellungen
für das GPO, um sicherzustellen, dass der Benutzer nicht aus den
GPO-Einstellungen herausgefiltert wird.
Tabelle 7.2: Häufig vorkommende Bereitstellungsprobleme

Verteilte Anwen- In manchen Fällen verläuft das Umpacken von Anwendungen mit
dungen funktio- einem Packprogramm von einem Drittanbieter, wie etwa Veritas
nieren nach der WinINSTALL LE, nicht korrekt. Wenn beispielsweise das Setup-
Installation nicht Programm der Anwendung beim Umpacken bestimmte Dateien nicht
richtig auf der Festplatte des Referenzcomputers installiert, sind diese
Dateien nicht in der erstellten Paketdatei enthalten und müssen auf der
Festplatte des Benutzers vorhanden sein. Werden sie hier nicht
gefunden, so funktioniert die Anwendung nach der Bereitstellung u.U.
nicht richtig. Um das Problem zu beheben, packen Sie die Anwen-
dung erneut oder fügen Sie die benötigten Dateien zum Paket hinzu.
Bei Paketinstal- Dies ist ebenfalls ein Problem beim Umpacken. Wenn dabei eine
lation werden längere Zeit zwischen Vorher- und Nachher-Schnappschuss liegt,
andere Dateien können andere Änderungen am System stattgefunden haben, falls
entfernt andere Programme gestartet wurden. Dies kann dazu führen, dass das
endgültige Paket nach Erstellung des Nachher-Schnappschusses
Anweisungen zur Entfernung von Dateien von der Festplatte enthält.
Ist dies der Fall, so werden dieselben Dateien bei der Bereitstellung
des Pakets vom Computer des Benutzers entfernt, was Probleme bei
anderen Anwendungen verursachen kann. Um dieses Problem zu
beheben, ändern Sie das Paket so, dass keine Dateien gelöscht werden,
oder packen Sie die Software neu, um sicherzustellen, dass sie korrekt
konfiguriert ist.
Anwendungen Die wahrscheinlichste Ursache dafür sind Konflikte in Gruppenrichtli-
werden nicht nien. GPOs können auf verschiedenen Ebenen von Active Directory
verteilt wie erstellt werden, und in diesen kann Softwarebereitstellung konfigu-
erwartet oder riert sein. Es ist möglich, dass eine Einstellung in einem GPO, das mit
überhaupt nicht einem Active Directory-Container verknüpft ist, im Widerspruch steht
verteilt mit einer Einstellung in einem anderen GPO in einem Container auf
einer tieferen Ebene in Active Directory. Außerdem können, da Soft-
ware sowohl Computern als auch Benutzern zugewiesen werden kann,
Computereinstellungen je nach AD-Ebene, auf der sie angewandt
werden, Benutzereinstellungen überschreiben.
Wenn einem Benutzer beispielsweise Microsoft Word 2000 auf Ebene
des Domänen-GPO zugewiesen wurde, ihm aber dieselbe Anwendung
auf OU-Ebene verweigert wurde, dann wird die Anwendung nicht
installiert. Wenn ferner einem Benutzer eine Anwendung wie Micro-
soft Excel 2000 auf Domänenebene zugewiesen, aber für die obligato-
rische Entfernung von seinem Computer markiert wurde, steht die
Anwendung dem Benutzer nicht zur Verfügung.
Es ist immer sinnvoll, die Vererbung von GPOs innerhalb der Active
Directory-Struktur zu prüfen.
Tabelle 7.2: Häufig vorkommende Bereitstellungsprobleme

Wie Sie in der vorstehenden Tabelle sehen konnten, haben viele verbreitete Prob-
leme bei der Softwarebereitstellung mit Fehlern beim Umpacken oder Problemen
mit Gruppenrichtlinien zu tun. Das Verständnis für die allgemeine Funktionsweise
von GPOs (ganz gleich, ob Sie GPOs für die Softwarebereitstellung verwenden
oder nicht) ist von entscheidender Bedeutung. Durch Testen der Softwarebereitstel-
lung auf wenigen Computern vor der Einführung im großen Stil wird das Risiko
verringert, dass Probleme im großen Maßstab auftreten.
Fallstudie: Verwendung von Gruppenrichtlinien zur

Softwarebereitstellung in der Sonnenschein-Brauerei

Die Sonnenschein-Brauerei hat eine neue Anwendung für die Unternehmens-
ressourcenplanung (ERP) erworben, die an alle Manager und administrativen
Benutzer verteilt werden muss. Beim Verkaufspersonal muss die CRM-Kom-
ponente (Customer Relationship Management) der Anwendung ebenfalls
installiert werden, weil diese Mitarbeiter die Intelligenz des Systems verwen-
den sollen, um Bestellungen zu bearbeiten, Kundenprofile zu erstellen und den
Status von Kundenaufträgen und anderen Elementen zu überprüfen. Darüber
hinaus wurde Microsoft Office 2000 als unternehmensweite Standardlösung für
das Büro angeschafft, und dieses muss auf allen Benutzerdesktops installiert
werden. Da das Unternehmen multinational tätig ist, müssen bestimmte Ein-
stellungen für Office 2000, wie etwa Wörterbuchkomponenten für die Recht-
schreibprüfung, an lokale Erfordernisse angepasst werden.
Es wurde außerdem beschlossen, dass Windows-Installer-Paketdateien für
Dienstprogramme, darunter WinZIP, Adobe Acrobat Reader und Real Audio
Player, die vom lokalen Softwarelieferanten gekauft wurden, den Benutzern als
optionale Installation zur Verfügung gestellt werden sollen. Wenn der Benutzer
versucht, eine Datei eines Typs zu öffnen, der von dem Dienstprogramm unter-
stützt wird, soll er gefragt werden, ob er das Paket installieren möchte.
In der Vergangenheit wurden große Softwarebereitstellungsprojekte von den
Mitarbeitern der IT-Abteilung abgewickelt, wobei der Großteil der Fleißarbeit
von Teilzeitkräften und Werkstudenten übernommen wurde. Das für diese Vor-
gehensweise kalkulierte Budget wurde vom VV abgelehnt, und die IT-Abtei-
lung wurde angewiesen, die Bereitstellung mit vorhandenen Mitteln innerhalb
von drei Monaten abzuwickeln. Als Champion für Windows 2000 in der Orga-
nisation wurden Sie angewiesen, dafür zu sorgen, dass dies erledigt werden
kann, andernfalls müssen Sie mit Konsequenzen rechnen.
Fallstudie: Verwendung von Gruppenrichtlinien 571
Nach Prüfung der Anforderungen wenden Sie sich an den ERP-Hersteller, um

zu ermitteln, ob die Software bestimmte Installationsfähigkeiten aufweist, die
eine Bereitstellung in diesem Maßstab unterstützen. Der Drittanbieter der ERP-
Anwendung hat mitgeteilt, dass auf jedem Clientcomputer ein Installationspro-
gramm ausgeführt werden muss, auch wenn das Ergebnis bei Installation der-
selben Komponenten immer gleich ausfällt. Ein Windows-Installer-Paket liegt
für das ERP-System nicht vor, und der Hersteller plant auch nicht, eines anzu-
bieten, es sei denn, die Sonnenschein-Brauerei zahlt einen saftigen Preis (sie
geben zu, dass dies Neuland wäre und sie bei Null anfangen müssten).
In diesem Kapitel haben Sie gesehen, wie Gruppenrichtlinien bei der Bereitstel-
lung von Softwarepaketen in einem Unternehmen oder an eine bestimmte
Gruppe von Benutzern verwendet werden können. Es wurden außerdem
Methoden vorgestellt, die zur Aktualisierung von bereits verteilten Paketen ein-
gesetzt werden können, und Sie haben gelernt, wie Software, die nicht in einem
Windows-Installer-kompatiblen Format vorliegt, umgepackt werden kann. Hier
werden Sie feststellen, wie dies zur Lösung eines bestimmten Problems bei der
Sonnenschein-Brauerei verwendet werden kann.
Situationsanalyse
Die Herausforderung durch den Maßstab dieser Softwarebereitstellung mag
zwar auf den ersten Blick etwas erschreckend erscheinen, aber durch den Ein-
satz von Gruppenrichtlinien für die Bereitstellung ist dieses Problem leicht zu
lösen.
Auf der ERP-Seite würden Sie mindestens zwei verschiedene Softwarekonfi-
gurationen benötigen: eine für das Verkaufspersonal, das eine Untermenge des
ERP-Pakets (nur die CRM-Komponente) erhält, und die andere für alle admi-
nistrativen Benutzer, auf deren Desktops die gesamte ERP-Clientsoftware
installiert werden soll. Da der ERP-Hersteller die Anwendung nicht im Win-
dows-Installer-Paketformat anbietet und Ihnen dies beim Verkaufspersonal
auch nichts nützen würde, müssen Sie zunächst zwei Windows-Installer-Pakete
mit der korrekten Konfiguration erstellen.
Die Erstellung des Windows-Installer-Pakets für die administrativen Benutzer

würden Sie mit einem sauberen Windows-2000-Professional-Computer begin-
nen und mit Veritas WinINSTALL LE (oder einem anderen Produkt von einem
Drittanbieter) einen Vorher-Schnappschuss des Computers erstellen. Anschlie-
ßend würden Sie die ERP-Anwendung so installieren und konfigurieren, wie
sie auf den Computern aller administrativen Benutzer aussehen soll. In dieser
Phase würden Sie alle erforderlichen Verknüpfungen erstellen und Software-
einstellungen konfigurieren. Danach würden Sie den Discover Wizard von
Veritas WinINSTALL LE (oder das Tool vom Drittanbieter) verwenden, um
die Paketdatei mit der richtigen Konfiguration zu erstellen.
Zur Erstellung einer Windows-Installer-Paketdatei für die Benutzer im Ver-
kaufsbereich würden Sie ähnliche Schritte ausführen wie bei der Paketerstel-
lung für die Administratoren, aber Sie würden nur die Komponenten der
Anwendung übernehmen, die vom Verkauf benötigt werden (CRM). Zu diesem
Zeitpunkt würden zwei Windows-Installer-Pakete vorliegen, die Sie in jeweils
eigenen Ordnern in eine Netzwerkfreigabe legen würden. Daneben würden Sie
Microsoft Office 2000 in einem eigenen Ordner am selben Freigabepunkt able-
gen.
Zur Bereitstellung der Software müssten Sie drei GPOs erstellen: eines für die
OU Admin mit dem ERP-Paket, ein zweites für die OU Verkauf mit der CRM-
Komponente des ERP-Pakets und ein drittes mit Microsoft Office 2000. Dieses
GPO würde an jedem Standort erstellt und würde Transformationsdateien
(MST) enthalten, die das Paket zur Berücksichtigung lokaler Einstellungen
modifizieren.
Sie würden das GPO mit dem ERP-Paket für authentifizierte Benutzer in der
OU Admin, das CRM-Paket für authentifizierte Benutzer in der OU Verkauf
und Microsoft Office 2000 für authentifizierte Benutzer auf Standortebene mit
der Option Kein Vorrang anwenden, um sicherzustellen, dass alle Benutzer
Microsoft Office 2000 erhalten.
Bei den Dienstprogrammen würden Sie alle Pakete mit einem GPO auf Domä-
nenebene an authentifizierte Benutzer veröffentlichen und bei jedem Paket die
Dokumentaktivierung aktivieren.
Zusammenfassung 573
Zusammenfassung
In diesem Kapitel haben Sie gelernt, wie Gruppenrichtlinien in Ihrem Unternehmen

für die Bereitstellung von Softwareanwendungen eingesetzt werden können. Soft-
ware, die mittels Gruppenrichtlinien verteilt werden soll, muss in einem mit Win-
dows Installer kompatiblen Format vorliegen. Zu solchen Formaten gehören u.a.
Windows-Installer-Paketdateien (MSI) und ZAP-Dateien, die der Windows-Instal-
ler-Dienst analysieren kann, um den Softwareinstallationsprozess zu starten.
Mittels Gruppenrichtlinien kann Software entweder durch Zuweisung oder durch

Veröffentlichung an Benutzer verteilt werden. Bei Zuweisung eines Softwarepa-
kets an einen Computer werden automatisch Symbole auf dem Desktop abgelegt.
Wenn ein Paket einem Benutzer zugewiesen ist, dann wird der Softwareinstallati-
onsprozess gestartet, sobald der Benutzer auf ein Symbol oder Dokument klickt,
dessen Dateierweiterung mit dem Paket verknüpft ist.
Bei Veröffentlichung von Software wird die Anwendung dem Benutzer zur Verfü-
gung gestellt, aber nicht unmittelbar installiert. Die Software wird entweder über
Software in der Systemsteuerung oder durch Dokumentaktivierung installiert. Letz-
tere findet statt, wenn der Benutzer versucht, eine Datei zu öffnen, deren Erweite-
rung mit einem bestimmten Paket verknüpft ist. Windows 2000 prüft, ob auf dem
Computer des Benutzers eine Anwendung verfügbar ist, mit der die Datei geöffnet
werden kann. Ist dies nicht der Fall, so wird Active Directory auf eine Liste von
Anwendungen und deren Priorität hin überprüft. Dann wird mittels Gruppenrichtli-
nien Windows Installer gestartet, um die Anwendung zu installieren.
Nur Windows-Installer-Paketdateien können Benutzern zugewiesen oder veröffent-

licht werden. Solche Dateien enthalten die nötigen Informationen für die Installa-
tion der Anwendung ohne Benutzereingriff. ZAP-Dateien können nur veröffentlicht
werden. Sie setzen voraus, dass der Benutzer den normalen Installationsprozess für
die Softwareanwendung durchführt. Aus diesem Grund werden von Drittanbietern
Tools zum Umpacken von Anwendungen angeboten, die nicht in einem Windows-
Installer-Paketdateiformat vorliegen. Ein solches Tool, Veritas WinINSTALL LE,
ist auf der Windows-2000-CD-ROM enthalten.
Administratoren können Dateien transformieren, um dasselbe Softwarepaket mit

unterschiedlichen Optionen an verschiedene OUs im Unternehmen zu verteilen.
Transformationsdateien ändern ein vorhandenes Paket so ab, dass es bestimmte
Anforderungen erfüllt, etwa hinsichtlich der Sprache oder des geografischen Stand-
orts. Außerdem können Administratoren Softwareanwendungen kategorisieren, um
für den Benutzer die Auswahl der zu installierenden Software in der Systemsteue-
rung unter Software zu vereinfachen.
Nach einiger Zeit mag es notwendig sein, den Benutzern neuere Versionen ihrer
Anwendungen zukommen zu lassen oder andere, nicht mehr benötigte Anwendun-
gen zu entfernen. Der Administrator kann ein Softwarepaket als obligatorische oder
optionale Aktualisierung für eine vorhandene Anwendung festlegen. Obligatorische
Aktualisierungen werden installiert, ohne den Benutzer an der Entscheidung zu
beteiligen; optionale Aktualisierungen lassen dem Benutzer die Wahl, ob er bzw. sie
auf die aktuellste Version aktualisieren möchte. Auch die Entfernung von Software
kann obligatorisch oder optional sein. Bei der erzwungenen Entfernung wird das
Softwarepaket zwangsweise vom Computer des Benutzers entfernt. Die optionale
Entfernung lässt dem Benutzer die Freiheit, die Software weiterhin zu verwenden.
Auch wenn der Benutzer das Paket auf seinem System belässt, kann es nicht mehr
installiert werden, weil es nicht mehr in Active Directory veröffentlicht wird.
Die meisten Probleme bei der Bereitstellung von Software mittels Gruppenrichtli-
nien gehen auf Netzwerkfehler zurück, beispielsweise wenn ein Softwarevertei-
lungspunkt nicht erreichbar ist. Manche Probleme sind auf die Anwendung von
Gruppenrichtlinien zurückzuführen. Beim Einkreisen von Problemen müssen Sie
alle Regeln einhalten, die für die Richtlinienvererbung, Filterung und andere Ele-
mente gelten, wie in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«,
beschrieben. Bereitstellung ist ein extrem nützlicher Aspekt der Gruppenrichtlinien,
aber sie ändert nicht die allgemeine Funktionsweise von Gruppenrichtlinien.
Schlüsselbegriffe
쎲 Erzwungene (obligatorische) 쎲 Paketänderungen
Paketentfernung
쎲 GPO-Gültigkeitsbereich 쎲 Softwarekategorien
쎲 Gruppenrichtlinienfilterung 쎲 Transformationsdateien
쎲 Gruppenrichtlinienobjekt 쎲 Umpacken einer Anwendung
(GPO)
쎲 Gruppenrichtlinienpriorität 쎲 Umpacken von Software
쎲 Gruppenrichtlinienvererbung 쎲 Veröffentlichung von
Software
쎲 Neubereitstellung 쎲 Windows Installer
쎲 Obligatorische Aktualisierung 쎲 Windows-Installer-Dienst
쎲 Optionale Aktualisierung 쎲 ZAP-Datei
쎲 Optionale Entfernung 쎲 Zuweisung von Software
Lernzielkontrolle
Übungen
Alle Übungen zu diesem Kapitel setzen voraus, dass Sie Windows 2000 Server
(bzw. Advanced Server) auf einem Computer installiert haben. Ihr Windows 2000
Server muss als Domänencontroller für eine Domäne konfiguriert sein, damit die
Übungen funktionieren. Sie müssen sich bei der Domäne als Administrator anmel-
den können (d.h. Ihr Benutzerkonto muss Mitglied der Gruppe Organisations-
Admins oder der Gruppe Domänen-Admins sein). Es reicht aus, wenn Sie das
Kennwort für das Administratorkonto kennen.
Für diese Übungen benötigen Sie mindestens zwei Windows-Installer-Paketdateien.

Wenn Sie nicht genügend haben, können Sie mit Veritas WinINSTALL LE eine
Anwendung Ihrer Wahl umpacken und diese verwenden, oder Sie können eine der
Anwendungen auf der Windows-2000-CD-ROM verwenden, die bereits im richti-
gen Format gepackt sind. Eine fertige MSI-Datei, die verwendet werden kann, ist
das Windows 2000 Resource Kit im Ordner SUPPORT\TOOLS auf der Windows-
2000-CD-ROM.
Die Übungen in diesem Kapitel bauen auf den Übungen in Kapitel 6, »Benutzerver-
waltung mit Gruppenrichtlinien«, auf. Sie sollten die Übungen in Kapitel 6 abge-
schlossen haben, bevor Sie die folgenden Übungen beginnen.
7.1 Verwendung von Gruppenrichtlinien zur Softwarebereitstellung

In dieser Übung werden Sie zunächst die Softwarebereitstellung für die OU For-
schung konfigurieren. Dann werden Sie testen, ob die veröffentlichte Anwendung
unter Software in der Systemsteuerung verfügbar ist. Falls ja, werden Sie das Paket
installieren.
Geschätzte Zeit: 20 Minuten.
Führen Sie folgende Schritte aus, um zur OU Forschung Softwareinstallationskom-

ponenten hinzuzufügen:
1. Während Sie als Domänenadministrator angemeldet sind, starten Sie ACTIVE

DIRECTORY-BENUTZER UND -COMPUTER.
2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf die OU
Vertrieb und wählen Sie EIGENSCHAFTEN.
3. Markieren Sie die in Übung 6.1 erstellte Forschungs-Richtlinie und klicken
Sie auf BEARBEITEN. Damit wird der Gruppenrichtlinieneditor gestartet.
4. Erweitern Sie in der Konsolenstruktur Gruppenrichtlinien BENUTZERKONFI-

GURATION und erweitern Sie dann SOFTWAREEINSTELLUNGEN.

wählen Sie NEU, dann PAKET. Suchen Sie in dem angezeigten Dialogfeld
ÖFFNEN nach der Paketdatei für die zu verteilende Softwareanwendung, und
klicken Sie auf ÖFFNEN. Stellen Sie sicher, dass das Paket in einer Netzwerk-
freigabe liegt, damit alle Benutzer, die es benötigen, darauf zugreifen können.
6. Wählen Sie im Dialogfeld SOFTWARE BEREITSTELLEN, das angezeigt wird,
VERÖFFENTLICHT als Bereitstellungsmethode, und klicken Sie auf OK.
chern.
8. Klicken Sie anschließend auf OK, um es zu schließen.
9. Melden Sie sich beim Computer ab, nachdem Sie ACTIVE DIRECTORY-BE-
NUTZER UND -COMPUTER geschlossen haben.
Führen Sie zum Test der Softwarebereitstellung mittels Gruppenrichtlinien folgende

Schritte aus:
1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler,
für den die Gruppenrichtlinie gültig ist (TimC).
2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG.
3. Doppelklicken Sie auf SOFTWARE, um die Anwendung zu starten.
4. Klicken Sie auf NEUE PROGRAMME HINZUFÜGEN , um eine Liste verfügbarer
Anwendungen im Netzwerk anzuzeigen. Wird das Paket, das Sie vorher kon-
figuriert haben, in der Liste angezeigt?
_____________________________________________________________
_____________________________________________________________
5. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um das Paket auf dem Com-
puter zu installieren. Wie viel Benutzerinteraktion findet während der Instal-
lation statt?
_____________________________________________________________
_____________________________________________________________
6. Versuchen Sie, die Anwendung zu starten, und testen Sie, ob sie richtig funk-
tioniert. Ist dies der Fall?
_____________________________________________________________
_____________________________________________________________
7. Melden Sie sich beim Computer ab, wenn Sie mit dem Test der Anwendungs-
funktionalität fertig sind.
7.2 Konfiguration von Softwarebereitstellungsoptionen

In dieser Übung konfigurieren Sie einen Standard-Freigabeordner für die Software-
bereitstellung für alle Anwendungen, die für die Gruppenrichtlinie der OU For-
schung konfiguriert sind. Dann erstellen Sie Softwarekategorien, die der ganzen
Domäne zur Verfügung stehen, und ordnen Ihrem Paket zwei Kategorien zu.
Führen Sie folgende Schritte aus, um Softwarekategorien zu erstellen, Software

Kategorien zuzuordnen und eine Standardfreigabe für die Installation zu beschrei-
ben:

3. Markieren Sie das zuvor erstellte GPO Forschung und klicken Sie auf BEAR-
BEITEN. Damit wird der Gruppenrichtlinieneditor gestartet.


6. Geben Sie in der Registerkarte ALLGEMEIN im Feld STANDARDPFAD FÜR PA-
KETE Ihren Freigabenamen im Format \\Computername\Freigabename ein
(Beispiel: \\Toronto\Pakete). Damit wird der Standardpfad für alle Pakete in
diesem GPO konfiguriert. Der eigentliche vollständige Pfad zum Paket wird
in den Paketeinstellungen gespeichert. Wenn Pakete, die verschoben wurden,
in diesen Ordner gelegt werden, können sie während der Bereitstellung ge-
funden werden.
7. Klicken Sie auf das Register KATEGORIEN, um Softwarekategorien zu diesem
GPO und zur Domäne hinzuzufügen.
8. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um eine neue Kategorie na-
mens Dienstprogramme hinzuzufügen, und klicken Sie auf OK, wenn Sie fer-
tig sind. Wiederholen Sie diesen Schritt, um zwei weitere Kategorien namens
Dateileser und Büropakete zu erstellen. Wenn das verwendete Softwarepaket
in keine dieser Kategorien fällt, fügen Sie weitere Kategorien hinzu, die ge-
eignet sind, Ihre Software zu beschreiben.
9. Wenn Sie mit dem Hinzufügen von Kategorien fertig sind, klicken Sie auf
ÜBERNEHMEN und dann auf OK, um das Dialogfeld EIGENSCHAFTEN VON
SOFTWAREINSTALLATION zu schließen.
10. Um Ihr Paket in Softwarekategorien aufzunehmen, markieren Sie das Paket,
klicken Sie mit der rechten Maustaste darauf und wählen Sie dann EIGEN-
SCHAFTEN.
11. Klicken Sie auf das Register KATEGORIEN, um zu prüfen, in welche Kategori-
en die Software aufgenommen wurde. Markieren Sie Dateileser und Dienst-
programme in der Liste verfügbarer Kategorien, und klicken Sie auf
AUSWÄHLEN. Klicken Sie auf OK, wenn Sie mit der Kategorienauswahl fer-
tig sind.
chern.
13. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON FORSCHUNG auf OK, um es
zu schließen.
14. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER MMC.
Führen Sie folgende Schritte aus, um die Aufnahme der Software in Kategorien zu
überprüfen:
3. Doppelklicken Sie auf SOFTWARE, um die Anwendung zu starten.
4. Klicken Sie auf NEUE PROGRAMME HINZUFÜGEN, um eine Liste verfügbarer
Anwendungen im Netzwerk anzuzeigen. Welche Kategorien sind im Drop-
down-Listenfeld KATEGORIEN verfügbar?
_____________________________________________________________
_____________________________________________________________
5. Wählen Sie eine der Kategorien, in die Sie Ihr Paket aufgenommen haben
(Dienstprogramme oder Dateileser). Wird Ihr Paket in der Kiste angezeigt,
wenn die Kategorie Dienstprogramme markiert ist? Wird es auch in der Kate-
gorie Dateileser angezeigt? (Geben Sie hier ggf. Ihre eigenen Kategorien an)
_____________________________________________________________
_____________________________________________________________
6. Schließen Sie SOFTWARE und schließen Sie dann SYSTEMSTEUERUNG.
7. Melden Sie sich beim Computer ab, wenn Sie fertig sind.
7.3 Konfiguration von Softwareaktualisierungen

In dieser Übung konfigurieren Sie eine Aktualisierung für Ihr Paket. Zuerst fügen
Sie Ihrem GPO ein weiteres Paket hinzu, dann konfigurieren Sie dieses als Aktuali-
sierung für Ihr vorhandenes Paket. Sie machen die Aktualisierung obligatorisch.
Schließlich testen Sie die Aktualisierung, um sicherzustellen, dass sie erfolgreich
ist.
Führen Sie folgende Schritte aus, um ein Paket als Aktualisierung für Ihr vorhande-
nes Paket hinzuzufügen:



wählen Sie NEU, dann PAKET. Suchen Sie im angezeigten Dialogfeld ÖFFNEN
nach der Paketdatei (MSI) für die Softwareanwendung, die zur Aktualisie-
rung Ihres vorhandenen Pakets verwendet werden soll, und klicken Sie auf
ÖFFNEN. Dies muss eine andere Datei sein als Ihre ursprüngliche Anwen-
dung.
6. Wählen Sie im Dialogfeld SOFTWARE BEREITSTELLEN VERÖFFENTLICHT als
Bereitstellungsmethode und klicken Sie auf OK.
7. Klicken Sie mit der rechten Maustaste auf das soeben hinzugefügte Paket und
8. Klicken Sie auf das Register KATEGORIEN und wählen Sie die Kategorien, die
auf dieses Paket zutreffen. Diese sollten ähnlich (wenn nicht identisch) zu
den Kategorien sein, die Sie für Ihr ursprüngliches Paket gewählt haben.
9. Klicken Sie auf das Register AKTUALISIERUNGEN und dann auf die Schaltflä-
che HINZUFÜGEN, um ein Paket hinzuzufügen, für welches das neue Paket
eine Aktualisierung darstellen soll.
10. Wählen Sie in der angezeigten Liste das erste Anwendungspaket, und aktivie-
ren Sie passend zu Ihrer Softwareanwendung entweder BESTEHENDES PAKET
DEINSTALLIEREN, AKTUALISIERUNGSPAKET INSTALLIEREN oder PAKET KANN
ÜBER DAS BESTEHENDE PAKET AKTUALISIEREN. Klicken Sie auf OK.
11. Stellen Sie sicher, dass in der Registerkarte AKTUALISIERUNGEN die Option
BESTEHENDE PAKETE AKTUALISIEREN aktiviert ist, und klicken Sie auf ÜBER-
NEHMEN, dann auf OK, um das Dialogfeld EIGENSCHAFTEN für Pakete zu
schließen.
chern.
zu schließen.
NUTZER UND -COMPUTER MMC geschlossen haben.
Führen Sie zum Test der Paketaktualisierung folgende Schritte aus:
3. Starten Sie Ihr erstes Anwendungspaket, indem Sie darauf doppelklicken
oder eine damit verknüpfte Dateierweiterung öffnen. Was passiert?
_____________________________________________________________
_____________________________________________________________
4. Ist die ältere Version Ihrer Anwendung immer noch installiert? Warum bzw.
warum nicht?
_____________________________________________________________
_____________________________________________________________
5. Wenn Sie fertig sind, schließen Sie alle Programme und melden Sie sich beim
Computer ab.
7.4 Entfernen verteilter Pakete mittels Gruppenrichtlinien
In dieser Übung konfigurieren Sie die obligatorische Entfernung des zuletzt instal-
lierten Pakets (d.h. der letzten Aktualisierung). Dann testen Sie die Aktualisierung,
um sicherzustellen, dass sie erfolgreich ist.

Führen Sie folgende Schritte aus, um ein Paket als Aktualisierung für Ihr vorhande-
nes Paket hinzuzufügen:

2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf die
OU Vertrieb und wählen Sie EIGENSCHAFTEN.

GURATION und erweitern Sie dann SOFTWAREEINSTELLUNGEN. Klicken Sie
auf SOFTWAREINSTALLATION, um eine Liste von Paketen zu diesem GPO an-
zuzeigen.
5. Klicken Sie mit der rechten Maustaste auf das ältere Paket und wählen Sie
ALLE TASKS, dann ENTFERNEN.
6. Aktivieren Sie im Dialogfeld ENTFERNEN SOFTWARE die Option SOFTWARE
SOFORT VON BENUTZERN UND COMPUTERN DEINSTALLIEREN, und klicken
Sie auf OK. Wiederholen Sie diesen Schritt auch für die Aktualisierung. Be-
achten Sie, dass beide Pakete aus der Liste SOFTWAREINSTALLATION entfernt
werden.
chern.
zu schließen.
NUTZER UND -COMPUTER MMC geschlossen haben.
Führen Sie zum Test der Paketaktualisierung folgende Schritte aus:
2. Welche neuen Meldungen werden während des Anmeldevorgangs angezeigt?
_____________________________________________________________
_____________________________________________________________
3. Werden die Symbole bzw. Verknüpfungen für eines Ihrer Pakete angezeigt
bzw. sind sie noch verfügbar? Warum bzw. warum nicht?
_____________________________________________________________
_____________________________________________________________
4. Wenn Sie fertig sind, schließen Sie alle Programme und melden Sie sich beim
Computer ab.
Wiederholungsfragen
1. Wie muss Software konfiguriert werden, damit sie mittels Gruppenrichtlinien
verteilt werden kann?
2. Sie müssen sicherstellen, dass alle Benutzer in Ihrer Organisation Microsoft
Outlook 2000 als E-Mail-Client installiert haben. Wie würden Sie das reali-
sieren?
3. Benutzer in Ihrem Büro in Frankreich beschweren sich, dass sie in Microsoft
Outlook 2000 keine Eingabeaufforderungen und andere Informationen auf
Französisch erhalten. Wie würden Sie das Problem beheben?
4. Wenn eine Softwareanwendung nicht als Windows-Installer-Paketdatei aus-
geliefert wird, welche Alternativen gibt es für die Bereitstellung mittels
Gruppenrichtlinien?
5. Wenn Ihre Organisation viele Softwarepakete verteilt hat, wie können Sie
Benutzern die Suche nach der gewünschten Anwendung erleichtern?
6. In welchen Fällen würden Sie eine Anwendung einem Computer statt einem
Benutzer zuweisen?
7. Welche Optionen der Softwarebereitstellung sind bei ZAP-Dateien nicht ver-
fügbar?
8. Wie würden Sie einer vorhandenen MSI-Datei eine Supporttelefonnummer
und eine Website-Adresse hinzufügen?
9. Warum entfernt ein Softwarepaket Dateien vom Computer des Benutzers,
wenn es verteilt wird?
10. Wie können Sie sicher sein, dass Benutzer eine Anwendung weiterhin einset-
zen können, nachdem sie aus dem GPO entfernt wurde?
Prüfungsfragen
1. Sie sind Administrator einer großen multinationalen Organisation mit Büros
in Paris, London, Berlin, Moskau, Tokio und Sydney sowie der Zentrale in
New York. Ihr Informationsvorstand hat mit Microsoft verhandelt und macht
Microsoft Office 2000 zum Unternehmensstandard für Büropakete. Er
braucht Sie, um sicherzustellen, dass die Software verteilt wird.
Die Anforderungen an die Bereitstellung sind:
씰 Microsoft Office 2000 muss auf allen Desktops im gesamten Unterneh-

men installiert werden.
씰 In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Mic-

rosoft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflä-
chen einzusetzen.
씰 Die zentrale Rechtsabteilung in New York, für die eine eigene OU in der
Active Directory-Struktur existiert, installiert Microsoft Office 2000
nicht auf ihren Desktops, weil alle ihre Dokumente von einem Add-on
eines Drittanbieters für ein anderes Büropaket abhängen.
씰 Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig
gehalten werden.
Sie kommen zum Ergebnis, dass die Anforderungen am Besten folgenderma-

ßen erfüllt werden können:
씰 Verwendung von Microsoft Windows-2000-Gruppenrichtlinien zur

Bereitstellung der Software.
씰 Erstellung eines GPO-Objekts auf Domänenebene (Ihre Organisation
besteht aus nur einer Domäne), das die Software Computern zuweist.
씰 Erstellung einer Transformationsdatei für jede benötigte lokalisierte Ver-
sion und Hinzufügen dieser Datei zu dem Paket, das im GPO konfiguriert
ist.
씰 Blockieren der Richtlinienvererbung für die OU der Rechtsabteilung.
Welche der folgenden Anforderungen werden von Ihrer Lösung erfüllt?
(Kreuzen Sie alle zutreffenden an.)
A. Microsoft Office 2000 muss auf allen Desktops im gesamten Unterneh-
B. In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Micro-
soft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflä-
chen einzusetzen.
C. Die zentrale Rechtsabteilung in New York installiert Microsoft Office

2000 nicht auf ihren Desktops.
D. Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig
gehalten werden.
E. Die Lösung erfüllt keine dieser Zielsetzungen.
2. Sie sind Administrator einer großen multinationalen Organisation mit Büros

in Paris, London, Berlin, Moskau, Tokio und Sydney sowie der Zentrale in
New York. Ihr Informationsvorstand hat mit Microsoft verhandelt und macht
Microsoft Office 2000 zum Unternehmensstandard für Büropakete. Er
braucht Sie, um sicherzustellen, dass die Software verteilt wird.
Die Anforderungen an die Bereitstellung sind:
씰 Microsoft Office 2000 muss auf allen Desktops im gesamten Unterneh-
씰 In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Mic-
rosoft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflä-
chen einzusetzen.
씰 Die zentrale Rechtsabteilung in New York, für die eine eigene OU in der
Active Directory-Struktur existiert, installiert Microsoft Office 2000
nicht auf ihren Desktops, weil alle ihre Dokumente von einem Add-on
eines Drittanbieters für ein anderes Büropaket abhängen.
씰 Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig
gehalten werden.
Sie kommen zum Ergebnis, dass die Anforderungen am besten folgenderma-
ßen erfüllt werden können:
씰 Verwendung von Microsoft-Windows-2000-Gruppenrichtlinien zur Be-
reitstellung der Software.
씰 Erstellung eines GPO-Objekts auf Standortebene (jede Zweigstelle ist ein
eigener Standort), das die Software Computern zuweist.
씰 Erstellung einer Transformationsdatei in jedem Standort-GPO für die an
diesem Standort benötigte lokalisierte Version, und Hinzufügen dieser
Datei zu dem Paket, das im GPO konfiguriert ist.
씰 Filtern des GPO am Standort New York, sodass es die Computer der OU
der Rechtsabteilung nicht berücksichtigt.
Welche der folgenden Anforderungen werden von Ihrer Lösung erfüllt?

(Kreuzen Sie alle zutreffenden an.)
A. Microsoft Office 2000 muss auf allen Desktops im gesamten Unterneh-
B. In jeder Zweigniederlassung müssen die Benutzer in der Lage sein, Micro-
soft Office 2000 mit lokalisierten Wörterbüchern und Benutzeroberflä-
chen einzusetzen.
C. Die zentrale Rechtsabteilung in New York installiert Microsoft Office

2000 nicht auf ihren Desktops.
D. Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig
gehalten werden.
E. Die Lösung erfüllt keine dieser Zielsetzungen.

3. Wenn Sie Windows-Installer-Paketdateien mit ZAP-Dateien vergleichen,
welche der folgenden Aussagen trifft zu? (Wählen Sie die beste Antwort aus.)
A. Im Gegensatz zu Paketdateien können ZAP-Dateien nicht für die Soft-
warebereitstellung verwendet werden.
B. Mit Paketdateien können Erweiterungen veröffentlicht werden, die mit der
Anwendung verknüpft sind. Mit ZAP-Dateien ist dies nicht möglich.
C. ZAP-Dateien können, genau wie Paketdateien, mit höheren Privilegien in-
stalliert werden.
D. Paketdateien enthalten Verknüpfungen, Registrierungseinstellungen und
die zur Installation benötigten Dateien; dies trifft auf ZAP-Dateien nicht
zu.
E. Es gibt keinen Unterschied zwischen ZAP- und Paketdateien, was die ver-
fügbare Funktionalität betrifft.
4. Sie müssen Benutzern in Ihrer Verkaufsabteilung eine Softwareanwendung

verfügbar machen. Die Anwendung wird nicht im Windows-Installer-Paket-
format geliefert. Benutzer haben die Wahl, ob die Software auf ihren Compu-
tern installiert werden soll. Welche der folgenden Möglichkeiten eignet sich
am besten für die Bereitstellung dieser Anwendung mittels Gruppenrichtlini-
en? (Wählen Sie die beste Antwort aus.)
A. Umpacken der Anwendung mit WinINSTALL LE und Zuweisung an den
Benutzer.
B. Umpacken der Anwendung mit WinINSTALL LE und Veröffentlichung
für den Benutzer.
C. Erstellung einer ZAP-Datei für die Anwendung und deren Zuweisung an
den Benutzer.
D. Erstellung einer ZAP-Datei für die Anwendung und deren Veröffentli-
chung für den Benutzer.
E. Es ist nicht möglich, Software mittels Gruppenrichtlinien zu verteilen,
wenn die Software nicht als Windows-Installer-Paketdatei verfügbar ist.
5. Wenn ein Paket für einen Benutzer veröffentlicht wird, wie kann der Benut-
zer die Installation der Softwareanwendung im Paket einleiten? (Wählen Sie
zwei korrekte Antworten aus.)
A. Durch Öffnen einer Datei, deren Erweiterung mit dem Paket verknüpft ist
(Dokumentaktivierung)
B. Durch Starten des Setup-Programms für das Paket (Installationsaktivie-
rung)
C. Durch Anmelden, wobei das Setup-Programm für die Anwendung gestar-

tet wird (Anmeldungsaktivierung)
D. Durch Verwendung von Software in der Systemsteuerung (Benutzerakti-
vierung)
E. Durch Starten seines bzw. ihres Computers, wobei die Anwendung instal-
liert wird (Computeraktivierung)
6. Im GPO für die OU der Verkaufsabteilung haben Sie ein Paket für die
zwangsweise Entfernung bei allen Benutzern konfiguriert. Wenn Sie Benut-
zer in der Verkaufsabteilung besuchen, stellen Sie fest, dass die Anwendung
von den Computern einiger Benutzer entfernt wurde, aber nicht bei allen.
Was könnte der Grund dafür sein, dass sich das Paket immer noch auf den
Computern einiger Benutzer in der Verkaufsabteilung befindet? (Wählen Sie
die beste Antwort aus.)
A. Diese Benutzer haben die Frage, ob die Anwendung entfernt werden soll,
mit Nein beantwortet.
B. Diese Computer wurden aus dem Gültigkeitsbereich des GPO herausgefil-
tert.
C. Diese Benutzer haben das Paket auf ihren Computern als unerlässlich
markiert, wodurch die zwangsweise Entfernung übergangen wurde.
D. Diese Benutzer sind Verkaufsmanager und unterliegen deshalb nicht den
Regeln des normalen Verkaufs-GPO.
E. Sie haben die Anwendung mit Software in der Systemsteuerung neu in-
stalliert, nachdem sie entfernt worden war.
7. Sie möchten eine Aktualisierung für eine vorhandene Anwendung verteilen.
Sie möchten sicherstellen, dass alle Benutzer die Aktualisierung erhalten, und
dass die alte Version der Software nicht mehr verfügbar ist. Wie sollten Sie
die Aktualisierung konfigurieren? (Wählen Sie zwei korrekte Antworten
aus.)
A. Ich mache die Aktualisierung obligatorisch.

B. Ich mache die Aktualisierung optional.
C. Ich erlaube Benutzern, die vorhandene Version zu behalten.
D. Deinstallation der vorherigen Version bei Installation der Aktualisierung.
E. Überschreiben der vorhandenen Version durch die Aktualisierung.
8. Welche Vorteile hat die Verwendung von Windows-Installer-Paketdateien
bei der Softwarebereitstellung? (Wählen Sie alle korrekten Antworten aus.)
A. Sie können Software nur dann auf dem Computer eines Benutzers instal-
lieren, wenn der Benutzer dafür die Berechtigung hat.
B. Wichtige Dateien können automatisch ersetzt werden, wenn sie beschä-
digt oder gelöscht wurden.
C. Dateien, die gemeinsam mit anderen Anwendungen benutzt werden, wer-
den nicht gelöscht, wenn das Paket entfernt wird.
D. Sie können Software Benutzern und Computern zuweisen.
E. Sie können Software für Benutzer und Computer veröffentlichen.
Antworten zu den Übungen
Verwendung von Gruppenrichtlinien zur Softwarebereitstellung
Test der Softwarebereitstellung mittels Gruppenrichtlinien
1. Ja, das Paket wird in der Liste der im Netzwerk verfügbaren Programme an-
gezeigt.
2. Bei einer Paketdatei ist der Umfang der Benutzerinteraktion minimal. Wäh-
rend des Installationsvorgangs werden Statusinformationen angezeigt, aber es
werden keine Eingaben von Optionen für die Anwendungskonfiguration an-
gefordert. Die Installation wird erfolgreich abgeschlossen und verwendet die
in der Paketdatei festgelegten Parameter. Wenn Sie eine ZAP-Datei anstelle
einer Paketdatei verwenden, findet so viel Interaktion statt, wie das Setup-
Programm für die zu installierende Anwendung benötigt.
3. Die Anwendung sollte normal funktionieren. Mit anderen Worten, sie sollte
so funktionieren wie vor dem Umpacken, wenn Sie sie mit Veritas WinINS-
TALL LE bzw. nach Vorgaben des Herstellers umgepackt haben. Windows
Installer führt einfach die Aufgaben aus, die vom Softwareentwickler vorge-
geben sind, um die Anwendung zu installieren und funktionsfähig zu ma-
chen. Falls diese Konfiguration Fehler enthält, wenden Sie sich an den
Hersteller bzw. die Person, welche die Software umgepackt hat.
Konfiguration von Softwarebereitstellungsoptionen

Überprüfung der Zuordnung von Software zu Kategorien
1. Dienstprogramme, Dateileser und Büropakete. Es können auch andere Kate-

gorien angezeigt werden, wenn Sie diese erstellt haben.
2. Ihr Paket sollte in allen Kategorien aufgelistet sein, die Sie dafür ausgewählt
haben, einschließlich der in der Übung angesprochenen Kategorien Dienst-
programme und Dateileser.
Konfiguration von Softwareaktualisierungen
Testen der Paketaktualisierung
1. Windows Installer installiert die Aktualisierung.

2. Die ältere Version der Anwendung ist nicht mehr installiert, weil sie bei der
Aktualisierung entfernt oder überschrieben wurde.
Entfernen verteilter Pakete mittels Gruppenrichtlinien
Testen der mittels Gruppenrichtlinien erzwungenen Paketentfernung
1. Sie erhalten Meldungen darüber, dass die verteilte Software während des An-
meldungsvorgangs entfernt wird.
2. Symbole und Verknüpfungen für die mittels Gruppenrichtlinien verteilte
Software sind nicht mehr verfügbar. Die Pakete wurden vollständig von Ih-
rem Computer entfernt.
Antworten auf Wiederholungsfragen
1. Software muss in Form einer Windows-Installer-Paketdatei vorliegen, oder
Sie müssen eine ZAP-Datei erstellen, wenn Sie die Software mittels Grup-
penrichtlinien verteilen möchten.
Die MSI-Datei ist im systemeigenen Windows-Installer-Format und enthält
die Dateien, Registrierungseinstellungen und Verknüpfungen, aus denen die
Anwendung besteht, sowie Informationen darüber, wo diese Elemente instal-
liert werden sollen.
Eine ZAP-Datei ist eine Textdatei, in der Informationen gespeichert werden
über das Programm, das zur Installation der Anwendung gestartet werden
soll, evtl. nötige Parameter sowie Dateierweiterungen, die mit der Anwen-
dung verknüpft werden sollen. Näheres finden Sie im Abschnitt »Vorberei-
tung der Software für die Bereitstellung mittels Gruppenrichtlinien«.
2. Konfigurieren Sie ein GPO auf Domänenebene und erstellen Sie das Micro-
soft-Outlook-2000-Paket im Container Benutzerkonfiguration des GPO.
Weisen Sie die Software zu, statt sie zu veröffentlichen, um sicherzustellen,
dass sie auf den Desktops aller Benutzer installiert wird. Siehe Abschnitt
»Softwarebereitstellung mittels Gruppenrichtlinien«.
3. Erstellen Sie ein GPO in der OU für deutsche Benutzer in Active Directory
und weisen Sie ihm das Paket zu. Konfigurieren Sie eine Transformationsda-
tei (MST) mit den für die deutsche Sprache notwendigen Merkmalen und
verknüpfen Sie die Datei mit dem Paket. Damit wird gewährleistet, dass Mic-
rosoft Outlook 2000 zwar immer noch installiert wird (es ist zugewiesen),
dass aber auch die sprachlichen Anforderungen der deutschen Benutzer über
die Transformationsdatei (MST) berücksichtigt werden. Siehe Abschnitt
»Management der Softwarebereitstellung«.
4. Sie können eine ZAP-Datei erstellen, um die Anwendung zu installieren, und
dann das Softwareprodukt in Gruppenrichtlinien veröffentlichen. Sie können
die Anwendung auch mit einem Umpacktool von einem Drittanbieter wie
etwa Veritas WinINSTALL LE umpacken, wodurch eine Windows-Installer-
Paketdatei erzeugt wird, die bei der Bereitstellung größere Flexibilität ge-
währt. Siehe Abschnitt »Vorbereitung der Software für die Bereitstellung
mittels Gruppenrichtlinien«.
5. Erstellen Sie Softwarekategorien, die domänenweit verfügbar sind. Ändern
Sie dann Ihre Pakete in den verschiedenen GPOs und ordnen Sie die Pakete
jeweils einer oder mehreren Kategorien zu. Auf diese Weise kann ein Benut-
zer, wenn er bzw. sie eine veröffentlichte Anwendung installieren möchte, in
der Systemsteuerung unter Software die Liste aller Softwareprodukte oder
nur die für ihn bzw. sie interessanten Kategorien anzeigen. Siehe Abschnitt
»Management der Softwarebereitstellung«.
6. Sie würden eine Anwendung eher einem Computer als einem Benutzer zu-
weisen, wenn die Anwendung allen Benutzern auf einem oder mehreren
Computern zur Verfügung stehen muss. Auf diese Weise ist wichtige Softwa-
re immer für alle Benutzer verfügbar. Siehe Abschnitt »Softwarebereitstel-
lung mittels Gruppenrichtlinien«.
7. Beim Einsatz von ZAP-Dateien können Sie das Paket nicht Benutzern oder
Computern zuweisen; sie können es nur veröffentlichen. Dies liegt daran, dass
eine ZAP-Datei lediglich dem Windows Installer mitteilt, welches Programm
zum Starten des Installationsvorgangs aufgerufen werden soll. Windows Instal-
ler hat keinen Einfluss darauf, was während der Anwendungsinstallation tat-
sächlich geschieht und kann sie daher nicht steuern. Aus diesem Grund können
Pakete nicht zugewiesen werden, da Windows Installer dazu die Installation der
Softwareanwendung automatisieren muss. Siehe Abschnitt »Vorbereitung von
Software für die Bereitstellung mittels Gruppenrichtlinien«.
8. Um in eine vorhandene MST-Datei eine Supporttelefonnummer und Web-

site-Adresse einzufügen, würden Sie die Paketdatei (MSI) mit einem Um-
packprodukt von einem Drittanbieter wie etwa Veritas WinINSTALL LE
modifizieren. Siehe Abschnitt »Windows-Installer-Technologie«.
9. Ein Softwarepaket kann bei der Bereitstellung Dateien vom Computer eines
Benutzers entfernen, wenn es umgepackt und während des Umpackens Datei-
en entfernt wurden. Zum Umpacken gehören ein Vorher- und ein Nachher-
Schnappschuss vom Computer des Benutzers, um festzustellen, was während
der Softwareinstallation verändert wurde. Alle Dateien, die entfernt oder ge-
ändert wurden, werden in das Paket aufgenommen. Wenn der Administrator
das erzeugte Paket nicht sorgfältig unter die Lupe genommen und Elemente,
die nicht an den Benutzer weitergegeben werden sollten, nicht korrigiert hat,
kann es vorkommen, dass eine umgepackte Anwendung unerwünschte Ände-
rungen am System des Benutzers vornimmt. Um dieses Problem zu korrigie-
ren, modifizieren Sie das Paket oder packen Sie die Anwendung erneut. Siehe
Abschnitt »Fehlersuche bei der Softwarebereitstellung«.
10. Um sicherzustellen, dass Benutzer eine Anwendung weiterhin verwenden
können, nachdem sie aus einem GPO entfernt wurde, machen Sie die Paket-
entfernung optional. Dann kann ein Benutzer die Anwendung nach wie vor
verwenden, bis er selbst beschließt, sie zu entfernen, wonach sie nicht mehr
verfügbar ist. Siehe Abschnitt »Wartung von Softwarepaketen mittels Grup-
penrichtlinien«.
Antworten auf Prüfungsfragen
1. A, C, D. Ihre Lösung würde gewährleisten, dass Microsoft Office 2000 allen
Computern in der Domäne zugewiesen wäre und installiert würde. Jedes auf
Domänenebene definierte GPO gilt für alle Container und OUs innerhalb der
Domäne, die nicht blockiert sind. Da Sie die Richtlinienvererbung für die OU
der Rechtsabteilung blockiert haben, wird die Software dort nicht installiert.
Die von Ihnen erstellten Transformationsdateien haben keine Wirkung, weil
sie in eine GPO eingefügt wurden (tatsächlich bewirken sie, dass sämtliche
Sprachversionen installiert werden), und die Software wird nicht für die ein-
zelnen Büros lokalisiert. Die Kosten wurden niedrig gehalten, weil die Be-
reitstellung mittels Gruppenrichtlinien abgewickelt wurde und niemand
wirklich verreisen musste. Siehe die Abschnitte »Softwarebereitstellung mit-
tels Gruppenrichtlinien« in diesem Kapitel sowie »Gruppenrichtlinienverer-
bung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
2. A, B, C, D. Durch Definition des GPO auf Standortebene und Erstellung ver-
schiedener Transformationsdateien für jeden Standort waren Sie in der Lage,
das Paket für jeden Standort zu lokalisieren. Außerdem haben Sie durch Blo-
ckieren der Richtlinienvererbung in der OU der Rechtsabteilung sichergestellt,
dass die Rechtsabteilung von dieser Unternehmensrichtlinie ausgenommen
war. Schließlich haben Sie dadurch, dass Sie alles mithilfe von Windows-
2000-Gruppenrichtlinien erledigt haben, die Kosten gering gehalten. Siehe
die Abschnitte »Softwarebereitstellung mittels Gruppenrichtlinien« in diesem
Kapitel und »Gruppenrichtlinienvererbung« in Kapitel 6, »Benutzerverwal-
tung mit Gruppenrichtlinien«.
3. D. Paketdateien beinhalten Verknüpfungen, Registrierungseinstellungen und
die zur Installation benötigten Dateien; dies trifft auf ZAP-Dateien nicht zu.
ZAP-Dateien sind Textdateien, welche die mit einer Anwendung verknüpften
Erweiterungen sowie das Programm, das zur Installation der Softwareanwen-
dung ausgeführt werden muss, beschreiben. Windows Installer kann ZAP-Da-
teien nicht mit höheren Privilegien ausführen, weil in Wirklichkeit Sie das
Setup-Programm für die Anwendung ausführen müssen, und dieses im Sicher-
heitskontext des Benutzers ausgeführt wird, der die Installation einleitet. So-
wohl ZAP- als auch MSI-Dateien (Paketdateien) können mit wenigen
Einschränkungen bei der Softwarebereitstellung eingesetzt werden. Siehe Ab-
schnitt »Vorbereitung von Software für die Bereitstellung mittels Gruppen-
richtlinien«.
4. B. Es würde zwar auch D funktionieren, aber es ist besser, die Anwendung
neu zu packen und zu veröffentlichen, als eine ZAP-Datei zu verwenden.
Wenn der Benutzer nicht die Berechtigung zur Änderung der Registrierung
oder zum Speichern von Dateien im Systemordner besitzt, könnte die Metho-
de mit der ZAP-Datei fehlschlagen, weil die Anwendung nicht mit höheren
Privilegien installiert werden kann. Windows-Installer-Paketdateien, auch
solche, die mit WinINSTALL LE umgepackt wurden, können mit höheren
Privilegien installiert werden. Bei Zuweisung der umgepackten Anwendung
an alle Benutzer würden sie auf deren Computern installiert, ganz gleich, ob
die Benutzer die Anwendung wollen oder nicht, aber Sie wollten den Benut-
zern die Entscheidung überlassen. ZAP-Dateien können nicht zugewiesen
werden; Sie können sie lediglich veröffentlichen. Siehe die Abschnitte »Vor-
bereitung von Software für die Bereitstellung mittels Gruppenrichtlinien« in
diesem Kapitel und »Softwarebereitstellung mittels Gruppenrichtlinien«.
5. A, D. Wenn ein Paket für einen Benutzer veröffentlicht wird, kann es entwe-
der über Dokumentaktivierung (der Benutzer öffnet eine Datei, deren Erwei-
terung mit der Anwendung verknüpft ist) oder durch Benutzeraktivierung,
wobei der Benutzer in der Systemsteuerung unter Software die zu installie-
rende Softwareanwendung auswählt, installiert werden. Das Paket wird nicht
installiert, wenn der Benutzer sich anmeldet oder der Computer neu gestartet
wird, weil es veröffentlicht und nicht zugewiesen wurde. Damit eine automa-
tische Installation stattfindet, müssten Sie das Paket dem Benutzer oder dem
Computer zuweisen. Siehe Abschnitt »Softwarebereitstellung mittels Grup-
penrichtlinien«.
6. B. Dass die Anwendung immer noch auf deren Computern installiert war,
liegt höchstwahrscheinlich daran, dass diese Benutzer aus dem GP herausge-
filtert wurden, in dem die zwangsweise Entfernung konfiguriert war. Da die
Entfernung der Software obligatorisch war, konnten die Benutzer sie nicht
ablehnen, weil sie nie gefragt wurden. Ob es sich um Verkaufsmanager han-
delt oder nicht, die Gruppenrichtlinien gelten auch für sie (die Position hat bei
Gruppenrichtlinien keine Priorität). Die Benutzer hätten das Paket mittels
Software nicht neu installieren können, weil es nicht mehr zur Verfügung
stand. Es war entfernt worden. Es gibt keine Möglichkeit, eine Anwendung
auf einem Computer als »unerlässlich« zu markieren und so die GPO-Einstel-
lungen zu übergehen; diese Funktionalität existiert nicht. Siehe die Abschnit-
te » Softwarebereitstellung mittels Gruppenrichtlinien« in diesem Kapitel
und »Gruppenrichtliniensicherheit« in Kapitel 6, »Benutzerverwaltung mit
Gruppenrichtlinien«.
7. A, D. Um zu gewährleisten, dass alle Benutzer ausschließlich die neue Ver-
sion haben, müssen Sie die Aktualisierung obligatorisch machen und die älte-
re Version während der Aktualisierung deinstallieren. Die Aktualisierung
optional zu machen und den Benutzern zu erlauben, die alte Version zu be-
halten, ist ein und dasselbe. Beim Überschreiben der alten Version können
Teile dieser Anwendung erhalten bleiben, was nicht Ihren Anforderungen
entspricht. Siehe Abschnitt »Wartung von Softwarepaketen mittels Gruppen-
richtlinien«.
8. B, C, D. Mit Windows-Installer-Paketdateien können Sie Benutzern und
Computern Software zuweisen. Außerdem ist der Deinstallationsprozess in-
telligent genug, um beim Entfernen von Software zu wissen, welche Dateien
noch von anderen Anwendungen benötigt werden, da der Windows-Installer-
Dienst Buch führt über solche Informationen. Schließlich sorgen Windows-
Installer-Pakete dadurch für widerstandsfähige Software, dass wichtige Da-
teien automatisch ersetzt werden, wenn sie beschädigt oder gelöscht wurden.
Die Veröffentlichung von Software kann mittels ZAP-Dateien oder Win-
dows-Installer-Paketen erfolgen, sodass diese Antwort, was Pakete betrifft,
nicht 100% korrekt ist. Mit Windows-Installer-Paketdateien können Sie Soft-
ware auf Computern von Benutzern installieren, auch wenn diese nicht die
dafür nötigen Privilegien besitzen, weil Windows Installer eine Installation
unter Verwendung seiner eigenen Privilegien (d.h. mit höheren Privilegien)
durchführen kann. Siehe Abschnitt »Vorbereitung von Software für die Be-
reitstellung mittels Gruppenrichtlinien«.

Microsoft Windows 2000 Resource Kit. Deployment Planning Guide. Micro-
soft Press, 2000.
Automated Deployment Options: An Overview White Paper auf der Microsoft-
Website unter http://www.microsoft.com/windows2000/library/planning/client/
deployops.asp.
Software Installation and Maintenance auf der Microsoft-Website unter http://
www.microsoft.com/windows2000/library/operations/management/
siamwp.asp.
Automating the Development of Windows 2000 Professional an Office 2000
auf der Microsoft-Website unter http://www.microsoft.com/windows2000/
library/planning/incremental/sysprep.asp.
Desktop Deployment Solutions from Third-Party Companies auf der Micro-
soft-Website unter http://www.microsoft.com/windows2000/guide/server/part-
ners/DesktopSolutions.asp.
Software Deployment Using Windows 2000 and Systems Management Server
2.0 auf der Microsoft-Website unter http://www.microsoft.com/windows2000/
library/planning/management/smsintell.asp.
Windows Installer auf der Microsoft-Website unter http://www.microsoft.com/
windows2000/library/howitworks/management/installer.asp.
Sicherheit mittels
Gruppenrichtlinien
Lernziele
8
In diesem Kapitel werden folgende Ziele aus dem Prüfungsabschnitt »Konfigurie-
ren, Verwalten, Überwachen und Fehlerbehebung bei Sicherheitsmodellen von
Active Directory« behandelt.
Konfiguration und Fehlersuche der Sicherheit in einer Verzeichnis-

dienst-Infrastruktur
씰 Anwendung von Sicherheitsrichtlinien mittels Gruppenrichtlinien
씰 Erstellung, Analyse und Änderung von Sicherheitskonfigurationen mittels
Sicherheitskonfiguration und -analyse und Sicherheitsvorlagen
씰 Implementierung einer Überwachungsrichtlinie
Ihre Fähigkeiten zur Konfiguration und Fehlersuche bei Sicherheitsfragen in einer
Active Directory-Struktur werden in der Prüfung angesprochen. Microsoft möchte
sicherstellen, dass Sie mit der Änderung von Sicherheitseinstellungen mittels
Sicherheitsvorlagen der Gruppenrichtlinien vertraut sind. Außerdem werden Ihre
Kenntnisse darüber geprüft, welche Sicherheitselemente konfiguriert und eingesetzt
werden können, wo (Benutzer oder Computer) sie eingesetzt werden, und was die
Ergebnisse einer Sicherheitsrichtlinie sind. Sie müssen auch die Fähigkeiten und
Features des Snap-Ins für das MMC Sicherheitskonfiguration und -analyse kennen,
und wie es zur Anwendung und Überprüfung Ihrer Sicherheitsrichtlinien eingesetzt
werden kann.
Überwachung und Analyse von Sicherheitsereignissen

Microsoft testet darüber hinaus Ihre Fähigkeit, Sicherheitseinstellungen durch
Überwachung zu verfolgen, sowie Ihre Fähigkeit zur Festlegung einer Überwa-
chungsrichtlinie, um das tatsächliche Ergebnis dieser Sicherheitspolitik zu ermit-
596 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
teln. Sie müssen wissen, wo Informationen über Sicherheitsereignisse zu finden und

wie die Details zu analysieren sind, um die Ursache eines Sicherheitsbruchs zu
ermitteln.
씰 Die beste Vorbereitung für diesen Prüfungsabschnitt besteht in der Anwen-

dung geeigneter Tools, die in diesem Kapitel erwähnt werden. Wenn Sie
Sicherheitskonfiguration und -analyse interaktiv zur Analyse der Sicherheit
auf einem Computer und zur Erstellung einer Vorlage verwenden, gewinnen
Sie die wichtige praktische Erfahrung, die Ihnen die Beantwortung der Fra-
gen zu diesen Tools erleichtert. Darüber hinaus sollte auch versucht werden,
Sicherheitseinstellungen mittels Sicherheitskonfiguration und -analyse zu
exportieren.
씰 Sie sollten SECEDIT.EXE über den Taskplaner für die Analyse der Sicherheits-
einstellungen auf einem oder mehreren Computern konfigurieren und die
erzeugten Datenbankinformationen überprüfen.
씰 Sie sollten mit den in Sicherheitsvorlagen verfügbaren Optionen vertraut sein
und ein oder mehrere Gruppenrichtlinienobjekte für den Test dieser Einstel-
lungen konfigurieren. Microsoft fordert von Ihnen Kenntnisse darüber, wel-
che Arten von Sicherheitseinstellungen mittels Gruppenrichtlinien für den
Computer und den Benutzer konfiguriert werden können.
씰 Daneben wird geprüft, ob Sie testen können, was vorgefallen ist, und ob Sie
die Optionen für die Konfiguration einer Überwachungsrichtlinie kennen,
deshalb sollten Sie eine oder mehrere Überwachungseinstellungen konfigu-
rieren sowie Windows Explorer einsetzen, um den Datei- und Objektzugang
zu aktivieren.
씰 Schließlich sollten Sie als Vorbereitung auf die Prüfung die Wiederholungs-
und Prüfungsfragen in diesem Kapitel beantworten und die Übungen und
Schritt-für-Schritt-Anleitungen durcharbeiten. Ebenso hilfreich ist das
Durcharbeiten der Musterprüfung im Buch und auf der CD.
8.1 Einführung
Sie haben gesehen, wie Gruppenrichtlinien mittels administrativer Vorlagen und
Skripte zur Konfiguration von Benutzer- und Computereinstellungen eingesetzt
werden können. Sie haben ebenfalls gesehen, wie Gruppenrichtlinien eingesetzt
werden können, um Softwareanwendungen zu verteilen und den Zeitaufwand für
die Installation von Software im Unternehmen zu minimieren. Mit Gruppenrichtli-
8.2 Verfügbare Sicherheitseinstellungen in Windows-2000-Gruppenrichtlinien 597
nien kann der Administrator Sicherheitselemente für unterschiedliche Bereiche der

Organisation konfigurieren und so gewährleisten, dass wichtige Ressourcen nur von
autorisierten Personen benutzt werden.
In diesem Kapitel finden Sie heraus, welche Sicherheitseinstellungen über Win-

dows 2000 konfiguriert werden können. Es werden Informationen über Sicherheits-
einstellungen vorgestellt, die für den Computer wie auch den Benutzer konfiguriert
werden können. Funktionalität und Nutzen der Sicherheitseinstellungen werden
untersucht. Es wird eine Diskussion geführt über die Verwendung und die Typen
von verfügbaren Sicherheitsvorlagen sowie darüber, wie sie erstellt werden können.
Darüber hinaus wird das Snap-In Sicherheitsvorlagen für Microsoft Management
Console (MMC) vorgestellt und erläutert, wie dieses zur Erstellung und Änderung
von Sicherheitseinstellungen in Vorlagen verwendet werden kann.
Anschließend wird gezeigt, wie Sicherheitseinstellungen für einen Computer mit-

tels Sicherheitskonfiguration und -analyse, einem weiteren MMC-Snap-In, analy-
siert und konfiguriert werden können. Die Erstellung von Sicherheitsvorlagen mit
Sicherheitskonfiguration und -analyse wird ebenfalls gezeigt. Eine Diskussion der
Vorteile und Grenzen dieses MMC-Snap-Ins schließt sich an. Es wird die Verwen-
dung von Gruppenrichtlinien für die Anwendung von Sicherheitseinstellungen auf
eine Reihe von Computern erläutert.
Nachdem diese Sicherheitseinstellungen mittels Gruppenrichtlinien konfiguriert wur-

den, wäre es hilfreich, wenn es eine Möglichkeit gäbe, deren Einhaltung im nötigen
Umfang zu gewährleisten. Um herauszufinden, wie dies erreicht werden kann, erhal-
ten Sie Informationen zur Überwachung, und es wird gezeigt, wie eine Überwa-
chungsrichtlinie konfiguriert wird und welche Optionen dabei verfügbar sind.
8.2 Verfügbare Sicherheitseinstellungen in

Windows-2000-Gruppenrichtlinien
씰 Umsetzung von Sicherheitsrichtlinien mittels Gruppenrichtlinien
Wie Sie in den beiden vorangegangenen Kapiteln gesehen haben, können Gruppen-
richtlinien zur Anwendung von Computer- und Benutzereinstellungen verwendet
werden. Dies gilt auch für die Anwendung von Sicherheitsrichtlinien. Allerdings
sind Gruppenrichtlinien im Zusammenhang mit Sicherheit ungleich stärker auf die
Computerseite ausgerichtet, weil es das wichtigere Element der Sicherheit ist, zu
gewährleisten, dass der Zugriff auf Ressourcen ausschließlich auf einen befugten
Personenkreis beschränkt wird.
Wie Abbildung 8.1 zeigt, kann die Anzahl der Elemente, die in der Computerkonfi-
guration von Gruppenrichtlinien angegeben werden kann, im Vergleich mit dem
Bereich Benutzerkonfiguration ganz beträchtlich sein. Letzterer enthält nur einen
Eintrag: Richtlinien öffentlicher Schlüssel. Die Einstellungen, die in Gruppenricht-
linien für den Computer konfiguriert werden können, sind in der folgenden Tabelle
aufgeführt.
Abbildung 8.1
Sicherheitsoptio-
nen in Gruppen-
richtlinien
Einstellung Beschreibung
Kontorichtlinien Ermöglicht die Festlegung von Richtlinieneinstellungen für

Kennwörter und Kontensperrung.
Richtlinieneinstellungen für Kennwörter umfassen das Kenn-
wortalter (Minimum und Maximum), die Anzahl der gemerkten
Kennwörter, um zu verhindern, dass der Benutzer innerhalb
einer gewissen Zeitspanne (d.h. bis die Anzahl gemerkter Kenn-
wörter erreicht ist) ein Lieblingskennwort wieder verwendet,
die minimale Kennwortlänge und die Kennwortkomplexität.
Daneben können Sie optional das Speichern des Kennworts
mittels umkehrbarer Verschlüsselung konfigurieren.
Zu den Einstellungen für die Kontensperrung gehören die Dauer
der Kontensperrung, die Anzahl unkorrekter Anmeldungsver-
suche bis zur Kontensperrung und das Kontensperrintervall –
die Zeit zwischen fehlerhaften Anmeldeversuchen, bevor der
Zähler zurückgesetzt wird.
8.2 Verfügbare Sicherheitseinstellungen in Windows-2000-Gruppenrichtlinien 599
Lokale Richtlinien Ermöglicht die Konfiguration lokaler Computereinstellungen

für die Überwachung, Zuweisung von Benutzerrechten (z.B.
Lokale Anmeldung oder Anmeldung als Dienst) sowie spezielle
Optionen für die Computersicherheit (wie etwa der dem
Benutzer vor der Anmeldung anzuzeigende Meldungstext, ob
der letzte Benutzeranmeldungsname bei der Anmeldung ange-
zeigt werden soll usw.).
Ereignisprotokoll Ermöglicht die Konfiguration von Protokolldateigrößen für die
drei wichtigsten Ereignisprotokolle (System, Sicherheit und
Anwendung), die Festlegung, ob Protokolle nach Erreichen
ihrer Maximalgröße überschrieben werden sollen, sowie ggf.
Einschränkungen der Leseberechtigungen für die Protokollda-
teien.
Eingeschränkte Ermöglicht Ihnen die Festlegung der Benutzer, die Mitglieder
Gruppen bestimmter Sicherheitsgruppen sein können, und weiterer
Gruppen, in denen diese Gruppen Mitglieder sein können.
Anders ausgedrückt, mit dieser Einstellung können Sie die
Gruppenmitgliedschaft mittels Sicherheitsrichtlinie konfigu-
rieren, um sicherzustellen, dass Benutzer immer Mitglieder
bestimmter Gruppen sind, und dass bestimmte Gruppen
Mitglieder anderer Gruppen sind, wenn die Richtlinie umge-
setzt wird.
Systemdienste Ermöglicht dem Administrator die Festlegung, wie Dienste und
Geräte auf dem Computer gestartet werden sollen. Auf diese
Weise können Sie sicherstellen, dass notwendige Dienste auf
den Zielcomputern gestartet werden, während der Start von
Diensten, die möglicherweise Probleme verursachen, verhindert
werden kann.
Registrierung Ermöglicht die Konfiguration der Sicherheit für Registrierungs-
schlüssel. Mittels Sicherheitsrichtlinie können Sie festlegen,
wer Schlüssel ändern, lesen und zur Registrierung hinzufügen
kann.
Dateisystem Über diese Sicherheitseinstellung können Sie Sicherheitspara-
meter für Ordner und Dateien auf NTFS-Partitionen festlegen
und sich darauf verlassen, dass diese umgesetzt werden, wenn
die Sicherheitsrichtlinie in Kraft tritt.
Richtlinien öffentli- Ermöglicht Ihnen die Festlegung, welche Benutzer Datenwie-

cher Schlüssel derherstellungs-Agents für das EFS (Encrypted File System,
verschlüsseltes Dateisystem) sein sollen. Wiederherstellungs-
Agents können Dateien entschlüsseln, wenn der Benutzer, der
sie verschlüsselt hat, nicht verfügbar ist oder entfernt wurde.
Hier können Sie auch Zertifikatdateien von Stammzertifizie-
rungsstellen importieren, denen Windows 2000 vertrauen soll,
Vertrauenseinstellungen für Zertifizierungsstellen und deren
Zertifikate konfigurieren und bestimmte Einstellungen für die
automatische Zertifikatanforderung festlegen. Windows 2000
hat große Fortschritte gemacht, um zu gewährleisten, dass
sichere Kommunikation stattfindet und dass nur die Computer
bzw. Benutzer Zugriff erhalten, die einen gültigen Authentizi-
tätsnachweis erbringen, wie etwa Zertifizierungen, Zugang
erhalten. Diese wichtigen Sicherheitsfunktionen werden mittels
Gruppenrichtlinien implementiert.
IP-Sicherheitsrichtli- Ermöglicht Ihnen die Festlegung, wie Clients, Server und
nien auf Active Direc- Domänencontroller kommunizieren und welche Sicherheits-
tory stufe angefordert wird, erforderlich ist bzw. abgelehnt wird.
Diese Einstellungen gelten für den TCP/IP-Verkehr zwischen
den verschiedenen Typen von Windows-2000-Computern.
Auf Seiten der Benutzerkonfiguration gibt es nur einen Konfigurationsbereich in

Gruppenrichtlinien: Richtlinien für öffentliche Schlüssel.
Richtlinien für öffentliche Schlüssel, die konfiguriert werden können, enthalten nur
einen Bereich: Organisationsvertrauen. Hier kann der Administrator für den Benut-
zer festlegen, welcher Stammzertifizierungsstelle vertraut werden soll, wodurch
gewährleistet ist, dass der Benutzer keine anderen Zertifizierungsstellen zulassen
kann.
Offensichtlich ermöglicht Windows 2000 die Konfiguration der Sicherheit in vielen

Bereichen, darunter Kennwortverwaltungs- und Kontenrichtlinien, lokale Richtli-
nien für Computer, eingeschränkte Gruppenmitgliedschaften sowie Einstellungen
für die Registrierung und für Dateisysteme. Daneben können Sie beispielsweise
Richtlinien für die Verwendung öffentlicher Schlüssel im verschlüsselten Dateisys-
tem EFS und für die Netzwerkkommunikation über IPSec konfigurieren. Diese kön-
nen in erster Linie für Computer konfiguriert werden, wobei für den Benutzer eine
Untermenge verfügbar ist.
8.3 Implementierung von Sicherheitsrichtlinien 601
8.3 Implementierung von

Sicherheitsrichtlinien
씰 Erstellung, Analyse und Änderung von Sicherheitskonfigurationen mittels
In Windows 2000 gibt es im Wesentlichen zwei Möglichkeiten zur Implementie-
rung von Sicherheitsrichtlinien: die Verwendung von Sicherheitsvorlagen oder
Gruppenrichtlinien. Der Unterschied ist nicht sehr groß. Vorlagen vereinfachen die
mehrfache Anwendung von Einstellungen auf viele Systeme. Eine Auswahl von
Einstellungen kann auch als Textdatei gespeichert und dann bei Bedarf in unter-
schiedlichen Bereichen erneut angewandt werden.
8.3.1 Sicherheitsvorlagen in Windows 2000

Eine Sicherheitsvorlage ist eine Textdatei mit der Erweiterung .INF (z.B. SECSER-
VER.INF). Diese Datei enthält Sicherheitseinstellungen, die mit Hilfe des MMC-
Snap-Ins Sicherheitskonfiguration und -analyse auf einen einzelnen Computer
angewandt werden können. Diese Einstellungen können in Gruppenrichtlinien
importiert werden und auf Standort-, Domänen- oder OU-Ebene angewandt werden.
Sicherheitsvorlagen sind vorkonfigurierte Listen von Einstellungen und können
einen oder mehrere der zuvor beschriebenen Abschnitte enthalten.
Microsoft Windows 2000 wird mit einer Reihe von vorkonfigurierten Sicherheits-
vorlagen ausgeliefert, die für den Einsatz auf Domänencontrollern, Servern und
Workstations vorgesehen sind. Diese Vorlagen beinhalten vier Sicherheitsstufen,
die den Umfang der verfügbaren Anwendungsfunktionalität beeinflussen können.
Wenn Sie beispielsweise beschließen, eine hohe Sicherheitsstufe einzusetzen, funk-
tionieren möglicherweise einige Anwendungen, die andere Bereiche des Betriebs-
systems nutzen, nicht mehr korrekt, weil der Benutzer vielleicht keinen Zugriff auf
diese gesicherten Betriebssystembereiche hat. Sicherheitsvorlagen werden auf Win-
dows-2000-Computern im Ordner WINNT\SECURITY\TEMPLATES gespeichert. Bei
den vier Stufen von Sicherheitsvorlagen handelt es sich um folgende:
씰 Basic. Diese Vorlagen bilden die Standardsicherheitsstufe im Windows

2000. Sie bieten einen großen Umfang an Anwendungsfunktionalität, verhin-
dern aber grundlegende Sicherheitsprobleme wie etwa Definition leerer
Kennwörter durch Benutzer oder ständige Wiederverwendung derselben
Kennwörter. Wie in Abbildung 8.2 gezeigt, liefert Microsoft elementare
Standardvorlagen für Domänencontroller, (BASICDC), Server (BASICSV) und
Workstations (BASICWK).
씰 Compatible. Diese Vorlagen bieten mehr Sicherheit, wie etwa eingeschränk-

ten Zugriff auf bestimmte Bereiche der Registrierung, gewährleisten aber im-
mer noch die ordnungsgemäße Ausführung von Geschäftsanwendungen.
Windows 2000 enthält standardmäßig nur eine kompatible Vorlage für
Workstations (COMPATWS).
씰 Secure. Bei diesen Vorlagen ist erstmals die Sicherheit wichtiger als die
Funktionalität von Geschäftsanwendungen. Dies bedeutet, dass in einer si-
cheren Umgebung nicht garantiert werden kann, dass Geschäftsanwendungen
funktionieren, weil diese möglicherweise Teile des Betriebssystems nutzen,
die abgesichert wurden. So könnte eine Geschäftsanwendung etwa ohne Mel-
dungen in das Anwendungsprotokoll der Ereignisanzeige schreiben, ohne
dazu berechtigt zu sein. Sichere Vorlagen werden für Domänencontroller (SE-
CUREDC) und Workstations (SECUREWS) mitgeliefert.
Abbildung 8.2
Mit Windows 2000

ausgelieferte vor-
konfigurierte
Sicherheitsvorlagen
씰 High. Diese Vorlagen erzwingen die Einstellungen für maximale Sicherheit

in Windows 2000 und garantieren nicht, dass Geschäftsanwendungen (wie
etwa Microsoft Works 2000, Buchhaltungssysteme usw.) funktionieren. Sie
werden in einer Windows-2000-Umgebung normalerweise nicht eingesetzt,
weil zu viele Anwendungen nicht mehr funktionieren, aber sie sind nützlich
bei der Entwicklung von Windows-2000-Anwendungen mit hoher Sicher-
heitsstufe. Vorlagen der Stufe Hoch enthalten u.a. die Signatur von IP-Pake-
ten zwischen Server und Workstation, Aussperrung von Benutzern und Ver-
bindungsabbau, Schutz von Registrierung und Dateisystemkomponenten
sowie viele weitere Einstellungen. Windows 2000 wird mit hochsicheren

Vorlagen für Domänencontroller, (HISECDC) und Workstations (HISECWS) ge-
liefert.
Neben den vier elementaren Vorlageneinstellungen enthält Windows 2000 auch

weitere Vorlagen für bestimmte Aufgaben. Bei allen handelt es sich um Abwand-
lungen der vier Elementarstufen, aber sie werden im MMC-Snap-In Sicherheitsvor-
lagen nicht so bezeichnet. Im nächsten Abschnitt werden Sie herausfinden, wie das
Snap-In SICHERHEITSVORLAGEN geöffnet und benutzt wird. Bei diesen zusätzlichen
Vorlagen handelt es sich um folgende:
씰 DC SECURITY. Diese Vorlage enthält die Sicherheitseinstellungen, die stan-

dardmäßig auf allen Domänencontrollern eingesetzt werden. Sie enthält
Dateisystem- und Registrierungsschutz, damit gewährleistet ist, dass Domä-
nencontroller ordnungsgemäß funktionieren. Die Vorlage DC SECURITY wird
auf allen Domänencontrollern in der Domäne automatisch konfiguriert und
installiert und ist Bestandteil der Standardrichtlinie für Domänencontroller
im Container DOMÄNENCONTROLLER von Active Directory.
씰 NOTSSID. Diese Vorlage entfernt die Terminalserver-SID vom Windows 2000

Server-Computer. Für Benutzer ist der Zugang zum Terminalserver über de-
ren SID und Gruppenmitgliedschaft definiert, aber nicht über die SID des
Terminalserver-Kontos.
씰 OCFILESS. Diese Vorlage wird verwendet, um auf Windows-2000-Server-

Computern zusätzliche Dateisicherheit zu schaffen. Die in die Richtlinie auf-
genommenen Dateien dürfen nicht installiert werden, was problematisch sein
kann, weil die Richtlinie den meisten Benutzern einschließlich Administrator
und System die Berechtigung zur Installation der Dateien entzieht. Diese
Vorlage sollte erst eingesetzt werden, wenn die Dateien, die dadurch ge-
schützt werden sollen, bereits installiert sind (d.h., installieren Sie zuerst alle
Software und wenden Sie dann die Richtlinie an). Um die installierten Datei-
en zu ändern, müssen Sie die Richtlinie entfernen oder herausfiltern.
씰 OCFILESW. Diese Richtlinienvorlage ist vergleichbar mit OCFILESS, betrifft

aber Windows-2000-Professional-Computer. Die beiden Vorlagen unter-
scheiden sich hauptsächlich in den enthaltenen Dateien: eine Reihe von Da-
teien auf Windows-2000-Server-Computern sind auf Windows 2000 Profes-
sional nicht vorhanden.
씰 SETUPSECURITY. Diese Vorlage beinhaltet die Standardeinstellungen von

Windows-2000-Professional- und Server-Computern, wie sie geliefert wer-
den.
8.3.2 Erstellung und Änderung von Sicherheitsvorlagen

In Windows 2000 werden Sicherheitsvorlagen mit Hilfe des MMC-Snap-Ins
SICHERHEITSVORLAGEN erstellt und geändert. Dieses Snap-In ist in keiner MMC-
Konsole vorkonfiguriert, die unter Verwaltung oder Systemsteuerung verfügbar ist.
Folgen Sie der Schrittanleitung, um MMC zu öffnen und das Snap-In SICHERHEITS-
VORLAGEN zur Konsole hinzuzufügen.

8.1 Konfiguration von MMC mit dem Snap-In Sicherheitsvorlagen
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an.
2. Wählen Sie AUSFÜHREN im STARTMENÜ. Geben Sie im Dialogfeld AUSFÜH-
REN mmc ein, wie in Abbildung 8.3 gezeigt.
Abbildung 8.3
Starten von Micro-

soft Management
Console mit der
Option AUSFÜHREN
im STARTMENÜ
3. Wählen Sie SNAP-IN HINZUFÜGEN/ENTFERNEN im Menü KONSOLE des

MMC-Konsolenfensters, wie in Abbildung 8.4 gezeigt.
Abbildung 8.4
Um ein Snap-In
HINZUZUFÜGEN,
wählen Sie Snap-In
hinzufügen/entfer-
nen im Menü Kon-
sole des MMC-
Konsolenfensters
4. Klicken Sie im Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN auf die Schalt-

fläche HINZUFÜGEN, um das Dialogfeld EIGENSTÄNDIGES SNAP-IN HINZUFÜ-
GEN zu öffnen (siehe Abbildung 8.5), in dem Sie das Snap-In wählen können,
das hinzugefügt werden soll.
Abbildung 8.5
Durch Klicken auf

HINZUFÜGEN wird
eine Liste von ver-
fügbaren Snap-Ins
angezeigt
5. Rollen Sie abwärts, bis Sie SICHERHEITSVORLAGEN finden, und doppelkli-

cken Sie dann auf SICHERHEITSVORLAGEN oder klicken Sie auf die Schaltflä-
che HINZUFÜGEN, um das Snap-In SICHERHEITSVORLAGEN zur MMC-Kon-
sole hinzuzufügen, wie in Abbildung 8.6 gezeigt.
6. Klicken Sie auf SCHLIEßEN, um das Dialogfeld EIGENSTÄNDIGES SNAP-IN
HINZUFÜGEN zu schließen.
7. Klicken Sie auf OK, um das Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN zu

schließen.
8. Um Ihre Konsoleinstellungen zu speichern, wählen Sie SPEICHERN UNTER im
Menü KONSOLE (siehe Abbildung 8.7). Geben Sie dann im Dialogfeld SPEI-
CHERN UNTER den Dateinamen ein. Beachten Sie, dass der Standardpfad für
die Speicherung Ihrer Konsoleinstellungen der Ordner VERWALTUNG ist,
sodass Ihre neue Konsole in die Programmgruppe VERWALTUNG aufgenom-
men würde. Durch Auswahl im Drop-down-Listenfeld SPEICHERN IN kann
ein anderer Pfad angegeben werden, wie in Abbildung 8.8. gezeigt. Ihr Desk-
top eignet sich vielleicht nicht so gut, wie in Abbildung 8.9 gezeigt.
9. Wenn Sie fertig sind, schließen Sie die MMC-Konsole.
Abbildung 8.6
Klicken Sie auf HIN-

ZUFÜGEN, um das
Snap-In Sicher-
heitsvorlagen zur
MMC-Konsole hin-
zuzufügen
Abbildung 8.7
Wählen Sie SPEI-

CHERN UNTER im
Menü KONSOLE von
MMC, um Ihre Kon-
sole mit dem Snap-
In Sicherheitsvorla-
gen für die spätere
Verwendung zu
speichern
Nachdem Sie eine MMC-Konsole konfiguriert haben, die Sie immer wieder zur
Erstellung und Änderung von Sicherheitsvorlagen verwenden können, sind Sie in
der Lage, eine Vorlage zu erstellen. Führen Sie die Schrittanleitung aus, um eine
Sicherheitsvorlage zu erstellen.
Abbildung 8.8
Der Standardpfad
zum Speichern von
MMC-Konsolein-
stellungen ist der
Ordner VERWAL-
TUNG. Sie können in
diesem Drop-
down-Listenfeld
einen anderen Pfad
wählen
Abbildung 8.9
Speichern der
MMC-Sicherheits-
vorlagen auf Ihrem
Desktop

8.2 Erstellung einer Sicherheitsvorlage mit Hilfe des Snap-Ins
Sicherheitsvorlagen
1. Nachdem Sie sich bei einem Windows-2000-Computer als Administrator
angemeldet haben, doppelklicken Sie auf die Verknüpfung für die MMC-
Sicherheitsvorlagen, die Sie auf Ihrem Desktop erstellt haben, um Microsoft
Management Console zu öffnen.
2. Erweitern Sie SICHERHEITSVORLAGEN in der MMC-Konsole, um einen Pfad
anzuzeigen. Nachdem Sie den Standardpfad auf C:\WINNT\SECURITY\TEMP-
LATES erweitert haben, wird eine Liste der aktuell verfügbaren Vorlagen
angezeigt, wie in Abbildung 8.10 zu sehen ist.
3. Wenn Sie einen neuen Pfad zum Speichern von Sicherheitsvorlagen hinzufü-
gen möchten, wie in Abbildung 8.11 gezeigt, klicken Sie mit der rechten
Maustaste auf SICHERHEITSVORLAGEN und wählen Sie NEUER VORLAGEN-
SUCHPFAD. Dies kann nützlich sein, wenn Sie einen Satz von Vorlagen, die
noch in Entwicklung sind, an einem Speicherort ablegen, aber nicht zur allge-
meinen Verwendung freigeben möchten. Außerdem ist es sinnvoll in Fällen,
in denen ein Satz von Sicherheitsvorlagen, die in einem Unternehmen einge-
setzt werden, in einer Netzwerkfreigabe gespeichert werden kann.
Abbildung 8.10
Anzeige der am
Standardpfad ver-
fügbaren Sicher-
heitsvorlagen
Abbildung 8.11
Klicken Sie mit der

rechten Maustaste
auf SICHERHEITSVOR-
LAGEN, um einen
neuen Suchpfad für
Sicherheitsvorla-
gen hinzuzufügen
4. Um eine neue Sicherheitsvorlage hinzuzufügen, klicken Sie mit der rechten

Maustaste auf den Standardpfad in der Liste (weil Sie dort die Vorlage erstel-
len werden) und wählen Sie NEUE VORLAGE, wie in Abbildung 8.12 gezeigt.
Abbildung 8.12
Klicken Sie mit der

rechten Maustaste
auf den Standard-
pfad, um eine neue
Sicherheitsvorlage
hinzuzufügen
5. Geben Sie im Dialogfeld, das in Abbildung 8.13 gezeigt wird, einen Namen
für die Sicherheitsvorlage und optional eine Kurzbeschreibung ein, die im
MMC-Snap-In angezeigt wird. Klicken Sie auf OK, wenn Sie fertig sind.
Abbildung 8.13
Geben Sie einen

Namen und eine
Beschreibung für
die zu erstellende
Vorlage ein
6. Sie haben nun eine Sicherheitsvorlage erstellt, die auf diesem Computer ein-
gesetzt oder, wie Sie später sehen werden, in ein Gruppenrichtlinienobjekt
importiert werden kann. Die erstellte Sicherheitsvorlage enthält sämtliche
Optionen, aber es sind keine eingestellt. Die Standardkonfiguration für jedes
Element der Vorlage ist nicht definiert, sodass Sie nur die Elemente der Vor-
lage konfigurieren und in Kraft setzen müssen, die Sie durchsetzen möchten.
7. Schließen Sie die MMC-Sicherheitsvorlagen, wenn Sie fertig sind.
Nachdem Sie die Sicherheitsvorlage erstellt haben, müssen Sie die Einstellungen
ändern, damit die Sicherheitsrichtlinie das gewünschte Verhalten widerspiegelt. Um
eine Sicherheitsvorlage zu ändern, folgen Sie der Schrittanleitung.
HINWEIS
Verwendung einer vorhandenen Sicherheitsvorlage
Statt eine völlig neue Sicherheitsvorlage zu erstellen, wie in Schritt für Schritt 8.2
gezeigt, können Sie eine vorhandene Vorlage als Grundlage für die Erstellung ei-
ner neuen Vorlage verwenden. Klicken Sie hierzu mit der rechten Maustaste auf
die Vorlage die Sie kopieren möchten, und wählen Sie SPEICHERN UNTER. Geben
Sie im Dialogfeld SPEICHERN UNTER einen Dateinamen für die zu erstellende Vorla-
genkopie ein. Der Sicherheitsvorlagenpfad wird nun aktualisiert, um die erstellte
Vorlagenkopie zu berücksichtigen.
Das Kopieren einer Vorlage hat gegenüber der Neuerstellung einige Vorteile,
aber auch Nachteile. Ein wesentlicher Vorteil ist es, dass, falls die meisten Ein-
stellungen, die Sie durchsetzen möchten, bereits enthalten sind, die Änderung für
einige wenige neue Einstellungen nicht so aufwendig ist wie die Neueingabe
sämtlicher Einstellungen. Wird eine vorhandene Vorlage jedoch kopiert, ohne de-
ren Inhalt genau zu kennen, kann dies auch zur Umsetzung von Einstellungen
führen, die Sie so nicht erwartet haben. Ganz gleich, ob Sie die Vorlage neu er-
stellen oder eine vorhandene kopieren, Sie sollten immer den Inhalt der betreffen-
den Vorlage kennen und gründlich überprüfen, ob die vorgenommenen
Änderungen das gewünschte Ergebnis liefern. Wie bei allem ist Testen eine wich-
tige Anforderung.

8.3 Änderung von Sicherheitsvorlageneinstellungen mit Hilfe des
MMC-Snap-Ins Sicherheitsvorlagen
1. Nachdem Sie sich als Administrator bei einem Windows-2000-Computer
angemeldet haben, doppelklicken Sie auf die Verknüpfung für die MMC-
Sicherheitsvorlagen, die Sie auf Ihrem Desktop erstellt haben, um Microsoft
Management Console zu öffnen.
2. Erweitern Sie SICHERHEITSVORLAGEN in der MMC-Konsole, bis eine Liste
von Vorlagen angezeigt wird und Sie die zu ändernde Vorlage finden.
3. Erweitern Sie die Vorlage, um eine Liste von Einstellungen anzuzeigen, die
Sie ändern können, wie in Abbildung 8.14 gezeigt. Diese Liste entspricht den
Bereichen, die in der Tabelle weiter vorne in diesem Kapitel aufgeführt sind.
4. Markieren Sie den Bereich, in dem Sie eine Einstellung ändern möchten, bei-
spielsweise KONTORICHTLINIEN. Es wird eine weitere Gruppe von Kategorien
für Einstellungen angezeigt. Erweitern Sie die Einstellungen so lange, bis Sie
die zu ändernde Einstellung gefunden haben, etwa MINIMALE KENNWORT-
LÄNGE in der KENNWORTRICHTLINIE, wie in Abbildung 8.15 gezeigt.
Abbildung 8.14
Bei Erweiterung
einer Sicherheits-
vorlage wird eine
Liste von Einstellun-
gen angezeigt, die
geändert werden
können
Abbildung 8.15
Um die minimale
Länge eines Kenn-
worts zu ändern,
erweitern Sie Kon-
torichtlinien und
dann Kennwort-
richtlinien in der zu
ändernden Sicher-
heitsvorlage
5. Doppelklicken Sie im Detailbereich auf MINIMALE KENNWORTLÄNGE, und es

wird ein Dialogfeld wie in Abbildung 8.16 angezeigt. Um die Richtlinie fest-
zulegen, klicken Sie auf DIESE RICHTLINIENEINSTELLUNG IN DER VORLAGE
DEFINIEREN und setzen Sie dann die minimale Kennwortlänge auf die
gewünschte Anzahl von Zeichen, indem Sie das Feld KENNWORT MUSS MIN-
DESTENS NZEICHEN ENTHALTEN auf dem Bildschirm ändern. Klicken Sie auf
OK, wenn Sie fertig sind.
Abbildung 8.16
Im Dialogfeld
SICHERHEITSRICHTLI-
NIENVORLAGE kön-
nen Sie Einstellun-
gen für
Sicherheitsrichtlini-
en, wie z. B. die
minimale Kennwort-
länge, ändern
HINWEIS
Dialogfeld Sicherheitsrichtlinienvorlage
Die Informationen, die in diesem Dialogfeld angezeigt werden, variieren je nach
verfügbaren Optionen für eine Einstellung und Art der Definition in der Vorlage.
Das Dialogfeld mag zwar den gleichen Namen haben, aber die zu ändernden In-
formationen können unterschiedlich sein.
6. Um Ihre Änderungen zu speichern, wählen Sie im Menü KONSOLE von MMC

SPEICHERN oder klicken Sie mit der rechten Maustaste auf die Vorlage und
wählen Sie SPEICHERN, wie in Abbildung 8.17 gezeigt.
7. Schließen Sie die MMC-Konsole, wenn Sie fertig sind.
Es wurde zwar noch nicht erwähnt, aber Sie können nicht mehr benötigte Sicher-
heitsvorlagen auch löschen. Löschen Sie hierzu die Datei direkt in dem Ordner, in
dem sie sich befindet (z.B. C:\WINNT\Security\Templates), oder mit Hilfe des
MMC-Snap-Ins SICHERHEITSVORLAGEN.
Um die unerwünschte Sicherheitsvorlage im MMC-Snap-In SICHERHEITSVORLA-

GEN zu löschen, wie in Abbildung 8.18 gezeigt, klicken Sie mit der rechten Maus-
taste auf die zu löschende Vorlage und wählen Sie LÖSCHEN. Antworten Sie auf die
Frage, ob Sie die Vorlage wirklich löschen möchten, mit JA, und sie ist weg.
Wie Sie gesehen haben, ist das Erstellen, Ändern und Löschen von Sicherheitsvor-
lagen relativ einfach. Der schwierigste Teil ist es, genau zu bestimmen, welche Ein-
stellung angewandt werden soll. Diese Entscheidung beruht jedoch meistens eher
auf Geschäftsanforderungen als auf technischen Gegebenheiten und erfordert mög-
licherweise Diskussionen mit anderen im Unternehmen.
Abbildung 8.17
Ändern Sie Ihre

Änderungen an der
Sicherheitsvorlage,
um sicherzustel-
len, dass sie in
Kraft treten
Abbildung 8.18
Um eine Sicher-
heitsvorlage in
MMC zu löschen,
klicken Sie mit der
rechten Maustaste
auf die zu löschen-
de Vorlage und
wählen Sie
Löschen
Sicherheitskonfiguration und -analyse

Ein weiteres Tool zur Konfiguration von Sicherheitseinstellungen auf einem Com-
puter ist das MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. Das
Snap-In SICHERHEITSVORLAGEN wurde zur Konfiguration von Einstellungen ver-

wendet, die später in Gruppenrichtlinien importiert werden sollen. SICHERHEITS-
KONFIGURATION UND -ANALYSE ist in erster Linie für die Analyse der Sicherheits-
einstellungen des lokalen Systems und die Anwendung von Sicherheitsvorlagen auf
dem lokalen Computer vorgesehen. Es kann auch benutzt werden, um die lokale
Sicherheitskonfiguration abzurufen und eine Sicherheitsvorlage zu erstellen, die
diese Einstellungen widerspiegelt.
Bei der Analyse der Sicherheitseinstellungen Ihres Systems kann SICHERHEITSKON-

FIGURATION UND -ANALYSE verwendet werden, um eine Sicherheitsvorlage zu
importieren. Diese wird mit der Sicherheitskonfiguration des lokalen Computers
verglichen. Die Analyseergebnisse können in einer Datenbank gespeichert werden,
sodass der Administrator in der Lage ist, Änderungen an Sicherheitseinstellungen
über die Zeit zu verfolgen. Die Standarderweiterung für die Datenbankdatei ist
SDB, und bei Installation von Windows 2000 wird standardmäßig eine SDB-Datei
erstellt, aber Sie haben darauf keinen direkten Zugriff.
Bei der Konfiguration der Systemsicherheit kann SICHERHEITSKONFIGURATION UND

-ANALYSE verwendet werden, um Sicherheitsvorlageneinstellungen zu importieren
und direkt auf den lokalen Computer anzuwenden. Im Unterschied zu Gruppen-
richtlinien können die Vorlageneinstellungen mit SICHERHEITSKONFIGURATION
UND -ANALYSE nicht auf mehrere Computer zugleich angewandt werden. Wenn dies
nötig ist, sollten Sie eine Sicherheitsvorlage in Gruppenrichtlinien in den Active
Directory-Container importieren, in dem die Computer enthalten sind.
Um Microsoft Management Console (MMC) zu öffnen und das Snap-In SICHER-

HEITSKONFIGURATION UND -ANALYSE zur Konsole hinzuzufügen, folgen Sie der
Schrittanleitung.

8.4 Konfiguration von MMC mit dem Snap-In
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an.
2. Wählen Sie im Startmenü AUSFÜHREN. Geben Sie im Dialogfeld AUSFÜHREN
mmc ein.
3. Wählen Sie im Menü KONSOLE des MMC-Konsolenfensters SNAP-IN HINZU-
FÜGEN/ENTFERNEN.
4. Klicken Sie im Dialogfeld SNAP-IN HINZUFÜGEN/ENTFERNEN auf die Schalt-

fläche HINZUFÜGEN, und es wird das Dialogfeld EIGENSTÄNDIGES SNAP-IN
HINZUFÜGEN angezeigt, in dem Sie das hinzuzufügende Snap-In auswählen

können.
5. Scrollen Sie abwärts, bis Sie SICHERHEITSKONFIGURATION UND -ANALYSE
gefunden haben, und doppelklicken Sie dann auf SICHERHEITSKONFIGURA-
TION UND -ANALYSE oder klicken Sie auf die Schaltfläche HINZUFÜGEN, um
das Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE zur MMC-Konsole
hinzuzufügen, wie in Abbildung 8.19 gezeigt.
Abbildung 8.19
Klicken Sie auf Hin-

zufügen, um das
Snap-In Sicher-
heitskonfiguration
und -analyse zur
MMC-Konsole hin-
zuzufügen
6. Klicken Sie auf SCHLIESSEN, um das Dialogfeld EIGENSTÄNDIGES SNAP-IN

HINZUFÜGEN zu schließen.
7. Klicken Sie auf SCHLIESSEN, um das Dialogfeld SNAP-IN HINZUFÜGEN/ENT-

FERNEN zu schließen.
8. Um Ihre Konsoleinstellungen zu speichern, wählen Sie SPEICHERN UNTER im

Menü KONSOLE und geben Sie den Dateinamen im Dialogfeld SPEICHERN
UNTER ein.
9. Wenn Sie fertig sind, schließen Sie die MMC-Konsole.
Für die Verwendung des Snap-Ins SICHERHEITSKONFIGURATION UND -ANALYSE

muss eine Datenbank erstellt werden, in der Sicherheitseinstellungen gespeichert
werden. Sie können diese Datenbank nutzen, um Analysen Ihrer Einstellungen im
Vergleich mit einer Sicherheitsvorlage durchzuführen und Ihre aktuelle Konfigura-
tion zu speichern.
Um eine Datenbank zu erstellen, die zur Analyse Ihres Computers im Vergleich mit
einer Vorlage verwendet werden soll, folgen Sie der Schrittanleitung.

8.5 Konfiguration einer Datenbank für die Analyse Ihres Computers
in Sicherheitskonfiguration und -analyse
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an
und öffnen Sie die MMC-Konsole SICHERHEITSKONFIGURATION UND -ANA-
LYSE, die Sie in der Schrittanleitung erstellt haben.
2. Klicken Sie auf SICHERHEITSKONFIGURATION UND -ANALYSE, um die Daten-

bankanforderungen anzuzeigen, wie in Abbildung 8.20 gezeigt.
3. Folgen Sie der angezeigten Anleitung, um eine Datenbank zu erstellen. Kli-
cken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND
-ANALYSE und wählen Sie DATENBANK ÖFFNEN, wie in Abbildung 8.21
gezeigt.
Abbildung 8.20
Sicherheitskonfigu-
ration und -analyse
benötigt eine
Datenbank zum
Speichern der
Sicherheitseinstel-
lungen
4. Geben Sie im Feld DATEINAME des Dialogfelds DATENBANK ÖFFNEN (siehe

Abbildung 8.22) den Namen der zu erstellenden Datenbank ein, und klicken
Sie auf ÖFFNEN. Beachten Sie, dass der Standardspeicherort der erstellten
Datenbank ein Ordner namens SICHERHEIT ist. Wenn Sie den Pfad der Daten-
bank ändern möchten, ändern Sie den Zielordner mit Hilfe des Drop-down-
Listenfelds SUCHEN.
Abbildung 8.21
Um eine Daten-
bank zu erstellen,
wählen Sie DATEN-
BANK, nachdem Sie
mit der rechten
Maustaste auf
SICHERHEITSKONFI-
GURATION UND -ANA-
LYSE geklickt haben
Abbildung 8.22
Wählen Sie Datei-

name und Spei-
cherort der Daten-
bank für
SICHERHEITSKONFI-
GURATION UND -ANA-
LYSE
5. Als Nächstes wird ein Dialogfeld ähnlich Abbildung 8.23 angezeigt, in dem
Sie aufgefordert werden, eine Sicherheitsvorlage zu importieren, die zum
Vergleich der Sicherheitseinstellungen verwendet werden soll. Sie sollten
eine Vorlage wählen, deren Einstellungen für den Computer, auf dem
SICHERHEITSKONFIGURATION UND -ANALYSE ausgeführt wird, wünschens-
wert sind. Wenn Sie beispielsweise einen Domänencontroller mit elementa-
ren Sicherheitseinstellungen konfigurieren wollten, würden Sie die Sicher-
heitsvorlage basicdc importieren. Wählen Sie eine Vorlage und klicken Sie
auf OK, um deren Einstellungen zu laden.
6. Nachdem Sie eine Vorlage ausgewählt haben, importiert SICHERHEITSKONFI-

GURATION UND -ANALYSE deren Einstellungen und ändert dann den Detailbe-
reich von MMC, um Informationen darüber anzuzeigen, wie Ihr Computer
mit diesen Einstellungen konfiguriert wird, oder wie die Einstellungen Ihres
Computers analysiert werden, wie in Abbildung 8.24 gezeigt.
7. Sie haben nun eine Datenbank erstellt, die Sie später zur Analyse Ihres Com-
puters im Vergleich mit Vorlageneinstellungen verwenden können. Spei-
chern Sie über das Menü KONSOLE die Einstellungen und schließen Sie die
MMC-Konsole.
Nun haben Sie eine MMC-Konsole mit dem Snap-In SICHERHEITSKONFIGURATION

UND -ANALYSE konfiguriert und diese zum Import der Sicherheitseinstellungen aus
einer Sicherheitsvorlage verwendet. Damit können Sie feststellen, wie nahe die
Sicherheitseinstellungen Ihres Computers bei den Vorgaben der Vorlage liegen, wie
Sie im nächsten Abschnitt lernen werden.
Abbildung 8.23
Klicken Sie auf die

Sicherheitsvorlage,
deren Einstellun-
gen als Grundlage
für die Analyse des
lokalen Computers
dienen sollen, und
klicken Sie auf Öff-
nen
8.3.3 Analyse Ihres Computers mittels

Die Analyse der Sicherheitseinstellungen eines Computers bedeutet Vergleichen
der aktuellen Konfiguration auf dem Computer mit der gewünschten Konfiguration,
wie sie in einer Sicherheitsvorlage gespeichert ist. Das verwendete Programm ist
das MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE. Sie können die
Sicherheitseinstellungen mit einer Vorlage vergleichen, um sicherzustellen, dass die
Computereinstellungen eine Unternehmensrichtlinie einhalten, oder um festzustel-
len, ob die Einstellungen seit der letzten Analyse geändert wurden.
Abbildung 8.24
Nach dem Impor-

tieren einer Vorla-
ge können Sie die-
se zur Konfiguration
der Sicherheitsein-
stellungen Ihres
Computers oder
zur Analyse Ihrer
Einstellungen im
Vergleich mit der
Vorlage verwenden
Um die Sicherheit eines Computers zu analysieren, folgen Sie der Schrittanleitung.

8.6 Analyse der Sicherheitskonfiguration eines Computers mittels
1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an
2. Klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION UND

-ANALYSE, und wählen Sie DATENBANK ÖFFNEN.
3. Suchen Sie im Dialogfeld DATENBANK ÖFFNEN den Namen der Datenbank-
datei, die Sie in der Schrittanleitung erstellt haben, klicken Sie darauf und kli-
cken Sie dann auf ÖFFNEN.
4. Zur Durchführung der Analyse Ihres Systems müssen Sie eine Sicherheits-
vorlage als Vergleichsgrundlage auswählen. Klicken Sie, wie in Abbildung
8.25 gezeigt, mit der rechten Maustaste auf SICHERHEITSKONFIGURATION
UND -ANALYSE und wählen Sie VORLAGE IMPORTIEREN oder gehen Sie über
das Menü VORGANG.
5. Wählen Sie in dem angezeigten Dialogfeld die Vorlage, die Sie als Grundlage
für die Analyse Ihres Computers verwenden möchten, und klicken Sie auf
ÖFFNEN. Wie weiter vorne erwähnt, sollten Sie eine Vorlage wählen, die den
erwünschten Einstellungen nahe kommt.
6. Um die Analyse durchzuführen, klicken Sie mit der rechten Maustaste auf
SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie COMPUTER
JETZT ANALYSIEREN, wie in Abbildung 8.26 gezeigt.
Abbildung 8.25
Klicken Sie mit der

rechten Maustaste
auf SICHERHEITS-
KONFIGURATION UND
-ANALYSE, und wäh-
len Sie VORLAGE
IMPORTIEREN, um
eine Vorlage als
Basis für die Analy-
se zu importieren
7. Sie werden aufgefordert, den Speicherort der Fehlerprotokolldatei zu wählen,

die möglicherweise während der Analyse erzeugt wird (siehe Abbildung
8.27). Behalten Sie den Standardpfad bei oder wählen Sie einen anderen, und
klicken Sie dann auf OK.
8. Die Analyse der Sicherheitseinstellungen des Computers beginnt, und es wird
das Fortschrittsdialogfeld ANALYSE DER SYSTEMSICHERHEIT angezeigt, wie
in Abbildung 8.28 gezeigt.
9. Nach Abschluss der Analyse ändert sich das Erscheinungsbild der Konsole.
Sie zeigt jetzt alle Bereiche an, die in die Vorlage aufgenommen wurden, im
Vergleich mit den aktuellen Computereinstellungen, wie in Abbildung 8.29
gezeigt. An dieser Stelle steht Ihnen eine Reihe von Möglichkeiten zur Wahl.
Abbildung 8.26
Klicken Sie mit der

rechten Maustaste
auf SICHERHEITS-
KONFIGURATION UND
-ANALYSE, und wäh-
len Sie COMPUTER
JETZT ANALYSIEREN,
um die Analyse zu
beginnen
Abbildung 8.27
Wählen Sie einen

Pfad- und Dateina-
men für die Analy-
se-Fehlerprotokoll-
datei
10. Um die Analyseprotokolldatei anzuzeigen, klicken Sie mit der rechten Maus-
taste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und stellen Sie sicher,
dass die Option PROTOKOLLDATEI ANSEHEN aktiviert ist. Wie in Abbildung
8.30 gezeigt, ändert sich die Anzeige im Detailbereich nun, um die Protokoll-
datei anzuzeigen. Sie können die Protokolldatei durchgehen, um festzustel-
len, ob während der Analyse ernsthafte Fehler aufgetreten sind.
Abbildung 8.28
Während der Analy-

se zeigt das Dia-
logfeld ANALYSE DER
SYSTEMSICHERHEIT
STATUSINFORMATIO-
NEN an
Abbildung 8.29
Nach Abschluss
der Analyse werden
alle Sicherheitsein-
stellungen aus der
Vorlage in der
MMC-Konsole
angezeigt
Abbildung 8.30
Um die Analysepro-
tokolldatei anzuzei-
gen, klicken Sie mit
der rechten Maus-
taste auf SICHER-
HEITSKONFIGURATI-
ON UND -ANALYSE,
und wählen Sie
PROTOKOLLDATEI
ANSEHEN
Abbildung 8.31
Nach Abschluss
der Analyse können
Sie die Vorlagen-
einstellungen mit
den aktiven Einstel-
lungen des Com-
puters vergleichen
HINWEIS
Analyse vieler Computer
Für Situationen, in denen häufig die Analyse einer großen Menge von Computern
anfällt, enthält Windows 2000 ein Befehlszeilenprogramm namens SECEDIT. Die-
sem Programm können der Dateiname und der Pfad der Datenbank sowie wei-
tere in SICHERHEITSKONFIGURATION UND -ANALYSE festgelegte Parameter
übergeben werden. Das Programm führt die Sicherheitsanalyse durch, wie Sie es
in MMC getan haben, aber Sie benötigen trotzdem noch das Snap-In SICHER-
HEITSKONFIGURATION UND -ANALYSE, um die Analyseergebnisse anzuzeigen.
Das Befehlszeilenprogramm SECEDIT.EXE kann dort wertvoll sein, wo es sinnvoll
ist, die Analyse außerhalb der Spitzenlastzeiten durchzuführen. Tatsächlich ist
das Programm in erster Linie zur Verwendung über den Taskplaner vorgesehen
und nicht direkt über die Befehlszeile. Administratoren können einen zentralen
Speicherort für die Datenbanken vieler Computer konfigurieren und erhalten dann
auch die Ergebnisse an dieser Stelle. Nach der Analyse über Nacht kann der Ad-
ministrator die Inhalte der Datenbanken mit Hilfe des Snap-Ins SICHERHEITSKON-
FIGURATION UND -ANALYSE durchsuchen, um festzustellen, ob Probleme
vorliegen.
11. Um die Ergebnisse der Analyse anzuzeigen und den Vergleich zwischen
Computereinstellungen und Datenbank zu sehen, erweitern Sie den Bereich,
den Sie vergleichen möchten, und klicken Sie darauf, wie in Abbildung 8.31
angezeigt. Um beispielsweise für die Kennwortrichtlinie die Unterschiede
zwischen den Einstellungen des Computers und denen in der Datenbank (d.h.
den Einstellungen in der zum Vergleich herangezogenen Vorlage) zu ermit-
teln, würden Sie Kontorichtlinien erweitern und dann auf Kennwortrichtlinie
klicken. Der Detailbereich würde drei Spalten enthalten: Richtlinie, für den
Namen der Einstellung; Datenbankeinstellung, die Vorlageneinstellung in der
Datenbank auf der Basis der von Ihnen importierten Vorlage, sowie Compu-
tereinstellung, die derzeit aktive Konfiguration des Systems.
12. Gehen Sie die Analyse durch, um ein vollständiges Bild davon zu erhalten,
wie nahe Ihr System bei den Einstellungen der Vorlage liegt, und wo Ände-
rungen angebracht sind. Schließen Sie die MMC-Konsole, wenn Sie fertig
sind.
8.3.4 Konfiguration eines Computers mit

Sicherheitseinstellungen
Mit SICHERHEITSKONFIGURATION UND -ANALYSE können Sie anhand der Analyse-
ergebnisse ermitteln, ob die Vorlageneinstellungen richtig konfiguriert sind. Außer-
dem können Sie mittels SICHERHEITSKONFIGURATION UND -ANALYSE Einstellungen
von Sicherheitsvorlagen auf dem lokalen Computer anwenden. Führen Sie dazu die
Schrittanleitung aus.

8.7 Konfiguration eines Computers mit Sicherheitseinstellungen
unter Verwendung von Sicherheitskonfiguration und -analyse
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Computer an

datei, die Sie zuvor erstellt haben, oder erstellen Sie eine neue Datenbank für
die Vorlageneinstellungen, und klicken Sie dann auf ÖFFNEN.
4. Um Ihren Computer mit den soeben geladenen bzw. in der Datenbank gespei-
cherten Vorlageneinstellungen zu konfigurieren, klicken Sie mit der rechten
Maustaste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie
SYSTEM JETZT KONFIGURIEREN im Menü (siehe Abbildung 8.32).
5. Wählen Sie im angezeigten Dialogfeld den Speicherort der Fehlerprotokoll-
datei für die Konfiguration, und klicken Sie auf OK, wie in Abbildung 8.33
gezeigt.
Abbildung 8.32
Klicken Sie mit der

rechten Maustaste
auf SICHERHEITS-
KONFIGURATION UND
-ANALYSE, und wäh-
len Sie SYSTEM
JETZT KONFIGURIE-
REN, um die Vorla-
geneinstellungen
auf den Computer
anzuwenden
Abbildung 8.33
Es muss ein Fehler-

protokollpfad und
ein Dateiname
angegeben wer-
den, damit die Kon-
figuration des Com-
puters fortgesetzt
werden kann
6. Wie Sie beim Analysevorgang gesehen haben, wird bei der Konfiguration des
Computers ein Statusbildschirm wie in Abbildung 8.34 angezeigt, der Ihnen
Informationen über den Fortschritt der Anwendung von Sicherheitseinstel-
lungen auf den lokalen Computer liefert. Nach deren Abschluss werden die
verschiedenen Einstellungen nicht mehr im Bildschirm der MMC-Konsole
SICHERHEITSKONFIGURATION UND -ANALYSE angezeigt.
7. Nachdem die Konfiguration abgeschlossen ist, können Sie die Ergebnisse
prüfen, indem Sie wie bei der Analyse die Protokolldatei anzeigen (siehe
Abbildung 8.35).
8.3.5 Export von Sicherheitseinstellungen in eine

Vorlagendatei
Ein weiteres Feature von SICHERHEITSKONFIGURATION UND -ANALYSE ist die Mög-
lichkeit, aktuelle, in der Konsole angezeigte Einstellungen in eine Sicherheitsvorla-
gendatei zu exportieren. Auf diese Weise können Sie die Konfiguration eines vor-
handenen Systems in eine Vorlage exportieren, die in anderen Systemen importiert
oder mittels Gruppenrichtlinie angewandt werden kann.
Um eine Sicherheitskonfiguration mit SICHERHEITSKONFIGURATION UND -ANALYSE

in eine Sicherheitsvorlage zu exportieren, folgen Sie der Schrittanleitung.
Abbildung 8.34
Während der Konfi-

guration wird der
Fortschritt in einem
Statusbildschirm
angezeigt
Abbildung 8.35
Nach Abschluss
der Konfiguration
können Sie prüfen,
was sich geändert
hat, indem Sie die
Protokolldatei in
Sicherheitskonfigu-
ration und -analyse
untersuchen

8.8 Export von Sicherheitseinstellungen und Erstellung einer
Sicherheitsvorlage mit Sicherheitskonfiguration und -analyse

datei, in der sich die zu exportierenden Computereinstellungen befinden, und
klicken Sie dann auf ÖFFNEN.
4. Um die Computerkonfiguration in eine Sicherheitsvorlagendatei zu exportie-
ren, klicken Sie mit der rechten Maustaste auf SICHERHEITSKONFIGURATION
UND -ANALYSE, und wählen Sie VORLAGE EXPORTIEREN, wie in Abbildung
8.36 gezeigt.
5. Geben Sie im Dialogfeld VORLAGE EXPORTIEREN NACH, wie in Abbildung
8.37 gezeigt, den Namen der zu erstellenden Vorlagendatei ein und klicken
Sie auf OK. Wenn Sie den Ordnerpfad für die Datei ändern möchten, können
Sie dies im Drop-down-Listenfeld SPEICHERN IN tun.
SICHERHEITSKONFIGURATION UND -ANALYSE ist zwar ein nützliches Werkzeug für

Analyse, Anwendung und Export der Sicherheitseinstellungen eines Einzelcompu-
ters, aber die Tatsache, dass dies nur auf einem Computer zu einer Zeit möglich ist,
kann für Administratoren von großen Windows-2000-Netzwerken problematisch
sein. Eine andere Möglichkeit, die zur Anwendung von Sicherheitseinstellungen auf
eine Reihe von Computern genutzt werden kann, sind Gruppenrichtlinien.
8.3.6 Verwendung von Gruppenrichtlinien zur Anwendung

von Sicherheitseinstellungen
Wie Sie in den vorangegangenen Kapiteln gesehen haben, handelt es sich bei Grup-
penrichtlinien um ein Active Directory-Objekt, das genutzt werden kann, um eine
große Anzahl von Konfigurationseinstellungen auf eine Sammlung von Objekten
anzuwenden, die sich in einem Active Directory-Container befinden, wie etwa OU,
Domäne oder Standort. Ebenso, wie Sie Gruppenrichtlinien verwenden können, um
Einstellungen für administrative Vorlagen oder Softwarebereitstellung für eine
Anzahl von Computern in einem Active Directory-Container gleichzeitig anzuwen-
den, ist dies für Sicherheitseinstellungen möglich.
Abbildung 8.36
Klicken Sie mit der

rechten Maustaste
auf SICHERHEITS-
KONFIGURATION UND
-ANALYSE, und wäh-
len Sie VORLAGE
EXPORTIEREN, um
die aktuellen Com-
putereinstellungen
in eine Sicherheits-
vorlagendatei zu
exportieren
Abbildung 8.37
Geben Sie im Dia-

logfeld VORLAGE
EXPORTIEREN NACH
den Pfad- und
Dateinamen der zu
erstellenden
Sicherheitsvorla-
gendatei an
Bei der Anwendung von Sicherheitseinstellungen auf Computer mittels Gruppen-

richtlinien verwenden Sie immer noch Vorlagen. Gruppenrichtlinien besitzen Stan-
dardvorlagen, die keine vorkonfigurierten Einstellungen enthalten und manuell kon-
figuriert werden können. Es ist besser, eine Vorlagendatei zu erstellen und dann in
Gruppenrichtlinien zu importieren, weil so gewährleistet wird, dass alle Einstellun-
gen, die gemäß Unternehmensrichtlinien erforderlich sind, ordnungsgemäß kon-
figuriert werden. Zugleich hat der Administrator damit die Möglichkeit, Sicher-
heitseinstellungen außerhalb der Gruppenrichtlinien zu erstellen und zu testen
(beispielsweise mittels SICHERHEITSKONFIGURATION UND -ANALYSE), bevor sie bei

einer großen Anzahl von Computern auf Domänen-, OU- oder Standortebene einge-
führt werden.
Um Sicherheitsrichtlinien mittels Gruppenrichtlinien auf einen Active Directory-

Container anzuwenden, importieren Sie eine oder mehrere Sicherheitsvorlagen in
Sicherheitseinstellungen in Gruppenrichtlinien. Durch Import einer Sicherheitsvor-
lage in ein Gruppenrichtlinienobjekt wird gewährleistet, dass die Einstellungen
automatisch bei allen Mitgliedern des Containers angewandt werden, wenn die
Gruppenrichtlinie weitergegeben wird.
Um Sicherheitseinstellungen mittels Gruppenrichtlinien anzuwenden und eine

Sicherheitsvorlage in ein GPO zu importieren, folgen Sie der Schrittanleitung.

8.9 Weitergabe von Sicherheitseinstellungen mittels
Gruppenrichtlinien
und starten Sie die MMC-Konsole, in der sich das Gruppenrichtlinienobjekt
befindet, dessen Sicherheitseinstellungen Sie ändern möchten. (ACTIVE
DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-STAND-
ORTE UND -DIENSTE).
2. Klicken Sie mit der rechten Maustaste auf den Container, dessen GPO
zwecks Anwendung von Sicherheitseinstellungen geändert werden soll, und
klicken Sie auf EIGENSCHAFTEN.
3. Klicken Sie auf das Register GRUPPENRICHTLINIE und wählen Sie das GPO,
das Sicherheitseinstellungen an Objekte in seinem Gültigkeitsbereich weiter-
geben soll. Klicken Sie auf BEARBEITEN, um den GRUPPENRICHTLINIENEDI-
TOR zu öffnen.
4. Erweitern Sie COMPUTERKONFIGURATION (bzw. Benutzerkonfiguration,

wenn Sie Benutzer.Sicherheitselemente ändern), WINDOWS-EINSTELLUNGEN
und dann SICHERHEITSEINSTELLUNGEN, um die Bereiche anzuzeigen, die ver-
ändert werden können (siehe Abbildung 8.38). Sie können die Einstellungen
an dieser Stelle manuell ändern, aber sie werden nicht als Sicherheitsvorlage
gespeichert. Sie können eine vorhandene Vorlage importieren und ihre Ein-
stellungen innerhalb des GPO anwenden lassen.
5. Um die Einstellungen einer Sicherheitsvorlage zu importieren, klicken Sie
mit der rechten Maustaste auf SICHERHEITSEINSTELLUNGEN und wählen Sie
RICHTLINIE IMPORTIEREN, wie in Abbildung 8.39 gezeigt.
Abbildung 8.38
Erweitern Sie W IN-

DOWS-EINSTELLUN-
GEN und dann
SICHERHEITSEINSTEL-
LUNGEN im Contai-
ner COMPUTERKON-
FIGURATION des
Gruppenrichtlinien-
editors, um anzu-
zeigen, welche Ein-
stellungen
angewandt werden
können
Abbildung 8.39
Klicken Sie mit der

rechten Maustaste
auf SICHERHEITSEIN-
STELLUNGEN und
wählen Sie RICHTLI-
NIE IMPORTIEREN, um
eine Sicherheitsvor-
lage in das GPO zu
importieren
6. Suchen Sie im angezeigten Dialogfeld RICHTLINIE IMPORTIEREN VON (siehe

Abbildung 8.40) den Pfad und Dateinamen der anzuwendenden Sicherheits-
vorlage, und klicken Sie dann auf ÖFFNEN. Die Sicherheitsvorlageneinstel-
lungen werden importiert und Sie kehren zum Gruppenrichtlinieneditor
zurück. An dieser Stelle können Sie die Einstellungen überprüfen, um sicher-
zustellen, dass sie Ihren Erwartungen und den Vorgaben der Vorlage entspre-
chen.
Abbildung 8.40
Suchen Sie die zu

importierende
Sicherheitsvorlage,
und klicken Sie auf
ÖFFNEN
7. Wenn Sie fertig sind, schließen Sie den Gruppenrichtlinieneditor, um Ihre

Änderungen zu speichern.
8. Klicken Sie auf OK, um das Dialogfeld ACTIVE DIRECTORY CONTAINEREI-
GENSCHAFTEN zu schließen.
9. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER (bzw. ACTIVE

DIRECTORY-STANDORTE UND -DIENSTE), wenn Sie fertig sind.
Wie die Diskussion zeigt, ist der Import von Sicherheitsvorlagen und deren Anwen-
dung in einem GPO eine einfache Angelegenheit. Die Einstellungen der Vorlage
werden nun bei allen Computern und/oder Benutzern im Gültigkeitsbereich des
GPO umgesetzt. Sie können das MMC-Snap-In SICHERHEITSKONFIGURATION UND -
ANALYSE verwenden, um die Einstellungen einzelner Computer zu überprüfen.
Windows 2000 bietet dem Administrator große Flexibilität bei der Implementierung
einer Sicherheitsrichtlinie für Benutzer und Computer. Wie Sie gesehen haben, kön-
nen Sie mit Sicherheitsvorlagen die Einstellungen konfigurieren, die für einen Com-
puter bzw. Benutzer zu gelten haben. Mit SICHERHEITSKONFIGURATION UND -ANA-
LYSE können Sie die gegenwärtig aktiven Einstellungen (Istzustand) mit denen in
einer Sicherheitsvorlage (Sollzustand) vergleichen. Um auf einer Reihe von ver-
schiedenen Computern bzw. für eine Anzahl verschiedener Benutzer die gleichen
Sicherheitseinstellungen zu implementieren, können Sie Gruppenrichtlinien einset-
zen und diese Einstellungen auf Standort-, Domänen- oder OU-Ebene zuweisen.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie 633
8.4 Konfiguration und Implementierung einer

Überwachungsrichtlinie
씰 Implementierung einer Überwachungsrichtlinie.
Wie Sie gesehen haben, können Sie eine Sicherheitsrichtlinie entweder in Sicher-
heitskonfiguration und -analyse oder mittels Gruppenrichtlinien konfigurieren. Ein
sehr wichtiges Element, das es dabei zu berücksichtigen gilt, ist die Verfolgung
sicherheitsrelevanter Ereignisse, um festzustellen, ob Ihre Einstellungen effektiv
sind, also unbefugten Zugriff auf Ressourcen verhindern.
Richtlinien zur Sicherheitsüberprüfung stellen einen Bereich der Sicherheitspolitik

dar, in dem Sie festlegen können, welche sicherheitsrelevanten Ereignisse über-
wacht bzw. potenziell überwacht werden sollen. Durch Überwachung solcher
sicherheitsrelevanten Systemereignisse sind Sie in der Lage, Angriffsversuche zu
erkennen, bei denen Eindringlinge versuchen, Daten im System zu beschädigen
oder Zugriff auf Ressourcen zu erlangen, die sie nicht erreichen sollten.
Bei der Überwachung verfolgen Sie Benutzer- und Betriebssystemaktivitäten bzw.

-ereignisse auf einem Computer. Diese Informationen werden im Sicherheitsproto-
koll der Ereignisanzeige gespeichert. Jeder Eintrag bzw. Datensatz im Sicherheits-
protokoll enthält die ausgeführte Aktion, den ausführenden Benutzer und die Infor-
mation, ob die Aktion erfolgreich war oder nicht.
Die zu überwachenden Ereignisse werden in einer Überwachungsrichtlinie fest-

gelegt, die eine Komponente einer Sicherheitsrichtlinie ist. Wie gesagt, eine Überwa-
chungsrichtlinie kann innerhalb der Sicherheitseinstellungen der Gruppenrichtlinien,
oder in SICHERHEITSKONFIGURATION UND -ANALYSE für einen Einzelcomputer, kon-
figuriert werden. Die Ereignisse, die überwacht und in eine Überwachungsrichtlinie
aufgenommen werden können, bilden ein breites Spektrum. Die folgende Tabelle lis-
tet die Ereignistypen auf. Zu jedem Ereignis können Sie Erfolg oder Fehler erfassen.
Ereignis Beschreibung
Anmeldeereignisse Dieses Ereignis tritt auf einem Domänencontroller ein, wenn

überwachen dieser eine Anforderung zur Validierung eines Benutzerkontos
erhält. Es unterscheidet sich vom Ereignis Anmeldung, das
weiter hinten in dieser Tabelle behandelt wird. Ein Ereignis des
Typs Kontoanmeldung tritt ein, wenn ein Benutzer versucht, sich
bei einem Computer anzumelden und ein Anmeldekonto auf
Domänenebene angibt. Wenn der Domänencontroller vom
Clientcomputer eine Anforderung zur Anmeldung im Netzwerk
erhält, so gilt dies als Eintreten eines Kontoanmeldeereignisses.
Es sollte darauf hingewiesen werden, dass Computer ebenso wie
Benutzer eine Kontoanmeldung anfordern können.
Kontenverwaltung Dieses Ereignis tritt ein, wenn ein Administrator ein Benutzer-
überwachen konto bzw. eine Gruppe erstellt, ändert oder löscht. Außerdem
wird es verwendet, um das Umbenennen, Deaktivieren, Akti-
vieren oder Ändern des Kennworts eines Benutzerkontos durch
einen Administrator zu verfolgen.
Mit diesem Ereignis können Sie Änderungen an Benutzern oder
Gruppen im Standort, in der Domäne oder in der OU verfolgen.
Außerdem kann dieses Ereignis zur Überwachung von Ände-
rungen an lokalen Benutzern und Gruppen auf Computern mit
Windows 2000 Server bzw. Professional verwendet werden.
Active Directory- Dieses Ereignis verfolgt Benutzerzugriffe auf ein bestimmtes
Zugriff überwachen Active Directory-Objekt. Durch Aktivierung dieses Überwa-
chungsereignisses in Windows 2000 wird nicht automatisch die
Verfolgung von Zugriffen auf alle Active Directory-Objekte
eingeschaltet. Sie müssen festlegen, welche Benutzer und
Gruppen Zugriff auf einen bestimmten Active Directory-
Container haben sollen, der dadurch überwacht wird, dass
Einträge in der Registerkarte Überwachung der Einstellungen
unter Erweiterte Sicherheit für ein Active Directory-Objekt geän-
dert werden.
Anmeldeversuche Dieses Ereignis wird ausgelöst, wenn ein Benutzer sich bei einem
überwachen lokalen Computer an- oder abmeldet. Es kann auch verwendet
werden, um den Netzwerkzugriff auf einen Computer zu
verfolgen, weil der Benutzer sich zum Aufbau einer Verbindung
mit einem Computer über das Netzwerk anmelden muss. Anmel-
dungsereignisse treten auf dem Computer ein, bei dem der
Zugang angefordert wird, im Gegensatz zu Kontoanmeldeereig-
nissen, die immer auf Domänencontrollern auftreten.
Ereignis Beschreibung
Objektzugriffsver- Zu diesen Ereignissen gehört der Versuch eines Benutzers,

suche überwachen Zugriff auf eine Datei oder einen Ordner in einer NTFS-Partition
oder auf einen Drucker zu erhalten. Durch Aktivierung der
Objektzugriffsversuche, z.B. Active Directory-Zugriff, wird
dieses nicht automatisch für den Computer aktiviert; stattdessen
wird die Überwachung für Dateien und Drucker auf dem
Computer ermöglicht. Um festzulegen, welche Dateien, Ordner
und Drucker überwacht werden sollen, können Sie die Sicher-
heitseinstellungen des zu überwachenden Objekts ändern.
Richtlinienände- Dieses Ereignis überwacht den Erfolg bzw. Misserfolg von
rungen überwachen Versuchen zur Änderung von Sicherheitsoptionen, wie etwa
Kennwortrichtlinie, Zuweisung von Benutzerrechten, Einstel-
lungen für die Kontosperrung oder Überwachungsrichtlinien. Mit
anderen Worten, diese Reihe von Ereignissen verfolgt Ände-
rungen an Sicherheitseinstellungen des Computers oder GPOs
einschließlich der zu überwachenden Ereignisse.
Rechteverwendung Diese Ereignisse verfolgen die Verwendung bestimmter Privile-
überwachen gien und Benutzerrechte durch eine Person. Dazu gehören die
Übernahme der Eigentümerschaft für Dateien und Ordner, Ände-
rung der Systemzeit, Laden bzw. Entladen von Gerätetreibern
und Änderung von Kontingenten. Mit Ausnahme von Anmel-
dungs- und Abmeldungsberechtigungen und -ereignissen, die das
Windows-2000-Sicherheitsprotokoll betreffen, wie etwa Herun-
terfahren oder Neustarten des Computers, kann dieses Ereignis
verwendet werden, um fast alle Benutzerrechte zu überwachen,
die zugewiesen werden können.
Prozessverfolgung Dieses Ereignis wird zur Verfolgung der Ausführung von
überwachen Prozessen auf dem System verwendet. Dazu gehören u.a. Start
und Beendigung einer Anwendung sowie weitere von einer
Anwendung selbst geöffnete Programme. Im Allgemeinen
würden Sie die Prozessverfolgung nur aktivieren, wenn Sie
Programmierer sind und den Ablauf Ihrer Programme und die
von Windows 2000 aufgezeichneten Prozessinformationen sehen
möchten.
Systemereignisse Dieses Ereignis betrifft das Herunterfahren und den Neustart
überwachen eines Computers durch den Benutzer. Weitere Ereignisse
umfassen alles, was Sicherheitselemente in Windows 2000,
beispielsweise Löschen des Sicherheitsprotokolls in der Ereignis-
anzeige, oder andere sicherheitsbezogene Einstellungen auf dem
Computer betrifft.
Angesichts dieser Tabelle sollten Sie nun verstehen, dass es möglich ist, fast jede
Aktion zu verfolgen, die in einem System durchgeführt wird, falls dies gewünscht
wird. Im Allgemeinen ist zu viel Überwachung jedoch nicht zu empfehlen. Die
Überwachung kann die Leistung des Zielsystems ernsthaft beeinträchtigen. Ande-
rerseits ist der Totalverzicht auf Überwachung zwar besonders gut für die Leistung,
bietet aber auch keine Informationen über Versuche von Außenstehenden, Zugriff
auf Ressourcen zu erlangen. Das ideale Ausmaß der Überwachung liegt auf dem
Grat zwischen Leistung und Sicherheit und ist für jede Organisation anders zu
bewerten. Die Planung ist der Schlüssel.
8.4.1 Planung einer Überwachungsrichtlinie

Bei der Entscheidung, ob und in welchem Umfang eine Überwachungsrichtlinie
implementiert werden soll, spielt die Planung eine überragende Rolle. Wie zuvor
gesagt, zu viel Überwachung kann das System auf die Knie zwingen und das Netz-
werk sowie die Computer in den Augen der Benutzer als zu langsam für die Bewäl-
tigung ihrer Aufgaben erscheinen lassen. Auf der anderen Seite kann zu wenig oder
gar keine Überwachung das System für Angriffe verwundbar machen und einen
Eindringling unterstützen, statt ihn zu behindern. Eine allgemeine Daumenregel
besagt, dass nur die Ereignisse zu überwachen sind, die in Ihrer Umgebung Sinn
machen.
Berücksichtigen Sie bei der Planung einer Überwachungsrichtlinie folgende Leitli-

nien:
씰 Stellen Sie fest, auf welchen Computern die Überwachung konfiguriert

werden soll. Die Überwachung kann bei einzelnen Computern ein- oder aus-
geschaltet werden; deshalb sollten Sie feststellen, bei welchen Computern
Erfolg oder Misserfolg von Benutzeraktionen verfolgt werden sollen. So sind
etwa Dateiserver und Domänencontroller, die vertrauliche oder unterneh-
menswichtige Daten enthalten, gute Kandidaten für die Überwachung. Desk-
top-Computer von Benutzern hingegen sollten, mit Ausnahme von
Hochsicherheitsumgebungen wie nationalen Sicherheitsbehörden, Militär
oder bestimmter Bereiche von Finanzinstituten, wahrscheinlich nicht über-
wacht werden. Solche Computer enthalten normalerweise keine vertraulichen
oder unternehmenswichtigen Daten. Wie immer gibt es Ausnahmen, und
diese sollten als solche behandelt werden.
씰 Ermitteln Sie für jeden Computer die zu überwachenden Ereignistypen.
Auf manchen Computern sollten bestimmte Ereignistypen überwacht wer-
den, die bei anderen Computern nicht relevant sind. Domänencontroller sind
beispielsweise gute Kandidaten für die Überwachung von Ereignissen der
Typen Kontoanmeldung, Kontenverwaltung und Active Directory-Zugriff.
Bei Windows 2000 Server werden eher die Ereignistypen Datei- und Ordner-
zugriff sowie Rechteverwendung überwacht. Alle Computer sind u.U. gute

Kandidaten für die Überwachung der Ereignisse vom Typ System (System-
start und Herunterfahren) und Anmeldung. Prüfen Sie für jeden Computer,
welche Ereignisse sinnvollerweise auf diesem Computer überwacht werden
sollten.
씰 Müssen Sie den erfolgreichen Zugriff auf bzw. Nutzung einer Ressource,
den Misserfolg dabei oder beides verfolgen? Offensichtlich liefert die Ver-
folgung beider Ereignisklassen mehr Daten, aber liefern diese Daten auch
nützliche Informationen oder erschweren sie lediglich das Aufspüren von
Versuchen zur Umgehung der Sicherheitseinstellungen auf dem Computer?
ERFOLGREICH und FEHLGESCHLAGEN zusammen können für die Ressourcen-
planung verwendet werden, wogegen Fehler alleine Sie auf mögliche Sicher-
heitsbrüche aufmerksam machen können.
씰 Stellen Sie fest, für welche Objekte und Benutzer Sie Ereignisse verfol-
gen möchten. Wie zuvor angedeutet, müssen manche Ereignisse, wie etwa
Objektzugriffsversuche (Datei, Ordner und Drucker) und ACTIVE DIREC-
TORY-ZUGRIFF ÜBERWACHEN für das fragliche Objekt und für Benutzer,
deren Zugriffe Sie überwachen möchten, konfiguriert werden. Die Verfol-
gung von ERFOLGREICH und FEHLGESCHLAGEN bei der Systemgruppe Jeder
erfasst zwar alle Benutzer, könnte aber einmal mehr zu viele Daten und nicht
viele nützliche Informationen liefern. Sie müssen sich entscheiden, für wel-
che Benutzer und für welche Objekte Sie den Zugriff überwachen möchten.
씰 Stellen Sie fest, ob Sie Nutzungstrends über die Zeit verfolgen möchten.
Ist dies der Fall, so müssen Sie die Sicherheitsprotokolle regelmäßig archivie-
ren und über längere Zeit aufbewahren. Dies hat nicht unbedingt Einfluss auf
die Entscheidung, was zu überwachen ist; es führt eher ein weiteres administ-
ratives Element in die Gleichung ein. Zu den relevanten Faktoren gehören
Aufbewahrungsdauer und Aufbewahrungsort für Protokolle sowie die Frage,
ob sie regelmäßig ausgewertet werden sollen, um Trends zu verfolgen, und
wie dies zu bewerkstelligen ist.
씰 Prüfen Sie die Protokolle häufig und regelmäßig. Eine Überwachungs-
richtlinie zu konfigurieren und dann das Sicherheitsprotokoll niemals anzuse-
hen ist etwa so sinnvoll wie einen Sechser im Lotto zu haben und den Gewinn
nicht abzuholen. Sie fühlen sich gut, weil Sie wissen, dass Sie sechs Richtige
mit Zusatzzahl haben, aber Sie bekommen kein Geld. Bei ihren Anstrengun-
gen, alles reibungslos am Laufen zu halten, sollten Administratoren regelmä-
ßig (täglich ist gut) die Protokolle prüfen und auf Ereignisse achten, die nicht
vorkommen sollten.
Ein länglicher, auf Überwachung konzentrierter Planungsprozess hat zur Einigung

zwischen dem Management und allen anderen Beteiligten geführt. Nun, da Sie fest-
gelegt haben, welche Überwachung stattzufinden hat, müssen Sie die Politik imple-
mentieren.
8.4.2 Einrichtung einer Überwachungsrichtlinie

Bei der Einrichtung einer Überwachungsrichtlinie können Sie je nach Geltungsbe-
reich der Richtlinie eines von zwei Tools einsetzen. Um eine Überwachungsrichtli-
nie für einen Einzelcomputer zu konfigurieren, können Sie das Snap-In SICHER-
HEITSKONFIGURATION UND -ANALYSE auf dem lokalen Computer einsetzen, auf
dem die Richtlinie implementiert werden soll. Dadurch wird jedoch lediglich
gewährleistet, dass die Überwachungsrichtlinie diesen einen Computer betrifft, aber
dies bringt möglicherweise nicht so viel Nutzen wie die Anwendung ähnlicher Ein-
stellungen auf eine ganze Reihe von Computern.
Um eine Überwachungsrichtlinie für mehrere Computer zugleich zu konfigurieren,

können Sie Gruppenrichtlinien verwenden. Um eine Überwachungsrichtlinie mittels
Gruppenrichtlinien zu definieren, folgen Sie der Schrittanleitung.

8.10 Konfiguration einer Überwachungsrichtlinie mittels
Gruppenrichtlinien
und starten Sie die MMC-Konsole, in der sich das Gruppenrichtlinienobjekt
befindet, für das Sie eine Überwachungsrichtlinie konfigurieren möchten.
(ACTIVE DIRECTORY-BENUTZER UND -COMPUTER oder ACTIVE DIRECTORY-
STANDORTE UND -DIENSTE).
2. Klicken Sie mit der rechten Maustaste auf den Container, dessen GPO
zwecks Installation einer Überwachungsrichtlinie geändert werden soll, und
klicken Sie auf EIGENSCHAFTEN.
3. Klicken Sie auf das Register GRUPPENRICHTLINIE und wählen Sie das GPO,
das Sicherheitseinstellungen an Objekte in seinem Gültigkeitsbereich weiter-
geben soll. Klicken Sie auf BEARBEITEN, um den Gruppenrichtlinieneditor zu
öffnen.
4. Erweitern Sie COMPUTERKONFIGURATION, WINDOWS-EINSTELLUNGEN
SICHERHEITSEINSTELLUNGEN und dann LOKALE RICHTLINIEN, um die Berei-
che des Systems anzuzeigen, auf welche die Überwachungsrichtlinie ange-
wandt werden kann (siehe Abbildung 8.41).
5. Wählen Sie den zu überwachenden Ereignistyp und doppelklicken Sie darauf,

um das Dialogfeld zur Einstellungsdefinition zu öffnen, wie in Abbildung
8.42 gezeigt.
Abbildung 8.41
Erweitern Sie W IN-

DOWS-EINSTELLUN-
GEN, SICHERHEITS-
EINSTELLUNGEN und
dann LOKALE RICHT-
LINIEN im Container
COMPUTERKONFIGU-
RATION des Grup-
penrichtlinienedi-
tors, um eine
Überwachungs-
richtlinie zu konfi-
gurieren
Abbildung 8.42
Doppelklicken Sie
auf das Ereignis, für
das Sie die Über-
wachung konfigu-
rieren möchten, um
das Dialogfeld
SICHERHEITSRICHTLI-
NIE zu öffnen
6. Klicken Sie in das Kontrollkästchen DIESE RICHTLINIENEINSTELLUNG DEFI-

NIEREN, und wählen Sie, ob für das Ereignis ERFOLGREICH, FEHLGESCHLA-
GEN oder beides überwacht werden soll, indem Sie die entsprechenden Kon-
trollkästchen aktivieren. Klicken Sie auf OK, um Ihre Änderungen zu
speichern. Der Gruppenrichtlinieneditor zeigt Ihre Änderungen an, wie in
Abbildung 8.43 gezeigt.
7. Wiederholen Sie die Schritte 5 und 6 für jedes weitere Ereignis, das Sie über-
wachen möchten. Wenn Sie fertig sind, schließen Sie den Gruppenrichtlinien-
editor.
8. Klicken Sie auf OK, um das EIGENSCHAFTEN-Dialogfeld zu schließen.

Wie Sie sehen, ist die Einrichtung einer Überwachung ganz einfach. Denken Sie
jedoch daran, dass Sie für den Zugriff auf Objekte und Verzeichnisdienste noch
festlegen müssen, für welche Objekte (Dateien, Ordner oder Drucker) bzw. Active
Directory-Container Sie den Zugriff von wem überwachen möchten.
8.4.3 Überwachung des Zugriffs auf Ressourcen

Nachdem Sie die Überwachungsrichtlinie für die Überwachung von Objekt- und
Active Directory-Zugriffen konfiguriert haben, müssen Sie zusätzliche Schritte und
weitere Planungsaufgaben ausführen, um sicherzustellen, dass die Ereignisse zu
wichtigen Ressourcen überwacht werden. Zu solchen Ressourcen gehören u.a.
Dateisystemobjekte, Druckerobjekte und Active Directory-Objekte.
Abbildung 8.43
Die Änderung der

Ereigniskonfigurati-
on für die Überwa-
chung wird unmit-
telbar im
Gruppenrichtlinien-
editor angezeigt
Überwachung des Zugriffs auf Dateisystemobjekte

Wenn Sie die Überwachung für Dateien und Ordner des Dateisystems konfigurie-
ren, betrifft dies nur Dateien und Ordner in NTFS-Dateisystemen. Überwachung für
Dateien in FAT- oder FAT32-Dateisystemen ist nicht verfügbar; diese Dateisys-
teme bieten nicht die Art von Sicherheit, die für die Überwachung notwendig ist.
Denken Sie an Folgendes, wenn Sie die Überwachung für Dateisystemobjekte fest-
legen:
씰 Überwachen Sie Fehlerereignisse bei Leseoperationen in wichtigen bzw. ver-

traulichen Dateien, um festzustellen, welche Benutzer versuchen, auf Dateien
zuzugreifen, für die sie keine Berechtigung haben.
씰 Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei Löschoperationen
in vertraulichen oder archivierten Dateien, um festzustellen, welche Benutzer
möglicherweise schädliche Aktivitäten versuchen, und um zu verfolgen, wel-
che Dateien von welchen Benutzern gelöscht wurden.
씰 Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei der Rechtever-
wendung vom Typ BERECHTIGUNGEN ÄNDERN und BENUTZERRECHTE ÜBER-
NEHMEN für vertrauliche und persönliche Dateien von Benutzern. Solche
Ereignisse können darauf hinweisen, dass jemand versucht, Sicherheitsein-
stellungen von Dateien zu ändern, auf die er keinen Zugriff hat, um Zugriff
auf Daten zu erlangen, für die er gegenwärtig keine Rechte besitzt. Damit
wird auch ein Administrator erfasst, der die Benutzerrechte für die Datei
eines Benutzers übernimmt oder Berechtigungen für eine Datei ändert, damit
er bzw. sie Zugriff erlangt. Auch wenn Administratoren ihre Spuren mögli-
cherweise etwas besser verwischen können als die meisten anderen, das
Ereignis wird im Protokoll aufgezeichnet.
씰 Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei allen Ereignissen,
die mit Mitgliedern der Gruppe GÄSTE zu tun haben. Dies sollte für die Ord-
ner erfolgen, auf die Gäste keinen Zugriff haben sollten. Sie können prüfen,
ob Versuche von unbefugten Benutzern stattgefunden haben, und falls ja,
wann sie stattgefunden haben (sodass Sie ein Muster ermitteln können).
씰 Überwachen Sie Datei- und Ordnerzugriffe (ERFOLGREICH und FEHLGE-
SCHLAGEN) auf allen Computern mit gemeinsamen Daten, die normalerweise
abgesichert werden sollten. Auf diese Weise können Aktivitäten bei gemein-
samen Ordnern verfolgt werden, um sicherzustellen, dass keine unerwünsch-
ten Versuche des Sicherheitsbruchs stattgefunden haben.
Um die Überwachung für eine bestimmte Datei oder einen bestimmten Ordner in
einer NTFS-Partition festzulegen, aktivieren Sie die Überwachung von Objektzu-
griffsereignissen (ERFOLGREICH und FEHLGESCHLAGEN) und folgen Sie dann der
Schrittanleitung.

8.11 Konfiguration der Überwachung für Dateien und Ordner
und starten Sie Windows Explorer aus der Programmgruppe ZUBEHÖR.
2. Suchen Sie den Ordner bzw. die Datei in einer NTFS-Partition, den bzw. die
Sie auf Zugriffe überwachen möchten, klicken Sie mit der rechten Maustaste
darauf und wählen Sie EIGENSCHAFTEN. Es wird ein Dialogfeld ähnlich wie
in Abbildung 8.44 angezeigt.
3. Klicken Sie auf das Register SICHERHEITSEINSTELLUNGEN, um die aktuellen
Berechtigungen anzuzeigen, wie in Abbildung 8.45 gezeigt.
Abbildung 8.44
Wenn Sie für den

NTFS-Ordner, den
Sie auf Zugriffe
überwachen möch-
ten, EIGENSCHAFTEN
wählen, wird dieses
Dialogfeld ange-
zeigt
4. Klicken Sie auf die Schaltfläche ERWEITERT, um zu den erweiterten Sicher-

heitseinstellungen zu gelangen, wie in Abbildung 8.46 gezeigt.
5. Klicken Sie auf das Register ÜBERWACHUNG, um die aktuell konfigurierten
Überwachungseinstellungen für den Ordner anzuzeigen, wie in Abbildung
8.47 gezeigt.
6. Klicken Sie auf die Schaltfläche HINZUFÜGEN und wählen Sie eine Gruppe
oder einen Benutzer, für die bzw. den Sie Aktivitäten an diesem Ordner über-
wachen möchten. Nachdem Sie gewählt haben, wird ein Dialogfeld ähnlich
Abbildung 8.48 angezeigt, in dem Sie festlegen können, für welche Ereig-
nisse ERFOLGREICH bzw. FEHLGESCHLAGEN aufgezeichnet werden soll.
Abbildung 8.45
Die Registerkarte
SICHERHEITSEINSTEL-
LUNGEN des NTFS-
Ordners zeigt die
gegenwärtig zuge-
ordneten Berechti-
gungen an
Abbildung 8.46
Durch Klicken auf

die Schaltfläche
ERWEITERT kommen
Sie in das Dialog-
feld ZUGRIFFSEIN-
STELLUNGEN
Beachten Sie, dass Sie das Drop-down-Listenfeld ANWENDEN AUF verwen-

den können, um festzulegen, ob diese Überwachungseinstellungen nur auf
diesen Ordner, auf diesen und untergeordnete Ordner oder andere Kombinati-
onen angewandt werden sollen.
Abbildung 8.47
Die Registerkarte
ÜBERWACHUNG lis-
tet die aktuell konfi-
gurierten Überwa-
chungsoptionen für
den Ordner auf
Abbildung 8.48
Durch Markieren
einer Gruppe oder
eines Benutzers
wird das Auswahl-
dialogfeld ÜBERWA-
CHUNGSEINTRAG
angezeigt, in dem
Sie die für diesen
NTFS-Ordner zu
überwachenden
Erfolgs- bzw. Fehle-
rereignisse aus-
wählen können
7. Treffen Sie Ihre Wahl, indem Sie in die passenden Kontrollkästchen unter
ERFOLGREICH bzw. FEHLGESCHLAGEN klicken, und klicken Sie auf OK,
wenn Sie fertig sind.
8. Wiederholen Sie die Schritte 6 und 7, um weitere Gruppen und Benutzer hin-
zuzufügen und deren Überwachungseinstellungen zu konfigurieren.
9. Nachdem Sie Ihre Wahl getroffen haben, kehren Sie zum Dialogfeld
ZUGRIFFSEINSTELLUNGEN zurück. Klicken Sie auf ANWENDEN und dann auf
OK, um Ihre Änderungen zu speichern.
10. Beenden Sie Windows Explorer, wenn Sie fertig sind. Wiederholen Sie
andernfalls die vorangegangenen Schritte für jeden weiteren Ordner bzw.
jede weitere Datei, den bzw. die Sie für die Überwachung konfigurieren
möchten.
Wie die letzte Schritt-für-Schritt-Anleitung zeigt, ist es notwendig, Windows Explo-

rer einzusetzen, um die Überwachung für die einzelnen Dateien und Ordner zu akti-
vieren, die verfolgt werden sollen. Dieser Vorgang kann einige Zeit in Anspruch
nehmen, bis alle Überwachungseinstellungen für alle sensitiven Dateien und Ordner
festgelegt sind, aber dies kann für den reibungslosen und sicheren Betrieb Ihres
Netzwerks von entscheidender Bedeutung sein.
8.4.4 Überwachung des Zugriffs auf Druckerobjekte

Sie können die Überwachung für Druckerobjekte konfigurieren, um deren Auslas-
tung zu verfolgen, oder um festzustellen, ob versucht wurde, sensitive Drucker zu
benutzen (z.B. MICR-Drucker, die zur Erstellung von Schecks verwendet werden
können). Zwar brauchen die meisten Drucker nicht überwacht zu werden, aber spe-
zialisierte Drucker oder solche mit teurem Verbrauchsmaterial könnten u.U. etwas
Überwachung vertragen.
Gehen Sie bei der Überwachung von Druckern folgendermaßen vor:
씰 Überwachen Sie Fehlerereignisse für Druckoperationen bei gefährdeten Dru-

ckern, etwa solchen, die zum Drucken bzw. zum Ausfüllen vertraulicher Fir-
mendokumente bzw. Vordrucke verwendet werden. Wenn beispielsweise ein
CD-Laden Drucker zur Erstellung von Geschenkgutscheinen benutzt, möchte
man vielleicht den Zugriff auf den Drucker, in dem die Gutscheinvordrucke
eingelegt sind, einschränken.
씰 Überwachen Sie FEHLGESCHLAGEN und ERFOLGREICH bei Druckoperationen
auf teuren Druckern, damit Sie die Auslastung verfolgen und ggf. diese Infor-
mationen verwenden können, um eine Abteilung bzw. einen Benutzer mit
den Kosten zu belasten.
씰 Überwachen Sie ERFOLGREICH und FEHLGESCHLAGEN bei der Verwendung

der Berechtigung VOLLZUGRIFF FÜR ALLE DRUCKER, damit Sie administra-
tive Änderungen am Drucker verfolgen können. Dazu gehören die Aktuali-
sierung von Gerätetreibern ebenso wie die Erstellung und Entfernung von
Freigaben.
씰 Überwachen Sie Erfolgsereignisse für Löschberechtigungen bei häufig
benutzten Druckern, damit das Löschen von Dokumenten im Rahmen von
Aufräumarbeiten als administrativer Eingriff und nicht als Druckerausfall
wahrgenommen werden kann.
씰 Überwachen Sie Erfolgs- und Fehlerereignisse für die Rechte BERECHTIGUN-
GEN ÄNDERN und BENUTZERRECHTE ÜBERNEHMEN bei gefährdeten Dru-
ckern, damit aufgezeichnet wird, wer in die Zugriffssteuerungsliste für den
Drucker aufgenommen bzw. daraus entfernt wurde. Auf diese Weise können
Sie feststellen, ob ein Administrator einem Benutzer möglicherweise Berech-
tigungen gewährt hat, die dieser nicht haben sollte, und Sicherheitsverletzun-
gen verfolgen.
Um die Überwachung für einen Drucker festzulegen, aktivieren Sie die Objektzu-
griff-Überwachung (ERFOLGREICH und FEHLGESCHLAGEN), und führen Sie dann
die Schrittanleitung aus.

8.12 Konfiguration der Überwachung für Drucker
und klicken Sie auf START, EINSTELLUNGEN und dann DRUCKER. Es wird
eine Liste von Druckern im System angezeigt, ähnlich wie in Abbildung 8.49.
2. Klicken Sie mit der rechten Maustaste auf den Drucker, für den Sie die Über-
wachung aktivieren möchten, und wählen Sie EIGENSCHAFTEN. Wie in Abbil-
dung 8.50 gezeigt, wird das Dialogfeld EIGENSCHAFTEN zu dem Drucker
angezeigt.
3. Klicken Sie auf das Register SICHERHEITSEINSTELLUNGEN und dann auf die
Schaltfläche ERWEITERT, um das Dialogfeld ZUGRIFFSEINSTELLUNGEN anzu-
zeigen, wie in Abbildung 8.51 gezeigt.
4. Klicken Sie auf das Register ÜBERWACHUNG des Dialogfelds ZUGRIFFSEIN-
STELLUNGEN, um eine Liste der Überwachungseinträge für diesen Drucker
anzuzeigen.
5. Um einen Eintrag hinzuzufügen, klicken Sie auf die Schaltfläche HINZUFÜ-
GEN. Sie werden aufgefordert, den Benutzer bzw. die Gruppe zu wählen,
deren Druckeraktionen Sie überwachen möchten, wie in Abbildung 8.52
gezeigt.
Abbildung 8.49
Bei der Wahl von

DRUCKER im Menü
EINSTELLUNGEN des
Startmenüs wer-
den die im System
installierten Drucker
angezeigt
Abbildung 8.50
Das Dialogfeld
EIGENSCHAFTEN zum
Drucker wird geöff-
net, wenn Sie mit
der rechten Maus-
taste auf den Dru-
cker klicken und
EIGENSCHAFTEN
wählen
Abbildung 8.51
Das Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN wird geöff-
net, wenn Sie in der
Registerkarte
SICHERHEITSEINSTEL-
LUNGEN des EIGEN-
SCHAFTEN-Dialog-
felds auf ERWEITERT
klicken
Abbildung 8.52
Wenn Sie auf das

Register ÜBERWA-
CHUNG und dann
auf HINZUFÜGEN kli-
cken, können Sie
weitere Überwa-
chungseinträge für
den Drucker hinzu-
fügen
6. Nachdem Sie den Benutzer bzw. die Gruppe gewählt haben, deren Aktionen
Sie überwachen möchten, wird das Dialogfeld ÜBERWACHUNGSEINTRAG
angezeigt (siehe Abbildung 8.53).Wählen Sie die zu überwachenden Aktio-
nen, und klicken Sie auf OK, wenn Sie fertig sind.
Beachten Sie, dass Sie Ihre Überwachungsaktionen auf den Drucker und Do-
kumente, nur auf den Drucker oder nur auf Dokumente anwenden können.
Außerdem ist es wichtig, anzumerken, dass die Überwachung der Berechti-
gung DRUCKEN zusätzlich die Überwachung der Leseberechtigungen erfor-
dert, weil Benutzer den Drucker auffinden müssen, um darauf zu drucken.
Abbildung 8.53
In dem Dialogfeld
ÜBERWACHUNGSEIN-
TRAG wählen Sie die
zu überwachenden
Aktionen
7. Wiederholen Sie die Schritte 5 und 6, um weitere Gruppen bzw. Benutzer

hinzuzufügen und deren Überwachungseinstellungen zu konfigurieren.
8. Nachdem Sie Ihre Entscheidungen getroffen haben, kehren Sie zum Dialog-
feld ZUGRIFFSEINSTELLUNGEN zurück. Klicken Sie auf ANWENDEN und dann
auf OK, um Ihre Änderungen zu speichern.
9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Drucker zu
schließen.
10. Schließen Sie den Ordner DRUCKER, wenn Sie fertig sind. Andernfalls wie-
derholen Sie die vorangegangenen Schritte mit weiteren Druckern, für die Sie
die Überwachung konfigurieren möchten.
Ähnlich wie bei Dateien und Ordnern ist es für die Überwachung des Zugriffs auf
Drucker erforderlich, dass Sie festlegen, welche Aktionen von welchen Benutzern
für welche Drucker protokolliert werden sollen. Es ist sinnvoll, den Zugriff auf sehr
spezielle oder wichtige Drucker (wie etwa Scheckdrucker oder teure Farbdrucker)
zu überwachen, nicht aber auf einfache Drucker, die von jedem benutzt werden,
oder gar auf solche, die auf dem Schreibtisch eines Benutzers stehen.
8.4.5 Überwachung des Zugriffs auf Active Directory-

Objekte
Wenn Sie die Überwachung für Active Directory-Objekte konfigurieren, können
Sie Änderungen an oder einfach Lesezugriffe auf eine Komponente von Active
Directory verfolgen. Zu den Objekten, die verfolgt werden können, gehört praktisch
alles in Active Directory.
Wenn Sie den Zugriff auf Active Directory-Objekte überwachen, sollten Sie wich-
tige Objekte, wie etwa Benutzerkonten und alle Gruppen mit gefährdeter Mitglied-
schaft, sowohl auf Erfolgs- als auch auf Fehlerereignisse überwachen. Sie sollten
dies für alle administrativen Benutzer tun, vor allem für solche, denen Sie evtl. die
Kontrolle über ein Active Directory-Objekt übertragen haben. Damit können Sie
feststellen, ob eine der Personen, die Sie mit der Verantwortung für Teile Ihrer
Netzwerkinfrastruktur betraut haben, versucht, mehr Zugriffsrechte zu erlangen als
ihr gewährt wurden.
Um den Zugriff auf Active Directory-Objekte zu überwachen, stellen Sie die Über-
wachungsrichtlinie auf VERFOLGUNG DES ZUGRIFFS und die Nutzung von Verzeich-
nisdiensten ein. Aktivieren Sie die Überwachung des Objekts mit Hilfe der passen-
den MMC-Konsole, wie etwa ACTIVE DIRECTORY-BENUTZER UND -COMPUTER,
ACTIVE DIRECTORY-STANDORTE UND -DIENSTE oder ACTIVE DIRECTORY-DOMÄ-
NEN UND -VERTRAUENSSTELLUNGEN. Um beispielsweise die Überwachung für den
Container BENUTZER in Active Directory zu aktivieren, führen Sie die folgende
Schrittanleitung aus.

8.13 Konfiguration der Überwachung für Active Directory-Objekte
und öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER in der Pro-
grammgruppe VERWALTUNG.
2. Erweitern Sie Ihre Domäne, klicken Sie mit der rechten Maustaste auf den
Container, für den Sie die Überwachung konfigurieren möchten, und wählen
Sie EIGENSCHAFTEN.
3. Klicken Sie im Bildschirm EIGENSCHAFTEN auf das Register SICHERHEITS-
EINSTELLUNGEN und wählen Sie ERWEITERT. Es wird ein Bildschirm ähnlich
Abbildung 8.54 angezeigt. Wenn die Option ERWEITERT nicht verfügbar ist,
klicken Sie auf das Menü ANSICHT in der MMC-Konsole und wählen Sie
ERWEITERTE FUNKTIONEN, um die erweiterten Optionen in der Konsole
anzuzeigen.
Abbildung 8.54
Im Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN für den
Active Directory-
Container BENUT-
ZER können Sie auf
die Überwachungs-
einstellungen für
das Active Directo-
ry-Objekt zugreifen
4. Klicken Sie auf das Register ÜBERWACHUNG, um eine Liste der aktuellen
Überwachungseinträge anzuzeigen. Um einen neuen Eintrag hinzuzufügen,
klicken Sie auf die Schaltfläche HINZUFÜGEN, und wählen Sie einen Benutzer
bzw. eine Gruppe, die überwacht werden sollen, wie in Abbildung 8.55
gezeigt.
Abbildung 8.55
Wenn Sie auf das

Register ÜBERWA-
CHUNG klicken, wird
eine Liste der aktu-
ellen Einträge
angezeigt
5. Wählen Sie im Dialogfeld die Aktion, die Sie überwachen möchten, ERFOLG-
REICH oder FEHLGESCHLAGEN, sowie den Gültigkeitsbereich der Überwa-
chung, wie in Abbildung 8.56 gezeigt. Klicken Sie auf OK, wenn Sie fertig
sind, um Ihre Änderungen zu speichern. Beachten Sie, dass Active Directory-
Objekte viele unterschiedliche Berechtigungen aufweisen, die überwacht

werden können, beispielsweise COMPUTEROBJEKTE ERSTELLEN oder COMPU-
TEROBJEKTE LÖSCHEN. Active Directory-Objekte können mehr Berechtigun-
gen aufweisen als Dateien, Ordner oder Drucker.
Abbildung 8.56
Wenn Sie einen

Überwachungsein-
trag für ein Active
Directory-Objekt
hinzufügen, wird
eine lange Liste
möglicher Aktio-
nen angezeigt, die
verfolgt werden
können
6. Wenn Sie mit der Konfiguration der Überwachungseinstellungen für das

Objekt fertig sind, klicken Sie auf OK, um das Dialogfeld ZUGRIFFSEINSTEL-
LUNGEN zu schließen. Andernfalls fügen Sie die gewünschten Einträge hinzu
und schließen Sie das Dialogfeld.
7. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN zu schließen.
8. Wenn Sie weitere Objekte überwachen möchten, wiederholen Sie die Schritte
2 bis 7 für die betreffenden Container bzw. Objekte. Wenn Sie fertig sind,
beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
HINWEIS
Fokussierung der Überwachung auf präzise Stufen
Seien Sie vorsichtig bei der Anwendung der Überwachung auf alle Objekte ein-
schließlich der untergeordneten. Dadurch werden u.U. Überwachungseinträge für
eine große Anzahl von Objekten erzeugt, wenn sich der Container weit oben in
der Active Directory-Hierarchie befindet. Normalerweise ist es sinnvoll, die Über-
wachung von Active Directory-Objekten präzise auf den benötigten Umfang ein-
zuschränken und nicht zuzulassen, dass sie sich über die gesamte Struktur
ausbreitet.
Eines der wunderbaren Features von Windows 2000 für Administratoren ist die fle-
xible Kontrolle, die Active Directory ermöglicht. Damit dies funktioniert, ist es
jedoch entscheidend, zu gewährleisten, dass nur diejenigen Zugriff auf einen
bestimmten Bereich in Active Directory erhalten, die ihn benötigen. Durch Konfi-
guration der Überwachung von Zugriffen auf Active Directory-Objekte, wie in der
Schrittanleitung gezeigt, können Sie unangebrachte Zugriffsversuche verfolgen.
8.4.6 Überprüfung und Überwachung von

Sicherheitsereignissen
Nach der Konfiguration einer Überwachungsrichtlinie wäre es nutzlos, sie einfach
sich selbst zu überlassen, ohne zu prüfen, ob relevante Ereignisse eingetreten sind.
Der Knackpunkt bei der Überwachung von Aktionen ist die Möglichkeit, sie später
zu prüfen und zu analysieren; wird dies unterlassen, so ist die Überwachung sinnlos
und eine reine Ressourcenverschwendung.
Das Programm, mit dem Sie die Sicherheitsaufzeichnungen anzeigen können, ist die
Ereignisanzeige. Dieses wurde Ihnen bereits in Kapitel 5, »Server verwalten«, vor-
gestellt, und Sie sollten seine Funktionsweise kennen. Überwachungseinträge wer-
den im Sicherheitsprotokoll der Ereignisanzeige in chronologischer Reihenfolge
gespeichert. Ereignisse werden grundsätzlich auf dem Computer gespeichert, auf
dem sie eintreten, mit Ausnahme von Kontoanmeldeereignissen, die im Sicherheits-
ereignisprotokoll des Domänencontrollers gespeichert werden, der die Anforderung
bearbeitet. Mit anderen Worten, um zu sehen, welche Aktivitäten stattgefunden
haben, müssen Sie das Protokoll des Computers analysieren, an dem Sie interessiert
sind.
Um das Sicherheitsereignisprotokoll eines Computers anzuzeigen, können Sie die

MMC-Konsole COMPUTERVERWALTUNG in der Programmgruppe VERWALTUNG
oder direkt die MMC-Konsole EREIGNISANZEIGE verwenden. Wenn Sie beispiels-
weise das Sicherheitsprotokoll auf Ihrem Domänencontroller anzeigen möchten,
folgen Sie der Schrittanleitung.

8.14 Prüfung der überwachten Ereignisse mittels Ereignisanzeige
1. Melden Sie sich bei Ihrem Windows-2000-Computer als Administrator an,
und öffnen Sie die MMC-Ereignisanzeige in der Programmgruppe VERWAL-
TUNG.
2. Klicken Sie im angezeigten Bildschirm auf das Element SICHERHEITSPROTO-

KOLL im linken Fensterbereich, um eine Liste von Überwachungseinträgen
anzuzeigen.
Abbildung 8.57
Das Sicherheits-
protokoll der Ereig-
nisanzeige enthält
eine Liste der auf
dem lokalen Com-
puter überwachten
Ereignisse
3. Um weitere Details zu einer ausgeführten Aktion zu erhalten, doppelklicken

Sie auf einen Einzeleintrag im Detailbereich. Das Dialogfeld EREIGNISEIGEN-
SCHAFTEN wird angezeigt, ähnlich wie in Abbildung 8.58.
4. Prüfen Sie weitere Protokolleinträge nach Wunsch. Wenn Sie fertig sind,
beenden Sie die Ereignisanzeige.
Die Verwendung der Ereignisanzeige zur Prüfung der auf einem Computer einge-
tretenen Überwachungsereignisse ist für den Administrator die einzige Möglichkeit,
festzustellen, ob die Sicherheitseinstellungen, die mittels Gruppenrichtlinien oder
Sicherheitskonfiguration und -analyse implementiert wurden, funktionieren.
Abbildung 8.58
Weitere Details
über die Aktion
werden angezeigt,
wenn Sie auf das
Ereignis doppelkli-
cken und das Dia-
logfeld EREIGNISEI-
GENSCHAFTEN
anzeigen
Wenn Sie für die Bereiche von Windows 2000, die mit Sicherheitsvorlagen konfi-
guriert wurden, die Überwachung aktivieren, sind Sie in der Lage, alle unbefugten
Versuche zu verfolgen und festzustellen, wer versucht, Zugriff auf Ihr Netzwerk
bzw. Ihren Computer zu erlangen. Darüber hinaus erhalten Sie, wenn Sie die Über-
wachung des Erfolgs einer Aktion aktivieren, ein Protokoll der Aktivitäten in Sys-
tembereichen wie Dateien oder Druckern ebenso wie in Windows-2000-Kompo-
nenten wie etwa Active Directory.
Fallstudie: Verwendung von Gruppenrichtlinien zur

Durchsetzung von Sicherheitsanforderungen bei der
Sonnenschein-Brauerei

Der VV der Sonnenschein-Brauerei ist vor kurzem von einer Tagung über die
Wirtschaft des 21. Jahrhunderts zurückgekehrt. Er war zwar schwer beein-
druckt von den Möglichkeiten und Angeboten des E-Commerce, aber es wurde
auch das Problem der sicheren Datenübertragung und des Schutzes interner Fir-
menwerte vor internem Missbrauch zur Sprache gebracht. Er hat Sie in sein
Büro gerufen, um seine Bedenken zu äußern und Sie um Informationen zu bit-
ten, wie das Netzwerk vor externem und internem Missbrauch geschützt wer-
den kann, und wie verfolgt werden kann, was vor sich geht.
Er ist insbesondere besorgt über folgende Punkte:

씰 Er möchte alle unbefugten Zugriffsversuche auf Server im Intranet und
Extranet verfolgen. Er würde gerne wissen, woher diese Versuche kom-
men, wann sie stattfinden und welche Benutzerkonten für Zugriffsversu-
che verwendet werden.
씰 Er möchte ein Protokoll sämtlicher sicherheitsbezogener Ereignisse auf
allen wichtigen Servern in der Organisation, ganz gleich, ob diese nur in-
tern oder auch extern eingesetzt werden.
씰 Er möchte sicherstellen, dass Benutzer sich mit einem Kennwort bei ih-
ren Workstations anmelden müssen, und er möchte verhindern, dass
Kennwörter immer wieder verwendet werden. Benutzer sollen ihre
Kennwörter regelmäßig ändern (z.B. jeden Monat) und sie innerhalb ei-
nes Jahres nicht wieder verwenden können.
씰 Bei unternehmenswichtigen Servern, wie etwa den Hauptservern von
Forschung und Entwicklung, Buchhaltung und Kundendienst, sowie
Computern, auf denen gefährdete Daten gespeichert sind, soll die Liste
der Benutzer mit administrativen Rechten auf diesen Computern zentral
kontrolliert werden. Da sich die Liste solcher Server von Zeit zu Zeit än-
dert, soll die Liste der Benutzer einfach zu ändern sein.
씰 Wenn ein Benutzer innerhalb von 30 Minuten dreimal vergeblich ver-
sucht, sich bei der Domäne anzumelden, soll er ausgesperrt werden. Das
Benutzerkonto soll nur von einem Administrator freigeschaltet werden
können.
씰 Benutzer in der Forschungs- und Entwicklungsabteilung sollen Smart-
cards für den Zugang zu ihrem Computer erhalten, und beim Entfernen
der Smartcard soll der Benutzer sofort abgemeldet werden.
씰 Auf wichtigen Servern soll der Telnet-Dienst immer deaktiviert sein, und
die Liste der Benutzer, die sich lokal bei solchen Servern anmelden dür-
fen, muss zentral kontrolliert werden.
Er trägt Ihnen diese Vorstellungen vor und fragt Sie, ob dies mit minimalem
Overhead erreicht werden kann. Sie antworten »auf jeden Fall«. Er gibt Ihnen
eine Woche, um einen Plan auszuarbeiten und bei ihm abzugeben.
Für die sichere Übertragung und den sicheren Zugriff auf Daten ist es unerläss-
lich, dass geeignete Sicherheitsrichtlinien im gesamten Unternehmen oder Tei-
len davon einheitlich umgesetzt werden. Die Rückverfolgung der Urheber von
Versuchen, eine Ressource ohne Autorisierung zu benutzen, sowie eine
Methode zur Überprüfung, ob die Wächter dieser Richtlinien nicht ihre Posi-
tion missbrauchen, sind beides Dinge, die mittels Sicherheitsvorlagen in Grup-
penrichtlinien durchgesetzt werden können. In dieser Fallstudie werden Sie
sehen, wie Gruppenrichtlinien zur Lösung eines bestimmten Problems bei der
Sonnenschein-Brauerei eingesetzt werden können.
Situationsanalyse
Die vom VV der Sonnenschein-Brauerei skizzierten Anforderungen können
alle durch Einsatz von Sicherheitseinstellungen in Gruppenrichtlinien erfüllt
werden. Da Letztere auf verschiedenen Ebenen von Active Directory sowie
mittels Gruppenrichtlinienfilterung auf bestimmten Computern im Unterneh-
mensnetzwerk umgesetzt werden können, sind Sie zuversichtlich.
Ihre erste Empfehlung sollte die Festlegung einer Domänenüberwachungsricht-
linie sein, welche die Überwachung fehlgeschlagener Kontoanmeldungen und
Anmeldungen ermöglicht, um rückzuverfolgen, welche Benutzerkonten für
unbefugte Zugriffsversuche auf wichtige Server verwendet werden. Diese
Richtlinie würde auf Computern in einer bestimmten Liste umgesetzt. Diese
Liste könnte in einer globalen Sicherheitsgruppe gehalten werden, die von
einem Administrator verwaltet wird, wobei das GPO so gefiltert wird, dass es
nur diese Sicherheitsgruppe betrifft. Auf diese Weise würden bei anderen, nicht
unternehmenswichtigen Servern keine Anmeldungsereignisse überwacht. Bei
der Gruppenrichtlinie sollte die Option KEIN VORRANG aktiviert sein. Um chro-
nologische Aufzeichnungen der Sicherheitsereignisse fortzuschreiben, können
Sie die Ereignisprotokolleinstellungen mit Hilfe der Sicherheitsrichtlinie für
die kritischen Server so konfigurieren, dass das Sicherheitsprotokoll nie über-
schrieben wird. Natürlich würden Sie die Protokollgröße mittels GPO auf einen
Wert (um die 100 MB) einstellen, der es Ihnen ermöglicht, hinreichend viele
Ereignisse aufzuzeichnen, bevor der Inhalt der Protokolldatei gelöscht wird.
Außerdem würden Sie den Gästezugriff auf das Sicherheitsprotokoll mittels
derselben Richtlinie einschränken, und für maximale Sicherheit die Einstellun-
gen so konfigurieren, dass der Computer heruntergefahren wird, wenn die Pro-
tokolldatei voll ist. Das GPO sollte auf Domänenebene mit KEIN VORRANG
Da die Liste der Administratoren für die wichtigen Server des Unternehmens
zentral kontrolliert werden muss, könnten Sie ein weiteres GPO erstellen, das
den Bereich EINGESCHRÄNKTE GRUPPEN der Sicherheitseinstellungen nutzen
würde, um Benutzer zu der von Ihnen mit Hilfe des GPO erstellten Sicherheits-
gruppe SecureServerAdmins hinzuzufügen. Dieses GPO würde auch auf eine
Liste bestimmter Server angewandt und so gefiltert, dass die Administration
anderer Server in der Organisation nicht eingeschränkt wird. Das GPO sollte
auf Domänenebene erstellt werden und mit KEIN VORRANG konfiguriert wer-
den.
Zur Durchsetzung der Kennwortvorgaben erstellen Sie eine weitere Richtlinie
auf Domänenebene mit geeigneten Einstellungen (z.B. maximales Alter 30
Tage und 12 Kennwörter merken). Die Richtlinie sollte auch ein minimales
Kennwortalter von mindestens einem Tag enthalten, damit Benutzer nicht
innerhalb von weniger als 12 Tagen wieder ihr ursprüngliches Kennwort ver-
wenden können. Die Kennwortlänge ist zwar nicht vorgegeben, aber sie sollte
auf mindestens ein Zeichen (besser wären fünf oder sechs) gesetzt werden,
damit Benutzer ein Kennwort verwenden müssen. Diese Richtlinie könnte auch
die Einstellungen für die Kontosperre aufnehmen, die nach drei Versuchen
innerhalb von 30 Minuten einsetzt. Die GPOs sollten außerdem mit KEIN VOR-
RANG konfiguriert werden, damit sie einheitlich im ganzen Unternehmen
umgesetzt werden. Sie sollten so gefiltert werden, dass alle Benutzer berück-
sichtigt werden.
Es ist möglich, den Telnet-Dienst über den Bereich SYSTEMDIENSTE der
Sicherheitseinstellungen zu deaktivieren. Die Richtlinie sollte ebenfalls auf
Domänenebene erstellt werden und zu den Servern gefiltert werden, die als kri-
tisch gelten.
Schließlich, um zu gewährleisten, dass ein Benutzer der Abteilung Forschung
und Entwicklung sofort abgemeldet wird, wenn er bzw. sie die Smartcard aus
dem Computer entfernt, konfigurieren Sie dieses Verhalten in den Sicherheits-
optionen eines GPO auf Ebene der OU Forschung und Entwicklung. Damit
wird ein Benutzer automatisch abgemeldet, wenn die Karte entfernt wird.
Da Sie alle diese Sicherheitsanforderungen über GPOs implementiert haben,
können diese auf einfache Weise zentral verwaltet und nach Bedarf in der
gesamten Domäne oder auf OU-Ebene umgesetzt werden.
Zusammenfassung 659
Zusammenfassung
In diesem Kapitel haben Sie gelernt, wie eine Sicherheitsrichtlinie erstellt wird, und
wie deren Effektivität durch Überwachung überprüft werden kann. Es sollte hervor-
gehoben werden, dass die Überwachung selbst eine Komponente der Sicherheits-
richtlinie ist und zusammen mit der Planung Ihrer Sicherheitsrichtlinie als Ganzes
behandelt und geplant werden sollte. (Wie könnten Sie sonst wissen, ob Ihre Sicher-
heitsrichtlinie greift?)
Zur Einrichtung einer Sicherheitsrichtlinie können Sie zwei Tools verwenden: das
MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE oder GRUPPENRICHT-
LINIEN innerhalb von Active Directory. Mit SICHERHEITSKONFIGURATION UND
-ANALYSE können Sie die Sicherheitsrichtlinie für den lokalen Computer konfigu-
rieren. Außerdem können Sie damit die aktuellen Sicherheitseinstellungen für den
Computer abrufen und mit einer Sicherheitsvorlage vergleichen, die einen Satz von
vorkonfigurierten Sicherheitseinstellungen enthält. Auf diese Weise können Sie die
aktuellen Sicherheitseinstellungen Ihres Computers mit der Liste von erwünschten
Einstellungen in der Vorlage vergleichen. Ferner können Sie Ihre aktuellen Sicher-
heitseinstellungen auf dem Computer mit Hilfe von SICHERHEITSKONFIGURATION
UND -ANALYSE in eine Vorlage exportieren. Schließlich können Sie eine Sicher-
heitsvorlage in SICHERHEITSKONFIGURATION UND -ANALYSE IMPORTIEREN und
deren Einstellungen auf Ihrem Computer umsetzen, um eine lokale Richtlinie zu
aktivieren.
Um eine Sicherheitsrichtlinie auf mehreren Computern zugleich umzusetzen, kön-

nen Sie Gruppenrichtlinien verwenden. Es sollte einmal mehr gesagt werden, dass
Computer unter Windows 2000 Mitglieder von Sicherheitsgruppen sein können,
und die einfachste Methode, die gleichen Einstellungen auf einer Anzahl von Com-
putern anzuwenden, ist deren Aufnahme in eine Sicherheitsgruppe. Wie andere
Gruppenrichtlinien-Einstellungen auch gilt eine Sicherheitsrichtlinie, wenn sie kon-
figuriert wurde, für alle Computer im Gültigkeitsbereich der Gruppenrichtlinie. Auf
diese Weise können Sie die gleiche Sicherheitskonfiguration gleichzeitig auf
Computern mit gefährdeten Daten umsetzen und sicher sein, dass die Sicherheits-
konfiguration wirksam wird. Wenn Sie Gruppenrichtlinien zur Umsetzung und
Konfiguration einer Sicherheitsrichtlinie verwenden, importieren Sie auch Sicher-
heitsvorlagen und ändern diese nach Bedarf. Die Vorlageneinstellungen werden auf
allen Computern im Gültigkeitsbereich der Richtlinie umgesetzt. Auch bei Verwen-
dung von Gruppenrichtlinien zur Durchsetzung einer Sicherheitsrichtlinie gelten die
üblichen Regeln für die Gruppenrichtlinienvererbung und -filterung.
HINWEIS
Sicherheit und Benutzerfreundlichkeit
Bei der Entscheidung zur Umsetzung von Sicherheitseinstellungen für Benutzer

und Computer in Windows 2000 sollten Sie immer ein Gleichgewicht zwischen Si-
cherheit und Benutzerfreundlichkeit herstellen. Dies bedeutet, dass eine zu hohe
Sicherheitsstufe u.U. dazu führt, dass das System für Einzelpersonen schwieriger
zu benutzen ist; zu wenig Sicherheit kann es anfällig machen für Angriffe.
Ein Beispiel für zu viel Sicherheit zu Lasten der Benutzerfreundlichkeit ist es, wenn
vom Benutzer verlangt wird, das Kennwort jeden Tag zu ändern. Dies ist für Be-
nutzer ermüdend und führt dazu, dass sie häufig das neueste Kennwort verges-
sen. Das System wird dadurch sicher (weil niemand hineinkommt), aber die
Benutzerfreundlichkeit lässt zu wünschen übrig.
Ein Beispiel für unzureichende Sicherheit bei ausgezeichneter Benutzerfreund-
lichkeit ist es, wenn gar keine Kennwörter vom Benutzer verlangt werden. Dies er-
leichtert den Personen die Nutzung des Systems ungemein, liefert es aber völlig
schutzlos den Angriffen derjenigen aus, die keinen Zugriff haben sollen. Das ist
natürlich keine gute Lösung.
Die beste Konfiguration ist eine, die gute Sicherheit mit angemessener Benutzer-
freundlichkeit verbindet. Was dies tatsächlich bedeutet, hängt von der jeweiligen
Situation und vom jeweiligen Unternehmen ab. Sicherheit sollte den Unterneh-
mensforderungen nach minimalem Risiko Rechnung tragen, zugleich aber das
legitime Bedürfnis der Benutzer, ein benutzbares System, im Auge behalten.
Sicherheitsvorlagen sind Textdateien mit voreingestellten Sicherheits-Konfigurati-

onsinformationen, die in SICHERHEITSKONFIGURATION UND -ANALYSE und/oder
GRUPPENRICHTLINIEN importiert werden können. Windows 2000 wird mit einer
Reihe von Standardsicherheitsvorlagen geliefert, die vorkonfigurierte Einstellungen
auf unterschiedlichen Stufen von KEINE bis HOCHSICHERHEIT bieten. Wenn Sie eine
Vorlage auswählen, überlegen Sie, ob Sie das gebotene Schutzniveau benötigen,
und warum Sie den Schutz nutzen. Sicherheit sollte so restriktiv sein wie nötig,
nicht mehr und nicht weniger.
Um zu ermitteln, ob Ihre Sicherheitskonfiguration funktioniert oder ob versucht

wird, unbefugt auf wichtige Ressourcen zuzugreifen, können Sie eine Überwa-
chungsrichtlinie konfigurieren. Dabei handelt es sich um eine Untermenge einer
Sicherheitsrichtlinie, die mit den gleichen Tools konfiguriert wurde. Die Arten von
Ereignissen, die überwacht werden können, beinhalten u.a. Datei- bzw. Ordnerzu-
griff, Anmelde- und Abmeldeaktivität sowie Rechteverwendung. Bei der Konfigu-
ration der Überwachung mag es notwendig sein, präziser vorzugehen, als nur die
Überwachungsrichtlinie mittels GRUPPENRICHTLINIE oder SICHERHEITSKONFIGURA-
TION UND -ANALYSE zu konfigurieren. Es kann tatsächlich vorkommen, dass Sie
Objektberechtigungen ändern müssen, um Ihre Überwachungsrichtlinie weiter zu
verfeinern. Dies ist bei Dateien und Ordnern, Druckern und Active Directory-
Objekten erforderlich, weil das Aktivieren der Überwachung für alles einen zu gro-
ßen Overhead zur Folge hätte. Wenn Sie die Überwachung für solche Objekte kon-
figurieren, aber auch allgemein, gilt: Überwachen Sie nur so viel wie nötig, damit
kein zu großer Overhead im System erzeugt wird.
Schlüsselbegriffe
쎲 Active Directory 쎲 Registrierung
쎲 Datenträgerkontingente 쎲 Sicherheitskonfiguration und
-analyse
쎲 Deaktivierung der 쎲 Sicherheitsvorlage
Richtlinienvererbung
쎲 GPO-Gültigkeitsbereich 쎲 Überwachung
쎲 GPO-Vererbung 쎲 Überwachungsrichtlinie
쎲 Gruppenrichtlinienfilterung
Lernzielkontrolle
Übungen
In den folgenden Übungen werden Sie mittels Gruppenrichtlinien eine Sicherheits-
richtlinie konfigurieren. Eine Komponente der Sicherheitsrichtlinie wird eine Über-
wachungsrichtlinie sein. Anschließend werden Sie überprüfen, ob Ihre Sicherheits-
und Überwachungsrichtlinie den gewünschten Effekt hatte.
Sie benötigen einen zweiten Computer, der Mitglied Ihrer Domäne ist, in der die
Richtlinie getestet werden soll. Dieser Computer muss zur OU Forschung gehören,
die Sie in Kapitel 6, » Benutzerverwaltung mit Gruppenrichtlinien«, erstellt haben.
8.1 Verwendung von Gruppenrichtlinien zur Softwareverteilung

In dieser Übung werden Sie die Gruppen und Richtlinien verwenden, die Sie in den
Kapiteln 6 und 7 erstellt haben. Sie benötigen eine OU Forschung und eine Sicher-
heitsgruppe Eingeschränkte Entwickler.

Führen Sie folgende Schritte aus, um ein GPO für die Sicherheitsrichtlinie zu erstel-
len und dafür Berechtigungen festzulegen:

2. Erweitern Sie Ihre Domäne, um die OU FORSCHUNG anzuzeigen.
3. Klicken Sie mit der rechten Maustaste auf die OU Forschung und wählen Sie
EIGENSCHAFTEN.
4. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register GRUPPENRICHT-
LINIE, und klicken Sie auf NEU, um eine neue Richtlinie namens Forschungs-
sicherheitsrichtlinie hinzuzufügen.
5. Klicken Sie auf FORSCHUNGSSICHERHEITSRICHTLINIE und dann auf EIGEN-
SCHAFTEN.
6. Klicken Sie auf das Register SICHERHEITSEINSTELLUNGEN und dann auf die
Schaltfläche HINZUFÜGEN, um einen neuen Sicherheitseintrag hinzuzufügen.
Fügen Sie die Gruppe Entwickler hinzu, und ordnen Sie ihr die Berechtigun-
gen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für die Richtlinie FOR-
SCHUNGSSICHERHEITSRICHTLINIE zu. Stellen Sie außerdem sicher, dass der
Computer, der zum Testen der Anmeldung verwendet werden soll (beispiels-
weise der Computer namens BERLIN), ebenfalls die Berechtigungen LESEN
und GRUPPENRICHTLINIE ÜBERNEHMEN erhält. Wenn das Register SICHER-
HEITSEINSTELLUNGEN nicht verfügbar ist, klicken Sie auf das Menü ANSICHT
in der MMC-Konsole und wählen Sie ERWEITERTE FUNKTIONEN, um die An-
zeige der erweiterten Optionen in der Konsole zu aktivieren.
7. Klicken Sie auf OK, um Ihre Änderungen zu speichern.
8. Klicken Sie auf SCHLIESSEN, um das Dialogfeld EIGENSCHAFTEN für die OU
Forschung zu schließen.
Um Einstellungen für die Forschungssicherheitsrichtlinie zu konfigurieren, führen
Sie folgende Schritte aus:
1. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und suchen Sie

die OU Forschung. Klicken Sie mit der rechten Maustaste darauf und wählen
Sie EIGENSCHAFTEN.
2. Klicken Sie auf das Register GRUPPENRICHTLINIEN und wählen Sie FOR-
SCHUNGSSICHERHEITSRICHTLINIE. Klicken Sie auf BEARBEITEN, um die
MMC-Konsole GRUPPENRICHTLINIENEDITOR zu öffnen.
3. Erweitern Sie COMPUTERKONFIGURATION, WINDOWS-EINSTELLUNGEN und
dann SICHERHEITSEINSTELLUNGEN.
4. Klicken Sie mit der rechten Maustaste auf SICHERHEITSEINSTELLUNGEN,

wählen Sie RICHTLINIE IMPORTIEREN, wählen Sie BASICDC.INF als zu la-
dende Sicherheitsvorlage, und klicken Sie dann auf ÖFFNEN.
5. Erweitern Sie KONTORICHTLINIEN und klicken Sie dann auf KONTOSPER-
RUNG. Doppelklicken Sie im Detailbereich auf KONTOSPERRDAUER.
6. Klicken Sie im Dialogfeld SICHERHEITSRICHTLINIE auf DIESE RICHTLI-

NIENEINSTELLUNG DEFINIEREN, setzen Sie die Dauer auf 5 Minuten, und kli-
cken Sie auf OK. Beachten Sie, dass dadurch auch die Werte für die beiden
anderen Einstellungen in KONTOSPERRUNG geändert werden.
7. Doppelklicken Sie auf KONTENSPERRUNGSSCHWELLE, ändern Sie die Einstel-
lung auf 3 UNGÜLTIGE ANMELDUNGSVERSUCHE und klicken Sie auf OK.
8. Erweitern Sie LOKALE RICHTLINIEN und klicken Sie auf ÜBERWACHUNGS-
RICHTLINIE.
9. Doppelklicken Sie auf ANMELDEVERSUCHE ÜBERWACHEN und aktivieren Sie

sowohl die Erfolgs- als auch die Fehlerüberwachung. Führen Sie dieselben
Schritte aus mit ANMELDEEREIGNISSE ÜBERWACHEN.
10. Schließen Sie das MMC-Fenster GRUPPENRICHTLINIENEDITOR. Beachten Sie,
dass Sie aufgefordert werden, die Vorlageneinstellungen zu speichern. Wäh-
len Sie den angezeigten Standardpfad und klicken Sie auf OK.
11. Klicken Sie auf SCHLIESSEN, um das Dialogfeld EIGENSCHAFTEN FÜR FOR-
SCHUNG zu schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -
COMPUTER.
12. Starten Sie Windows 2000 neu.
8.2 Test der Sicherheitsrichtlinie
In dieser Übung versuchen Sie, sich unter TimC mit falschem Kennwort anzumel-
den, um die Kontosperrungseinstellung in der Sicherheitsrichtlinie auszulösen.
Anschließend melden Sie sich als Administrator an und prüfen das Sicherheitspro-
tokoll der Ereignisanzeige, um die Einstellungen der Überwachungsrichtlinie zu
testen.
Um die Kontosperrung in der Sicherheitsrichtlinie auszulösen, führen Sie folgende

Schritte aus:
1. Versuchen Sie, sich vom zweiten Computer aus als Benutzer TimC mit dem
Kennwort Microsoft bei der Domäne anzumelden. Der Versuch sollte fehl-
schlagen. Nehmen Sie andernfalls ein anderes Kennwort und stellen Sie si-
cher, dass es nicht funktioniert.
2. Führen Sie weitere ungültige Anmeldeversuche aus, bis die Gruppenrichtlinie

in Aktion tritt und Ihnen mitgeteilt wird, dass Ihr Konto gesperrt ist.
3. Melden Sie sich bei Ihrem Domänencontroller als Domänenadministrator an.
4. Öffnen Sie die Ereignisanzeige in der Programmgruppe VERWALTUNG, und
wählen Sie SICHERHEITSPROTOKOLL.
5. Prüfen Sie die Einträge im Protokoll, angefangen beim ersten Eintrag, der die
Anmeldung des Administrators zeigt, bis weiter hinten die Aussperrung des
Benutzers angezeigt wird.
6. Schließen Sie die Ereignisanzeige und melden Sie sich ab.
Wiederholungsfragen
1. Sie möchten sicherstellen, dass nur Benutzer der Sicherheitsgruppe Mana-
gers auf die Dateien und Ordner eines Servers namens CORPSECURE zu-
greifen können. Sie haben noch keine Sicherheitsgruppe Managers erstellt.
Die Liste der Benutzer, die Mitglieder der Managergruppe sein sollen, muss
zu jeder Zeit geschützt sein, und die Aufnahme von Benutzern in diese Grup-
pe darf nicht an andere delegiert werden. Wie können Sie dies erreichen?
2. Sie haben den Verdacht, dass Studenten, die von der Softwareentwicklungs-
abteilung eingestellt wurden, versuchten, aus dem Netzwerk Zugriff auf den
Server CORPSECURE zu erlangen. Wie können Sie feststellen, ob dies der
Fall ist?
3. Ihr Unternehmen hat gerade einen neuen 70.000-DM-Farbdrucker installiert,
der nur von der Grafikabteilung benutzt werden soll. Sie möchten verfolgen,
wer außerhalb der Grafikabteilung versucht, den Drucker zu benutzen, und
welche Benutzer in der Grafikabteilung den Drucker am häufigsten benutzen.
Wie würden Sie dabei vorgehen?
4. Wofür können Sie SICHERHEITSKONFIGURATION UND -ANALYSE verwenden?
5. Sie möchten sicherstellen, dass die gesamte Kommunikation zwischen den
Windows-2000-Mitgiedsservern in Ihrer Finanzabteilung verschlüsselt wird.
Außerdem möchten Sie gewährleisten, dass Clientcomputer in der Finanzab-
teilung auf sichere Weise mit dem Gehaltsabrechnungsserver kommunizie-
ren. Wie würden Sie das erreichen?
6. Sie müssen für drei Windows-2000-Server-Computer in der Entwicklungsab-
teilung die gleiche Überwachungsrichtlinie konfigurieren. Außerdem möch-
ten Sie diese Überwachungsrichtlinie auch auf einem Windows-2000-
Mitgliedsserver in der Qualitätssicherung umsetzen. Wie können Sie dies er-
reichen?
7. Was ist die Standarderweiterung für die Datenbankdateien, die von SICHER-
HEITSKONFIGURATION UND -ANALYSE erstellt werden?
8. Sie möchten sicherstellen, dass alle Benutzer in Ihrer Windows-2000-Domäne

ihre Kennwörter alle 30 Tage ändern. Mitglieder der OU Verkaufsassistenten
brauchen ihre Kennwörter nicht zu ändern, weil ihnen von der IT-Abteilung
Kennwörter zugewiesen werden. Wie würden Sie diese Anforderungen er-
füllen?
Prüfungsfragen
1. Sie müssen Sicherheitseinstellungen konfigurieren, die auf mehreren Domä-
nencontrollern Ihrer Organisation am Standort Berlin sowie auf drei weiteren
Mitgliedsservern am Standort New York umgesetzt werden sollen. Welche
Windows-2000-Verwaltungsprogramme würden Sie einsetzen, um Ihr Ziel
zu erreichen? (Wählen Sie alle korrekten Antworten aus.)
A. Sicherheitskonfiguration und -analyse
B. Sicherheitsvorlagen
C. Active Directory-Benutzer und -Computer
D. Active Directory-Standorte und -Dienste

E. Active Directory-Domänen und -Vertrauensstellungen
2. Sie müssen Zugriffsversuche auf Dateien in einer Netzwerkfreigabe namens
SOURCECODE auf dem Mitgliedsserver ENGINEERING in Ihrer Domäne
verfolgen. Welche der folgenden Aufgaben müssen Sie erledigen, um Ihr Ziel
zu erreichen? (Wählen Sie alle korrekten Antworten aus.)
A. Überwachung der Anmeldeaktivitäten auf Engineering
B. Überwachung der Datei- und Ordnerzugriffe in Sourcecode
C. Überwachung der Objektzugriffe auf Engineering
D. Überwachung der Verzeichniszugriffe auf Engineering
E. Überwachung der Datei- und Ordnerzugriffe auf Engineering
F. Überwachung der Objektzugriffe in Sourcecode

3. Sie wurden gebeten, eine neue Sicherheitsvorlage zu erstellen, die zur Imple-
mentierung der Sicherheitseinstellungen auf einer Anzahl von Computern in
Ihrer Organisation verwendet werden soll. Die meisten erforderlichen Ein-
stellungen liegen in zwei anderen Sicherheitsvorlagen namens KennwortVor-
lage und AuditVorlage vor, die von Ihrem Vorgänger erstellt wurden.
Mehrere andere Einstellungen sind in keiner Vorlage enthalten und müssen
neu definiert werden.
Welche Schritte müssen Sie unternehmen, um die Sicherheitsvorlage zu er-
stellen? (Wählen Sie vier korrekte Antworten aus.)
A. Öffnen des Gruppenrichtlinieneditors und Import der Vorlagen KENN-
WORTVORLAGE und AUDITVORLAGE.
B. Öffnen von SICHERHEITSKONFIGURATION UND -ANALYSE und Import der

Vorlagen KENNWORTVORLAGE und AUDITVORLAGE, nachdem eine neue
Datenbank erstellt wurde.
C. Export der Einstellungen der Sicherheitsdatenbank mit Hilfe von SICHER-

HEITSKONFIGURATION UND -ANALYSE in eine neue Sicherheitsvorlage.
D. Einsatz von SICHERHEITSKONFIGURATION UND -ANALYSE zur Analyse des

Computers im Vergleich mit der Sicherheitsdatenbank.
E. Änderung der Sicherheitseinstellungen mit Hilfe des Gruppenrichtlinien-
editors, um sie an die Anforderungen anzupassen.
F. Änderung der Sicherheitseinstellungen mit Hilfe von SICHERHEITSKONFI-
GURATION UND -ANALYSE, um sie an die Anforderungen anzupassen.
G. Manuelle Erstellung der Vorlage mit Hilfe von SICHERHEITSKONFIGURA-

TION UND -ANALYSE.
H. Verwendung von SICHERHEITSKONFIGURATION UND -ANALYSE zur Prü-

fung der Sicherheitseinstellungen der Vorlagen KENNWORTVORLAGE und
AUDITVORLAGE, nachdem eine neue Datenbank erstellt wurde.
I. Kopieren der Dateien KENNWORTVORLAGE und AUDITVORLAGE in die

Datei NEUEVORLAGE.
J. Verwendung von SICHERHEITSKONFIGURATION UND -ANALYSE zum Im-
port der Datei NEUEVORLAGE, nachdem eine neue Datenbank erstellt wur-
de.
4. Welche der folgenden Überwachungsrichtlinieneinstellungen erzeugen nach
der Aktivierung standardmäßig keine Überwachungseinträge im Sicherheits-
ereignisprotokoll? (Wählen Sie zwei korrekte Antworten aus.)
A. Objektzugriffsversuche überwachen
B. Anmeldeereignisse überwachen
C. Systemereignisse überwachen
D. Active Directory-Zugriff überwachen
E. Anmeldeversuche überwachen
F. Datei- und Druckerzugriff überwachen
5. Sie müssen die Sicherheitskonfiguration aller Computer in der Entwicklungs-
und Finanzabteilung regelmäßig analysieren. Mit welchen beiden Tools
könnten Sie das am effizientesten erledigen? (Wählen Sie zwei korrekte Ant-
worten aus.)
A. Active Directory-Benutzer und -Computer
B. Taskplaner
C. Windows Explorer
D. Sicherheitskonfiguration und -analyse
E. SECEDIT
F. NTDSUTIL
6. Sie möchten verfolgen, wie lange die Benutzer im Netzwerk angemeldet
sind. Welches der folgenden Überwachungsereignisse sollten Sie aktivieren?
(Wählen Sie die beste Antwort aus.)
A. Objektzugriffsversuche überwachen – ERFOLGREICH
B. Kontenverwaltung überwachen – ERFOLGREICH
C. Anmeldeversuche überwachen – FEHLGESCHLAGEN
D. Anmeldeereignisse überwachen – ERFOLGREICH
E. Anmeldeereignisse überwachen – FEHLGESCHLAGEN
F. Kontenverwaltung überwachen – FEHLGESCHLAGEN
7. Das Management von conciliar.com hat beschlossen, dass jeder Unterneh-
mensbereich selbst für die Fortschreibung der Kennwortrichtlinien verant-
wortlich sein soll. Die einzige unternehmensweite Anforderung ist eine
minimale Kennwortlänge von fünf Zeichen.
Die Active Directory-Struktur von conciliar.com enthält eine Domäne auf
höchster Ebene namens conciliat.com und vier weitere untergeordnete Domä-
nen namens namerica.conciliar.com, europe.conciliar.com, samerica.conci-
liar.com und specific.conciliar.com, die für Administrationszwecke erstellt
wurden. Da die Migration auf Windows 2000 erst vor kurzem abgeschlossen
wurde, sind bisher keine neuen Gruppenrichtlinienobjekte erstellt worden.
Wie würden Sie Gruppenrichtlinien konfigurieren, um die unternehmenswei-
te Einstellung für Kennwortrichtlinien durchzusetzen, und alle anderen Ele-
mente der Kennwortverwaltung auf lokaler Ebene zu belassen? (Wählen Sie
alle korrekten Antworten aus.)
A. Änderung der Standard-Domänenrichtlinie für die Domäne conciliar.com
mit den Kennworteinstellungen.
B. Erstellung eines GPO namens Kennwortrichtlinieneinstellungen in jeder
Domäne mit den Kennworteinstellungen.
C. Erstellung eines GPO namens Kennwortrichtlinieneinstellungen in der
Domäne conciliar.com mit den Kennworteinstellungen.
D. Verknüpfung des GPO Kennwortrichtlinieneinstellungen der Domäne
conciliar.com mit jeder untergeordneten Domäne.
E. Konfiguration der Option RICHTLINIENVERERBUNG DEAKTIVIEREN für das
GPO Kennwortrichtlinieneinstellungen.
F. Verlagerung aller Benutzer in den untergeordneten Domänen in den Con-
tainer BENUTZER der Domäne conciliar.com.
G. Konfiguration der Option KEIN VORRANG für das GPO Kennwortrichtli-
nieneinstellungen.
H. Konfiguration der Option KEIN VORRANG für das GPO Standard-Domä-
nenrichtlinie in der Domäne conciliar.com.
8. Sie beschließen, eine Überwachungsrichtlinie zu implementieren, um folgen-
de Anforderungen zu erfüllen:
씰 Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen über-
wacht werden.
씰 Benutzer, die erfolglos versuchen, sich beim Dateiserver Findata anzu-
melden, sollen verfolgt werden.
씰 Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern
von Benutzern im Standardcontainer BENUTZER sollen verfolgt werden.
씰 Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen
verfolgt werden.
씰 Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe Ver-

kaufsPersonal, auf den Ordner Commissions auf dem Dateiserver Sales-
data zuzugreifen, sollen verfolgt werden.
Um diese Anforderungen zu erfüllen, entscheiden Sie sich zur Durchführung
der folgenden Aufgaben:
씰 Erstellung eines GPO für die Standardüberwachungsrichtlinie auf Domä-
nenebene.
씰 Zuweisung der Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN an
Authentifizierte Benutzer und Beibehaltung der Standardeinstellungen für
alle anderen Berechtigungen in der Standardüberwachungsrichtlinie.
씰 Konfiguration der Standardüberwachungsrichtlinie für die Überwachung
von Anmeldeversuchen auf ERFOLGREICH und FEHLGESCHLAGEN.
von Kontenverwaltungsereignissen auf ERFOLGREICH und FEHLGE-
SCHLAGEN.

von Objektzugriffen auf ERFOLGREICH.
von Active Directory-Zugriffen auf ERFOLGREICH und FEHLGESCHLA-
GEN.
Welche der angegebenen Anforderungen werden durch Ihre Lösung erfüllt?

(Wählen Sie alle korrekten Antworten aus.)
A. Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen überwacht
werden.
B. Benutzer, die erfolglos versuchen, sich beim Dateiserver FINDATA anzu-
C. Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern

D. Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen
verfolgt werden.
E. Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe Verkaufs-

Personal, auf den Ordner Commissions auf dem Dateiserver Salesdata zu-
zugreifen, sollen verfolgt werden.
9. Sie haben die Überwachung so konfiguriert, dass folgende Anforderungen er-

füllt werden:
wacht werden.
씰 Erfolglose Versuche, die Gruppenrichtlinie der Domäne zu ändern, sollen
verfolgt werden.
씰 Benutzer, die beim Versuch, den Computer herunterzufahren, eine Feh-
lermeldung erhalten, sollen verfolgt werden.
씰 Erfolglose Versuche von Benutzern, sich mit der Freigabe Confidential
auf dem Mitgliedsserver Executive zu verbinden, sollen verfolgt werden.
Sie konfigurieren eine Überwachungsrichtlinie mit folgenden Einstellungen:
씰 Anmeldeversuche überwachen – FEHLGESCHLAGEN
씰 Kontenverwaltung überwachen – ERFOLGREICH, FEHLGESCHLAGEN
씰 Active Directory-Zugriff überwachen – nicht konfiguriert
씰 Anmeldeereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN

씰 Objektzugriffsversuche überwachen – nicht konfiguriert
씰 Richtlinienänderung überwachen – ERFOLGREICH und FEHLGESCHLAGEN
씰 Rechteverwendung überwachen – nicht konfiguriert
씰 Prozessverfolgung überwachen – FEHLGESCHLAGEN
씰 Systemereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN

Nachdem Sie diese Einstellungen mittels Gruppenrichtlinie auf Domänenebe-
ne in Kraft gesetzt haben, stellen Sie fest, dass einige Gesichtspunkte, die Sie
verfolgen wollten, nicht im Sicherheitsereignisprotokoll angezeigt werden,
wohl aber andere, die Sie nicht verfolgen wollten.
Welche der Überwachungsrichtlinieneinstellungen müssen Sie ändern, um
das Problem zu korrigieren? (Wählen Sie alle zutreffenden aus.)
A. Anmeldeversuche überwachen – FEHLGESCHLAGEN
B. Kontenverwaltung überwachen – ERFOLGREICH, FEHLGESCHLAGEN
C. Active Directory-Zugriff überwachen – nicht konfiguriert

D. Anmeldeereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN
E. Objektzugriffsversuche überwachen – nicht konfiguriert

F. Richtlinienänderung überwachen – ERFOLGREICH und FEHLGESCHLAGEN
G. Rechteverwendung überwachen – nicht konfiguriert
H. Prozessverfolgung überwachen – FEHLGESCHLAGEN
I. Systemereignisse überwachen – ERFOLGREICH und FEHLGESCHLAGEN
10. Sie beschließen, eine Überwachungsrichtlinie zur Erfüllung folgender Anfor-

derungen zu implementieren:
wacht werden.
씰 Benutzer, die erfolglos versuchen, sich beim Dateiserver Findata anzu-
씰 Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen
verfolgt werden.
씰 Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe Ver-
kaufsPersonal, auf den Ordner COMMISSIONS auf dem Dateiserver Sales-
data zuzugreifen, sollen verfolgt werden.
Um diese Anforderungen zu erfüllen, entscheiden Sie sich zur Durchführung
der folgenden Aufgaben:
씰 Erstellung eines GPO namens Standarddomänenüberwachungsrichtlinie
auf Domänenebene.
씰 Zuweisung der Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN an
Authentifizierte Benutzer, Findata und Salesdata und Verweigerung der
Berechtigung GRUPPENRICHTLINIEN ÜBERNEHMEN für die Sicherheits-
gruppe Domänen-Admins für die Standarddomänenüberwachungsrichtli-
nie.
씰 Konfiguration der Standarddomänenüberwachungsrichtlinie für die Über-
wachung von Anmeldeversuchen auf ERFOLGREICH und FEHLGESCHLA-
GEN.

von Anmeldeereignissen auf FEHLGESCHLAGEN.
von Kontenverwaltungsereignissen auf ERFOLGREICH und FEHLGE-
SCHLAGEN.

von Objektzugriffsversuchen auf FEHLGESCHLAGEN.
씰 Einsatz von Windows Explorer auf dem Server SALESDATA zur Ver-
folgung von ERFOLGREICH und FEHLGESCHLAGEN bei den Operationen
ORDNER AUFLISTEN / DATEN LESEN im Ordner COMMISSIONS für die
Sicherheitsgruppe VerkaufsPersonal.
Welche der angegebenen Anforderungen werden von Ihrer Lösung erfüllt?

A. Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen überwacht
werden.
B. Benutzer, die erfolglos versuchen, sich beim Dateiserver FINDATA anzu-
C. Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern
D. Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen
verfolgt werden.
E. Alle Versuche eines beliebigen Mitglieds der Sicherheitsgruppe Verkaufs-
Personal, auf den Ordner COMMISSIONS auf dem Dateiserver SALESDA-
TA zuzugreifen, sollen verfolgt werden.
Antworten auf die Wiederholungsfragen
1. Der beste Weg zum gewünschten Ziel ist die Erstellung einer Sicherheits-
richtlinie auf Corpsecure mit Aufnahme der Gruppe Managers in EINGE-
SCHRÄNKTE GRUPPEN. Nehmen Sie Benutzer ausschließlich über die
Sicherheitsrichtlinie in die Gruppe MANAGERS auf, sodass Benutzer nicht
auf andere Weise Mitglied werden können. Geben Sie der Gruppe Managers
das Benutzerrecht AUF DIESEN COMPUTER VOM NETZWERK AUS ZUGREIFEN,
und entziehen Sie den Gruppen JEDER und AUTORISIERTE BENUTZER dieses
Recht. Siehe »Implementierung von Sicherheitsrichtlinien«.
2. Um festzustellen, ob Werkstudenten versuchen, Zugriff auf den Server
CORPSECURE zu erhalten, erstellen Sie eine Überwachungsrichtlinie, die
für die Überwachung der Rechteverwendung durch die Gruppe JEDER (weil
es sich um andere Benutzer handeln könnte) und für die Überwachung des
fraglichen Rechts (AUF DIESEN COMPUTER VOM NETZWERK AUS ZUGREIFEN)
konfiguriert ist. Siehe »Konfiguration und Implementierung einer Überwa-
chungsrichtlinie«.
3. Aktivieren Sie die Überwachung von Objektzugriffsversuchen auf dem Win-
dows-2000-Computer, auf dem der Drucker definiert ist. Ordnen Sie dem ge-
meinsamen Drucker geeignete Berechtigungen zu, damit gewährleistet ist,
dass nur Mitglieder der Grafikabteilung Zugriff haben. Konfigurieren Sie die
Überwachung für den Drucker auf FEHLGESCHLAGEN bei den Operationen
DRUCKEN und DRUCKER LESEN für die Gruppe JEDER, sowie auf ERFOLG-
REICH und FEHLGESCHLAGEN für Mitarbeiter der Grafikabteilung. Ersteres
erlaubt Ihnen die Verfolgung unbefugter Versuche, auf den Drucker zuzu-
greifen. Letzteres verfolgt die Druckernutzung innerhalb der Grafikabteilung.
Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«.
4. SICHERHEITSKONFIGURATION UND -ANALYSE kann zur Analyse der Systemsi-
cherheit verwendet werden, indem eine Sicherheitsdatenbank erstellt wird
und deren Einstellungen mit einer Sicherheitsvorlage verglichen werden. Es
kann auch durch Anwendung von Vorlageneinstellungen auf den Computer
zur Konfiguration der Systemsicherheit verwendet werden. Schließlich kann
es verwendet werden, um neue Vorlagen für die aktuelle Computerkonfigura-
tion zu erstellen, oder um vorhandene Einstellungen mit einer Vorlage zu ei-
ner neuen Sicherheitsvorlage zusammenzuführen. Siehe »Implementierung
von Sicherheitsrichtlinien«.
5. Sie würden zuerst zwei Sicherheitsgruppen erstellen: eine für alle Mitglieds-
server in der Finanzabteilung und eine weitere für die Clientcomputer in der
Finanzabteilung. Dann würden Sie eine OU für die Finanzabteilung erstellen,
falls noch nicht vorhanden, und die Computer sowie die Sicherheitsgruppen
in die OU aufnehmen. Anschließend würden Sie auf Ebene der Finanz-OU
ein GPO mit den nötigen Einstellungen erstellen und den beiden Sicherungs-
gruppen zuordnen. Siehe »Implementierung von Sicherheitsrichtlinien«. Sie-
he auch »Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit
6. Die beste Möglichkeit, Ihre Ziele zu erreichen, ist die Erstellung eines GPO
auf Ebene der Entwicklungs-OU. Konfigurieren Sie eine Sicherheitsvorlage
mit den passenden Einstellungen, und importieren Sie diese in das GPO. Ord-
nen Sie dann das GPO den Computern in der Entwicklungs-OU zu. Dadurch
werden den Computern der Entwicklungsabteilung die Einstellungen der
Vorlage zugewiesen. Um die gleichen Einstellungen auf den Computer in der
Qualitätssicherung zu bekommen, würden Sie in SICHERHEITSKONFIGURATI-
ON UND -ANALYSE auf diesem Computer die Vorlage importieren und die
Einstellungen für den Qualitätssicherungscomputer konfigurieren. Siehe

»Implementierung von Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlini-
enbereich » in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
7. Die Standarderweiterung für Sicherheitsdatenbankdateien, die in SICHER-
HEITSKONFIGURATION UND -ANALYSE erstellt werden, ist .SDB. Siehe »Imp-
lementierung von Sicherheitsrichtlinien«.
8. Um alle Benutzer in der Domäne zu zwingen, ihre Kennwörter alle 30 Tage
zu ändern, würden Sie auf Domänenebene ein GPO mit den passenden Ein-
stellungen für die Kennwortrichtlinie erstellen. Sie würden das GPO der
Gruppe Authentifizierte Benutzer zuordnen. Damit die Richtlinie nicht für die
Verkaufsassistenten gilt, würden Sie eine Sicherheitsgruppe erstellen und
dieser alle Benutzer zuordnen, die Verkaufsassistenten sind. Dieser Gruppe
würden Sie dann das Recht Gruppenrichtlinie übernehmen verweigern. Siehe
»Implementierung von Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlini-
enbereich« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
Antworten auf die Prüfungsfragen
1. A, B, D. Sie müssten Sicherheitsvorlagen verwenden, um die Vorlage zu er-
stellen, die auf den Domänencontrollern am Standort Berlin und auf den an-
deren Servern umgesetzt werden soll. Anschließend würden Sie mit ACTIVE
DIRECTORY-STANDORTE UND -SERVER ein GPO für den Standort erstellen
und die Sicherheitsvorlage importieren. Schließlich würden Sie in SICHER-
HEITSKONFIGURATION UND -ANALYSE die Vorlage in die anderen Server im-
portieren und ihre Einstellungen umsetzen. Siehe »Implementierung von
Sicherheitsrichtlinien«.
2. B, C. Um festzustellen, wer unbefugt versucht, Zugriff auf die Freigabe
SOURCECODE auf dem Server namens ENGINEERING zu erlangen, müssen
Sie die Überwachung von Objektzugriffsversuchen auf dem Computer (EN-
GINEERING) und dann die Überwachung von Dateien und Ordnern in der
Freigabe SOURCECODE aktivieren. Durch Überwachung der Anmeldeaktivitä-
ten erfahren Sie, wer versucht, sich beim Computer anzumelden, aber nicht,
zu welchem Zweck. Das kann helfen, ist aber nicht die optimale Lösung. Sie
können nicht Datei- und Ordnerzugriffe auf dem Computer und Objektzu-
griffsversuche auf die Freigabe überwachen. Die Überwachung der Active
Directory-Zugriffe hat hier keinen Zweck. Siehe »Konfiguration und Imple-
mentierung einer Überwachungsrichtlinie«.
3. B, C, D, F. Um die Vorgaben zu erfüllen, eine neue Vorlage aus zwei vorhan-
denen plus zusätzlichen Einstellungen zu erstellen, würden Sie mit SICHER-
HEITSKONFIGURATION UND -ANALYSE die neue Vorlage erstellen.
Demzufolge ist die Antwort mit dem Gruppenrichtlinieneditor falsch. In
SICHERHEITSKONFIGURATION UND -ANALYSE würden Sie zunächst beide
Vorlagen importieren, nachdem Sie eine neue Sicherheitsdatenbank erstellt

haben. Dann würden Sie Ihren Computer mit den Einstellungen der Daten-
bank vergleichen. Dieser Schritt ist notwendig, damit Sie die Datenbankein-
stellungen als Vorlage exportieren können. Als Nächstes würden Sie die
benötigten Einstellungen konfigurieren, die weder in KennwortVorlage noch
in AuditVorlage enthalten sind. Schließlich würden Sie die Datenbankeinstel-
lungen mittels Menüoption VORLAGE EXPORTIEREN in SICHERHEITSKONFIGU-
RATION UND -ANALYSE in eine Sicherheitsvorlage exportieren. Siehe
»Implementierung von Sicherheitsrichtlinien«.
4. A, D. Wenn Sie die Überwachung für Objektzugriffsversuche und Active Di-
rectory-Zugriffe aktivieren, sind im Windows-2000-Sicherheitsereignisproto-
koll hierzu keine Ereignisse zu finden. Dies kommt daher, dass Sie genauer
festlegen müssen, welche Objekte (etwa Dateien, Ordner und Drucker) oder
Active Directory-Elemente (OUs, Benutzer, Gruppen usw.) Sie auf wessen
Zugriffe überwachen möchten. Bei Dateien, Ordnern und Druckern verwen-
den Sie dazu Windows Explorer, bei Druckern die Systemsteuerung, und bei
Active Directory-Objekten verwenden Sie ACTIVE DIRECTORY-BENUTZER
UND -COMPUTER bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE. Sie-
he »Konfiguration und Implementierung einer Überwachungsrichtlinie«.
5. B, E. Die beiden Tools, mit denen Sie regelmäßig die Sicherheitskonfigurati-
on der betreffenden Computer analysieren können, sind Secedit.exe und der
Taskplaner. Secedit.exe kann zur Analyse der Sicherheitskonfiguration ei-
nes Computers verwendet werden. Taskplaner kann zur Planung des Ausfüh-
rungszeitpunkts von Secedit verwendet werden. Siehe »Implementierung
von Sicherheitsrichtlinien«.
6. A. Um die Zeit zu verfolgen, während der Benutzer beim Netzwerk angemel-
det sind, würden Sie den Erfolg von Anmeldeversuchen überwachen. Diese
haben damit zu tun, dass ein Benutzer sich bei einer Workstation anmeldet
und eine Anmeldung bei der Domäne verlangt. Dieses Ereignis unterscheidet
sich von einem Anmeldeereignis, bei dem der Benutzer Zugriff auf einen Mit-
gliedsserver verlangt oder sich lokal bei einem Computer anmeldet. Die An-
forderung war, die Zeit zu verfolgen, die der Benutzer im Netzwerk verbringt,
wozu eine Anmeldung auf Domänenebene notwendig ist. Die Überwachung
des Erfolgs von Anmeldeversuchen würde auf einem Domänencontroller ei-
nen Eintrag im Sicherheitsereignisprotokoll hinterlassen, wenn sich ein Be-
nutzer beim Netzwerk anmeldet, und einen weiteren, wenn er bzw. sie sich
abmeldet. Damit wären Sie in der Lage, die online verbrachte Zeit zu verfol-
gen. Siehe »Konfiguration und Implementierung einer Überwachungsricht-
linie«.
7. C, D, G. Diese Frage ist etwas trickreich, weil sie in erster Linie Ihre Kennt-
nisse der Gruppenrichtlinien testet. Das Problem hier ist, wie Sie eine Unter-
nehmensrichtlinie in einer Struktur durchsetzen, die untergeordnete Domänen
enthält. Wie Sie in Kapitel 6 gelernt haben, sind Domänen die Grenzen des
Administrators, und GPOs überqueren keine Domänengrenzen, es sei denn,
sie sind für einen Standort konfiguriert. Von Standorten ist hier keine Rede,
sodass dies auch nicht weiterhilft. Dann ist es die beste Möglichkeit zur Er-
füllung der Anforderungen, das GPO »Kennwortrichtlinieneinstellungen«
mit den passenden Einstellungen auf Ebene der Domäne conciliar.com zu er-
stellen. Sie würden diese anschließend mit jeder untergeordneten Domäne
verknüpfen, damit sie dort verfügbar ist. Schließlich würden Sie KEIN VOR-
RANG aktivieren, um sicherzustellen, dass diese Minimaleinstellungen im ge-
samten Unternehmen durchgesetzt werden. Siehe »Implementierung von
Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel 6,
»Benutzerverwaltung mit Gruppenrichtlinien«.
8. A, C. Die einzigen Anforderungen, die Ihre Lösung erfüllt, wären die Über-
wachung aller Anmeldeversuche beim Netzwerk und die Überwachung der
Änderung von Benutzerkonten im Standardcontainer Benutzer durch einen
Administrator. Tatsächlich würde die von Ihnen implementierte Richtlinie
alle Kontenverwaltungsaktivitäten sämtlicher Benutzer überwachen, weil das
GPO auf die Gruppe Authentifizierte Benutzer angewandt wird, zu der alle
Benutzer gehören. Auch wenn bei der von Ihnen beschlossenen Konfigurati-
on noch ganz andere Dinge passieren, die beiden Anforderungen, die defini-
tiv erfüllt werden, sind A und C. Beachten Sie, dass Microsoft Ihnen in einer
Prüfung möglicherweise auch Antworten anbietet, die über die Anforderun-
gen hinausgehen, aber wenn Sie das angestrebte Ziel erreichen, können die
Antworten richtig sein. Siehe »Konfiguration und Implementierung einer
Überwachungsrichtlinie«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel
6, »Benutzerverwaltung mit Gruppenrichtlinien«.
9. A, D, F, I. Um die Anforderung zu erfüllen, ohne zusätzliche Informationen
im Sicherheitsprotokoll zu erzeugen, müssten Sie die Überwachung der An-
meldeversuche auf ERFOLGREICH und FEHLGESCHLAGEN ausweiten, damit
alle Anmeldungen im Netzwerk verfolgt werden. Sie müssten außerdem die
Überwachung der Anmeldeereignisse auf FEHLGESCHLAGEN beschränken,
um erfolglose Versuche zum Aufbau einer Verbindung mit dem Dateiserver
EXECUTIVE zu verfolgen. Um erfolglose Versuche zur Änderung der
Richtlinieneinstellungen zu verfolgen, brauchen Sie Richtlinienänderungen
nur auf Fehler zu überwachen. Schließlich können Sie auch die Überwachung
der Systemereignisse auf Fehler einschränken, wenn Sie nur verfolgen möch-
ten, welche Benutzer beim Herunterfahren ihres Computers eine Fehlermel-
dung erhielten. Siehe »Konfiguration und Implementierung einer
Überwachungsrichtlinie«.
10. B, E. Ihre Lösung verfolgt alle erfolglosen Versuche von Benutzern, sich
beim Server FINDATA anzumelden, weil Sie die Überwachung des Anmel-
deereignisses konfiguriert haben. Weil das GPO auf Domänenebene erstellt
wird und Sie dem Server FINDATA die Berechtigung Gruppenrichtlinien
übernehmen gewährt haben, wird die Richtlinie auf dem Server wirksam, und
es werden erfolglose Anmeldeversuche beim Server verfolgt. Sie haben au-
ßerdem die Überwachung des Ordners COMMISIONS auf dem Server SALES-
DATA mit Windows Explorer richtig konfiguriert und die Überwachung von
ERFOLGREICH und FEHLGESCHLAGEN bei Objektzugriffsversuchen im Domä-
nen-GPO aktiviert. Damit werden Versuche von Mitgliedern der Gruppe Ver-
kaufsPersonal verfolgt, auf diesen Ordner zuzugreifen. Siehe »Konfiguration
und Implementierung einer Überwachungsrichtlinie«.

Windows 2000 Resource Kit. Deployment Planning Guide. Microsoft Press,
2000.
Security Configuration Toolset auf der Microsoft-Website unter http://
www.microsoft.com/windows2000/library/howitworks/security/sctoolset.asp.
Securing Windows 2000 Network Resources auf der Microsoft-Website unter
http://www.microsoft.com/windows2000/library/planning/incremental/secure-
networkresources.asp.
Step-by-Step Guide to Using the Security Configuration Toolset auf der Micro-
soft-Website unter http://www.microsoft.com/windows2000/library/planning/
incremental/securenetworkresources.asp.
Step-by-Step Guide to Configuring Enterprise Security auf der Microsoft-Web-
site unter http://www.microsoft.com/windows2000/library/planning/security/
entsecsteps.asp.
Default Access Control Settings auf der Microsoft-Website unter http://
www.microsoft.com/windows2000/library/planning/security/Secdefs.asp.
Secure Networking Using Windows 2000 Distributed Security Services auf der
Microsoft-Website unter http://www.microsoft.com/windows2000/library/
howitworks/security/distdecservices.asp.
IP Security for Windows 2000 Server auf der Microsoft-Website unter http://
www.microsoft.com/windows2000/library/howitworks/security/
ip_security.asp.
9
Windows 2000 und
Remote-
installationsdienste
Lernziele
In diesem Kapitel werden die beiden Ziele aus dem Prüfungsabschnitt »Installieren,
Konfigurieren, Verwalten, Überwachen, Optimieren und Fehler beheben im Ände-
rungs- und Konfigurationsmanagement« behandelt, die mit Remoteinstallations-
diensten zu tun haben.
Bereitstellung von Windows 2000 mit Hilfe der Remoteinstallations-

dienste (RIS)
씰 Installation eines Abbilds (Image) auf einem RIS-Clientcomputer
씰 Erstellung einer Remotestartdiskette
씰 Konfiguration von Remoteinstallationsoptionen
씰 Fehlersuche bei RIS-Problemen
씰 Verwaltung von Abbildern zur Durchführung von Remoteinstallationen
Diese Zielsetzung ist darauf ausgerichtet, dass Sie lernen, wie Remoteinstallations-
dienste auf einem Windows-2000-Mitgliedsserver installiert werden. Dazu gehört
u.a., dass Sie über die Vorkenntnisse für die Arbeit mit dem RIS-Server und dem
Client verfügen, CD-basierte und RIPrep-Images erstellen können, dass Sie wissen,
wie eine RIS-Startdiskette erstellt und wann sie eingesetzt wird, und dass Sie RIS
zur Bereitstellung von Windows 2000 einsetzen. Außerdem müssen Sie wissen,
welche Probleme bei RIS häufig auftreten, und wie sie zu lösen sind.
Konfiguration der RIS-Sicherheit

씰 Autorisieren eines RIS-Servers
씰 Rechte zur Erstellung von Computerkonten gewähren
씰 RIS-Clientcomputer vorkonfigurieren für zusätzliche Sicherheit und zum
Lastausgleich
680 Kapitel 9 Windows 2000 und Remote- installationsdienste
Dadurch, dass Microsoft Sie zur Bereitstellung von Windows 2000 prüft, soll
sichergestellt werden, dass Sie mit den Sicherheitsaspekten von RIS völlig vertraut
sind. Dazu gehören u.a. Fragen wie die Autorisierung eines RIS-Servers zur Bear-
beitung von Clientanforderungen, wie und wann die Erstellung von Computerkon-
ten an andere Benutzer in der Organisation delegiert wird, und wie schließlich
sichergestellt wird, dass nur Computer mit bekannter Identifikation Windows 2000
mittels RIS bereitstellen dürfen (d.h. Vorkonfiguration eines Clientcomputers).
Die speziellen Teilziele werden in zwei Abschnitten des Kapitels behandelt. Die
Autorisierung und Gewährung von Computerberechtigungen zur Erstellung werden
im Abschnitt »Einrichten eines RIS-Servers« behandelt, und die Vorkonfiguration
von Clientcomputern in einem eigenen Abschnitt. Dies sollte unbedenklich sein,
weil Microsoft Sie wahrscheinlich in ein und derselben Frage zu diesen und anderen
Themen prüft. Seien Sie sich einfach der Fragen im Zusammenhang mit Sicherheit
und RIS bewusst.
씰 Die beste Vorbereitung auf den Prüfungsabschnitt Remoteinstallationsdienste

besteht darin, sich die Anforderungen an RIS-Server und -Clients völlig klar-
zumachen. Das Durcharbeiten der Übungen in diesem Kapitel und zwei ver-
fügbare Computer helfen Ihnen bei der Vorbereitung auf die Prüfung, weil
Sie dann in der Lage sind, einen RIS-Server zu konfigurieren, und RIS zur
Bereitstellung von Windows 2000 auf dem zweiten Computer einsetzen kön-
nen. Wenn Sie keinen Computer mit PXE-fähiger Netzwerkkarte haben, soll-
ten Sie eine Remote-Startdiskette für Ihre Netzwerkkarte erstellen.
씰 Sie sollten außerdem die Vorkonfiguration eines Clients sowie die Autorisie-
rung eines RIS-Servers in Active Directory üben. Kenntnisse über die Konfi-
guration der Namengebung für Clientcomputer sowie der Autorisierung von
Benutzern zur Erstellung von Computerkonten sind ebenfalls erforderlich.
Sie erhalten diese normalerweise dadurch, dass Sie die Schritt-für-Schritt-
Abschnitte und die Übungen in diesem Kapitel durcharbeiten.
씰 Wenn Sie die Wiederholungs- und Prüfungsfragen beantworten können, sind

Sie bei der Prüfungsvorbereitung einen Schritt weiter. Sie sollten außerdem
verstehen, was bei einer RIS-Bereitstellung schief gehen kann, weil Micro-
soft gerne Fragen in dieser Richtung stellt.
씰 Noch einmal: Die beste Möglichkeit, sich auf diesen Teil der Prüfung vorzu-
bereiten, ist die Arbeit mit dem Produkt und die Durchführung mindestens ei-
ner Installation mittels RIS.
9.1 Einführung 681
9.1 Einführung
Wie Sie nach der Konfiguration von Active Directory mittels Gruppenrichtlinien
gesehen haben, gibt es eine ganze Menge Features, die benutzt werden können, dar-
unter Steuerung der Benutzerumgebung mit Gruppenrichtlinien, Bereitstellung von
Software und Aktualisierungen für Benutzer und Computer sowie Konfiguration
und Überwachung von Sicherheitseinstellungen. Sie müssen jedoch immer noch
Windows 2000 Professional oder andere Windows-2000-Varianten auf den Compu-
tern installieren, um alle diese schönen Features benutzen zu können.
Bei der Installation von Windows 2000 auf Clientcomputern haben Sie die Wahl
zwischen mehreren Methoden. Sie können erstens Windows 2000 von der CD-
ROM installieren und die Einstellungen für jeden Computer manuell konfigurieren.
Das Problem hierbei ist, dass dieser Vorgang ziemlich zeitraubend werden kann,
und dass zur ordnungsgemäßen Abwicklung sehr viele Benutzereingriffe nötig sind.
Eine andere Methode ist die Erstellung einer Datei für die unbeaufsichtigte Installa-
tion und die automatische Installation von einer Netzwerkfreigabe oder der CD-
ROM, sodass weniger Benutzereingriffe erforderlich sind. Dies erleichtert die
gleichzeitige Installation auf mehreren Computern und kann ein sinnvoller Aus-
gangspunkt sein.
Eine dritte Methode ist die Erstellung eines Abbilds auf einem Windows-2000-
Referenzcomputer mit Hilfe eines Image-Produkts von einem Drittanbieter, wie
etwa Symantec Ghost oder PowerQuest Disk Image Pro, und anschließend das
Kopieren des Abbilds auf andere Computer mit genau den gleichen Merkmalen der
Hardwareabstraktionsschicht (Hardware Abstraction Layer, HAL). Dies geht ziem-
lich schnell und kann ebenfalls eine brauchbare Lösung sein.
Eine vierte Methode ist die Verwendung des neuen Windows-2000-Features Remo-
teinstallationsdienste (Remote Installation Services, RIS), mit dem die Installation
von Windows 2000 Professional aus einer Netzwerkfreigabe auf Clientcomputern
automatisiert werden kann. Diese Methode bietet zusätzliche Sicherheit sowie wei-
tere Features, die sie in vielen Organisationen zur richtigen Wahl für die Bereitstel-
lung machen können.
9.2 Übersicht über Remoteinstallationsdienste

HINWEIS
Nur Windows 2000 Professional
Remoteinstallationsdienste unterstützt in Windows 2000 nur die Installation der
Windows-2000-Professional-Clientsoftware mittels RIS. Derzeit ist es mit RIS nicht
möglich, Windows 2000 Server bzw. Advanced Server auf einem Zielcomputer zu
installieren. Zur Installation einer Server-Variante von Windows 2000 auf einem
Computer müssen Sie entweder eine Installation von CD-ROM oder eine unbe-
aufsichtigte Installation von einer Netzwerkfreigabe ausführen.
Remoteinstallationsdienste ist eine Komponente von Windows 2000, welche die

automatische Installation von Windows 2000 Professional auf Clientcomputern
ermöglicht. Computer werden am Anfang der Bootphase mit dem RIS-Server ver-
bunden und starten die Remoteinstallation von Windows 2000 Professional. Dabei
können entweder die Windows-2000-Professional-Installationsdateien der CD-
ROM oder ein RIPrep-Abbild mit dem Betriebssystem und Konfigurationen von
weiteren Anwendungen verwendet werden. Die Abbilddateien sind auf dem RIS-
Server gespeichert und werden während des Bootvorgangs auf den Clientcomputer
übertragen, um die Installation zu starten.
Der Remoteinstallationsvorgang beruht auf einer Reihe von wichtigen Technolo-

gien auf Server- und Clientcomputern. Auf Serverseite setzt RIS Folgendes voraus:
씰 Eine NTFS-Partition zur Aufnahme der Abbilder von Windows 2000 Profes-
sional, die auf den Clientcomputern installiert werden sollen. Eine Partition
kann mehrere Images enthalten.
씰 Images zur Durchführung der Installation von Windows 2000 Professional
auf Clientcomputern. Images können die auf der CD-ROM zu findenden
Installationsdateien für Windows 2000 Professional oder RIPrep-Images
(Remote Installation Preparation, Remoteinstallationsvorbereitung) sein.
RIPrep-Images stehen für einen vollständig konfigurierten Computer, ein-
schließlich zusätzlicher Anwendungssoftware, Desktopeinstellungen und
Netzwerkverbindungen, und bieten eine einfache Möglichkeit, die gleiche
Konfiguration schnell auf mehreren Computern zu installieren.
씰 Remoteinstallationsdienste, die Clientanforderungen zur Installation von
Windows 2000 Professional auf einem Clientcomputer entgegennehmen und
bearbeiten. Remoteinstallationsdienste verwendet die drei nachfolgenden
Windows-2000-Netzwerkkomponenten. Diese müssen auf dem RIS-Server
installiert und aktiv sein.
9.2 Übersicht über Remoteinstallationsdienste 683
Boot Information Negotiation Layer (BINL), Protokollschicht zum Aushan-

deln von Bootinformationen, die Clientanforderungen entgegennimmt und
Clientcomputern hilft.
Single Instance Store (SIS, Ein-Instanzen-Speicher), der zur Minimierung des

von RIS-Images belegten Speicherplatzes beiträgt, indem es Mehrfachkopien
von Dateien, die zu mehreren Images gehören, durch Verweise auf einen ge-
meinsamen Speicherort auf der Festplatte ersetzt.
Trivial File Transfer Protocol (TFTP, triviales Dateiübertragungsprotokoll),

das zur Übertragung der Images auf die Clientcomputer und zum Start der In-
stallation von Windows 2000 Professional verwendet wird.
씰 Den DHCP-Dienst (Dynamic Host Configuration Protocol), installiert und

aktiviert auf einem Windows-2000-Server-, Advanced-Server- oder Data-
Server-Computer, der Clientanforderungen von IP-Adressen entgegennimmt.
Den Clients wird eine DHCP-Adresse zugewiesen, wenn sie sich mit dem
RIS-Server verbinden, um eine Installation zu beginnen. Der DHCP-Server
muss in Active Directory autorisiert sein, IP-Adressen an Clients per Lease
zu vergeben, auf denen eine RIS-Installation ausgeführt werden soll.
씰 Windows 2000 Active Directory, installiert und konfiguriert in mindestens
einer Domäne. RIS benötigt Active Directory zur Installation und Verwal-
tung seiner Konfiguration und zum Auffinden von Computerkonten, die
berechtigt sind, Windows 2000 Professional mit RIS zu installieren.
씰 Domain Name Service (DNS) zur Ortung von Active Directory-Diensten in
der Domäne.
Auf Clientseite ist es zur Installation von Windows 2000 Professional mit RIS erfor-
derlich, dass der Computer und die Netzwerkkarte bestimmte Spezifikationen erfül-
len. Zu den Anforderungen auf Clientseite gehören folgende:
씰 Ein Computer mit CPU Pentium 166 oder besser. Empfohlen wird Pentium
233 oder besser, einschließlich Celeron, Pentium II und Pentium III. Der
Clientcomputer, auf dem mittels RIS Windows 2000 Professional installiert
werden soll, muss die Mindestvoraussetzungen für das Betriebssystem Win-
dows 2000 Professional erfüllen.
씰 Eine Festplatte mit mindestens 1 Gbyte freiem Speicherplatz, konfiguriert als
primäre Partition. Es empfiehlt sich, mehr Speicherplatz bereitzustellen,
wenn Sie zusätzliche Anwendungen installieren möchten. 2 Gbyte Speicher-
platz sind zu bevorzugen.
씰 64 Mbyte RAM sind erforderlich, 128 Mbyte zu empfehlen. Je mehr Spei-

cher der Computer aufweist, desto besser ist die Leistung von Windows 2000
Professional.
씰 Eine Netzwerkkarte mit 10 Mb/s, 100 Mb/s sind zu empfehlen. Die Netz-
werkkarte muss der Spezifikation Pre-Boot Execution Environment (PXE)
Version 0.99c oder höher entsprechen und eine PCI-Karte sein, die eine
Remotestartdiskette unterstützt. Computer, die der NetPC-Spezifikation ent-
sprechen oder deren Einhaltung der Spezifikation PC98 oder später getestet
und verifiziert wurde, sollten kompatibel sein.
HINWEIS
PCMCIA/PC-Karten werden nicht unterstützt
PC-Karten bzw. PCMCIA-Karten, wie sie in Notebooks vorkommen, werden von

RIS nicht unterstützt. Das bedeutet, es ist nicht möglich, mit RIS eine Notebook-
Bereitstellung in großem Maßstab durchzuführen, es sei denn, es wird eine Do-
ckingstation mit einer kompatiblen Netzwerkkarte verwendet. Wenn das Note-
book angedockt ist, verwendet es die Netzwerkkarte der Dockingstation zum
LAN-Zugriff; wenn diese Karte PXE-kompatibel ist oder von der Remotestartdis-
kette unterstützt wird, können Sie Windows 2000 Professional mit RIS auf dem
Notebook installieren.
씰 Das Basic Input/Output System (BIOS) des Clientcomputers muss so konfi-

guriert sein, dass von der Netzwerkkarte gestartet wird, sofern diese PXE-
kompatibel ist. Wenn Sie ein RIPrep-Image verwenden, muss der Computer
für den Start von Diskette konfiguriert sein.
Wenn Ihr Clientcomputer die oben skizzierten Anforderungen erfüllt und Sie einen
RIS-Server ordnungsgemäß konfiguriert und installiert haben, nachdem alle server-
seitigen Anforderungen erfüllt waren, können Sie RIS verwenden, um Windows
2000 Professional-Images für Clientcomputer bereitzustellen.
9.2.1 Der Prozess der Installation von Windows 2000

mit RIS
Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste
(RIS)
씰 Installation eines Images auf einem RIS-Clientcomputer
Der eigentliche Vorgang einer Installation von Windows 2000 Professional nach
der Konfiguration eines RIS-Servers und der Erstellung eines Images ist ziemlich
elegant. Während der Bootphase, wobei entweder eine PXE-kompatible Netzwerk-
karte oder die Remotestartdiskette verwendet wird, drückt der Benutzer (F12).
Damit wird die Konfiguration des Computers mittels RIS eingeleitet. Dann wird
eine Reihe von Schritten zur Ausführung der Installation durchgeführt .
9.2 Übersicht über Remoteinstallationsdienste 685
1. Der Clientcomputer sendet ein DHCP-Discover-Paket, um einen DHCP-Ser-

ver zu finden und eine IP-Adresse anzufordern. Dieses Paket enthält außer-
dem die globale Identifikation GUID (Globally Unique Identifier) für den
Computer sowie ein Anforderung, die von einem RIS-Server bedient werden
muss. Wie Sie bald sehen werden, ist die GUID ein wichtiges Element.
2. Der DHCP-Server weist dem Client eine IP-Adresse zu, damit dieser im
Netzwerk kommunizieren kann.
3. Der Clientcomputer wird an einen RIS-Server verwiesen und mit diesem ver-
bunden.
4. Nachdem der Client eine Verbindung mit dem RIS-Server hergestellt hat,
prüft dieser in Active Directory, ob der Clientcomputer vorkonfiguriert (d.h.
für den Empfang einer bestimmten Liste von Images von einem bestimmten
Server im Unternehmen vorbereitet) wurde. Dazu nimmt der RIS-Server Ver-
bindung mit Active Directory auf, um die GUID des Computers zu finden.
Wird diese gefunden, so gilt der Computer als vorkonfiguriert.
5. Wenn der Clientcomputer vorkonfiguriert ist, verweist ihn der RIS-Server an
den zugeordneten RIS-Server, der in Active Directory festgelegt ist, und gibt
ihm einen Benutzernamen sowie ein Kennwort für die Anmeldung.
Ist der Clientcomputer nicht vorkonfiguriert, so wird der Benutzer vom RIS-
Server aufgefordert, seinen Benutzernamen und sein Kennwort für die An-
meldung einzugeben.
6. Nachdem der Benutzer beim RIS-Server angemeldet ist, wird ihm eine Liste
von verfügbaren Images für die Installation angezeigt, und er wird aufgefor-
dert, eines auszuwählen.
7. Nachdem ein Image ausgewählt wurde, beginnt der Installationsvorgang mit
der Konfiguration des Computers mit Windows 2000 Professional.
Die Konfiguration und Verwendung von Remoteinstallationsdienste umfasst vier
Schritte:
1. Die Installation von Remoteinstallationsdienste

2. Die Konfiguration des RIS-Servers und des Starts von RIS, einschließlich Er-
stellung der für die Installation von Windows 2000 Professional benötigten
Images.
3. Die Autorisierung des RIS-Servers in DHCP-Manager, damit Clients, die
eine DHCP-Adresse erhalten, am Anfang der Bootphase auch eine Anforde-
rung zur Verwendung eines RIS-Servers abgeben können.
4. Die Gewährung des Rechts zur Erstellung von Computerkonten in der Domä-
ne für Benutzer, die Windows 2000 mittels RIS auf ihrem Computer installie-
ren und diesen zur Domäne hinzufügen sollen.
Der erste Schritt in der Folge ist die Installation des RIS-Servers.
9.3 Installation und Konfiguration eines RIS-

Servers
Die Installation von RIS ist eigentlich ein einfacher Vorgang. Zunächst müssen die
Hardware- und Softwarevoraussetzungen erfüllt werden, dann können Sie RIS auf
einem Computer mit Windows 2000 Server, Advanced Server oder Data Center
Server installieren, der Mitglied Ihrer Domäne ist. Es können mehrere RIS-Server
eingesetzt werden, um Windows 2000 Professional bereitzustellen, aber die Instal-
lation des Betriebssystems auf einem Computer wird jeweils nur von einem RIS-
Server abgewickelt.
9.3.1 Voraussetzungen für RIS

Vor der Installation der Windows-2000-Remoteinstallationsdienste müssen Sie
sicherstellen, dass Ihr Server die Anforderungen von RIS erfüllt. Dazu gehören die
Hardwarevoraussetzungen für den Servercomputer selbst ebenso wie weitere Kom-
ponenten von Windows 2000, die von RIS benötigt werden
Hardwarevoraussetzungen für den Server

Die Hardwareanforderungen an den RIS-Server sind fast identisch mit den Voraus-
setzungen für Windows 2000 Server selbst, mit einem kleinen Unterschied. Zu den
Hardwarevoraussetzungen für die Ausführung von RIS gehören folgende:
씰 Eine CPU Pentium 166 oder besser. Ein Pentium II 300 oder besser wird
empfohlen.
씰 Eine 10-Mb/s-Netzwerkkarte (z.B. 10BASE-T). Eine 100-Mb/s-Netzwerk-
karte (z.B. 100BASE-TX) wird empfohlen.
씰 Mindestens 256 Mbyte RAM, obwohl auch eine Konfiguration mit
128 Mbyte RAM unterstützt wird. Mehr Speicher ist erforderlich, wenn Sie
vorhaben, auf dem gleichen Server neben RIS auch DHCP, DNS oder andere
Dienste auszuführen.
씰 Mindestens 2 Gbyte freier Speicherplatz auf der Festplatte (4 Gbyte empfoh-
len), der in zwei Partitionen auf der Festplatte aufgeteilt ist. Eine Partition
wird zum Speichern der RIS-Images verwendet und muss NTFS benutzen;
die andere wird für das Betriebssystem Windows 2000 Server verwendet. Es
9.3 Installation und Konfiguration eines RIS-Servers 687
wird empfohlen, alle Partitionen als NTFS zu konfigurieren. Die Partition für
RIS-Images muss so viel Speicherplatz umfassen, dass sie alle Images auf-
nehmen kann, die auf dem Server verfügbar sein sollen.
씰 Eine VGA-Videokarte mit einer Auflösung von 800x600 Bildpunkten.
씰 Eine Maus und eine Tastatur.
씰 Ein CD-ROM-Laufwerk wird bei Verwendung von CD-basierten Images
empfohlen, damit Sie den Inhalt der Windows-2000-Professional-CD an den
Image-Speicherort kopieren können.
씰 Der einzige größere Unterschied bei den Voraussetzungen für die Installation
eines RIS-Servers auf Computern mit Windows 2000 Server bzw. Advanced
Server ist die Notwendigkeit von mindestens zwei Datenträgern auf der Fest-
platte; einer für die RIS-Images, der als NTFS-Dateisystem formatiert sein
muss, und ein zweiter für das Betriebssystem des Servers.
Softwarevoraussetzungen für RIS
Bevor Sie RIS installieren und in Ihrem LAN verwenden können, muss eine Reihe
von weiteren Softwarekomponenten installiert werden. Sie können diese auf dem
gleichen Server wie RIS oder zur Verbesserung der Leistung auf einem anderen
Computer mit Windows 2000 Server bzw. Advanced Server installieren.
Folgende Softwarekomponenten müssen vor der Installation von RIS installiert und
konfiguriert werden:
씰 Domain Name System (DNS). Dieses wird zur Ortung von Objekten in Acti-
ve Directory benötigt. Jeder DNS-Server, der mit Active Directory verwendet
werden kann, funktioniert. Der RIS-Computer muss mit der IP-Adresse des
DNS-Servers konfiguriert werden.
씰 Active Directory. RIS benötigt Active Directory zur Ortung von Computer-
konten und Verwaltung der RIS-Konfiguration. RIS kann nicht in einer Um-
gebung installiert werden, in der Active Directory nicht installiert und konfi-
guriert ist – Active Directory ist eine notwendige Komponenten.
씰 DHCP-Dienst. RIS verwendet DHCP zur Zuweisung von IP-Adressen an

Clientcomputer. Wie bereits angesprochen, senden Clients ein DHCP-Disco-
ver-Paket, um eine IP-Adresse zu erhalten, und dieses Paket enthält auch die
Anforderung, mit einem RIS-Server verbunden zu werden. DHCP-Server au-
torisieren RIS-Servercomputer und geben die Clientanforderung zum Verbin-
dungsaufbau mit einem RIS-Server an den bekannten RIS-Server oder an
denjenigen weiter, für den der Client vorkonfiguriert wurde.
Nachdem diese Softwarekomponenten installiert und konfiguriert wurden, kann die

Installation von RIS auf einem Windows-2000-Server, Advanced-Server oder Data-
Center-Server gestartet werden.
9.3.2 Einrichtung eines RIS-Servers

Nachdem die vorne beschriebenen Hardware- und Softwarevoraussetzungen erfüllt
wurden, sind zur Einrichtung eines RIS-Servers folgende Schritte erforderlich:
1. Installieren Sie RIS auf dem Windows 2000 Server-Computer. Sie können
RIS während der Installation von Windows 2000 Server oder danach instal-
lieren. Durch die Installation wird RIS nicht konfiguriert, sondern es werden
lediglich die Dateien installiert, die RIS funktionsfähig machen.
2. Konfigurieren und starten Sie den RIS-Server mit Hilfe des Assistenten zur
Installation der Remoteinstallationsdienste. In diesem Schritt müssen Sie ein
erstes CD-basiertes Image erstellen, was voraussetzt, dass Sie die Windows-
2000-Professional-CD-ROM bereithalten.
3. Autorisieren Sie mit Hilfe von DHCP Manager den RIS-Server in Active Di-
rectory. Dadurch wird der RIS-Server in die Lage versetzt, Clientanforderun-
gen zum Start einer Remoteinstallation zu bedienen.
4. Gewähren Sie den Benutzern, die Remoteinstallationen mit RIS durchführen
sollen, das Recht, in der Domäne Computerkonten zu erstellen.
Installation von RIS auf einem Windows-2000-Server-Computer
Wenn Sie RIS bei der Installation von Windows 2000 Server nicht ausgewählt
haben, können Sie es jederzeit nachträglich installieren, indem Sie Software in der
Systemsteuerung oder den Assistenten für die Konfiguration des Servers verwen-
den. Sie müssen die CD-ROM für Windows 2000 Server bzw. Advanced Server
oder einen Pfad zu den Quelldateien im Netzwerk bereithalten.
Folgen Sie Schritt für Schritt 9.1, um RIS mit dem Assistenten für die Konfiguration
des Servers zu installieren.

9.1 Installation von RIS mit dem Assistenten für die Konfiguration
des Servers
HINWEIS
Mehr als eine Möglichkeit zur Installation von RIS
Eine weitere Möglichkeit zur Installation von RIS ist die Verwendung von Software
in der Systemsteuerung. Wenn Sie diese Methode verwenden möchten, führen
Sie an Stelle der Schritte 1 bis 4 in Schritt für Schritt 9.1 folgende Schritte aus:
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Compu-

ter an.
2. Wählen Sie im Startmenü EINSTELLUNGEN, dann SYSTEMSTEUERUNG.
3. Doppelklicken Sie in der Systemsteuerung auf SOFTWARE.

4. Wählen Sie in SOFTWARE WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN, um
den ASSISTENT FÜR WINDOWS-KOMPONENTEN zu öffnen.
1. Melden Sie sich als Domänenadministrator bei Ihrem Windows-2000-Com-

puter an.
2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann KONFIGU-
RATION DES SERVERS. Es wird ein Bildschirm ähnlich wie in Abbildung 9.1
angezeigt.
Abbildung 9.1
Der Assistent für

die Konfiguration
des Servers ist eine
Möglichkeit zur
RIS-Installation
3. Wählen Sie ERWEITERT im Assistenten für die Konfiguration des Servers und
klicken Sie auf OPTIONALE KOMPONENTEN, von wo Sie den Assistenten für
Windows-Komponenten starten können, wie in Abbildung 9.2 gezeigt.
4. Klicken Sie auf STARTEN, um den Assistenten für Windows-Komponenten
zu starten, worauf ein Bildschirm ähnlich Abbildung 9.3 angezeigt wird
5. Rollen Sie, wie in Abbildung 9.4 gezeigt, die Liste verfügbarer Komponenten
abwärts, und markieren Sie REMOTEINSTALLATIONSDIENSTE, indem Sie das
Kontrollkästchen daneben aktivieren. Klicken Sie dann auf WEITER, um die
Installation zu starten.
Abbildung 9.2
Der Assistent für

Windows-Kompo-
nenten kann durch
Wahl von ERWEI-
TERT, OPTIONALE
KOMPONENTEN im
Assistenten für die
Konfiguration des
Servers geöffnet
werden
Abbildung 9.3
Der Assistent für

Windows-Kompo-
nenten ermöglicht
Ihnen die Installati-
on zusätzlicher
Windows-2000-
Komponenten auf
dem Computer
6. Wenn Sie zuvor Terminaldienste installiert haben, werden Sie aufgefordert,

die Einrichtung von Terminaldiensten zu bestätigen, wie in Abbildung 9.5
gezeigt. Klicken Sie auf WEITER, nachdem Sie Ihre Konfiguration ausgewählt
haben, um die Installation der Remoteinstallationsdienste fortzusetzen.
Abbildung 9.4
Wählen Sie in der

Liste REMOTEINSTAL-
LATIONSDIENSTE, und
klicken Sie auf WEI-
TER, um die Installa-
tion zu starten
Abbildung 9.5
Wenn sie zuvor

installiert wurden,
bestätigen Sie die
Konfiguration der
Terminaldienste,
und klicken Sie auf
WEITER
7. Wenn Sie Terminaldienste nicht installiert haben, wird die Installation fortge-
setzt und Sie werden, wie in Abbildung 9.6 gezeigt, aufgefordert, die CD-
ROM für Windows 2000 Server bzw. Advanced Server einzulegen, wenn sie
sich nicht schon im CD-ROM-Laufwerk befindet. Legen Sie die CD ein, und
klicken Sie auf OK. Die Installation wird fortgesetzt, wie in Abbildung 9.7
gezeigt.
Abbildung 9.6
Wenn sich die Win-

dows-2000-CD-
ROM nicht im CD-
ROM-Laufwerk
befindet, werden
Sie aufgefordert,
diese einzulegen
Abbildung 9.7
Der Assistent für

Windows-Kompo-
nenten installiert
Remoteinstallati-
onsdienste auf
Ihrem Computer
Abbildung 9.8
Nachdem der
Assistent für Win-
dows-Komponen-
ten die Remotein-
stallationsdienste
installiert hat, kli-
cken Sie auf FERTIG
STELLEN, um die
Installation abzu-
schließen
8. Wenn die Installation abgeschlossen ist, wird ein Bildschirm ähnlich Abbil-
dung 9.8 angezeigt. Klicken Sie auf FERTIG STELLEN, um die Installation
abzuschließen.
9. Sie werden aufgefordert, Ihren Computer neu zu starten, wie in Abbildung
9.9 gezeigt. Klicken Sie auf JA, um Windows 2000 Server neu zu starten und
die Installation der Remoteinstallationsdienste abzuschließen.
Abbildung 9.9
Starten Sie Ihren

Computer neu,
wenn Sie dazu auf-
gefordert werden,
um die Installation
der Remoteinstalla-
tionsdienste abzu-
schließen
Sie haben nun Remoteinstallationsdienste installiert. Zu diesem Zeitpunkt können

Sie RIS jedoch nicht verwenden; zuerst müssen Sie es konfigurieren.
Konfiguration der Remoteinstallationsdienste

Nach der Installation der Remoteinstallationsdienste auf einem Computer mit Win-
dows 2000 Server, Advanced Server oder Data Center Server müssen Sie sie konfi-
gurieren, damit sie verwendbar sind. Die Konfiguration besteht in der Festlegung
des Ordners in einer NTFS-Partition, der zum Speichern der RIS-Images verwendet
werden soll, sowie in der Festlegung von Anfangseinstellungen für das Verhalten
des RIS-Servers in Reaktion auf Clientanforderungen. Außerdem müssen Sie den
Speicherort der Windows-2000-Professional-Dateien angeben, die in den RIS-Ord-
ner kopiert und für die Erstellung des ersten CD-basierten Images verwendet wer-
den sollen. Zur Konfiguration von Remoteinstallationsdienste stehen Ihnen drei
Methoden zur Wahl.
Erstens wird nach dem Neustart des Windows-2000-Server-Computers und der

Anmeldung als Administrator automatisch der Assistent für die Konfiguration des
Servers gestartet (sofern Sie dieses Feature nicht deaktiviert haben). Dieser fordert
Sie auf, die Installation fertig zu stellen, wie in Abbildung 9.10 gezeigt. Dadurch
wird der Assistent zur Installation der Remoteinstallationsdienste gestartet, in dem
Sie die RIS-Konfiguration abschließen können.
Zum Zweiten können Sie den Assistenten zur Installation der Remoteinstallations-
dienste öffnen und RIS konfigurieren, indem Sie in der Systemsteuerung Software
öffnen und WINDOWS-KOMPONENTEN HINZUFÜGEN/LÖSCHEN wählen.
Abbildung 9.10
Der Assistent für

die Konfiguration
des Servers fordert
Sie auf, die Installa-
tion fertig zu stel-
len. Dies ermög-
licht die
Konfiguration der
Remoteinstallati-
onsdienste auf
Ihrem Computer
Sie werden aufgefordert, RIS zu konfigurieren, wie in Abbildung 9.11 gezeigt. Kli-
cken Sie auf die Schaltfläche KONFIGURIEREN, um die Konfiguration der Remotein-
stallationsdienste zu beginnen.
Abbildung 9.11
Wenn Sie Software

in der Systemsteu-
erung öffnen und
W INDOWS-KOMPO-
NENTEN HINZUFÜ-
GEN/ENTFERNEN
wählen, werden Sie
ebenfalls aufgefor-
dert, Remoteinstal-
lationsdienste auf
Ihrem Computer zu
konfigurieren
Die dritte Methode zur Konfiguration von RIS ist das Öffnen des Assistenten zur
Installation der Remoteinstallationsdienste mit Hilfe des Programms risetup.exe,
wie in folgendem Schritt für Schritt gezeigt.

9.2 Konfiguration von RIS mit dem Assistenten zur Installation der
Remoteinstallationsdienste
1. Melden Sie sich bei Ihrem Windows-2000-Computer als Domänenadminist-
rator an.
2. Wählen Sie im Startmenü AUSFÜHREN, und geben Sie im Feld AUSFÜHREN
risetup.exe ein, wie in Abbildung 9.12 gezeigt, um den Assistenten zur
Installation der Remoteinstallationsdienste zu öffnen. Dieser kann statt über
START/AUSFÜHREN auch über eine Eingabeaufforderung ausgeführt werden.
Abbildung 9.12
Sie können Remo-

teinstallations-
dienste konfigurie-
ren, indem Sie
risetup.exe über
den Befehl AUSFÜH-
REN im Startmenü
ausführen
Abbildung 9.13
Nach dem Start

erinnert der Assis-
tent zur Installation
der Remoteinstalla-
tionsdienste Sie an
die Voraussetzun-
gen für RIS
3. Nach dem Start zeigt der Assistent zur Installation der Remoteinstallations-
dienste einen Bildschirm ähnlich Abbildung 9.13 an, in dem darauf hingewie-
sen wird, dass für die Konfiguration DNS, DHCP und die Windows-2000-
Professional-CD-ROM erforderlich sind. Beachten Sie, dass auch Anforde-

rungen an Clientcomputer aufgeführt werden. Klicken Sie auf WEITER, um
fortzufahren.
4. Der nächste Bildschirm fordert Sie auf, den Speicherort eines Ordners anzu-
geben, in dem die RIS-Images gespeichert werden sollen, wie in Abbildung
9.14 gezeigt. Geben Sie den Namen eines Ordners in einer NTFS-Partition
ein, die nicht das Systemlaufwerk ist, und klicken Sie auf WEITER, um die
Konfiguration fortzusetzen. Wenn der angegebene Ordner auf dem Datenträ-
ger bereits vorhanden ist, werden Sie gefragt, ob er überschrieben werden
soll, wie in Abbildung 9.15 gezeigt. Klicken Sie auf JA, um den Inhalt des
Ordners zu überschreiben, bzw. auf NEIN, um einen anderen Ordner auszu-
wählen.
Abbildung 9.14
Geben Sie den

Speicherort des
Remoteinstallati-
onsordners in einer
NTFS-Partition
(nicht auf dem Sys-
temlaufwerk) auf
Ihrem Computer an
Abbildung 9.15
Wenn der Ordner

auf Ihrem Compu-
ter bereits vorhan-
den ist, werden Sie
gefragt, ob er über-
schrieben werden
soll
HINWEIS
Exklusive Festplatte empfohlen
Es wird empfohlen, die Festplatte, auf der das erste und alle weiteren Images ge-
speichert werden sollen, exklusiv RIS zur Verfügung zu stellen. Auf diese Weise
erhalten Sie die beste Leistung, und andere OS-Aktivitäten werden nicht durch
Clients beeinträchtigt, die Dateien auf der RIS-Festplatte lesen.
Die Festplatte, auf der die Images gespeichert werden, muss außerdem eine Ba-
sisfestplatte sein. Der SIS-Dienst (Single Instance Store) unterstützt dynamische
Festplatten nicht, sodass zum Speichern von RIS-Images nur Basisfestplatten in
Frage kommen. Aus Gründen der Fehlertoleranz im Falle des Festplattenausfalls
wird empfohlen, an einem Standort mehrere RIS-Server einzurichten; dies ermög-
licht zugleich die Lastverteilung zwischen den RIS-Servern während der Bereit-
stellung.
5. Standardmäßig bedient ein RIS-Server unmittelbar nach der Erstinstallation

noch keine Clientanforderungen. Wenn Sie den RIS-Server sofort einsetzen
möchten, um Remoteinstallationen von Windows 2000 Professional mit
Standardeinstellungen durchzuführen, aktivieren Sie das Kontrollkästchen
AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN, wie in Abbildung 9.16
gezeigt. Wenn Sie den RIS-Server sofort aktivieren, haben Sie außerdem die
Möglichkeit, festzulegen, ob der Server nur Anforderungen bekannter Com-
puter (aktivieren Sie die Option UNBEKANNTEN CLIENTS NICHT ANTWORTEN)
oder alle Computer (Standard, Option nicht aktiviert) bedienen soll. Wenn
Sie den RIS-Server sofort aktivieren, sollten Sie jedem Client erlauben, ihn
zu verwenden. Dies nicht zu tun, hätte den gleichen Effekt wie die spätere
Konfiguration. Klicken Sie auf WEITER.
Abbildung 9.16
Legen Sie fest,

dass der RIS-Ser-
ver sofort aktiv wer-
den soll, indem Sie
das Kontrollkäst-
chen AUF DIENSTAN-
FRAGEN VON C LI-
ENTS ANTWORTEN
aktivieren
6. Sie werden nun aufgefordert, den Speicherort der Windows-2000-Professio-

nal-Dateien anzugeben, wie in Abbildung 9.17 gezeigt. Standard ist das CD-
ROM-Laufwerk Ihres Computers, aber Sie können einen anderen Pfad ange-
ben, indem Sie auf die Schaltfläche DURCHSUCHEN klicken und die Dateien
suchen oder den Pfad selbst eingeben. Wenn Sie den richtigen Pfad ausge-
wählt haben, klicken Sie auf WEITER. Wenn Sie außer der Windows-2000-
Professional-CD die Windows-2000-Server-CD oder eine andere CD einle-
gen, werden Sie daran erinnert, dass RIS nur die Installation von Windows
2000 Professional unterstützt, wie in Abbildung 9.18 gezeigt.
Abbildung 9.17
Geben Sie den

Speicherort der
Windows-2000-Pro-
fessional-Dateien
für die Erstellung
des ersten Images
für Remoteinstallati-
onsdienste an
Abbildung 9.18
Wenn Sie eine

andere CD einle-
gen als Windows
2000 Professional,
werden Sie in einer
Fehlermeldung dar-
an erinnert, dass
RIS nur Windows
2000 Professional
unterstützt
7. Nachdem Sie einen Pfad zum richtigen Produkt angegeben haben, werden Sie
aufgefordert, den Namen des Ordners anzugeben, in den die CD-basierten
Imagedateien kopiert werden sollen, wie in Abbildung 9.19 gezeigt. Norma-
lerweise ist es am besten, die Standardeinstellung win2000.pro für das erste
Image beizubehalten und andere Images später anders zu nennen. Wenn der
Ordner bereits vorhanden ist, tritt ein Fehler auf, und es wird ein Dialogfeld
angezeigt, in dem Sie gefragt werden, ob der Inhalt des Ordners überschrie-
ben werden soll. Klicken Sie auf JA, um den Ordner zu überschreiben. Kli-
cken Sie auf NEIN, um zum Dialogfeld WÄHLEN SIE EINEN ORDNER zurück-
zukehren, und einen anderen Namen anzugeben.
Abbildung 9.19
Geben Sie den

Namen des Ord-
ners für das Win-
dows-2000-Profes-
sional-Image auf
der RIS-Partition ein
Abbildung 9.20
Geben Sie für das

erstellte Windows-
2000-Professional-
Image einen ange-
zeigten Namen ein.
Dieser wird Benut-
zern angezeigt,
wenn sie eine
Remoteinstallation
beginnen
8. Sie werden nun aufgefordert, einen angezeigten Namen und eine Beschrei-
bung für das vom Assistenten für die Installation der Remoteinstallations-
dienste erstellte Image anzugeben, wie in Abbildung 9.20 gezeigt. Dies ist der
Name, der Benutzern beim Start ihres Computers angezeigt wird, wenn sie
aufgefordert werden, das zu installierende Image zu wählen. Lassen Sie den
Namen, wie er ist, oder überschreiben Sie die Informationen mit Ihren eige-
nen. Klicken Sie auf WEITER, um fortzufahren.
9. Nun wird ein Zusammenfassungsbildschirm mit den durchzuführenden Akti-
onen angezeigt, wie in Abbildung 9.21 gezeigt. Klicken Sie auf FERTIG STEL-
LEN, um die Konfiguration der Remoteinstallationsdienste abzuschließen.
Abbildung 9.21
Der Zusammenfas-
sungsbildschirm für
die Remoteinstalla-
tionsdienste zeigt
die durchzuführen-
den Aktionen an
10. Während der Assistent zur Installation der Remoteinstallationsdienste die

Komponenten installiert, werden Statusinformationen angezeigt, wie in
Abbildung 9.22 gezeigt. Wenn Sie die RIS-Installation abbrechen möchten,
klicken Sie auf ABBRECHEN; andernfalls können Sie den Fortschritt der
Installation verfolgen. Sie könnten jetzt eine Kaffeepause einlegen, weil der
Vorgang einige Zeit (etwa 15 Minuten) dauert.
11. Zum Abschluss zeigt der Assistent für die Installation der Remoteinstallati-
onsdienste ein Dialogfeld ähnlich Abbildung 9.23 an, in dem der Abschluss
der geforderten Aufgaben bestätigt wird. Der Assistent zur Installation der
Remoteinstallationsdienste hat den RIS-Ordner erstellt, die für RIS benötig-
ten Dateien kopiert, die Installationsdateien für Windows 2000 Professional
von der CD-ROM bzw. dem von Ihnen angegebenen Speicherort kopiert, die
Dateien für den Clientinstallations-Assistenten aktualisiert, eine Antwortdatei
für die unbeaufsichtigte Installation erstellt, die Registrierung aktualisiert, die

benötigten Dienste wie z.B. TFTP gestartet und einen SIS-Datenträger
erstellt. Klicken Sie auf FERTIG, um die Konfiguration abzuschließen und den
Assistenten zu beenden.
Abbildung 9.22
Der Assistent zur

Installation der
Remoteinstallati-
onsdienste zeigt
während des Instal-
lationsvorgangs
Informationen zum
Fortschritt an
Abbildung 9.23
Der Assistent zur

Installation der
Remoteinstallati-
onsdienste zeigt
zum Schluss Infor-
mationen zu den
erledigten Aufga-
ben an
Durch Ausführung des Assistenten für die Installation der Remoteinstallations-

dienste haben Sie die erste Konfiguration von RIS erstellt. Sie müssen nun den RIS-
Server autorisieren, und Sie können weitere Images hinzufügen sowie die Installa-
tion weiter verfeinern.
Autorisierung des RIS-Servers

씰 Autorisierung eines RIS-Servers
Nachdem Sie RIS auf einem Computer konfiguriert haben, müssen Sie diesen in
Active Directory autorisieren. Wenn Ihr RIS-Server gleichzeitig DHCP-Server ist
und als solcher in Active Directory autorisiert wurde, ist dieser Schritt bereits erle-
digt; andernfalls müssen Sie den Server autorisieren.
Dazu können Sie die DHCP-Konsole verwenden, die Bestandteil der Verwaltungs-
programme ist. Sollten die Verwaltungsprogramme nicht auf dem RIS-Server
installiert sein, so müssen Sie sie installieren, damit Sie den Server autorisieren kön-
nen. Doppelklicken Sie hierzu auf Adminpak.msi im Ordner WINNT\SYSTEM32 auf
Ihrem Computer. Dieses Paket enthält alle Verwaltungsprogramme, darunter die
DHCP-Konsole.
Führen Sie nach der Installation der Verwaltungsprogramme folgende Schritte aus,
um Ihren Server zu autorisieren:

9.3 Autorisierung des RIS-Servers in Active Directory
puter an.
2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann DHCP, um
die DHCP-Konsole zu öffnen, wie in Abbildung 9.24 gezeigt.
3. Klicken Sie mit der rechten Maustaste in der DHCP-Konsole auf DHCP, und
wählen Sie AUTORISIERTE SERVER VERWALTEN, wie in Abbildung 9.25
gezeigt.
4. Wenn Ihr Server nicht in der Liste autorisierter Server angezeigt wird, kli-
cken Sie auf AUTORISIEREN, um ihn in die Liste aufzunehmen.
5. Geben Sie im Dialogfeld DHCP-SERVER AUTORISIEREN (siehe Abbildung
9.26) den Namen oder die IP-Adresse Ihres RIS-Servers in das Feld NAME
ODER IP-ADRESSE ein, und klicken Sie dann auf OK. Wenn Sie um Bestäti-
gung Ihrer Eingabe gebeten werden, klicken Sie auf JA.
Abbildung 9.24
Öffnen Sie die

DHCP-Konsole
unter Verwaltung,
um Ihren RIS-Ser-
ver zu autorisieren
Abbildung 9.25
Wählen Sie AUTORI-

SIERTE S ERVER VER-
WALTEN, indem Sie
mit der rechten
Maustaste in der
DHCP-Konsole auf
DHCP klicken
Abbildung 9.26
Geben Sie den

Namen bzw. die IP-
Adresse Ihres RIS-
Servers im Dialog-
feld DHCP-Server
autorisieren ein, um
Ihren RIS-Server in
die Liste autorisier-
ter Server aufzu-
nehmen
6. Klicken Sie auf SCHLIESSEN, um das Dialogfeld DHCP-SERVER AUTORISIE-

REN zu schließen, nachdem Sie überprüft haben, ob Ihr RIS-Server in die
Liste autorisierter Server aufgenommen wurde.
7. Beenden Sie DHCP, um Ihre Aufgabe abzuschließen.
Sie haben nun Ihren RIS-Server in Active Directory erfolgreich autorisiert und ihn
in die Lage versetzt, Clientanforderungen zu bedienen. Zu diesem Zeitpunkt können
sich Clients an den RIS-Server wenden, um die Remoteinstallation von Windows
2000 Professional mit dem Standardimage einzuleiten, das Sie bei der Konfigura-
tion Ihres RIS-Servers erstellt haben. Clients sind jedoch nicht in der Lage, Compu-
terkonten in der Domäne einzurichten oder ihre Workstation in die Domäne aufzu-
nehmen. Dies bedeutet letztlich, dass die Clients Windows 2000 Professional nicht
mittels Remoteinstallationsdienste installieren können.
Gewährung des Rechts zur Erstellung eines Computerkontos in der

Domäne
씰 Gewährung des Rechts zur Erstellung eines Computerkontos
Damit Benutzer RIS einsetzen und ein Betriebssystemimage auf ihrem Computer
installieren können, müssen sie in der Lage sein, Computerkonten in der Domäne zu
erstellen. Dieses Privileg ist normalerweise auf Administratoren beschränkt, weil es
die Domänenstruktur in Active Directory betrifft. Beim Einsatz von RIS ist es
jedoch notwendig, diese Berechtigung denjenigen Benutzern zu gewähren, die die
Betriebssysteminstallation durchführen sollen.
Denken Sie bei der Entscheidung, welchen Benutzern das Recht zur Erstellung von
Computerkonten in der Domäne gewährt werden soll, daran, dass dies aus Sicher-
heitsgründen so restriktiv wie möglich gehandhabt werden sollte. Wenn eine
Anzahl von Personen mit der Aufgabe betraut wird, Windows 2000 Professional auf
Clientcomputern zu installieren, dann seien dies diejenigen, denen dieses Privileg
gewährt werden sollte. Es ist sinnvoll, in Active Directory eine Sicherheitsgruppe
einzurichten, dieser die Benutzer zuzuordnen, die RIS zur Installation von Windows
2000 Professional verwenden sollen, und dann dieser Gruppe das Recht zu gewäh-
ren.
Um einer Sicherheitsgruppe das Recht zur Erstellung von Computerkonten in einer

Domäne zu gewähren, führen Sie folgende Schritte aus.

9.4 Benutzern das Recht zur Erstellung von Computerkonten in einer
Domäne gewähren
puter an.
2. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER in der Pro-
grammgruppe VERWALTUNG.
3. Klicken Sie mit der rechten Maustaste auf die Domäne, in der Sie Benutzern
das Recht zur Erstellung von Computerkonten gewähren möchten, und wäh-
len Sie OBJEKTVERWALTUNG ZUWEISEN, um den Assistenten zum Zuweisen
der Objektverwaltung zu öffnen, wie in Abbildung 9.27 gezeigt.
Abbildung 9.27
Öffnen Sie den

Assistenten zum
Zuweisen der
Objektverwaltung in
ACTIVE DIRECTORY-
BENUTZER UND
-COMPUTER, um mit
der Zuweisung des
Rechts zur Erstel-
lung von Compu-
terkonten in der
Domäne zu begin-
nen
4. Beim Start zeigt der Assistent zum Zuweisen der Objektverwaltung ein Infor-
mationsdialogfeld an, wie in Abbildung 9.28 gezeigt.
5. Sie werden nun aufgefordert, Benutzer oder Gruppen hinzuzufügen, denen
Sie die Objektverwaltung zuweisen möchten, wie in Abbildung 9.29 gezeigt.
Klicken Sie auf HINZUFÜGEN, um die Liste der Benutzer anzuzeigen, wählen
Sie die Benutzer bzw. Gruppen, denen Sie das Recht zur Erstellung von
Computerkonten in der Domäne zugestehen möchten, und klicken Sie dann
auf HINZUFÜGEN. Wenn Sie alle in Frage kommenden Benutzer bzw. Grup-
pen hinzugefügt haben, klicken Sie auf WEITER.
6. Im nächsten Dialogfeld können Sie wählen, ob allgemeine Aufgaben dele-
giert werden sollen, oder ob Sie eine benutzerdefinierte Gruppe von Privile-
gien festlegen möchten, die Sie delegieren wollen, wie in Abbildung 9.30
gezeigt.
Abbildung 9.28
Der Assistent zum

Zuweisen der
Objektverwaltung
zeigt ein Informati-
onsdialogfeld an.
Klicken Sie auf WEI-
TER, um fortzufah-
ren
Abbildung 9.29
Klicken Sie auf HIN-

ZUFÜGEN, um
Benutzer und/oder
Gruppen hinzuzufü-
gen, denen Sie das
Recht zur Erstel-
lung von Compu-
terkonten in der
Domäne gewähren
möchten. Wenn Sie
Ihre Auswahl abge-
schlossen haben,
TER, um fortzufah-
ren
Markieren Sie FÜGT EINEN COMPUTER EINER DOMÄNE HINZU in der ange-
zeigten Liste allgemeiner Aufgaben, und klicken Sie auf WEITER. Diese Be-
rechtigung genügt für die Erstellung von Computerkonten in der Domäne
mittels RIS.
Abbildung 9.30
Aktivieren Sie FÜGT

EINEN COMPUTER
EINER DOMÄNE HINZU
im Assistenten zum
Zuweisen der
Objektverwaltung,
um das Recht zur
Erstellung von
Computerkonten in
der Domäne zu
gewähren
7. Der Assistent zum Zuweisen der Objektverwaltung zeigt eine Zusammenfas-

sung an, wie in Abbildung 9.31 gezeigt. Wenn alle Tasks korrekt sind, kli-
cken Sie auf FERTIG STELLEN, um die Aktionen durchzuführen und den
Assistenten zum Zuweisen der Objektverwaltung zu beenden.
Abbildung 9.31
In der Zusammen-
fassung des Assis-
tenten zum Zuwei-
sen der
Objektverwaltung
wird eine Liste der
durchzuführenden
Aufgaben ange-
zeigt. Klicken Sie
auf FERTIG STELLEN,
um den ausgewähl-
ten Benutzern bzw.
Gruppen das Recht
zur Erstellung von
Computerkonten in
der Domäne zu
gewähren

Zu diesem Zeitpunkt haben Sie alle nötigen Aufgaben erledigt, damit andere Benut-
zer mit Hilfe von Remoteinstallationsdienste eine Standardkonfiguration von Win-
dows 2000 Professional auf Clientcomputern installieren und diese Computer in die
Domäne aufnehmen können.
Möglicherweise möchten Sie jedoch den Benutzern die Möglichkeit geben, aus
einer Liste von Images für Windows 2000 Professional zu wählen, damit verschie-
dene Benutzer unterschiedliche Konfigurationen von Windows 2000 Professional
installieren können. Dazu müssen Sie geeignete Images erstellen.
9.4 Erstellen von Images für

(RIS)
씰 Verwaltung von Images für die Durchführung der Remoteinstallationen
Wie weiter vorne in diesem Kapitel erwähnt, unterstützen Remoteinstallations-
dienste zwei unterschiedliche Arten von Images: CD-basierte und RIPrep-Images.
CD-basierte Images sind Images des Betriebssystems Windows 2000 Professional

und dessen Standardeinstellungen, die mit Hilfe einer Antwortdatei konfiguriert
werden. Diese wird manuell oder mit Hilfe des Installations-Managers erstellt. Bei
der Konfiguration von Remoteinstallationsdienste wird ein CD-basiertes Standard-
image erstellt. Sie können daneben auch andere konfigurieren.
Ein RIPrep-Image ist ein Image für Windows 2000 Professional, das auf einem
Referenz- bzw. Quellcomputer vorkonfiguriert wurde. Es kann sowohl das
Betriebssystem als auch zusätzliche Anwendungen enthalten. Wird ein RIPrep-
Image bereitgestellt, so wird auf dem Zielcomputer mittels Remoteinstallations-
dienste eine Kopie des Referenzcomputers erstellt. Sie können ein RIPrep-Image
mit dem Assistenten zur Vorbereitung der Remoteinstallation erstellen, der im Lie-
ferumfang von Windows 2000 Server, Advanced Server oder Data Center Server
enthalten ist.
9.4.1 Erstellung eines CD-basierten Images für

Wie Sie bereits gesehen haben, installiert RIS ein CD-basiertes Standardimage,
wenn Sie RIS konfigurieren. Dies ist eine Kopie der Installationsdateien für Win-
dows 2000 Professional von der CD-ROM und eine Standard-Antwortdatei namens
9.4 Erstellen von Images für Remoteinstallationsdienste 709
Ristandard.sif. Sie können die Standard-Antwortdatei (auch als Setup-Informati-

onsdatei oder SIF bezeichnet) mit Windows Installations-Manager ändern oder mit
diesem Programm zusätzliche Antwortdateien erstellen.
Installation von Windows Installations-Manager

Dieser ist Bestandteil des Windows 2000 Resource Kit und befindet sich im Ordner
SUPPORT\TOOLS auf der CD-ROM von Windows 2000 Server, Advanced Server
oder Professional. Falls der Windows Installations-Manager noch nicht installiert
ist, führen Sie zur Installation die folgenden Schritten aus.

9.5 Installation von Windows Installations-Manager
puter an.
2. Legen Sie die CD-ROM für Windows 2000 Server (bzw. Professional oder
Advanced Server) in Ihr CD-ROM-Laufwerk ein.
3. Wählen Sie im Startmenü PROGRAMME, ZUBEHÖR und dann WINDOWS
EXPLORER.
4. Klicken Sie in WINDOWS EXPLORER auf den Laufwerkbuchstaben Ihres CD-
ROM-Laufwerks, und erweitern Sie die Ordner SUPPORT und TOOLS auf der
CD-ROM. Sie können auch auf das Symbol Arbeitsplatz auf dem Desktop
doppelklicken, dann auf Ihr CD-ROM-Laufwerk, dann auf SUPPORT und
schließlich auf TOOLS. Damit wird dieselbe Aufgabe erledigt.
5. Doppelklicken Sie im Ordner TOOLS auf DEPLOY.CAB, um den Inhalt der
CAB-Datei anzuzeigen, wie in Abbildung 9.33 gezeigt. (Hinweis: Die Abbil-
dung zeigt, dass zum Öffnen der CAB-Datei WinZIP benutzt wurde. Dies
betrifft nur das vorliegende Beispiel. WinZIP ist zur Anzeige des Inhalts von
DEPLOY.CAB nicht erforderlich.)
6. Markieren Sie setupmgr.exe und setupmgx.dll, klicken Sie dann mit der
rechten Maustaste darauf und wählen Sie EXTRAHIEREN.
7. Legen Sie den Speicherort auf Ihrer Festplatte fest, an den die Dateien extra-
hiert werden sollen (etwa Winnt\System32). Suchen Sie den Speicherort und
klicken Sie dann auf Extrahieren, um die Dateien zu extrahieren.
8. Schließen Sie den Windows Explorer, wenn Sie fertig sind.
Abbildung 9.32
DEPLOY.CAB im Ord-
ner SUPPORT\TOOLS
der Windows-2000-
CD-ROM enthält
die Dateien für den
Assistenten für das
Installations-
Management
Einsatz von Windows Installations-Manager zur Erstellung einer Datei für

die unbeaufsichtigte Installation
Nachdem Sie den Windows Installations-Manager installiert haben, können Sie ihn
zur Konfiguration einer unbeaufsichtigten Installation für ein CD-basiertes Image
verwenden, das zur Installation von Windows 2000 Professional mittels Remotein-
stallationsdienste eingesetzt werden soll. Bei der Erstellung einer Datei für unbeauf-
sichtigte Installation bzw. SIF-Datei mit Windows Installations-Manager konfigu-
rieren Sie die Einstellungen vor, die auf dem Zielcomputer verwendet werden
sollen, wenn Windows 2000 Professional mittels RIS bereitgestellt wird.
Führen Sie zur Erstellung und Konfiguration einer Datei für unbeaufsichtigte Instal-
lation mit Windows Installations-Manager folgende Schritte aus.

9.6 Verwendung von Windows Installations-Manager zur
Konfiguration einer Datei für die unbeaufsichtigte Installation
mittels RIS
puter an.
2. Klicken Sie auf START und dann auf AUSFÜHREN. Geben Sie im Dialogfeld
AUSFÜHREN setupmgr ein, um den Windows Installations-Manager zu star-
ten, wie in Abbildung 9.33 gezeigt. Falls sich die Dateien von Windows
Installations-Manager nicht in einem Ordner in Ihrem Pfad befinden, klicken
Sie auf die Schaltfläche DURCHSUCHEN und suchen Sie nach der Datei, um
sie zu öffnen.
Abbildung 9.33
Öffnen Sie den

Windows Installati-
ons-Manager im
STARTMENÜ, Option
AUSFÜHREN
3. Der Assistent für den Installations-Manager wird gestartet und zeigt das
Informationsdialogfeld an, wie in Abbildung 9.34 gezeigt.
Abbildung 9.34
Windows Installati-
ons-Manager star-
tet und zeigt das
Informationsdialog-
feld an
4. Im nächsten Bildschirm haben Sie die Wahl, ob eine neue Antwortdatei

erstellt, eine vorhandene geändert oder eine Antwortdatei mit der aktuellen
Konfiguration des Computers erstellt werden soll (siehe Abbildung 9.35).
Wenn Sie die bei der Konfiguration von RIS erstellte Standard-Antwortdatei
Ristandard.sif ändern möchten, klicken Sie auf die Schaltfläche DURCHSU-
CHEN, um die Datei zu suchen. Da Sie eine neue Antwortdatei für ein anderes
Image erstellen, wählen Sie NEUE ANTWORTDATEI ERSTELLEN, und klicken
Sie auf WEITER.
5. Im Bildschirm ZU INSTALLIERENDES PRODUKT in Abbildung 9.36 können Sie
den Typ der zu erstellenden Antwortdatei wählen. Angeboten werden UNBE-
AUFSICHTIGTE WINDOWS-2000-INSTALLATION, SYSTEMVORBEREITUNGSINS-
TALLATION oder REMOTEINSTALLATIONSDIENSTE. Wählen Sie Letzeres und
klicken Sie auf WEITER, um fortzufahren.
Abbildung 9.35
Mit Windows Setup-

Manager können
Sie eine neue Ant-
wortdatei erstellen,
eine Antwortdatei
mit der aktuellen
Konfiguration des
Computers erstel-
len oder eine vor-
handene Antwort-
datei ändern
Abbildung 9.36
Aktivieren Sie im
Assistenten für den
Installations-Mana-
ger die Option
REMOTEINSTALLATI-
ONSDIENSTE, um
eine Antwortdatei
für RIS zu erstellen
6. Im nächsten Bildschirm, wie in Abbildung 9.37 gezeigt, werden Sie aufgefor-

dert, den Umfang der Benutzereingriffe während der Installation festzulegen.
Folgende Stufen stehen zur Auswahl:
씰 Standardeinstellungen angeben. Die SIF-Datei enthält Standardeinga-
ben, die der Benutzer während der Installation überschreiben kann.
씰 Vollautomatisiert. Es wird Windows 2000 ohne jeden Benutzereingriff

installiert.
씰 Seiten ausblenden. Während der Installation werden keine Seiten ange-

zeigt, die per Antwortdatei vorkonfigurierte Optionen enthalten. Seiten,
die Benutzereingriffe erfordern, werden angezeigt.
씰 Schreibgeschützt. Während der Installation werden die Seiten angezeigt,
aber der Benutzer kann die Vorgaben in der Antwortdatei nicht ändern.
Damit erfährt der Benutzer, was vorgeht, kann aber nicht eingreifen.
씰 GUI gesteuert. Der im Textmodus ablaufende Teil der Installation ist
voll automatisiert, aber der Benutzer kann während des GUI-gesteuerten
Teils der Installation von Windows 2000 Professional alle Optionen
ändern.
In den meisten Fällen werden Sie eine Antwortdatei erstellen, die die gesamte
Installation von Windows 2000 Professional ohne jeden Benutzereingriff ab-
wickelt. Aktivieren Sie VOLLAUTOMATISIERT in der Liste und klicken Sie auf
WEITER, um diese Option zu konfigurieren.
Abbildung 9.37
Um die Installation
von Windows 2000
Professional mit
RIS zu automatisie-
ren, aktivieren Sie
im Bildschirm
BENUTZEREINGRIFF
die Option VOLLAU-
TOMATISIERT
7. Wie in Abbildung 9.38 gezeigt, werden Sie im nächsten Bildschirm aufgefor-

dert, den Lizenzvertrag zu akzeptieren. Da Sie eine vollautomatische Installa-
tion gewählt haben, wird der Lizenzvertrag für Windows 2000 Professional
nicht dem Benutzer angezeigt. Irgendjemand, der dazu autorisiert ist, muss
jedoch den Lizenzvertrag akzeptieren, damit die Installation von Windows
2000 Professional rechtmäßig ist. Prüfen Sie den Lizenzvertrag und klicken
Sie in das Kontrollkästchen LIZENZVERTRAG ANNEHMEN, um ihn anzuneh-
men. Klicken Sie dann auf WEITER, um fortzufahren.
Abbildung 9.38
Sie müssen den

Lizenzvertrag für
Windows 2000 Pro-
fessional anneh-
men, um eine voll-
automatische
Installation durch-
zuführen und die
SIF-Datei zu erstel-
len
8. Als Nächstes werden Sie nach dem Kennwort gefragt, das für das Konto
Administrator auf dem Zielkonto zu verwenden ist, wie in Abbildung 9.40
gezeigt. Wenn Sie eine vollautomatische Installation gewählt haben, ist dies
die einzige verfügbare Option; wenn während der Installation Benutzerein-
griffe möglich sind, haben Sie zusätzlich die Option, dem Benutzer selbst die
Festlegung des Administrator-Kennworts zu überlassen. Ein hier angegebe-
nes Kennwort wird auf allen Computern verwendet, die diese Antwortdatei
benutzen (d.h. auf allen diesen Computern gilt dasselbe Administrator-Kenn-
wort). Wird der Benutzer ermächtigt, das Kennwort selbst festzulegen, so
erhält er bzw. sie damit die administrative Kontrolle über sein bzw. ihr Desk-
top. Wählen Sie die Option, die den Richtlinien Ihres Unternehmens folgt
und für die gewählte Installationsart verfügbar ist. Geben Sie in diesem Bei-
spiel ein Kennwort Ihrer Wahl in den Feldern KENNWORT und KENNWORT
BESTÄTIGEN ein.
Wenn Sie das Administrator-Kennwort leer lassen, haben Sie außerdem die
Möglichkeit, sich beim ersten Start des Computers automatisch als Administ-
rator anzumelden. Diese Option weist die geringste Sicherheit auf und wird
nicht empfohlen.
9. Wie in Abbildung 9.40 gezeigt, werden Sie nun aufgefordert, die Bildschirm-
einstellungen für den Zielcomputer festzulegen. Wenn Sie alle Optionen als
Windows-Standard belassen, werden für den Zielcomputer 16 Farben mit
einer Auflösung von 640x480 bei der Standardaktualisierungsrate für die
Videokarte und den Monitor eingestellt.
Abbildung 9.39
Geben Sie ein

Kennwort an, das
für das Konto Admi-
nistrator auf dem
Zielcomputer ver-
wendet werden soll
Wenn Sie für den Zielcomputer eine neue Standardeinstellung vorgeben

möchten, tun Sie das hier. Außerdem haben Sie hier die Möglichkeit, benut-
zerdefinierte Einstellungen festzulegen. Ändern Sie die Standardangaben in
die in Abbildung 9.40 angezeigten Einstellungen, und klicken Sie auf WEI-
TER, um fortzufahren.
Abbildung 9.40
Ändern Sie in die-

sem Bildschirm die
Bildschirmeinstel-
lungen für die Ziel-
computer in die
gewünschten Wer-
te
10. Als Nächstes wird das Dialogfeld NETZWERKEINSTELLUNGEN (siehe Abbil-

dung 9.41) angezeigt. Hier werden Sie gefragt, ob für den Zielcomputer
STANDARDEINSTELLUNGEN oder BENUTZERDEFINIERTE EINSTELLUNGEN gel-
ten sollen, die Sie konfigurieren. Die Standardeinstellungen beinhalten einen
DHCP-fähigen Computer nur mit TCP/IP und Client für Microsoft-Netz-
werke. Wenn Sie mehrere Netzwerkkarten oder zusätzliche Netzwerkproto-
kolle (z.B. IPX/SPX oder NetBEUI) bzw. -dienste konfigurieren möchten,
müssen Sie BENUTZERDEFINIERTE EINSTELLUNGEN wählen. Um STANDARD-
EINSTELLUNGEN zu wählen, klicken Sie in das gleichnamige Optionsfeld und
dann auf WEITER.
Abbildung 9.41
Wählen Sie in die-

sem Bildschirm die
Netzwerkkonfigura-
tion des Zielcom-
puters durch Akti-
vieren von
STANDARDEINSTEL-
LUNGEN oder
BENUTZERDEFINIER-
TE EINSTELLUNGEN
11. Windows 2000 erfordert die ordnungsgemäße Zeitzoneneinstellung auf allen

Computern. Wählen Sie in dem in Abbildung 9.42 gezeigten Dialogfeld, ob
die Clientcomputer die Zeitzone des RIS-Servers übernehmen sollen, oder
legen Sie mit Hilfe des Drop-down-Listenfelds andere Zeitzoneneinstellun-
gen fest. Klicken Sie auf WEITER, wenn Sie Ihre Wahl getroffen haben.
12. Der nächste Bildschirm, wie in Abbildung 9.43 gezeigt, ermöglicht die Wahl,
ob zusätzliche Optionen konfiguriert oder bei den Standardeinstellungen
belassen werden sollen. Zu den zusätzlich konfigurierbaren Einstellungen
gehören folgende:
Abbildung 9.42
Legen Sie in die-

sem Bildschirm
fest, ob die Ziel-
computer die Zeit-
zoneneinstellung
vom RIS-Server
übernehmen sollen
Abbildung 9.43
Wählen Sie in die-

sem Bildschirm, ob
Windows 2000 Pro-
fessional mit den
Standardeinstellun-
gen oder mit einer
benutzerdefinier-
ten Computerum-
gebung installiert
werden soll
씰 Telefonie. Mit dieser Option werden die Vorwahl, das Land und die
Telefoneigenschaften für Zielcomputer konfiguriert. Diese Einstellungen
werden beim Wählen über ein Modem verwendet (siehe Abbildung 9.44)
씰 Ländereinstellungen. Zu diesen Einstellungen gehören Datumsformat,
Währung, Zahlen und Tastaturlayout (siehe Abbildung 9.45).
Abbildung 9.44
Telefonieeigen-
schaften können
mit benutzerdefi-
nierten Einstellun-
gen konfiguriert
werden
Abbildung 9.45
Ländereinstellun-
gen für den Com-
puter können mit
benutzerdefinier-
ten Einstellungen
konfiguriert werden
씰 Sprachen. Mit dieser Option können Sie Unterstützung für zusätzliche

Sprachen auf dem Clientcomputer installieren (siehe Abbildung 9.46).
씰 Browser- und Shelleinstellungen. Hier können Sie Proxy-Einstellungen

für Internet Explorer konfigurieren (siehe Abbildung 9.47).
Abbildung 9.46
Spracheinstellun-
gen für den Com-
puter können mit
benutzerdefinier-
ten Einstellungen
konfiguriert werden
Abbildung 9.47
Proxy-Einstellun-
gen für Internet
Explorer und der
Ordner FAVORITEN
können mit benut-
zerdefinierten Ein-
stellungen konfigu-
riert werden
Installationsordner. Wenn Sie Windows 2000 Professional in einem ande-

ren Ordner als WINNT installieren möchten, können Sie hier den Pfad des
Betriebssystemordners angeben (siehe Abbildung 9.48).
Abbildung 9.48
Um Windows 2000
Professional mit
RIS in einem ande-
ren Ordner zu
installieren, konfi-
gurieren Sie den
Pfad mit benutzer-
definierten Einstel-
lungen
HINWEIS
IEAK notwendig
Die Einstellungen, die in der Antwortdatei festgelegt werden können, sind nur ein
Teil der für Internet Explorer konfigurierbaren Einstellungen. Das Internet Explorer
Administration Kit kann zur Erstellung weiterer Skripts verwendet werden, bei-
spielsweise des in dieser Liste erwähnten Skripts Proxy-Konfiguration, um das
Verhalten von Internet Explorer weitergehend festzulegen. Weitere Informationen
finden Sie auf den Internet-Explorer-Webseiten unter http://www.microsoft.com/
ie.
Drucker installieren. Wenn Sie den Zielcomputer automatisch so konfigu-

rieren möchten, dass nach der Installation Verbindungen mit Netzwerkdru-
ckern hergestellt werden, geben Sie in diesem Dialogfeld Namen und Pfad
der Drucker an (siehe Abbildung 9.49).
Einmaliges Ausführen. In diesem Dialogfeld können Sie die Namen von

Programmen eingeben, die nach Abschluss der Installation automatisch ge-
startet werden sollen. Damit können Sie nach der Installation von Windows
2000 Professional die Installation von zusätzlichen Programmen für den Be-
nutzer starten. Dies betrifft Anwendungen, die nicht zu Windows 2000 gehö-
ren, aber vom Benutzer benötigt werden (siehe Abbildung 9.50).
Wenn Sie keine zusätzlichen benutzerdefinierten Einstellungen festlegen

möchten, klicken Sie auf WEITER, um die Standardwerte von Windows 2000
Professional zu akzeptieren.
Abbildung 9.49
Um auf dem Ziel-

computer automa-
tisch Netzwerkdru-
cker zu installieren,
können Sie mit
benutzerdefinier-
ten Einstellungen
die zu installieren-
den Drucker festle-
gen
Abbildung 9.50
Nach der Installati-

on können zusätzli-
che Programme
ausgeführt wer-
den, die in den
benutzerdefinier-
ten Einstellungen
Pfad und Name der
ausführbaren Datei
angegeben sind
13. Wie in Abbildung 9.51 gezeigt, müssen Sie nun den Namen und eine
Beschreibung für die zu erstellende Antwortdatei eingeben. Der Name wird
Benutzern angezeigt, wenn sie die Windows-2000-Installation über RIS ein-
leiten. Er sollte so aussagekräftig sein, dass Benutzer wissen, was sie instal-
lieren. Geben Sie den Namen und die Beschreibung ein, und klicken Sie dann
auf WEITER.
Abbildung 9.51
Geben Sie einen

aussagekräftigen
Namen und zusätz-
liche Informationen
für die zu erstellen-
de SIF-Datei ein,
damit der Benutzer
Hinweise auf den
Inhalt dieser Win-
dows-2000-Profes-
sional-Konfigurati-
on erhält
14. Im nächsten Bildschirm werden Sie, wie in Abbildung 9.52 gezeigt, aufgefor-
dert, den Namen und Pfad der Antwortdatei anzugeben. Sie können einen
beliebigen Namen wählen, aber die Datei sollte im Image-Ordner des RIS-
Servers, der während der Installation von Remoteinstallationsdienste erstellt
wurde, abgelegt werden. Ein Ordner kann mehrere Antwortdateien enthalten.
Geben Sie Name und Pfad der SIF-Datei an, und klicken Sie auf WEITER, um
ihn zu speichern.
Abbildung 9.52
Geben Sie Name

und Pfad der Ant-
wortdatei an
15. Im letzten Bildschirm des Installations-Managers werden die erstellten

Dateien und ausgeführten Aufgaben angezeigt, wie in Abbildung 9.53
gezeigt. Klicken Sie auf FERTIG STELLEN, um Windows Installations-Mana-
ger zu beenden und die Erstellung Ihrer Antwortdatei abzuschließen.
Abbildung 9.53
Klicken Sie nach

Abschluss der Ant-
wortdateikonfigura-
tion auf FERTIG STEL-
LEN, um Windows
Installations-Mana-
ger zu beenden
Nach der Erstellung der Antwortdatei kann es u.U. vorkommen, dass Sie diese
ändern möchten, Beispielsweise möchten Sie in einem Geschäftsumfeld keine
Spiele auf den Clientcomputern installieren. Sie können die nötigen Änderungen an
der Antwortdatei mit Notepad vornehmen.
Verknüpfung einer Antwortdatei mit einem CD-basierten Image

Nachdem die Antwortdatei zut Installation von Windows 2000 Professional mittels
RIS konfiguriert wurde, muss sie mit einem CD-basierten Image verknüpft werden.
Dadurch stehen die Einstellungen in der Antwortdatei bei Durchführung einer
Remoteinstallation zu Verfügung.
Es ist möglich, mehrere Antwortdateien mit demselben CD-basierten Image zu ver-

knüpfen, weil sich die Installationsdateien für Windows 2000 Professional inner-
halb einer CPU-Familie (z.B. INTEL-Prozessoren) nicht unterscheiden. Sie würden
mehrere CD-basierte Images verwenden, wenn weitere CPU-Familien oder Gebiets-
schema-spezifische Versionen von Windows 2000 Professional (z.B. Französisch)
im Einsatz wären.
Um eine Antwortdatei mit einem CD-basierten Image zu verknüpfen, folgen Sie

Schritt für Schritt 9.7.

9.7 Verknüpfung einer Antwortdatei mit einem CD-basierten Image
puter an.
2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann ACTIVE
3. Expandieren Sie in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER den
Ordner, der Ihren RIS-Server enthält.
4. Klicken Sie mit der rechten Maustaste auf den RIS-Servercomputer und wäh-
len Sie EIGENSCHAFTEN.
5. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register REMOTEINSTAL-
LATION, um die Optionen der Remoteinstallationsdienste für den Computer
anzuzeigen, wie in Abbildung 9.54 gezeigt.
Abbildung 9.54
Die Registerkarte
REMOTEINSTALLATI-
ON des Dialogfelds
Eigenschaften für
den Computer in
ACTIVE DIRECTORY-
BENUTZER UND -
COMPUTER zeigt die
RIS-Einstellungen
für den Server an
6. Klicken Sie in der Registerkarte REMOTEINSTALLATION auf ERWEITERTE

EINSTELLUNGEN, um die erweiterten Konfigurationsinformationen für RIS
anzuzeigen, wie in Abbildung 9.55 gezeigt.
Abbildung 9.55
Nach Klicken auf

ERWEITERTE EINSTEL-
LUNGEN in der
Registerkarte
REMOTEINSTALLATI-
ON des Dialogfelds
EIGENSCHAFTEN für
den Computer in
Active Directory-
Benutzer und -
Computer werden
die erweiterten
Eigenschaften für
den RIS-Server
angezeigt
7. Klicken Sie im Dialogfeld EIGENSCHAFTEN von REMOTEINSTALLATIONS-

DIENSTE auf das Register ABBILDER, wie in Abbildung 9.56 gezeigt.
8. Klicken Sie auf der Registerkarte ABBILDER auf HINZUFÜGEN, um ein weite-
res Image zur Liste verfügbarer Images hinzuzufügen. Dadurch wird der in
Abbildung 9.57 gezeigte Bildschirm angezeigt.
9. Im Dialogfeld HINZUFÜGEN... für eine neue Antwortdatei oder ein Installati-
onsabbild haben Sie die Möglichkeit, ein neues CD-basiertes Image hinzuzu-
fügen oder eine neue Antwortdatei mit einem vorhandenen Image zu ver-
knüpfen. Aktivieren Sie EINEM VORHANDENEN ABBILD EINE ANTWORTDATEI
ZUWEISEN, und klicken Sie auf WEITER.
10. Im darauf folgenden Dialogfeld (siehe Abbildung 9.58) müssen Sie den Pfad
angeben, von dem die Antwortdatei kopiert werden soll. Zur Wahl stehen
Beispiel-Imagedateien, die mit Windows 2000 geliefert und während der ers-
ten RIS-Installation erstellt wurden, ein anderer RIS-Server oder ein alternati-
ver Pfad, der jeden Speicherort umfassen kann. Aktivieren Sie ALTERNATIVE
QUELLE, und klicken Sie auf WEITER.
Abbildung 9.56
Um eine Liste von

Images anzuzei-
gen und Images zu
der Liste der von
RIS verwendeten
hinzuzufügen bzw.
daraus zu entfer-
nen, klicken Sie auf
das Register ABBIL-
DER im Dialogfeld
ERWEITERTE EIGEN-
SCHAFTEN
Abbildung 9.57
Klicken Sie auf Hin-

zufügen in der
Registerkarte ABBIL-
DER, um ein neues
Image hinzuzufü-
gen oder ein vor-
handenes mit einer
Antwortdatei zu ver-
knüpfen
11. Suchen Sie im nun angezeigten Dialogfeld (Abbildung 9.59) den Speicherort
der von Ihnen erstellten Antwortdatei und markieren Sie diese. Klicken Sie
auf WEITER, um fortzufahren.
Abbildung 9.58
Geben Sie den zu

verwendenden all-
gemeinen Spei-
cherort für die Ant-
wortdatei an,
entweder eine Bei-
spieldatei, eine auf
einem anderen
RIS-Server oder
eine Antwortdatei
auf der Festplatte
(alternativer Spei-
cherort)
Abbildung 9.59
Durchsuchen Sie
Ihre Festplatte nach
der Antwortdatei,
und klicken Sie auf
WEITER, um fortzu-
fahren
12. Wie in Abbildung 9.60 gezeigt, werden Sie nun nach dem Windows-2000-
Installationsabbild auf dem RIS-Server gefragt, mit dem Sie diese Antwort-
datei verknüpfen möchten. Klicken Sie auf das Installationsabbild und dann
auf WEITER.
Abbildung 9.60
Wählen Sie das

Installationsabbild,
mit dem die Ant-
wortdatei verknüpft
werden soll, und
TER
13. Als Nächstes werden Sie aufgefordert, den Namen und die Beschreibung des
Installationsabbilds zu bestätigen, das mit dieser Antwortdatei installiert wer-
den soll (siehe Abbildung 9.61). Dies sind der Name und die Beschreibung,
die Sie bei der Erstellung der Antwortdatei mit Windows Installations-Mana-
ger angegeben haben. Sie können hier Änderungen vornehmen, dann klicken
Sie auf WEITER.
Abbildung 9.61
Geben Sie Name

und Beschreibung
des Installationsab-
bilds an, und kli-
cken Sie auf WEITER
14. Überprüfen Sie die Einstellungen für die Antwortdatei, mit der das Installati-
onsabbild installiert werden soll, und klicken Sie auf FERTIG STELLEN, um die
Datei an den Vorlagenspeicherort zu kopieren, wie in Abbildung 9.62
gezeigt.
Abbildung 9.62
Bestätigen Sie im
Prüfbildschirm Ihre
Einstellungen und
klicken Sie auf F ER-
TIG STELLEN, um die
Antwortdatei in den
Ordner VORLAGEN
zu kopieren
Abbildung 9.63
Die Registerkarte
ABBILDER wird aktu-
alisiert mit den
Image-Informatio-
nen zur neuen Ant-
wortdatei, nach-
dem Sie auf FERTIG
STELLEN geklickt
haben
15. Wie in Abbildung 9.63 gezeigt, wird die neue Antwortdatei zur Liste der von
diesem Server mittels RIS installierbaren Images hinzugefügt. Klicken Sie
auf OK, um das EIGENSCHAFTEN-Dialogfeld zu schließen.
Sie haben nun eine neue Antwortdatei installiert, die zur Remoteinstallation von
Windows 2000 Professional mit den Einstellungen der Antwortdatei verwendet
werden kann. Möglicherweise möchten Sie jedoch den Kreis der Benutzer ein-
schränken, die dieses Image verwenden dürfen, damit gewährleistet ist, dass nur
autorisierte Benutzer die Privilegien zur Installation des Image besitzen.
Beschränkung von Images durch Berechtigungen

Nachdem ein Image erstellt und eine Antwortdatei mit ihm verknüpft wurde, steht
es allen Benutzern zur Verfügung, die sich mit dem RIS-Server verbinden können.
Vielleicht möchten Sie aber den Kreis der Benutzer einschränken, die bestimmte
Images verwenden dürfen, damit gewährleistet ist, dass auf einem Computer nur die
Einstellungen installiert werden können, die für die Installation durch den Benutzer
zugelassen sind.
Berechtigungen für Images werden durch Zuordnung von NTFS-Berechtigungen

zur SIF-Datei (d.h. zur Antwortdatei) festgelegt. Sie können einer SIF-Datei direkt
Berechtigungen zuordnen, um ihre Verwendung einzuschränken. Normalerweise
würden Sie eine Sicherheitsgruppe erstellen, und die Benutzer aufnehmen, die ein
bestimmtes Image installieren sollen. Sie würden dann der Gruppe die passenden
Berechtigungen zuordnen, damit die Mitglieder im Gegensatz zu anderen Zugriff
auf das Image haben.
Um der soeben mit einem Image verknüpften SIF-Datei Berechtigungen zuzuord-

nen, folgen Sie Schritt für Schritt 9.8.

9.8 Zuordnung von Berechtigungen für Images
puter an.
2. Wählen Sie im Startmenü PROGRAMME, ZUBEHÖR und dann WINDOWS
EXPLORER.
3. Navigieren Sie mit Windows Explorer zu dem Laufwerk und Ordner, in dem
Sie bei der Konfiguration von Remoteinstallationsdienste Ihre Images instal-
liert haben. Die Antwortdatei befindet sich in einem Ordner namens TEMPLA-
TES unter dem Ordner, der das von Ihnen auf dem RIS-Server installierte
Image enthält, wie in Abbildung 9.64 gezeigt.
Abbildung 9.64
Navigieren Sie zu
dem Ordner TEMP-
LATES in dem Pfad,
in dem das Image
installiert wurde,
um die Antwortda-
tei zu finden, der
Sie Berechtigun-
gen zuordnen
möchten
Abbildung 9.65
Klicken Sie mit der

rechten Maustaste
auf die SIF-Datei,
deren Berechtigun-
gen Sie ändern
möchten, wählen
Sie dann EIGEN-
SCHAFTEN und die
Registerkarte
SICHERHEITSEINSTEL-
LUNGEN, um die vor-
handenen Berech-
tigungen
anzuzeigen
4. Klicken Sie mit der rechten Maustaste auf die SIF-Datei, deren Berechtigun-
gen Sie ändern möchten, wählen Sie dann EIGENSCHAFTEN und die Register-
karte SICHERHEITSEINSTELLUNGEN, um die aktuellen Berechtigungen für die
Datei anzuzeigen, wie in Abbildung 9.65 gezeigt.
5. Wie Sie sehen, sind die der Datei derzeit zugeordneten Berechtigungen im
Feld SICHERHEIT grau dargestellt. Das bedeutet, dass sie vom übergeordneten
Ordner geerbt wurden. Um einer Gruppe bestimmte Berechtigungen zuzuord-
nen, müssen Sie die geerbten Berechtigungen löschen. Deaktivieren Sie dazu
die Option VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN.
Darauf wird das in Abbildung 9.66 gezeigte Dialogfeld angezeigt. Klicken
Sie auf KOPIEREN, um die vorhandenen Berechtigungen für die Datei zu
kopieren.
Abbildung 9.66
Um geerbte
Berechtigungen zu
löschen, deaktivie-
ren Sie die Option
VERERBBARE ÜBER-
GEORDNETE BERECH-
TIGUNGEN ÜBERNEH-
MEN, und klicken
Sie auf KOPIEREN,
um die geerbten
Berechtigungen für
diese Datei zu
kopieren
6. Klicken Sie auf HINZUFÜGEN, um die Sicherheitsgruppe bzw. Benutzer hin-

zuzufügen, denen Sie die Berechtigung für das Image zuordnen möchten, und
stellen Sie sicher, dass diese die Berechtigungen Lesen und Lesen, Ausführen
für die Datei erhalten. Entfernen Sie die Berechtigungen für die Gruppe
Jeder, wie in Abbildung 9.67 gezeigt.
7. Klicken Sie auf OK, um die Zuordnung der Berechtigung für die Datei zu
bestätigen.
8. Beenden Sie Windows Explorer.
Sie haben nun die Verwendung des Images auf die Gruppe Administratoren plus
zusätzlich festgelegte Benutzer eingeschränkt, die dieses Image verwenden sollen.
Gehen Sie genauso vor, um anderen Images Berechtigungen zuzuordnen.
Abbildung 9.67
Ordnen Sie nach

Bedarf Berechti-
gungen zu, entfer-
nen Sie die Grup-
pe Jeder und
klicken Sie auf OK,
wenn Sie fertig sind
Jetzt sind Sie so weit, Benutzern mit geeigneten Berechtigungen die Installation des
Images von Windows 2000 Professional mit den Einstellungen in Ihrer Antwortda-
tei auf deren Computern zu gestatten.
9.4.2 Erstellung eines RIPrep-Image für

Als Alternative zu CD-basierten Images kann mit RIS ein RIPrep-Image (Remote
Installation Preparation, Vorbereitung der Remoteinstallation) verwendet werden.
Mit solchen Images kann man nicht nur Windows 2000 Professional bereitstellen,
sondern eine vorkonfigurierte Computerinstallation einschließlich anderer Anwen-
dungen und PC-Einstellungen. Darüber hinaus enthalten RIPrep-Images das
Betriebssystem und die Anwendungen, die von RIS auf Computer kopiert werden,
in komprimierter Form. Dies ermöglicht eine rasche Installation aller benötigten
Komponenten auf dem Desktop eines Benutzers.
Wenn Ihr Unternehmen beispielsweise einen Standardsatz von Anwendungen fest-

gelegt hat, der jedem Benutzer nach Installation eines neuen Computers zur Verfü-
gung stehen muss, haben Sie zwei Möglichkeiten, die Computer richtig zu konfigu-
rieren. Zum einen können Sie ein CD-basiertes Image für die Installation von
Windows 2000 Professional mit Remoteinstallationsdienste verwenden und dann
manuell die Anwendungen installieren oder mittels Gruppenrichtlinien bereitstel-

len, falls möglich. Bei der zweiten Methode werden Windows 2000 Professional
und die Anwendungen auf einem Computer installiert, die ggf. notwendigen Ände-
rungen an der Umgebung vorgenommen und dann aus dem Ganzen ein RIPrep-
Image erstellt. Dieses kann dann mittels Remoteinstallationsdienste bereitgestellt
werden. Auf diese Weise können Betriebssystem, Anwendungen und alle benötig-
ten Einstellungen zugleich auf dem Computer installiert werden.
Die Entscheidung zwischen einem CD-basierten Image und einem RIPrep-Image

hängt von einer Reihe von Faktoren ab, darunter auch der Änderungshäufigkeit.
Wenn sich die Desktopkonfiguration des Standardbenutzers häufig ändert, ist ein
RIPrep-Image weniger geeignet, weil dieses bei jeder Änderung aktualisiert und auf
einem RIS-Server installiert werden muss. Dazu gehört die Vorbereitung eines
Quellcomputers mit den neuen Einstellungen bei jeder Konfigurationsänderung.
Wenn diese allzu häufig stattfinden, ist das RIPrep-Image u.U. arbeitsintensiver als
ein CD-basiertes Image mit manueller Installation der Software bzw. mittels Grup-
penrichtlinien. Wenn jedoch die Standardanwendungen in der Organisation nicht zu
oft aktualisiert werden (etwa alle drei Monate oder noch seltener), könnte RIPrep
eine einfache Methode zur Bereitstellung voll konfigurierter Desktops sein. Klei-
nere Änderungen an der Computerkonfiguration und an den Anwendungseinstellun-
gen können mittels Gruppenrichtlinien, über SMS oder mit anderen Methoden
bereitgestellt werden.
Zur Erstellung eines RIPrep-Image für die Installation von Windows 2000 Professi-
onal samt Anwendungen benötigen Sie zwei Computer:
씰 Den Quellcomputer, auf dem Windows 2000 Professional und alle Anwen-
dungen installiert werden. Dieser ist die Basis für die Erstellung des RIPrep-
Image mit Hilfe eines Tools aus Remoteinstallationsdienste.
씰 Einen RIS-Server, auf den das RIPrep-Image kopiert wird und für die Instal-
lation auf anderen Computern zur Verfügung steht, um die Anwendungen
und Einstellungen des Quellcomputers zu duplizieren.
HINWEIS
CD-basiertes Image notwendig
Damit ein RIPrep-Image zwecks Installation auf anderen Computern auf einem
RIS-Server installiert werden kann, muss dieser bereits ein CD-basiertes Image
enthalten. Dies ist normalerweise kein Problem, weil während der Konfiguration
von RIS ein CD-basiertes Standardimage erstellt wird. Falls dieses Image jedoch
für eine andere CPU-Familie erstellt wurde als das RIPrep-Image, müssen Sie vor
der Installation des RIPrep-Image auf dem RIS-Server ein CD-basiertes Image für
die gleiche CPU-Familie installieren, damit die Bereitstellung funktioniert.
Konfiguration des Quellcomputers

Bei der Erstellung eines RIPrep-Image müssen Sie als Erstes den Quellcomputer
mit der Konfiguration und den Anwendungen konfigurieren, die für die zusätzli-
chen Workstations bereitgestellt werden sollen. Dazu gehören fünf Aufgaben:
1. Installation von Windows 2000 Professional auf dem Quellcomputer, da Sie

mittels RIS nur dieses Betriebssystem bereitstellen können.
2. Konfiguration der Komponenten und Einstellungen von Windows 2000, die
für den Quellcomputer und alle Zielcomputer benötigt werden. Wenn Sie also
ein bestimmtes Look and Feel für das Desktop haben möchten, sollte es so
konfiguriert werden, wie die Desktops aller Benutzer nach Installation des
Image aussehen sollen. Auch wenn Sie möchten, dass Benutzern die IP-
Adressen von DHCP zugewiesen werden sollen, oder dass zusätzliche Netz-
werkprotokolle bzw. -dienste installiert werden sollen, sollten Sie dies auf
dem Quellcomputer durchführen. Sie werden die Konfiguration des Quell-
computers auf den Zielcomputern widerspiegeln, stellen Sie also sicher, dass
alle Einstellungen auf dem Quellcomputer so aussehen, wie Sie sie auf den
Zielcomputern haben möchten.
3. Installation und Konfiguration der für diese Desktopkonfiguration benötigten
Anwendungen. Installieren Sie die Anwendungen mit den normalen Installa-
tionsprogrammen bzw. Windows-Installer-Paketen, um die nötigen Dateien
zu kopieren, und fügen Sie dann auf der Festplatte des Quellcomputers ggf.
zusätzliche Elemente hinzu, wie etwa Desktopverknüpfungen, Menüelemente
oder Firmenvorlagen. Mit Windows-2000-Gruppenrichtlinien können Sie zu-
gewiesene Anwendungen auch automatisch installieren. Alternativ könnten
Sie derzeit veröffentlichte Anwendungen auf dem Quellcomputer installie-
ren, die später mittels Gruppenrichtlinien bereitgestellt werden könnten. Da-
durch wird der Netzwerkverkehr minimiert, vorausgesetzt, es wird später per
Gruppenrichtlinien geprüft, ob eine Anwendung auf dem Zielcomputer in-
stalliert ist. Die Installation auf dem Quellcomputer und die Bereitstellung
mit RIS während der Konfiguration des Computers spart später Zeit, wenn
der Computer neu gestartet wird und der Benutzer sich anmeldet.
4. Test des Betriebssystems und der Anwendungen, damit gewährleistet ist,
dass alles funktioniert wie vorgesehen. Dieser Schritt ist sehr wichtig. Es ist
nicht sehr sinnvoll, ein RIPrep-Image von einem Quellcomputer einschließ-
lich Anwendungen zu erstellen, bereitzustellen und dann festzustellen, dass
die Dinge nicht so funktionieren wie sie sollen. Testen, testen und nochmals
testen lautet die Devise, um sicherzugehen, dass Betriebssystem und Anwen-
dungen nach der Bereitstellung mit RIS den Anforderungen entsprechen.
5. Kopieren des Administrator-Profils vom Quellcomputer in das Standardprofil

Benutzer. Dies ist erforderlich, weil die gesamte Konfiguration und Installati-
on von Anwendungen auf dem Quellcomputer normalerweise unter dem
Konto Administrator durchgeführt wird. Damit genau diese Einstellungen
nach der Bereitstellung des Image dem Benutzer auf dem Zielcomputer zur
Verfügung stehen, müssen sie als Standardprofil Benutzer konfiguriert wer-
den, weil dieses Profil kopiert wird, wenn sich ein Benutzer beim Computer
anmeldet.
6. Führen Sie folgende Schritte aus, um das Administrator-Profil in das Stan-
dardprofil Benutzer zu kopieren.

9.9 Kopieren des Profils Administrator in das Standardprofil
Benutzer auf dem Quellcomputer
1. Melden Sie sich als Administrator bei Ihrem Windows-2000-Professional-
Zielcomputer an.
2. Erstellen Sie einen neuen Benutzer, indem Sie den Benutzer Administrator
kopieren. Dabei wird auch die Gruppenmitgliedschaft mit kopiert. Zum
Kopieren des Profils müssen Sie Mitglied der Gruppe Administratoren auf
dem Quellcomputer sein.
3. Melden Sie sich ab, und melden Sie sich dann wieder an als der neue admi-
nistrative Benutzer, den Sie in Schritt 2 erstellt haben.
4. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz und wählen Sie
EIGENSCHAFTEN.
5. Klicken Sie im Dialogfeld SYSTEMEIGENSCHAFTEN auf das Register BENUT-
ZERPROFILE.
6. Wählen Sie das Profil für Administrator und klicken Sie auf KOPIEREN NACH.
7. Kopieren Sie das Profil im Dialogfeld KOPIEREN NACH an den Pfad
C:\DOKUMENTE UND EINSTELLUNGEN\DEFAULTUSER, wo das Standardbe-
nutzerprofil gespeichert ist.
8. Klicken Sie im Abschnitt BENUTZER des Dialogfelds KOPIEREN NACH auf
die Schaltfläche ÄNDERN, um festzulegen, wer dieses Profil benutzen darf.
9. Klicken Sie im Feld SUCHEN IN auf den lokalen Computer.
10. Doppelklicken Sie im Feld Name auf JEDER, um der Gruppe Jeder (also allen
Benutzern) die Verwendung dieses Profils zu gestatten.
11. Klicken Sie auf OK, um dieses Dialogfeld zu schließen.
12. Schließen Sie das Dialogfeld SYSTEMEIGENSCHAFTEN.

13. Melden Sie sich als der neue administrative Benutzer ab und als Administra-
tor wieder an.
14. Löschen Sie den neuen administrativen Benutzer, den Sie zum Kopieren des
Profils Administrator erstellt haben.
Nachdem Sie auf dem Quellcomputer Windows 2000 Professional sowie die benö-
tigten Anwendungen konfiguriert und das Benutzerprofil Administrator in das Stan-
dardbenutzerprofil kopiert haben, ist das Schlimmste überstanden. Jetzt müssen Sie
ein Image der Quellcomputerkonfiguration erstellen, damit es auf anderen Compu-
tern bereitgestellt werden kann.
Erstellung des RIPrep-Image und Kopieren auf den RIS-Server

Der letzte Schritt bei der Bereitstellung des RIPrep-Image für Benutzer ist die Ver-
wendung eines Tools zur Erstellung des eigentlichen Abbilds des Quellcomputers
und das Kopieren des Image auf den RIS-Server. Führen Sie dazu den Assistenten
für die Remoteinstallationsvorbereitung über das Netzwerk auf dem Quellcomputer
selbst aus. Damit dieser Schritt funktioniert, muss ein RIS-Server verfügbar sein,
der mit einem CD-basierten Image der selben CPU-Familie konfiguriert ist wie der
Quellcomputer.
Der Assistent für die Remoteinstallationsvorbereitung erledigt folgende Aufgaben:
씰 Konfiguration des Quellcomputers in einen allgemeinen Zustand, bei dem

alle eindeutigen Einstellungen wie etwa SID (Sicherheits-ID) für den Com-
puter, der Name des Computers und alle Registrierungseinstellungen, die auf
den Zielcomputern eindeutige Werte aufweisen müssen, entfernt werden.
씰 Erstellung eines RIPrep-Image mit den Einstellungen des Computers und Ko-
pieren desselben auf den angegebenen RIS-Server.
씰 Erstellung einer Antwortdatei (SIF) und Verknüpfung dieser Datei mit dem
RIPrep-Image,
Führen Sie folgende Schritte aus, um mit Hilfe des Assistenten für die Remotein-
stallationsvorbereitung ein RIPrep-Image zu erstellen und auf einem RIS-Server zu
installieren.

9.10 Erstellung eines RIPrep-Image auf dem RIS-Server mit dem
Assistenten für die Remoteinstallationsvorbereitung
puter an.
2. Wählen Sie im Startmenü AUSFÜHREN.
3. Geben Sie im Feld AUSFÜHREN den Pfad der Datei riprep.exe ein, um den
Assistenten für die Remoteinstallationsvorbereitung zu starten, beispiels-
weise:
\\<RIS_SERVER>\reminst\admin\i386\riprep.exe
wobei <RIS_SERVER> der Name Ihres RIS-Servers ist. Klicken Sie auf OK.
4. Geben Sie im angezeigten Dialogfeld die benötigten Optionen ein wie folgt:
Option Beschreibung
Servername Der Name des RIS-Servers, auf dem dieses RIPrep-Image

gespeichert werden soll und der zur Bereitstellung des Image
für Zielcomputer verwendet werden soll.
Ordnername Der Name des Ordners auf dem RIS-Server, in dem dieses
Image gespeichert werden soll.
Angezeigter Name Der Name, der Benutzern angezeigt werden soll, wenn sie
eine Remoteinstallation zur Installation des Image beginnen.
Der Name sollte Aufschluss über den Inhalt des Image geben
(z.B. »Standarddesktop Verkauf«).
Hilfetext Aufschlussreiche Informationen über den Inhalt des Image,
seinen Zweck bzw. eine Zielgruppe.
5. Klicken Sie auf FERTIG STELLEN, um die Erstellung des Image zu starten. Der
Assistent für die Remoteinstallationsvorbereitung erledigt seine Aufgaben
und benachrichtigt Sie, wenn er damit fertig ist.
Sie sind nun bereit, dieses Image mit allen Anwendungen und Desktopeinstellun-
gen, die den Quellcomputer widerspiegeln, auf Zielcomputern bereitzustellen.
Wenn Sie die Nutzung des RIPrep-Image auf eine ausgewählte Gruppe von Benut-
zern einschränken möchten, ändern Sie wie beim CD-basierten Image die Berechti-
gungen für die SIF-Datei, mit der das Image verknüpft ist.
9.5 Ausführung einer Remoteinstallation 739
HINWEIS
Manueller Lastausgleich zwischen RIPrep-Images
Der Assistent für die Remoteinstallationsvorbereitung erstellt und installiert das

RIPrep-Image des Quellcomputers auf nur einem RIS-Server. In vielen Organisati-
onen werden u.U. mehrere RIS-Server benötigt, um die Last der Bereitstellung
von Windows 2000 Professional zu verteilen, oder um den gleichen Satz von
Images an mehreren geografischen Standorten vorzuhalten. Um das erstellte RI-
Prep-Image auf anderen RIS-Servern bereitzuhalten, kopieren Sie das Image auf
den anderen RIS-Server, und die Benutzer sind ohne weiteres in der Lage, es be-
reitzustellen.
Die Erstellung des RIPrep-Image und dessen Installation auf einem RIS-Server ist
der letzte Schritt bei der Erstellung eines Quellcomputer-Image. Wie Sie gesehen
haben, umfassen die Schritte die Installation von Windows 2000 Professional und
sämtlicher Anwendungen auf den Quellcomputern, das Kopieren des Administra-
tor-Profils in das Standardbenutzerprofil und schließlich die Erstellung und Installa-
tion des Image auf einem RIS-Server mit Hilfe des Assistenten für die Remotein-
stallationsvorbereitung. Jetzt sind Sie bereit, eine Remoteinstallation dieses wie
auch aller anderen Images auf dem RIS-Server auszuführen.
9.5 Ausführung einer Remoteinstallation

Nachdem Sie Remoteinstallationsdienste auf einem Zielserver installiert, den RIS-
Server in Active Directory autorisiert, den Server konfiguriert und das erste CD-
basierte Image installiert, zusätzliche Images erstellt, Benutzern die Berechtigung
zur Erstellung von Computerkonten in der Domäne gewährt und die nötigen
Berechtigungen für die Image-Dateien festgelegt haben, können Sie Benutzern die
Installation eines Windows-2000-Professional-Image auf einem Zielcomputer über-
lassen. Wie immer bei Einführung einer neuen Technologie ist es sinnvoll, die RIS-
Installation jedes Image auf einem Testcomputer zu verifizieren, bevor sie allen
Benutzern zur Verfügung gestellt wird. Wenn mehrere Computerkonfigurationen
vorliegen, für die Windows 2000 Professional über ein CD-basiertes oder ein
RIPrep-Image bereitgestellt werden soll, muss jede Konfiguration gründlich getes-
tet werden, bevor die Bereitstellung im großen Stil beginnt.
9.5.1 Konfiguration von Optionen für die Serverinstallation

Bevor Sie Clients die Nutzung von RIS ermöglichen, sollten Sie die Optionen auf
dem RIS-Server konfigurieren, um festzulegen, wie Namen von Computerkonten
generiert werden sollen. Außerdem können Sie den Verzeichnisdienstkontext in
Active Directory vorgeben, in dem das Computerkonto erstellt werden soll. Dies
geschieht mit Hilfe des Dialogfelds EIGENSCHAFTEN für den RIS-Server in ACTIVE
Führen Sie zur Konfiguration der Namensoptionen für Clientcomputer und des
Active Directory-Computerkontexts für Clients, die den RIS-Server benutzen, fol-
gende Schritte aus.

9.11 Konfiguration der Namensoptionen und des Verzeichniskontexts
für Clientcomputer
puter an.
3. Suchen Sie Ihren RIS-Server in der Active Directory-Struktur, klicken Sie
mit der rechten Maustaste darauf, und wählen Sie EIGENSCHAFTEN.
4. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register REMOTEINSTAL-
LATION, um die Einstellungen des RIS-Servers anzuzeigen, wie in Abbildung
9.68 gezeigt.
Abbildung 9.68
Konfigurieren Sie
RIS-Servereinstel-
lungen in der
Registerkarte
Remoteinstallation
des Dialogfelds
EIGENSCHAFTEN für
Ihren RIS-Server
5. Klicken Sie auf die Schaltfläche ERWEITERTE EINSTELLUNGEN, um die

erweiterten Eigenschaften des RIS-Servers anzuzeigen. Das Dialogfeld
EIGENSCHAFTEN VON REMOTEINSTALLATIONSDIENSTE wird angezeigt ähn-
lich wie in Abbildung 9.69.
Abbildung 9.69
Im Dialogfeld
EIGENSCHAFTEN VON
REMOTEINSTALLATI-
ONSDIENSTE können
Sie u. a. die
Namensoptionen
für Computer fest-
legen
HINWEIS
Deaktivierung aller Images auf einem RIS-Server
Beachten Sie, dass global festgelegt werden kann, ob Ihr Server Clientanforde-
rungen bedient, indem Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON
CLIENTS ANTWORTEN auf der Registerkarte REMOTEINSTALLATION des Dialog-
felds EIGENSCHAFTEN FÜR DEN SERVER deaktivieren. Dadurch sind die Images
auf dem Server nicht verfügbar, und Clients können diesen RIS-Server nicht be-
nutzen.
6. In der Registerkarte NEUE CLIENTS des Dialogfelds EIGENSCHAFTEN VON

REMOTEINSTALLATIONSDIENSTE können Sie festlegen, wie der Name für
einen Computer generiert werden soll, auf dem Windows 2000 Professional
mittel RIS installiert wird. Das Standardnamensformat ist Benutzername.
7. Um ein Format für Computernamen festzulegen, wählen Sie eines der vor-
konfigurierten Namensformate im Drop-down-Listenfeld oder, wenn Sie die
volle Kontrolle über die Art der Namenvergabe behalten möchten, klicken
Sie auf die Schaltfläche ANPASSEN, worauf ein Dialogfeld ähnlich Abbildung
9.70 angezeigt wird.
Abbildung 9.70
Um die Regeln für

die Erstellung von
Computernamen
bei Einsatz von RIS
anzupassen, kli-
cken Sie in der
Registerkarte NEUE
CLIENTS auf die
Schaltfläche ANPAS-
SEN
8. Um festzulegen, in welchem Active Directory-Kontext das Computerkonto

bei der Installation von Windows 2000 Professional mit RIS erstellt werden
soll, aktivieren Sie eine der Optionen unter CLIENTKONTO. Folgende Optio-
nen sind verfügbar:
Option Speicherort in Active Directory
Standardstelle im Das neue Computerkonto wird im Container Computer für

Verzeichnis die Domäne in Active Directory erstellt. Diese Option
(Standard) wird verwendet, wenn RIS nicht vom späteren
Benutzer des Computers installiert wird. Auf diese Weise
werden alle Computer in den Container Computer aufge-
nommen und können vom Administrator für die Anwen-
dung von Gruppenrichtlinien in eine andere Organisations-
einheit versetzt werden.
An derselben Stelle Das neue Computerkonto wird in der Organisationseinheit
wie die Benutzer- eingerichtet, zu der das Domänenbenutzerkonto des Benut-
einstellungen des zers gehört, der Windows 2000 Professional mit RIS instal-
Computers liert. Damit können alle Benutzer und Gruppen in einer
Organisationseinheit erstellt werden, was die Konfiguration
einheitlicher Gruppenrichtlinieneinstellungen für alle
ermöglicht. Wenn der Benutzer, der Windows 2000 Profes-
sional mit RIS installiert, später auch Benutzer des Compu-
ters ist, dann ist diese Option eine gute Wahl.
Option Speicherort in Active Directory
Eine spezifische Das Computerkonto wird in der im Feld Durchsuchen ange-

Verzeichnisstelle gebenen Organisationseinheit erstellt. Wenn alle per RIS
bereitgestellten Computer zu einer bestimmten Organisati-
onseinheit gehören sollen, um zu dokumentieren, dass diese
mit RIS installiert wurden, ist dies u.U. eine gute Wahl. Auf
diese Weise können Sie feststellen, welche Computer
mittels RIS bereitgestellt wurden, und diese später für die
Zwecke der Gruppenrichtlinien oder aus organisatorischen
Gründen in passende Container verschieben.
9. Klicken Sie nach der Konfiguration der für Computer gültigen Namenskon-
ventionen und des Active Directory-Kontexts, zu dem die per RIS bereitge-
stellten Computer gehören sollen, auf OK, um das Dialogfeld EIGENSCHAF-
TEN VON REMOTEINSTALLATIONSDIENSTE zu schließen.
10. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den RIS-Server
zu schließen und Ihre Änderungen zu speichern.
11. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER.
Abbildung 9.71
Stellen Sie sicher,

dass das Kontroll-
kästchen AUF
DIENSTANFRAGEN
VON CLIENTS ANT-
WORTEN in der
Registerkarte
REMOTEINSTALLATI-
ON des RIS-Ser-
vers aktiviert ist
Jetzt können Sie wirklich von sich behaupten, für die Bereitstellung Ihrer Windows-
2000-Professional-Images bereit zu sein. Vergessen Sie nicht, das Kontrollkästchen
AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN in der Registerkarte REMOTEIN-
STALLATION des Dialogfelds EIGENSCHAFTEN zu aktivieren (siehe Abbildung 9.71).
Andernfalls können Clients keine Verbindung mit dem RIS-Server herstellen, um
eine Liste der installierbaren Images zu erhalten. Nachdem Sie dies erledigt haben,
stellen Sie sicher, dass Clients die Systemvoraussetzungen einhalten, und beginnen
Sie mit der Bereitstellung.
9.5.2 Konfiguration von Clientinstallationsoptionen

(RIS)
씰 Installation eines Image auf einem RIS-Clientcomputer
Gelegentlich kann es vorkommen, dass Sie bestimmten Benutzern während der
Installation von Windows 2000 Professional die Möglichkeit geben möchten, Ein-
stellungen festzulegen oder die Installation völlig ohne Benutzereingriff abzuwi-
ckeln. Die Merkmale der Installation werden in einem Gruppenrichtlinienobjekt
(GPO) festgelegt, das dem Benutzer zugeordnet wird, der die Installation durch-
führt. Wenn mehrere GPOs für den Benutzer in Frage kommen, werden die Einstel-
lungen auf Organisationseinheitenebene bzw. auf niedrigster Ebene wirksam, es sei
denn, auf einer höheren Ebene wurde KEIN VORRANG konfiguriert.
Führen Sie die folgenden Schritte aus, um in GRUPPENRICHTLINIEN Clientinstallati-

onsoptionen für Benutzer festzulegen, die Installationen durchführen.

9.12 Konfiguration von Clientinstallationsoptionen mittels
Gruppenrichtlinien
puter an.
3. Suchen Sie die Organisationseinheit (d.h. den Container) für die Benutzer,
die Installationen durchführen sollen (oder wählen Sie die Domäne, um diese
Einstellungen für alle Benutzer festzulegen), klicken Sie mit der rechten
Maustaste auf den Container, und wählen Sie EIGENSCHAFTEN.
4. Wählen Sie GRUPPENRICHTLINIEN im Dialogfeld EIGENSCHAFTEN für den
Container.
5. Wählen Sie im Bildschirm GRUPPENRICHTLINIEN eine vorhandene Gruppen-

richtlinie, deren Einstellungen Sie ändern möchten, oder erstellen Sie eine
neue Gruppenrichtlinie für RIS-Clienteinstellungen. Klicken Sie auf BEAR-
BEITEN, um den Gruppenrichtlinieneditor zu öffnen.
Abbildung 9.72
Um die Clientinstal-
lationsoptionen für
RIS zu ändern, kon-
figurieren Sie die
Einstellungen für
Remoteinstallati-
onsdienste in Grup-
penrichtlinien für
die Benutzer, die
Installationen aus-
führen
Abbildung 9.73
Durch Doppelkli-
cken auf AUSWAHL-
OPTIONEN können
Sie die RIS-Client-
optionen einstellen
6. Erweitern Sie im Gruppenrichtlinieneditor BENUTZERKONFIGURATION, WIN-

DOWS-EINSTELLUNGEN und dann REMOTEINSTALLATIONSDIENSTE, wie in
Abbildung 9.72 gezeigt.
7. Doppelklicken Sie im Detailbereich auf AUSWAHLOPTIONEN, um die RIS-
Clientinstallationsoptionen anzuzeigen, wie in Abbildung 9.73 gezeigt.
8. Ändern Sie die Einstellungen im Dialogfeld AUSWAHLOPTIONEN nach Bedarf
Ihrer Organisation. Sie haben drei Möglichkeiten für jede Einstellung:
ZULASSEN, OPTIONAL und VERWEIGERN. Mit ZULASSEN wird die Einstellung
aktiviert, OPTIONAL belässt die Einstellung so, wie dies in einer früheren
Richtlinie oder als Standardwert auf dem RIS-Server festgelegt wurde, und
VERWEIGERN verbietet die Einstellung explizit.
Zu den Einstellungen, die geändert werden können, gehören folgende:
Automatische Installa- Installation von Windows 2000 Professional mit den in

tion der RIS-Serverkonfiguration festgelegten Namensre-
geln für Computer und Speicherorten für Computer-
konten (die Sie im letzten Schritt für Schritt durchge-
führt haben).
Benutzerdefinierte Der Benutzer kann den Computernamen und den
Installation Active Directory-Container angeben, in dem das
Computerkonto erstellt werden soll. Dies hat Vorrang
vor den Einstellungen des RIS-Servers und ermöglicht
es Benutzern, ihre Computer nach anderen Namens-
konventionen zu benennen. Wenn beispielsweise
Clientcomputer in einem Büro nach Monden und
Planeten benannt sind, könnten Sie diese Konvention
unterstützen, indem Sie diese Option aktivieren.
Neustart der Installa- Eine fehlgeschlagene Installation von Windows 2000
tion (nach einem voran- Professional mittels RIS kann auf dem Computer neu
gegangenen Versuch) gestartet werden, ohne dass der Benutzer zur Eingabe
von Informationen aufgefordert wird, die bereits zuvor
im Assistenten für die Clientinstallation eingegeben
wurden.
Extras Der Benutzer, der Windows 2000 Professional instal-

liert, soll Zugriff erhalten auf Tools von Drittanbietern
zur Wartung und Fehlersuche auf dem Computer,
beispielsweise zur Aktualisierung des BIOS. Diese sind
nur für Mitarbeiter des technischen Support vorgesehen
und sollten in GPOs zugelassen werden, die für
Benutzer im technischen Support eingesetzt werden. In
der Regel sollte diese Option jedoch Benutzern nicht
zugestanden werden.
Die Tools, die für Wartung und Fehlersuche über RIS
verwendet werden können, werden in der Registerkarte
PROGRAMME des Dialogfelds EIGENSCHAFTEN VON
REMOTEINSTALLATIONSDIENSTE festgelegt. Dieses
wird aktiviert durch Klicken auf die Schaltfläche
ERWEITERTE EINSTELLUNGEN in der Registerkarte
REMOTEINSTALLATION des Dialogfelds EIGEN-
SCHAFTEN FÜR DEN RIS-SERVER (siehe Abbildung
9.74).
Die Standardeinstellungen für RIS lassen lediglich AUTOMATISCHE INSTAL-

LATION zu. Wenn Sie eine andere Konfiguration wünschen, müssen Sie dies
im GPO angeben. Tun Sie dies.
Abbildung 9.74
Auf der Registerkar-

te PROGRAMME des
Dialogfelds EIGEN-
SCHAFTEN VON
REMOTEINSTALLATI-
ONSDIENSTE geben
Sie Programme für
Fehlersuche und
Wartung von Drit-
tanbietern an
9. Klicken Sie auf OK, um Ihre Optionseinstellungen zu speichern und das Dia-
logfeld AUSWAHLOPTIONEN zu schließen.
10. Schließen Sie den Gruppenrichtlinieneditor, um die GPO-Einstellungen zu
speichern.
11. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Container zu
schließen.
12. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER.
Noch einmal: Gruppenrichtlinien sind ein mächtiges Werkzeug zur Festlegung des
Verhaltens von Windows-2000-Diensten, in diesem Fall von RIS. Mit Gruppen-
richtlinien kann die Einhaltung von Unternehmensrichtlinien zur Bereitstellung von
Windows 2000 mittels RIS durchgesetzt werden.
9.5.3 Voraussetzungen für Clientcomputer

Der erste Schritt bei der Bereitstellung von Windows 2000 Professional auf einem
Computer mittels Remoteinstallationsdienste ist es, sicherzustellen, dass der Com-
puter die Hardwarevoraussetzungen für Windows 2000 wie für RIS erfüllt. Durch
die Installation von Windows 2000 mittels RIS ändern sich nicht die Voraussetzun-
gen für das Betriebssystem, sondern lediglich die Methode zur Installation des
Betriebssystems auf einem Computer.
Bei einem Clientcomputer gelten folgende Hardwarevoraussetzungen für Windows

2000 Professional:
Hardwarekomponente Voraussetzung
CPU Pentium 166 oder besser. Pentium II 300 oder besser wird
empfohlen.
Speicher Mindestens 64 Mbyte RAM. 128 Mbyte RAM empfohlen.
Festplattenplatz Mindestens 1 Gbyte Speicherplatz. 2 Gbyte empfohlen. Es
werden SCSI- und IDE-Festplattenlaufwerke unterstützt.
Netzwerkkarte PCI-Netzwerkkarte mit mindestens 10 Mb/s (z.B. 10 BASE-
T). 100 Mb/s empfohlen (100 BASE-TX). Die Karte sollte
entweder ein PXE-fähiges Boot-ROM (Version .99c oder
höher) enthalten oder von einer Remotestartdiskette unterstützt
werden. PC-Karten-/PCMCIA-Netzwerkadapter werden nicht
unterstützt.
Startgerät Der Computer sollte für den Start von der PXE-fähigen Netz-
werkkarte konfiguriert sein.
Wenn Ihr Zielcomputer die Hardwarevoraussetzungen erfüllt, können Sie nun mit
der Bereitstellung von Windows 2000 Professional mittels RIS auf diesem Compu-
ter beginnen.
HINWEIS
Notebooks können mittels RIS bereitgestellt werden
Sie können zwar mit RIS keine PC-Karten- oder PCMCIA-Netzwerkadapter zur Be-
reitstellung von Windows 2000 Professional auf einem Notebook-Computer ver-
wenden, aber es ist dennoch möglich, RIS zur Bereitstellung auf einem Notebook
einzusetzen. Wenn Sie für das Notebook eine Dockingstation haben, in der eine
PCI-Netzwerkkarte installiert ist, können Sie eine Remotestartdiskette verwenden.
Falls die Karte PXE-fähig ist, können Sie über das Netzwerk starten und dann mit
der Bereitstellung von Windows 2000 Professional beginnen. Dies ist die einzige
Möglichkeit, Windows 2000 mittels RIS auf einem Notebook bereitzustellen.
Übrigens enthalten einige neuere Notebooks, die heute am Markt sind, integrierte
PCI-basierte Netzwerkkarten. Wenn eine solche Karte von einer Remotestartdis-
kette unterstützt wird oder PXE-fähig ist, kann Windows 2000 Professional mögli-
cherweise ohne den Einsatz einer Dockingstation für solche Notebooks
bereitgestellt werden.
9.5.4 Einsatz von RIS zur Installation eines Image auf

einem Computer mit PXE-kompatibler Netzwerkkarte
Um Windows 2000 Professional auf einem Computer mit PXE-fähiger Netzwerk-
karte zu installieren, muss der Computer für den Start von der Netzwerkkarte konfi-
guriert sein. Um dies zu überprüfen, drücken Sie während des Einschalt-Selbsttests
(POST) die Tastenkombination, mit der Sie die BIOS-Konfiguration starten, und
prüfen Sie, ob die Netzwerkkarte das erste Startgerät ist.
Starten Sie dann den Computer. Wenn die Netzwerkkarte anzeigt, dass versucht
wird, vom Netzwerk zu starten, drücken Sie (F12). Nachdem der Clientcomputer
eine Verbindung mit einem RIS-Server hergestellt hat (und von einem DHCP-Ser-
ver eine IP-Adresse erhalten hat und an einen RIS-Server verwiesen wurde), wird
der Benutzer aufgefordert, erneut (F12) zu drücken, um den Assistenten für die
Clientinstallation zu übertragen.
Nachdem dies geschehen ist, wird der Benutzer aufgefordert, sich bei der Domäne
anzumelden. Falls die Anmeldung erfolgreich ist, wird eine Liste von Optionen
angezeigt.
Automatische Installation Der Benutzer darf wählen, welches Image installiert werden
soll. Wenn er berechtigt ist, auf das Image zuzugreifen, wird
dieses ohne weiteren Benutzereingriff auf dem Clientcom-
puter installiert. Falls auf dem RIS-Server nur ein Image
verfügbar ist, wird die Installation automatisch gestartet,
ohne den Benutzer zu fragen.
Benutzerdefinierte Instal- Benutzer können u.U. den Computernamen und den Active
lation Directory-Container, in dem der Computer gespeichert
werden soll, überschreiben. Dies funktioniert nur, wenn dem
Benutzer nicht in einer für ihn gültigen Gruppenrichtlinie
die Berechtigung Benutzerdefinierte Installation verweigert
wird.
Neustart der Installation Der Benutzer kann einen fehlgeschlagenen Versuch der
(nach einem vorangegan- Installation eines Image auf dem Computer neu starten.
genen Versuch) Dabei wird der gesamte Installationsvorgang von vorne
begonnen, aber der Benutzer wird nicht zur Eingabe von
Informationen aufgefordert, die bereits beim ersten Installa-
tionsversuch angegeben wurden.
Extras Der Benutzer kann Tools von Drittanbietern zur Wartung
und Fehlersuche auf dem Zielcomputer einsetzen.
Nachdem Sie Ihre Wahl getroffen haben, wird der Installationsvorgang begonnen.
Wenn Sie eine benutzerdefinierte Installation gewählt haben, werden Sie nach dem
Namen für den Computer und nach dem Speicherort des Active Directory-Contai-
ners gefragt, in dem das Computerkonto erstellt werden soll.
HINWEIS
Mehrsprachige Bereitstellung
Das Menü, das angezeigt wird, wenn der Benutzer (F12) drückt, hängt vom Inhalt
einer Datei namens WELCOME.OSC ab, die sich im Ordner OSChooser in dem ge-
meinsamen RIS-Ordner auf dem RIS-Server befindet. Standardmäßig ist diese
Datei in Englisch und geht davon aus, dass alle Eingabeaufforderungen auf Eng-
lisch erfolgen sollen. Microsoft stellt im gleichen Ordner eine Beispieldatei na-
mens MULTILING.OSC zur Verfügung, die zeigt, wie Eingabeaufforderungen und
Benutzereingriffe bei RIS mehrsprachig ausgelegt werden können. Diese Datei
sollte als Vorlage für die Erstellung eines eigenen mehrsprachigen Menüs für Be-
reitstellungsoptionen verwendet werden, falls dies erforderlich ist.
9.5.5 Einsatz von RIS zur Installation eines Image auf

einem Computer mittels einer Remotestartdiskette
(RIS)
씰 Erstellung einer Remotestartdiskette
Auch in Fällen, bei denen die Netzwerkkarte in einem Computer nicht PXE-kompa-
tibel ist, können Sie RIS zur Bereitstellung eines Windows-2000-Professional-
Image auf einem Zielcomputer verwenden. Wenn der Zielcomputer eine Netzwerk-
karte enthält, die von einer Remotestartdiskette unterstützt wird, können Sie die
Diskette erstellen und damit eine PXE-Umgebung emulieren.
Führen Sie zur Erstellung einer Remotestartdiskette folgende Schritte aus:

9.13 Erstellung einer Remotestartdiskette
1. Melden Sie sich als Administrator bei einem Windows-2000-Computer an.
2. Wählen Sie AUSFÜHREN im Startmenü.
3. Geben Sie im Dialogfeld AUSFÜHREN Folgendes ein:
\\<RIS_SERVER>\reminst\admin\i386\rbfg.exe
dabei ist <RIS_SERVER> der Name Ihres RIS-Servers. Klicken Sie auf OK. Da-
mit wird die Windows-2000-Remotestart-Diskettenerstellung gestartet, wie
in Abbildung 9.75 gezeigt.
Abbildung 9.75
Die Windows-2000-
Remotestart-Dis-
kettenerstellung
kann zur Erstellung
einer Startdiskette
für Remoteinstallati-
onsdienste verwen-
det werden
4. Wenn Sie prüfen möchten, ob die Netzwerkkarte in Ihrem Computer von

einer Remotestartdiskette unterstützt wird, klicken Sie auf ADAPTERLISTE,
um ein Dialogfeld ähnlich Abbildung 9.76 anzuzeigen.
Abbildung 9.76
Wenn Sie auf ADAP-

TERLISTE klicken,
wird die Liste der
von der Remote-
startdiskette unter-
stützten Netzwerk-
karten angezeigt.
Prüfen Sie, ob Ihre
Netzwerkkarte auf-
geführt ist
Wenn die Netzwerkkarte des Zielcomputers weder in der Liste unterstützter

Karten aufgeführt ist noch PXE-kompatibel ist, können Sie RIS nicht zur Be-
reitstellung von Windows 2000 Professional verwenden. Sie müssen sich
eine mit RIS kompatible oder eine PXE-fähige Netzwerkkarte beschaffen.
Wenn Sie RIS einsetzen möchten, gibt es keine andere Wahl.
5. Legen Sie eine leere, formatierte Diskette in Ihr Diskettenlaufwerk ein und
klicken Sie auf DISKETTE ERSTELLEN, um die Remotestartdiskette zu erstel-
len.
Nachdem Sie die Remotestartdiskette erstellt haben, prüfen Sie, ob das Disketten-
laufwerk auf dem Zielcomputer als Standard-Startgerät konfiguriert ist, legen Sie
die Diskette in das Diskettenlaufwerk ein und schalten Sie den Computer ein. Drü-
cken Sie ähnlich wie beim Start mit einer PXE-kompatiblen Netzwerkkarte die
Taste (F12), wenn Sie dazu aufgefordert werden. Die restlichen Schritte zur Bereit-
stellung eines Windows-2000-Professional-Image mit RIS stimmen mit der (in
Schritt für Schritt 9.13 gezeigten) Vorgehensweise beim Start von einer PXE-kom-
patiblen Netzwerkkarte überein.
9.5.6 Vorkonfiguration von Clientcomputern

씰 Vorkonfiguration von Clientcomputern für zusätzliche Sicherheit und zum
Lastausgleich
Standardmäßig bedient ein RIS-Server nach der Installation Anforderungen von
jedem Clientcomputer, der über DHCP eine IP-Adresse erhielt und im DHCP Dis-
cover-Paket die Adresse eines RIS-Servers angefordert hat, sofern Sie nicht festge-
legt haben, dass der Server nur Anforderungen von bekannten Computern bedienen
soll. Dies ist natürlich eine potenzielle Sicherheitslücke und erlaubt u.U. jedem
Benutzer die Installation eines Windows-2000-Professional-Image, der über ein
gültiges Domänenkonto mit Berechtigungen zum Zugriff auf die Antwortdatei ver-
fügt.
Um den Kreis der von einem RIS-Server bedienten Computer einzuschränken, müs-
sen Sie die Clientcomputer vorkonfigurieren, damit der RIS-Server ihre Identität
kennt. Dazu gehört auch die Festlegung, welcher RIS-Server von einem Client
benutzt werden soll, um eine Liste der verfügbaren Images zu erhalten und das
Bereitstellungsimage zu übertragen.
Bei der Vorkonfiguration eines Clientcomputers müssen Sie dessen GUID angeben
und vor Beginn der RIS-Installation ein Computerkonto in der Domäne erstellen.
Die GUID eines Clientcomputers als Bestandteil der PXE-Spezifikation wird vom
Hersteller geliefert. Sie befindet sich normalerweise auf einem Aufkleber im oder
am Computergehäuse und wird oft auch in den BIOS-Einstellungen angezeigt. Die
GUID ist immer 32 Zeichen lang und hat das Format
{dddddddd-dddd-dddd-dddd-dddddddddddd}
wobei d ein hexadezimaler Wert ist.
Auch wenn Ihr Clientcomputer keine PXE-fähige Netzwerkkarte enthält und Sie
eine Remotestartdiskette zur Bereitstellung des Windows-2000-Professional-Image
auf dem Clientcomputer verwenden, können Sie den Computer vorkonfigurieren.
Die GUID eines Computers, der von einer Remotestartdiskette gestartet wird, ist die
MAC-Adresse der Netzwerkkarte, die mit führenden Nullen auf 32 Zeichen verlän-
gert wird. Beispiel:
{00000000-0000-0000-0000-00104BF91001}
Nachdem Sie die GUID des Clientcomputers ermittelt haben, können Sie ihn mittels
Active Directory-Benutzer und -Computer vorkonfigurieren. Führen Sie dazu fol-
gende Schritte aus.

9.14 Vorkonfiguration eines Clientcomputers mit bekannter GUID
puter an.
3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, in der das
Computerkonto erstellt werden soll, zeigen Sie auf NEU, dann auf COMPU-
TER.
4. Geben Sie im Dialogfeld NEUES OBJEKT – COMPUTER, wie in Abbildung

9.77 gezeigt, den Namen des vorkonfigurierten Computers ein, und klicken
Sie auf WEITER.
Abbildung 9.77
Um einen Client-
computer vorzu-
konfigurieren, öff-
nen Sie das
Dialogfeld NEUES
OBJEKT – COMPUTER
zur Erstellung des
Computerkontos
5. Klicken Sie im nächsten Bildschirm, wie in Abbildung 9.78 gezeigt, in das

Kontrollkästchen VERWALTETER COMPUTER, und geben Sie die GUID des
Computers ein. Wenn Sie diese im richtigen Format eingegeben haben, sollte
die Schaltfläche WEITER verfügbar sein. Klicken Sie auf WEITER, um fortzu-
fahren.
6. Wie in Abbildung 9.79 gezeigt, können Sie nun festlegen, ob der Clientcom-
puter mit einem bestimmten oder mit einem beliebigen RIS-Server Verbin-
dung aufnehmen soll, um eine Liste von Images zur Installation von Win-
dows 2000 Professional zu erhalten. Wenn Sie den Client an einen
bestimmten RIS-Server binden möchten, aktivieren Sie diese Option und
geben Sie den voll qualifizierten DNS-Namen des RIS-Servers an. Klicken
Sie dann auf WEITER.
7. Im nächsten Bildschirm wird, ähnlich wie in Abbildung 9.80, eine Zusam-
menfassung der Einstellungen angezeigt. Falls alles stimmt, klicken Sie auf
FERTIG STELLEN, um die Vorkonfiguration des Clientcomputers abzuschlie-
ßen.
Abbildung 9.78
Geben Sie die

GUID des Compu-
ters ein, der vor-
konfiguriert werden
soll, und klicken Sie
auf WEITER, nach-
dem Sie das Kon-
trollkästchen VER-
WALTETER COMPUTER
aktiviert haben
Abbildung 9.79
Legen Sie in die-

sem Bildschirm
fest, ob der Client-
computer sich
zwecks Bereitstel-
lung an einen
bestimmten oder
an einen beliebigen
RIS-Server wenden
kann
In der letzten Schrittanleitung wurden Sie durch den Vorgang der Vorkonfiguration
für einen Clientcomputer mit bekannter GUID geführt. Vor allem bei älteren Compu-
tern ist die GUID manchmal nicht bekannt, etwa, wenn Sie eine Remotestartdiskette
verwenden und die MAC-Adresse der Netzwerkkarte nicht leicht zu finden ist. Sol-
che Computer können jedoch trotzdem vorkonfiguriert werden. Um einen Computer
mit unbekannter GUID vorzukonfigurieren, führen Sie die folgenden Schritte aus.
Abbildung 9.80
Im Zusammenfas-
sungsbildschirm
wird eine Liste der
auszuführenden
Aktionen und der
festgelegten Ein-
stellungen ange-
zeigt. Klicken Sie
auf FERTIG STELLEN,
um den Computer
vorzukonfigurieren

9.15 Vorkonfiguration eines Clientcomputers mit unbekannter GUID
1. Starten Sie den Clientcomputer von einer RIS-Clientstartdiskette und melden
Sie sich bei der Domäne an wie aufgefordert.
2. Wählen Sie eine Installationsoption, wenn Sie dazu aufgefordert werden, und
drücken Sie die Eingabetaste.
3. Wählen Sie ein Image, sofern eine Liste angezeigt wird, und drücken Sie die
Eingabetaste.
4. Wenn Sie eine Warnmeldung erhalten, drücken Sie die Eingabetaste. Die
GUID für den Clientcomputer wird auf dem Bildschirm angezeigt, und der
Computer ist nun vorkonfiguriert.
5. Schalten Sie den Computer aus, um zu verhindern, dass die Übertragung
eines RIS-Image eingeleitet wird.
Jetzt ist der RIS-Client vorkonfiguriert und kann ein RIS-Image von jedem RIS-Ser-
ver empfangen. Wenn Sie die Clientcomputer außerdem einem bestimmten RIS-
Server zuordnen möchten, können Sie dies im Dialogfeld EIGENSCHAFTEN FÜR DEN
RIS-CLIENTCOMPUTER in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER tun.
Eine letzte Aufgabe, die Sie ggf. noch erledigen können, ist die Konfiguration des
Servers, sodass er nur vorkonfiguriert Clients bedient. Hierzu aktivieren Sie das
Kontrollkästchen UNBEKANNTEN CLIENTS NICHT ANTWORTEN im Register REMO-
TEINSTALLATION für den RIS-Server, wie in Abbildung 9.81 gezeigt.
Abbildung 9.81
Um sicherzustellen,
dass der RIS-Ser-
ver nur Anforderun-
gen von vorkonfigu-
rierten Clients
bedient, aktivieren
Sie das Kontroll-
kästchen UNBE-
KANNTEN CLIENTS
NICHT ANTWORTEN in
der Registerkarte
REMOTEINSTALLATI-
ON für den RIS-Ser-
ver
Bis hierher haben Sie den Prozess der Installation und Konfiguration, einschließlich
Autorisierung, von Remoteinstallationsdienste auf Computern mit Windows 2000
Server, Advanced Server oder Data Center Server durchlaufen. Sie haben ferner ein
CD-basiertes Image erstellt und sind den Prozess der Erstellung eines RIPrep-Image
auf Grundlage einer Quellcomputerkonfiguration durchgegangen. Anschließend
haben Sie den Images und den Computern Berechtigungen zugeordnet, damit nur
die Computer RIS verwenden können, deren GUID in Active Directory bekannt ist.
Sie haben die Berechtigungen dann weiter verfeinert, sodass bestimmte Clients nur
von einem bestimmten Server mit einem bestimmten Image installieren können.
Darüber hinaus haben Sie die notwendigen Hardwarevoraussetzungen für RIS-Cli-
entcomputer ermittelt und sind den Prozess der Erstellung einer Remotestartdiskette
für Computer ohne PXE-fähige Netzwerkkarte durchgegangen. Aber auch wenn Sie
dies alles wissen und sichergestellt haben, dass sämtliche Voraussetzungen erfüllt
sind, können dennoch Probleme auftreten.
9.6 Fehlersuche bei

Clientcomputer erhalten Höchstwahrscheinlich ist Prüfen Sie zuerst, ob Nicht-

keine IP-Adresse. Beim ein Windows-2000- RIS-Clients eine IP-Adresse
Startvorgang wird keine DHCP-Server nicht von DHCP erhalten. Wenn
DHCO-Meldung angezeigt. verfügbar. nicht, prüfen Sie, ob Ihr
DHCP-Server aktiv ist. Wenn
ja, prüfen Sie, ob der DHCP-
Server ein Windows-2000-
DHCP-Server ist, d.h. in
Active Directory autorisiert
wurde, und dass es kein
Windows-NT-4.0-DHCP-
Server ist. Ist dies der Fall, so
verifizieren Sie, dass sich
Client und DHCP-Server in
unterschiedlichen physischen
Subnetzen befinden, und dass
ein DHCP-Relay-Agent im
gleichen Subnetz wie der RIS-
Clientcomputer verfügbar ist
und funktioniert. Stellen Sie
schließlich sicher, dass dem
DHCP-Server Adressen zum
Verleasen zur Verfügung
stehen, und dass der Gültig-
keitsbereich von DHCP akti-
viert wurde.
Clients erhalten eine IP- Die wahrscheinlichste Bringen Sie den RIS-Server
Adresse, aber es wird keine Ursache für dieses online und autorisieren Sie ihn.
BINL-Meldung angezeigt, Problem ist, dass der
die auf eine Verbindung mit RIS-Server nicht online
dem RIS-Server hinweist. ist. Eine weitere
mögliche Ursache
könnte sein, dass der
RIS-Server zwar online
ist, aber in Active Direc-
tory nicht autorisiert
wurde.
Tabelle 9.1: Probleme bei Remoteinstallationsdienste

9.6 Fehlersuche bei Remoteinstallationsdienste 759
Clientcomputer können die Dies wird höchstwahr- Stoppen Sie den NetPC Boot
Übertragung eines Image scheinlich von einem Service Manager Service, und
nicht starten. hängenden NetPC Boot starten Sie ihn neu.
Service Manager
(BINLSVC) auf dem
RIS-Server verursacht.
In dieser Situation wird
auf dem Client die
BINL-Meldung ange-
zeigt, die darauf
hinweist, dass mit einem
RIS-Server Kontakt
aufgenommen wurde,
aber weiter geschieht
nichts.
Clients, die eine Remote- Die wahrscheinlichste Prüfen Sie, ob die Netzwerk-
startdiskette verwenden, Ursache für dieses karte in der Adapterliste des
können keine Verbindung Problem ist, dass der Programms Remotestart-
mit dem RIS-Server Clientcomputer eine Diskettenerstellung angezeigt
herstellen. Netzwerkkarte enthält, wird. Wenn nicht, ersetzen Sie
die von der Remotestart- die Netzwerkkarte durch eine
diskette nicht unterstützt aus der Liste.
wird.
Durch Drücken auf (F12) Die wahrscheinlichste Wechseln Sie die Netzwerk-
wird ein Remotestart einge- Ursache für dieses karte oder das Boot-ROM aus,
leitet, aber der Client kann Problem ist, dass die um dieses Problem zu
keine Verbindung mit dem PXE-fähige Netzwerk- beheben. Dieses Problem kann
RIS-Server herstellen. karte ein Boot-ROM mit auch auftreten, wenn der RIS-
einer älteren Version als Server nicht in Betrieb ist.
.99c enthält. Die Version Stellen Sie sicher, dass ein
des Boot-ROM für PXE RIS-Server betriebsbereit ist.
muss .99c oder neuer
sein. Bei einigen Netz-
werkkarten kann Version
.99i notwendig sein,
damit sie richtig funktio-
nieren.

Installationsoptionen sind Die wahrscheinlichste Überprüfen Sie die GPO-

wider Erwarten für einen Ursache für dieses Rangfolge für den Benutzer.
Benutzer nicht verfügbar. Problem sind Konflikte
bei Gruppenrichtlinien.
Wenn für den Benutzer
ein GPO auf Organisati-
onseinheitenebene defi-
niert ist, könnte ein GPO
auf höherer Ebene die
Einstellung Kein
Vorrang aktiviert haben
und ebenfalls Konfigura-
tionseinstellungen für
RIS enthalten.
Wie Sie gesehen haben, hat die Mehrzahl der Probleme bei RIS damit zu tun, dass
notwendige Unterstützungsserver nicht verfügbar sind oder Clientkomponenten
nicht ganz einwandfrei funktionieren. Wie immer gewährleistet sorgfältige Planung
aller Aspekte von RIS sowie der Gruppenrichtlinienelemente, die RIS beeinflussen,
eine robuste und (zum größten Teil) problemlose Installation.
Fallstudie: Verwendung von Remoteinstallationsdienste

zur Bereitstellung von Windows 2000 Professional für
neue Desktop-Computer bei der Sonnenschein-Brauerei

Eine Anzahl von Desktops bei der Sonnenschein-Brauerei kommt langsam in
die Jahre, und es wurde die Implementierung einer kapitalen Akquisitionsstra-
tegie beschlossen, um diese alternden Computer auszuwechseln. Die Anzahl
der zu beschaffenden neuen Desktops wird auf 2500 geschätzt, wovon 500 für
Forschung und Entwicklung, 235 für Manager, 500 für IT und der Rest für die
Verwaltung vorgesehen sind. Der Verkauf hat vor kurzem neue Notebooks
erhalten, sodass dort keine neuen Computer benötigt werden. Alle Computer
sind mit Pentium III 650 MHz ausgestattet, der auf der Hardwarekompatibili-
tätsliste von Windows 2000 steht. Jeder Computer verfügt über mindestens
256 Mbyte RAM und eine Festplatte von 12 Gbyte. Alle neuen Computer sind
mit PCI-100-BASE-TX-Netzwerkkarten des Typs INTEL Pro/100+ ausgestat-
tet, die ein PXE-Boot-ROM der Version .99c oder neuer aufweisen.
Fallstudie: Verwendung von Remoteinstallationsdienste 761
Die Computer der Abteilung Forschung und Entwicklung sollen nur das Basis-
betriebssystem Windows 2000 Professional enthalten, weil die Zusatzanwen-
dungen, die in dieser Abteilung installiert werden müssen, sehr spezialisiert
sind. Unternehmensweit eingesetzte Anwendungen wie etwa Office 2000 wer-
den nach der Konfiguration der Computer mit Windows 2000 Professional über
Gruppenrichtlinien bereitgestellt. Die Namen von Computern der Abteilung
Forschung und Entwicklung sollen in der OU Forschung und Entwicklung vor-
konfiguriert werden, um zu gewährleisten, dass nur die für diese Abteilung vor-
gesehenen Computer in dieser Organisationseinheit erstellt werden und deren
Berechtigungen erben.
Die Computer der Manager sollen Office 2000 Professional sowie die Berichts-
software für das ERP-Paket enthalten. Zusätzlich benötigte Anwendungen wer-
den manuell oder über Gruppenrichtlinien installiert. Die Computer sollen vor-
Die IT-Computer sollen ebenfalls nur Windows 2000 Professional enthalten
sowie die Verwaltungsprogramme für Active Directory und das Windows 2000
Resource Kit.
Auf den Computern der Verwaltung soll die derzeitige Desktopkonfiguration
nachgebildet werden, und sie müssen nicht vorkonfiguriert werden.
씰 Die Bereitstellung für alle Computer, mit Ausnahme von Forschung und
Entwicklung, soll von IT-Mitarbeitern an den verschiedenen Standorten
per Installation über das Netzwerk durchgeführt werden. Sie möchten
ggf. sicherstellen, dass das DFÜ-Netzwerk nicht zur Übertragung der für
die Betriebssysteminstallation benötigten Dateien verwendet wird (d.h.,
dass jeder Standort einen eigenen Server als Quelle für die Bereitstellung
des Betriebssystems besitzt).
Die Bereitstellung von Windows 2000 Professional auf neuen Desktop-Com-
putern kann schon für sich genommen, und erst recht mit zusätzlichen
Anwendungen, ein zeitraubender Vorgang sein. In diesem Kapitel wurden
Remoteinstallationsdienste und ihre Nutzung zur Beschleunigung der Betriebs-
systembereitstellung sowie, mittels RIPrep-Image, zur Beschleunigung der
Bereitstellung zusätzlicher Anwendungen vorgestellt. Sie werden sehen, wie
dies zur Lösung eines Problems bei der Sonnenschein-Brauerei eingesetzt wer-
den kann.
Situationsanalyse
Die einfache Lösung des Problems ist die Komponente Remoteinstallations-
dienste von Windows 2000. Weil alle neuen Computer mit einer PXE-fähigen
Netzwerkkarte einer geeigneten Version bestückt sind und sich alle Kompo-
nenten der Computer auf der HCL befinden, brauchen Sie sich während der
Bereitstellung nicht mit seltsamen Problemen (außer Hardwareproblemen)
herumzuschlagen.
Um den Erfolg der Bereitstellung zu gewährleisten, würden Sie folgende
Schritte ausführen:
씰 Installation und Konfiguration eines RIS-Servers an jedem Standort.
씰 Laden eines ersten CD-basierten Image namens Standard Windows 2000
Professional Install auf jedem RIS-Server während der Konfiguration.
씰 Autorisieren aller RIS-Server in Active Directory.
씰 Sicherstellen, dass an jedem Standort ein DHCP-Server vorhanden und
in Active Directory autorisiert ist.
씰 Erstellung eines RIPrep-Image (einschließlich der Anwendungen) von
einem typischen Managercomputer, und Kopieren dieses Image auf
jeden RIS-Server, der Managercomputer bedienen soll.
씰 Vorkonfiguration der Managercomputer mittels Active Directory-Benut-
zer und -Computer und der jeweiligen GUID.
씰 Erstellung eines RIPrep-Image für die Benutzer aus der Verwaltung von
einem typischen Verwaltungscomputer, wie er derzeit vorhanden ist.
Dieses Image wird auf alle RIS-Server in allen Standorten kopiert, in
denen Verwaltungscomputer erstellt werden.
씰 Erstellung eines RIPrep-Image mit der Konfiguration der IT-Benutzer
und Kopieren desselben an alle Standorte, an denen IT-Mitarbeiter ange-
siedelt sind.
씰 Zuordnung von Berechtigungen zur Erstellung von Computerkonten in
der OU Forschung und Entwicklung für die Sicherheitsgruppe For-
schung und Entwicklung, und Veranlassung des Vorkonfiguration für
diese Computer.
씰 Start aller Computer von der Netzwerkkarte und Auswahl des passenden
Image zur Installation.
Zusammenfassung 763
Mit dieser Liste von Schritten und Konfigurationseinstellungen können Sie

Windows 2000 Professional und alle notwendigen Anwendungen für jede
Klasse von Benutzercomputern nach Bedarf bereitstellen.
Zusammenfassung
Remoteinstallationsdienste ist eine Komponente der Technologie IntelliMirror von

Windows 2000, welche die Bereitstellung von Windows-2000-Professional-Images
auf einem Clientcomputer während der Startphase ermöglicht.
RIS unterstützt Clients, welche die Spezifikation NetPC einhalten. Dazu ist eine
Netzwerkkarte mit einem PXE-fähigen Boot-ROM der Version .99c oder neuer
erforderlich. Auch Clientcomputer ohne PXE-fähige Netzwerkkarte können durch
Erstellung einer Remotestartdiskette mittels RIS bereitgestellt werden. Solche Cli-
ents müssen mit einer von der Remotestartdiskette unterstützten Netzwerkkarte
bestückt sein.
Auf der Serverseite muss RIS auf einem Computer mit Windows 2000 Server,
Advanced Server oder Data Center Server installiert werden. Der RIS-Server hängt
von anderen Windows-2000-Technologien ab, darunter Active Directory und
DHCP. Ein RIS-Server muss in Active Directory autorisiert werden, damit er Cli-
ents, die Windows 2000 Professional installieren möchten, mit Images versorgen
kann.
Die Installation von RIS-Server geschieht mit Hilfe von WINDOWS-KOMPONENTEN

HINZUFÜGEN/ENTFERNEN in SOFTWARE unter SYSTEMSTEUERUNG oder durch Kon-
figuration des Servers. Bei Installation von RIS werden alle von RIS benötigten
Dateien installiert. Sie müssen jedoch den RIS-Server auch konfigurieren. Dabei
wird ein erstes CD-basiertes Image auf dem Server erstellt, und es werden alle für
RIS notwendigen Dienste gestartet, darunter Trivial File Transfer Protocol, Single
Instance Store und der Dienst Startdienst-Manager.
Die zur Bereitstellung von Windows 2000 Professional mittels RIS verwendeten
Images können CD-basierte Images oder RIPrep-Images (Images für die Remotein-
stallationsdienstevorbereitung) sein. CD-basierte Images enthalten jeweils eine
Kopie der zur Installation von Windows 2000 Professional benötigten Dateien, und
ihre Installation verläuft genauso wie eine unbeaufsichtigte Installation von der
Windows-2000-Professional-CD. Mit RIPrep-Images können Sie Windows 2000
Professional sowie weitere Anwendungen auf einem Quellcomputer konfigurieren,
in einem gemeinsamen RIS-Ordner ein Image erstellen, das die gesamte Computer-
konfiguration enthält, und dieses für Zielcomputer bereitstellen. RIPrep-Images bie-

ten die schnellste Bereitstellungsmöglichkeit für Betriebssystem und Anwendun-
gen.
Ein einzelner RIS-Server kann mehrere Images aufnehmen. Images können in einer
separaten Partition im NTFS-Format gespeichert werden, aber aus Leistungsgrün-
den empfiehlt sich die Speicherung der Images auf einer eigenen physischen Fest-
platte. In einem Netzwerk können mehrere RIS-Server vorhanden sein. Zum Last-
ausgleich empfiehlt es sich, häufig verwendete Images auf mehrere Server zu
kopieren.
Clientcomputer können vorkonfiguriert werden, was voraussetzt, dass Sie deren

GUIDs kennen. Vorkonfiguration umfasst die Erstellung des Computers mittels
Active Directory-Benutzer und -Computer in einem geeigneten Active Directory-
Container. Die GUID findet sich im BIOS des Computers oder auf einem Aufkleber
des Herstellers. Computer, für die eine Remotestartdiskette benötigt wird, können
ebenfalls vorkonfiguriert werden, indem die MAC-Adresse der Netzwerkkarte mit
führenden Nullen auf das Format einer GUID gebracht wird.
Sie können die Verwendung eines bestimmten Images für die Installation einschrän-
ken, indem Sie der damit verknüpften Antwortdatei Berechtigungen zuordnen.
Benutzer, die Windows 2000 Professional auf einem nicht vorkonfigurierten Com-
puter installieren, müssen die Berechtigung zum Erstellen von Computerobjekten
innerhalb des Containers, in dem das Computerkonto erstellt werden soll, besitzen.
Dieser Container kann, ebenso wie das Namensformat für neue Computerkonten, in
Active Directory-Benutzer und -Computer unter Eigenschaften für den RIS-Server
Um die Installation von Windows 2000 Professional mittels RIS zu beginnen, müs-
sen Sie sicherstellen, dass die PXE-fähige Netzwerkkarte das erste Startgerät auf
dem Computer ist, oder, bei Verwendung einer Remotestartdiskette, dass das Dis-
kettenlaufwerk das Startgerät ist. Während der Startphase drückt der Benutzer die
Taste (F12), um einen gestaffelten Ladevorgang einzuleiten, worauf der DHCP-Ser-
ver aufgefordert wird, dem Computer eine IP-Adresse zu geben und ihn mit einem
RIS-Server zu verbinden. Vorkonfigurierte Clients können so konfiguriert werden,
dass ihr Image direkt von einem bestimmten RIS-Server übertragen wird, damit
gewährleistet ist, dass der Client das benötigte Image erhält.
Schlüsselbegriffe
쎲 Active Directory 쎲 Quellcomputer
쎲 Antwortdatei 쎲 rbfg.exe (Remotestart-
Diskettenerstellung)
쎲 Assistent für die Installation 쎲 Remoteinstallationsdienste
und Konfiguration von Remo- (RIS)
teinstallationsdienste
(RISETUP)
쎲 Autorisierung eines RIS- 쎲 Remoteinstallationsvorberei-
Servers tung (RIPrep)
쎲 Beschränkung von Images 쎲 Remotestartdiskette
쎲 CD-basiertes Image 쎲 RIS-Image
쎲 DHCP (Dynamic Host Confi- 쎲 SIS-Dienst, Single Instance
guration Protocol) Store
쎲 DNS-Server (Domain Name 쎲 Sysprep-Programm
System-Server)
쎲 GUID (Global eindeutiger 쎲 TFTP (Trivial File Transfer
Kennzeichner) Protocol)
쎲 Installations-Manager 쎲 Vorkonfiguration
쎲 MAC-Adresse (Media Access 쎲 Zielcomputer
Control-Adresse)
쎲 PXE (Pre-boot execution
environment)
Lernzielkontrolle
Übungen
In den folgenden Übungen werden Sie Remoteinstallationsdienste auf Ihrem Win-
dows-2000-Server-Computer installieren, RIS konfigurieren und das erste CD-
basierte Image erstellen, Berechtigungen für das Image festlegen, eine Remotestart-
diskette erstellen sowie das Image auf einem Clientcomputer mit einer PXE-fähigen
Netzwerkkarte bzw. einer von der Remotestartdiskette unterstützten Netzwerkkarte
bereitstellen.
Die Übungen 1 bis 4 können auf einem einzelnen Windows-2000-Server, Advan-

ced-Server oder Data-Center-Server durchgeführt werden, der Mitgliedsserver oder
Domänencontroller in einer Active Directory-Domäne ist. Für Übung 5 ist ein wei-
terer Computer mit einer PXE-fähigen oder von der Remotestartdiskette unterstütz-
ten Netzwerkkarte erforderlich. Auf der Festplatte des in Übung 5 zu verwendenden
Clientcomputers sollte keine Partition eingerichtet sein.
Stellen Sie bei Ihrem RIS-Server sicher, dass der DHCP-Serverdienst installiert und
in Active Directory autorisiert wurde (dies ist notwendig, damit der RIS-Server Cli-
entanforderungen bedienen kann), und dass der DHCP-Server mindestens für einen
für Ihr LAN gültigen Bereich von IP-Adressen konfiguriert ist. Sie können auch
weitere Einstellungen konfigurieren, wie etwa Gateway-Adresse, DNS-Server usw.
Stellen Sie außerdem sicher, dass sich auf der Festplatte mindestens zwei Partitio-
nen befinden, von denen eine mit NTFS formatiert ist und sich von derjenigen
unterscheidet, in der Windows 2000 Server installiert ist.
Die Übungen setzen voraus, dass eine OU Forschung sowie eine Sicherheitsgruppe
EINGESCHRÄNKTE ENTWICKLER vorhanden ist (diese wurden in den Übungen zu
den Kapiteln 6 bis 8 verwendet). Ist dies nicht der Fall, so erstellen Sie die OU
sowie die Sicherheitsgruppe und einen Benutzer, der Mitglied der Sicherheits-
gruppe EINGESCHRÄNKTE ENTWICKLER werden soll.
9.1 Installation von Remoteinstallationsdiensten

In dieser Übung installieren Sie RIS auf Ihrem Windows-2000-Server-Computer.
Geschätzte Zeit: 20 bis 25 Minuten.
1. Melden Sie sich bei Ihrem Computer als Domänenadministrator an.

2. Wählen Sie im Startmenü EINSTELLUNGEN, dann SYSTEMSTEUERUNG.
3. Doppelklicken Sie in der Systemsteuerung auf SOFTWARE.
4. Wählen Sie in SOFTWARE WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFER-
NEN, um den Assistenten für Windows-2000-Komponenten zu öffnen.
5. Rollen Sie auf der Seite WINDOWS-KOMPONENTEN die Liste unter Kompo-
nenten abwärts, bis REMOTEINSTALLATIONSDIENSTE angezeigt wird. Markie-
ren Sie diese und klicken Sie auf WEITER.
6. Wenn das Dialogfeld ERFORDERLICHE DATEIEN angezeigt wird, legen Sie die
Windows-2000-Server-CD-ROM in das Laufwerk ein, geben Sie den Spei-
cherort der Windows-2000-Server-Dateien an und klicken Sie auf OK.
7. Wenn das Dialogfeld FERTIGSTELLEN des Assistenten angezeigt wird, kli-
cken Sie auf FERTIG STELLEN.
8. Wenn Sie zum Neustart Ihres Computers aufgefordert werden, klicken Sie
auf JA.
9.2 Konfiguration von RIS und Installation des ersten Image
In dieser Übung konfigurieren Sie Remoteinstallationsdienste und installieren das
erste CD-basierte Image für Windows 2000 Professional.
1. Melden Sie sich bei Ihrem RIS-Server als Domänenadministrator an.

3. Doppelklicken Sie in der SYSTEMSTEUERUNG auf SOFTWARE. Der Bildschirm
WINDOWS-KOMPONENTEN HINZUFÜGEN/ENTFERNEN wird angezeigt.
4. Klicken Sie unterhalb von Setup-Dienste neben REMOTEINSTALLATIONS-
DIENSTE KONFIGURIEREN auf KONFIGURIEREN.
5. Klicken Sie beim Start des Assistenten zur Installation der Remoteinstallati-
onsdienste auf WEITER, um den Einführungsbildschirm zu übergehen.
6. Wenn Sie nach dem Speicherort Ihres Installationsordners gefragt werden,
stellen Sie sicher, dass der Standardpfad D:\REMOTE-INSTALL (bzw. der ent-
sprechende Pfad mit dem angezeigten Laufwerkbuchstaben) auf eine NTFS-
Partition verweist, die nicht die Systempartition ist. Wenn Sie einen anderen
Speicherort festlegen möchten, tun Sie dies. Klicken Sie auf WEITER, um fort-
zufahren.
7. Wenn das Dialogfeld ANFANGSEINSTELLUNGEN angezeigt wird, deaktivieren
Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN,
8. Legen Sie die Windows-2000-Professional-CD in das Laufwerk ein. Wenn
das Fenster Windows-2000-Professional-CD angezeigt wird, schließen Sie
es.
9. Wen Sie nach dem Speicherort der Windows 2000 Professional-Dateien ge-
fragt werden, geben Sie Laufwerk:\i386 ein, wobei Laufwerk der Buchstabe
für Ihr CD-ROM-Laufwerk ist (Beispiel: e:\i386). Klicken Sie auf WEITER,
um fortzufahren.
10. Wenn Sie nach dem Ordner gefragt werden, in dem das erste CD-basierte
Image von Windows 2000 Professional gespeichert werden soll, behalten Sie
den Standardwert WIN2000.PRO bei und klicken Sie auf WEITER.
11. Wenn Sie zur Eingabe eines angezeigten Namens und einer Beschreibung für
das Image aufgefordert werden, geben Sie diese ein, um das Standardimage
zu identifizieren, oder behalten Sie den vordefinierten Text bei, und klicken
Sie auf WEITER.
12. Wenn das Dialogfeld EINSTELLUNGEN ÜBERPRÜFEN angezeigt wird, stellen
Sie sicher, dass die Einstellungen korrekt sind, und klicken Sie dann auf FER-
TIG STELLEN.
13. Der Assistent zur Installation der Remoteinstallationsdienste erstellt nun den
gemeinsamen RIS-Ordner, kopiert die von RIS benötigten Dateien sowie die
Windows-2000-Professional-Dateien in den Image-Ordner, erstellt eine Ant-
wortdatei für das Image, konfiguriert RIS, aktualisiert die Registrierung, er-
stellt einen SIS-Datenträger und startet den Dienst RIS.
14. Beenden Sie SOFTWARE
15. Schließen Sie SYSTEMSTEUERUNG.
9.3 Absicherung des Image und Gewährung des Rechts zur
Erstellung eines Computerkontos in der OU Forschung
In dieser Übung konfigurieren Sie RIS-Serveroptionen so, dass das während der
Bereitstellung von Windows 2000 Professional erstellte Computerkonto in der OU
FORSCHUNG (d.h. in derselben OU wie das Benutzerkonto) eingerichtet wird.
Anschließend werden Sie der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER
die Berechtigungen zur Erstellung des Computerkontos zuordnen. Schließlich wer-
den Sie der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER die Berechtigungen
zum Zugriff auf die Antwortdatei für das Image zuordnen und diese aus der Gruppe
JEDER entfernen, sodass nur Mitglieder dieser Sicherheitsgruppe das Image instal-
lieren können.
Führen Sie folgende Schritte aus, um RIS so zu konfigurieren, dass das Computer-
konto in der OU Forschung erstellt wird:

2. Wählen Sie im Startmenü VERWALTUNG, dann ACTIVE DIRECTORY-BENUT-
ZER UND -COMPUTER.
3. Suchen Sie Ihren RIS-Server in der MMC-Konsole, klicken Sie mit der rech-
ten Maustaste darauf, und wählen Sie EIGENSCHAFTEN.
4. Klicken Sie im Dialogfeld EIGENSCHAFTEN des Computers auf das Register
REMOTEINSTALLATION.
5. Klicken Sie auf der Registerkarte REMOTEINSTALLATION auf ERWEITERTE

EINSTELLUNGEN.
6. Aktivieren Sie im Dialogfeld EIGENSCHAFTEN FÜR REMOTEINSTALLATIONS-
DIENSTE auf der Registerkarte NEUE CLIENTS im Bereich DAS CLIENTCOM-
PUTERKONTO AN FOLGENDER STELLE IM VERZEICHNISDIENST ERSTELLEN die
Option AN DERSELBEN STELLE WIE DIE BENUTZEREINSTELLUNGEN DES
COMPUTERS, und klicken Sie auf OK.
7. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den RIS-Server
zu schließen.
9.4 Vergabe des Rechts zur Erstellung von Computerkonten in der
OU Forschung an die Sicherheitsgruppe Eingeschränkte
Entwickler
2. Wählen Sie im Startmenü PROGRAMME, VERWALTUNG und dann ACTIVE DI-
RECTORY-BENUTZER UND -COMPUTER.
3. Suchen Sie die OU Forschung, klicken Sie mit der rechten Maustaste darauf,
und wählen Sie OBJEKTVERWALTUNG ZUWEISEN.
4. Klicken Sie beim Start des Assistenten für die Zuweisung der Objektverwal-
tung auf WEITER.
5. Klicken Sie im Bildschirm BENUTZER UND GRUPPEN auf HINZUFÜGEN, mar-
kieren Sie in der Liste die Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER,
klicken Sie auf HINZUFÜGEN, dann auf OK. Sie kehren zum Bildschirm BE-
NUTZER UND GRUPPEN zurück. Klicken Sie auf WEITER.
6. Aktivieren Sie die Option BENUTZERDEFINIERTE AUFGABEN ZUM ZUWEISEN

ERSTELLEN und klicken Sie auf WEITER.
7. Aktivieren Sie im Dialogfeld ACTIVE DIRECTORY-OBJEKTTYP die Option

DIESEM ORDNER, BESTEHENDEN OBJEKTEN IN DIESEM ORDNER UND DEM ER-
STELLEN NEUER OBJEKTE IN DIESEM ORDNER, und klicken Sie auf WEITER.
8. Stellen Sie sicher, dass im Bildschirm BERECHTIGUNGEN die Optionen ALL-

GEMEIN und ERSTELLEN/LÖSCHEN der Berechtigungen von bestimmten un-
tergeordneten Objekten aktiviert sind. Rollen Sie das Dialogfeld
BERECHTIGUNGEN abwärts, bis Sie »COMPUTER«-OBJEKTE ERSTELLEN fin-
den, markieren Sie diese Option und klicken Sie dann auf WEITER.
9. Überprüfen Sie Ihre Einstellungen im Bildschirm FERTIGSTELLEN des Assisten-
ten, und klicken Sie auf FERTIG STELLEN, um die Änderungen durchzuführen.
9.5 Absicherung des Windows-2000-Professional-Image

2. Wählen Sie im Startmenü PROGRAMME, ZUBEHÖR und dann WINDOWS EX-
PLORER.
3. Navigieren Sie mit Windows Explorer in Ihrem RIS-Ordner, bis Sie unter
dem Ordner, der das Standardimage enthält, eine Datei namens RISTNDRD.SIF
gefunden haben. Ein möglicher Speicherort dafür könnte
D:\REMOTE-INSTALL\SETUP\ENGLISH\IMAGES\WIN2000.PRO\I386\TEMPLATES
sein, falls Sie das Image in einem Ordner namens WIN2000.PRO gespeichert
und den RIS-Ordner RemoteInstall genannt haben.
4. Klicken Sie mit der rechten Maustaste auf RISTNDRD.SIF, und wählen Sie EI-
GENSCHAFTEN.
5. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf das Register SICHERHEITS-

EINSTELLUNGEN.
6. Deaktivieren Sie auf der Registerkarte die Option VERERBBARE ÜBERGEORD-

NETE BERECHTIGUNGEN ÜBERNEHMEN, und klicken Sie im Dialogfeld SI-
CHERHEITSEINSTELLUNGEN, das geöffnet wird, auf KOPIEREN.
7. Entfernen Sie auf der Registerkarte SICHERHEITSEINSTELLUNGEN die Gruppe

JEDER, und fügen Sie die Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER
hinzu. Überprüfen Sie, ob die Sicherheitsgruppe EINGESCHRÄNKTE ENT-
WICKLER die Berechtigungen LESEN und LESEN, AUSFÜHREN für die Datei
besitzt.
8. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für die Datei zu
schließen.
9. Beenden Sie WINDOWS EXPLORER.
9.6 Erstellung einer Remotestartdiskette (Optional)
Diese Übung muss durchgeführt werden, wenn Ihr Clientcomputer kein PXE-fähi-
ges Boot-ROM aufweist. Wenn Ihr Clientcomputer dieses Merkmal aufweist, brau-
chen Sie keine Remotestartdiskette zu erstellen.
1. Melden Sie sich bei einem Windows-2000-Computer als Administrator an.

2. Wählen Sie AUSFÜHREN im Startmenü.
3. Geben Sie im Dialogfeld AUSFÜHREN Folgendes ein:
\\<RIS_SERVER>\reminst\admin\i386\rbfg.exe
dabei ist <RIS_SERVER> der Name Ihres RIS-Servers. Klicken Sie auf OK. Da-
mit wird die Windows-2000-Remotestart-Diskettenerstellung gestartet.
4. Klicken Sie auf ADAPTERLISTE, um eine Liste unterstützter Netzwerkkarten
anzuzeigen und zu prüfen, ob Ihre Netzwerkkarte unterstützt wird.
5. Legen Sie eine leere, formatierte Diskette in Ihr Diskettenlaufwerk ein und
klicken Sie auf Diskette erstellen, um die Remotestartdiskette zu erstellen.
9.7 Bereitstellung von Windows 2000 mittels
In dieser Übung stellen Sie mit Hilfe von Remoteinstallationsdienste Windows
2000 bereit.
1. Wechseln Sie auf dem Clientcomputer in das BIOS Setup, und überprüfen
Sie, ob die PXE-fähige Netzwerkkarte das erste Startgerät ist. Wenn Sie eine
Remotestartdiskette verwenden, prüfen Sie, ob das Diskettenlaufwerk das
erste Startgerät ist.
2. Falls Sie eine Remotestartdiskette verwenden, legen Sie diese in das Lauf-
werk ein. Starten Sie den Clientcomputer.
3. Drücken Sie auf einem PXE-fähigen Computer während der Startphase die
Taste (F12). Drücken Sie bei Verwendung einer Remotestartdiskette (F12),
wenn Sie dazu aufgefordert werden.
4. Wenn Sie dazu aufgefordert werden, drücken Sie erneut (F12), um den Assis-
tenten für die Clientinstallation zu übertragen und zu starten.
5. Wenn Sie aufgefordert werden, sich anzumelden, tun Sie dies als Benutzer
TimC mit dem Kennwort password. TimC ist ein Benutzer in der Sicherheits-
gruppe EINGESCHRÄNKTE ENTWICKLER. Wenn Sie in der Sicherheitsgruppe
einen Benutzer anderen Namens erstellt haben, melden Sie sich unter diesem
Benutzernamen an.
6. Aktivieren Sie AUTOMATISCHE INSTALLATION in der Liste verfügbarer In-
stallationsoptionen, um Windows 2000 Professional mit den Standardeinstel-
lungen zu installieren.
7. Wenn Sie nach dem zu installierenden Image gefragt werden, wählen Sie das-
jenige, für das Sie Berechtigungen definiert haben. Sie sollten nicht nach ei-
nem Image gefragt werden, weil in den vorangegangenen Übungen lediglich
ein Image auf Ihrem RIS-Server installiert wurde.
8. Folgen Sie ggf. den Aufforderungen während der Installation.
Wiederholungsfragen
1. Welche Arten von Images können mit RIS bereitgestellt werden?
2. Welche Berechtigungen benötigt ein Benutzer zur Konfiguration eines Cli-
entcomputers mit Hilfe von Remoteinstallationsdienste?
3. Welche Vorteile bietet die Vorkonfiguration von Clients für den Administra-
tor?
4. Welcher RIS-Server bedient standardmäßig die Anforderung eines Clients,
ein Betriebssystem auf dem Clientcomputer zu installieren?
5. Sie müssen Clientcomputer nach der MAC-Adresse des Netzwerkadapters
mit vorangestelltem PC- benennen. Wie kann dies erreicht werden?
6. Sie müssen sicherstellen, dass auch gemeinsame Netzwerkdrucker auf einem
Clientcomputer installiert werden, der mittels RIS bereitgestellt wird. Wie
schaffen Sie das?
7. Sie möchten Windows 2000 Professional auf neuen Computern bereitstellen,
die in Ihrer Buchhaltungsabteilung verwendet werden sollen. Das Manage-
ment hat entschieden, dass auf keinem Computer in der Organisation Spiele
installiert werden dürfen. Wie können Sie RIS konfigurieren, damit auf die-
sen neuen Computern keine Spiele installiert werden?
8. Ihr Unternehmen hat vor kurzem 100 neue Notebooks für das Verkaufsperso-
nal angeschafft. Sie möchten die Bereitstellung von Windows 2000 Professi-
onal mit Microsoft Office 2000 und mehreren hausintern entwickelten
Anwendungen auf diesen Notebooks vereinfachen. Wie hilft Ihnen RIS, die
Bereitstellung zu vereinfachen?
9. Welche Taste müssen Sie bei einem Clientcomputer drücken, bevor mit der
Bereitstellung von Windows 2000 Professional begonnen werden kann?
10. Welche Aktionen werden bei der Konfiguration von Remoteinstallations-
dienste vom Assistenten zur Installation der Remoteinstallationsdienste erle-
digt?
Prüfungsfragen
1. Sie wurden vor kurzem von SoftLogic Inc. eingestellt, um bei der Konfigura-
tion und Bereitstellung von Clientcomputern mittels RIS zu helfen. Es wurde
beschlossen, bei allen Computern im Netzwerk die 1-Gbyte-Festplatten durch
neue 10-Gbyte-Festplatten zu ersetzen und ein CD-ROM-Laufwerk zu instal-
lieren. Die vorhandenen Computer enthalten Pentium-166-CPUs, 32 Mbyte
RAM und ISA-Netzwerkkarten mit 10 Mb/s.
Welche zusätzlichen Upgrades für die Clientcomputer würden Sie mindes-

tens empfehlen, um den Erfolg einer Bereitstellung auf RIS-Basis zu gewähr-
leisten? (Wählen Sie zwei Antworten aus.)
A. CPU Pentium 233
B. 128 Mbyte RAM
C. ISA-Netzwerkkarte mit 100 Mb/s
D. PCI-Netzwerkkarte mit 10 Mb/s

E. 64 Mbyte RAM
2. Welche Dienste müssen ausgeführt werden, bevor RIS installiert und konfi-
guriert werden kann? (Wählen Sie alle korrekten Antworten aus.)
A. WINS
B. DHCP
C. DNS
D. Trivial File Transfer Protocol
E. Active Directory
F. Single Instance Storage
3. Sie haben beschlossen, eine RIS-basierte Bereitstellung für 50 Computer in
der Marketingabteilung zu verwenden. Sie haben verifiziert, dass alle Com-
puter vor kurzem angeschafft wurden und ein PXE-fähiges Boot-ROM auf-
weisen. Sie erstellen und konfigurieren das Image auf dem RIS-Server und
ordnen die richtigen Berechtigungen zu. Sie starten den Clientcomputer und
drücken (F12), um eine RIS-Installation einzuleiten; es sieht jedoch so aus,
als ob Sie keine Verbindung mit dem RIS-Server bekommen. Sie verifizie-
ren, dass der DHCP-Server, der RIS-Server und der DNS-Server betriebsbe-
reit sind, und dass im Netzwerk ein Domänencontroller vorhanden ist.
Welches ist die wahrscheinlichste Ursache des Problems? (Wählen Sie die
beste Antwort.)
A. Der BINLSVC wurde auf dem RIS-Server nicht gestartet.
B. Das PXE-Boot-ROM ist älter als Version .99c.
C. Das PXE-Boot-ROM ist älter als Version .99i.
D. Die Netzwerkkarte enthält kein PXE-Boot-ROM.
E. Das Netzwerkkabel ist beim Clientcomputer nicht eingesteckt.
4. Welche Betriebssysteme können mit RIS bereitgestellt werden? (Wählen Sie

alle korrekten Antworten aus.)
A. Windows 2000 Server
B. Windows NT 4.0 Workstation
C. Windows 98
D. Windows 2000 Professional
E. Windows 2000 Advanced Server
F. Windows Millennium
5. Welche Vorteile bietet die Vorkonfiguration von Clientcomputern? (Wählen
Sie alle korrekten Antworten aus.)
A. Ein vorkonfigurierter Computer kann nur vom IT-Personal bereitgestellt
werden.
B. Ein Clientcomputer kann für die Kommunikation mit einem bestimmten
RIS-Server konfiguriert werden.
C. Wenn der RIS-Server ausfällt, wird durch Vorkonfiguration automatisch

ein anderer RIS-Server zur Fortsetzung der Installation ausgewählt.
D. Die Last kann zwischen RIS-Servern verteilt werden.
E. Bei der Vorkonfiguration wird ein spezielles Image für den Computer er-
stellt.
6. Sie müssen 200 Computer mittels Remoteinstallationsdienste bereitstellen.
Die Computer weisen folgende Konfigurationen auf:
씰 50 Notebooks mit Pentium II 300 MHz, PC-Karten-Netzwerkadapter, 10-
Gbyte-Festplatte und 128 Mbyte RAM
씰 20 Desktops mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-Gbyte-Fest-
platte und 64 Mbyte RAM
씰 30 Desktops mit Pentium III 800 MHz, PXE-fähiger Netzwerkkarte, 20-
씰 40 Desktops mit Doppelprozessor Pentium Pro 200MHz, PCI-Netzwerk-
karte, 4-Gbyte-Festplatte und 256 Mbyte RAM
씰 60 Notebooks mit AMD K6-3 500 MHz, ohne Netzwerkkarte, 8-Gbyte-

Festplatte und 64 Mbyte RAM, sowie eine Dockingstation mit PCI-Netz-
werkkarte und Soundkarte
Welche Computer können mit RIS bereitgestellt werden? (Wählen Sie alle
korrekten Antworten aus)
A. 50 Notebooks mit Pentium II 300MHz, PC-Karten-Netzwerkadapter, 100-
B. 20 Desktops mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-Gbyte-Fest-
platte und 64 Mbyte RAM
C. 30 Desktops mit Pentium III 800 MHz, PXE-fähiger Netzwerkkarte, 20-
D. 40 Desktops mit Doppelprozessor Pentium Pro 200 MHz, PCI-Netzwerk-
karte, 4-Gbyte-Festplatte und 256 Mbyte RAM
E. 60 Notebooks mit AMD K6-3 500 MHz, ohne Netzwerkkarte, 8-Gbyte-
Festplatte und 64 Mbyte RAM, sowie eine Dockingstation mit PCI-Netz-
werkkarte und Soundkarte
7. Welches Programm bzw. welche Technologie von Windows 2000 würden
Sie zur Vorkonfiguration von Clientcomputern verwenden? (Wählen Sie die
beste Antwort.)
A. Assistent für die Installation von Remoteinstallationsdienste
B. Active Directory-Benutzer und -Computer
C. Gruppenrichtlinien
D. Assistent für den Installations-Manager

E. Assistent für die Remoteinstallationsvorbereitung
8. Welche Vorteile hat die Verwendung eines RIPrep-Image im Vergleich zu ei-

nem CD-basierten Image? (Wählen Sie alle korrekten Antworten aus.)
A. RIPrep-Images können neben dem Betriebssystem auch Anwendungen
enthalten.
B. RIPrep-Images können auf Computern mit einer anderen HAL als der des
Quellcomputers bereitgestellt werden.
C. Mit RIPrep-Images wird eine vollständige Betriebssysteminstallation
durchgeführt, sodass der Benutzer alle Einstellungen festlegen kann.
D. RIPrep-Images können leicht aktualisiert werden, indem nur geänderte

Dateien in den Image-Ordner kopiert werden.
E. RIPrep-Images sind schneller zu installieren als CD-basierte Images.

9. Welche Dienste werden von RIS installiert und während der Softwarebereit-
stellung verwendet? (Wählen Sie drei korrekte Antworten aus.)
A. Single Instance Storage-Dienst
B. DHCP
C. DNS
D. Trivial File Transfer Protocol
E. Startdienst-Manager
10. Sie sind als Domänenadministrator in Ihrer Organisation für eine Windows-
2000-Active-Directory-Domäne verantwortlich. In Kürze erhalten Sie 200
neue Desktop-Computer zum Austausch vorhandener Systeme. Alle neuen
Computer sind mit einer PXE-fähigen Netzwerkkarte, 10-Gbyte-Festplatte,
CD-ROM-Laufwerk und 128 Mbyte Speicher ausgestattet.
Die neuen Computer sollen in vier Bereichen eingesetzt werden: Finanzen,
Verkauf, IT und Management. Jeder Bereich ist in Active Directory durch
eine eigene OU vertreten. Die IT-Abteilung ist unterbesetzt und schafft ihr
Arbeitspensum nicht.
Sie müssen Folgendes gewährleisten:
씰 Auf allen Computern muss Windows 2000 Professional installiert wer-
den.
씰 Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsan-
wendung der Firma installiert werden.
씰 Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert
werden.
씰 Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die
Domäne aufnehmen.
씰 Die Bereitstellung muss so schnell wie möglich über die Bühne gehen.
씰 Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen bean-

spruchen.
Sie beschließen, zur Erfüllung der Anforderungen folgendermaßen vorzuge-

hen:
씰 Installation von Remoteinstallationsdienste auf einem Windows-2000-
Mitgliedsserver und Autorisierung des Servers in Active Directory.
씰 Erstellung eines CD-basierten Image für Windows 2000 Professional auf
dem RIS-Server.
씰 Umpacken der Firmenanwendung für die Kontoführung mit Hilfe eines
Programms von einem Drittanbieter.
씰 Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das so
gefiltert wird, dass die Firmensoftware für die Kontoführung den Mitglie-
dern der globalen Sicherheitsgruppen Management, Verkauf und Finanz
zugewiesen wird.
씰 IT-Benutzer, die Mitglied der Gruppe Domänen-Admins sind, sollen RIS
zur Installation von Windows 2000 Professional auf den neuen Compu-
tern verwenden, indem sie von der Netzwerkkarte starten.
씰 Das Softwarebereitstellungspersonal der IT-Abteilung wird angewiesen,
Microsoft Office 2000 manuell auf allen Clientcomputern zu installieren.
Welche der folgenden Anforderungen wurden durch Ihre Lösung erfüllt?
A. Auf allen Computern muss Windows 2000 Professional installiert werden.
B. Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsanwen-
dung der Firma installiert werden.
C. Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert
werden.
D. Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die Do-
mäne aufnehmen.
E. Die Bereitstellung muss so schnell wie möglich über die Bühne gehen.
F. Die Bereitstellung darf nur in minimalem Umfang IT-Ressourcen bean-

spruchen.
11. Sie sind Domänenadministrator in einem geheimen Organisationsbereich der ka-
nadischen Bundesregierung. Ihre Abteilung hat soeben eine Lieferung von 500
neuen Computern erhalten, auf denen Windows 2000 Professional installiert
werden muss. Alle diese Computer sind ausgestattet mit 64 Mbyte RAM, 13-
Gbyte-Festplatte, CD-ROM-Laufwerk und einer PXE-fähigen Netzwerkkarte.
Um den Aufwand für die Bereitstellung von Windows 2000 Professional auf
diesen Computern zu minimieren, entscheiden Sie sich für den Einsatz von
RIS. Sie konfigurieren den RIS-Server ordnungsgemäß und autorisieren ihn
in Active Directory. Die Benutzer beginnen ordnungsgemäß mit der Installa-
tion, und alles scheint reibungslos zu laufen, bis ein Benutzer Sie anruft und
sagt, dass er die Eingabeaufforderungen auf dem Bildschirm nicht versteht.
Sie haken nach und stellen fest, dass dieser Benutzer mit französischen Ein-
gabeaufforderungen besser zurechtkäme als mit englischen, die von RIS stan-
dardmäßig angezeigt werden. Ihr Chef erinnert Sie außerdem daran, dass alle
Benutzeroberflächen bei kanadischen Regierungsstellen zweisprachig sein
müssen.
Wie ist diese Anforderung am einfachsten zu erfüllen? (Wählen Sie die beste
Antwort aus.)
A. Installation von RIS auf einem zweiten Server, der mit der Version Fran-
zösisch (Kanada) von Windows 2000 Server konfiguriert ist; Vorkonfigu-
ration aller französischen Clientcomputer in Active Directory, sodass ge-
währleistet ist, dass sie sich nur mit dem neuen Server verbinden, und
schließlich Start der Bereitstellung durch die Benutzer.
B. Kopieren von MULTILNG.OSC nach WELCOME.OSC im Ordner OSChooser
Ihres vorhandenen RIS-Servers.
C. Kopieren von WELCOME.OSC nach MULTILNG.OSC im Ordner OSChooser
Ihres vorhandenen RIS-Servers.
D. Bereitstellung einer Remotestartdiskette mit französischen Menüs für je-
den frankofonen Benutzer.
E. Erstellung eines neuen CD-basierten Image auf dem Server, der die Ver-
sion Französisch (Kanada) von Windows 2000 Professional verwendet.

den.
werden.
Domäne aufnehmen.
spruchen.
hen:
씰 Erstellung einer Datei WINNT.SIF mit dem Installations-Manager und
Kopieren dieser Datei auf eine Diskette. Erstellung einer Kopie der Dis-
kette für jeden IT-Benutzer, der zugleich Domänenadministrator ist.
씰 Kopieren der Microsoft-Office-2000-Distributionsdateien und der MSI-
Datei in eine Netzwerkfreigabe.
씰 Umpacken der Firmenanwendung für die Kontoführung mit Hilfe eines
Programms von einem Drittanbieter.
씰 Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das so
gefiltert wird, dass die Firmensoftware für die Kontoführung den Mitglie-
dern der globalen Sicherheitsgruppen Management, Verkauf und Finan-
zen zugewiesen wird.
씰 Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das Mic-
rosoft Office 2000 der Gruppe Authentifizierte Benutzer zuweist.
씰 IT-Benutzer, die Mitglied der Gruppe Domänen-Admins sind, sollen mit
Hilfe einer Windows-2000-Professional-CD-ROM und der Diskette mit
der Datei WINNT.SIF Windows 2000 Professional auf den neuen Com-
putern installieren.
Welche der folgenden Anforderungen wurden von Ihrer Lösung erfüllt?

werden.
mäne aufnehmen.
spruchen.
13. Welches Dienstprogramm kann zur Erstellung einer Remotestartdiskette ver-
wendet werden? (Wählen Sie die beste Antwort aus.)
A. RISETUP.EXE
B. SYSPREP.EXE
C. RBFG.EXE
D. ACTIVE DIRECTORY-BENUTZER UND -COMPUTER
E. RIPREP.EXE
den.

werden.
Domäne aufnehmen.

spruchen.

hen:
씰 Installation und Konfiguration einer RIS-Servers. Autorisierung dessel-
ben in Active Directory und Installation des ersten CD-basierten Image.
씰 Installation von Windows 2000 Professional und der Kontoführungsan-
wendung auf einem der neuen Computer.
씰 Erstellung eines RIPrep-Image des neuen Computers und Kopieren des-
selben in einen eigenen Ordner auf dem RIS-Server.
씰 Kopieren der Microsoft-Office-2000-Distributionsdateien und der MSI-

Datei in eine Netzwerkfreigabe.
씰 Erstellung eines Gruppenrichtlinienobjekts auf Domänenebene, das Mic-
rosoft Office 2000 der Gruppe Authentifizierte Benutzer zuweist.
씰 Anweisung an Mitglieder der Gruppe Domänen-Admins, die neuen
Clientcomputer von der PXE-fähigen Netzwerkkarte zu starten und das
RIPrep-Image für die Computer von Finanzen, Verkauf und Management
bereitzustellen.
씰 Anweisung an Mitglieder der Gruppe Domänen-Admins, die neuen Client-
computer von der PXE-fähigen Netzwerkkarte zu starten und ein CD-basier-
tes Image zur Bereitstellung für alle anderen Computer zu verwenden.
Welche der folgenden Anforderungen wurden von Ihrer Lösung erfüllt?

werden.

mäne aufnehmen.
spruchen.
15. Sie haben beschlossen, RIS einzusetzen, um Windows 2000 für 1750 neue
Computer in Ihrer Organisation bereitzustellen. Um das Ganze zu beschleuni-
gen, wurde entschieden, dass Mitglieder der Gruppe Domänen-Benutzer in
ihrer eigenen Organisationseinheit Computerkonten einrichten dürfen. Sie
konfigurieren RIS so, dass Computerkonten in der OU des Benutzers erstellt
werden, der Windows 2000 installiert. Sie möchten gewährleisten, dass die
unternehmensweiten Namensrichtlinien für neue Computer eingehalten wer-
den. Wie ist dies am besten zu erreichen? (Wählen Sie die beste Antwort
aus.)
A. Vorkonfiguration aller Clientcomputer.
B. Verhindern, dass Benutzer eine unterbrochene Installation neu starten.
C. Entfernen der Berechtigung Lesen von der Antwortdatei für die OU.
D. Verhindern, dass Benutzer Computerkonten erstellen.
Antworten auf die Wiederholungsfragen
1. Sie können mit RIS CD-basierte Images und RIPrep-Images bereitstellen.
Auf dem RIS-Server muss sich mindestens ein CD-basiertes Image befinden,
bevor ein RIPrep-Image auf den Server kopiert werden kann. Siehe »Über-
sicht über Remoteinstallationsdienste«.
2. Der Benutzer benötigt die Berechtigung zum Erstellen von Computerobjek-
ten in dem Active Directory-Container, in dem das Computerkonto erstellt
werden soll. Wenn der Benutzer, der die Installation durchführt, diese Be-
rechtigung nicht besitzt, schlägt die Installation fehl. Siehe »Durchführung
einer Remoteinstallation« und »Installation und Konfiguration eines RIS-Ser-
vers«.
3. Bei der Vorkonfiguration von Clientcomputern kann der Administrator vor
der Bereitstellung den Clientcomputer in Active Directory erstellen und fest-
legen, welcher RIS-Server als Quelle für die Images dienen soll, die dem
Benutzer während der Bereitstellung angeboten werden. Durch Vorkonfigu-
ration von Clients, zusammen mit einer RIS-Serverkonfiguration, die nur die
Bedienung bekannter Clients zulässt, wird gewährleistet, dass RIS nicht zur
Bereitstellung von Windows 2000 Professional für Computer verwendet wer-

den kann, auf denen es nicht installiert werden soll. Siehe »Durchführung ei-
ner Remoteinstallation«.
4. Der RIS-Server, der eine Clientanforderung bedient, wurde dafür konfigu-
riert. Wenn der Client vorkonfiguriert und so konfiguriert ist, dass er ein
Image von einem bestimmten RIS-Server erhält, dann antwortet dieser RIS-
Server. Wenn der Client nicht vorkonfiguriert ist, antwortet jeder Server, der
Anforderungen von unbekannten Clients bedienen darf, und startet die Instal-
lation, wenn sich ein Benutzer erfolgreich angemeldet hat. Im letzten Fall ist
das wahrscheinlich der am nächsten beim Client liegende Server mit der ge-
ringsten Auslastung. Dies kann jedoch nicht zuverlässig vorher gesagt wer-
den, weshalb die Vorkonfiguration empfohlen wird. Siehe »Installation und
Konfiguration eines RIS-Servers«.
5. Um die Clients mit der MAC-Adresse und vorangestelltem »PC-« zu benen-
nen, würden Sie in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER im
Dialogfeld EIGENSCHAFTEN des Servers für Remoteinstallationsdienste be-
nutzerdefinierte Namensoptionen konfigurieren. Für diese Namenskonventi-
on würden Sie die Zeichenfolge PC-%MAC% eingeben. Siehe
»Durchführung einer Remoteinstallation«.
6. Um zu gewährleisten, dass bei der Bereitstellung eines Betriebssystems mit-
tels RIS auch Netzwerkdrucker installiert werden, erstellen Sie eine neue
Antwortdatei, welche die Netzwerkdrucker bei den Einstellungen berücksich-
tigt, und verknüpfen Sie diese mit einem vorhandenen CD-basierten Image,
oder ändern Sie die vorhandene Antwortdatei mit dem Assistenten für den In-
stallations-Manager oder über den Editor so, dass die Drucker berücksichtigt
werden. Siehe »Erstellung von Images für Remoteinstallationsdienste«.
7. Um zu gewährleisten, dass auf den neuen mittels RIS bereitgestellten Com-
putern keine Spiele installiert werden, ändern Sie manuell die Antwortdatei
für das bereitzustellende Image im Abschnitt Components wie folgt:
[Components]
freecell=off
minesweeper=off
pinball=off
solitaire=off
Siehe »Erstellen von Images für Remoteinstallationsdienste«.

8. Diese Frage ist schwierig zu beantworten. Wenn die Notebooks einen PC-
Karten- oder PCMCIA-Netzwerkadapter aufweisen, können Sie nicht RIS
verwenden, um ein RIPrep-Image bereitzustellen, das sowohl das Betriebs-
system als auch Office 2000 enthält. Wenn es jedoch zu den Notebooks eine
Dockingstation mit einer PCI-Netzwerkkarte gibt, die ein PXE-fähiges Boot-

ROM enthält oder von einer Remotestartdiskette unterstützt wird, könnten
Sie RIS zur Bereitstellung des RIPrep-Image verwenden. Siehe »Durchfüh-
rung einer Remoteinstallation«.
9. Sie müssen beim Start eines Clientcomputers (F12) drücken, um eine Verbin-
dung mit dem RIS-Server herzustellen und eine RIS-Bereitstellung von Win-
dows 2000 Professional auf dem Computer einzuleiten. Siehe »Durchführung
einer Remoteinstallation«.
10. Bei der Konfiguration von RIS erstellt der Assistent zur Installation der Re-
moteinstallationsdienste den gemeinsamen RIS-Ordner, kopiert die von RIS
benötigten Dateien sowie die Windows 2000 Professional-Dateien in den
Image-Ordner, erstellt eine Antwortdatei für das Image, konfiguriert RIS, ak-
tualisiert die Registrierung, erstellt einen Datenträger für Single Instance
Store und startet die RIS-Dienste. Siehe »Installation und Konfiguration eines
RIS-Servers«.
Antworten auf Prüfungsfragen
1. D, E. Damit eine RIS-Bereitstellung erfolgreich ist, müssen die Computer
mindestens 64 Mbyte RAM (die Minimalvoraussetzung für Windows 2000
Professional) und eine Netzwerkkarte (am besten mit einem PXE-fähigen
Boot-ROM) enthalten. Mehr Speicher wäre hilfreich, aber Sie wurden gebe-
ten, die minimalen zusätzlichen Anforderungen anzugeben. Deshalb ist auch
eine schnellere CPU nicht die richtige Antwort. Siehe »Durchführung einer
Remoteinstallation«.
2. B, C. E. Ein DHCP-Server, ein DNS-Server und ein Active Directory-Domä-
nencontroller müssen im Netzwerk vorhanden sein, damit Sie einen RIS-Ser-
ver installieren und konfigurieren können. Siehe »Installation und
Konfiguration eines RIS-Servers«.
3. B. Es wurden zwar alle Anforderungen auf der Serverseite erfüllt, und die
Karte enthält ein PXE-Boot-ROM, aber dessen Version ist wahrscheinlich äl-
ter als Version .99.c, die für die Funktionsfähigkeit von RIS vorausgesetzt
wird. Dass die Netzwerkkarte tatsächlich ein PXE-Boot-ROM enthält, konn-
ten Sie daran erkennen, dass in der Frage darauf hingewiesen wurde, dass der
Bereitstellungsprozess durch Drücken der (F12)-Taste während des Startvor-
gangs auf dem Computer begonnen werden kann. Aus diesem Grund ist D in
diesem Fall nicht korrekt. Siehe »Fehlersuche bei Remoteinstallationsdiens-
te«.
4. D. RIS kann nur zur Bereitstellung von Windows 2000 Professional verwen-
det werden. Keines der anderen Betriebssysteme kann mit RIS bereitgestellt
werden. Windows Millennium war noch nicht freigegeben, als dieses Buch
verfasst wurde, es könnte daher sein, dass diese Antwort richtig ist, wenn Sie
dieses Buch lesen (allerdings war zur Zeit der Drucklegung noch nicht be-
kannt, ob Windows Millennium von RIS unterstützt wird). Siehe »Übersicht
über Remoteinstallationsdienste«.
5. B, D. Bei der Vorkonfiguration kann der Clientcomputer einem bestimmten
RIS-Server zugeordnet werden. Wenn Sie alle Clientcomputer vorkonfigurie-
ren, können Sie die Last auf mehrere RIS-Server verteilen, sodass gewähr-
leistet ist, dass kein Server überlastet wird. Siehe »Durchführung einer
6. B, C, D, E. Die einzigen Computer , die nicht mit RIS bereitgestellt werden
können, sind die Notebooks mit PC-Karten-Netzwerkadaptern. Da alle ande-
ren Computer entweder die Minimalvoraussetzungen für Windows 2000 Pro-
fessional erfüllen oder eine PCI-Netzwerkkarte mit PXE-Boot-ROM bzw.
eine mit einer Remotestartdiskette verwendbare Netzwerkkarte enthalten,
können diese mit RIS bereitgestellt werden. Siehe »Durchführung einer Re-
moteinstallation«.
7. B. Zur Vorkonfiguration von Clientcomputern würden Sie ACTIVE DIRECTO-
RY-BENUTZER UND -COMPUTER verwenden, um durch Angabe der GUID das
Computerkonto in der passenden OU zu erstellen. Siehe »Durchführung einer
8. A, E. Ein RIPrep-Image kann sowohl Anwendungen als auch das Betriebs-
system enthalten, weil es ein Abbild des Quellcomputers ist, der zur Erstel-
lung des RIPrep-Image verwendet wurde. Außerdem können RIPrep-Images
u.U. kleiner sein als ein CD-basiertes Image und schneller bereitgestellt wer-
den, weil das gesamte Image auf den Clientcomputer kopiert wird, statt den
normalen Installationsvorgang von Windows 2000 Professional zu durchlau-
fen, wie es beim CD-basierten Image der Fall ist. Darüber hinaus müssen Sie
beim CD-basierten Image die Anwendungen mittels Gruppenrichtlinien oder
manuell installieren, was noch mehr Zeit kostet. Siehe »Erstellung von
Images für Remoteinstallationsdienste«.
9. A, D, E. Nach der Ausführung des Assistenten zur Installation der Remotein-
stallationsdienste sind Single Instance Storage, Trivial File Transfer Protocol
und Boot Service Manager-Dienst installiert. DHCP und DNS sind Voraus-
setzung für die Installation von RIS auf einem Server im Netzwerk. Siehe
»Installation und Konfiguration eines RIS-Servers«.
10. A, B, C, D. Die von Ihnen gewählte Lösung gewährleistet, dass Windows
2000 auf allen Clientcomputern installiert wird, und dass nur die Gruppe Do-
mänen-Admins Computerkonten in der Domäne erstellen kann. Dies liegt da-
ran, dass Sie ein CD-basiertes Image erstellt haben, als Sie den RIS-Server
installiert und ordnungsgemäß autorisiert haben. Außerdem haben Sie die
Domänen-Admins angewiesen, die Aufgabe zu erledigen. Durch die Erstel-
lung eines GPO, mit dem die umgepackte Kontoführungsanwendung Benut-
zern in geeigneten Gruppen zugewiesen wird, wird sie bereitgestellt, sobald

sich ein Benutzer anmeldet und auf ein Symbol für das Kontoführungspro-
gramm klickt. Die manuelle Installation von Office 2000 gewährleistet außer-
dem, dass es allen Benutzern auf den neuen Computern zur Verfügung steht.
Dies ist jedoch nicht die einfachste und schnellste Möglichkeit zur Erfüllung
dieser Anforderungen (Microsoft stellt Fragen dieser Art). Siehe »Installation
und Konfiguration eines RIS-Servers«.
11. B. Die einfachste Möglichkeit, die Menüschnittstelle mehrsprachig zu ma-
chen, ist das Überschreiben der Datei WELCOME.OSC im Ordner OSChooser
mit der Datei MULTILNG.OSC. Die Standarddatei, die dem Benutzer angezeigt
wird, ist WELCOME.OSC, und diese liegt standardmäßig nur auf Englisch vor.
MULTILNG.OSC enthält Optionen zur Auswahl einer Sprache usw. Beachten
Sie außerdem, dass Antwortdateien in der passenden Sprache erstellt werden
müssen, weil den Images selbst eine Sprache zugeordnet ist. Siehe »Installati-
on und Konfiguration eines RIS-Servers«.
12. A, B, C, D. Die Antwort auf diese Frage ist ähnlich wie bei Frage 10. Mit der
gewählten Methode wird Windows 2000 Professional auf allen Clientcompu-
tern installiert, aber dies müssen die Domänen-Admins für alle Computer
manuell erledigen. Die Erstellung eines Pakets für die Kontoführungsanwen-
dung und die Übernahme der MSI-Datei für Microsoft Office gewährleisten
ebenfalls, dass diese Anwendungen über die erstellten GPOs auf allen
Computern installiert werden. Dies ist aber weder die einfachste noch die res-
sourcenschonendste Möglichkeit. Siehe »Erstellung von Images für Remo-
teinstallationsdienste« und »Installation und Konfiguration eines RIS-
Servers«.
13. C. Der Remote Boot Floppy Generator (RBFG) ist das Tool zur Erstellung ei-
ner Remotestartdiskette. Manchmal, wenn auch nicht sehr oft, können Fragen
in Microsoft-Prüfungen so einfach sein. Siehe »Durchführung einer Remo-
teinstallation«.
14. A, B, C, D, E, F. Durch die Verwendung eines RIPrep-Image von einem
Quellcomputer mit der Kontoführungsanwendung und Windows 2000 Pro-
fessional haben Sie zwei Fliegen mit einer Klappe erwischt. Weil Microsoft
Office für alle Benutzer installiert werden soll, wird durch ein GPO, in dem
das Paket der Gruppe Authentifizierte Benutzer zugewiesen wird, gewährleis-
tet, dass dieses Produkt installiert wird, wenn sich ein Benutzer zum ersten
Mal anmeldet und das Programm verwenden möchte. RIS erleichtert auch die
Bereitstellung, wodurch der benötigte Umfang an IT-Ressourcen für diese
Aufgabe minimiert wird. Siehe »Erstellung von Images für Remoteinstallati-
onsdienste« und »Durchführung einer Remoteinstallation«. Siehe auch
»Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit Grup-
penrichtlinien«.
15. B. Die beste Möglichkeit, zu gewährleisten, dass Benutzer den Namen nicht
während der RIS-Bereitstellung ändern können, ist es, die Installation jedes
Mal von vorne zu beginnen, weil eine unterbrochene Installation den Benut-
zer zu weiteren Eingaben auffordern könnte. Sie müssen Benutzern die Er-
stellung von Computerkonten gestatten, weil zu viele Computer
vorzukonfigurieren sind. Das Entfernen der Berechtigung Lesen von der Ant-
wortdatei hätte zur Folge, dass Benutzer die Datei nicht mehr verwenden und
die Bereitstellung nicht mehr durchführen könnten. Siehe »Fehlersuche bei
Remoteinstallationsdienste« und »Durchführung einer Remoteinstallation«.

Windows 2000 Resource Kit. The Deployment Planning Guide. Microsoft
Press, 2000.
Automated Deployment options: An Overview White Paper auf der Microsoft-
Website unter http://www.microsoft.com/windows2000/library/planning/client/
deployops.asp.
Windows 2000 Professional Automated Deployment Options: An Introduction
library/planning/client/autodeploy.asp.
Automating the Deployment of Windows 2000 Professional and Office 2000
library/planning/incremental/sysprep.asp.
Desktop Deployment Solutions from Third-Party Companies auf der Micro-
soft-Website unter http://www.microsoft.com/windows2000/guide/server/part-
ners/DesktopSolutions.asp.
2
Wiederholungsteil
Teil
10. Gesamtzusammenfassung
11. Tipps zur Prüfungsvorbereitung
Gesamt-
zusammenfassung
10
Nun, da Sie das Buch gelesen, die Übungen durchgearbeitet und so viel praktische
Erfahrung mit der Verwaltung von Active Directory gesammelt haben, wie Sie
konnten, sind Sie reif für die Prüfung. Dieser letzte Teil ist als »letzter Happen auf
dem Parkplatz« gedacht, bevor Sie in die Prüfung gehen. Sie können das ganze
Buch nicht in einer Stunde durchlesen, wohl aber diesen Abschnitt.
Dieser Abschnitt ist nach Lerzielkategorien geordnet und gibt Ihnen nicht nur eine
Zusammenfassung, sondern wiederholt die wichtigsten Punkte aus jedem Kapitel.
Denken Sie daran, dies ist als Wiederholung von Konzepten gedacht und als
Gedächtnisstütze für Sie, um sich die vielen Einzelheiten merken zu können, die Sie
in der Prüfung parat haben müssen. Wenn Sie diese Informationen und die Kon-
zepte, die dahinterstehen, im Gedächtnis haben, ist die Prüfung für Sie vermutlich
ein Klacks.
10.1 Installation, Konfiguration und

Fehlersuche bei Active Directory
Beim Durcharbeiten dieses Abschnitts ist es unerlässlich, dass Sie sich die Zwecke
der unterschiedlichen Komponenten von Active Directory einprägen. Sie müssen
von jeder Komponente wissen, was sie ist, wo sie definiert wird und vor allem,
warum Sie sie verwenden würden. Die Prüfung beruht überwiegend auf Szenarien
aus der realen Welt, und insofern müssen Sie versuchen, sich vorzustellen, wo Sie
die Komponenten von Active Directory in der Realität einsetzen würden.
Die beiden Hauptbereiche dieser Zielsetzung gliedern sich in viele Teile.

792 Kapitel 10 Gesamt- zusammenfassung
10.1.1 Installation, Konfiguration und Fehlersuche bei

Komponenten von Active Directory
Microsoft testet Ihr Verständnis der Voraussetzungen, der Anwendung und der
Installation der verschiedenen Teile von Active Directory. Es gibt eine Anzahl von
Unterpunkten in diesem Abschnitt, aber diese lassen sich alle im Wesentlichen die-
sen drei Punkten zuordnen.
Installation von Active Directory

Vor der Installation von Active Directory müssen u.a. folgende Dinge berücksich-
tigt werden:
씰 Das System muss die Windows-2000-Minimalvoraussetzungen für die Instal-

lation erfüllen: 64 Mbyte RAM, 1,2 Gbyte freier Speicherplatz und 166-
MHz-Prozessor.
씰 Sie benötigen einen DNS-Server, der SRV-Datensätze unterstützt.
씰 Wenn der DNS-Server keine dynamische Aktualisierung unterstützt, müssen
Sie die Einträge in NETLOGON.DNS hinzufügen, damit gewährleistet ist,
dass die Dienste gefunden werden.
씰 Sie können die Heraufstufung mit dem Befehl DCPROMO oder im Assisten-
ten für die Konfiguration des Servers starten.
씰 Sie sollten den Domänennamen und alle anderen Konfigurationsinformatio-
nen vorab zusammengestellt haben.
씰 Beim Erstellen des ersten Domänencontrollers erstellen Sie einen neuen
Domänencontroller in einer neuen Stammdomäne in einer neuen Gesamt-
struktur. An dieser Stelle ist der einzelne Domänencontroller die Gesamt-
struktur.
10.1.2 Erstellen von Standorten

Zu den Dingen, die bei der Erstellung von Standorten zu berücksichtigen sind,
gehören folgende:
씰 Das Wichtigste, was Sie sich zu Standorten merken sollten, ist, dass sie die
Replikation innerhalb der Domäne steuern.
씰 Standorte gehören zum physischen Netzwerk, nicht zur logischen Struktur.
씰 Jeder Standort sollte einen Domänencontroller und einen Server für den glo-
balen Katalog enthalten.
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory 793
씰 Clients suchen immer zuerst im Standort nach einem Server, dann in der
Domäne und zuletzt in der Gesamtstruktur. Die beste Antwortzeit wird
erreicht, wenn die Server in den Standorten bei den Benutzern gehalten wer-
den.
씰 Standorte werden über eine Standortverknüpfung mit allen anderen Standor-
ten verbunden.
씰 Sie erstellen einen Standort in dem Programm ACTIVE DIRECTORY-STAND-
ORTE UND -DIENSTE. Klicken Sie mit der rechten Maustaste auf die Sites und
wählen Sie NEUER STANDORT. Sie müssen einen Standortnamen angeben und
die als Standard zu verwendende Standortverbindung auswählen.
씰 Ein Standort ist definiert als Sammlung von IP-Subnetzen, die über ein Hoch-
geschwindigkeitsnetzwerk verbunden sind.
씰 Für Standorte können Gruppenrichtlinienobjekte definiert werden. Wenn ein
Standort ein GPO enthält, sollte ein Domänencontroller für die Domäne, in
welcher das GPO erstellt wurde, in den Standort aufgenommen werden.
10.1.3 Erstellen von Subnetzen

Beim Erstellen von Subnetzen sollte Folgendes berücksichtigt werden:
씰 Verwenden Sie ACTIVE DIRECTORY-STANDORTE UND -DIENSTE zur Erstel-

lung eines Subnetzes. Für ein System im Subnetz müssen Sie eine IP-Adresse
und eine Subnetzmaske angeben.
씰 Ein Subnetz ist ein physisches Subnetz des Netzwerks.
씰 Subnetze werden zu Standorten hinzugefügt, und Sie müssen bei der Erstel-
lung eines Subnetzes einen Standort angeben.
씰 In den Subnetzeigenschaften können Sie einen Pfad angeben, der von Active
Directory benutzt werden soll.
씰 Beim Erstellen eines Subnetzes wird folgende Schreibweise verwendet: Sub-
netz-ID/Anzahl Bits zur Ermittlung der Subnetz-ID.
10.1.4 Erstellung von Standortverknüpfungen

Beim Erstellen von Standortverknüpfungen sollte Folgendes berücksichtigt werden:
씰 Eine Standortverknüpfung stellt eine physische Verbindung zwischen zwei

Standorten dar. Diese ist ein permanenter oder temporärer Netzwerkpfad.
씰 Standortverknüpfungen werden in ACTIVE DIRECTORY-STANDORTE UND -
DIENSTE erstellt.
씰 In den meisten Fällen werden Sie RPC über IP für Standortverknüpfungen

einsetzen. Bei nichtpermanenten Verbindungen können Sie SMTP verwen-
den.
씰 SMTP-Standortverknüpfungen benötigen ein Zertifikat von einer Zertifizie-
rungsstelle.
씰 Drei Variablen sind für einen Standort einstellbar: ZEITPLAN (zu welchen
Zeiten die Verbindung verfügbar ist), REPLIZIEREN ALLE X MINUTEN (wie oft
auf neue Informationen geprüft werden soll) und KOSTEN (Kosten, für die
Entscheidung, welche Verbindung verwendet werden soll, wenn zwischen
Standorten mehrere verfügbar sind).
씰 Sie können den Zeitplan für Standortverknüpfungen ignorieren, um eine Rep-
likation zu erzwingen, indem Sie die Option ZEITPLAN IGNORIEREN unter
Protokoll, IP- oder SMTP-Eigenschaften aktivieren.
씰 Sie können einen Server unter EIGENSCHAFTEN DES SERVERS als Bridgehead-
Server für einen Standort festlegen.
씰 Zwei Standorte können über mehrere Standortverknüpfungen gekoppelt sein.
Die Verbindung mit geringeren Kosten wird zuerst verwendet. Der Standard-
wert für Kosten ist 100.
10.1.5 Erstellung von Standortverknüpfungsbrücken

Beim Erstellen von Standortverknüpfungsbrücken sollte Folgendes berücksichtigt
werden:
씰 Standortverknüpfungsbrücken werden eingesetzt zur Verbindung von Stand-

orten, die nicht physisch verbunden sind. Dazu wird ein Pfad über einen Zwi-
schenstandort eingerichtet.
씰 Standortverknüpfungsbrücken haben keinerlei Nebenwirkungen, es sei denn,
Sie deaktivieren die Option AUTOMATISCHE ÜBERBRÜCKUNG unter EIGEN-
SCHAFTEN FÜR DAS PROTOKOLL. Die automatische Überbrückung wird in der
Prüfung als transitive Standortverknüpfung bezeichnet.
씰 Mehrere Standortverknüpfungen können sich an einer Standortverknüpfungs-
brücke beteiligen.
씰 Standortverknüpfungsbrücken werden in ACTIVE DIRECTORY-STANDORTE
UND -DIENSTE erstellt.
10.1.6 Erstellung von Verbindungsobjekten

Beim Erstellen von Verbindungsobjekten sollte Folgendes berücksichtigt werden:
씰 Der Knowledge-Konsistenzprüfer (Knowledge Consistency Checker, KCC)

erstellt normalerweise Verbindungen.
씰 Verbindungsobjekte repräsentieren eine Verbindung oder Zuordnung zwi-
schen zwei Servern.
씰 Innerhalb eines Standorts erstellt der KCC jeweils eine Verknüpfung zwi-
schen jedem Server und mindestens zwei anderen Servern.
씰 Falls transitive Standortverknüpfungen deaktiviert sind, erstellt KCC mittels
Standortverknüpfungen und Standortverknüpfungsbrücken auch die Verbin-
dungen zwischen Servern in unterschiedlichen Standorten.
씰 Sie können Verbindungen manuell erstellen, aber KCC entfernt oder aktuali-
siert solche Verbindungen auch dann nicht, wenn später ein besserer Pfad
verfügbar werden sollte.
씰 Verbindungsobjekte befinden sich im Container NTDS Settings für jeden Ser-
ver.
10.1.7 Erstellen von Servern für den globalen Katalog

Beim Erstellen von Servern für den globalen Katalog sollte Folgendes berücksich-
tigt werden:
씰 Server für den globalen Katalog sind eigentlich LDAP-Server, die den Cli-
ents die Liste der Objekte zur Verfügung stellen.
씰 Die Server für den globalen Katalog spielen auch eine wichtige Rolle bei der
Replikation der Schema- und der Konfigurations-Partition.
씰 Im globalen Katalog sind die von Ihnen definierten Gruppen untergebracht.
씰 In jeder Domäne und in jedem Standort sollte mindestens ein Server für den
globalen Katalog vorhanden sein.
씰 Server für den globalen Katalog sind Domänencontroller. In ACTIVE DIREC-
TORY-STANDORTE UND -DIENSTE gibt es unter NTDS Settings für jeden Ser-
ver ein Kontrollkästchen, das bestimmt, ob er Server für den globalen
Katalog ist.
10.1.8 Verschieben von Objekten zwischen Standorten

Beim Verschieben von Objekten zwischen Standorten sollte Folgendes berücksich-
tigt werden:
씰 Damit Server die besten Antwortzeiten liefern, sollten sie sich im selben
Standort befinden wie der Client. Aus diesem Grund ist es sinnvoll, Server zu
verschieben.
씰 Der Server, den Sie in einen Standort verschieben, sollte im physischen Sub-
netz sein.
씰 Einen Server verschieben Sie, indem Sie mit der rechten Maustaste auf den
Server klicken und VERSCHIEBEN wählen.
10.1.9 Übertragen von Betriebsmasterfunktionen

Beim Übertragen von Betriebsmasterfunktionen sollte Folgendes berücksichtigt
werden:
씰 Jeder Betriebsmaster hat eine bestimmte Funktion.

Schemamaster. Dies ist die einzige beschreibbare Kopie des Schemas. Die
Schreibmöglichkeit muss aktiviert werden. Dies wird im Snap-In ACTIVE DI-
RECTORY-SCHEMA geändert. Dazu wählen Sie im Kontextmenü den Befehl
BETRIEBSMASTER und stellen die Option ein. Dieses Snap-In muss mittels
ADMINPAK.MSI hinzugefügt werden. Es gibt in der Gesamtstruktur nur ei-
nen Schema-Master. Wenn ein Bereich der Organisation ein anderes Schema
benötigt, brauchen Sie mehr als eine Gesamtstruktur.
Domänennamenmaster. Dies ist das System, das dafür sorgt, dass Ihre Do-
mänen- bzw. Gesamtstruktur in Form bleibt. Der Server ist außerdem für die
Konfiguration aller transitiven Vertrauensstellungen im Unternehmen zustän-
dig. Die Vertrauensstellungen werden automatisch durch die PDC-Emulato-
ren implementiert. Es gibt nur einen Domänennamenmaster in der
Gesamtstruktur.
PDC-Emulator. Dies ist der Server, der die Vertrauensverhältnisse imple-
mentiert. Er wird außerdem eingesetzt, um kompatible Anmeldungsanforde-
rungen und kompatible Domänencontroller-Anforderungen für die
Replikation der Verzeichnisdatenbank zu bedienen. Es gibt einen in jeder Do-
mäne. Beachten Sie, dass sich »kompatibel« auf jedes Nicht-Active-Directo-
ry-System bezieht, einschließlich Windows NT 4.0.
RID-Master. Dieser erzeugt Zufallsfolgen, die mit dem eindeutigen Kenn-
zeichner der Domäne zur SID für Objekte, die auf einem Domänencontroller
erstellt werden, kombiniert werden. Der RID-Master sendet Kontingente von
RIDs an die Domänencontroller. Wenn ein Kontingent verbraucht ist, erhält

der Domänencontroller ein neues von einem RID-Master. Jede Domäne ent-
hält einen eigenen RID-Master.
Infrastrukturmaster. Dieses System sorgt dafür, dass die Zuordnung von
Benutzern zu Gruppen für die Benutzer seiner Domäne korrekt ist. Es gibt ei-
nen Infrastrukturmaster je Domäne.
씰 Die Funktion Schemamaster wird in dem Snap-In ACTIVE DIRECTORY-
SCHEMA gesteuert. Verbinden Sie sich mit dem Server, der die Funktion
übernehmen soll, und wählen Sie im Kontextmenü BETRIEBSMASTER. Über
die Option ÄNDERN können Sie dann die Rolle ändern.
씰 Die Funktion des Domänennamenmasters wird in ACTIVE DIRECTORY-
DOMÄNEN UND -VERTRAUENSSTELLUNGEN gesteuert. Verbinden Sie sich wie
beim Schema-Master mit dem Controller, der die Funktion übernehmen soll,
und ändern Sie dann über den Befehl BETRIEBSMASTER die Funktion.
씰 Die Funktionen auf Domänenebene werden in ACTIVE DIRECTORY-BENUT-
ZER UND -COMPUTER gesteuert. Verbinden Sie sich mit dem Domänencont-
roller und übertragen Sie die Funktion(en) mittels des Befehls
BETRIEBSMASTER.
씰 NTDSUTIL kann zur Übertragung der Funktion in der Befehlszeile verwen-
det werden. Außerdem kann es benutzt werden, um eine Funktion (gewalt-
sam) zu entziehen. Wenn die Funktion eines Schema-, Domänennamens-
oder RID-Masters entzogen werden muss, darf der alte Server nicht mehr
online gebracht werden, weil sonst Active Directory u.U. beschädigt wird.
10.1.10 Überprüfen der Active Directory-Installation

Berücksichtigen Sie bei der Überprüfung der Active Directory-Installation Folgen-
des:
씰 Die Überprüfung der Installation ist kein großes Prüfungsthema.

씰 Prüfen Sie, ob die Datenbank- und Protokolldateien vorhanden sind.
씰 Prüfen Sie, ob die Freigabe SYSVOL vorhanden ist.
씰 Prüfen Sie, ob sich die Tools im Menü PROGRAMME befinden.
씰 Prüfen Sie, ob Ihre Domänencontroller in ACTIVE DIRECTORY-BENUTZER
UND -COMPUTER angezeigt werden.
씰 Sie sollten auch prüfen, ob für den Dienst NetLogon die richtigen DNS-
Datensätze registriert wurden.
10.1.11 Implementieren einer Organisationseinheitenstruktur

Berücksichtigen Sie bei der Implementierung einer Organisationseinheitenstruktur
Folgendes:
씰 Der wesentliche Punkt hier ist, dass Organisationseinheiten zum Delegieren

von Autorität und zur logischen Gruppierung von Benutzern, Gruppen, Com-
putern und anderen Objekten eingesetzt werden, die von Delegierten verwal-
tet werden können.
씰 Sie können eine Organisationseinheit in einer anderen erstellen, aber Micro-
soft empfiehlt, dabei nicht über drei Ebenen (also eine OU in einer OU in
einer OU) hinauszugehen.
씰 Sie brauchen zur Erstellung einer OU lediglich mit der rechten Maustaste auf
das Objekt zu klicken, unter dem sie angeordnet werden soll (Domäne oder
andere OU), und dann im Kontextmenü NEU, ORGANISATIONSEINHEIT zu
wählen.
씰 OUs beeinflussen Berechtigungen. Standorte beeinflussen die Replikation.
Domänen enthalten beides.
10.1.12 Sichern und Wiederherstellen von Active Directory

Die Möglichkeit zur Sicherung und Wiederherstellung von Active Directory ist sehr
wichtig. Sie müssen wissen, wann eine Wiederherstellung durchzuführen ist, wann
eine maßgebende Wiederherstellung angebracht ist und wann nur der Domänencon-
troller neu installiert werden muss.
Durchführung einer maßgebenden Wiederherstellung von Active Directory

Berücksichtigen Sie bei der Durchführung einer maßgebenden Wiederherstellung
von Active Directory Folgendes:
씰 Bei jeder Änderung, ob durch Replikation oder vom Benutzer vorgenommen,

wird die USN (Update Sequence Number) für einen Domänencontroller
erhöht.
씰 Die USN eines Objekts wird nur bei Änderungen erhöht, die von einem
Benutzer vorgenommen wurden.
씰 Maßgebende Wiederherstellung ist nur erforderlich, wenn ein gelöschtes
Objekt wiederhergestellt werden soll. Es gibt keinen anderen Grund für die
maßgebende Wiederherstellung. Dabei wird das Objekt wiederhergestellt und
die USN so hoch gesetzt, dass sie größer ist als die USN beim Löschen.
씰 Eine maßgebende Wiederherstellung unterscheidet sich von einer normalen

Wiederherstellung nur dadurch, dass Sie nach der Wiederherstellung der
gesicherten Daten das Programm NTDSUTIL verwenden, um die USN des
wiederherzustellenden Objekts zu erhöhen.
씰 Die maßgebende Wiederherstellung stellt das Objekt und alle seine unterge-
ordneten Objekte wieder her.
씰 Sie müssen den definierten Namen des gelöschten Objekts kennen (z.B.
cn=Techs,cn=Users,dc=ScrimTech,dc=local).
씰 Nach einer maßgebenden Wiederherstellung müssen Sie bis zur nächsten
Replikation warten, bis das Objekt auf anderen Domänencontrollern wieder-
hergestellt wird.
Wiederherstellung nach einem Systemausfall
Berücksichtigen Sie bei der Wiederherstellung nach einem Systemausfall Folgen-
des:
씰 Es gibt drei Möglichkeiten, einen Domänencontroller wiederherzustellen:

Neuinstallieren des Betriebssystems und Heraufstufung des Systems zum
Domänencontroller. Zulassen der Replikation, um die Active Directory-In-
formationen zurückzubringen. Dies ist die einfachste Methode, und sie eignet
sich am besten bei Systemen, die nur Domänencontroller sind, vor allem,
wenn die letzte Sicherung einige Zeit zurückliegt.
Neuinstallieren des Betriebssystems und Neustart im Active Directory-Wie-
derherstellungsmodus (Taste (F8)). Wiederherstellen der Informationen aus
den System- und Systemzustandsdaten. Zum Schluss Neustarten des Systems
im Normalmodus, und die Replikation bringt das System auf den neuesten
Stand.
Durchführen einer maßgebenden Wiederherstellung. Diese wird nur einge-
setzt, wenn ein gelöschtes Objekt mit seinen untergeordneten Objekten wie-
derhergestellt werden soll. In diesem Fall wird wiederhergestellt wie im
vorangehenden Punkt, aber vor dem Neustart im Normalmodus wird
NTDSUTIL ausgeführt, um das Objekt wiederherzustellen.
씰 Einen Betriebsmaster sollten Sie nur dann wiederherstellen, wenn die Siche-
rung erst vor kurzem durchgeführt wurde, weil andernfalls die Informationen
veraltet sein könnten. In diesem Fall ist es besser, die Funktion zu entziehen.
Sie sollten beim Betriebsmaster dadurch für Fehlertoleranz sorgen, dass ein
zweiter Domänencontroller im selben Segment vorhanden ist, der die repli-
zierten Änderungen unmittelbar empfängt.
씰 Der Knowledge-Konsistenzprüfer stellt automatisch die Verbindungen wie-
der her, wenn ein Domänencontroller vom Netz geht.
10.2 Installation, Konfiguration, Verwaltung,

Überwachung und Fehlerbehebung von
Wie in der Einleitung zu diesem Text erwähnt, stellt DNS die Hierarchie für Active
Directory bereit. Sie müssen gewährleisten, dass DNS funktioniert. Ein guter Teil
der Prüfung ist diesem Thema gewidmet.
10.2.1 Installation, Konfiguration und Fehlerbehebung von

Im Allgemeinen ist die Installation einfach. Denken Sie daran, dass Sie über SOFT-
WARE in der Systemsteuerung zu Windows-Komponenten kommen. Von dort aus
verwenden Sie das Element NETZWERKDIENSTE, um DNS zu installieren.
Integrieren von Active-Directory-DNS-Zonen mit Nicht-Active-Directory-

DNS-Zonen
Berücksichtigen Sie bei der Integration einer Active-Directory-DNS-Zone mit einer
Nicht-Active-Directory-DNS-Zone Folgendes:
씰 Der Windows-2000-DNS-Server ist ein Standard-DNS-Server. Das bedeutet,

es kann primäre und sekundäre Zonen geben. Es bedeutet außerdem, dass die
anderen Server (sekundäre wie primäre) von beliebigem Typ sein können.
씰 Der DNS-Server sorgt für inkrementelle Übertragungen (IXFR), die RFCs
sind und auf der Seriennummer der Zonendatei beruhen.
씰 Der DNS-Server kann so eingestellt werden, dass er Daten an jeden DNS-
Server, an die von Ihnen als Namensserver in der Domäne festgelegten Ser-
ver oder an bestimmte von Ihnen angegebene Server sendet. Außerdem kann
er veranlasst werden, diese Server bei Änderungen zu benachrichtigen.
씰 Der SOA-Datensatz (Autoritätsursprung) für eine Domäne gibt vor, wie häu-
fig sekundäre Server aktualisieren müssen. Der Standardwert ist 15 Minuten,
kann jedoch geändert werden.
씰 Wenn Sie eine Active Directory-integrierte Zone erstellen, gehört diese zu
einer Domäne. Aus diesem Grund sollte sie im Strukturstamm erstellt wer-
den.
씰 In Active Directory-integrierten Zonen kann jeder Domänencontroller, in den
das DNS integriert ist, »primärer« Server sein. Es ist dann also möglich,
einen Computer bei jedem Domänencontroller zu registrieren, statt nur beim
einzigen primären Server.
10.2 Installation, Konfiguration... 801
씰 In Active Directory-integrierten Zonen werden die Daten für die Zone in

Active Directory gespeichert, sind also Objekte. Das bedeutet, dass das Com-
puterkonto berechtigt sein muss, dieses Objekt zu aktualisieren, damit es
beim Start registriert werden kann.
씰 Um eine untergeordnete Nicht-AD-Domäne zu erstellen, können Sie einen
Teil des Namespace an andere Server delegieren. Dadurch werden die erfor-
derlichen NS-Datensätze (Namensserver) erstellt.
씰 Eine AD-integrierte Zone kann einen sekundären Standardserver enthalten.
Konfigurieren von Zonen für dynamische Aktualisierung
Berücksichtigen Sie bei der Konfiguration von Zonen für dynamische Aktualisie-
rung Folgendes:
씰 Sie können sowohl Standardzonen als auch AD-integrierte Zonen für Aktua-
lisierung konfigurieren.
씰 Wenn die Zone AD-integriert ist, können Sie festlegen, dass die Aktualisie-
rungen sicher sein sollen (prüfen Sie die Berechtigungen des Objekts).
씰 Der DNS-Server sorgt für inkrementelle Übertragungen (IXFR), die RFCs
sind und auf der Seriennummer der Zonendatei beruhen.
씰 Aufräumen ist der Vorgang, bei dem Datensätze, die nicht aktualisiert wur-
den, aus der Zone des DNS-Servers entfernt werden. Dies ist bei beiden
Zonenarten möglich. Die Zeiten können beim Serverobjekt und beim Zonen-
objekt festgelegt werden.
씰 Der Client, der DHCP-Server oder beide können dynamische Aktualisierun-
gen durchführen. Normalerweise registriert der Client den Forward-Zonenna-
men, und der DHCP-Server registriert den Namen der Reverse-Lookupzone.
씰 Denken Sie daran, dass der Domänencontroller oder jeder andere Server sich
nicht bei DNS registriert, wenn der DNS-Server nicht in seinen TCP/IP-Ein-
stellungen konfiguriert ist.
씰 Sie können nach wie vor einen Verweis auf WINS verwenden, um eine dyna-
mische DNS-Umgebung für kompatible Clients und Server zu schaffen.
10.2.2 Verwaltung, Überwachung und Fehlerbehebung bei

DNS
Sie sollten allgemein wissen, welche Optionen auf dem DNS-Server verfügbar sind,
und wie Zonen erstellt werden. Dieses spezielle Ziel soll sicherstellen, dass Sie den
Replikationsvorgang verstehen, aber es könnten auch Fragen gestellt werden, die
nur mit der Serververwaltung zu tun haben.
Verwaltung der Replikation von DNS-Daten

Berücksichtigen Sie bei der Verwaltung der Replikation von DNS-Daten Folgen-
des:
씰 In einer Active Directory-integrierten Zone wird die Replikation durch

Active Directory abgewickelt. Das bedeutet, Sie können die Replikation steu-
ern durch Standortverknüpfungen und Standortverknüpfungsbrücken, die Sie
erstellen.
씰 Bei einem sekundären Server für eine Standardzone, eine Active Directory-
integrierten Zone oder eine Zone auf einem anderen Server wird die Aktuali-
sierungshäufigkeit für diese Übertragung im SOA-Datensatz festgelegt.
씰 Zonenübertragungen können von einem primären, einem sekundären oder
einem Active Directory-integrierten Server ausgeführt werden. Der Server,
der die Datensätze zur Verfügung stellt, ist der Masterserver.
씰 Jeder DNS-Server, der SRV-Datensätze unterstützt, kann als sekundärer Ser-
ver für eine Active Directory-integrierte Zone eingesetzt werden.
씰 Sie können Zonenübertragungen auf Server in der Seite NAMENSSERVER oder
auf bestimmte Server einschränken, oder Sie können jedem Server die
Zonenübertragung erlauben.
씰 Sie können den primären Server oder jeden Masterserver so konfigurieren,
dass die sekundären Server von Änderungen benachrichtigt werden.
씰 Windows-2000-DNS-Server können IXFR (inkrementelle Zonenübertragun-
gen) verwenden. Dabei werden auf Basis von Seriennummern alle Änderun-
gen seit der letzten Version des sekundären Servers übertragen. Das bedeutet,
dass der Masterserver die Änderungen zwischen den Aktualisierungen der
Zonendatei verfolgen muss.
10.3 Installation, Konfiguration, Verwaltung,

Überwachung und Fehlerbehebung beim
Änderungs- und Konfigurationsmanage-
ment
Ihnen sollte bekannt sein, was Gruppenrichtlinien sind und wie sie Ihnen helfen
können, im gesamten Unternehmen einheitliche Standards zu implementieren.
Mit Gruppenrichtlinien können Sie festlegen, wie ein Computer konfiguriert wer-
den soll, ob Benutzer an bestimmten Computerkonfigurationen Änderungen vor-
nehmen dürfen oder nicht, welche Software automatisch oder optional auf den
Computern der Benutzer installiert werden soll, und wie Sicherheitseinstellungen
umgesetzt werden sollen.
Auf Benutzer angewandt, fixieren Gruppenrichtlinien das Desktop und andere

Merkmale der Benutzerumgebung, ganz gleich, von wo aus er bzw. sie sich bei der
Domäne anmeldet: von der gewohnten Workstation, einem entfernten Computer
über Wählleitung, einem anderen Knoten am selben Standort oder einem Computer
am anderen Ende der Welt.
10.3.1 Implementierung und Fehlerbehebung von

Gruppenrichtlinien
Sie sollten allgemein wissen, woraus Gruppenrichtlinien besteht, wie eine neue
Gruppenrichtlinie erstellt wird, wie ein vorhandenes GPO mit einem Active Direc-
tory-Container verknüpft wird, wie ein GPO geändert wird, wie die GPO-Verer-
bung blockiert wird, wie die Anwendung von Gruppenrichtlinien mittels Berechti-
gungen gefiltert wird, und wie die Administration von Gruppenrichtlinien an
Administratoren niedrigerer Ebene delegiert wird.
Erstellung eines Gruppenrichtlinienobjekts

Gruppenrichtlinienobjekte bestehen aus zwei Teilen:
씰 Gruppenrichtliniencontainer (GPCs). Dies sind Active Directory-Contai-

ner, in denen Informationen zur GPO-Version und global eindeutige Kenn-
zeichner (GUID) gespeichert werden, z.B. ein Standort, eine Domäne oder
eine Organisationseinheit.
씰 Gruppenrichtlinienvorlagen (GPTs). Dies sind physische Dateien, die
administrative Vorlagen und Skripte enthalten und auf Domänencontrollern
im Container Richtlinien für die Freigabe SYSVOL gespeichert werden. Jede
GPT ist in einem Ordner gespeichert, dessen Name der GUID des GPO ent-
spricht, für das sie eine Vorlage ist.
Berücksichtigen Sie bei der Erstellung eines GPO Folgendes:
씰 Gruppenrichtlinien können auf Ebene des Standorts, der Domäne oder der
Organisationseinheit erstellt werden.
씰 Nach der Erstellung werden GPO-Einstellungen mit dem MMC-Snap-In
Gruppenrichtlinieneditor geändert.
씰 Nur Domänen-Admins oder Benutzer, die das Recht Gruppenrichtlinienob-
jekt erstellen besitzen, dürfen ein GPO auf beliebiger Ebene erstellen.
씰 Windows NT 4.0 Systemrichtlinien werden bei der Umstellung eines Domä-

nencontrollers auf Windows 2000 nicht zu Gruppenrichtlinien migriert.
씰 Die Anwendung von Gruppenrichtlinien kann überwacht werden. Die Ergeb-
nisse werden in der Ereignisanzeige angezeigt. Dies ist bei Bedarf ein gutes
Tool zur Fehlersuche.
Verknüpfung eines vorhandenen GPO
Berücksichtigen Sie bei der Verknüpfung eines vorhandenen GPO Folgendes:
씰 Durch Verknüpfung eines vorhandenen GPO mit einem Active Directory-

Container können die GPO-Einstellungen auf Computer und Benutzer in der
Organisationseinheit angewandt werden.
씰 Ein GPO kann mit beliebig vielen Active Directory-Containern verknüpft
werden.
씰 Die GPT enthält eine gemeinsame Sammlung von Einstellungen, die auf alle
Active Directory-Container angewandt werden, mit denen das GPO ver-
knüpft ist.
Delegieren der administrativen Verantwortung für Gruppenrichtlinien.
Berücksichtigen Sie beim Delegieren der administrativen Verantwortung für Grup-
penrichtlinien Folgendes:
씰 Durch Delegieren der administrativen Verantwortung für Gruppenrichtlinien

werden andere Benutzer in die Lage versetzt, die GPO-Einstellungen zu
ändern.
씰 Damit einem Benutzer die administrative Verantwortung für Gruppenrichtli-
nien delegiert werden kann, muss er bzw. sie die Berechtigungen Lesen und
Schreiben für das GPO besitzen, um es zu ändern.
씰 Das Delegieren der administrativen Verantwortung erfolgt über die Festle-
gung von geeigneten Berechtigungen in der Registerkarte SICHERHEIT unter
Eigenschaften für das GPO.
Ändern der Gruppenrichtlinienvererbung
Berücksichtigen Sie beim Ändern der Gruppenrichtlinienvererbung Folgendes:
씰 Gruppenrichtlinieneinstellungen auf höherer Ebene, z.B. Domäne oder

Standort, werden automatisch an alle Active Directory-Objekte auf niederer
Ebene vererbt, z.B. untergeordnete Domänen und Organisationseinheiten.
씰 Gruppenrichtlinien werden in folgender Reihenfolge abgearbeitet:

Standort
Domäne
Organisationseinheit
씰 Ein lokaler Administrator, der für eine untergeordnete Domäne oder eine
Organisationseinheit zuständig ist, kann die Vererbung von höheren Ebenen
blockieren und damit sicherstellen, dass seine bzw. ihre GPOs verarbeitet
werden.
씰 Administratoren auf höherer Ebene haben die Möglichkeit, das Blockieren
der GPO-Anwendung auf unteren Ebenen zu umgehen und damit GPO-Ein-
stellungen durchzusetzen, auch wenn sie auf unterer Ebene blockiert werden.
씰 Ein Gruppenrichtlinienkonflikt liegt vor, wenn dieselbe Einstellung auf
unterschiedlichen Ebenen von Active Directory angewandt wird. Es gelten
die Einstellungen des zuletzt stattgefundenen GPO-Vorgangs, es sei denn, in
einem GPO höherer Ebene wurde die Option KEIN VORRANG aktiviert.
씰 Die Rangfolge der Gruppenrichtlinien in einem Container bestimmt, welche
Einstellung bei einem Konflikt Vorrang hat. Diese Rangfolge wird in der
Registerkarte GRUPPENRICHTLINIE für den Active Directory-Container fest-
gelegt. Das erste GPO in der Liste gewinnt.
Filtern von Gruppenrichtlinieneinstellungen durch Verknüpfung von
Sicherheitsgruppen mit GPOs
Berücksichtigen Sie beim Filtern von Gruppenrichtlinieneinstellungen durch Ver-
knüpfung von Sicherheitsgruppen mit GPOs Folgendes:
씰 Gruppenrichtlinienfilterung ist die Zuordnung von Berechtigungen für ein

GPO, damit gewährleistet ist, dass es nur von den Benutzern verarbeitet wer-
den kann, für die es vorgesehen ist. Auf diese Weise können Gruppenrichtli-
nien selektiv für eine Sicherheitsgruppe, einen Computer oder einen Benutzer
implementiert werden.
씰 Die Benutzer- und die Computerkomponente eines GPO können deaktiviert
werden über Eigenschaften in der Registerkarte GRUPPENRICHTLINIE.
씰 Damit das GPO angewandt wird, muss der Benutzer für das GPO die Berech-
tigungen LESEN UND GRUPPENRICHTLINIE ANWENDEN besitzen.
씰 Um die Gruppenrichtlinienverarbeitung zu verweigern oder so zu filtern, dass
sie nicht auf den Benutzer, die Gruppe oder den Computer angewandt wird,
wählen Sie die Option VERWEIGERN zum Privileg GRUPPENRICHTLINIE
ANWENDEN für den Benutzer, die Gruppe oder den Computer.
Ändern von Gruppenrichtlinien

Berücksichtigen Sie beim Ändern von Gruppenrichtlinien Folgendes:
씰 Ändern von Gruppenrichtlinien bedeutet Ändern ihrer Einstellungen mit

Hilfe des MMC-Snap-Ins GRUPPENRICHTLINIENEDITOR.
씰 Nur Benutzer mit Lese- und Schreibberechtigung für ein GPO können dieses
ändern.
씰 Nach der Änderung des GPO werden die neuen Einstellungen innerhalb von
5 Minuten an Domänencontroller repliziert und innerhalb von 90 Minuten bei
Benutzern und Computern angewandt, aber diese Einstellung kann mit Grup-
penrichtlinien geändert werden.
씰 Der Administrator kann den unbenutzten Teil eines GPO (entweder Benut-
zer- oder Computerteil) deaktivieren, um die Übertragung von GPO-Vorla-
gen an Computer zu beschleunigen. Bei Deaktivierung der Benutzer- und der
Computerkonfiguration wird das gesamte GPO deaktiviert.
10.3.2 Verwaltung und Fehlersuche bei

Benutzerumgebungen mittels Gruppenrichtlinien
Sie sollten allgemein mit dem Unterschied zwischen Skripte und administrativen
Vorlagen vertraut sein.
GPO-Einstellungen können durch administrative Vorlagen oder durch Skripte

umgesetzt werden.
Administrative Vorlagen und Skripte können für Computer und für Benutzer konfi-
guriert werden.
Steuerung von Benutzerumgebungen mittels administrativer Vorlagen

Berücksichtigen Sie bei der Steuerung von Benutzerumgebungen mittels administ-
rativer Vorlagen Folgendes:
씰 Administrative Vorlagen ändern bei der Anwendung der Einstellungen die

Registrierung für den Benutzer bzw. Computer.
씰 Einstellungen für administrative Vorlagen werden nach den Regeln der Grup-
penrichtlinienvererbung umgesetzt, es sei denn, die Vererbung wurde blo-
ckiert oder KEIN VORRANG wurde aktiviert.
씰 Tritt bei der Anwendung der Einstellungen einer administrativen Vorlage ein
Konflikt zwischen einem Benutzer und einem Computer auf, so haben die
Computereinstellungen immer Vorrang vor den Benutzereinstellungen.
Zuordnung von Skriptrichtlinien an Benutzer und Computer

Berücksichtigen Sie bei der Zuordnung von Skriptrichtlinien an Benutzer und Com-
puter Folgendes:
씰 Skripte können BAT- oder CMD-Dateien sowie alle von Windows Scipting
Host unterstützten Dateien sein.
씰 Mit Skripte werden Benutzer und/oder Einstellungen konfiguriert, die mit
anderen Elementen von Gruppenrichtlinien nicht konfigurierbar sind.
씰 Wenn bei der Anwendung von Skripte ein Konflikt auftritt, werden die Ein-
stellungen des zuletzt ausgeführten Skripte wirksam, ganz gleich, ob es sich
um ein Benutzeranmeldeskript oder ein Systemstartskript handelt.
10.3.3 Verwaltung und Fehlerbehebung bei Software mittels

Gruppenrichtlinien
Für diese Zielsetzung müssen Sie vertraut sein mit den Methoden zur Bereitstellung
von Software für Benutzer und Computer (veröffentlichen und zuweisen), zur Aktu-
alisierung von Softwarepaketen mittels Gruppenrichtlinien, zur erneuten Bereitstel-
lung von Paketen mit gepatchten Dateien und zum Entfernen von Software mittels
Gruppenrichtlinien.
Bereitstellen von Software mittels Gruppenrichtlinien

Berücksichtigen Sie bei der Bereitstellung von Software mittels Gruppenrichtlinien
Folgendes:
씰 Die mittels Gruppenrichtlinien bereitzustellende Software muss in einem mit

Windows Installer kompatiblen Format vorliegen, d.h. als Windows Instal-
ler-Paket oder als ZAP-Datei.
씰 Software kann mittels Gruppenrichtlinien durch Veröffentlichung oder durch
Zuweisung an Benutzer geliefert werden.
씰 Bei Zuweisung eines Softwarepakets an einen Computer oder einen Benutzer
wird das Paket automatisch installiert (im Falle des Computers) bzw. es wer-
den Symbole auf dem Desktop hinterlegt, wenn das Paket installiert wurde
(im Falle eines Benutzers).
씰 Durch Veröffentlichung wird die Anwendung dem Benutzer zur Verfügung
gestellt, aber nicht sofort installiert. Die Installation erfolgt entweder über
SYSTEMSTEUERUNG/SOFTWARE oder per Dokumentaktivierung.
씰 Bei der Dokumentaktivierung wird ein Softwarepaket installiert, wenn der
Benutzer eine Datei öffnet, deren Erweiterung mit diesem Paket verknüpft ist.
씰 Nur MSI-Dateien (Windows-Installer-Paketdateien) können Benutzern zuge-

wiesen oder veröffentlicht werden, weil sie die Informationen enthalten, die
für die Installation der Anwendung ohne Benutzereingriff erforderlich sind.
씰 ZAP-Dateien können nur veröffentlicht werden, und der Benutzer muss den
normalen Installationsprozess für die Softwareanwendung durchführen.
씰 Es gibt Tools von Drittanbietern zum Umpacken einer Anwendung, die nicht
in einem MSI-Format (Windows-Installer-Paket) vorliegt. Veritas WinINS-
TALL LE befindet sich auf der Windows-2000-CD-ROM.
씰 Administratoren können Transformationsdateien (MST) einsetzen, um ein
und dasselbe Softwarepaket mit unterschiedlichen Optionen für verschiedene
Organisationseinheiten im Unternehmen bereitzustellen.
씰 Transformationsdateien (MST) ändern ein vorhandenes Paket, um bestimmte
Anforderungen zu erfüllen, z.B. Sprache oder geografischer Standort.
씰 Mit Hilfe von Softwarekategorien können Administratoren die Software kate-
gorisieren, um den Benutzern die Auswahl der zu installierenden Software
über SYSTEMSTEUERUNG->SOFTWARE zu erleichtern.
Wartung von Software mittels Gruppenrichtlinien
Berücksichtigen Sie bei der Wartung von Software mittels Gruppenrichtlinien Fol-
gendes:
씰 Softwareaktualisierungen können mittels Gruppenrichtlinien bereitgestellt

werden. Aktualisierungen können für eine vorhandene Anwendung obligato-
risch oder optional sein.
씰 Obligatorische Aktualisierungen werden installiert, ohne den Benutzer an der
Entscheidung zu beteiligen.
씰 Optionale Aktualisierungen überlassen dem Benutzer die Entscheidung, ob er
bzw. sie auf die neueste Version aktualisieren möchte.
씰 Das Entfernen von Software kann ebenfalls durch Gruppenrichtlinien konfi-
guriert werden, und zwar zwangsweise oder wahlweise.
씰 Beim zwangsweisen Entfernen muss das Softwarepaket vom Computer des
Benutzers entfernt werden, wogegen eine optionale Entfernung dem Benutzer
die Möglichkeit lässt, die Software weiterhin zu benutzen, nachdem sie für
die Entfernung vorgemerkt wurde.
Konfiguration von Bereitstellungsoptionen
Berücksichtigen Sie bei der Konfiguration von Bereitstellungsoptionen Folgendes:
씰 Software kann mittels Gruppenrichtlinien entweder durch Veröffentlichung

oder durch Zuweisung an Benutzer geliefert werden.
씰 Bei Zuweisung eines Softwarepakets an einen Computer oder einen Benutzer

wird das Paket automatisch installiert (im Falle des Computers) bzw. es wer-
den Symbole auf dem Desktop hinterlegt, wenn das Paket installiert wurde
(im Falle eines Benutzers).
씰 Durch Veröffentlichung wird die Anwendung dem Benutzer zur Verfügung
gestellt, aber nicht sofort installiert. Die Installation erfolgt entweder über
SYSTEMSTEUERUNG/SOFTWARE oder per Dokumentaktivierung.
씰 Bei der Dokumentaktivierung wird ein Softwarepaket installiert, wenn der
Benutzer eine Datei öffnet, deren Erweiterung mit diesem Paket verknüpft
ist.
씰 Nur MSI-Dateien (Windows-Installer-Paketdateien) können Benutzern zuge-
wiesen oder veröffentlicht werden, weil sie die Informationen enthalten, die
für die Installation der Anwendung ohne Benutzereingriff erforderlich sind.
씰 ZAP-Dateien können nur veröffentlicht werden, und der Benutzer muss den
normalen Installationsprozess für die Softwareanwendung durchführen.
Fehlersuche bei verbreiteten Problemen während der
Softwarebereitstellung
Berücksichtigen Sie bei der Fehlersuche bei verbreiteten Problemen während der
Softwarebereitstellung Folgendes:
씰 Die meisten Probleme bei der Bereitstellung von Software mittels Gruppen-
richtlinien sind auf Netzwerkfehler zurückzuführen, wie etwa Unerreichbar-
keit des Softwareverteilungspunkts, oder haben mit der Anwendung von
Gruppenrichtlinien zu tun.
씰 Beim Einkreisen des Problems müssen Sie sich nach wie vor an alle Regeln
halten, die für Richtlinienvererbung, Filterung und andere Elemente gelten.
Verwaltung der Netzwerkkonfiguration mittels Gruppenrichtlinien
Zur Prüfung Ihrer Kenntnisse über die Verwaltung der Netzwerkkonfiguration mit-
tels Gruppenrichtlinien wird Microsoft den Computerteil von Gruppenrichtlinien-
vorlagen heranziehen. Außerdem sollten Sie damit vertraut sein, welche Typen von
Einstellungen angewandt werden können und was bei einem Konflikt zwischen
Benutzer- und Computereinstellungen passiert. Daneben werden Sie auch zu ande-
ren Elementen von Gruppenrichtlinien (Vererbung, Filterung usw.) allgemein
geprüft, was deren Anwendung auf Computer betrifft.
씰 Einstellungen, die für den Computer konfiguriert werden können, werden in

der folgenden Tabelle umrissen.
Einstellungstyp Zur Steuerung von
Windows- Teilen von Windows 2000 und seiner Hilfsprogramme. Hier können
Komponenten Sie das Verhalten von Teilen von Windows 2000 konfigurieren,
darunter Internet Explorer, Microsoft NetMeeting, Windows
Installer, Taskplaner. Zu den konfigurierbaren Dingen gehören u.a.,
ob das Programm installiert werden darf, die Konfiguration des
Programms auf dem Computer, welche Teile des Programms benutzt
werden dürfen und wie sich das Programm nach dem Start verhalten
soll.
System Betrieb von Teilen von Windows 2000, u.a. was geschieht nach An-
oder Abmeldung, DNS-Clientsuffix-Konfiguration, ob Festplatten-
kontingente erzwungen werden sollen, und Merkmale von Gruppen-
richtlinien, etwa interne Aktualisierung. Außerdem wird damit der
Windows-Dateischutz sowie die Möglichkeit von Windows 2000
gesteuert, wichtige Systemdateien automatisch zu ersetzen, wenn sie
von anderen Programmen überschrieben wurden.
Netzwerk Attributen von Netzwerkverbindungen, z.B. ob gemeinsame Verbin-
dungsnutzung auf dem Computer aktiviert werden soll, sowie das
Verhalten von Offlinedateien, u.a. wie und wann die Synchronisie-
rung stattfindet.
Drucker Konfiguration von Druckern, z.B. ob sie in Active Directory veröf-
fentlicht werden dürfen, ob Drucker automatisch veröffentlicht
werden sollen, ob veröffentlichtes oder nicht-webgestütztes Drucken
zulässig ist, sowie weitere Einstellungen wie Computerstandort,
Abfragehäufigkeit für Drucker und andere.
씰 Bei einer Einstellung in einer administrativen Vorlage, die sowohl im Com-

puterteil als auch im Benutzerteil von Gruppenrichtlinien vorkommt, wird
immer die Einstellung des Computerteils angewandt.
10.3.4 Bereitstellung von Windows 2000 mittels

Remoteinstallationsdiensten
Remoteinstallationsdienste (RIS) ist eine Komponente der Technologie IntelliMir-
ror von Windows 2000, mit der Sie Windows-2000-Professional-Images während
der Startphase auf einem Clientcomputer bereitstellen können.
Microsoft testet Ihre Kenntnisse über Remoteinstallationsdienste während der Prü-

fung in mehreren Bereichen. Sie müssen die Voraussetzungen für die Konfiguration
eines RIS-Servers, die Clientvoraussetzungen, das Vorgehen bei der Erstellung
eines CD-basierten Image wie auch eines RIPrep-Image, sowie die Fehlerbehebung
bei verbreiteten Problemen mit Remoteinstallationsdiensten kennen.
Installation eines Image auf einem RIS-Clientcomputer

Berücksichtigen Sie bei der Installation eines Image auf einem RIS-Clientcomputer
Folgendes:
씰 RIS unterstützt Clientcomputer, welche die NetPC-Spezifikation erfüllen,

und Computer mit einer PXE-Netzwerkkarte (Pre-Boot Execution Environ-
ment) mit einem PXE-fähigen Boot-ROM der Version .99c oder höher.
씰 Clientcomputer, die keine PXE-fähige Netzwerkkarte enthalten, können den-
noch mittels RIS und Erstellung einer Remotestartdiskette bereitgestellt wer-
den. Diese Clients müssen eine von der Remotestartdiskette unterstützte
Netzwerkkarte enthalten.
씰 Damit die Installation von Windows 2000 Professional mittels RIS gestartet
werden kann, muss die PXE-fähige Netzwerkkarte, bzw. bei Verwendung der
Remotestartdiskette das Diskettenkaufwerk, das erste Startgerät des Compu-
ters sein. Drücken Sie während der Startphase (F12), um einen gestaffelten
Start anzukündigen, worauf der DHCP-Server aufgefordert wird, dem Com-
puter eine IP-Adresse zuzuordnen und ihn mit einem RIS-Server zu verbin-
den.
Erstellung einer Remotestartdiskette
Berücksichtigen Sie bei der Erstellung einer Remotestartdiskette Folgendes:
씰 Clientcomputer, die keine PXE-fähige Netzwerkkarte enthalten, können den-

noch mittels RIS und Erstellung einer Remotestartdiskette bereitgestellt wer-
den. Diese Clients müssen eine von der Remotestartdiskette unterstützte
Netzwerkkarte enthalten.
씰 Die Remotestartdiskette wird erstellt durch Ausführung von RBFG.EXE im
Ordner REMINST\ADMIN\i386 des RIS-Servers.
씰 Eine Remotestartdiskette kann für unterstützte PCI-Netzwerkkarten konfigu-
riert werden. Eine Liste der unterstützten Netzwerkkarten ist nach Ausfüh-
rung des Programms RBFG.EXE verfügbar.
Konfiguration von Remoteinstallationsoptionen
Berücksichtigen Sie bei der Konfiguration von Remoteinstallationsoptionen Fol-
gendes:
씰 Der RIS-Server ist von anderen Windows-2000-Technologien abhängig, dar-

unter Active Directory, DNS und DHCP.
씰 RIS muss auf einem Computer mit Windows 2000 Server, Advanced Server
oder Data Center Server installiert werden. Es sind zwei Festplattenpartitio-
nen erforderlich. Die Partition zum Speichern der Images muss mit NTFS
formatiert sein und darf nicht die Systempartition sein.
씰 Die Installation eines RIS-Servers erfolgt über den Assistenten für die Konfi-
guration des Servers oder über WINDOWS-KOMPONENTEN HINZUFÜGEN/ENT-
FERNEN in der Systemsteuerung unter SOFTWARE. Bei der Installation von
RIS werden alle von RIS benötigten Dateien installiert. Sie müssen den RIS-
Server allerdings noch konfigurieren.
씰 Ein RIS-Server wird nach der Installation von RIS mit dem Assistenten zur
Installation der Remoteinstallationsdienste konfiguriert. Dieser kann von der
Befehlszeile mit dem Befehl risetup, über START/AUSFÜHREN oder über
SOFTWARE gestartet werden.
씰 Bei der Konfiguration des RIS-Servers wird auf dem Server ein erstes CD-
basiertes Image erstellt, und es werden alle von RIS benötigten Dienste
gestartet, darunter Trivial File Transfer Protocol (TFTP), Single Instance
Store (SIS) und der Boot Service Manager-Dienst (BINLSVC).
Fehlerbehebung bei RIS-Problemen
Verbreitete RIS-Probleme werden in der folgenden Tabelle aufgeführt.
Clientcomputer erhalten keine Höchstwahrscheinlich ist ein Windows-2000-DHCP-

IP-Adresse. Beim Startvor- Server nicht verfügbar.
gang wird keine DHCP- Prüfen Sie zuerst, ob Nicht-RIS-Clients eine IP-Adresse
Meldung angezeigt von DHCP erhalten. Wenn nicht, prüfen Sie, ob Ihr
DHCP-Server aktiv ist. Wenn ja, prüfen Sie, ob der
DHCP-Server ein Windows-2000-DHCP-Server ist, d.h.
in Active Directory autorisiert wurde, und dass es kein
Windows-NT-4.0-DHCP-Server ist. Ist dies der Fall, so
verifizieren Sie, dass sich Client und DHCP-Server in
unterschiedlichen physischen Subnetzen befinden, und
dass ein DHCP-Relay-Agent im gleichen Subnetz wie
der RIS-Clientcomputer verfügbar ist und funktioniert.
Stellen Sie schließlich sicher, dass dem DHCP-Server
Adressen zum Verleasen zur Verfügung stehen, und dass
der Gültigkeitsbereich von DHCP aktiviert wurde.
Clients erhalten eine IP- Die wahrscheinlichste Ursache für dieses Problem ist,
Adresse, aber es wird keine dass der RIS-Server nicht online ist. Eine weitere
BINL-Meldung angezeigt, die mögliche Ursache könnte sein, dass der RIS-Server zwar
auf eine Verbindung mit dem online ist, aber in Active Directory nicht autorisiert
RIS-Server hinweist. wurde. Bringen Sie den RIS-Server online und autori-
sieren Sie ihn.
Clientcomputer können die Dies wird höchstwahrscheinlich von einem hängenden
Übertragung von einem RIS- NetPC Boot Service Manager (BINLSVC) auf dem RIS-
Server nicht starten. Server verursacht. In dieser Situation wird auf dem
Client die BINL-Meldung angezeigt, die darauf
hinweist, dass mit einem RIS-Server Kontakt aufge-
nommen wurde, aber weiter geschieht nichts. Stoppen
Sie den NetPC Boot Service Manager Service, und
starten Sie ihn neu, um das Problem zu korrigieren.
Clients, die eine Remotestart- Die wahrscheinlichste Ursache für dieses Problem ist,
diskette verwenden, können dass der Clientcomputer eine Netzwerkkarte enthält, die
keine Verbindung mit dem von der Remotestartdiskette nicht unterstützt wird.
RIS-Server herstellen. Prüfen Sie, ob die Netzwerkkarte in der Adapterliste des
Programms Remotestart-Diskettenerstellung angezeigt
wird. Wenn nicht, ersetzen Sie die Netzwerkkarte durch
eine aus der Liste.
Durch Drücken auf (F12) Die wahrscheinlichste Ursache für dieses Problem ist,
wird ein Remotestart einge- dass die PXE-fähige Netzwerkkarte ein Boot-ROM mit
leitet, aber der Client kann einer älteren Version als .99c enthält. Die Version des
keine Verbindung mit dem Boot-ROM für PXE muss .99c oder neuer sein. Bei
RIS-Server herstellen. einigen Netzwerkkarten kann Version .99i notwendig
sein, damit sie richtig funktionieren.
Wechseln Sie die Netzwerkkarte oder das Boot-ROM
aus, um dieses Problem zu beheben.
Dieses Problem kann auch auftreten, wenn der RIS-
Server nicht in Betrieb ist. Stellen Sie sicher, dass ein
RIS-Server betriebsbereit ist.
Installationsoptionen sind Die wahrscheinlichste Ursache für dieses Problem sind
wider Erwarten für einen Konflikte bei Gruppenrichtlinien. Wenn für den
Benutzer nicht verfügbar. Benutzer ein GPO auf Organisationseinheitenebene defi-
niert ist, könnte ein GPO auf höherer Ebene die Einstel-
lung KEIN VORRANG aktiviert haben und ebenfalls Konfi-
gurationseinstellungen für RIS enthalten.
Überprüfen Sie die GPO-Rangfolge für den Benutzer.
Verwaltung von Images für die Durchführung von Remoteinstallationen

Berücksichtigen Sie bei der Verwaltung von Images für die Durchführung von
Remoteinstallationen Folgendes:
씰 Bei der Konfiguration des RIS-Servers wird auf dem Server ein erstes CD-
basiertes Image erstellt, und es werden alle von RIS benötigten Dienste
gestartet, darunter Trivial File Transfer Protocol, Single Instance Store und
der Boot Service Manager-Dienst.
씰 Die zur Installation von Windows 2000 Professional mittels RIS verwendeten
Images können CD-basierte Images oder RIPrep-Images (Remote Installation
Preparation) sein.
씰 CD-basierte Images enthalten Kopien von Dateien, die zur Installation von
Windows 2000 Professional benötigt werden, und der Ablauf entspricht
genau einer unbeaufsichtigten Installation von der Windows-2000-Professio-
nal-CD.
씰 Bei RIPrep-Images können Sie Windows 2000 Professional sowie zusätzli-
che Anwendungen auf einem Quellcomputer konfigurieren, ein Image in
einem gemeinsamen RIS-Ordner erstellen, das die gesamte Computerkonfi-
guration enthält, und dieses auf Zielcomputern bereitstellen. RIPrep-Images
bieten die schnellste Möglichkeit zur Bereitstellung von Betriebssystem und
Anwendungen.
씰 RIPrep-Images erfordern einen Referenzcomputer, auf dem Windows 2000
Professional und alle Anwendungen installiert sind, sowie das Programm
SYSPREP zur Vorbereitung des Image.
씰 Alle Images sind mit einer Antwortdatei (SIF) verknüpft, die mit dem Pro-
gramm Installations-Manager erstellt wird. Dieses Programm ist Bestandteil
des Windows 2000 Resource Kit und befindet sich im Ordner TOOLS auf der
CD-ROM von Windows 2000.
씰 Durch Zuordnung von Berechtigungen zur Antwortdatei (SIF) können Sie
einschränken, wer ein bestimmtes Paket installieren darf.
씰 Ein RIS-Server kann mehrere Images enthalten. Images müssen in einer sepa-
raten Partition gespeichert werden, die mit NTFS formatiert wurde. Ein Netz-
werk kann auch mehrere RIS-Server enthalten, von denen jeder dieselben
oder unterschiedliche Images enthalten kann. Gebräuchliche Images sollten
zwecks Lastausgleich auf mehrere Server kopiert werden.
10.3.5 Konfiguration der RIS-Sicherheit

Damit RIS funktioniert, müssen Sie den RIS-Server autorisieren und die Images mit
geeigneten Berechtigungen versehen, sodass sie zu den Benutzern gefiltert werden,
die sie benötigen. Microsoft wird Ihre Kenntnisse darüber testen, wie ein RIS-Ser-
ver autorisiert wird, wie Berechtigungen für Images festgelegt werden und wie fest-
gelegt wird, welche Benutzer Computerkonten in der Domäne erstellen dürfen.
Autorisierung eines Servers

Berücksichtigen Sie bei der Autorisierung eines Servers Folgendes:
씰 Ein RIS-Server muss in Active Directory autorisiert werden, damit er Clients,

die Windows 2000 Professional installieren möchten, die Images zur Verfü-
gung stellen kann.
씰 Die Autorisierung eines RIS-Servers erfolgt im MMC-Snap-In DHCP.
씰 Ist der RIS-Server zugleich ein DHCP-Server, so ist er automatisch autori-
siert, weil bei DHCP-Servern der gleiche Vorgang notwendig ist, damit sie
IP-Adressen ausgeben können.
Vergabe von Rechten zur Erstellung von Computerkonten
Berücksichtigen Sie bei der Vergabe von Rechten zur Erstellung von Computerkon-
ten Folgendes:
씰 Damit ein Benutzer, der mittels RIS ein Image für einen Computer bereitstel-
len möchte, ein Computerkonto erstellen kann, muss er bzw. sie die Berechti-
gung zum Erstellen von Computerobjekten innerhalb des Containers
besitzen, in dem das Computerkonto erstellt werden soll.
씰 Benutzern können die erforderlichen Privilegien über die Registerkarte
SICHERHEITSEINSTELLUNGEN des Dialogfelds EIGENSCHAFTEN FÜR DEN
ACTIVE DIRECTORY-CONTAINER oder über den Assistenten zum Zuweisen
der Objektverwaltung gewährt werden.
씰 Domänen-Admins und Organisations-Admins besitzen standardmäßig die
Berechtigung zum Erstellen von Computerobjekten für alle Active Directory-
Container.
씰 Benutzer, die Windows 2000 Professional auf einem Computer installieren,
der nicht vorkonfiguriert wurde, müssen das Privileg zum Erstellen von Com-
puterobjekten innerhalb des Containers besitzen, in dem das Computerkonto
erstellt werden soll.
씰 Der Container, in dem das Computerkonto erstellt werden soll, kann unter
ERWEITERTE EIGENSCHAFTEN des RIS-Servers in ACTIVE DIRECTORY-
BENUTZER UND -COMPUTER konfiguriert werden, ebenso wie das bei der
Erstellung des Computerkontos zu verwendende Namensformat.
Vorkonfiguration von RIS-Clientcomputern für zusätzliche Sicherheit und
Lastausgleich
Berücksichtigen Sie bei der Vorkonfiguration von RIS-Clientcomputern für zusätz-
liche Sicherheit und Lastausgleich Folgendes:
씰 Clientcomputer können vorkonfiguriert werden. Dazu gehört die Erstellung

des Clientcomputers im passenden Active Directory-Container mittels
ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
씰 Der global eindeutige Kennzeichner (GUID) des Computers wird zur Vor-
konfiguration benötigt und befindet sich im BIOS des Computers oder auf
einem Aufkleber des Herstellers.
씰 Ein vorkonfigurierter Client kann so konfiguriert werden, dass er sein Image
direkt von einem bestimmten RIS-Server erhält, damit gewährleistet ist, dass
der Client das benötigte Image erhält.
씰 Computer, bei denen eine Remotestartdiskette erforderlich ist, können eben-
falls vorkonfiguriert werden, indem die MAC-Adresse durch Auffüllen mit
führenden Nullen auf das GUID-Format gebracht wird.
10.4 Verwaltung, Überwachung und

Optimierung der Komponenten von Active
Directory
In diesem Abschnitt kommen wir zu den Feinheiten der Verwaltung. Hier müssen
Sie wissen, wie Objekte in Active Directory hinzugefügt werden. Die Aktionen sind
zwar einfach, aber Microsoft wird Sie in der Prüfung mit einigen einzigartigen Situ-
ationen konfrontieren, und Sie sollten sich darauf vorbereiten, die Auswahl mit der
Eliminationsmethode einzuengen.
10.4.1 Verwaltung von Active Directory-Objekten

Dies ist ein breit angelegtes Thema, weil es viele Objekttypen gibt und eine Reihe
von Dingen, die Sie mit diesen anstellen können. Denken Sie jedoch daran, dass alle
Dinge Objekte sind, damit Sie alle gleich behandeln können. Wenn daher in der
Prüfung nach dem Verschieben eines Benutzers gefragt wird, denken Sie daran,
dass es dasselbe ist wie das Verschieben eines Computers oder eines beliebigen
anderen Objekts.
10.4 Verwaltung, Überwachung... 817
Verschieben von Active Directory-Objekten

Berücksichtigen Sie beim Verschieben von Active Directory-Objekten Folgendes:
씰 Zum Verschieben gehört nicht nur das Verschieben innerhalb von Active
Directory, sondern auch zwischen Active Directory und anderen Verzeichnis-
diensten. Dazu gehört auch die Verwendung der Programme LDIFDE und
CSVDE. Diese können zum Verschieben von Daten zwischen unterschiedli-
chen Arten von Systemen verwendet werden.
씰 Das Verschieben eines Objekts beschränkt sich in ACTIVE DIRECTORY-
BENUTZER UND -COMPUTER auf die Domäne, weil die eindeutige ID der
Domäne den ersten Teil der SID des Objekts ausmacht. Um ein Objekt in
eine andere Domäne zu verschieben, müssen Sie MOVETREE einsetzen, das
für diesen Zweck mitgeliefert wird.
씰 Innerhalb einer Domäne können Sie den Befehl VERSCHIEBEN im Kontext-
menü verwenden.
씰 Denken Sie beim Verschieben (oder Löschen) eines Containers, z.B. einer
Organisationseinheit, daran, dass die von einem anderen Benutzer in dieser
Zeit erstellten neuen Objekte in Lost and Found landen. Prüfen Sie diesen
Container gelegentlich.
Veröffentlichen von Ressourcen in Active Directory
Berücksichtigen Sie beim Veröffentlichen von Ressourcen in Active Directory Fol-
gendes:
씰 Bedenken Sie, dass ein verteiltes Dateisystem (DFS) ein eigenständiges Sys-
tem oder ein fehlertolerantes System sein kann. Dieses wird nicht in Active
Directory veröffentlicht. Bei der Veröffentlichung wird eine vorhandene
Freigabe in Active Directory verfügbar gemacht.
씰 Windows-2000-Drucker werden standardmäßig veröffentlicht. Ob dies
geschieht oder nicht, hängt von der Einstellung des Kontrollkästchens IN
VERZEICHNISLISTE ANZEIGEN ab.
씰 Nicht-Windows-2000-Drucker können veröffentlicht werden durch Erstel-
lung des Druckerobjekts mittels ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER.
씰 Ein Nicht-Windows-2000-Drucker kann außerdem veröffentlicht werden,

indem Sie den Drucker als lokalen Drucker einem Windows-2000-Server
hinzufügen und den Anschluss als Netzwerkadresse der aktuellen Freigabe
konfigurieren. Bei Freigabe des Windows-2000-Druckers wird er dann stan-
dardmäßig in Active Directory aufgelistet.
씰 Freigaben werden mit dem Programm ACTIVE DIRECTORY-BENUTZER UND

-COMPUTER zu Active Directory hinzugefügt.
Auffinden von Objekten in Active Directory
Berücksichtigen Sie beim Suchen von Objekten in Active Directory Folgendes:
씰 Sie sollten wissen, wo Administratoren und Benutzer suchen können. Admi-

nistratoren können in der Konsolenstruktur von ACTIVE DIRECTORY-BENUT-
ZER UND -COMPUTER suchen. Benutzer können in SUCHEN und in
NETZWERKUMGEBUNG nach Objekten suchen.
씰 Sie sollten die Funktionen der Registerkarten für die wichtigsten Objekte
kennen: Computer, Drucker und Gruppen. Es wird zwar eigentlich nicht
erwartet, dass Sie sämtliche Optionen auswendig lernen, aber Sie sollten wis-
sen, wo eine Option zu finden ist.
씰 Nachdem Sie ein Objekt bzw. eine Gruppe von Objekten gefunden haben,
sollten Sie in der Lage sein, diese Objekte zu manipulieren, indem Sie sie in
einer Liste auswählen und im Kontextmenü einen Befehl wählen.
Erstellen und Verwalten von Konten, manuell oder per Skript
Berücksichtigen Sie beim Suchen von Objekten in Active Directory Folgendes:
씰 Sie sollten wissen, wie mit ACTIVE DIRECTORY-BENUTZER UND -COMPUTER

sowie anderen AD-Tools ein Objekt erstellt wird.
씰 Sie sollten wissen, dass die Programmierschnittstelle ADSI heißt und mit
einem COM-Objekt namens LDAP arbeitet. Mit diesem Objekt können Sie
sich mit der Verzeichnisstruktur in Standorten mit unterschiedlicher Basis
verbinden und Operationen ausführen.
씰 Denken Sie daran, dass LDIFDE und CSVDE zum Kopieren von Objekten in
beiden Richtungen verwendet werden können. Die Datei kann außerhalb von
Active Directory bearbeitet und dann wieder importiert werden.
씰 Sie können einen Microsoft Exchange-Connector zum Aufbau einer Verbin-
dung mit Exchange Server 5.5 Service Pack 3 verwenden und Benutzer,
Gruppen sowie Kontaktinformationen austauschen.
씰 Sie können nach wie vor die Befehle NET USER und NET GROUP zur Ver-
waltung von Benutzern verwenden.
Steuern des Zugriffs auf Active Directory-Objekte

Berücksichtigen Sie beim Steuern des Zugriffs auf Active Directory-Objekte Fol-
gendes:
씰 Denken Sie daran, dass eine der wichtigsten Eigenschaften jedes Objekts die
Zugriffssteuerungsliste (ACL) ist. In dieser wird festgelegt, was Benutzer mit
dem Objekt anstellen dürfen. Die Zugriffssteuerungsliste besteht aus
Zugriffssteuerungseinträgen.
씰 Die innerhalb von Containerobjekten erstellten Objekte erben die Berechti-
gungen der betreffenden Containerobjekte. Diese Vererbung kann deaktiviert
werden. In diesem Fall werden Sie gefragt, was mit den vorhandenen Berech-
tigungen geschehen soll: Beibehalten oder Entfernen.
씰 Die Berechtigungen des Benutzers sind an den Benutzerprozess gekoppelt.
Wenn der Prozess einen Zugriff versucht, wird die SID aus den Berechtigun-
gen (Zugriffstoken) mit den Einträgen in der Zugriffssteuerungsliste vergli-
chen.
씰 Bei der Festlegung von Berechtigungen haben Sie in der Regel die Möglich-
keit, diese auf ein Objekt, das Objekt und dessen untergeordnete Objekte oder
nur auf untergeordnete Objekte anzuwenden.
Delegieren der administrativen Zuständigkeit für Objekte in Active
Directory
Berücksichtigen Sie beim Delegieren der administrativen Zuständigkeit für Objekte
in Active Directory Folgendes:
씰 Wenn Sie die Zuständigkeit delegieren, legen Sie für das Objekt und unterge-
ordnete Objekte Berechtigungen fest.
씰 Der Assistent zum Zuweisen der Objektverwaltung sollte verwendet werden,
um das Delegieren zu vereinfachen. Er stellt die Berechtigungen einschließ-
lich erweiterter Berechtigungen für Sie ein.
씰 Delegiert wird normalerweise an Organisationseinheiten. Dies ist deren
Hauptzweck.
씰 Sie sollten wissen, welche die wichtigsten Berechtigungen sind und wofür sie
vergeben werden. Denken Sie daran, dass Berechtigungen für Objekte und
für Eigenschaften festgelegt werden können.
10.4.2 Management der Leistung von Active Directory

Für diese Zielsetzung müssen Sie sich in erster Linie merken, welche Programme
zur Verwaltung von Servern und zur Beobachtung von Active Directory allgemein
verwendet werden.
Überwachung, Pflege und Korrektur der Leistung von

Domänencontrollern
Berücksichtigen Sie bei der Überwachung, Pflege und Korrektur der Leistung von
Domänencontrollern Folgendes:
씰 Die wichtigsten Programme sind hier Systemmonitor, Netzwerkmonitor und

Task-Manager.
씰 Der Systemmonitor kann jedes Detail über den Computer messen und die
aktuelle Leistung protokollieren, damit die zeitliche Entwicklung verfolgt
werden kann. Er wird auch zur Erstellung einer Leistungsübersicht verwen-
det.
씰 Im Systemmonitor sind Objekte die Teile des zu überwachenden Systems. Ein
Objekt besitzt mehrere Datenquellen, welche die messbaren Aspekte des
Objekts darstellen, und Instanzen stehen für jedes Vorkommen eines Objekts.
씰 Im Netzwerkmonitor können Sie Netzwerkverkehr abfangen und anzeigen,
und er hilft Ihnen, den Datenverkehr in sinnvolle Informationen zu zerlegen.
Dies kann bei Kommunikationsproblemen genutzt werden, um die Informati-
onen auf der Leitung sichtbar zu machen.
씰 Task-Manager ist eine Möglichkeit, einen raschen Blick auf die aktuelle Sys-
temleistung zu werfen, aber er verfolgt die Leistung nicht über die Zeit
hinweg. Er kann außerdem verwendet werden, um die Priorität und Prozesso-
raffinität eines laufenden Programms zu ändern.
씰 Denken Sie daran, gelegentlich die Datenbank zu komprimieren. Dies wird
mit NTDSUTIL erledigt.
Überwachung, Wartung und Korrektur von Active Directory-Komponenten
Berücksichtigen Sie bei der Überwachung, Wartung und Korrektur von Active
Directory-Komponenten Folgendes:
씰 Denken Sie an die weiter vorne erwähnten Informationen über Betriebsmas-

ter.
씰 Denken Sie daran, dass alles voraussetzt, dass DNS betriebsbereit ist.
씰 Merken Sie sich die folgenden Programme:
ACLDiag. Mit diesem Programm können Sie feststellen, ob ein Benutzer Zu-
griff auf ein Verzeichnisobjekt hat. Es kann außerdem die Zugriffssteue-
rungsliste auf ihren Standardzustand zurücksetzen.
ADSIEdit. Mit diesem MMC-Snap-In können Sie alle Objekte im Verzeich-
nis anzeigen und ändern oder Zugriffssteuerungslisten für sie festlegen.
DNSCMD. Dieses Programm überprüft die dynamische Registrierung von
DNS-Ressourcendatensätzen.
DOMMAP. Dieses Programm prüft die Replikationstopologie und die Do-
mänenbeziehungen.
DSACLS. Damit können Sie die Zugriffssteuerungslisten von Verzeichnis-
objekten überprüfen und bearbeiten.
DSAStat. Damit werden Informationen über Domänencontroller verglichen,
um Unterschiede zu ermitteln.
ESEUtil. Dieses Programm arbeitet an der Komponente für erweiterbaren
Hintergrundspeicher und kann Datenbankdateien reparieren, überprüfen,
komprimieren, verschieben und abbilden. NTDSUTIL ruft diese Funktionen
auf, um verschiedene Aufgaben zu erledigen.
NETDOM5. Dieses Programm wickelt die Verwaltung von Vertrauensstel-
lungen im Stapelbetrieb ab durch Aufnahme von Computern in Domänen und
Überprüfung von Vertrauensstellungen und sicheren Kanälen.
NETTest. Dieses Programm kann die Ende-zu-Ende-Netzwerkkonnektivität
sowie Funktionen von verteilten Diensten überprüfen.
NLTest. Dieses Programm prüft, ob der Locator-Dienst und der sichere Ka-
nal funktionieren.
NTDSUtil. Neben der Verwaltung von Betriebsmastern und der Zulassung
von maßgebenden Wiederherstellungsvorgängen verwaltet dieses Programm
die Datenbankdateien (mittels ESEUtil) und listet Standort-, Domänen- und
Serverinformationen auf.
REPAdmin. Damit werden die Replikationskonsistenz zwischen Replikati-
onspartnern überprüft, der Replikationsstatus überwacht, Replikations-Meta-
daten angezeigt sowie Replikationsereignisse und Neuberechnungen des
Knowledge-Konsistenzprüfers erzwungen.
REPLMon. Dieses Programm zeigt die Replikationstopologie an, überwacht
den Replikationsstatus und kann Replikationsereignisse und Neuberechnun-
gen des Knowledge-Konsistenzprüfers erzwingen.
SDCheck. Mit diesem Tool kann ein Administrator feststellen, ob Zugriffs-

steuerungslisten korrekt vererbt werden, und ob Änderungen an Zugriffssteu-
erungslisten von einem Domänencontroller zu einem anderen korrekt
repliziert werden.
SIDWalker. Mit diesem Programm können Sie die ACL für Objekte einstel-
len, deren Eigentümerkonten verschoben bzw. gelöscht wurden oder verwaist
sind.
10.4.3 Verwaltung und Fehlerbehebung der Active

Directory-Replikation
Dieses Thema dreht sich im Grunde um die Funktionsweise von Verbindungen,
Standortverknüpfungen und Standortverknüpfungsbrücken, sowie um die Pro-
gramme, mit denen die Replikation überwacht werden kann. Das meiste davon
wurde bereits wiederholt.
Verwaltung der standortübergreifenden Replikation

Berücksichtigen Sie bei der Verwaltung der standortübergreifenden Replikation
Folgendes:
씰 Die standortübergreifende Replikation wird vom Knowledge-Konistenzprü-

fer (KCC) verwaltet. Sie sollten keine manuellen Verbindungen herstellen.
씰 KCC konfiguriert Server mit zwei Partnern im Standort und möglichst einem
Partner in einem anderen Standort.
Verwaltung der standortinternen Replikation
Berücksichtigen Sie bei der Verwaltung der standortinternen Replikation Folgen-
des:
씰 Die wichtigsten Programme sind REPAdmin und REPLMon. Mit dem Pro-
gramm Admin können Sie die Replikation von der Befehlszeile aus verwal-
ten, und mit dem Snap-In REPLMon können Sie die Replikation überwachen.
10.5 Konfiguration, Verwaltung, Überwachung

und Fehlerbehebung von Active Directory-
Sicherheitslösungen
Nach der Konfiguration von Gruppenrichtlinien und der Festlegung Ihrer Active
Directory-Struktur müssen Sie für geeignete Vorbeugungsmaßnahmen sorgen,
damit der unbefugte Zugriff auf Computer verhindert wird. Dazu müssen Sie wis-
10.5 Konfiguration, Verwaltung... 823
sen, wie Gruppenrichtlinien zur Konfiguration von Sicherheitseinstellungen für

Benutzer und Computer verwendet werden können, und wie Überwachungsrichtli-
nien erstellt werden, mit denen Sie unbefugte Zugriffe aufspüren und verfolgen
können.
10.5.1 Konfiguration und Fehlerbehebung der Sicherheit in

einer Verzeichnisdienst-Infrastruktur
Bei dieser Zielsetzung testet Microsoft Ihre Kenntnisse über die Einrichtung und
Analyse von Sicherheitseinstellungen für Active Directory-Komponenten. Es wer-
den die Kenntnisse darüber geprüft, wie die Sicherheit auf Windows-2000-Compu-
tern mittels Sicherheitskonfiguration und -analyse analysiert wird, und wie mit dem
selben Snap-In Vorlagen erstellt und geladen werden. Außerdem werden Ihre
Kenntnisse darüber, wie eine Sicherheitsrichtlinie mittels Vorlagen konfiguriert
wird, ebenfalls beurteilt. Schließlich prüft Microsoft Sie darüber, wie die Überwa-
chung implementiert und konfiguriert wird, damit Informationen über unbefugte
Zugriffsversuche auf Computer, Dateien, Drucker und andere Ressourcen verfügbar
werden. Vorausgesetzt wird hier ein gründliches Verständnis der Gruppenrichtlini-
envererbung, Filterung und Blockierung, die in Kapitel 6, »Benutzerverwaltung mit
Gruppenrichtlinien«, erläutert wurden.
Umsetzung von Sicherheitsrichtlinien mittels Gruppenrichtlinien

Berücksichtigen Sie bei der Umsetzung von Sicherheitsrichtlinien mittels Gruppen-
richtlinien Folgendes:
씰 Zu den Sicherheitsrichtlinien, die über Gruppenrichtlinien verwaltet werden

können, gehören u.a. folgende:
Kontorichtlinien Ermöglicht die Festlegung von Einstellungen für Kennwortrichtli-

nien und Richtlinien für die Kontosperrung.
Zu den Einstellungen für Kennwortrichtlinien gehören das Kenn-
wortalter (minimal und maximal), die Anzahl gemerkter Kenn-
wörter, um die Wiederverwendung von Lieblingskennwörtern zu
verhindern, die Mindestlänge für Kennwörter und die Kennwort-
komplexität. Außerdem können Sie festlegen, ob das Kennwort
mit Zweiwegverschlüsselung gespeichert werden soll.
Zu den Einstellungen für Richtlinien zur Kontosperre gehören die
Dauer der Kontosperre, die Anzahl fehlerhafter Versuche bis zur
Auslösung der Sperre und das Kontosperrenintervall, d.h. die Zeit
zwischen fehlerhaften Anmeldeversuchen, nach deren Ablauf der
Zähler zurückgesetzt wird.
Lokale Richtlinien Ermöglicht die Festlegung von Einstellungen für lokale Computer
zur Überwachung, Zuordnung von Benutzerrechten (z.B. Lokale
Anmeldung, Als Dienst anmelden usw.) und bestimmte Computer-
sicherheitsoptionen, z.B. Text der vor Anmeldung anzuzeigenden
Meldung, ob der Name des zuletzt angemeldeten Benutzers bei der
Anmeldung angezeigt werden soll, und andere.
Ereignisprotokoll Ermöglicht die Konfiguration von Protokolldateigrößen für die
drei wichtigsten Ereignisprotokolle (System, Sicherheit und
Anwendung), die Festlegung, ob Protokolle überschrieben werden
sollen, sowie ggf. die Einschränkung des Leserechts für Protokoll-
dateien.
Eingeschränkte Ermöglicht die Einschränkung der Sicherheitsgruppenmitglied-
Gruppen schaft auf bestimmte Benutzer. Außerdem können Sie damit fest-
legen, welchen anderen Gruppen diese Gruppen angehören dürfen.
Mit anderen Worten, mit dieser Einstellung können Sie die Grup-
penmitgliedschaft mittels Sicherheitsrichtlinien konfigurieren, um
sicherzustellen, dass nach der Anwendung der Richtlinien
bestimmte Benutzer bzw. Gruppen immer Mitglieder bestimmter
Gruppen sind.
Registrierung Damit können Sie die Sicherheit für Registrierungsschlüssel konfi-
gurieren. Über die Sicherheitsrichtlinie können Sie festlegen, wer
Schlüssel in der Registrierung lesen, ändern oder hinzufügen darf.
Dateisystem Mit dieser Sicherheitseinstellung können Sie Sicherheitsparameter
des Dateisystems für Ordner und Dateien in NTFS-Partitionen
festlegen und davon ausgehen, dass sie nach Inkrafttreten der
Richtlinie wirksam werden.
Richtlinien öffentli- Damit können Sie festlegen, welche Benutzer Agenten für die
cher Schlüssel Wiederherstellung von Daten in einem verschlüsselten Datei-
system (EFS) sein sollen. Wiederherstellungsagenten können
Dateien entschlüsseln, wenn der Benutzer, der sie erstellt hat, nicht
verfügbar ist oder gelöscht wurde. Hier können Sie außerdem
Zertifikate von Stammzertifizierungsstellen importieren, denen
Windows 2000 vertrauen soll. Diese konfigurieren Vertrauensstel-
lungen für Stellen und von diesen herausgegebene Zertifikate und
legen Parameter für die automatische Anforderung von Zertifi-
katen fest. In Windows 2000 wurde einiges getan, um zu gewähr-
leisten, dass die Kommunikation sicher ist und dass nur solche
Computer bzw. Benutzer Zugriff erhalten, die einen gültigen
Authentizitätsnachweis erbringen, z.B. ein Zertifikat. Diese wich-
tigen Sicherheitsfunktionen werden mittels Gruppenrichtlinien
implementiert.
10.5 Konfiguration, Verwaltung... 825
IP-Sicherheitsricht- Damit können Sie festlegen, wie Client, Server und Domänencont-
linien roller kommunizieren sollen, und welche Sicherheitsstufe angefor-
Verzeichnisrichtli- dert, vorgeschrieben oder abgelehnt werden soll. Diese Einstel-
nien in Active lungen gelten für den TCP/IP-Verkehr zwischen den
Directory verschiedenen Arten von Windows-2000-Computern.
씰 Zur Verwaltung von Sicherheitsrichtlinien können zwei Pogramme eingesetzt

werden: das MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE und
GRUPPENRICHTLINIE IN ACTIVE DIRECTORY.
씰 Zur gleichzeitigen Anwendung von Sicherheitsrichtlinien auf mehrere Com-
puter können Sie Gruppenrichtlinien verwenden. Wie bei anderen Gruppen-
richtlinieneinstellungen wird die Sicherheitsrichtlinie nach der Konfiguration
auf allen Computern im Gültigkeitsbereich der Gruppenrichtlinie umgesetzt.
Bei Verwendung von Gruppenrichtlinien zur Durchsetzung einer Sicherheits-
richtlinie gelten die gleichen Regeln für die Gruppenrichtlinienvererbung und
Filterung wie sonst auch.
Erstellung, Analyse und Änderung von Sicherheitskonfigurationen mittels
Berücksichtigen Sie bei Erstellung, Analyse und Änderung von Sicherheitskonfigu-
rationen mittels Sicherheitskonfiguration und -analyse und Sicherheitsvorlagen Fol-
gendes:
씰 Mit SICHERHEITSKONFIGURATION UND -ANALYSE können Sie die Sicherheits-

richtlininen für den lokalen Computer konfigurieren. Außerdem können Sie
damit die aktuellen Sicherheitseinstellungen für den Computer abrufen und
mit einer Sicherheitsvorlage vergleichen, die eine vorkonfigurierte Samm-
lung von Sicherheitseinstellungen enthält.
씰 Sicherheitsvorlagen sind Textdateien mit vordefinierten Informationen zur
Sicherheitskonfiguration, die in SICHERHEITSKONFIGURATION UND -ANALYSE
und/oder GRUPPENRICHTLINIEN importiert werden können. Windows 2000
wird mit einer Reihe von Standard-Sicherheitsvorlagen geliefert, die vorkon-
figurierte Einstellungen für unterschiedliche Sicherheitsstufen von KEINE bis
HOHE SICHERHEIT enthalten. Überlegen Sie bei der Auswahl einer Vorlage,
ob Sie das gebotene Schutzniveau benötigen und warum Sie es einsetzen
möchten. Die Sicherheit sollte nur so restriktiv sein wie nötig. Nicht mehr
und nicht weniger.
Implementierung einer Überwachungsrichtlinie

Berücksichtigen Sie bei der Implementierung einer Überwachungsrichtlinie Folgen-
des:
씰 Eine Überwachungsrichtlinie ist eine Teilmenge der Sicherheitsrichtlinie,

wird mit den gleichen Tools konfiguriert und ermöglicht es Ihnen, die Nut-
zung von Privilegien in verschiedenen Bereichen des Systems zu verfolgen.
Zu den überwachbaren Ereignissen gehören u.a. Datei- und Ordnerzugriff,
An- und Abmeldungsaktivitäten sowie die Nutzung von Privilegien.
씰 Bei bestimmten Arten der Überwachung (wie etwa Datei- und Ordnerzugriff,
Druckerzugriff und Active Directory-Objektzugriff) müssen Sie u.U. Objekt-
berechtigungen ändern, um Ihre Überwachungsrichtlinie weiter zu verfei-
nern. Bei der Konfiguration der Überwachung für solche Objekte, aber auch
ganz allgemein, gilt: überwachen Sie nur so viel wie nötig, damit kein allzu
großer Overhead im System entsteht.
Überwachung und Analyse von Sicherheitsereignissen
Berücksichtigen Sie bei der Überwachung und Analyse von Sicherheitsereignissen
Folgendes:
씰 Die Ereignisanzeige ist das Programm, das zur Überwachung von sicherheits-
bezogenen Ereignissen, wie etwa den durch die Überwachung konfigurierten,
verwendet wird.
씰 Das Sicherheitsprotokoll der Ereignisanzeige enthält alle sicherheitsbezoge-
nen Ereignisse.
씰 Durch Filtern des Protokolls sind interessante Ereignisse leichter zu finden.
씰 Für den Fall, dass das Sicherheitsprotokoll voll ist, kann der Administrator
festlegen, dass der Computer heruntergefahren wird. Damit ist gewährleistet,
dass keine sicherheitsrelevanten Informationen verloren gehen.
11
Tipps zur
Prüfungs-
vorbereitung
Dieser Teil des Buches gibt Ihnen einige allgemeine Richtlinien für die Vorberei-
tung auf ein Zertifizierungsexamen. Er gliedert sich in vier Abschnitte: Der erste
behandelt die Lernstile und ihren Einfluss auf die Prüfungsvorbereitung. Im zweiten
Abschnitt geht es um Ihre Aktivitäten bei der Prüfungsvorbereitung und um allge-
meine Studientipps. Daran schließt sich ein Überblick über die MCP-Examen an,
einschließlich einer Reihe spezieller Tipps, die sich auf die verschiedenen Prüfungs-
formate und Fragetypen von Microsoft beziehen. Der letzte Abschnitt erläutert
Änderungen gegenüber den bisherigen Prüfungsrichtlinien von Microsoft und deren
Auswirkungen auf Sie.
11.1 Lernstile
Damit Sie sich optimal auf die Prüfungen vorbereiten können, müssen Sie das Ler-
nen als Prozess begreifen. Vielleicht wissen Sie bereits, wie Sie sich neues Material
am besten erarbeiten. Für den einen sind Gliederungen des Stoffes wichtig, während
es für einen »visuellen Typ« besser ist, die Dinge »zu sehen«. Welchen Stil Sie auch
bevorzugen, an der Prüfungsvorbereitung führt kein Weg vorbei. Natürlich sollten
Sie mit dem Studium für die Prüfungen nicht erst einen Tag vorher beginnen. Ler-
nen ist ein Entwicklungsprozess! Wenn Sie das verstanden haben, können Sie sich
darauf konzentrieren, was Sie bereits wissen und was Sie noch lernen müssen.
Der Lernprozess beruht unter anderem darauf, neue Informationen mit vorhande-
nem Wissen zu verknüpfen. Sie verfügen bereits über Erfahrung im Umgang mit
Computern und Netzwerken. Nun bereiten Sie sich für das Zertifizierungsexamen
vor. Mit diesem Buch, der geeigneten Software und entsprechendem Ergänzungs-
material erweitern Sie aber Ihr Wissen nicht einfach inkrementell; während des Stu-
diums bauen Sie sich neue gedankliche Strukturen auf. Das führt zu einem umfas-
senderen Verständnis der Aufgaben und Konzepte, die in den Lernzielen umrissen
sind und die für die Computertechnik im Allgemeinen gelten. Auch das ist ein sich
wiederholender Prozess und kein Einzelereignis. Behalten Sie dieses Lernmodell im
828 Kapitel 11 Tipps zur Prüfungs- vorbereitung
Auge, während Sie sich auf die Prüfungen vorbereiten – Sie können dann besser
einschätzen, über welche Kenntnisse Sie bereits verfügen und wie viel Sie noch ler-
nen müssen.
11.2 Studienhinweise
Es gibt viele Ansätze zum Studieren und ebenso viele Arten von Studienmaterial.
Die folgenden Tipps beziehen sich speziell auf das in den Zertifizierungsexamen
behandelte Material.
11.2.1 Lernstrategien
Auch wenn jeder seinen eigenen Lernstil hat, gibt es einige allgemein gültige Lern-
prinzipien. Deshalb sollten Sie bestimmte Lernstrategien übernehmen, die sich auf
diese Prinzipien stützen. Dazu gehört unter anderem, dass sich das Lernen in ver-
schiedene Ebenen gliedern lässt. Die Wiedererkennung (zum Beispiel von Begrif-
fen) veranschaulicht eine oberflächliche Lernebene, bei der Sie auf abrufbereites
Wissen zurückgreifen. Das Erkennen bzw. Verstehen (zum Beispiel von Konzepten
hinter den Begriffen) stellt eine tieferliegende Lernebene dar. Die Fähigkeit, ein
Konzept zu analysieren und die daraus gewonnenen Erkenntnisse in neuer Form
anzuwenden, repräsentiert eine noch tiefere Lernebene.
Ihre Lernstrategie sollte Sie dahin bringen, dass Sie den Stoff eine oder zwei Ebe-
nen unter der reinen Wiedererkennung beherrschen. Damit können Sie sich optimal
auf die Prüfungen vorbereiten; Sie verstehen das Material so umfassend, dass Sie
auch mit Fragen vom Typ Multiple Choice problemlos umgehen können. Außerdem
sind Sie in der Lage, Ihr Wissen bei der Lösung neuer Probleme anzuwenden.
Lernstrategien en gros und en détail

Bei einer Strategie für dieses vertiefende Lernen bereiten Sie zunächst eine Gliede-
rung mit allen Lernzielen und Teilzielen für die jeweilige Prüfung vor. Dringen Sie
dabei etwas tiefer in den Stoff ein und schließen Sie eine oder zwei Detailebenen
unterhalb der für die Prüfung festgelegten Lernziele und Teilziele ein. Dann erwei-
tern Sie die Gliederung, bis Sie bei einer Definition oder Zusammenfassung für
jeden Punkt Ihrer Gliederung angelangt sind.
Eine Gliederung liefert zwei Ansätze zum Studium. Erstens können Sie sich anhand
der Gliederung auf die Organisation des Materials konzentrieren. Arbeiten Sie die
Punkte und Unterpunkte Ihrer Gliederung durch und stellen Sie dabei Querverbin-
dungen zwischen den einzelnen Punkten her. Zum Beispiel sollten Sie erkennen,
worin sich die Hauptlernziele ähneln bzw. sich unterscheiden. Dann fahren Sie in
gleicher Weise mit den Teilzielen fort; beachten Sie dabei, welche Teilziele sich auf
welche Lernziele beziehen und wie die Teilziele zueinander in Beziehung stehen.
11.2 Studienhinweise 829
Als Nächstes arbeiten Sie die Gliederung durch und konzentrieren sich dabei auf die
Details. Prägen Sie sich die Begriffe und deren Definitionen, Fakten, Regeln und
Strategien, Vorteile und Nachteile usw. ein. Bei diesem Durchgang durch die Glie-
derung lernen Sie Details und nicht nur die Hauptpunkte – die organisatorischen
Informationen, die Sie sich im ersten Durchlauf durch die Gliederung erarbeitet
haben.
Untersuchungen haben gezeigt, dass es dem Lernprozess als Ganzes nicht zuträg-
lich ist, beide Arten von Informationen gleichzeitig aufzunehmen. Trennen Sie Ihr
Studium in die beiden Ansätze – und Sie sind besser auf die Prüfung vorbereitet.
Aktive Lernstrategien
Wenn Sie sich Ziele, Teilziele, Begriffe, Fakten und Definitionen notieren, beschäf-
tigen Sie sich aktiv mit dem Stoff und nehmen ihn wahrscheinlich besser auf, als
wenn Sie ihn lediglich lesen und damit nur passiv verarbeiten.
Als Nächstes testen Sie, ob Sie die gelernten Informationen anwenden können. Ver-
suchen Sie deshalb, selbstständig Beispiele und Szenarios zu erzeugen. Denken Sie
darüber nach, wie und wo Sie die gelernten Konzepte anwenden können. Schreiben
Sie auch hier die gewonnenen Ergebnisse nieder, um die Fakten und Konzepte aktiv
zu verarbeiten.
Die praxisbezogenen Schritt-für-Schritt-Anleitungen und Übungen am Ende der

Kapitel bieten weiter Gelegenheit zum aktiven Lernen, was die Konzepte ebenfalls
vertieft.
Vernünftige Strategien
Schließlich sollten Sie beim Lernen auch den gesunden Menschenverstand einset-
zen. Studieren Sie, wenn Sie aufnahmebereit sind, vermeiden Sie Ablenkungen und
machen Sie Pausen, wenn Sie abgespannt sind.
11.2.2 Trockentraining
Mit einem Trockentraining können Sie abschätzen, wie weit Sie vorangekommen
sind. Einer der wichtigsten Lernaspekte ist das so genannte »Meta-Lernen«. Dabei
erkennen Sie, wann Sie ein Thema beherrschen und wo Sie weitere Anstrengungen
unternehmen müssen. Mit anderen Worten: Sie erkennen, wie gut oder wie schlecht
Sie das Studienmaterial aufgenommen haben.
Für viele Leute ist es schwierig, selbstständig objektive Einschätzungen vorzuneh-

men. Praktische Tests sind nützlich, da sie objektiv aufdecken, was Sie gelernt
haben und was noch fehlt. Anhand dieser Informationen legen Sie fest, was Sie wie-
derholen müssen und wie Sie weiter lernen. In diesem Lernprozess durchlaufen Sie
mehrere Zyklen, wobei Sie Ihren Kenntnisstand einschätzen, den Stoff wiederholen
und eine erneute Einschätzung vornehmen, bis Sie sich schließlich für die Prüfung
fit fühlen.
Sicherlich haben Sie schon das Praxisexamen in diesem Buch bemerkt. Verwenden
Sie es als Teil des Lernprozesses. Die auf der CD enthaltene Software zur Testsimu-
lation ExamGear, Training Guide Edition bietet Ihnen eine hervorragende Gelegen-
heit, Ihr Wissen zu testen.
Für das Trockentraining sollten Sie sich ein Ziel setzen. Dabei ist ein Punktestand
sinnvoll, der kontinuierlich bei etwa 90 Prozent liegt.
Im Anhang C finden Sie weitere Erläuterungen zur Software für die Testsimulation.
11.3 Tipps zur Prüfungsvorbereitung

Wenn Sie Ihr Prüfungsthema beherrschen, müssen Sie schließlich noch verstehen,
wie die Prüfung abläuft. Machen Sie keinen Fehler: Ein MCP-Examen fordert
sowohl Ihr Wissen als auch Ihre Prüfungsfähigkeiten heraus. Dieser Abschnitt
beginnt mit den Grundlagen des Prüfungsaufbaus, bringt einen Überblick über ein
neues Examensformat und schließt mit Hinweisen, die sich auf die einzelnen Exa-
mensformate beziehen.
11.3.1 Die MCP-Prüfung

Jede MCP-Prüfung wird in einem von drei Basisformaten freigegeben. Unter einem
Examensformat ist dabei die Kombination aus Gesamtprüfungsstruktur und Präsen-
tationsmethode für Examensfragen zu verstehen.
Die Kenntnis der Examensformate ist ein Schlüssel zur guten Vorbereitung, denn
das Format bestimmt die Anzahl der präsentierten Fragen, den Schwierigkeitsgrad
dieser Fragen und die Zeit, die Ihnen für das Examen zur Verfügung steht.
Die einzelnen Prüfungsformate verwenden viele Fragen des gleichen Typs. Dazu
gehören die herkömmlichen Multiple-Choice-Fragen, Multiple-Rating- (oder szena-
riobasierte) Fragen und simulationsbasierte Fragen. In einigen Prüfungen finden Sie
Fragen, bei denen Objekte per Drag&Drop auf dem Bildschirm zu verschieben, Lis-
ten neu zu ordnen oder Elemente zu kategorisieren sind. Andere Prüfungen enthal-
ten Fragen, die Sie als Ergebnis einer präsentierten Fallstudie beantworten müssen.
Es ist wichtig, die Arten der gestellten Fragen zu verstehen, um sie in der richtigen
Weise beantworten zu können.
11.3 Tipps zur Prüfungsvorbereitung 831
Der Rest dieses Abschnitts erläutert die einzelnen Examensformate und geht dann
die Fragetypen durch. Das Verständnis der Formate und Fragetypen hilft Ihnen, sich
sicherer zu fühlen, wenn Sie die eigentliche Prüfung absolvieren.
11.3.2 Prüfungsformat
Wie bereits erwähnt, gibt es drei grundsätzliche Formate für die MCP-Examen: das
herkömmliche Examen mit festem Format, die adaptive Testmethode und die Fall-
studien. Wie die Bezeichnung vermuten lässt, präsentiert das erste Format einen
feststehenden Satz von Fragen während der Examenssitzung. Das adaptive Format
verwendet dagegen nur eine Teilmenge der Fragen, die während einer bestimmten
Prüfung aus einem größeren Pool herausgezogen werden. Das letzte Format umfasst
Fallstudien, die als Grundlage für die Beantwortung der verschiedenen Fragetypen
dienen.
Festes Format
Ein computerunterstütztes Examen mit festem Format basiert auf einem feststehen-
den Satz von Prüfungsfragen. Die einzelnen Fragen werden während einer Prü-
fungssitzung in zufälliger Reihenfolge präsentiert. Wenn Sie das gleiche Examen
mehrfach absolvieren, erhalten Sie nicht unbedingt jedes Mal dieselben Fragen. Das
hängt damit zusammen, dass die Fragen für ein Examen aus zwei oder drei Formu-
laren stammen. Diese Formulare sind gewöhnlich mit den Buchstaben A, B und C
bezeichnet.
Die endgültigen Formulare einer Prüfung mit festem Format decken zwar den glei-
chen Inhalt ab, bestehen aus der gleichen Anzahl von Fragen und stellen die gleiche
Zeit zur Verfügung; sie unterscheiden sich aber in den Fragen selbst. Allerdings
können die gleichen Fragen auch auf verschiedenen endgültigen Formularen auftau-
chen. Der Anteil der gemeinsam verwendeten Fragen ist im Allgemeinen aber sehr
gering. Viele endgültige Formulare haben überhaupt keine Fragen gemeinsam, bei
älteren Prüfungen sind auf den endgültigen Formularen etwa 10 bis 15 Prozent
gemeinsam verwendete Fragen zu finden.
Bei Prüfungen mit festem Format ist auch das Zeitlimit gleich, in dem die Prüfun-
gen zu absolvieren sind. Die Software ExamGear, Training Guide Edition auf der
Begleit-CD zum Buch enthält Prüfungen des festen Formats.
Schließlich basiert die Punktzahl für eine feste Prüfung auf der Anzahl der richtig
beantworteten Fragen. Für MCP-Prüfungen liegt die erreichbare Punktzahl zwi-
schen 0 und 1000. Die Bestehensgrenze ist für alle endgültigen Formulare einer
bestimmten festen Prüfung gleich.
Der typische Aufbau sieht hier folgendermaßen aus:
씰 50 bis 60 Fragen
씰 75 bis 90 Minuten Prüfungszeit
씰 Die Fragen müssen nicht unbedingt der Reihe nach beantwortet werden und
man hat auch die Möglichkeit, Antworten zu ändern
Adaptives Format
Eine adaptive Prüfung hat die gleiche Erscheinung wie eine feststehende Prüfung,
wobei sich aber die Fragen hinsichtlich des Umfangs und des Auswahlverfahrens
unterscheiden. Auch wenn die Auswertung eines adaptiven Tests recht kompliziert
erscheint – im Verlauf der Prüfung geht es darum, das Niveau der Fertigkeiten und
Fähigkeiten im Umgang mit dem Prüfungsthema zu bestimmen. Diese Einschät-
zung beginnt damit, dass Sie Fragen mit unterschiedlichen Schwierigkeitsgraden
erhalten. Aus Ihren Antworten geht dann hervor, auf welcher Schwierigkeitsstufe
Sie die Fragen zuverlässig beantworten können. Schließlich bestimmt diese Ein-
schätzung, ob die Fähigkeitsebene über oder unter dem Niveau liegt, das für ein
Bestehen der Prüfung erforderlich ist.
Prüfungsteilnehmer mit verschiedenen Fähigkeitsebenen erhalten auch unterschied-

liche Sätze von Fragen. Teilnehmer, die wenig Fachkenntnis in Bezug auf das
jeweilige Prüfungsthema erkennen lassen, setzen die Prüfung mit relativ leichten
Fragen fort. Teilnehmer mit einem hohen Wissensstand bekommen zunehmend
schwierigere Fragen. Verschiedene Teilnehmer können zwar die gleiche Anzahl
von Fragen richtig beantworten, da aber die Teilnehmer mit höheren Fachkenntnis-
sen mehr schwierige Fragen richtig beantworten können, erreichen sie damit einen
höheren Punktestand und bestehen die Prüfung mit höherer Wahrscheinlichkeit.
Der typische Entwurf für die adaptive Prüfung sieht folgendermaßen aus:
씰 20 bis 25 Fragen
씰 90 Minuten Prüfungszeit (die sich wahrscheinlich in Zukunft auf 45 bis 60

Minuten reduzieren wird)
씰 Die Wiederholung von Fragen ist nicht erlaubt; damit gibt es auch keine
Möglichkeit, Antworten zu ändern
Der adaptive Prüfungsvorgang

Ihre erste adaptive Prüfung unterscheidet sich höchstwahrscheinlich von anderen
Prüfungen, die Sie bisher abgelegt haben. In der Tat haben viele Prüfungsteilnehmer
Schwierigkeiten mit dem adaptiven Prüfungsverfahren. Sie befürchten, dass sie
keine Möglichkeit erhalten, ihre vollen Fachkenntnisse adäquat zu demonstrieren.
Sie können beruhigt annehmen, dass adaptive Prüfungen nach umfangreichen

Datensammlungen und Analysen sorgfältigst zusammengestellt werden und dass
adaptive Prüfungen genauso gültig sind wie Prüfungen im festen Format. Die durch
die adaptive Trainingsmethode eingeführte Strenge bedeutet, dass die in einer Prü-
fung präsentierten Elemente nicht willkürlich erscheinen. Außerdem stellt diese
Methode ein effizienteres Testverfahren dar, das weniger Zeit als herkömmliche
feste Prüfungen erfordert.
Wie Abbildung 11.1 zeigt, wird der Ablauf einer adaptiven Prüfung durch eine
Reihe statistischer Maße bestimmt. Für Sie ist vor allem die Fähigkeitsbewertung
(Ability) relevant. Zu den statistischen Maßen gehören auch der Standardfehler
(Std. Error of Measurement), die charakteristische Elementkurve (Item Characteris-
tic Curve) und die Testinformationskurve (Test Information).
Abbildung 11.1
Demoprogramm
von Microsoft für
einen adaptiven
Test
Der Standardfehler ist ein Schlüsselfaktor, der bestimmt, wann das Ende der adapti-
ven Prüfung erreicht ist. Er gibt die Größe des Fehlers in der Fähigkeitsbewertung
an. Die charakteristische Elementkurve spiegelt die Wahrscheinlichkeit einer richti-
gen Antwort in Bezug zur Fähigkeit des Prüfungsteilnehmers wider. Die Kurve der
Testinformationen liefert schließlich ein Maß für den Informationsgehalt des Fra-
genkomplexes, den der Teilnehmer beantwortet hat. Dieser Wert ist ebenfalls auf
das Fähigkeitsniveau des Teilnehmers bezogen.
Zu Beginn einer adaptiven Prüfung ist der Standardfehler auf einen Zielwert vorein-
gestellt. Unter diesen Wert muss der Standardfehler im Verlauf der Prüfung fallen,
um die Prüfung abzuschließen. Der Zielwert spiegelt ein bestimmtes Konfidenzin-
tervall im Prozess wider. Die Fähigkeit des Prüfungsteilnehmers wird anfangs auf
den Mittelwert des möglichen Punktestandes gesetzt (500 bei MCP-Prüfungen).
Im Verlauf einer adaptiven Prüfung erhält der Teilnehmer Fragen mit unterschiedli-
chen Schwierigkeitsgraden. Basierend auf dem Muster, das sich aus der Beantwor-
tung der Fragen ergibt, wird die Fähigkeitseinschätzung neu berechnet und gleich-
zeitig die Standardfehlereinschätzung vom anfänglich festgelegten Wert in
Richtung Zielwert angepasst. Wenn der Standardfehler seinen Zielwert erreicht, ist
die Prüfung beendet. Je beständiger Sie die Fragen der gleichen Schwierigkeitsstufe
beantworten, desto schneller fällt der Standardfehler und desto weniger Fragen
müssen Sie letztendlich während der Prüfungssitzung beantworten. Abbildung 11.2
zeigt eine derartige Prüfungssituation.
Abbildung 11.2
Die statistischen
Werte im Verlauf
einer adaptiven
Prüfung
Wie Sie aus den bisherigen Erläuterungen ableiten können, sollte man in einer adap-
tiven Prüfung jede Frage so behandeln, als wäre sie die wichtigste Frage. Der
Bewertungsalgorithmus einer adaptiven Prüfung versucht, ein Muster der Antwor-
ten zu entdecken, das eine bestimmte Ebene der Sachkenntnis mit dem Prüfungsge-
genstand widerspiegelt. Falsche Antworten garantieren fast immer, dass zusätzliche
Fragen zu beantworten sind (sofern Sie natürlich nicht jede Frage falsch beantwor-
ten). Das hängt damit zusammen, dass sich der Bewertungsalgorithmus an Informa-
tionen, die nicht mit dem entstehenden Muster konsistent sind, anpassen muss.
Fallstudienformat
Das Format der Fallstudien erschien erstmals mit der Prüfung 70-100 (Solution
Architectures). Die Fragen bei einer Fallstudie sind keine unabhängigen Einheiten,
wie in den festen und adaptiven Formaten. Stattdessen sind die Fragen an die Fall-
studie – eine längere szenarioartige Beschreibung einer Informationstechnologiesi-
tuation – gebunden. Als Testteilnehmer müssen Sie aus der Fallstudie die Informati-
onen herausziehen, die zum Fragenkomplex der jeweiligen Microsoft-Technologie
gehören. Eine Fallstudie beschreibt eine Situation, die mehr praxisorientiert ist, als
es die Fragen bei anderen Prüfungsformaten sind.
Die Fallstudien werden als »Testlets« präsentiert. Das sind Abschnitte innerhalb der
Prüfung, in der Sie die Fallstudie lesen und dann 10 bis 15 Fragen bezüglich der
Fallstudie beantworten. Wenn Sie diesen Abschnitt beendet haben, kommen Sie zu
einem anderen Testlet mit einer anderen Fallstudie und den damit verbundenen Fra-
gen. Ein Examen kann sich aus bis zu fünf Testlets zusammensetzen. Das Zeitkon-
tingent in derartigen Prüfungen ist größer, weil Sie die Fälle durchlesen und analy-
sieren müssen. Insgesamt stehen Ihnen für die Prüfung drei Stunden zur Verfügung
– und Sie werden diese Zeit komplett brauchen. Während Sie in einem Testlet arbei-
ten, sind die Fallstudien jederzeit über eine Verknüpfung verfügbar. Nachdem Sie
jedoch ein Testlet verlassen haben, können Sie nicht mehr zu ihm zurückkehren.
Abbildung 11.3 zeigt einen Teil einer Fallstudie.
Abbildung 11.3
Beispiel einer Fall-

studie
11.3.3 Fragetypen
In MCP-Prüfungen kann eine Vielzahl verschiedener Fragetypen erscheinen. Bei-
spiele für diese Typen finden Sie in diesem Buch und in der Software ExamGear,
Training Guide Edition. Wir haben versucht, alle bei Manuskripterstellung verfüg-
baren Fragetypen abzudecken. Die meisten Fragetypen, die die folgenden
Abschnitte behandeln, können in jedem der drei Prüfungsformate erscheinen.
Die typische MCP-Prüfungsfrage basiert auf dem Konzept, Fertigkeiten und Fähig-
keiten für die Realisierung einer Aufgabe zu messen. Demzufolge präsentieren die
meisten Fragen eine Situation, die eine Rolle (beispielsweise ein Systemadministra-
tor oder ein Techniker), eine Technologieumgebung (100 Computer, die unter
Windows 98 in einem Windows-2000-Server-Netzwerk laufen) und ein zu lösendes
Problem (der Benutzer kann eine Verbindung zu Diensten im LAN, nicht aber zum
Intranet herstellen) umfassen. Die Antworten nennen Aktionen, mit denen Sie die
Probleme lösen können, oder Sie müssen Setups bzw. Umgebungen erstellen, die
von Beginn an korrekt funktionieren. Berücksichtigen Sie diese Hinweise, wenn Sie
sich die Prüfungsfragen durchlesen. Gelegentlich treffen Sie auf einige Fragen, die
lediglich die Wiedergabe von Fakten verlangen – das ist aber die Ausnahme.
Die folgenden Abschnitte zeigen die verschiedenen Fragetypen.

Multiple-Choice-Fragen
Trotz der Verschiedenartigkeit der Fragetypen, die jetzt in verschiedenen MCP-
Examen erscheinen, bleiben die Multiple-Choice-Fragen die Grundbausteine der
Prüfungen. Die Multiple-Choice-Fragen gibt es in drei Varianten:
씰 Reguläre Multiple-Choice-Fragen: Auch als alphabetische Fragen bezeich-

net. Hier müssen Sie genau eine Antwort als die Richtige auswählen.
씰 Multiple-Choice-Fragen mit mehreren richtigen Antworten: Auch als

multialphabetische Fragen bezeichnet. Bei dieser Variante einer Multiple-
Choice-Frage müssen Sie zwei oder mehr Antworten als richtig auswählen.
Normalerweise ist die Anzahl der als richtig auszuwählenden Antworten in
der Fragestellung enthalten.
씰 Erweiterte Multiple-Choice-Fragen: Das ist eine reguläre Frage oder eine

Frage mit mehreren Antworten, zu denen eine Grafik oder eine Tabelle ge-
hört. Für die Beantwortung der Frage müssen Sie sich auf die Grafik oder die
Tabelle beziehen.
Am Ende dieses Kapitels finden Sie Beispiele für derartige Fragen.
Multiple-Rating-Fragen
Diese Fragen bezeichnet man auch als Szenariofragen. Ähnlich den Multiple-
Choice-Fragen bieten sie erweiterte Beschreibungen der Computerumgebung und
ein Problem, das zu lösen ist. Es werden erforderliche und optionale Ergebnisse der
Problemlösung sowie eine Lösung spezifiziert. Dann sollen Sie beurteilen, ob die in
der Lösung genannten Aktionen zum Teil oder insgesamt zu den erforderlichen und
optionalen Ergebnissen führen. In der Regel gibt es nur eine korrekte Antwort.
Bei Multiple-Rating-Fragen kann die gleiche Frage mehrfach in der Prüfung

erscheinen, wobei durch Variationen in den geforderten Ergebnissen, den optiona-
len Ergebnissen oder der eingeführten Lösung eine »neue« Frage entsteht. Lesen
Sie die unterschiedlichen Versionen sehr sorgfältig durch; die Unterschiede sind oft
nicht auf den ersten Blick zu erkennen.
Beispiele dieser Fragetypen erscheinen am Ende des Kapitels.
Simulationsfragen
Simulationsbasierte Fragen reproduzieren das Erscheinungsbild wesentlicher Teile
von Microsoft-Produkten für einen Test. Die in MCP-Prüfungen verwendete Simu-
lationssoftware ist so konzipiert, dass sie dem tatsächlichen Produkt soweit wie
möglich entspricht. Zur Beantwortung von Simulationsfragen in einer MCP-Prü-
fung gehört demnach auch, dass Sie eine oder mehrere Aufgaben lösen, die den
Abläufen im eigentlichen Produkt entsprechen.
Das Format einer typischen Microsoft-Simulationsfrage besteht aus einer kurzen

Szenario- oder Problembeschreibung zusammen mit einer oder mehreren Aufgaben,
die für die Lösung des Problems vollständig zu realisieren sind. Der folgende
Abschnitt zeigt ein Beispiel einer Simulationsfrage für MCP-Prüfungen.
Eine typische Simulationsfrage

Auch wenn es auf der Hand zu liegen scheint, sei besonders darauf hingewiesen,
dass Sie eine Simulationsfrage zuallererst sorgfältig lesen sollten (siehe dazu Abbil-
dung 11.4). Gehen Sie nicht direkt in die Simulationsanwendung! Sie müssen das
vorgestellte Problem einschätzen und die Bedingungen identifizieren, aus denen das
Problemszenario besteht. Beachten Sie die durchzuführenden Aufgaben oder die
Ergebnisse, die zu erreichen sind, um die Frage zu beantworten. Wiederholen Sie
dann alle Instruktionen, die Ihnen sagen, wie zu verfahren ist.
Abbildung 11.4
Eine typische Simu-

lationsfrage in einer
MCP-Prüfung mit
Instruktionen
Im nächsten Schritt starten Sie den Simulator über die vorhandene Schaltfläche.
Nachdem Sie auf die Schaltfläche SHOW SIMULATION geklickt haben, erscheint ein
Merkmal des Produkts, wie es das Dialogfeld in Abbildung 11.5 zeigt. Auf den
Computern des Testcenters verdeckt die Simulationsanwendung teilweise den Fra-
getext. Positionieren Sie ruhig den Simulator neu und wechseln Sie zwischen den
Bildschirmen für den Fragetext und dem Simulator mit Tastenkombinationen, mit
der Maus oder indem Sie einfach erneut auf die Startschaltfläche des Simulators kli-
cken.
Abbildung 11.5
Die gestartete
Simulationsanwen-
dung
Wichtig ist, dass Ihre Antwort auf die Simulationsfrage erst dann aufgezeichnet
wird, wenn Sie zur nächsten Prüfungsfrage übergehen. Damit erhalten Sie die Mög-
lichkeit, die Simulationsanwendung zu schließen und für dieselbe Frage erneut
(über die Startschaltfläche) zu öffnen, ohne dass Sie eine Teilantwort verlieren, die
Sie bereits gegeben haben.
Im dritten Schritt verwenden Sie den Simulator wie das eigentliche Produkt, um das
Problem zu lösen oder die definierten Aufgaben durchzuführen. Auch hier ist die
Funktionalität der Simulationssoftware – innerhalb eines sinnvollen Bereichs – so
ausgelegt wie beim eigentlichen Produkt. Erwarten Sie aber nicht, dass der Simula-
tor ein perfektes Verhalten oder ein identisches Erscheinungsbild des Produkts
reproduziert.
Abbildung 11.6 zeigt die Lösung zum Beispiel des Simulationsproblems.
Zwei abschließende Punkte sollen Ihnen helfen, Simulationsfragen zu lösen. Zuerst

beantworten Sie nur das, worauf sich die Frage bezieht; lösen Sie keine Probleme,
zu deren Lösung Sie nicht aufgefordert werden! Weiterhin sollten Sie die Frage
widerspruchslos akzeptieren.
Es kann durchaus sein, dass Sie zu den Bedingungen in der Problembeschreibung,

der Qualität der gewünschten Lösung oder der Vollständigkeit der definierten Auf-
gaben eine andere Ansicht vertreten, um das Problem adäquat zu lösen. Denken Sie
aber immer daran, dass sich der Test auf Ihre Fähigkeit bezieht, ob Sie das Problem
so lösen können, wie es die Frage vorstellt.
Abbildung 11.6
Die Lösung zum

Simulationsbeispiel
Die Lösung zum Simulationsproblem, die Abbildung 11.6 zeigt, illustriert perfekt
beide Punkte. Wie aus dem Frageszenario (siehe dazu Abbildung 11.4) ersichtlich
ist, sollten Sie einem neuen Benutzer, FridaE, passende Berechtigungen zuweisen.
Darüber hinaus sollten Sie keine weiteren Änderungen an den Berechtigungen vor-
nehmen. Wenn Sie also die Berechtigungen des Administrators modifizieren oder
entfernen, zählt das in einer MCP-Prüfung als falsch.
Hot-Area-Fragen
Hot-Area-Fragen verlangen, dass Sie auf eine Grafik oder ein Diagramm klicken,
um eine bestimmte Aufgabe zu realisieren. Die Fragestellung unterscheidet sich
kaum von einer normalen Frage, hier aber klicken Sie kein Optionsfeld oder Kon-
trollkästchen neben einer Frage an, sondern klicken auf das relevante Element in
einem Screenshot oder einer Zeichnung. Abbildung 11.7 zeigt ein Beispiel für ein
derartiges Element.
Drag&Drop-Fragen
Microsoft verwendet in Prüfungen zwei verschiedene Arten von Drag&Drop-Fra-
gen. Die erste ist eine Select & Place-Frage (Auswählen und Platzieren), die andere
eine Drop&Connect-Frage (Ablegen und Verbinden). Die folgenden Abschnitte
gehen auf beide Typen ein.
Select&Place
Fragen dieses Typs erfordern in der Regel, dass Sie Beschriftungen auf ein Bild
oder eine Zeichnung ziehen und dort ablegen – zum Beispiel, um einen Teil eines
Netzwerks zu kennzeichnen. Abbildung 11.8 zeigt den Frageteil eines
Select&Place-Elements.
Abbildung 11.7
Eine typische Hot-

Area-Frage
Abbildung 11.8
Eine Select&Place-
Frage
Nachdem Sie auf SELECT AND PLACE geklickt haben, erscheint das in Abbildung
11.9 gezeigte Fenster. Es enthält die eigentliche Zeichnung, in der Sie die Kästchen
mit den verschiedenen Serverrollen auswählen und auf die bezeichneten Felder der
betreffenden Computer ziehen.
Drop&Connect
Eine andere Version der Drag&Drop-Fragen sind die Drop&Connect-Fragen. Hier
erstellen Sie Felder mit Beschriftungen und erzeugen verschiedenartige Verbin-
dungslinien, mit denen Sie die Beziehungen zwischen den Feldern herstellen.
Abbildung 11.9
Das Fenster mit der

Zeichnung
Praktisch erzeugen Sie ein Modell oder ein Diagramm, um die Frage zu beantwor-
ten. Beispiele dafür sind ein Netzwerkdiagramm oder ein Datenmodell für ein
Datenbanksystem. Abbildung 11.10 zeigt das Konzept einer Drop&Connect-Frage.
Abbildung 11.10
Eine Drop&Con-
nect-Frage
Fragen mit einer geordneten Liste

Bei Fragen mit einer geordneten Liste müssen Sie sich lediglich die Liste der Ele-
mente ansehen und die Elemente in der passenden Reihenfolge anordnen. Sie mar-
kieren Elemente und verwenden dann eine Schaltfläche, um sie in eine neue Liste in
der richtigen Reihenfolge einzutragen. Mit einer anderen Schaltfläche können Sie
Elemente aus der neuen Liste entfernen, falls Sie Ihre Meinung geändert haben und
die Dinge neu ordnen möchten. Abbildung 11.11 zeigt eine Frage mit einer derarti-
gen Liste.
Abbildung 11.11
Eine Frage, die als

geordnete Liste zu
beantworten ist
Strukturfragen
Bei Strukturfragen müssen Sie in Hierarchien und Kategorien denken. Derartige
Fragen fordern Sie dazu auf, Elemente aus einer Liste in Kategorien einzuordnen,
die als Knoten in einer Baumstruktur erscheinen. Zum Beispiel müssen Sie Bezie-
hungen zwischen übergeordneten und untergeordneten Elementen in Prozessen oder
die Struktur der Schlüssel in einer Datenbank identifizieren. Manchmal ist auch die
Reihenfolge innerhalb der Kategorien anzugeben – wie bei einer Frage mit geordne-
ter Liste. Abbildung 11.12 zeigt eine typische Strukturfrage.
Wie Sie sehen, verwendet Microsoft Fragetypen, die über das einfache Abrufen von
gelernten Fakten hinausgehen. Bei diesen Fragen müssen Sie wissen, wie Sie Auf-
gaben realisieren, und Sie müssen Konzepte und Beziehungen verstehen. Richten
Sie Ihre Prüfungsvorbereitungen vor allem auf diese Fragen aus und nicht nur auf
die einfachen Fragen, die Fakten abrufen.
Abbildung 11.12
Eine Strukturfrage
11.3.4 Zusammenfassung
Die folgenden Abschnitte bieten eine Reihe von Tipps, die Ihnen helfen sollen, die
verschiedenen Arten von MCP-Prüfungen zu bestehen.
Weitere Tipps zur Prüfungsvorbereitung

Einige allgemeine Hinweise zur Prüfungsvorbereitung sind immer nützlich. Zu die-
sen Tipps gehören:
씰 Machen Sie sich mit dem Produkt vertraut. Praktische Erfahrung ist für jedes
MCP-Examen einer der Schlüssel zum Erfolg. Wiederholen Sie die Übungen
und schrittweisen Anleitungen im Buch.
씰 Machen Sie sich mit dem aktuellen Führer zur Prüfungsvorbereitung auf der
MCP-Website von Microsoft (www.microsoft.com/mcp/examinfo/exams.htm)
vertraut. Die Dokumentation, die Microsoft über das Web verfügbar macht,
nennt auch die Fähigkeiten, die jede Prüfung testen soll.
씰 Merken Sie sich grundsätzliche technische Details, aber denken Sie daran,
dass MCP-Prüfungen im Allgemeinen mehr auf die Problemlösung ausge-
richtet sind. Im Vordergrund steht anwendungsbereites Wissen und nicht das
Wiedergeben von auswendig gelernten Fakten.
씰 Nutzen Sie alle verfügbaren Praxistests. Absolvieren Sie den zum Buch gehö-
renden Test und die Tests, die Sie mit dem ExamGear auf der CD-ROM
erstellen können. Als Ergänzung zum Material dieses Buches sollten Sie auch
versuchen, die frei verfügbaren Praxistests auf der MCP-Website von Micro-
soft zu praktizieren.
씰 Sehen Sie sich auf der Website von Microsoft nach Beispielen und Demonst-
rationselementen um. Diese Beispiele machen Sie mit neuen Testverfahren
bekannt, bevor sie Ihnen in MCP-Prüfungen begegnen.
Während der Prüfungssitzung
Die folgende Übersicht bringt bewährte Tipps, die Sie während der MCP-Prüfung
beherzigen sollten:
씰 Atmen Sie tief durch und entspannen Sie sich, wenn Sie eine Prüfungssitzung
beginnen. Es ist sehr wichtig, dass Sie den Druck steuern, den Sie (naturge-
mäß) fühlen, wenn Sie Prüfungen ablegen.
씰 Sie erhalten Notizzettel. Nehmen Sie sich einen Moment Zeit, um alle sachli-
chen Informationen und technischen Details zu notieren, die Sie noch in
Ihrem Kurzzeitgedächtnis haben.
씰 Lesen Sie sorgfältig alle Informations- und Anweisungsbildschirme. Diese
Anzeigen geben Ihnen Informationen, die für die von Ihnen abgelegte Prü-
fung relevant sind.
씰 Nehmen Sie die Vertraulichkeitsvereinbarung und die Vorprüfung als Teil
des Prüfungsprozesses an. Füllen Sie die Formulare genau aus und fahren Sie
dann zügig fort.
씰 Lesen Sie die Prüfungsfragen genau. Lesen Sie jede Frage erneut, um alle
relevanten Details zu erfassen.
씰 Beantworten Sie die Fragen in der Reihenfolge, in der sie präsentiert werden.
Herumspringen stärkt nicht Ihr Selbstvertrauen – die Zeit läuft!
씰 Hetzen Sie nicht, halten Sie sich aber auch nicht zu lange bei schwierigen
Fragen auf. Die Fragen variieren im Schwierigkeitsgrad. Lassen Sie sich
nicht durch eine besonders schwere oder wortreiche Frage aus der Fassung
bringen.
Prüfungen im festen Format
Aufbauend auf diesen grundlegenden Vorbereitungen und Teilnahmehinweisen
müssen Sie auch die Herausforderungen betrachten, die sich durch die unterschied-
liche Prüfungsgestaltung ergeben. Da eine Prüfung mit festem Format aus einer
festgelegten und begrenzten Menge von Fragen besteht, sollten Sie die folgenden
Tipps in Ihrer Strategie für das Ablegen einer Prüfung mit festem Format berück-
sichtigen:
씰 Notieren Sie sich die verfügbare Zeit und die Anzahl der Fragen der zu absol-
vierenden Prüfung. Überschlagen Sie grob, wie viele Minuten Sie mit jeder
Frage zubringen können und orientieren Sie daran Ihr Tempo durch die Prü-
fung.
씰 Nutzen Sie die Möglichkeit, dass Sie zu Fragen zurückkehren können, die Sie
übersprungen haben oder die Sie noch einmal überprüfen wollen. Notieren
Sie sich die Fragen, die Sie nicht schlüssig beantworten können, auf dem
Notizzettel und schreiben Sie sich auch den relativen Schwierigkeitsgrad
jeder Frage auf. Am Ende der Prüfung können Sie zu den schwierigen Fragen
zurückkehren.
씰 Wenn Sie alle Fragen beantwortet haben und Ihnen am Ende der Prüfungssit-
zung noch Zeit bleibt (und Sie nicht zu abgespannt sind!), überprüfen Sie Ihre
Antworten. Achten Sie besonders auf Fragen, die viele Details enthalten oder
die Grafiken erfordern.
씰 Hinsichtlich der Änderung von Antworten gilt die Faustregel: besser nicht!
Wenn Sie die Frage sorgfältig und vollständig gelesen und die Antwort mit
sicherem Gefühl gegeben haben, dann sollten Sie auch bei Ihrer Meinung
bleiben. Stellen Sie sich nicht selbst infrage. Wenn sich bei der Überprüfung
deutlich zeigt, dass etwas falsch ist, können Sie die Antwort natürlich ändern.
Falls Sie aber generell unsicher sind, bleiben Sie bei Ihrer ersten Entschei-
dung.
Adaptive Prüfungen
Wenn Sie an einer adaptiven Prüfung teilnehmen, sollten Sie folgende Zusatztipps
beherzigen:
씰 Lesen und beantworten Sie jede Frage mit großer Sorgfalt. Wenn Sie eine
Frage lesen, identifizieren Sie jedes relevante Detail, jede Anforderung oder
Aufgabe, die Sie durchführen müssen, und prüfen Sie doppelt und dreifach
Ihre Antwort, um sicher zu sein, dass Sie sich allen Einzelheiten angenom-
men haben.
씰 Wenn Sie eine Frage nicht beantworten können, schränken Sie die Anzahl der
möglichen Antworten schrittweise ein und nehmen dann Ihre beste Schät-
zung. Dumme Fehler bedeuten unausweichlich, dass Sie zusätzliche Fragen
erhalten.
씰 Zurückliegende Fragen können Sie sich nicht erneut ansehen und die Ant-
worten ändern. Es gibt kein Zurück, sobald Sie eine Frage verlassen haben –
ob Sie die Frage nun beantwortet haben oder nicht. Überspringen Sie keine
Frage; wenn Sie es dennoch tun, zählt es als Fehler.
Prüfungen mit Fallstudien
Dieses neue Prüfungsformat verlangt nach speziellen Studien- und Absolvierungs-
strategien. Denken Sie bei derartigen Examen daran, dass Sie mehr Zeit haben als in
einer herkömmlichen Prüfung. Nehmen Sie sich die Zeit und lesen Sie die Fallstu-
die gründlich durch. Verwenden Sie die Notizzettel oder das jeweils bereitgestellte
Medium, um sich Notizen zu machen, Prozesse zu skizzieren und aktiv die wichti-
gen Informationen herauszusuchen. Arbeiten Sie jedes Testlet wie eine unabhän-
gige Prüfung durch. Denken Sie daran, dass Sie nicht zurückgehen können, nach-
dem Sie ein Testlet verlassen haben. Beziehen Sie sich auf die Fallstudie so oft wie
nötig, aber missbrauchen Sie diese Möglichkeit nicht als Ersatz dafür, die Fragestel-
lung bereits zu Anfang sorgfältig durchzulesen und sich Notizen zu machen.
11.4 Schlussbemerkungen
Schließlich hat eine Reihe von Änderungen im MCP-Programm darauf Einfluss,
wie oft man eine Prüfung wiederholen kann und welches Prüfungsformat man in
diesen Fällen zu erwarten hat.
씰 Microsoft hat eine neue Wiederaufnahmerichtlinie für Prüfungen herausgege-

ben. Die neue Regel lautet »zwei und zwei, dann eine und zwei«. Das heißt,
man kann jede Prüfung zweimal versuchen, ohne zeitliche Beschränkung
zwischen den Versuchen. Nach dem zweiten Versuch muss man jedoch zwei
Wochen warten, bevor man an dieser Prüfung erneut teilnehmen kann. Da-
nach muss man zwei Wochen zwischen aufeinander folgenden Versuchen
warten. Streben Sie an, die Prüfungen in maximal zwei Anläufen zu bestehen,
oder kalkulieren Sie von vornherein mehr Zeit ein, um das MCP-Zertifikat zu
erhalten.
씰 In die MCP-Prüfungen fließen ständig neue Fragen ein. Nachdem Leistungs-

daten zu den neuen Fragen gesammelt wurden, wird die Prüfungskommission
auf allen Prüfungsformularen die älteren Fragen ersetzen. Das bedeutet, dass
sich die Fragen in den Prüfungen regelmäßig ändern.
씰 Viele der aktuellen MCP-Prüfungen werden im adaptiven Format erneut ver-

öffentlicht. Bereiten Sie sich auf diese bedeutende Änderung im Testverfah-
ren vor; es ist durchaus möglich, das dies das bevorzugte MCP-Prüfungsfor-
mat für die meisten Prüfungen wird. Die Prüfungen mit Fallstudien bilden
hierbei die Ausnahme, da die adaptive Lösung nicht mit diesem Format in
Einklang zu bringen ist.
Diese Änderungen bedeuten, dass die »gewaltsamen« Strategien für das Absolvie-
ren von MCP-Prüfungen bald ihre Daseinsberechtigung verlieren werden. Wenn Sie
also eine Prüfung nicht beim ersten oder zweiten Versuch bestehen, ist es wahr-
scheinlich, dass sich das Format der Prüfung bis zu Ihrem nächsten Versuch
beträchtlich geändert hat. Microsoft könnte die Prüfung von einem festen Format zu
einem adaptiven aktualisiert oder eine andere Gruppe von Fragen oder Fragetypen
festgelegt haben.
11.4 Schlussbemerkungen 847
Die Absicht von Microsoft besteht nicht darin, die Prüfungen mit unerwünschten
Änderungen schwieriger zu gestalten, sondern einen gültigen Maßstab für das erfor-
derliche Wissen und die technischen Fertigkeiten eines MCP zu schaffen und auf-
rechtzuerhalten. Die Vorbereitungen für eine MCP-Prüfung betreffen nicht nur den
Lerngegenstand an sich, sondern auch die Planung für den Testablauf. Mit den
jüngsten Änderungen gilt dies mehr als sonst.
Musterprüfung
12
Diese Prüfung besteht aus 65 Fragen, die das Material abdecken, das Sie in den
Kapiteln durchgearbeitet haben. Diese Fragen sind repräsentativ für die Art von
Fragen, die Sie in der eigentlichen Prüfung erwarten können. Es ist dringend zu
empfehlen, dass Sie diese Prüfung so bearbeiten, als ob sie wie eine echte Prüfung
im Prüfungszentrum stattfinden würde. Setzen Sie sich Zeitgrenzen, lesen Sie sorg-
fältig und beantworten Sie alle Fragen nach bestem Wissen.
Bei den meisten Fragen werden nicht nur Fakten abgefragt. Sie erfordern Denkar-
beit auf Ihrer Seite, damit Sie die beste Antwort finden. Viele Fragen sind nicht
ganz eindeutig und müssen sorgfältig und gründlich durchgelesen werden, bevor
Sie versuchen, sie zu beantworten. Arbeiten Sie die Prüfung durch. Wenn Sie bei
einer Frage daneben liegen, gehen Sie das zugehörige Material noch einmal durch.
12.1 Prüfungsfragen
1. Sabine arbeitet derzeit bei der Schreibwerk GmbH an der Konfiguration von
DNS für die Kompatibilität mit Windows 2000. Auf dem Server läuft Win-
dows 2000 Advanced Server, und Sabine will diesen Server für die Erstinstal-
lation der Active Directory-Infrastruktur verwenden. Nach der Konfiguration
des Servers versucht sie, den ersten Domänencontroller zu installieren. Wäh-
rend der Installation wird sie gefragt, ob ein DNS-Server installiert werden
soll. Sie entscheidet sich dagegen. Nach dem Neustart des Systems erhält sie
Fehlermeldungen, dass der Netlogon-Dienst nicht gestartet werden kann.
Was sollte sie tun, um dieses Problem zu beheben?
A. Einen DNS-Server auf dem Domänencontroller installieren.
B. Die TCP/IP-Eigenschaften konfigurieren.
C. Mit DCPROMO den Server herabstufen und dann mit DCPROMO wieder
heraufstufen und dieses Mal die Installation des DNS-Servers akzeptieren.
850 Kapitel 12 Musterprüfung
D. Sie muss den DNS-Dienst manuell auf dem neuen Domänencontroller

starten, weil er standardmäßig für den manuellen Start konfiguriert ist.
2. Johanna ist Consultant und hilft der Weingärtnergenossenschaft Beutelsberg

bei der Aktualisierung des Netzwerks von Windows NT 4.0 auf Windows
2000. Das Netzwerk besteht aus 70 Domänencontrollern und 3400 Clients.
Die Clients wurden auf Windows 2000 Professional aktualisiert, und die Mit-
gliedsserver einschließlich der DNS- und WINS-Server wurden auf Windows
2000 Server oder Windows 2000 Advanced Server aktualisiert. Der Prozess
ist bisher gut gelaufen, und der letzte Schritt ist die Aktualisierung der Domä-
nencontroller, wofür etwa 10 Tage veranschlagt sind. Johanna startet den
Vorgang an einem Samstagmorgen durch Aktualisierung des PDC. Nach dem
Neustart des Systems kann der Netlogon-Dienst nicht gestartet werden. Jo-
hanna prüft alle Einstellungen im System, und alles ist in Ordnung. Was soll-
te sie als Nächstes prüfen?
A. Sie muss prüfen, ob der DNS-Server Aktualisierungen zulässt.
B. Sie muss den DNS-Dienst auf dem Domänencontroller installieren.
C. Sie hätte die Aktualisierung mit einem BDC beginnen sollen.

D. Sie muss das Programm SYSPREP ausführen, bevor sie die Aktualisierung
durchführt.
3. Die Firma Factron Inc. ist dabei, ihr Netzwerk auf Windows 2000 zu aktuali-
sieren. Es wurde begonnen, die DNS-Server, eine Mischung aus BIND- und
Windows-NT-basierten DNS-Servern, auf Windows-2000-basierte DNS-Ser-
ver zu aktualisieren. Die Firma hat sieben Standorte in ganz Nordamerika,
und der Haupt-DNS-Server steht in der Zweigstelle Vancouver. Die anderen
Standorte sind in Calgary und Toronto. Es gibt drei DNS-Server in der
Zweigstelle Vancouver, zwei in Calgary und vier in Toronto. Derzeit erhalten
alle sekundären Server die Zonendatei vom primären. Die DNS-Server sollen
auf Active Directory-integriert umgestellt werden, sobald in allen drei Büros
Domänencontroller stehen. Bis dahin wird jedoch die primäre Standardzone
benutzt. Der Administrator von Factron Inc. fragt Sie, was zu tun ist, um
während der Aktualisierung auf Windows 2000 die Anzahl von Aktualisie-
rungen über WAN-Verbindungen zu verringern. Was empfehlen Sie?
A. Einen sekundären Server an jedem Standort als Master konfigurieren.
B. Die Lebensdauer der Einträge ändern.
C. Alle Systeme im Netzwerk so konfigurieren, dass sie einen zentralen Ser-
ver verwenden.
12.1 Prüfungsfragen 851
D. Es ist nichts zu machen, bis die Zone als Active Directory-integriert konfi-
guriert ist.
4. Bärbel entwirft die DNS-Struktur zur Unterstützung der Umstellung von

Windows NT 4.0 und Solaris 2.7 auf eine reine Windows-2000-Umgebung.
Derzeit befinden sich die DNS-Server auf einem Solaris-2.7-System mit einer
BIND-Version, die SRV-Datensätze und dynamische Aktualisierungen un-
terstützt. Sie plant den Einsatz der vorhandenen DNS-Server während der
Aktualisierung, und danach den Umstieg auf die Windows-2000-Server-Ver-
sion von DNS. Sie möchte eine Active Directory-integrierte Zone auf den
DNS-Servern einsetzen, wenn die Windows-2000-Domänencontroller voll-
ständig bereitgestellt sind. Sie konfiguriert die DNS-Server so, dass die Zo-
nendatei alle zwei Stunden statt der standardmäßigen 15 Minuten übertragen
wird. Später, nachdem die Domänencontroller aktualisiert wurden und sie die
Zone auf Active Directory-integriert umgestellt hat, stellt sie fest, dass die
Aktualisierungen in den Zonendateien in kürzeren Abständen als zwei Stun-
den übertragen werden. In manchen Fällen scheinen die Änderungen schon
nach weniger als 5 Minuten anzukommen. Was soll sie tun?
A. Beim Konfigurieren der Zone als Active Directory-integriert wurde der
Standardzeitplan für die Übertragungen zurückgesetzt. Sie braucht nur
diese Informationen erneut zu ändern.
B. Weil die Zone Active Directory-integriert ist, wird die Replikation nun
von Active Directory durchgeführt. Deshalb braucht sie nichts zu tun.
C. Weil die Zone nun Active Directory-integriert ist, muss sie die Replikati-
onszeit für die DNS-Datensätze über NTDS-Einstellungen im Snap-In
ACTIVE DIRECTORY-STANDORTE UND -DIENSTE einstellen.
D. Weil die Zone nun Active Directory-integriert ist, muss sie die Replikati-
onszeit für die DNS-Datensätze über NTDS-Einstellungen im Snap-In
ACTIVE DIRECTORY-BENUTZER UND -COMPUTER einstellen.
5. Sie sind Consultant bei Gimmick Import. Sie haben während der Umstellung
auf Windows 2000 in der Administration gearbeitet. Das Netzwerk ist in geo-
grafische Bereiche aufgeteilt, und gelegentlich werden Benutzer von einem
Büro in ein anderes versetzt. Im alten Netzwerk wäre der Benutzer mit Hilfe
eines Programms von einem Drittanbieter in einer Domäne gelöscht und in
einer anderen Domäne hinzugefügt worden. Heidi, eine der Netzwerkadmi-
nistratorinnen, hat soeben den Auftrag erhalten, einen Benutzer vom Berliner
Büro in das Münchner Büro zu versetzen. Dazu muss der Benutzer von der
Domäne DEOst in die Domäne DESued versetzt werden. Heidi hat Sie um
Hilfe gebeten, weil sie anscheinend nicht in der Lage ist, dies in ACTIVE DI-
RECTORY-BENUTZER UND -COMPUTER durchzuführen. Was sollten Sie ihr
empfehlen?
A. Sie muss sich die Aktualisierung des vorher benutzten Programms vom
Drittanbieter besorgen.
B. Sie muss im Dialogfeld VERSCHIEBEN als neuen Pfad den vollständig an-
gezeigten Namen eingeben.
C. Sie muss das Programm MOVETREE zum Verschieben des Benutzers
verwenden.
D. Sie muss den Benutzer löschen und in der anderen Domäne neu erstellen.
6. Jenny hat soeben einen neuen Standort erstellt und die Subnetze zu dem
Standort im Netzwerk von Wackelzahn-Spielwaren hinzugefügt. Die Benut-
zer beschweren sich, dass der Anmeldevorgang nun länger dauert als normal.
Was soll Jenny tun, um das Problem zu beheben?
A. Sie muss dem neuen Standort einen DNS-Server hinzufügen.
B. Sie muss dem neuen Standort einen DC hinzufügen.
C. Sie muss dem Standort einen Anmeldungs-Proxy hinzufügen.
D. Sie muss gar nichts tun. Dies ist eine Folge der Verwendung von Standor-
ten.
7. Sie haben ein Problem mit einem Computer im Netzwerk, der sich nicht beim
DNS-Server registrieren lässt. Das System ist Bestandteil einer Organisati-
onseinheit, und Sie arbeiten mit einem Benutzer zusammen, der Administra-
torrechte für die Organisationseinheit erhalten hat, um das Problem zu lösen.
Wenn der Computer beim Start versucht, seinen Namen beim DNS-Server re-
gistrieren zu lassen, erhalten Sie einen Berechtigungsfehler im Ereignisproto-
koll auf dem DNS-Server und einen Fehler in der Liste der Ereignisanzeige
auf dem System. Wenn Sie sich jedoch anmelden und das Programm IPCON-
FIG zum Registrieren des Namens verwenden, funktioniert es. Was sollten
Sie als Nächstes prüfen?
A. Sie sollten prüfen, ob das System ein DHCP-Client ist.
B. Sie sollten die Berechtigungen für das Active Directory-Objekt prüfen.
C. Sie sollten prüfen, ob der DNS-Server für das Akzeptieren von Aktualisie-
rungen konfiguriert ist.
D. Sie sollten prüfen, ob das Computerkonto in Active Directory existiert.
8. Sie sind Administrator des Netzwerks der Schreibwerk GmbH. Sie haben
eben den Austausch eines Systems abgeschlossen, das wegen eines Festplat-
tenfehlers abgestürzt war. Sie haben das System ausgewechselt und mit
DCPROMO wieder zum Domänencontroller gemacht. Im Laufe des Tages

versuchen Sie, ein neues Personalmanagementsystem zu installieren, und die
Installation schlägt fehl. Es wird gemeldet, dass eine Klasse nicht erstellt
werden konnte, die zur Ausführung der Software im Netzwerk vorhanden
sein muss. Was sollten Sie tun, damit Sie die Software installieren können?
(Wählen Sie zwei.)
A. Sie sollten sich unter dem lokalen Systemkonto auf dem Computer anmel-
den, auf dem Sie die Software installieren möchten.
B. Sie sollten sich unter einem Konto von Organisations-Admins anmelden,
um die Software zu installieren.
C. Sie sollten sicherstellen, das der Schemamaster verfügbar ist und Modifi-
kationen erlaubt.
D. Sie sollten die Funktion Schema-Master entziehen, weil das abgestürzte
System Schema-Master gewesen sein muss.
E. Sie sollten sich als Organisations-Admin anmelden und die Berechtigun-
gen überprüfen.
9. Sie sind Administrator eines Windows-2000-Netzwerks. Es ist ein kleines
Netzwerk mit fünf Domänencontrollern und einem Dutzend Windows-2000-
basierten Servern. Es gibt 400 Clients im Netzwerk, alle mit Windows 2000
Professional. Die Benutzer beschweren sich, dass Anmeldungen länger dau-
ern als gewöhnt, und dass der Zugriff auf Netzwerkserver zeitweise ebenfalls
langsam ist. Sie müssen diese Probleme beheben, und Sie haben die Replika-
tion in Verdacht. Was sollten Sie tun, um das Problem zu beheben?
A. Das Netzwerk in zwei oder mehr Standorte aufteilen.
B. Das Netzwerk in zwei oder mehr Domänen aufteilen.
C. Das Netzwerk in zwei oder mehr Organisationseinheiten aufteilen.
D. Die Anzahl von Servern um zwei verringern.
10. Sie müssen den Server offline nehmen, der momentan Schema- und Domä-
nennamen-Betriebsmaster ist. Das System wird längere Zeit offline sein, und
Sie möchten die Betriebsmasterfunktionen auf einen anderen Computer über-
tragen. Welche der folgenden Programme werden Sie dazu benötigen? (Wäh-
len Sie alle zutreffenden aus.)
A. ACTIVE DIRECTORY-BENUTZER UND -COMPUTER
B. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE
C. ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUNGEN

D. ACTIVE DIRECTORY-SCHEMA
E. Das Befehlszeilenprogramm NTDSUTIL

F. Das Snap-In COMPUTERVERWALTUNG
G. Das Snap-In DNS
11. Nach mehreren Meetings mit der Abteilung Engineering bei Weisnix Re-
search hat das Management beschlossen, der Engineeringabteilung die Ver-
antwortung für die Computer und Benutzer dieser Abteilung zu übertragen.
Es gibt 280 Computer und Benutzer, die alle am Engineering-Standort unter-
gebracht sind, und die Sie nun in eine neu erstellte Organisationseinheit über-
führen müssen. Dazu haben Sie das ganze Wochenende Zeit. Wie sollten Sie
es angehen?
A. Die Benutzer per Drag&Drop in die neue Organisationseinheit ziehen.
B. Den Befehl VERSCHIEBEN im Kontextmenü verwenden.

C. Eine Gruppe erstellen, die alle Engineering-Mitarbeiter enthält, und diese
in die neue Organisationseinheit verschieben.
D. Mit dem Befehl SUCHEN die Benutzer am Engineering-Standort suchen,
die Namen überprüfen und dann mit dem Befehl VERSCHIEBEN im Kon-
textmenü verschieben.
12. Sie fahren Ihre Windows-2000-Domäne im gemischten Modus, weil Sie im-
mer noch etliche Domänencontroller mit Windows NT 4.0 haben. Derzeit
gibt es in der Domäne acht Windows-2000-Domänencontroller und vier Re-
servedomänencontroller mit Windows NT 4.0. Viele Systeme, darunter Mit-
gliedsserver und Client-Workstations, wurden in den letzen Tagen auf
Windows 2000 aktualisiert.
Ein Benutzer beschwert sich telefonisch, dass er sich nicht bei der Domäne
anmelden kann. Er hat vor 10 Minuten sein Kennwort geändert, und dann fiel
im Büro der Strom aus. Der Benutzer muss in das Netzwerk, weil er eine
wichtige Nachricht vom Athener Büro erwartet. Der Benutzer befindet sich in
einem Segment, das nicht aktualisiert wurde, d.h. der nächste Domänencont-
roller ist ein Windows-NT-4.0-Computer, und der Client hat Windows 98.
Was sollten Sie als Nächstes tun, damit der Benutzer sich beim Netzwerk an-
melden kann?
A. Die Replikation in der gesamten Domäne mittels ACTIVE DIRECTORY-
STANDORTE UND -DIENSTE erzwingen.
B. Die Windows-NT-4.0-Domänencontroller mit Hilfe des globalen Kata-

logs zur Replikation zwingen.
C. Die Replikation zwischen den Domänencontrollern und dem PDC-Emula-

tor erzwingen.
D. Mit Hilfe von ACTIVE DIRECTORY-STANDORTE UND -DIENSTE die Repli-

kation über Standortverknüpfungen erzwingen.
13. Sie sind Administrator in einem Netzwerk, und Ihr Vorgesetzter hat Sie gebe-
ten, einen Computer von der Domäne Engineering im Standort West7 zu ei-
nem Server für den globalen Katalog heraufzustufen. Was müssen Sie tun?
A. Die NTDS-Einstellungen für einen geeigneten Controller bearbeiten.
B. Die Gruppenrichtlinien für die Organisationseinheit Engineering bearbei-
ten und diesem einen Computer nur die Berechtigung Anwenden gewäh-
ren.
C. Dies muss in der Registrierung erledigt werden.
D. Sie müssen das System neu installieren.

14. Das Netzwerk war in den letzten drei Tagen langsam. Zunächst dachten Sie,
dass dies an dem von den Aktualisierungen verursachten Datenverkehr lag.
Sie haben jedoch heute keine Aktualisierung durchgeführt, und trotzdem ist
das Netzwerk langsam. Welches Tool sollten Sie verwenden, um die Ursache
des Problems zu ermitteln?
A. Systemmonitor auf den Servern für den globalen Katalog einsetzen.
B. Systemmonitor auf den Domänencontrollern einsetzen.
C. Netzwerkmonitor auf irgendeinem System einsetzen.

D. Netzwerkmonitor auf einem Domänencontroller einsetzen.
15. Ihre Firma ist an fünf Standorten in ganz Deutschland vertreten. Es gibt eine
Zentrale, in der die IT-Abteilung angesiedelt ist, und vier Zweigstellen, die
sich um Verkauf und Lieferung kümmern. Die Firma möchte die zentrale
Kontrolle über die Ressourcen und Benutzer in der Zentrale behalten, aber in
jeder Zweigstelle soll es Benutzer geben, die Kontrolle über die Kennwortän-
derungen haben und sich um Drucker- und Freigabeprobleme kümmern sol-
len. Was ist die beste Möglichkeit, dies zu implementieren?
A. Erstellung einer Stammdomäne in der Zentrale mit einer untergeordneten
Domäne für jede Zweigstelle.
B. Erstellung einer Stammdomäne in der Zentrale und einer weiteren Stamm-

domäne in jeder Zweigstelle in einer jeweils eigenen Gesamtstruktur.
C. Erstellung einer Stammdomäne in der Zentrale und jeweils einer weiteren

für jede Zweigstelle. Dann wird für jede Zweigstelle in der Zweigstellen-
domäne eine Organisationseinheit erstellt. Ein Teil der Kontrolle über die
Organisationseinheit wird jeweils an einen Mitarbeiter in den Zweigstel-
len delegiert.
D. Erstellung einer Stammdomäne in der Zentrale und eines Standorts für
jede Zweigstelle. Die Kontrolle über einen Standort wird nach Bedarf de-
legiert.
16. Während einer kürzlich durchgeführten Bereinigung alter Konten hat ein jun-
ger Administrator versehentlich eine ganze Organisationseinheit gelöscht,
welche die Konten für Benutzer enthielt, die für längere Zeit außer Haus sind,
aber zurückkommen. Sie wissen, dass einige der Benutzer EFS verwendet ha-
ben, und andere über sehr spezielle Berechtigungen verfügt haben, sodass die
Neuerstellung der Konten lange dauern würde und u.U. nicht praktikabel ist.
Sie möchten die Konten wieder herstellen. Was sollten Sie tun? (Wählen Sie
zwei.)
A. Eine Wiederherstellung aus einer Systemsicherung durchführen.
B. Eine Wiederherstellung aus einer Systemstatussicherung durchführen.

C. Mit dem Verzeichnisdienste-Programm die USN für das Objekt erhöhen.
D. Vor der Wiederherstellung mit ACTIVE DIRECTORY-BENUTZER UND

-COMPUTER die Organisationseinheit erneut erstellen.
E. Mit dem Verzeichnisdienste-Programm die erneut erstellte Organisations-
einheit speichern.
17. Ihr Netzwerk ist in 12 verschiedene Standorte aufgeteilt. Von den 12 Standor-
ten sind 11 im selben Netzwerk an einem Standort, und einer befindet sich an
einem entfernten Standort, der mittels RRAS und bei Bedarf wählendem
Routing über ein VPN im Internet Zugang zum Zentralstandort hat. Sie
möchten gewährleisten, dass die Replikation zwischen allen Standorten funk-
tioniert. Was sollten Sie tun?
A. In jedem Standort Verbindungsobjekte zwischen Controllern erstellen.
B. Die Standortverknüpfungen erstellen und die korrekten Werte für Kosten
und Verfügbarkeit zuordnen.
C. Die nötigen Standortverknüpfungen und Standortverknüpfungsbrücken

erstellen.
D. Die nötigen Standortverknüpfungen und Standortverknüpfungsbrücken

erstellen und dann Verbindungen zwischen Servern an unterschiedlichen
Standorten herstellen.
18. Sie haben in Ihrem Netzwerk ein entferntes Büro, das mit der Zentrale über
eine Frame-Relay-Verbindung mit 256 Kb/s verbunden werden soll, bevor
Sie Windows 2000 einführen. Sie planen die Verbindungen mit diesem Büro
über Active Directory. Nach dem aktuellen Datenverkehr zwischen den Bü-
ros zu urteilen, erwarten Sie, dass der Datenverkehr tagsüber 90% und nachts
(18 Uhr bis 6 Uhr) 20% der Bandbreite konsumiert. Sie möchten sicherstel-
len, dass Ihre Benutzer die Bandbreite bekommen, die sie brauchen. Was
sollten Sie konfigurieren?
A. Ein Skript erstellen, welches das Verbindungsobjekt abends hinzufügt und
morgens entfernt. Das Skript mit Hilfe des Taskplaners ausführen.
B. Eine Standortverknüpfung erstellen und mit zwei Zeitplänen konfigurie-
ren.
C. Eine Standortverknüpfungsbrücke erstellen und den betreffenden Standort
jeden Morgen und jeden Abend ändern.
D. Zwei Standortverknüpfungen mit unterschiedlichen Zeitplänen erstellen.
19. Ein Domänencontroller in Ihrem Netzwerk ist soeben abgestürzt. Er war Be-
standteil des Standorts »Produktion« in der Domäne Bremen. Zum Glück war
er kein Betriebsmaster. Sie haben einen anderen Server mit der gleichen Kon-
figuration und müssen den Domänencontroller schnell wiederherstellen, weil
er nur einer von zweien an diesem Standort war. Sie bringen den Server zum
Standort und installieren Windows 2000 Server. Was müssen Sie tun, um den
Server wiederherzustellen?
A. Mit DCPROMO den Server zum Domänencontroller heraufstufen.
B. Mit DCPROMO den Server zum Domänencontroller heraufstufen und
dann eine Wiederherstellung von einer Datensicherung durchführen.
C. Den Modus VERZEICHNISDIENSTE WIEDERHERSTELLEN im (F8)-Menü ak-

tivieren und dann den Domänencontroller von einer Sicherung auf Band
wiederherstellen.
D. Den Modus VERZEICHNISDIENSTE WIEDERHERSTELLEN im (F8)-Menü ak-
tivieren und dann eine nachdrückliche Wiederherstellung durchführen.
20. Sie sind Administrator im Netzwerk der Schreibwerk GmbH. Sie sind für ei-
nen Bereich des physischen Netzwerks verantwortlich, das 10 Standorte um-
fasst. Die Benutzer in einem der Standorte beschweren sich, dass der
Anmeldevorgang viel länger dauert als normal. Es gibt zwei Domänencont-
roller in diesem Standort: einen für die Stammdomäne, die in erster Linie für
DNS und den globalen Katalog verwendet wird, und einen für die Domäne
Human Resources. Was sollten Sie als Nächstes tun, um das Problem einzu-
kreisen?
A. Mit dem Systemmonitor die Domänencontroller überprüfen.
B. Mit dem Netzwerkmonitor nachsehen, wie viel Datenverkehr auf dem
Netzwerk herrscht.
C. Mit dem Befehlszeilenprogramm NBTSTAT den Serverstatus überprüfen.
D. Die beiden Server neu aufbauen.
21. Sie versuchen, im Rahmen Ihrer Einführung von Windows 2000 den ersten
Domänencontroller in der ersten Domäne zu installieren. Derzeit gibt es eine
Windows-NT-4.0-Domäne namens ScribercoNT. Im Laufe der Jahre hat die-
se Domäne jedoch etliche Administratoren über sich ergehen lassen, und Sie
beschließen, jetzt reinen Tisch zu machen und mit Ihrer Organisation von 100
Leuten von vorne anzufangen.
Sie starten das Programm DCPROMO und beginnen mit der Installation der
Domäne, nachdem Sie Scriberco.lokal als Domänennamen eingegeben ha-
ben. Das System pausiert längere Zeit und kommt dann mit einer Warnung,
dass der kompatible Domänenname Scriberco0 ist, weil eine Domäne Scri-
berco bereits im Netzwerk existiert. Was sollten Sie tun, um dies zu korrigie-
ren?
A. Den Namen der neuen Domäne ändern.
B. Die Protokolle ändern, die Sie in der NT-4.0-Domäne installiert haben,
damit sie nicht TCP/IP benutzt.
C. Die Domänencontroller für die Domäne Scriberco suchen und offline neh-
men.
D. Den vorgeschlagenen Namen akzeptieren.

22. Sie möchten die Hardware eines Domänencontrollers aktualisieren, der in ei-
ner von Ihnen verwalteten Domäne eingesetzt wird. Sie erhalten die Teile und
führen die Aktualisierung am Wochenende durch. Danach bittet Ihr Chef Sie,
den Wert der Aktualisierung zu beziffern. Welches Tool sollten Sie verwen-
den?
A. Sie sollten das Programm Systemmonitor verwenden.

B. Sie sollten den Netzwerkmonitor verwenden.
C. Sie sollten die Registerkarte ÜBERWACHEN im Dialogfeld EIGENSCHAF-
TEN für den Server verwenden.
D. Sie sollten den Task-Manager verwenden.

23. Sie sind dabei, die Leistung eines Domänencontrollers zu überwachen. Die-
ser war in letzter Zeit langsam, und die Festplattenanzeige leuchtet die meiste
Zeit. Welche Leistungsindikatoren sollten Sie im Systemmonitor berücksich-
tigen? (Wählen Sie zwei.)
A. Speicher
B. CPU
C. Physische Festplatte
D. Netzwerksegment
E. Task-Manager
24. Sie versuchen, im Snap-In ACTIVE DIRECTORY-STANDORTE UND -DIENSTE
einen Standort zu erstellen. Der zu erstellende Standort soll Minn heißen.
Welche Information außer dem Namen benötigen Sie noch?
A. Sie benötigen die Standortverknüpfung, zu der er gehören soll.
B. Sie benötigen die Informationen über das erste Subnetz, das zu diesem
Standort gehören soll.
C. Sie benötigen den Namen eines Domänencontrollers, der zu diesem
Standort gehören soll.
D. Sie brauchen außer dem Namen nichts zu wissen.
25. Sie sollen Ihr Netzwerk in den nächsten Monaten auf Windows 2000 aktuali-
sieren. Sie studieren die Anforderungen an den DNS-Server, der für die Win-
dows-2000-Domäne benutzt werden soll, weil Sie immer noch mehrere
Server mit UNIX haben. Sie möchten wissen, ob Sie die DNS-Server auf das
System Windows 2000 umstellen müssen, oder ob diese weiterhin unter
UNIX einsetzbar sind. Welche sind die Anforderungen an DNS, damit es mit
Active Directory funktioniert?
A. Der DNS-Server muss SRV-Datensätze unterstützen.
B. Der DNS-Server muss inkrementelle Übertragungen unterstützen.
C. Der DNS-Server muss Aktualisierungen unterstützen.

D. Der DNS-Server muss sichere Aktualisierungen unterstützen.
26. Sie haben zu einem vor kurzem von Windows NT 4.0 Server auf Windows
2000 Server aktualisierten Druckserver Drucker hinzugefügt. Die soeben hin-
zugefügten fünf neuen Drucker funktionieren, und wenn Sie in Active Direc-
tory prüfen, sind sie alle aufgelistet. Sie bemerken, dass die anderen beiden
Drucker am System nicht aufgelistet sind. Was sollten Sie tun, damit diese
Drucker in Active Directory angezeigt werden?
A. Im Dialogfeld EIGENSCHAFTEN für die Drucker auf der Registerkarte AC-
TIVE DIRECTORY sicherstellen, dass die Option IM VERZEICHNIS ANZEIGEN
aktiviert ist.
B. Im Dialogfeld EIGENSCHAFTEN für die Drucker auf der Registerkarte
FREIGABE sicherstellen, dass die Option IM VERZEICHNIS ANZEIGEN akti-
viert ist.
C. Sie müssen den Drucker in ACTIVE DIRECTORY-BENUTZER UND -COMPU-
TER installieren.
D. Sie müssen die Drucker entfernen und wieder hinzufügen.

27. Ein älteres Windows-98-System läuft auf einem Pentium 133, d.h. Sie kön-
nen das System nicht auf Windows 2000 aktualisieren. Sie möchten sicher-
stellen, dass vorhandene Benutzer den angeschlossenen Drucker während des
mehrmonatigen Aktualisierungsprozesses benutzen können. Sie möchten
aber auch, dass Windows-2000-Benutzer damit arbeiten können. Was sollten
Sie unternehmen?
A. Den Drucker als lokalen Drucker auf einem Windows-2000-Server erstel-
len und als Anschluss den Netzwerknamen des vorhandenen Druckers
einstellen.
B. Den Drucker als Netzwerkdrucker auf einem Windows-2000-Server er-

stellen und als Netzwerkadresse den Netzwerknamen des vorhandenen
Druckers einstellen.
C. Das Druckerobjekt in Windows 2000 Active Directory erstellen.
D. Sie können den Drucker auf einem Windows-98-System nicht freigeben
und müssen ihn mindestens zu einem Windows-NT-4.0 Server verschie-
ben.
28. Sie konfigurieren den Sicherungszeitplan für einen Windows-2000-Server.

Sie wollen alle Daten einschließlich der Systemstatusdaten auf einem Remo-
teserver mit genügend Speicherplatz sichern. Laut Richtlinien müssen Sie
wöchentlich eine Vollsicherung und montags bis freitags jeweils eine diffe-
renzielle Sicherung durchführen. Sie konfigurieren die Vollsicherung für wö-
chentliche Ausführung mit Überschreiben der Sicherung der letzen Woche.
Dann testen Sie, und alles läuft einwandfrei. Nun konfigurieren Sie die diffe-
renziellen Sicherungen. Wie viele Tasks sollten Sie konfigurieren?
A. 1
B. 2
C. 5
D. 260
29. Es ist Donnerstag, und einer der Mitgliedsserver in Ihrem Netzwerk ist abge-
stürzt. Sie müssen den Server von der Sicherung wiederherstellen. Sie haben
die Laufwerke ersetzt und Windows 2000 Advanced Server neu geladen. Sie
nehmen den Server in die Domäne auf und sind nun so weit, von Band wieder
herzustellen. Es gibt eine normale Sicherung von Sonntagmorgen und diffe-
renzielle Sicherungen von Montag, Dienstag und Mittwochnacht. Welche
sollten Sie laden? (Wählen Sie zwei.)
A. Sie sollten die normale Sicherung laden.
B. Sie sollten die differenzielle Sicherung vom Montag laden.
C. Sie sollten die differenzielle Sicherung vom Dienstag laden.
D. Sie sollten die differenzielle Sicherung vom Mittwoch laden.
30. Ihre Firma hat derzeit DNS-Server im Einsatz, die mit den in der gesamten
Organisation verwendeten UNIX-Servern und -Workstations verwendet wer-
den. Sie werden in Kürze Windows 2000 mit Active Directory zum Netzwerk
hinzufügen, und Sie müssen neben der Möglichkeit, mit Windows 2000 zu
arbeiten, eine Lösung für die derzeitigen UNIX-Server und -Workstations an-
bieten. Sie wissen bereits, dass die verwendete BIND-Version keine SRV-
Datensätze unterstützt und mit Active Directory nicht funktioniert. Was ist
die einfachste Möglichkeit, dieses Problem zu lösen?
A. Windows-2000-Server als DNS-Server in Ihrem Unternehmen einsetzen.
B. Die BIND-Version aktualisieren, damit sie in Active Directory benutzt
werden kann.
C. Eine sekundäre Zonendatei für die existierende Zone auf den Windows-
2000-Servern erstellen. Die anderen Windows-2000-DNS-Server sollen
diese als Masterserver benutzen.
D. Den Windows-2000-DNS-Server so konfigurieren, dass er den UNIX-
Server als Weiterleiter verwendet.
31. Sie stellen fest, dass Sie häufig (etwa ein- bis zweimal die Woche) neue Be-
nutzer für die Verkaufsabteilung erstellen müssen. Sie möchten die Erstel-
lung der Konten so einfach wie möglich machen. Was sollten Sie tun?
A. Eine Textdatei mit allen Einstellungen für den Verkauf erstellen und, nach
Bearbeitung für jedes neue Konto, in ACTIVE DIRECTORY-BENUTZER UND
-COMPUTER importieren.
B. Ein Pseudokonto für den Verkauf erstellen, das deaktiviert ist. Dieses
Konto kopieren, wenn ein neuer Benutzer erstellt werden soll.
C. Mittels Gruppenrichtlinien die Kontoinformationen für die gesamte Orga-
nisationseinheit festlegen und dann nur elementare Benutzer erstellen.
D. Mit Hilfe des Befehls net user eine Stapeldatei erstellen.

32. Sie möchten die von einem Prozess verbrauchte CPU-Zeit sehen. Welche ist
die schnellste Möglichkeit zur Ermittlung dieses Werts?
A. Verwendung des Programms Systemmonitor.
B. Verwendung des Befehls NET STATISTICS.

C. Verwendung von Task-Manager.
D. Verwendung des Tools Systeminformationen.
33. Einer der jüngeren Systemadministratoren hat erfolglos versucht, ein Schema
zu ändern. Er hatte vermutet, dass der Schema-Master ausgefallen war, und
dachte, es wäre besser, die Funktion Schema-Master zu entziehen. Sie finden
das heraus, geben dem Jungoperator 80.000 Disketten zum Formatieren und
machen sich an die Lösung des Problems. Was müssen Sie tun?
A. Sie müssen den ehemaligen Schema-Master offline nehmen und das Lauf-
werk neu formatieren. Dann müssen Sie das Schema überprüfen.
B. Sie müssen die Änderung des jungen Operators rückgängig machen und
dann die Funktion wieder auf den Schema-Master ziehen. Danach müssen
Sie die ursprünglich geplante Änderung vornehmen.
C. Sie müssen die Funktion auf dem ehemaligen Schema-Master an sich zie-
hen und dann das Laufwerk auf dem System formatieren, das die Funktion
entzogen hatte.
D. Sie müssen das gesamte Active Directory neu installieren.
34. Sie haben soeben den ersten Domänencontroller in Ihrer Active Directory-
Gesamtstruktur installiert. Nach dem Neustart des Systems überprüfen Sie,
ob die Active Directory-Tools im Menü VERWALTUNG angezeigt werden, und
ob Ihr Computer im Container DOMÄNENCONTROLLER von Active Directory
zu finden ist.
Sie öffnen die DNS-Konsole und erweitern Ihren Server, der in der Liste auf-
geführt ist. Sie sehen den Namen Ihrer Forward-Lookupzone und erweitern
diese. Es gibt zwei Einträge, aber die Active Directory-Einträge sind nicht
aufgeführt. Was sollten Sie tun? (Wählen Sie alle zutreffenden.)
A. Mit dem Befehl IPCONFIG /REGISTERDNS Ihren Computer registrieren.
B. Den DNS-Serverdienst stoppen und wieder starten.
C. Den Serverdienst stoppen und wieder starten.

D. Den Netlogon-Dienst stoppen und wieder starten.
E. Ihre Netzwerkidentifikation überprüfen.
F. Ihre TCP/IP-Einstellungen überprüfen und auf sich selbst als DNS-Server
verweisen.
G. Mit dem Befehl NSLOOKUP/REGISTERDNS Ihre Domäne registrieren.

35. Sie sind dabei, die administrative Verantwortung für eine Organisationsein-
heit an eine Benutzerin namens Sandra zu delegieren, die bei der Verwaltung
von Benutzerkonten in der Domäne helfen soll. Mit Hilfe des Assistenten
zum Zuweisen der Objektverwaltung erlauben Sie der Benutzerin, Kennwör-
ter zurückzusetzen und Benutzerattribute zu ändern. Als Sandra später ver-
sucht, ein Kennwort zurückzusetzen, ist dies nicht möglich, obwohl sie bei
anderen Benutzern erfolgreich war. Sie erzählt Ihnen dies am Telefon und
bittet Sie, das Kennwort zurückzusetzen. Dies gelingt Ihnen, und Sie sagen
ihr, Sie werden sich das genauer ansehen. Was sollten Sie überprüfen?
A. Sie sollten die Berechtigungen an der delegierten Organisationseinheit
überprüfen.
B. Sie sollten die Berechtigungen für Sandras Konto überprüfen.

C. Sie sollten die Berechtigungen für das Konto Benutzer überprüfen.

D. Sie sollten den Assistenten zum Zuweisen der Objektverwaltung erneut
ausführen.
36. Sie sind dabei, in der Domäne Computerobjekte zu erstellen, damit die jünge-
ren Techniker Systeme installieren können. Beim Hinzufügen eines Compu-
terkontos kommen Sie an einen Punkt, an dem Sie keine neuen Computer
hinzufügen können. Was könnte das Problem sein?
A. Sie haben das Limit für die Anzahl von Objekten in Active Directory er-
reicht.
B. Sie haben das Limit für die Anzahl von Objekten in einer Organisations-
einheit erreicht.
C. Ihnen sind die relativen Kennungen ausgegangen, und Sie sollten den Be-
triebsmaster überprüfen.
D. Ihre Sitzung auf dem Domänencontroller wurde abgebrochen.

37. Sie versuchen, Remote-Installationsdienste auf Ihrem Windows-2000-Ser-
ver-Computer zu installieren, und erhalten eine Fehlermeldung, die besagt,
dass RIS auf dem Computer nicht installiert werden kann. Was ist die wahr-
scheinlichste Ursache des Problems?
A. DHCP ist nicht auf dem Server installiert.
B. Der Computer gehört nicht zu einer Active Directory-Domäne.

C. DNS ist nicht auf dem Computer installiert.
D. Der Computer gehört nicht zu einer Arbeitsgruppe.
E. Der Computer enthält keine PXE-fähige Netzwerkkarte.
38. Sie entwerfen eine Gruppenrichtlinienstruktur mit zwei GPOs, eine auf Do-
mänenebene und die andere auf Ebene der Organisationseinheit Verkauf.
씰 Auf Domänenebene legen Sie ein Hintergrundbild fest und ordnen die
Richtlinie der Gruppe Authentifizierte Benutzer zu.
씰 Auf Ebene der OU Verkauf deaktivieren Sie die Systemsteuerung und
ordnen die Richtlinie der Sicherheitsgruppe VerkaufsPersonal zu.
씰 Auf Ebene der OU Verkauf legen Sie ein Hintergrundbild fest und ordnen
es der Sicherheitsgruppe VerkaufsPersonal zu.
씰 Auf Domänenebene legen Sie fest, dass Benutzer in der Systemsteuerung

nur die Komponenten Software und Anzeige benutzen dürfen.
씰 Sie konfigurieren das GPO der OU Verkauf so, dass die Richtlinienverer-
bung blockiert ist.
씰 Sie konfigurieren das GPO auf Domänenebene mit Kein Vorrang.
Nachdem Sie Ihre Änderungen gespeichert haben und auf allen betroffenen
Domänencontrollern eine Aktualisierung des GPO stattgefunden hat, meldet
sich ein Benutzer der OU Verkauf beim Netzwerk an. Welches Ergebnis zei-
gen Ihre GPO-Einstellungen auf dem Desktop des Benutzers? (Wählen Sie
alle korrekten Antworten.)
A. Die Systemsteuerung ist für den Benutzer deaktiviert.
B. In der Systemsteuerung sind nur die Komponenten Software und Anzeige

verfügbar.
C. Das Hintergrundbild auf Domänenebene wird angezeigt.
D. Das im GPO der OU Verkauf festgelegte Hintergrundbild wird angezeigt.
39. Sie haben auf einem Windows-2000-Mitgliedsserver in Ihrer Domäne, der

zugleich DHCP-Server ist, Remote-Installationsdienste installiert. Der
DHCP-Server wurde in Active Directory autorisiert.
Welche zusätzlichen Aufgaben müssen Sie mindestens noch erledigen, damit
der Server RIS-Anforderungen von Clients bedienen kann? (Wählen Sie
zwei.)
A. Den RIS-Server in Active Directory autorisieren.
B. Sicherstellen, dass die Netzwerkkarte im RIS-Server PXE-fähig ist.
C. Ein erstes CD-basiertes Image auf dem RIS-Server installieren.

D. Das Programm RISETUP ausführen.
E. Ein erstes RIPrep-Image auf dem RIS-Server installieren.

F. Den RIS-Server vorkonfigurieren.
40. Sie haben die Softwarebereitstellung mittels Gruppenrichtlinien auf Domä-

nenebene auf einem Domänencontroller in der Domäne schreibwerk.com fol-
gendermaßen konfiguriert:
씰 Sie weisen den Computern in der Domäne Adobe Acrobat zu.
씰 Sie veröffentlichen Microsoft Office 2000 für Benutzer in der Domäne.

씰 Sie weisen den Computern in der Domäne Microsoft Word 2000 zu.
씰 Bei den Berechtigungen für das GPO werden die Standardeinstellungen

beibehalten.
RobS, ein Mitglied der Gruppe Domänen-Admins, meldet sich nach der In-
stallation von Windows 2000 Professional auf einem nagelneuen Computer
bei der Domäne an. Welche Softwarekonfiguration findet als Ergebnis der
GPO-Einstellungen statt? (Wählen Sie alle korrekten Antworten.)
A. Adobe Acrobat wird auf dem Computer installiert.
B. Microsoft Office 2000 wird auf dem Computer installiert.
C. Microsoft Word 2000 wird auf dem Computer installiert.
D. Adobe Acrobat wird in Software aufgelistet.

E. Microsoft Office 2000 wird in Software aufgelistet.
F. Microsoft Word 2000 wird in Software aufgelistet.

G. Auf dem Computer wird keine Software installiert.
41. Welche Standardeinstellungen gelten für die Aktualisierung von Gruppen-

richtlinien in der Domäne? (Wählen Sie zwei richtige Antworten.)
A. Auf Domänencontrollern werden Gruppenrichtlinien alle 15 Minuten ak-
tualisiert.
B. Auf Mitgliedsservern und Workstations werden Gruppenrichtlinien alle
15 Minuten aktualisiert.
C. Auf Mitgliedsservern und Workstations werden Gruppenrichtlinien alle

90 Minuten aktualisiert.
D. Auf Domänencontrollern werden Gruppenrichtlinien alle 90 Minuten ak-
tualisiert.
E. Auf Mitgliedsservern und Workstations werden Gruppenrichtlinien alle 5
Minuten aktualisiert.
F. Auf Domänencontrollern werden Gruppenrichtlinien alle 5 Minuten aktu-
alisiert.
42. Sie haben die Softwarebereitstellung mittels Gruppenrichtlinien auf Domä-
nenebene auf einem Domänencontroller in der Domäne schreibwerk.com fol-
gendermaßen konfiguriert:
씰 Sie weisen den Computern in der Domäne Adobe Acrobat zu.
씰 Sie veröffentlichen Microsoft Office 2000 für Benutzer in der Domäne.
씰 Sie weisen den Computern in der Domäne Microsoft Word 2000 zu.
씰 Bei den Berechtigungen für das GPO werden die Standardeinstellungen

beibehalten.
RudiM, ein Mitglied der Gruppe Entwickler, meldet sich nach der Installation
von Windows 2000 Professional auf einem nagelneuen Computer bei der Do-
mäne an. Welche Softwarekonfiguration findet als Ergebnis der GPO-Ein-
stellungen statt? (Wählen Sie alle korrekten Antworten.)
A. Adobe Acrobat wird auf dem Computer installiert.
B. Microsoft Office 2000 wird auf dem Computer installiert.
C. Microsoft Word 2000 wird auf dem Computer installiert.
D. Adobe Acrobat wird in Software aufgelistet.

E. Microsoft Office 2000 wird in Software aufgelistet.
F. Microsoft Word 2000 wird in Software aufgelistet.
G. Auf dem Computer wird keine Software installiert.
43. Sie ändern die Einstellungen des Ordners OFFLINE FÜR BENUTZER in einem
vorhandenen GPO, das der Sicherheitsgruppe VerkaufsPersonal zugeordnet
ist. NataschaR, ein Mitglied der Sicherheitsgruppe VerkaufsPersonal, ist be-
reits auf einem Windows-2000-Professional-Computer bei der Domäne ange-
meldet. Wann werden die aktualisierten Einstellungen für Offline-Ordner auf
ihrem Computer wirksam?
A. Wenn sie sich zum nächsten Mal bei der Domäne anmeldet.


F. Die neuen Einstellungen treten nicht in Kraft.
44. Es liegt eine Gruppenrichtlinie namens Desktoprichtlinie Verkauf vor, die in

der Organisationseinheit Verkauf der Domäne faxnix.com erstellt wurde. Sie
möchten die gleichen Einstellungen auf die OU Verkauf der Domäne schreib-
werk.com anwenden, die zur selben Gesamtstruktur gehört wie die Domäne
faxnix.com. Auf welche Weise wäre dies am einfachsten zu erreichen?
A. Desktoprichtlinie Verkauf in die OU Verkauf der Domäne schreib-
werk.com kopieren.
B. Eine neue Richtlinie namens Desktoprichtlinie Schreibwerk in der OU
Verkauf der Domäne schreibwerk.com erstellen und manuell die Einstel-
lungen der Desktoprichtlinie Verkauf aus der Domäne faxnix.com kopie-
ren.
C. Eine neue Richtlinie namens Desktoprichtlinie Schreibwerk in der OU
Verkauf der Domäne schreibwerk.com erstellen und mit der Gruppenricht-
linienvorlage von Desktoprichtlinie Verkauf in der Domäne faxnix.com
verknüpfen.
D. Desktoprichtlinie Verkauf mit der OU Verkauf der Domäne schreib-

werk.com verknüpfen.
45. Sie sind Administrator der Domäne faxnix.com. Sie haben folgende Active
Directory-Container erstellt:
씰 Eine Organisationseinheit Verkauf
씰 Eine Organisationseinheit Entwicklung
씰 Eine Organisationseinheit Finanzen
In welchen Active Directory-Containern können Sie keine Gruppenrichtlinie

erstellen? (Wählen Sie alle zutreffenden.)
A. Benutzer
B. OU Verkauf
C. OU Finanzen
D. Computer
E. OU Entwicklung
F. Domäne faxnix.com
G. Domänencontroller
46. Sie haben in der Domäne schreibwerk.com eine Gruppenrichtlinie auf Domä-
nenebene mit folgenden Einstellungen konfiguriert:
씰 Sie haben die Windows-Installer-Einstellung IMMER MIT ERHÖHTEN
RECHTEN INSTALLIEREN für die Computerkonfiguration in der Domäne
aktiviert.
씰 Sie haben die Tools zur Bearbeitung der Registrierung für Benutzer in der
Domäne deaktiviert.
씰 Sie haben die Erstellung neuer Aufgaben im Taskplaner für Benutzer in
der Domäne deaktiviert.
씰 Sie haben die Windows Installer-Einstellung IMMER MIT ERHÖHTEN
RECHTEN INSTALLIEREN für die Benutzerkonfiguration in der Domäne
deaktiviert.
씰 Sie haben DRAG&DROP beim Taskplaner für Computer in der Domäne
aktiviert.
NataschaR meldet sich auf einem Windows-2000-Professional-Computer in
der Domäne an. Welche Einstellungen werden als Ergebnis Ihrer Gruppen-
richtlinienkonfiguration für sie wirksam? (Wählen Sie alle zutreffenden aus.)
A. Windows Installer installiert Anwendungen mit erhöhten Privilegien.
B. Windows Installer installiert Anwendungen mit den Privilegien des ange-

meldeten Benutzers.
C. Die Tools zur Bearbeitung der Registrierung sind aktiviert.
D. Die Tools zur Bearbeitung der Registrierung sind deaktiviert.
E. Sie kann per Drag&Drop eine Aufgabe im Taskplaner erstellen.
F. Sie kann per Drag&Drop keine Aufgaben im Taskplaner erstellen.

47. Sie ändern die Einstellungen des Ordners OFFLINE für Benutzer in einem vor-
handenen GPO, das der Sicherheitsgruppe VerkaufsPersonal zugeordnet ist.
NataschaR, ein Mitglied der Sicherheitsgruppe VerkaufsPersonal, ist bereits
auf einem Windows-NT-4.0-Computer bei der Domäne angemeldet. Wann
werden die aktualisierten Einstellungen für Offline-Ordner auf ihrem Compu-
ter wirksam? (Wählen Sie die beste Antwort aus.)
A. Wenn sie sich zum nächsten Mal bei der Domäne anmeldet.

F. Die neuen Einstellungen treten nicht in Kraft.
48. Bei welchen der folgenden Einstellungen für Überwachungsrichtlinien ist
nach der Aktivierung keine weitere Aktion Ihrerseits erforderlich, damit die
Überwachung beginnt? (Wählen Sie alle korrekten Antworten aus.)
A. Objektzugriffsversuche überwachen
B. Anmeldeereignisse überwachen
C. Systemereignisse überwachen
D. Active Directory-Zugriff überwachen

E. Anmeldeversuche überwachen
F. Datei- und Druckerzugriff überwachen
G. Benutzernamen überwachen
49. Welche der folgenden Tags sind im Abschnitt APPLICATION einer ZAP-Datei
obligatorisch? (Wählen Sie zwei korrekte Antworten aus.)
A. DisplayVersion
B. ApplicationName
C. FriendlyName
D. Publisher
E. URL
F. SetupCommand
50. In schreibwerk.com wurden in großem Umfang Gruppenrichtlinien zur Ver-
öffentlichung und Zuweisung von Software an Benutzer und Computer im
gesamten Unternehmen eingesetzt. In letzter Zeit haben sich Benutzer be-
schwert, dass die Liste von Anwendungen in der Systemsteuerung unter Soft-
ware so lang ist, dass sie beim Installieren von Anwendungen das gewünschte
Softwarepaket nicht mehr ohne weiteres finden. Wie können Sie den Benut-
zern das Auffinden der zu installierenden Anwendungen erleichtern?
A. Anwendungen bestimmten Benutzern zuweisen.
B. Anwendungen für bestimmte Benutzer veröffentlichen.
C. Anwendungen mit bestimmten Dateierweiterungen verknüpfen, und Be-

nutzer über die Dateierweiterung nach Anwendungen suchen lassen.
D. Softwarekategorien für die veröffentlichten Anwendungen erstellen.

E. Die Anzahl der verfügbaren Anwendungen verringern.
F. Nichts tun. So funktioniert es eben.
51. Sie müssen Benutzern in Ihrer Verkaufsabteilung eine Softwareanwendung
zur Verfügung stellen. Die Anwendung liegt nicht in einem Windows-Instal-
ler-Dateiformat vor. Benutzer können entscheiden, ob sie die Anwendung auf
ihrem Computer installieren möchten. Was ist die beste Methode zur Bereit-
stellung dieser Anwendung mittels Gruppenrichtlinien?
A. Die Anwendung mit WinINSTALL LE umpacken und den Benutzern zu-
weisen.
B. Die Anwendung mit WinINSTALL LE umpacken und für die Benutzer

veröffentlichen.
C. Eine ZAP-Datei für die Anwendung erstellen und den Benutzern zuwei-
sen.
D. Eine ZAP-Datei für die Anwendung erstellen und für die Benutzer veröf-
fentlichen.
E. Software kann nur dann mittels Gruppenrichtlinien bereitgestellt werden,

wenn sie als Windows-Installer-Paketdatei vorliegt.
52. Das Management von schreibwerk.com hat beschlossen, dass für alle Benut-
zer im Unternehmen eine einheitliche Kennwortrichtlinie gelten soll. Die
Richtlinie soll eine minimale Kennwortlänge von 6 Zeichen, ein maximales
Kennwortalter von 30 Tagen, ein minimales Kennwortalter von einem Tag
und eine Kennwortchronik von 12 Tagen durchsetzen.
Die Active Directory-Struktur von schreibwerk.com umfasst vier weitere
untergeordnete Domänen. Diese wurden für Verwaltungszwecke erstellt und
heißen europa.schreibwerk.com, namerika.schreibwerk.com, samerika.
schreibwerk.com und spezial.schreibwerk.com. Da die Migration zu Win-
dows 2000 erst vor kurzem abgeschlossen wurde, sind bisher noch keine neu-
en Gruppenrichtlinienobjekte erstellt worden. Was wäre die einfachste
Möglichkeit, die Einstellungen der Kennwortrichtlinie im gesamten Unter-
nehmen durchzusetzen?
A. Die Standardrichtlinie der Domäne mit den Kennworteinstellungen än-

dern.
B. In jeder Domäne ein GPO mit den Einstellungen der Kennwortrichtlinie

erstellen.
C. In der Domäne schreibwerk.com ein GPO namens Kennwortrichtli-

nieneinstellungen mit den Einstellungen der Kennwortrichtlinie erstellen.
D. Das GPO Kennwortrichtlinieneinstellungen aus der Domäne schreib-
werk.com mit jeder untergeordneten Domäne verknüpfen.
E. Alle Benutzer der untergeordneten Domänen in den Container Benutzer

der Domäne schreibwerk.com verschieben.
53. Durch eine Übernahme wurden schreibwerk.com und faxnix.com in einer
neuen Firma SchreibNix International GmbH zusammengeführt. Sowohl bei
schreibwerk.com als auch bei faxnix.com ist eine Windows-2000-Active-Di-
rectory-Struktur in der jeweiligen Gesamtstruktur vorhanden.
Die Active Directory-Struktur von schreibwerk.com enthält vier untergeord-
nete Domänen. Diese heißen europa.schreibwerk.com, namerika.schreib-
werk.com, samerika.schreibwerk.com und spezial.schreibwerk.com und
wurden für Verwaltungszwecke erstellt.
Die Active Directory-Struktur von faxnix.com enthält keine zusätzlichen un-
tergeordneten Domänen.
Das neue Management von SchreibNix International GmbH hat beschlossen,
dass für alle Benutzer im Unternehmen eine einheitliche Kennwortrichtlinie
gelten soll. Die Richtlinie soll eine minimale Kennwortlänge von 6 Zeichen,
ein maximales Kennwortalter von 30 Tagen, ein minimales Kennwortalter
von einem Tag und eine Kennwortchronik von 12 Tagen durchsetzen.
Welche Aufgaben müssen erledigt werden, um in allen Active Directory-Do-
mänen, die zu SchreibNix International GmbH gehören, eine einheitliche
Kennwortrichtlinie durchzusetzen? (Wählen Sie zwei richtige Antworten
aus.)
A. Die Standardrichtlinie der Domäne schreibwerk.com mit den Kennwort-
einstellungen ändern.
B. In jeder Domäne ein GPO mit den Einstellungen der Kennwortrichtlinie
erstellen.
C. In der Domäne schreibwerk.com ein GPO namens Kennwortrichtli-

nieneinstellungen mit den Einstellungen der Kennwortrichtlinie erstellen.
D. Das GPO Kennwortrichtlinieneinstellungen aus der Domäne schreib-

werk.com mit jeder untergeordneten Domäne und der Domäne faxnix.com
verknüpfen.
E. Ein explizites wechselseitiges Vertrauensverhältnis zwischen schreib-
werk.com und faxnix.com erstellen.
F. Die Standardrichtlinie der Domäne faxnix.com mit den Kennworteinstel-
lungen ändern.
54. In welcher Reihenfolge werden Gruppenrichtlinien in der Struktur von Acti-
ve Directory angewandt?
A. OU, Standort, Domäne
B. Standort, Domäne, OU
C. Computer, Benutzer
D. OU, Domäne, Standort

E. Domäne, Standort, OU
F. Asynchron
55. Wo werden Einstellungen von Gruppenrichtlinienvorlagen gespeichert?
A. Im Ordner %SYSTEMROOT%\GPO jedes Windows-2000-Computers
B. Im Ordner %SYSTEMROOT%\GPO jedes Domänencontrollers
C. In einem Ordner gleichen Namens wie das GPO in der Freigabe SYSVOL
jedes Domänencontrollers
D. In einem Ordner gleichen Namens wie die GUID des GPOs in der Freiga-
be SYSVOL jedes Domänencontrollers
E. In einem Ordner gleichen Namens wie das GPO in der Freigabe SYSVOL
jedes Windows-2000-Computers
F. In einem Ordner gleichen Namens wie die GUID des GPOs in der Freiga-
be SYSVOL jedes Windows-2000-Computers
56. Sie haben den Verdacht, dass Benutzer auf Ebene der OU Operations, an
welche die Verwaltungsrechte für die OU delegiert wurden, zulassen, dass
Benutzer Administratoren ihrer eigenen Computer werden. Die Sicherheits-
richtlinien des Unternehmens schreiben vor, dass nur Domänen-Admins und
Mitglieder der Sicherheitsgruppe ComputerAdmins administrative Rechte für
Benutzercomputer erhalten dürfen. Welche Schritte würden Sie unternehmen,

um die Sicherheitsrichtlinien des Unternehmens durchzusetzen? (Wählen Sie
alle zutreffenden aus.)
A. Ein GPO auf Domänenebene erstellen.
B. Ein GPO auf Ebene der OU Operations erstellen.

C. Für das GPO Kein Vorrang festlegen.
D. Für das GPO Richtlinienvererbung deaktivieren festlegen.
E. Administratoren im GPO als eingeschränkte Gruppe konfigurieren.
F. Domänen-Admins und ComputerAdmins zur eingeschränkten Gruppe Ad-
ministratoren hinzufügen.
G. Gruppen-Admins und ComputerAdmins zur eingeschränkten Gruppe Ad-

ministratoren hinzufügen.
H. Eine neue Gruppe für Sicherheitszwecke erstellen.
57. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstel-
lungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne
besteht aus folgenden Organisationseinheiten:
씰 Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwick-
lung und Netzwerk Admin
씰 Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen
und Operations
씰 Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰 Geschäftsleitung
Auf Domänenebene existiert ein GPO, das von allen Benutzern alle 30 Tage
die Änderung des Kennworts verlangt.
Auf Ebene der OU Verkauf existiert ein GPO, das den Befehl AUSFÜHREN
vom Desktop entfernt und ein Hintergrundbild mit den Beförderungen des
Monats auf den Computern installiert.
Auf Ebene der OU Geschäftsleitung existiert ein GPO, das allen Benutzern
im Gültigkeitsbereich des GPO Microsoft Office 2000 zuweist.
Auf Ebene der OU Finanz existiert ein GPO, das allen Computern im Gültig-
keitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwen-
dung des Unternehmens zuweist.
Was müsste Benutzer BerndT, dessen Benutzerkonto in der OU Geschäftslei-

tung erstellt wird, tun, um zum ersten Mal Microsoft Word 2000 zu starten?
(Wählen Sie zwei korrekte Antworten aus.)
A. Microsoft Office 2000 installieren, wenn er dazu aufgefordert wird.
B. Auf eine Datei mit der Erweiterung .XLS doppelklicken.
C. Eine Verbindung mit der Netzwerkfreigabe herstellen, auf der Microsoft
Word 2000 installiert ist, und das Installationsprogramm starten.
D. Im Menü START unter PROGRAMME auf das Symbol MICROSOFT WORD
klicken.
E. Auf eine Datei mit der Erweiterung .DOC doppelklicken.
und Operations
Auf Ebene der OU Finanzen existiert ein GPO, das allen Computern im Gül-
tigkeitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwen-
Vor kurzem wurden Sie gebeten, folgende Anforderungen zu erfüllen:
씰 Der Vorstandsvorsitzende hat beschlossen, dass auf den Computern aller
Benutzer das gleiche Hintergrundbild installiert werden soll.
씰 Der Informationsvorstand möchte Domänen-Admins verfolgen, die ihre

geerbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf
Computern zu löschen, die zur Geschäftsleitung gehören.
씰 Der Verkaufsvorstand möchte sicherstellen, dass die im Ordner EIGENE
DATEIEN gespeicherten Dokumente von Mitgliedern der OU Verkauf
während der normalen Sicherungszyklen mitgesichert werden.
씰 Der Verkaufsvorstand möchte sicherstellen, dass alle Änderungen, die
Verkaufsleute an Dokumenten auf ihren Notebooks vornehmen, sich in
der Netzwerkversion der Datei niederschlagen.
씰 In der Abteilung Operations soll kein Benutzer Zugriff auf die System-
steuerung haben.
Zur Erfüllung dieser Anforderungen erledigen Sie folgende Aufgaben:

씰 Erstellung eines GPO auf Domänenebene, das ein Hintergrundbild mit
dem Firmenlogo als Standard für alle Benutzer konfiguriert. Die Gruppe
Authentifizierte Benutzer erhält die Berechtigungen Lesen und Gruppen-
richtlinien übernehmen für das GPO. Konfiguration von Kein Vorrang
für das GPO.
씰 Erstellung einer Sicherheitsgruppe namens VerkaufsComputer in der OU
Verkauf und Aufnahme aller Computer der OU Verkauf in diese Sicher-
heitsgruppe.
씰 Erstellung eines GPO auf Domänenebene, welches die Inhalte der Ordner
EIGENE DATEIEN von jedem Computer, auf dem die Richtlinie umgesetzt
wurde, mit Hilfe eines bei Anmeldung und Abmeldung ausgeführten
Skripts in eine Netzwerkfreigabe kopiert.
씰 Erstellung eines GPO auf Ebene der OU Informationsdienste, das die
Optionen RECHTEVERWENDUNG ÜBERWACHEN und SYSTEMEREIGNISSE
ÜBERWACHEN aktiviert. Gewährung der Rechte Lesen und Gruppenricht-
linien übernehmen.
씰 Erstellung eines GPO auf Ebene der OU Operations, das die Systemsteu-
erung für alle authentifizierten Benutzer deaktiviert.
Welche der erwähnten Anforderungen wurden von Ihrer Lösung erfüllt?
(Wählen Sie alle zutreffenden aus.)
A. Auf den Computern aller Benutzer wird das gleiche Hintergrundbild in-
stalliert.
B. Der Informationsvorstand kann Domänen-Admins verfolgen, die ihre ge-

erbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf Com-
putern zu löschen, die zur Geschäftsleitung gehören.
C. Die im Ordner EIGENE DATEIEN gespeicherten Dokumente von Mitglie-
dern der OU Verkauf werden während der normalen Sicherungszyklen
mitgesichert.
D. Alle Änderungen, die Verkaufsleute an Dokumenten auf ihren Notebooks
vornehmen, schlagen sich in der Netzwerkversion der Datei nieder.
E. In der Abteilung Operations hat kein Benutzer Zugriff auf die System-
steuerung.
und Operations
Auf Ebene der OU Finanzen existiert ein GPO, das allen Computern im Gül-
tigkeitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwen-
Vor kurzem wurden Sie gebeten, folgende Anforderungen zu erfüllen:
씰 Der Vorstandsvorsitzende hat beschlossen, dass auf den Computern aller
Benutzer das gleiche Hintergrundbild installiert werden soll.
씰 Der Informationsvorstand möchte Domänen-Admins verfolgen, die ihre

geerbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf
Computern zu löschen, die zur Geschäftsleitung gehören.
씰 Der Verkaufsvorstand möchte sicherstellen, dass die im Ordner EIGENE
DATEIEN gespeicherten Dokumente von Mitgliedern der OU Verkauf
während der normalen Sicherungszyklen mitgesichert werden.
씰 Der Verkaufsvorstand möchte sicherstellen, dass alle Änderungen, die
Verkaufsleute an Dokumenten auf ihren Notebooks vornehmen, sich in
der Netzwerkversion der Datei niederschlagen.
씰 In der Abteilung Operations soll kein Benutzer Zugriff auf die System-
steuerung haben.
Zur Erfüllung dieser Anforderungen erledigen Sie folgende Aufgaben:

씰 Erstellung eines GPO auf Domänenebene, das ein Hintergrundbild mit
dem Firmenlogo als Standard für alle Benutzer konfiguriert. Die Gruppe
Authentifizierte Benutzer erhält die Berechtigungen Lesen und Gruppen-
richtlinien übernehmen für das GPO. Konfiguration von Kein Vorrang
für das GPO.
씰 Erstellung eines GPO auf Ebene der OU Verkauf, welches die Inhalte der
Ordner EIGENE DATEIEN von jedem Computer, auf dem die Richtlinie
umgesetzt wurde, mit Hilfe eines bei Anmeldung und Abmeldung ausge-
führten Skripts in eine Netzwerkfreigabe kopiert.
씰 Aktivieren von Offlinedateien in dem GPO, das in der OU Verkauf
erstellt wurde, sodass für wichtige Ordner auf dem Verkaufsserver auto-
matisch Offlinedateien erstellt werden.
씰 Erstellung eines GPO auf Ebene der OU Geschäftsleitung, das die Optio-
nen RECHTEVERWENDUNG ÜBERWACHEN und SYSTEMEREIGNISSE ÜBER-
WACHEN aktiviert. Gewährung der Rechte Lesen und Gruppenrichtlinien
übernehmen für die Sicherheitsgruppe Geschäftsleitung. Entfernen der
Gruppe Authentifizierte Benutzer aus der Liste der Gruppen, auf die diese
GPO-Einstellungen angewandt werden.
씰 Erstellung eines GPO auf Ebene der OU Operations, das die Systemsteu-
erung für alle authentifizierten Benutzer deaktiviert.
Welche der erwähnten Anforderungen wurden von Ihrer Lösung erfüllt?
(Wählen Sie alle zutreffenden aus.)
A. Auf den Computern aller Benutzer wird das gleiche Hintergrundbild in-
stalliert.
B. Der Informationsvorstand kann Domänen-Admins verfolgen, die ihre ge-

erbten Berechtigungen dafür verwenden, Sicherheitsprotokolle auf Com-
putern zu löschen, die zur Geschäftsleitung gehören.
C. Die im Ordner EIGENE DATEIEN gespeicherten Dokumente von Mitglie-
dern der OU Verkauf werden während der normalen Sicherungszyklen
mitgesichert.
D. Alle Änderungen, die Verkaufsleute an Dokumenten auf ihren Notebooks
vornehmen, schlagen sich in der Netzwerkversion der Datei nieder.
E. In der Abteilung Operations hat kein Benutzer Zugriff auf die System-
steuerung.
und Operations
Nachdem Sie Gruppenrichtlinien zur Erfüllung verschiedener Anforderungen
des Managements konfiguriert haben, beschweren sich Benutzer in der OU
Finanzen, dass die Anmeldung bei der Domäne erheblich länger dauert. Was
ist die wahrscheinlichste Ursache des Problems?
A. Die Computer in der Finanzabteilung sind zu langsam für die Verarbei-
tung von Gruppenrichtlinien.
B. Auf den Computern in der Finanzabteilung wird Windows NT 4.0 einge-
setzt, das Zeit braucht, um Gruppenrichtlinien in Systemrichtlinien zu
konvertieren.
C. Sie verwenden Anmeldeskripts, die erst nach Anwendung aller Richtlini-
en verarbeitet werden.
D. Die Computer in der Finanzabteilung haben eine große Anzahl von GPOs
zu verarbeiten, weil diese OU auf unterster Ebene liegt.
E. Die Computer in der Finanzabteilung müssen Gruppenrichtlinien und Sys-
temrichtlinien verarbeiten, weil die Domäne im gemischten Modus ist.
61. Wie würden Sie eine Anwendung in Gruppenrichtlinien konfigurieren, wenn

Sie sicherstellen möchten, dass sie allen Benutzern im Unternehmen zur Ver-
fügung steht?
A. Veröffentlichung der Anwendung für Computer.
B. Zuweisung der Anwendung an Computer.

C. Veröffentlichung der Anwendung für Benutzer.
D. Zuweisung der Anwendung an Benutzer.
E. Es ist nicht möglich, mit Gruppenrichtlinien zu gewährleisten, dass eine
Anwendung für alle Benutzer verfügbar ist.
62. Sie konfigurieren ein Startskript in einem GPO für die OU Verkauf, das LPT1
auf den Drucker \\Salesserver\HPLaser abbildet. Sie konfigurieren ein An-
meldeskript, das LPT1 für den Benutzer HeesH, dessen Benutzerkonto zur
OU Verkauf gehört, auf den Drucker \\Salesserver\Lexmark abbildet. Im glei-
chen GPO deaktivieren Sie den Zugriff auf die Systemsteuerung für alle au-
thentifizierten Benutzer. Welche Drucker sind für HeesH verfügbar und auf
welchen Druckeranschluss werden sie abgebildet?
A. Der Drucker \\Salesserver\HPLaser wird auf LPT1 abgebildet und ist für
HeesH verfügbar.
B. Der Drucker \\Salesserver\Lexmark wird auf LPT1 abgebildet und ist für
HeesH verfügbar.
C. Der Drucker \\Salesserver\HPLaser wird auf LPT2 abgebildet und ist für
HeesH verfügbar.
D. Der Drucker \\Salesserver\Lexmark wird auf LPT2 abgebildet und ist für
HeesH verfügbar.
E. HeesH kann auf keinen Drucker zugreifen.
63. Microsoft Office 97 wurde mittels Gruppenrichtlinien für Benutzer bereitge-

stellt. Nun müssen Sie bei allen Benutzern im Unternehmen Microsoft Office
97 auf Microsoft Office 2000 aktualisieren. Benutzer sollten jedoch in der
Lage sein, Microsoft Office 97 30 Tage lang weiter zu benutzen. Danach
müssen sie auf Microsoft Office 2000 aktualisieren. Wie können Sie dies mit
Gruppenrichtlinien bewerkstelligen? (Wählen Sie zwei richtige Antworten
aus.)
A. Microsoft Office 2000 als obligatorische Aktualisierung konfigurieren.
B. Microsoft Office 2000 als obligatorische Aktualisierung mit 30 Tagen
Verzögerung konfigurieren.
C. Microsoft Office 2000 als optionale Aktualisierung konfigurieren.

D. Microsoft Office 2000 als optionale Aktualisierung mit 30 Tagen Umstel-
lungsfrist konfigurieren.
E. Nach 30 Tagen den Aktualisierungstyp für Microsoft Office 2000 von OP-
TIONAL zu OBLIGATORISCH ändern.
F. Nach 30 Tagen den Aktualisierungstyp für Microsoft Office 2000 von OB-
LIGATORISCH zu OPTIONAL ändern.
64. Welche Vorteile hat die Verwendung eines RIPrep-Image gegenüber einem
CD-basierten Image? (Wählen Sie zwei korrekte Antworten aus.)
A. RIPrep-Images können neben dem Betriebssystem auch Anwendungen
enthalten.
B. RIPrep-Images können auf Computern bereitgestellt werden, deren HAL
sich von der des Quellcomputers unterscheidet.
C. Bei RIPrep-Images ist eine vollständige Betriebssysteminstallation not-

wendig, sodass der Benutzer alle Einstellungen festlegen kann.
D. RIPrep-Images können leicht aktualisiert werden, indem nur geänderte
Dateien in den Image-Ordner kopiert werden.
E. RIPrep-Images werden schneller installiert als CD-basierte Images.
65. Sie müssen 150 Computer mittels Remoteinstallationsdienste bereitstellen.

Die bereitzustellenden Computer weisen folgende Konfigurationen auf:
씰 10 Notebooks mit Pentium II 600 MHz, integrierter PCI-Netzwerkkarte
mit PXE-Boot-ROM, 10-GB-Festplatte und 128 MB RAM
씰 20 Desktopcomputer mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-GB-
Festplatte und 32 MB RAM
씰 50 Desktopcomputer mit Pentium III 800 MHz, PCI-Netzwerkkarte, 20-
GB-Festplatte und 32 MB RAM
씰 5 Desktopcomputer mit Doppelprozessor Pentium Pro 200 MHz, PCI-
Netzwerkkarte, 4-GB-Festplatte und 256 MB RAM
씰 65 Desktopcomputer mit Athlon 800 MHz, PXE-fähiger Netzwerkkarte,
8-GB-Festplatte und 64 MB RAM
Welche Computer können mit RIS ohne Startdiskette bereitgestellt werden?

(Wählen Sie zwei korrekte Antworten aus.)
A. 10 Notebooks mit Pentium II 600 MHz, integrierter PCI-Netzwerkkarte
mit PXE-Boot-ROM, 10-GB-Festplatte und 128 MB RAM
B. 20 Desktopcomputer mit Pentium 233 MHz, PCI-Netzwerkkarte, 4-GB-
Festplatte und 32 MB RAM
C. 50 Desktopcomputer mit Pentium III 800 MHz, PCI-Netzwerkkarte, 20-
GB-Festplatte und 32 MB RAM
D. 5 Desktopcomputer mit Doppelprozessor Pentium Pro 200 MHz, PCI-

Netzwerkkarte, 4-GB-Festplatte und 256 MB RAM
E. 65 Desktopcomputer mit Athlon 800 MHz, PXE-fähiger Netzwerkkarte,
8-GB-Festplatte und 64 MB RAM
12.2 Antworten auf die Prüfungsfragen

1. B. Der DNS-Dienst ist standardmäßig so konfiguriert, dass er auf einem Win-
dows-2000-Server automatisch gestartet wird, deshalb ist Antwort D falsch.
Der DNS-Dienst kann sich auf jedem Windows-2000-Server beliebiger Kon-
figuration oder sogar auf einem BIND-Server befinden, so lange er SRV-Da-
tensätze unterstützt, sodass Antwort A falsch ist. Antwort C macht einfach
keinen Sinn. Es wäre sehr schlecht, wenn Sie ständig per DCPROMO herab-
und heraufstufen müssten, um die Dienste zu registrieren, d.h. Antwort C ist
auch aus dem Rennen. Damit verbleibt Antwort B. Dies könnte das Problem
sein, wenn der DNS-Eintrag nicht auf den von Sabine erstellten Server ver-
weisen würde. Zusätzlich würde sie prüfen, ob der DNS-Server Aktualisie-
rungen zulässt. Siehe Abschnitt »Dynamische Einträge können nicht erstellt
werden« in Kapitel 2, »DNS für Active Directory konfigurieren«.
2. A. In dieser Frage kann der DNS-Server wie bei der letzten Frage ein beliebi-
ger DNS-Server sein, der SRV-Datensätze unterstützt. DNS muss nur dann
auf einem Domänencontroller laufen, wenn die Zone Active Directory-inte-
griert ist, Antwort B ist also falsch. Antwort C ist definitiv falsch, weil sich
unter Windows NT die einzige beschreibbare Kopie der Domänendatenbank
auf dem PDC befindet. Antwort D hat nichts mit dem DCPROMO-Verfahren
zu tun. Dieses wird eingesetzt, damit Programme zur Erstellung von Festplat-
ten-Images mit Windows 2000 Professional arbeiten können. A ist die richti-
ge Antwort, weil der Netlogon-Dienst zum ordnungsgemäßen Start seine
Datensätze registrieren muss. Wenn der DNS-Server keine dynamischen Ak-
tualisierungen unterstützen würde, müssten die SRV-Datensätze aus der Da-
12.2 Antworten auf die Prüfungsfragen 883
tei NETLOGON.DNS manuell hinzugefügt werden. Siehe Abschnitt »DNS

und Active Directory integrieren« in Kapitel 2, »DNS für Active Directory
konfigurieren«.
3. A. Durch Festlegung jeweils eines lokalen Masterservers in Calgary und To-
ronto, von dem die anderen lokalen Server die Zonendatei erhalten, verrin-
gern Sie den WAN-Datenverkehr. Der sekundäre Server, den Sie an jedem
Standort festlegen, erhält die Datei vom primären Server in Vancouver, und
die anderen lokalen sekundären Server erhalten die Datei dann vom lokalen
Master. Anwort B würde helfen, wenn die Datensätze anderer Firmen das
Problem wären, weil die Lebensdauer die minimale Zeitspanne betrifft, für
die ein Eintrag zwischengespeichert wird. Antwort C verringert den von Zo-
nendateien verursachten Datenverkehr auf den WAN-Verbindungen, führt
aber mit großer Wahrscheinlichkeit zu drastisch erhöhtem Auflösungsdaten-
verkehr auf der Verbindung, sodass im Endeffekt ein Typ von Datenverkehr
gegen einen anderen ausgetauscht wird. Antwort D fällt aus, weil Antwort A
richtig ist. Weitere Informationen finden Sie im Abschnitt »Zoneninformatio-
nen übertragen« in Kapitel 2, »DNS für Active Directory konfigurieren«.
4. B. In diesem Fall ist das kein Problem, weil die Active Directory-Zone die
Active Directory-Replikation verwendet. Damit erhält Bärbel Tools zur Steu-
erung der Replikation, wie etwa Standortverknüpfungen. Wenn eine Zone in
eine Active Directory-integrierte konvertiert wird, gilt für sie kein Zeitplan
Zonenübertragungen mehr und kann daher auch nicht neu eingestellt werden.
Deshalb ist Antwort A falsch. Es ist zwar richtig, dass nun die Active Direc-
tory-Replikation verwendet wird, aber Sie können keine Werte in den NTDS-
Einstellungen festlegen. Die einzigen Einstellungen, die Sie ändern können,
sind die der Standortverknüpfungen, sodass die Antworten C und D ebenfalls
falsch sind. Weitere Informationen finden Sie im Anschnitt »DNS und Active
Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigurie-
ren«.
5. C. In diesem Fall kann Heidi den Benutzer nicht mittels ACTIVE DIRECTORY-
BENUTZER UND -COMPUTER verschieben, sodass Antwort B falsch ist. In die-
sem Fall wird das Objekt zwischen Domänen verschoben, sie benötigt also
das Programm MOVETREE. Sie könnte ein Programm von einem Drittanbie-
ter verwenden, wenn sie wollte, aber dies ist nicht nötig, und sie braucht ganz
bestimmt auf keines zu warten. Das bedeutet, Antwort A ist falsch. Ein Pro-
gramm von einem Drittanbieter wäre nötig, wenn der Benutzer gelöscht und
neu erstellt werden müsste. Da dies jedoch nicht der Fall ist, ist Antwort D
ebenfalls falsch. Siehe Abschnitt »Objekte im Verzeichnis verschieben« in
Kapitel 4, »Active Directory-Dienste verwalten«.
6. B. Die Clients fragen zuerst den DNS-Server nach einem Anmeldeserver im

lokalen Standort und warten, bis diese Anfrage fehlschlägt, bevor sie in der
Domäne nach einem Anmeldeserver suchen. Da der Domänencontroller sich
nun irgendwo im Netzwerk befinden könnte, muss die Anmeldeanforderung
u.U. mehrere Router durchqueren. In diesem Fall ist die beste Lösung ein lo-
kaler Domänencontroller, der diese beiden Probleme löst. Ein zusätzlicher
DNS-Server würde vielleicht die Auflösung beschleunigen, aber nicht die an-
deren Probleme lösen. Es gibt einen DHCP-Relay-Agent und einen WINS-
Proxy, aber es gibt keinen Anmeldungs-Proxy, deshalb ist Antwort C falsch.
Standorte sollten einen Domänencontroller und einen Server für den globalen
Katalog enthalten, um alle Formen der Anmeldung zu unterstützen und zu ge-
währleisten, dass die Verwendung von Standorten keine Nebenwirkungen hat,
deshalb ist Antwort D falsch. Bedenken Sie, dass Standorte eingesetzt wer-
den, um die Replikation zu steuern, nicht um Anmeldungen oder anderen Da-
tenverkehr abzubremsen. Weitere Informationen finden Sie im Abschnitt »Im
physischen Netzwerk« in Kapitel 3, »Active Directory-Struktur aufbauen«.
7. B. In diesem Fall ist die Tatsache aufschlussreich, dass der Benutzer den Ein-
trag registrieren kann, nicht aber der Computer (oder eigentlich dessen Kon-
to). Die Tatsache, dass Sie selbst das Konto registrieren lassen können,
bedeutet, dass Antwort C falsch ist. Wenn es ein DHCP-Problem wäre, wäre
es um einige Nummern umfangreicher und nicht auf diesen einen Computer
beschränkt. Das Computerkonto muss vorhanden sein, weil Sie den Daten-
satz aktualisieren konnten, also ist Antwort D falsch. Siehe Abschnitt »DNS
und Active Directory integrieren« in Kapitel 2, »DNS für Active Directory
konfigurieren«.
8. B, C. Das lokale Systemkonto hätte nicht die Berechtigung zum Ändern des
Schemas auf dem Schema-Master und wahrscheinlich überhaupt keine Be-
rechtigung außerhalb des lokalen Computers. Das bedeutet, Antwort A ist
falsch. Antwort D könnte als allerletzter Ausweg nötig sein, aber es gibt viele
andere Möglichkeiten, die Sie kennen müssen und die zuerst geprüft werden
sollten. Antwort E ist sinnlos. Antwort B könnte das Problem sein, weil Sie
Organisations-Admin oder Schema-Admin sein müssen, um das Schema zu
ändern, und Antwort C ist möglich, weil Schemaänderungen normalerweise
nicht aktiviert sein sollten. Weitere Informationen finden Sie im Abschnitt
»Serverrollen« in Kapitel 5, »Server verwalten«.
9. A. Standorte werden zur Steuerung des Replikationsverkehrs in Active Direc-
tory eingesetzt. In diesem Fall ist es nicht angebracht, zu einem Domänenmo-
dell zu wechseln, weil es nicht genügend Systeme gibt, um dies zu
rechtfertigen. Deshalb ist Antwort B falsch. Die Aufteilung des Netzwerks in
verschiedene Organisationseinheiten erleichtert dessen Verwaltung. Dies ist
jedoch eine logische Konstruktion, die in der physischen Welt nichts bewegt.
Die Verringerung der Serveranzahl kann helfen, aber wenn die Server da
sind, dann hat das offensichtlich einen Grund. Die Entfernung von Servern
zur Senkung der Bandbreitennutzung würde wahrscheinlich andere Probleme
nach sich ziehen. Weitere Informationen finden Sie im Abschnitt »Im physi-
schen Netzwerk« in Kapitel 3, »Active Directory-Struktur aufbauen«.
10. C, D, E. Sie können die Funktionen per grafischer Schnittstelle übertragen,
indem Sie das Active Directory-Schema zur Übertragung der Funktion Sche-
ma-Master und Active Directory-Domänen und -Vertrauensstellungen zur
Übertragung der Funktion Domänennamen-Master verwenden. Sie könnten
auch das Programm NTDSUTIL zur Übertragung der Funktionen verwenden.
ACTIVE DIRECTORY-BENUTZER UND -COMPUTER kann zur Übertragung der
anderen Funktionen per grafischer Schnittstelle verwendet werden, aber nicht
der in der Frage angesprochenen. Das bedeutet, dass Antwort A falsch ist.
ACTIVE DIRECTORY-STANDORTE UND -DIENSTE dient zwar zur Verwaltung
von Active Directory, kann aber keine Funktionen übertragen. Deshalb ist
Antwort B ebenfalls unkorrekt. Die Snap-Ins COMPUTERVERWALTUNG und
DNS dienen nicht zur Verwaltung von Active Directory, sodass die Antwor-
ten F und G falsch sind. Weitere Informationen finden Sie im Abschnitt »Ser-
verrollen« in Kapitel 5, »Server verwalten«.
11. D. Leider gibt es in MMC keine Drag&Drop-Funktionalität zum Verschieben
von Computern, Antwort A ist also falsch. Der Befehl VERSCHIEBEN im Kon-
textmenü verschiebt die Benutzer. Sie müssen allerdings jeden einzeln ver-
schieben. Deshalb ist B nicht die beste Antwort. Die Benutzer in eine Gruppe
aufzunehmen, ist wahrscheinlich ohnehin sinnvoll. Dadurch werden jedoch
keine Benutzerkonten verschoben. Die beste Wahl ist die Verwendung des
Befehls SUCHEN und Überprüfung der gefundenen Systeme und Benutzer.
Nach Überprüfung der Benutzer und Computer können Sie diese en masse
verschieben. Weitere Informationen finden Sie im Abschnitt »Objekte im
Verzeichnis verschieben« in Kapitel 4, »Active Directory-Dienste verwal-
ten«.
12. C. In diesem Fall konnte, wie bei Windows NT 4.0, die Kennwortänderung,
die auf dem PDC-Emulator ausgeführt werden musste, noch nicht zum Reser-
vedomänencontroller in der Nähe des Clients repliziert werden. In solchen
Fällen sollten Sie die Replikation des Reservedomänencontrollers in der
Nähe des Clients mit dem PDC-Emulator erzwingen. Dies ist in Windows
2000 möglich, aber es wird immer ein Computer gezwungen, mit einem an-
deren zu replizieren. Um die flächendeckende Replikation zu erzwingen, wie
in Antwort A vorgeschlagen, müssten Sie sehr viel Zeit damit verbringen, die
Replikation für jeden Server über jede Verbindung zu erzwingen. Der Server
für den globalen Katalog enthält zwar zusätzliche Informationen und ist stan-
dardmäßig der PDC-Emulator, aber da der PDC-Emulator in einer separaten
Frage angesprochen wird, ist dies nicht die beste Antwort. Der PDC-Emula-
tor ist das System, das die NT-Domänencontroller in Trab versetzt. D würde
zwar helfen, wenn der Server, den der Benutzer verwenden wollte, ein Win-
dows-2000-Domänencontroller wäre, aber weil dies nicht der Fall ist, ist die-
se Antwort falsch. Siehe Abschnitt »Serverrollen« in Kapitel 5, »Server
verwalten«.
13. A. Das ist keine schwere Aufgabe, aber Sie sollten sich merken, dass sie
durch Bearbeitung der NTDS-Einstellungen und Aktivierung des globalen
Katalogs auf dem Server erledigt wird. Diese Aufgabe könnte zwar auch per
Gruppenrichtlinien erledigt werden, weil diese die Möglichkeit bieten, die
Registrierung des Domänencontrollers zu ändern, aber Gruppenrichtlinien
sind nicht für einzelne Benutzer oder Computer vorgesehen. Das bedeutet,
dass Antwort B falsch ist. Da dies nicht in der Registrierung erledigt werden
muss, ist Antwort C falsch. Antwort D ist offensichtlich ein Overkill. Siehe
Abschnitt »Server für den globalen Katalog« in Kapitel 3, »Active Directory-
Struktur aufbauen«.
14. C. In diesem Fall sollten Sie den Datenverkehr im Netzwerk unter die Lupe
nehmen. Der Systemmonitor zeigt Ihnen, wie stark das Netzwerk ausgelastet
ist, aber er kann Ihnen eigentlich nicht sagen, welche Protokolle im Netzwerk
verwendet werden, deshalb sind die Antworten A und B falsch. Antwort D
bedeutet, Sie müssen Netzwerkmonitor einsetzen, aber dies ist auf jedem
Windows-2000-Computer möglich, nicht nur auf Domänencontrollern. Dies
bedeutet, Antwort D ist falsch. Siehe Abschnitt »Domänencontroller überwa-
chen« in Kapitel 5, »Server verwalten«.
15. D. In diesem Fall liegt kein Grund vor, mehrere Domänen einzuführen. Um
die Kontrolle in der Zentrale zu halten und zugleich den Zweigstellen etwas
Selbstständigkeit zu geben, ist eine Domäne mit freien Organisationseinhei-
ten die beste Lösung. Alle anderen Antworten sehen das Zerlegen des Netz-
werks in Domänen vor. Bei NT 4.0 hätte man dies getan, aber Microsoft legt
Wert auf die Tatsache, dass dies nicht mehr erforderlich ist. Siehe Abschnitt
»Organisationseinheit erstellen« in Kapitel 4, »Active Directory-Dienste ver-
walten«.
16. B, C. In diesem Fall werden Sie gefragt, wie eine nachdrückliche Wiederher-
stellung auszuführen ist. Dazu gehört natürlich der Neustart des Systems im
Wiederherstellungsmodus der Verzeichnisdienste, die Wiederherstellung der
Systemstatusdaten, die nachdrückliche Wiederherstellung mit NTDSUTIL
(dem Verzeichnisdienste-Programm) und dann der Neustart des Servers im
Normalmodus. Der Trick bei dieser Frage ist, Ihnen die Ergebnisse einer
nachdrücklichen Wiederherstellung (Erhöhung der USN) vorzusetzen, statt
nach dieser selbst zu fragen. Antwort A ist offensichtlich falsch, weil eine
Systemsicherung nicht unbedingt das Active Directory enthält, und Antwort
D macht keinen Sinn, weil Sie die OU bei der Wiederherstellung überschrei-
ben. Weitere Informationen finden Sie im Abschnitt »Server sichern und wie-
derherstellen« in Kapitel 5, »Server verwalten«.
17. B. Sie brauchen nur die Standortverknüpfungen zu erstellen, und der KCC
stellt die Verbindungen her. Der KCC verwendet transitive Überbrückung
(automatische Überbrückung) zur Verbindung aller Standorte. Sie könnten
zwar eine Standortverknüpfungsbrücke erstellen und die transitive Überbrü-
ckung deaktivieren, aber die Frage gibt dafür keine Begründung her. Dies be-
deutet, dass die Antworten C und D falsch sind. Antwort A ist ebenfalls nicht
korrekt, weil Sie dies dem KCC überlassen möchten, damit er die Verbindun-
gen an Netzwerkbedingungen anpassen kann. Siehe Abschnitt »Informatio-
nen in Active Directory replizieren« in Kapitel 3, »Active Directory-Struktur
aufbauen«.
18. D. Die beste Möglichkeit ist die Erstellung einer Standortverknüpfung, die
tagsüber aktiv ist, mit einem großen Abstand zwischen Replikationen. Dann
erstellen Sie eine zweite Standortverknüpfung, die nachts aktiv ist, mit einem
kurzen Replikationsintervall. Antwort A funktioniert vielleicht in der Theo-
rie, ist aber sicher nicht die beste Lösung. Antwort B wäre o.k., wenn Sie für
eine Standortverknüpfung zwei Zeitpläne erstellen könnten, aber das geht
nicht. Antwort C würde schlicht nicht funktionieren, weil es nur zwei Stand-
orte gibt und die beiden Verknüpfungen zwischen den gleichen Standorten
automatisch überbrückt würden. Weitere Informationen finden Sie im Ab-
schnitt »Informationen in Active Directory replizieren« in Kapitel 3, »Active
Directory-Struktur aufbauen«.
19. A. Weil der Server kein Betriebsmaster war und kein anderer spezieller
Dienst als schnellste Möglichkeit erwähnt wird, den anderen Server wieder-
herzustellen, wird er hierdurch gezwungen, alle Informationen vom verblei-
benden Server zu replizieren. Wenn der abgestürzte Server Betriebsmaster
gewesen wäre, hätten Sie die Funktion entziehen können, vorausgesetzt, er
war nicht unmittelbar nach einer Sicherung abgestürzt. Alle anderen Mög-
lichkeiten sind umständlicher und deshalb nicht die beste Lösung. Weitere In-
formationen finden Sie in »Server sichern und wiederherstellen« in Kapitel 5,
»Server verwalten«.
20. A. Die nächste Prüfung würde die Ereignisprotokolle auf den beiden Syste-
men betreffen. Dann würden Sie prüfen, ob die Domänencontroller Anmelde-
anforderungen annehmen und in welchem Zustand die vier Hauptressourcen
sind. Diese sind Speicher, Festplatte, CPU und Netzwerk. Dafür sollten Sie
den Systemmonitor verwenden. Falls diese in Ordnung sind, würden Sie das
Netzwerk unter die Lupe nehmen und feststellen, welche Anforderungen im
lokalen Netzwerk gesendet werden. Dies könnte etwas so Dummes sein wie
ein Domänencontroller für die lokale Domäne, der nicht mit der richtigen IP-
Adresse für einen DNS-Server konfiguriert und daher als solcher nicht regist-
riert ist. Antwort B ist wahrscheinlich in manchen Fällen erwägenswert, aber
nicht ganz oben auf dieser Liste. Antwort C könnte nützlich sein, wenn dies
ein TCP/IP-Problem wäre, aber das ist nicht der Fall. Antwort D ist ein Over-
kill, sehr zeitraubend und hilft nicht, wenn das Problem erneut auftritt. Weite-
re Informationen finden Sie im Abschnitt »Domänencontroller überwachen«
in Kapitel 5, »Server verwalten«.
21. C. Hier passiert Folgendes: Bei der Installation wird auf Namen von kompa-
tiblen Domänen geprüft, in diesem Fall Scriberco. Weil dieser Name im
Netzwerk vorhanden ist, wird Ihnen der Name Scriberco1 angeboten, den Sie
akzeptieren könnten. Es wäre aber besser, den Ausreißer im Netzwerk aufzu-
spüren und vom Netz zu nehmen. Antwort A kommt nicht in Frage, weil Sie
den Domänennamen benutzen möchten. Antwort B würde funktionieren, aber
der Aufwand für die Änderung der Protokolle auf allen Computern in der Do-
mäne, nur um mit dem kompatiblen Namen fertig zu werden, steht in keinem
Verhältnis zum Schaden auf Grund der fehlenden Kommunikation zwischen
der alten und der neuen Domäne. Antwort D funktioniert ebenfalls. Die beste
Antwort ist jedoch, den wild gewordenen Domänencontroller und den Benut-
zer zu finden, der ihn installiert hat. Siehe Abschnitt »Die erste Domäne er-
stellen« in Kapitel 3, »Active Directory-Struktur aufbauen«.
22. A. Das beste Tool zur Messung der Systemleistung ist Systemmonitor. Damit
können Sie die vier wichtigsten Systemressourcen überwachen: Festplatte,
CPU, Speicher und Netzwerksubsystem. Der Netzwerkmonitor kümmert sich
nur um Netzwerkverkehr und wäre in diesem Fall nicht übermäßig nützlich.
Deshalb ist Antwort B falsch. Es gibt keine Registerkarte ÜBERWACHUNG im
Dialogfeld EIGENSCHAFTEN des Servers (wohl aber für den DNS-Dienst), so-
dass Antwort C falsch ist. Task-Manager könnte eingesetzt werden, bietet
aber nicht so viele Informationen wie ein Protokoll von Systemindikatoren,
deshalb ist Antwort D falsch. Weitere Informationen finden Sie im Abschnitt
»Domänencontroller überwachen« in Kapitel 5, »Server verwalten«.
23. A, C. In diesem Fall sollten Sie nachsehen, mit welcher Art von Lese- und
Schreiboperationen das System beschäftigt ist und wie die Speicherauslas-
tung aussieht. Die häufigste Ursache für eine ständig blinkende Festplatten-
anzeige ist ein Speicherproblem, das übermäßige Auslagerung verursacht.
Dies hat eine drastische Verschlechterung der Systemantwortzeiten zur Fol-
ge, weil sowohl Befehle als auch Daten zwischen RAM und Festplatte hin-
und herbewegt werden müssen. Sicher lohnt es sich, die CPU zu überwachen,
aber der Hinweis auf die Festplattenanzeige in der Frage deutet auf Speicher
und Festplatte hin. Dasselbe gilt für das Netzwerksegment, sodass die Ant-
worten B und D falsch sind. Antwort E ist sinnlos. Weitere Informationen
finden Sie im Abschnitt »Domänencontroller überwachen« in Kapitel 5,
»Server verwalten«.
24. A. Zum Erstellen eines Standorts benötigen Sie dessen Namen und die zu
verwendende Standortverknüpfung. Nach Erstellung des Standorts können
Sie Subnetze in diesen verschieben oder darin erstellen. Das bedeutet, Ant-
wort B ist falsch. Nach den Subnetzen können Sie einen Domänencontroller
in den Standort verschieben. Das bedeutet, Antwort C ist falsch. Weil Ant-
wort A richtig ist, muss Antwort D falsch sein. Siehe Abschnitt »Informatio-
nen in Active Directory replizieren« in Kapitel 3, »Active Directory-Struktur
aufbauen«.
25. A. Die einzige echte Anforderung ist, dass der DNS-Server SRV-Datensätze
unterstützen muss. Die Unterstützung für inkrementelle Übertragungen (Ant-
wort B) und Aktualisierungen aller Art (Antworten C und D) ist nicht erfor-
derlich. Sie sollten jedoch in der realen Welt die Möglichkeit dynamischer
Aktualisierungen in Erwägung ziehen. Siehe Abschnitt »DNS und Active Di-
rectory integrieren« in Kapitel 2, »DNS für Active Directory konfigurieren«.
26. B. Sie brauchen nur in der Registerkarte FREIGABE die Option IM VERZEICH-
NIS ANZEIGEN zu aktivieren, damit ein Drucker von einem Windows-2000-
Computer aufgelistet wird. Antwort A ist falsch, weil es im Dialogfeld DRU-
CKER kein Register ACTIVE DIRECTORY gibt. Sie müssen einen Drucker nur
dann in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER hinzufügen, wenn
er von einem Nicht-Windows-2000-Computer freigegeben wird. Weil Ant-
wort B richtig ist, brauchen Sie nicht, wie Antwort D vorschlägt, den Drucker
zu entfernen und wieder hinzuzufügen. Weitere Informationen finden Sie im
Abschnitt »Drucker veröffentlichen« in Kapitel 4, »Active Directory-Dienste
verwalten«.
27. C. Antwort A kommt zwar nahe, aber dort wird der Drucker nach der Erstel-
lung nicht freigegeben. In der realen Welt würden Sie dies tun und den Dru-
cker dann erst freigeben, damit der Druckertreiber allen interessierten
Benutzern zur Verfügung steht. Antwort B ist falsch, weil nur eine Verbin-
dung mit einem Netzwerkdrucker hergestellt wird, der Drucker danach aber
nicht mehr freigegeben werden kann. Antwort D ist falsch, weil Sie den Dru-
cker zu Active Directory hinzufügen können. Weitere Informationen finden
Sie im Abschnitt »Drucker veröffentlichen« in Kapitel 4, »Active Directory-
Dienste verwalten«.
28. A. Mit den neuen Zeitplanungsfunktionen in Windows 2000 können Sie ei-
nen einzigen Task erstellen, der an den erforderlichen Tagen ausgeführt wird,
statt für jede Sicherung einen eigenen Task zu erstellen. Weitere Informatio-
nen finden Sie im Abschnitt »Server sichern und wiederherstellen« in Kapitel
5, »Server verwalten«.
29. A, D. Weil eine differenzielle Sicherung alle geänderten Informationen seit
der letzten normalen (Voll-) Sicherung kopiert, brauchen Sie lediglich die
Vollsicherung und die letzte differenzielle wiederherzustellen. Weitere Infor-
mationen finden Sie im Abschnitt »Server sichern und wiederherstellen« in
Kapitel 5, »Server verwalten«.
30. A. Merken Sie sich für die Prüfung: Je mehr Microsoft, desto besser. Deshalb
ist die Antwort, einen Microsoft-DNS-Server zu verwenden, vorzuziehen,
wenn keine Anforderung einen BIND-DNS-Server verlangt. Die Aktualisie-
rung eines BIND-Servers auf Kompatibilität würde funktionieren, ist aber
keine Microsoft-Lösung, sodass Antwort A besser ist. Zwar würde auch Ant-
wort C funktionieren, aber Sie könnten keine dynamischen Aktualisierungen
verwenden, deshalb ist Antwort A besser. Auch Antwort D würde funktionie-
ren, weil Sie eine Active Directory-Zone erstellen und dann die Anfragen für
UNIX-Server einfach weiterleiten könnten. Siehe Abschnitt »DNS und Acti-
ve Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigu-
rieren«.
31. B. Es ist zwar möglich, eine Textdatei zu erstellen, aber dies ist nicht die bes-
te Antwort, weil Sie einen Texteditor zur Bearbeitung der Datei und dann ein
Programm zum Import des Kontos benötigen, deshalb ist Antwort A nicht
korrekt. Antwort C würde Ihnen die Kontrolle über einige Aspekte der Benut-
zerinformationen geben, aber nicht alle. Antwort D funktioniert auch, aber
auch dies ist eine umständliche Methode zur Erstellung von Benutzern. B ist
die beste Antwort, weil die Verwendung von Vorlagen eine einfache Mög-
lichkeit zur Erstellung von Benutzern ist. Siehe Abschnitt »Administrative
Grundfunktionen« in Kapitel 4, »Active Directory-Dienste verwalten«.
32. C. Wenn Sie interne Vorgänge in Windows 2000 messen müssen, sollten Sie
den Systemmonitor verwenden. In diesem Fall können Sie jedoch auch den
Task-Manager benutzen, der schneller und einfacher ist, sodass A nicht die
beste Antwort ist. Mit dem Befehl NET erhalten Sie zwar einige Statistikwer-
te über den Server und Workstation-Dienste, aber es kann einen Prozess nicht
profilieren, sodass Antwort B falsch ist. Das Tool Systeminformationen exis-
tiert nicht, sodass Antwort D falsch ist. Weitere Informationen finden Sie im
Abschnitt »Domänencontroller überwachen« in Kapitel 5, »Server verwal-
ten«.
33. A. In diesem Fall ist der Schaden eingetreten und das Beste, was Sie tun kön-
nen, ist, das Netzwerk in einen stabilen Zustand zurück zu bringen. Weil der
Jungoperator die Funktion entziehen konnte, ist davon auszugehen, dass der
Schema-Master offline war, Sie sollten also den alten Server entfernen, damit
er nicht wieder online geht. Durch Formatierung des Laufwerks wird sicher-
gestellt, dass er in Zukunft nicht mehr online gehen kann. Die Antworten B
und C haben wahrscheinlich eine Ausweitung des Schadens zur Folge, und
Sie könnten beides nur durchführen, wenn der neue Schema-Master offline
wäre. Antwort D ist schlicht Overkill, aber wenn das Schema beschädigt ist,
bleibt Ihnen u.U. nichts anderes übrig. Weitere Informationen finden Sie im
Abschnitt »Serverrollen« in Kapitel 5, »Server verwalten«.
34. A, D, F. In diesem Fall müssen Sie prüfen, ob Sie auf den richtigen DNS-Ser-
ver verweisen, und dann versuchen, den Computernamen und die Dienste zu
registrieren. Stoppen und Starten der DNS- oder Server-Dienste bringt in die-
sem Fall nichts, also sind die Antworten B und C nicht korrekt. Die Netzwerk-
identifikation wird von DCPROMO während der Heraufstufung festgelegt,
also ist Antwort E richtig. Es gibt keinen Befehl REGISTERDNS im Verzeichnis
NSLOOKUP, sodass Antwort G falsch ist. Siehe Abschnitt »Fehlerbehebung im
DNS« in Kapitel 2, »DNS für Active Directory konfigurieren«.
35. C. Es ist möglich, dass dieses eine Objekt andere Berechtigungen aufweist,
sodass die mit dem Assistenten zum Zuweisen der Objektverwaltung einge-
stellten Berechtigungen blockiert werden. Wahrscheinlich werden Sie die Be-
rechtigungen für die delegierte OU überprüfen, aber weil Sandra Kennwörter
für andere Benutzer zurücksetzen konnte, wäre dies nicht die erste Wahl.
Dies bedeutet, A ist nicht die beste Antwort. B ist unwahrscheinlich, weil
Sandras Konto funktioniert. Die erneute Ausführung des Assistenten könnte
das Problem beheben, aber dies ist unwahrscheinlich, weil es beim ersten Mal
schon nicht geklappt hat. Das bedeutet, Antwort D ist falsch. Siehe Abschnitt
»Berechtigungen in Active Directory-Diensten« in Kapitel 4, »Active Direc-
tory-Dienste verwalten«.
36. C. Wenn Sie nicht Milliarden und Abermilliarden von Computern hinzufü-
gen, haben Sie keine Chance, Active Directory zu füllen. Es gibt kein Limit
für Sitzungen, sodass D auch nicht wahrscheinlich ist, bleibt also Antwort C.
Wenn der RID-Master lange offline ist, könnten dem Domänencontroller die
RIDs ausgehen und er könnte keine neuen Objekte mehr erzeugen. Weitere
Informationen finden Sie im Abschnitt »Serverrollen« in Kapitel 5, »Server
verwalten«.
37. B. Die wahrscheinlichste Ursache ist, dass der Computer nicht Mitglied einer
Active Directory-Domäne ist. Active Directory muss installiert sein und eine
Domäne muss erstellt werden, bevor ein RIS-Server installiert werden kann.
Weitere Informationen finden Sie in den Abschnitten »Installation und Kon-
figuration eines RIS-Servers«, »Voraussetzungen für Remoteinstallations-
dienste« und »RIS-Softwarevoraussetzungen«, in Kapitel 9, »Bereitstellung
von Windows 2000 mittels Remoteinstallationsdienste«.
38. A, C. Weil Sie das GPO auf Domänenebene mit Kein Vorrang konfiguriert
haben, werden die im GPO für die OU Verkauf festgelegten Einstellungen ig-
noriert, wenn sie im Widerspruch zu den Einstellungen auf Domänenebene
stehen. Das bedeutet, dass der Benutzer das Hintergrundbild der Domäne
erhält, weil diese Einstellungen sich direkt widersprechen. Die Deaktivierung
der Systemsteuerung in der OU Verkauf tritt jedoch auch in Kraft, weil sie auf
OU-Ebene, also am nächsten zum anmeldenden Benutzer, festgelegt ist. Falls
der Benutzer auf die Systemsteuerung zugreifen könnte, wären in Wirklich-
keit jedoch nur Software und Anzeige verfügbar, wie im GPO auf Domänen-
ebene festgelegt. Weil der Benutzer nicht auf die Systemsteuerung zugreifen
kann, ist dies die effektive Einstellung. Weitere Informationen finden Sie in
den Abschnitten »Gruppenrichtliniensicherheit« und »Gruppenrichtlinienver-
erbung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
39. C, D. Die zusätzlich auszuführenden Schritte betreffen die Ausführung von
RISETUP.EXE, das den Assistenten zur Installation der Remoteinstallations-
dienste startet und ein erstes CD-basiertes Image installiert. Der Assistent zur
Installation der Remoteinstallationsdienste fragt, ob ein erstes CD-basiertes
Image installiert werden soll, aber Sie können beschließen, diese Aufgabe
nicht auszuführen, weshalb C und D die richtigen Antworten sind. Es ist nicht
erforderlich, den RIS-Server in Active Directory zu autorisieren, weil er als
DHCP-Server bereits autorisiert ist. Siehe Abschnitte »Einrichtung eines
RIS-Servers« und »Konfiguration der Remoteinstallationsdienste« in Kapitel
9, »Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste«.
40. A, C, E. Weil Adobe Acrobat und Microsoft Word 2000 Computern zuge-
wiesen wurden, werden diese Anwendungen automatisch beim Start auf den
Computern installiert. Microsoft Office 2000 wurde für Benutzer veröffent-
licht, d.h. es wird in Software aufgeführt, sodass RobS es bei Bedarf oder
mittels Dokumentaktivierung installieren kann. Obwohl er Mitglied der
Gruppe Domänen-Admins ist, gelten die Standardberechtigungen Lesen und
Gruppenrichtlinien übernehmen für Authentifizierte Benutzer, zu der alle an-
gemeldeten Benutzer einschließlich Domänen-Admins gehören. Weitere In-
formationen finden Sie in Kapitel 7, »Softwarebereitstellung mittels
Gruppenrichtlinien« und Kapitel 6, »Benutzerverwaltung mit Gruppenrichtli-
nien«.
41. C, F. Das Standard-Aktualisierungsintervall für Gruppenrichtlinien ist 5 Mi-
nuten auf Domänencontrollern und 90 Minuten plus/minus 30 Minuten auf
Servern und Workstations. Weitere Informationen finden Sie in den Ab-
schnitten »Gruppenrichtlinienbereiche« und »Gruppenrichtlinienverarbei-
tung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien ».
42. A, C, E. Weil Adobe Acrobat und Microsoft Word 2000 Computern zuge-
wiesen wurden, werden diese Anwendungen automatisch beim Start auf den
Computern installiert. Microsoft Office 2000 wurde für Benutzer veröffent-
licht, d.h. es wird in Software aufgeführt, sodass RudiM es bei Bedarf oder
mittels Dokumentaktivierung installieren kann. Obwohl er Mitglied der
Gruppe Domänen-Admins ist, gelten die Standardberechtigungen Lesen und
Gruppenrichtlinien übernehmen für Authentifizierte Benutzer, zu der alle an-
gemeldeten Benutzer einschließlich Domänen-Admins gehören. Weitere In-
formationen finden Sie in Kapitel 7, »Softwarebereitstellung mittels
Gruppenrichtlinien«, und Kapitel 6, »Benutzerverwaltung mit Gruppenricht-
linien«. Die Antwort zu dieser Frage ist identisch mit der zu Frage 40. Die
Frage wurde zweimal gestellt, um Ihre Kenntnisse über Berechtigungseinstel-
lungen und deren Anwendung auf die GPO-Verarbeitung zu testen.
43. A. Einstellungen für Offline-Dateien unterliegen nicht dem normalen Aktua-
lisierungsintervall für Gruppenrichtlinien. Damit diese GPO-Einstellungen
wirksam werden, muss der Benutzer sich bei der Domäne ab- und wieder
anmelden. Weitere Informationen finden Sie in den Abschnitten »Gruppen-
richtlinienbereiche« und »Gruppenrichtlinienverarbeitung« in Kapitel 6, »Be-
nutzerverwaltung mit Gruppenrichtlinien«.
44. D. Die einfachste Möglichkeit, die Einstellungen einer Gruppenrichtlinie für
eine andere OU außerhalb des Gültigkeitsbereichs des ursprünglichen GPO
zu übernehmen, ist deren Verknüpfung mit der neuen OU. Auf diese Weise
werden alle Änderungen am ursprünglichen GPO in allen OUs wirksam, mit
denen das GPO verknüpft wurde. Wenn Sie in den OUs unterschiedliche Ein-
stellungen beibehalten möchten, können Sie in jeder OU ein separates GPO
erstellen und die Einstellungen manuell konfigurieren, aber dies wäre nicht
die einfachste Möglichkeit, die gleichen Einstellungen wie das ursprüngliche
GPO zu verwenden. Siehe Abschnitt »Gruppenrichtlinien erstellen und ver-
walten« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
45. A, D, G. Sie können kein GPO in den Containern Benutzer, Computer oder
Domänencontroller in Active Directory erstellen. Diese Container entspre-
chen keinen Organisationseinheiten und können folglich nicht mit einem
GPO verknüpft werden. Siehe Abschnitt »Gruppenrichtlinien erstellen und
verwalten« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
46. A, D, F. Wenn bei der Verarbeitung von Gruppenrichtlinien eine Einstellung
sowohl für den Benutzer als auch für den Computer festgelegt ist, hat die Ein-
stellung für den Computer immer Vorrang. Das bedeutet in dieser Situation,
dass Windows Installer immer erhöhte Privilegien verwendet. Andere festge-
legte Einstellungen sind dadurch nicht betroffen. Auch wenn Sie wegen des
Taskplaners DRAG&DROP für den Computer aktiviert haben, kann NataschaR
keinen Task erstellen, weil Sie die Erstellung neuer Tasks für Benutzer
deaktiviert haben. Gemäß der Konfiguration für Benutzer sind auch Tools zur
Bearbeitung der Registrierung deaktiviert. Siehe Abschnitt »Gruppenrichtli-
nienbereiche«, »Gruppenrichtlinien kombinieren« und »Gruppenrichtlinien-
verarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
47. F. Weil NatashaR einen Computer mit Windows NT Workstation 4.0 ein-
setzt, werden die Gruppenrichtlinieneinstellungen nicht wirksam. Das liegt
daran, dass Gruppenrichtlinieneinstellungen nur auf Windows-2000-Compu-
tern wirksam sind. Siehe die Anmerkung im Abschnitt »Gruppenrichtlinien –
eine Einführung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlini-
en«.
48. B, C, E. Bei ANMELDEEREIGNISSE ÜBERWACHEN, ANMELDEVERSUCHE

ÜBERWACHEN und SYSTEMEREIGNISSE ÜBERWACHEN ist keine weitere Akti-
on erforderlich. Diese Ereignisse werden automatisch im Sicherheitsprotokoll
aufgezeichnet. Für OBJEKTZUGRIFFSVERSUCHE ÜBERWACHEN und ACTIVE
DIRECTORY-ZUGRIFF ÜBERWACHEN ist es erforderlich, dass der Administra-
tor festlegt, bei welchen Benutzern die Aktionen für welche Objekte aufge-
zeichnet werden sollen, und dies muss für die betreffenden Objekte
konfiguriert werden. Siehe Abschnitt »Einrichtung einer Überwachungsricht-
linie« in Kapitel 8, »Sicherheitsmanagement mittels Gruppenrichtlinien«.
49. C, F. Die Tags FriendlyName und SetupCommand sind in einer ZAP-Datei
obligatorisch. Sie legen den Namen der Anwendung und das Programm fest,
das zur Installation einer Anwendung ausgeführt werden soll. Publisher, URL
und DisplayVersion sind gültige Tags, aber zur Anwendung der ZAP-Datei
nicht erforderlich. ApplicationName ist kein zulässiges Tag in einer ZAP-Da-
tei. Weitere Informationen finden Sie in den Abschnitten »Vorbereitung der
Software für die Bereitstellung mittels Gruppenrichtlinien«, »Packung von
Software für die Bereitstellung«, »Erstellung einer ZAP-Datei zur Bereitstel-
lung von Software mittels Gruppenrichtlinien«, und »ZAP-Dateiabschnitte«
in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«.
50. D. Die beste Möglichkeit, Benutzern das Auffinden der zu installierenden
Anwendungen zu erleichtern, ist die Erstellung von Softwarekategorien und
die Zuordnung der Anwendungen. Ein Benutzer kann dann in die gewünschte
Kategorie wechseln, worauf an Stelle der Gesamtliste aller Anwendungen nur
noch Anwendungen der betreffenden Kategorie angezeigt werden. Siehe
Abschnitt »Management der Softwarebereitstellung« und »Erstellung von
Softwarekategorien« in Kapitel 7, »Softwarebereitstellung mittels Gruppen-
richtlinien«.
51. B. Die beste Möglichkeit, den Benutzern in der Verkaufsabteilung die An-
wendung zur Verfügung zu stellen, ist das Umpacken mit einem Tool eines
Drittanbieters, z.B. WinINSTALL LE, und anschließende Veröffentlichung
für Benutzer. Da Sie den Benutzern die Entscheidung überlassen möchten, ob
sie die Anwendung installieren, sollten Sie diese nicht Benutzern oder Com-
putern zuweisen. Weitere Informationen finden Sie in den Abschnitten »Vor-
bereitung der Software für die Bereitstellung mittels Gruppenrichtlinien«,
»Packung von Software für die Bereitstellung«, »Windows-Installer-Techno-
logie«, und »Änderung einer Windows-Installer-Paketdatei mit Tools von
Drittanbietern« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtli-
nien«.
52. A. Um für alle Domänen in scriberco.com die gleiche Kennwortrichtlinie
festzulegen, ändern Sie die Standard-Domänenrichtlinie in der Domäne auf
höchster Ebene. Weil Sie in den untergeordneten Domänen keine zusätz-
lichen GPOs erstellt haben und die Standard-Domänenrichtlinie standard-

mäßig in alle untergeordneten Domänen einer Active Directory-Struktur
kopiert wird, werden durch Änderung der Standard-Domänenrichtlinie für
scriberco.com alle erforderlichen Ziele erreicht. Siehe Kapitel 6, »Benutzer-
verwaltung mit Gruppenrichtlinien«, und vor allem die Abschnitte »Gruppen-
richtlinien – eine Einführung « und »Gruppenrichtlinienkomponenten«.
53. A, F. Die Antwort auf diese Frage fällt ähnlich aus wie die vorangegangene,
außer dass hier eine weitere Active Directory-Gesamtstruktur ins Spiel
kommt. Weil in diesem Szenario zwei Gesamtstrukturen vorliegen, müssen
Sie die Standard-Domänenrichtlinie für jede betroffene Gesamtstruktur
ändern: scriberco.com und factron.com. Die Einrichtung einer expliziten
Vertrauensstellung zwischen den beiden Gesamtstrukturen ist für die Durch-
setzung der Gruppenrichtlinie nicht erforderlich und wäre auch nicht
unbedingt von Nutzen. Siehe Kapitel 6, »Benutzerverwaltung mit Gruppen-
richtlinien«, und vor allem die Abschnitte »Gruppenrichtlinien – eine Einfüh-
rung« und »Gruppenrichtlinienkomponenten«.
54. B. Gruppenrichtlinien werden immer in der Reihenfolge Standort, Domäne
und OU angewandt. Auf diese Weise werden die Richtlinien, die dem Benut-
zer bzw. Computer am nächsten liegen, zuletzt angewandt, weil angenommen
wird, dass diese am besten anwendbar sind. Siehe die Abschnitte »Grup-
penrichtlinienbereiche«, »Gruppenrichtlinien kombinieren« und »Gruppen-
richtlinienverarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppen-
richtlinien«.
55. D. Gruppenrichtlinienvorlagen werden auf dem jeweiligen Domänencontrol-
ler in der Freigabe SYSVOL in einem Ordner mit dem gleichen Namen wie
der Globally Unique Identifier (GUID) des Gruppenrichtlinienobjekts
gespeichert. Siehe Abschnitte »Gruppenrichtlinien – eine Einführung« und
»Gruppenrichtlinienkomponenten« in Kapitel 6, »Benutzerverwaltung mit
56. B, C, E, F. Um sicherzustellen, dass nur Mitglieder der Sicherheitsgruppen
Domänen-Admins und ComputerAdmins administrative Kontrolle über Com-
puter in der OU Operations erhalten, sollten Sie zunächst ein GPO auf Ebene
der OU Operations erstellen. Dann würden Sie die Gruppe Administratoren im
GPO als eingeschränkte Gruppe konfigurieren und ComputerAdmins im GPO
als Mitglieder in die Gruppe Administratoren aufnehmen. Dies würde die Stan-
dard-Mitgliedschaft der Gruppe Administratoren auf jedem Computer in der
OU Operations überschreiben. Sie sollten für das GPO Kein Vorrang einstel-
len, damit Administratoren auf unterer Ebene die Einstellung nicht durch
Deaktivieren der Richtlinienvererbung blockieren können. Weitere Informati-
onen finden Sie im Abschnitt »Verfügbare Sicherheitseinstellungen in Win-
dows-2000-Gruppenrichtlinien« in Kapitel 8, »Sicherheitsmanagement mittels
Gruppenrichtlinien«, und in den Abschnitten »Gruppenrichtliniensicherheit«

und »Gruppenrichtlinienvererbung« in Kapitel 6, »Benutzerverwaltung mit
57. D, E. Da Microsoft Office 2000 den Benutzern in der OU Geschäftsleitung
zugewiesen ist, wird es automatisch auf allen Computern im Gültigkeitsbe-
reich der Richtlinie installiert, einschließlich des Computers von BerndT.
Zum Starten von Microsoft Word 2000 braucht er nur das Programm unter
PROGRAMME zu wählen oder auf eine Datei mit der Erweiterung DOC dop-
pelzuklicken. Siehe Abschnitt »Softwarebereitstellung mittels Gruppenricht-
linien« in Kapitel 7, »Softwarebereitstellung mittels Gruppenrichtlinien«.
58. A, C, E. Die von Ihnen erstellten GPOs gewährleisten, dass alle Benutzer in
der Domäne das gleiche Hintergrundbild verwenden, weil diese Richtlinie
auf Domänenebene erstellt und mit Kein Vorrang konfiguriert wurde. Durch
das Abmeldeskript wird der Inhalt von EIGENE DATEIEN bei Benutzern der
OU Verkauf in eine Netzwerkfreigabe kopiert und im normalen Sicherungs-
zyklus gesichert. Schließlich haben Sie durch Erstellen eines GPO in der OU
Operations die Systemsteuerung für alle Operations-Benutzer deaktiviert. Sie
können nicht verfolgen, wer auf Computer der Geschäftsleitung zugreift, weil
Sie das GPO mit den richtigen Einstellungen in der OU Informationsdienste
statt in der OU Geschäftsleitung erstellt haben. Siehe die Abschnitte »Grup-
penrichtlinien erstellen und verwalten« und »Gruppenrichtliniensicherheit«
in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien.« Siehe auch Ab-
schnitt »Konfiguration und Implementierung einer Überwachungsrichtlinie«
in Kapitel 8, »Sicherheitsmanagement mittels Gruppenrichtlinien«.
59. A, C, D, E. Die von Ihnen konfigurierten GPOs und Einstellungen erfüllen
alle vom Management gestellten Anforderungen mit Ausnahme der Verfol-
gung von Administratoren, die Sicherheitsprotokolle auf Computern der Ge-
schäftsleitung löschen. Das GPO auf Domänenebene, für das Kein Vorrang
konfiguriert ist, gewährleistet, dass alle Benutzer das gleiche Hintergrundbild
verwenden. Das GPO mit Skript in der OU Verkauf stellt sicher, dass EIGENE
DATEIEN während der normalen Sicherungsläufe gesichert wird. Die Aktivie-
rung von Offline-Dateien für die Ordner des Verkaufspersonals im GPO der
OU Verkauf gewährleistet, dass notwendige Dokumente sich immer auf dem
Computer befinden und bei Abmeldung synchronisiert werden. Die Erstel-
lung eines GPO auf Ebene der OU Geschäftsleitung mit den passenden Über-
wachungseinstellungen hätte gewährleisten können, dass Versuche von
Admins, ohne Berechtigung auf Computer der Geschäftsleitung zuzugreifen,
verfolgt werden, wenn Sie das GPO der Gruppe Domänen-Admins statt Ge-
schäftsleitung zugeordnet hätten. Schließlich haben Sie durch Erstellung ei-
nes GPO in der OU Operations die Systemsteuerung für alle Benutzer in
Operations deaktiviert. Weitere Informationen finden Sie in den Abschnitten
»Gruppenrichtlinien erstellen und verwalten« und »Gruppenrichtliniensicher-
heit« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«. Siehe auch

Abschnitt »Konfiguration und Implementierung einer Überwachungsrichtli-
nie« in Kapitel 8, »Sicherheitsmanagement mittels Gruppenrichtlinien«.
60. D. Die wahrscheinlichste Ursache des Problems ist, dass die OU Finanzen
auf der untersten Ebene der Richtlinienverarbeitungshierarchie liegt. Das be-
deutet, dass Benutzer in Finanzen bei der Anmeldung u.U. die Richtlinien für
Standorte, Domänen und andere OUs verarbeiten müssen, was den Vorgang
in die Länge ziehen kann. Die beste Möglichkeit zur Lösung dieses Problems
ist die Minimierung der Anzahl von GPOs, die verarbeitet werden müssen.
Siehe Abschnitt »Gruppenrichtlinienbereiche« und »Gruppenrichtlinienver-
arbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
61. B. Die beste Möglichkeit, zu gewährleisten, dass eine Anwendung für jeden
in einer Domäne zur Verfügung steht, ist die Zuweisung der Anwendung an
Computer. Auf diese Weise wird sie auf jedem Computer im Gültigkeitsbe-
reich des GPO installiert, sobald der Computer gestartet wird. Siehe die
Abschnitte »Softwarebereitstellung mittels Gruppenrichtlinien« und »Zuwei-
sung von Software an Benutzer und Computer« in Kapitel 7, »Softwarebe-
reitstellung mittels Gruppenrichtlinien«.
62. B. Anmeldeskripts werden nach den Startskripts für Computer verarbeitet.
Deswegen wird LPT1 auf den Drucker \\SALESSERVER\Lexmark abgebil-
det, der für den Benutzer festgelegt wurde. Siehe Abschnitt »Skripte in Grup-
penrichtlinien konfigurieren und verwenden« und »Weitere über
Gruppenrichtlinien konfigurierbare Einstellungen« in Kapitel 6, »Benutzer-
verwaltung mit Gruppenrichtlinien«.
63. C, E. Weil es keine Möglichkeit gibt, eine Aktualisierung als optional mit 30
Tagen Umstellungsfrist zu konfigurieren, muss dieser Vorgang in zwei
Schritten abgewickelt werden. Zuerst würden Sie die Aktualisierung als OPTI-
ONAL konfigurieren und dann nach 30 Tagen manuell in OBLIGATORISCH än-
dern. Das würde es Benutzern ermöglichen, Office 97 30 Tage lang auf ihren
Desktops zu belassen, aber danach müssten alle Benutzer Office 2000 instal-
lieren, falls dies nicht bereits erfolgt ist. Siehe Abschnitt »Wartung von Soft-
warepaketen mittels Gruppenrichtlinien« in Kapitel 7, »Softwarebereitstel-
lung mittels Gruppenrichtlinien«.
64. A, E. Ein RIPrep-Image kann Anwendungen ebenso enthalten wie das Be-
triebssystem, weil es eine Kopie des Quellcomputers darstellt, der zur Erstel-
lung des RIPrep-Image verwendet wurde. Darüber hinaus sind RIPrep-
Images u.U. kleiner und schneller zu installieren als CD-basierte Images, weil
das gesamte Image auf den Clientcomputer kopiert wird, statt wie bei CD-ba-
sierten Images den normalen Installationsvorgang für Windows 2000 Profes-
sional zu durchlaufen. Außerdem müssten bei einem CD-basierten Image die
Anwendungen mittels Gruppenrichtlinie oder manuell installiert werden, was
noch mehr Zeit kosten würde. Siehe die Abschnitte »Erstellung von Images
für Remoteinstallationsdienste« und »Erstellung eines RIPrep-Image für Re-
moteinstallationsdienste« in Kapitel 9, »Bereitstellung von Windows 2000
mittels Remoteinstallationsdienste«.
65. A, E. Weil nur die 10 600-MHz-Notebooks mit einer PCI-Netzwerkkarte und
die 800-MHz-AMD-Athlon-Computer eine PXE-fähige Netzwerkkarte ent-
halten, sind diese die einzigen Computer, die mittels Remoteinstallations-
diensten ohne Startdiskette installiert werden können. Die anderen Computer
können höchstwahrscheinlich mit RIS bereitgestellt werden, benötigen aber
eine RIS-Startdiskette. Siehe die Abschnitte »Ausführung einer Remotein-
stallation« und »Voraussetzungen für Clientcomputer« in Kapitel 9, »Bereit-
stellung von Windows 2000 mittels Remoteinstallationsdienste«.
3
Anhang
Teil
A. Glossar
B. Überblick über die Zertifizierung
C. Die Prüfungssoftware auf der CD-ROM
Glossar
A
A
Active Directory (AD) Ein hierarchischer Verzeichnisdienst in Windows 2000.
Benutzer werden Organisationseinheiten und Domänen zugeordnet, die alle zu
einem Namensraum gehören.
Active Directory-integrierte Zone Eine DNS-Zone, die Active Directory zum

Speichern der Datensätze verwendet. Diese werden dann mittels Active Directory-
Replikation repliziert und sind mit einer ACL versehen. Damit ist es außerdem
möglich, dass sich ein Computer bei jedem integrierten Domänencontroller regist-
rieren kann.
Administrative Vorlagen Ein Bestandteil von Gruppenrichtlinien, der zur Durch-

setzung von Unternehmensrichtlinien Registrierungseinstellungen auf Benutzer
und/oder Computer anwendet. Einstellungen sind etwa, welche Programme ausge-
führt werden dürfen, wie Offline-Ordner behandelt werden sollen, Desktopeinstel-
lungen und andere.
Administrator Das Hauptkonto in einer Windows-2000-Domäne oder auf einem

Alleinstehenden Windows-2000-Server. Dieses Konto darf alle Aktionen in seinem
Gültigkeitsbereich (Domäne bzw. Computer, je nach Mitgliedschaft in der passen-
den Administratorengruppe) ausführen.
Anmelde-/Abmeldeskripte Das sind BAT-, CMD- oder Windows-Scripting-Host-

Dateien (VBScript oder Jscript), die bei An- bzw. Abmeldung eines Benutzers, für
den das GPO gilt, ausgeführt werden. Mit Anmelde-/Abmeldeskripte kann ein
Administrator weitere Einstellungen für den Benutzer festlegen, die über Gruppen-
richtlinien nicht konfigurierbar sind.
Antwortdatei Eine ASCII-Textdatei, die vom Windows-Assistenten für den Instal-

lations-Manager, vom Programm SYSPREP oder manuell mit einem Texteditor
erstellt wird und die Installationskonfiguration für Windows 2000 auf einem Ziel-
902 Anhang A Glossar
computer festlegt. Mit RIS werden Antwortdateien verwendet, um festzulegen, wie

die Bereitstellung von Windows 2000 Professional ablaufen soll.
Attribute Eigenschaften, die ein Objekt in ähnlicher Weise beschreiben wie Adjek-
tive ein Substantiv (z.B. die grüne Tür). Im Falle eines Objekts wie z.B. einer Datei
wäre der Dateityp ein Attribut.
Aufräumen Ein Vorgang, der auf einem Server mit dynamischer Registrierung aus-
geführt werden muss. Dabei werden veraltete Datensätze gesucht und gelöscht.
Authentifizierung Die Überprüfung, die stattfindet, wenn sich ein Benutzer bei
einem Computer oder ein Computer sich bei einer Domäne anmeldet. Durch
Authentifizierung wird der Identitätsnachweis für einen Benutzer bzw. Computer
erbracht. Damit wird keinerlei Verschlüsselung angeboten.
Autorisierung eines RIS-Servers Das Registrieren eines RIS-Servers bei Active

Directory, womit die Berechtigung verbunden ist, Benutzeranforderungen nach
einem RIS-Image zu bedienen. Die Autorisierung wird über das MMC-Snap-In
DHCP durchgeführt.
B-D
Banyan Banyan VINES war eines der ersten PC-Netzwerkbetriebssysteme mit
unternehmensweiten Verzeichnisdiensten. Bei Banyan waren diese Dienste auf dem
Network Informations System aufgebaut, das ursprünglich in der UNIX-Welt ent-
wickelt wurde und auf dem alle Banyan-Funktionen beruhen.
Baumstruktur Eine Stammdomäne und ihre untergeordneten Domänen in einem

einzigen Namensraum werden in Active Directory als Baumstruktur bezeichnet.
Benachrichtigung Master-DNS-Server können sekundäre Server benachrichtigen,

wenn sich die Zonendatei geändert hat. Dies geschieht über eine Benachrichtigung.
Benutzer (Benutzername) Ein Benutzer ist eine Klasse von Objekten in der Active
Directory-Datenbank, die zur Repräsentation von Personen verwendet wird, die sich
beim Netzwerk anmelden und Ressourcen verwenden können.
Benutzerprozess Ein Prozess, der von einem Benutzer gestartet wird. Die Sicher-
heitsinformationen des Benutzers werden an den Prozess angehängt, um zu gewähr-
leisten, dass der Prozess nicht auf Informationen zugreifen kann, die nicht für ihn
bestimmt sind.
903
Berechtigungen Diese geben einem Benutzer die Möglichkeit, mit einem Objekt zu
arbeiten. Die Berechtigungen, die ein Benutzer oder ein anderer Sicherheitsprinci-
pal für ein Objekt hat, sind in der DACL (Discretionary Access Control List) enthal-
ten. Diese wird vom Eigentümer des Objekts oder von einem Benutzer mit der
Berechtigung »Berechtigungen« für das Objekt festgelegt.
Beschränken von Images Die Zuordnung von NTFS-Berechtigungen für Antwort-

dateien zu RIS-Images. Durch Beschränkung von Images kann der Administrator
festlegen, welche Benutzer- oder Gruppenkonten ein bestimmtes Image über RIS
verwenden dürfen.
Betriebssystem Ein Programm oder eine Menge von Programmen, die für den
Benutzer eines Computers grundlegende Dienste anbieten. Das Betriebssystem
sollte zumindest in der Lage sein, den Computer zu starten, dessen Speicher zu ver-
walten, mit dem BIOS des Computers zu kommunizieren und die Ausführung von
Programmen im System zu planen.
Blockieren der Richtlinienvererbung Dies bedeutet die Konfiguration eines GPO

in einem Active Directory-Container auf unterer Ebene derart, dass Richtlinien, die
auf höheren Ebenen von Active Directory festgelegt wurden, nicht umgesetzt wer-
den. Normalerweise wird die Richtlinienvererbung für eine Organisationseinheit
blockiert, um zu gewährleisten, dass nur die GPO-Einstellungen der OE für Benut-
zer und Computer wirksam sind.
Cache-Server Ein DNS-Server, der die von ihm abgerufenen Namensauflösungen

zwischenspeichert. Alle Windows-2000-DNS-Server sind Cacheserver. Falls ein
Server jedoch keine Zonendatei enthält, wird er als Nur-Cache-Server betrachtet.
CD-basiertes Image Ein Image von Windows 2000 Professional, das eine Kopie
der Installationsdateien auf der Windows-2000-Professional-CD-ROM ist. CD-
basierte Images werden mit RIS bereitgestellt.
Computer In der Windows-2000-Domänenstruktur sind Computer eine der in

Active Directory definierten Objektklassen. Dies erleichtert die Verwaltung und das
Auffinden von Computerobjekten im Netzwerk.
Containerobjekt Ein Objekt in Verzeichnisdiensten, z.B. eine Gruppe, das in erster

Linie zur Aufnahme anderer Active Directory-Objekte dient.
Datenbank Eine Struktur, die Daten in einer Reihe von Tabellen (Listen) mit
jeweils einer festen Gruppe von Spalten speichert. Jede Tabelle definiert einen Ele-
menttyp, eine Klasse in Windows 2000, wobei eine Zeile Informationen über ein
Exemplar dieses Typs enthält. Beispielsweise gibt es in Windows 2000 eine Klasse
Benutzer, die als Tabelle in der Active Directory-Datenbank gespeichert ist. Für
jeden Benutzer wird eine Zeile in diese Tabelle eingefügt. Es gibt eine einzige
Spalte, die eine eindeutige Kennung enthält, und alle anderen Spalten enthalten
Attribute oder Sammlungen zu dem betreffenden Element.
Datenträgerkontingente Einstellungen für einen NTFS-Datenträger, die den

Umfang des Speicherplatzes begrenzen, den ein Benutzer für seine Dateien verwen-
den kann. Festplattenkontingente helfen zu verhindern, dass einzelne Benutzer die
Festplatte monopolisieren, damit für alle Benutzer genügend Speicherplatz verfüg-
bar ist.
DCPROMO Dieses Programm wird zum Herauf- und Herabstufen von Computern
eingesetzt. Durch Heraufstufen wird ein System zum Domänencontroller, und durch
Herabstufen wird es wieder zum Mitgliedsserver oder zum Alleinstehenden Server.
Definierter Name Der vollständige Name eines Objekts in Active Directory. Dazu
gehören der Domänenname und die Namen der Organisationseinheiten, zu denen
ein Benutzer gehört. Wenn sich beispielsweise ein Benutzer namens BichlerS im
Benutzercontainer einer Domäne namens technik.tutnix.lokal befindet, wäre der
definierte Name für den Benutzer cn=BichlerS,cn=users,dc=technik,dc=tut-
nix,dc=lokal. Für einen anderen Benutzer im gleichen Container könnte der relativ
definierte Name cn=BichlerS verwendet werden, weil alle anderen Bestandteile des
Namens gleich sind.
Dienst Eine Hintergrundanwendung, die automatisch beim Start des Computers

oder manuell von einem Operator gestartet wird. Dienste haben normalerweise
keine Interaktion mit dem Desktop, sondern werden als Hintergrundprozesse ausge-
führt und bieten anderen Prozessen Dienste an.
Domäne Im Zusammenhang mit DNS ist dies ein Name, den eine Organisation im
Internet erhält. In Wirklichkeit ist dies nur ein Teil des Internet-Namensraums. In
Windows 2000 ist eine Domäne ein Teil des Namensraums, aber auch eine logische
Unterteilung, die genutzt werden kann, um eine große Gruppe von Benutzern vom
übrigen Netzwerk zu separieren und Sicherheits- und Replikationsgrenzen zu zie-
hen.
Domäne auf oberster Ebene (Toplevel-Domäne) Dies sind Domänen im Internet,

die als erste Unterteilung des Namensraums verwendet werden. Die bekannteste
Domäne auf oberster Ebene ist wahrscheinlich com.
Domäne zweiter Stufe (Secondlevel-Domäne) Im DNS-Namensraum eine

Domäne, die von einer Organisation benutzt wird, z.B. wäre tatnix die Domäne
zweiter Stufe in www.tatnix.com.
905
Domänencontroller Ein Computer, der eine Kopie der Domänendatenbank enthält.

Domänencontroller können Benutzeranforderungen zur Anmeldung authentifizie-
ren. In Windows 2000 können Domänencontroller auch die Domänenkontendaten-
bank ändern.
Domänenlokale Gruppe Wird normalerweise verwendet, um Ressourcen Berechti-

gungen zuzuordnen. Domänenlokale Gruppen sind lokal für alle Domänencontrol-
ler und Mitgliedsserver im nativen Modus.
Domänennamensmaster Eine der Betriebsmaster-Funktionen. Dieser Computer ist

dafür verantwortlich, dass der Namensraum der Domäne korrekt ist, und er ist für
die Konfiguration von Vertrauensverhältnissen verantwortlich, die auf den PDC-
Emulatoren innerhalb der Domänen der Active Directory-Gesamtstruktur konfigu-
riert werden. In einer Gesamtstruktur gibt es nur einen Domänennamensmaster.
Domänennamenssystem (DNS) Das System, das im Internet und in vielen privaten

Netzwerken verwendet wird, um die Namen von Computern aufzulösen. DNS
besteht aus dem Namensraum, Namensservern und Auflösern.
Domänenpartition Repräsentiert alle Informationen über alle Objekte in der

Domäne. Die Domänenpartition wird nur innerhalb einer Domäne, nicht zwischen
Domänen repliziert.
Drucker Dies ist eine Klasse von Objekten in Active Directory, die zur Veröffentli-
chung bzw. Auflistung von Druckern in Active Directory verwendet wird, damit
Benutzer überall im Unternehmen nach Druckern suchen und diese verwenden kön-
nen, sofern sie dazu berechtigt sind.
Durchsetzung von Gruppenrichtlinien Dies ist das Gegenteil des Blockierens.

Hier wird nicht zugelassen, dass die GPO-Einstellungen eines Active Directory-
Containers auf unterer Ebene die Einstellungen eines GPOs auf höherer Ebene über-
schreiben. Normalerweise werden Gruppenrichtlinien auf Domänenebene durchge-
setzt, um zu gewährleisten, dass Unternehmensregeln einheitlich auf alle Benutzer
ungeachtet ihrer OU-Einstellungen angewandt werden.
Dynamic Host Configuration Protocol (DHCP) Ermöglicht es Computern im

Netzwerk, eine automatische TCP/IP-Konfiguration einschließlich der Optionen zu
erhalten. In Windows 2000 müssen DHCP-Server bei Active Directory registriert
werden, um zu verhindern, dass andere Benutzer DHCP installieren. Der Windows-
2000-DHCP-Server kann den DNS-Server bei Zuweisung von Adressen aktualisie-
ren. Im Normalfall werden jedoch nur die Reverse-Lookupinformationen aktuali-
siert, und der Client wird in die Lage versetzt, seine Forward-Lookupinformationen
zu registrieren.
Dynamisches Domänennamenssystem (DDNS) Eine Erweiterung des DNS-Stan-

dards, die es Hosts ermöglicht, Namen dynamisch beim DNS-Server zu registrieren.
Dynamische Aktualisierungen Eine recht neue Funktion in DNS. Sie ermöglichen

es einem Clientcomputer oder dem DHCP-Server, Datensätze beim DNS-Server zu
registrieren. Dies ermöglicht den Einsatz von DHCP in einem Netzwerk, um den
Verwaltungsaufwand für das Netzwerk zu verringern, und gleichzeitig die Aktuali-
sierung des DNS-Servers bei geänderten Clientadressen.
E-H
Eigenschaften Beschreiben ein Objekt ähnlich wie ein Adjektiv ein Substantiv
beschreibt (z.B. die grüne Tür). Im Falle eines Objekts, etwa einer Datei, wäre der
Dateityp eine Eigenschaft.
Element Ein Eintrag in einer Datenbanktabelle. In Windows 2000 ist ein Element
ein beliebiger Typ bzw. eine beliebige Klasse von Objekten, die in Active Directory
gespeichert werden.
Endknotenobjekte Objekte in Verzeichnisdienstes, z.B. Benutzerobjekte, die

einen Platz einnehmen, aber keine anderen Objekte enthalten.
Enterprise Ein allgemeiner Begriff für einen Bereich, der die gesamte Organisation
umfasst.
Ereignisanzeige Wird zur Anzeige der Systemprotokolldateien für verschiedene

Bereiche des Systems verwendet, darunter System, Sicherheit, Anwendung und
DNS. Dies ist die Stelle, an der als Erstes gesucht werden sollte, wenn ein Problem
einzukreisen ist.
Erneute Bereitstellung Die Neuinstallation eines vorhandenen Softwarepakets

über Gruppenrichtlinien, in der Regel zur Verteilung eines Patch für eine vorhan-
dene Anwendung.
Erweiterbare Architektur Eine Architektur, die ergänzt oder erweitert werden

kann. Windows 2000 Active Directory gilt als erweiterbar, weil den Tabellen der
Verzeichnisdatenbank neue Spalten (Attribute) hinzugefügt werden können.
Erzwungene Paketentfernung Das obligatorische oder erzwungene Entfernen

bedeutet die Deinstallation eines Softwarepakets vom Computer eines Benutzers.
Die erzwungene Paketentfernung kann vom Benutzer nicht abgebrochen werden.
907
Bei der erzwungenen Entfernung wird das Paket auf dem Computer immer
gelöscht.
Forward-Lookup Der einfachste Typ der Namensauflösung. Beim Forward-

Lookup versucht das System, die IP-Adresse zu einem Computernamen zu finden.
Freigaben Eine Klasse von Objekten, die in Active Directory verfügbar ist. Freiga-
beobjekte ermöglichen die Veröffentlichung von freigegebenen Ordnerressourcen
in Active Directory, damit Benutzer sie einfacher finden können.
Gemischter Modus In diesem Modus lässt Active Directory die Verwendung von
Windows-NT-4.0- und 4.0-BDC-Computern zu. In diesem Modus ist es nicht mög-
lich, Gruppen zu schachteln oder mit universellen Sicherheitsgruppen zu arbeiten.
Gesamtstruktur Logisch gesehen eine einzige Active Directory-Domäne oder eine

Gruppe von Domänen. Eine Struktur wird vor allem dann als Gesamtstruktur
bezeichnet, wenn sie zwei oder mehr Baumstrukturen, d.h. nicht zusammenhän-
gende Namensräume, enthält.
Globale Gruppe Wird verwendet, um Benutzer in einer Domäne zusammenzufas-

sen und als Gruppe in lokale Gruppen oder andere Domänen aufzunehmen.
Globaler Katalog In Active Directory besteht der globale Katalog aus einer Liste
aller Objekte in allen Domänen, zusammen mit einer Untermenge der gebräuchli-
chen Attribute zu jedem Objekt. Der globale Katalog wird zum Auffinden von
Objekten in Active Directory verwendet und ist über die Active Directory-Dienste-
schnittstelle oder LDAP zugänglich.
GPO-Gültigkeitsbereich Dieser betrifft die Active Directory-Container, denen ein

GPO zugeordnet ist. Gruppenrichtlinienobjekte können einem einzigen Active
Directory-Container (z.B. einer OU) oder mehreren Containern auf gleicher oder
anderer Ebene zugeordnet werden. In allen Containern, denen das GPO zugeordnet
ist, werden die gleichen Einstellungen umgesetzt.
GPO-Vererbung Unter Gruppenrichtlinienvererbung sind die Regeln zu verstehen,

nach denen in Active Directory Einstellungen von GPOs auf höherer Ebene von
GPOs auf unterer Ebene übernommen oder überschrieben werden. Die Standard-
Erbfolge bei GPOs ist Standort-Domäne-Organisationseinheit, d.h. Einstellungen
auf Standortebene können auf Domänenebene und dann wieder auf OU-Ebene über-
schrieben werden. Auf diese Weise erhalten standardmäßig die Einstellungen
höchste Priorität, die am nächsten zum Benutzer bzw. Computer angewandt wer-
den.
Gruppen Ein Objekt vom Typ Container, das in Active Directory zu finden ist.
Gruppen werden hauptsächlich zur Zusammenfassung von Rechten und Berechti-
gungen oder von Benutzern für Verwaltungszwecke eingesetzt.
Gruppenrichtliniencontainer Ein Active Directory-Container, der GPO-Attribute

(z.B. die GUID) und Versionsinformationen enthält.
Gruppenrichtlinienobjekt (GPO) Ein Objekt in Active Directory, mit dem ein

Administrator Einstellungen für die Softwarebereitstellung und die Sicherheit sowie
administrative Vorlagen konfigurieren kann, um Unternehmensregeln für Benutzer
und Computer durchzusetzen. Gruppenrichtlinien bestehen aus Gruppenrichtlinien-
containern und Gruppenrichtlinienvorlagen.
Gruppenrichtlinienrangfolge Die Reihenfolge, in der GPOs innerhalb eines Con-

tainers verarbeitet werden. Da es möglich ist, einem Active Directory-Container
mehrere GPOs zuzuordnen, regelt die Rangfolge, welches GPO das letzte Wort
haben soll.
Gruppenrichtlinienvorlage Eine Menge von Ordnern und Unterordnern in der

Freigabe SYSVOL auf Windows-2000-Domänencontrollern, welche die Skripte,
Sicherheitsvorlagen und Verwaltungseinstellungen für Gruppenrichtlinien enthal-
ten, zum Herunterladen auf Clientcomputer.
GUID (global eindeutige Kennung) Eine 32 Zeichen lange Zeichenfolge zur ein-
deutigen Identifizierung eines Computers für die Vorkonfiguration. In RIS ist dies
normalerweise die Kennung der PXE-fähigen Netzwerkkarte, aber es kann auch die
MAC-Adresse einer nicht-PXE-kompatiblen Netzwerkkarte sein, die im passenden
Format auf 32 Zeichen aufgefüllt ist.
Hierarchie Eine Struktur mit einen einzigen Ausgangspunkt, von dem aus sie sich
entfaltet. Dazu gehören Organigramme eines Unternehmens und der Domänenna-
mensraum. Die Hierarchie in Windows 2000 beschreibt den Namensraum ausge-
hend von einer Stammdomäne über die untergeordneten Domänen zu den diesen
untergeordneten Domänen.
Hintergrundprozess Ein Prozess, der von einem Dienst oder einem Benutzer
gestartet wurde und momentan nicht direkt mit dem Benutzer kommuniziert. Ein-
fach ausgedrückt, wenn ein Prozess keine Eingabe über die Tastatur oder die Maus
empfangen kann, ist es ein Hintergrundprozess.
909
I-L
Infrastrukturmaster Ein Betriebsmaster auf Domänenebene. Er ist für die Aktua-
lisierung der Gruppenmitgliedschaft von Domänenbenutzern im gesamten Unter-
nehmen verantwortlich.
Internet Ein weltweites Netzwerk zur Verbindung verschiedener unternehmensei-

gener oder öffentlicher Netzwerke zu einem einzigen Netzwerk.
Iterative Abfrage Ein DNS-Server führt bei der Namensauflösung iterative Abfra-
gen aus. Diese Art von Abfragen sucht nach der bestmöglichen Antwort einschließ-
lich einer Umleitung zu einem anderen Namensserver.
Kein Vorrang Siehe Durchsetzung von Gruppenrichtlinien.
Klasse Eine Klasse von Objekten ist ein Objekttyp. Datei ist z.B. eine Objektklasse.
Unterschiedliche Objektklassen weisen unterschiedliche Attribute und in der Regel
verschiedene anwendbare Methoden auf. Alle Objektklassen haben einige Attribute
und Methoden gemeinsam, beispielsweise Name und Typ als Attribute und Erzeu-
gen und Löschen als Methoden.
Knowledge-Konsistenzprüfer (KCC) Der KCC ist für die Herstellung der stand-
ortinternen Verbindungen verantwortlich und gewährleistet, dass jeder Computer
mindestens zwei Replikationspartner hat. Außerdem nutzt er die von Ihnen erstell-
ten Standortverknüpfungen, um Verbindungen zwischen Servern in unterschiedli-
chen Standorten einzurichten, damit die Replikation zwischen diesen Standorten
stattfinden kann.
Konfigurationspartition Die Active Directory-Partition, die Informationen über

die Domänen und die Vertrauensstellungen zwischen diesen enthält. Die Informati-
onen werden vom Domänennamensmaster an alle Domänencontroller im Unterneh-
men repliziert.
LAN-Manager Ein Netzwerkbetriebssystem, das von IBM und Microsoft entwi-

ckelt wurde. Dieses war eines der ersten Netzwerkbetriebssysteme, das Domänen-
controller zur Zentralisierung der Benutzerauthentifizierung in einem Netzwerk ein-
gesetzt hat.
LDAP (Lightweight Directory Access Protocol) Ein Protokoll, das ursprünglich

für den Zugriff auf eine X.500-Verzeichnisstruktur entwickelt wurde. Es wurde
erweitert für den Zugriff auf viele Verzeichnisstrukturen mittels einer festgelegten
Gruppe von Objektattributkennungen, die von der internationalen Standardorgani-
sation ISO kontrolliert werden.
lokale Gruppe Das Gleiche wie eine domänenlokale Gruppe. Sie wird für Berechti-
gungen eingesetzt, ist aber auf Alleinstehenden Servern und Windows-2000-Profes-
sional-Computern vorhanden. Solche Gruppen werden auch auf Mitgliedsservern
im gemischten Modus verwendet.
M-Q
MAC (Media Access Control) Die MAC-Adresse ist die einer Netzwerkkarte
zugeordnete physische Adresse und dient zur Identifizierung der Netzwerkkarte im
Netzwerk.
Obligatorische Aktualisierung Eine Aktualisierung eines vorhandenen, über

Gruppenrichtlinien bereitgestellten Softwarepakets, die installiert werden muss.
Obligatorische Aktualisierungen können für den Benutzer oder den Computer ein-
gestellt werden und ersetzen die vorherige Paketversion.
Masterserver Der Server, von dem ein sekundärer DNS-Server die Kopie einer
Zonendatei erhält. Der Master kann ein primärer oder sekundärer Server sein.
Methode Eine Aktion, die mit einem Objekt ausgeführt werden kann. Zu den
gebräuchlichen Methoden gehören Erzeugen und Löschen. Methoden sind wichtig,
weil sie beim programmgesteuerten Zugriff auf Active Directory benutzt werden.
MOVETREE Dieses Programm kann zum Verschieben von Objekten zwischen

zwei Domänen benutzt werden. Innerhalb einer Domäne kann ein Objekt mit Hilfe
des Befehls VERSCHIEBEN im Kontextmenü von KONTEXTACTIVE DIRECTORY-
BENUTZER UND -COMPUTER verschoben werden.
Maßgebliche Wiederherstellung Das Löschen eines Objekts wird auf anderen

Domänencontrollern mit einer aktualisierten USN für das Objekt repliziert. Falls
das Objekt aus der Sicherung wiederhergestellt wird, würde es vom normalen Rep-
likationsvorgang wieder gelöscht, weil der Löschvorgang eine höhere USN hat.
Eine nachdrückliche Wiederherstellung wird durchgeführt, um das Objekt zwangs-
weise zurück in Active Directory zu bringen. Dadurch wird die Objekt-USN um
10.000 erhöht, sodass die Aktualisierung einen höheren Wert aufweist als die
Löschungs-USN.
Namenserver Dies ist eine ganze Baumstruktur von Namen, die mit einem Stamm
beginnt und sich verzweigt. Der Namensraum ist mit einer Verzeichnisstruktur auf
einer Festplatte vergleichbar. Das gesamte Internet wird mit einem einzigen
Namensraum kontrolliert, wogegen jede Active Directory-Baumstruktur einen ein-
zelnen Namensraum darstellt.
911
Nativer Modus Dieser Modus ermöglicht die Schachtelung von Sicherheitsgruppen

und die Verwendung universeller Sicherheitsgruppen. Im nativen Modus darf sich
kein Windows-NT-BDC im Netzwerk befinden.
NetLogon Der Dienst NetLogon oder Netzwerkanmeldung ist der Dienst, der
Benutzeranforderungen von Netzwerkauthentifizierungen bedient.
NetWare Ein verbreitetes Netzwerkbetriebssystem, das ursprünglich eine separate

Benutzerdatenbank auf jedem Server vorsah. Später wurde NetWare mit den Net-
Ware Directory Services verbessert, wodurch es im Bereich der Enterprise-Netz-
werke besser konkurrieren konnte.
Netzwerkbetriebssystem Ein Betriebssystem oder eine Erweiterung eines

Betriebssystems, das Clients den Einsatz eines Redirectors ermöglicht, der feststellt,
ob eine Anforderung den lokalen Computer oder ein Remotesystem betrifft. Das
NOS kann dann die erforderliche Netzwerkschnittstelle offen legen oder im Auftrag
des Benutzers darauf zugreifen, um die Anforderung an einen anderen Dienst wei-
terzuleiten, der in der Regel auf einem anderen Computer im Netzwerk läuft.
Netzwerkmonitor Ein Programm zur Erfassung und Anzeige des Netzwerkver-

kehrs. Damit können Netzwerkprobleme eingekreist werden.
NSLOOKUP Dieses Programm kann zur Abfrage eines DNS-Servers von der
Befehlszeile aus oder durch Eröffnung einer Sitzung mit dem DNS-Server verwen-
det werden.
NTDSUTIL Dieses Programm wird für unterschiedliche Funktionen benutzt. Ins-

besondere wird es eingesetzt, um einem Einzel-Betriebsmaster eine Funktion zu
entziehen und nachdrückliche Wiederherstellungen durchzuführen.
NTFS Das Dateisystem von Windows 2000. Es bietet viele Vorteile, darunter die
Möglichkeit, Datei- und Ordnerberechtigungen festzulegen, sodass es für die Frei-
gabe SYSVOL obligatorisch ist.
Objekt Ein allgemeiner Begriff für jede Ressource oder jedes andere Element, das
existiert. Durch das Objektmodell wird das Programmieren vereinfacht, weil Code
immer wieder verwendet werden kann.
Objektberechtigungen Bei einem Objekt kann über Berechtigungen festgelegt

werden, wer es verwalten darf. Dies ist die Grundlage für das Delegieren der Kon-
trolle über eine Organisationseinheit, weil die Berechtigungen von untergeordneten
Objekten geerbt werden.
Optionale Paketentfernung Dabei kann der Benutzer entscheiden, ob eine Anwen-

dung von seinem bzw. ihrem Computer entfernt werden oder installiert bleiben soll.
Ordnerumleitung Die selektive Platzierung von Ordnern, auf die alle Benutzer
zugreifen, auf unterschiedlichen Datenträgern von lokalen Computern oder auf frei-
gegebenen Datenträgern im Netzwerk, wo sie gesichert werden können. Ordnerum-
leitung wird mittels Gruppenrichtlinien erzwungen.
Organisation Ein Begriff, der sich auf das Unternehmen bezieht, das Active Direc-
tory implementiert. In der Begriffswelt von X.400 und X.500 ist die Organisation
(O) der Name des Unternehmens.
Organisationseinheit (OU) Eine Untereinheit einer Domäne, die eingesetzt werden

kann, um die Verwaltung der in ihr enthaltenen Objekte zu delegieren. Bei X.400
und X.500 ist die Organisationseinheit eine Untereinheit der Organisation.
Paketänderungen Änderungen, die ein Softwarepaket betreffen und in Transfor-

mationsdateien (MST) enthalten sind. Transformationsdateien sind einem vorhan-
denen Paket zugeordnet. Sie werden in Verbindung mit mehreren GPOs benutzt, um
das Verhalten eines Pakets zu ändern, wenn es in unterschiedlichen Regionen
bereitgestellt wird.
PDC-Emulator Dies ist eine Betriebsmaster-Funktion auf Domänenebene. Der

PDC-Emulator ist für die Replikation bei kompatiblen Domänencontrollern und die
Authentifizierung von kompatiblen Clients zuständig. Außerdem stellt er die Ver-
trauensverhältnisse zwischen Domänen her.
Primärer Domänencontroller (PDC) In einem Windows-NT-4.0-Netzwerk ist der

PDC der Hauptdomänencontroller. Er enthält die einzige beschreibbare Version der
Domänendatenbank. Dieses System muss dann diese Datenbank an die Reservedo-
mänencontroller replizieren, damit diese ebenfalls Anmeldungsanforderungen von
Benutzern authentifizieren können.
Primärer Server Der Server, auf dem die Zonendatei erstellt wird. Änderungen an
der Zonendatei werden nur auf diesem Server vorgenommen und dann an die sekun-
dären Server gesendet. Wenn die Zone Active Directory-integriert ist, gibt es keinen
primären Server mehr, weil alle Domänencontroller, bei denen DNS installiert ist,
Änderungen vornehmen können.
Prozess Eine Kombination aus zugeordnetem virtuellem Speicher und mindestens

einem Ausführungsthread, die zur Ausführung einer Anwendung benutzt wird.
Dienste werden jeweils in einem Prozess ausgeführt, ebenso wie alle von Benutzern
ausgeführten Programme einschließlich des ersten Benutzerprozesses (EXPLO-
913
RER.EXE). Jedem Prozess ist ein Satz von Sicherheitsinformationen in Form eines
Zugriffstokens zugeordnet, das die Berechtigungen und Rechte des Prozesses fest-
legt.
PXE (Pre-Boot Execution Environment) ist ein Standard, der es kompatiblen

Netzwerkkarten ermöglicht, von einem DHCP-Server eine TCP/IP-Adresse und die
IP-Adresse eines RIS-Servers anzufordern, um die Installation eines Windows-
2000-Professional-Images zu starten.
Quellcomputer Der Computer, auf dem Windows 2000 Professional und Anwen-
dungen installiert sowie weitere Einstellungen festgelegt werden, und der als Quelle
für ein RIPrep-Image verwendet wird.
R-S
RAS (Remote Access Service) Mit RAS können sich Benutzer in ein Windows-
2000-Netzwerk einwählen. Die alte Version in Windows NT 4.0 musste Benutzern
vollen Zugang zum Netzwerk gewähren, um sie zu authentifizieren. In Windows
2000 wird dies vermieden.
Rechte So, wie Berechtigungen bestimmen, was ein Benutzer mit einer Datei tun
darf, bestimmen Rechte, welche Systemaktionen ein Benutzer ausführen darf, bei-
spielsweise die Änderung der Systemzeit.
Redirector Ein Bestandteil des Netzwerkbetriebssystems, der für die Formulierung

von Anforderungen zuständig ist, die an einen Serverdienst weitergegeben werden.
Der Redirector in Windows 2000 wird Workstation-Dienst genannt.
Registrierung Eine Sammlung von Einstellungen, die auf jedem Computer sowohl
für den Computer als auch für den Benutzer, der sich beim Computer anmeldet, vor-
handen ist. Die Registrierung setzt sich aus einer Reihe von Unterstrukturen zusam-
men, von denen KEY_LOCAL_MACHINE und HKEY_USERS die wichtigsten
sind, weil sie mit Computer-, COM+- und Benutzereinstellungen zu tun haben.
Administrative Vorlagen für Gruppenrichtlinien ändern die Registrierung, um
GPO-Einstellungen auf Benutzer und Computerebene durchzusetzen.
Rekursive Abfrage Eine Abfrage zwischen einem Client und dem DNS-Server, die
eine Namensauflösung oder Fehlerbenachrichtigung anfordert.
Remoteinstallationsdienste (RIS) Ein Windows-2000-Dienst, der die Bereitstel-

lung von Windows 2000 Professional für Computer mittels einer RIS-Startdiskette
oder einer PXE-kompatiblen Netzwerkkarte erleichtert.
RID-Master (Relative Identifier) Ein Betriebsmaster auf Domänenebene. Der

RID-Master erzeugt und verteilt RIDs, die in Verbindung mit Domänen-SIDs zur
Erstellung von SIDs für neue Objekte in den Domänen verwendet werden.
RPC (Remote Procedure Call) Eine der möglichen Methoden für die Interprozess-
kommunikation. Bei dieser Methode wird ein externer Redirector und Server einge-
setzt, den mehrere Dienste und Clients gleichzeitig benutzen können. Für die RPC-
Kommunikation Server-zu-Server sollte eine Netzwerkbandbreite von mindestens
64 Kb/s zur Verfügung stehen.
Replikation Das Kopieren von Daten von einem Speicherort zu einem anderen. Die
Replikation spielt in Active Directory eine große Rolle. In Active Directory werden
Schemainformationen, Konfigurationsinformationen, Domäneninformationen und
der globale Katalog repliziert.
Resolver Ein kleines Codestück, das in eine Anwendung oder in das Betriebssys-
tem integriert ist und die rekursive Abfrage beim DNS-Server ausführt.
Ressourcen Dateien, Ordner, Drucker, Dienste oder andere Bestandteile eines

Computers, die zur Verwendung bereitstehen. Netzwerkressourcen sind solche, die
im Netzwerk freigegeben sind, sodass sie Benutzern im Netzwerk zur Verfügung
stehen.
Reverse-Lookup Die Abfrage eines Servernamens auf der Grundlage einer IP-
Adresse.
RIPrep-Image (Remoteinstallationsvorbereitungs-Image) Solche Images enthal-

ten die gesamte Konfiguration eines Quellcomputers einschließlich des Betriebssys-
tems und aller installierten Anwendungen und Verknüpfungen. Diese Images wer-
den über Remoteinstallationsdienste für Zielcomputer bereitgestellt, deren HAL mit
der des Quellcomputers übereinstimmt.
RIS-Image Ein Betriebssystemimage, das von einem RIS-Server für Computer

bereitgestellt werden kann. RIS-Images könne CD-basierte Images oder RIPrep-
Images sein und werden auf einem RIS-Server gespeichert.
RIS-Server Ein Windows-2000-Server, der Bestandteil einer Active Directory-

Domäne ist und auf dem Remoteinstallationsdienste installiert sind.
Remotestartdiskette Eine Diskette, die vom Programm für die Remotestart-Dis-

kettenerstellung (RBFG.EXE) erstellt wird und auf einem Computer ohne PXE-
kompatible Netzwerkkarte eine PXE-basierte Umgebung emuliert. Die RIS-Start-
915
diskette kann verwendet werden, um die Installation eines RIS-Images auf einem
Zielcomputer zu starten.
Sammlung Eine spezielle Art von Objektattribut, bei der ein Attribut einen oder
mehrere Einträge aufweisen kann. Ein Beispiel für eine Sammlung ist eine Zugriffs-
steuerungsliste, die aus einem oder mehreren Zugriffssteuerungseinträgen besteht.
Schema Der Begriff für die Zeilen und Spalten, aus denen eine Datenbanktabelle
besteht. In Windows 2000 bezieht sich der Begriff auf die Definition von Klassen
(Tabellen) und Attributen (Spalten) innerhalb der Verzeichnisdatenbank.
Schema-Master Eine der Betriebsmaster-Funktionen. Der Schema-Master enthält

die einzige beschreibbare Kopie der Verzeichnisdatenbank. Bei Änderungen wird
sichergestellt, dass alle anderen Domänencontroller im Unternehmen aktualisiert
werden. In einer Active Directory-Gesamtstruktur gibt es nur einen Schema-Master,
und alle Änderungen am Schema werden in der Gesamtstruktur nachgezogen.
Schemapartition Hier sind die Schemainformationen enthalten. Die Schemaparti-

tion wird vom Schema-Master an alle Domänencontroller im Netzwerk repliziert.
Sekundärer Server Ein DNS-Server, der Clients autorisierte Antworten geben

kann, weil er eine Kopie der Zonendatei enthält. Im Standardmodus kann er die
Zonendatei, die von einem Masterserver kopiert wurde, nicht ändern.
Server für den globalen Katalog Das System, das den globalen Katalog enthält
und mit den anderen Servern für den globalen Katalog repliziert, um den vollständig
globalen Katalog aufzubauen. Bei der Planung dieses Servers sollte diese zusätzli-
che Belastung berücksichtigt werden.
Sicherheitsgruppe Eine Gruppe, die zur Festlegung von Berechtigungen verwen-

det wird. Eine Sicherheitsgruppe kann auch für E-Mail eingesetzt werden, aller-
dings beanspruchen Sicherheitsgruppen 2600 Byte mehr Speicher.
Sicherheitsinformationen Dabei handelt es sich, einfach ausgedrückt, um die

Informationen, die zum Aufbau einer Verbindung mit einem Remotecomputer ver-
wendet werden. Innerhalb einer Windows-2000-Domäne werden Sicherheitsinfor-
mationen in einem Zugriffstoken gespeichert und umfassen die Benutzerinformatio-
nen zusammen mit einer Liste der Gruppen, zu denen der Benutzer gehört. Das
Zugriffstoken kann dann jedem vom Benutzer gestarteten Prozess angefügt werden.
Wenn ein Prozess versucht, auf ein Objekt zuzugreifen, werden diese Sicherheitsin-
formationen mit der ACL des Objekts verglichen, um festzustellen, ob der Zugriff
erlaubt ist.
Sicherheitskonfiguration und -analyse Ein MMC-Snap-In, das in erster Linie für

die Analyse lokaler Sicherheitseinstellungen und die Anwendung von Sicherheits-
vorlagen auf dem lokalen Computer vorgesehen ist. Es kann außerdem benutzt wer-
den, um die Sicherheitskonfiguration des lokalen Computers abzurufen und eine
Sicherheitsvorlage zu erstellen, welche die Einstellungen des Computers widerspie-
gelt.
Sicherheitskontext Die Sicherheitsinformationen eines Benutzers, mit denen ein

Prozess ausgeführt wird.
Sicherheitsprincipal Ein Begriff, der für Objekte benutzt wird, denen Berechtigun-
gen oder Rechte eingeräumt werden können, z.B. Benutzer, Gruppen und Compu-
ter.
Sicherheitsvorlagen Textdateien, welche die Regeln zur Durchsetzung von Sicher-

heitseinstellungen bei Benutzern und Computern enthalten. Sie bilden die Grund-
lage einer Sicherheitsrichtlinie für Benutzer und Computer.
Sicherung Der Vorgang der Sicherung von System- und Benutzerdateien auf Band,
Diskette oder einem anderen Medium, das von dem verwendeten Sicherungspro-
gramm unterstützt wird.
Sicherungsdomänencontroller Ein in Windows-NT-4.0-Domänen vorkommender

Typ von Computer. Dieser Computer führte eine Kopie der Domänenkontendaten-
bank und konnte Benutzeranmeldungen authentifizieren. Es konnten bei einem
BDC jedoch keine Änderungen durchgeführt werden, will die Datenbankkopie
schreibgeschützt war.
SID (Sicherheitskennung) Die eindeutige Nummer, die jedes Objekt in Active

Directory identifiziert. Die SID eines Objekts in Windows 2000 besteht aus einer
Kombination der Domänen-SID der Domäne, in der das Objekt erstellt wurde, und
einer eindeutigen relativen Kennung.
SIS-Dienst (Single Instance Store) Ein Dienst, der auf einem RIS-Server ausge-
führt wird und dafür verantwortlich ist, dass die Dateien, die für ein CD-basiertes
RIS-Image benötigt werden, auch gefunden werden. Außerdem hilft er, Speicher-
platz zu sparen, indem er sicherstellt, dass Dateien, die für mehrere RIS-Images
benötigt werden, nur in einer gemeinsamen Kopie auf dem RIS-Server gespeichert
werden, statt mehrere Kopien zu speichern.
917
SMTP (Simple Mail Transfer Protocol) Ein einfaches Protokoll, das in der Regel
zur Übertragung von Informationen zwischen zwei Computern verwendet wird. In
Windows 2000 kann dieses Protokoll zur Replikation zwischen Standorten verwen-
det werden.
SOA-Datensatz (Start of Authority) Ein Datensatz, der das Aktualisierungsinter-

vall und den Namen des primären Servers für eine Standardzone enthält.
Softwarekategorien Logische Gruppierungen von veröffentlichten Softwarepake-

ten, die einem Benutzer das Durchsuchen verfügbarer Software nach einem zu
installierenden Paket erleichtern. Ein Softwarepaket kann zu mehreren Kategorien
gehören.
SRV-Datensätze Ein neuer Datensatztyp in DNS, der es einem Dienst ermöglicht,

einen DNS-Namen zu registrieren, damit Benutzer nach einem Dienst statt nach
einem Computer suchen können.
Stammdomäne Der Ausgangspunkt für eine Hierarchie. Es gibt eine Stammdo-

mäne im Internet, die den Ausgangspunkt für den Namensraum des gesamten Inter-
nets bildet. In der Welt von Windows 2000 ist die Stammdomäne die erste Domäne,
die installiert wird, und der alle weiteren Domänen als zusätzliche Zweige des
Namensraums angeschlossen werden.
Standort Eine Gruppe von IP-Subnetzen, die mit einem Hochgeschwindigkeits-

netzwerk verbunden sind. Standorte können zur Steuerung der Replikation einge-
setzt werden.
Standortverknüpfungen Eine logische Verbindung zwischen zwei oder mehreren

Standorten. Über Standortverknüpfungen erfährt der KCC von anderen Standorten
im Netzwerk, sodass er die erforderlichen Verbindungen herstellen kann.
Standortverknüpfungsbrücken Eine Verbindung zwischen zwei oder mehreren

Standorten, die als Pfad für die Active Directory-Replikation zwischen nicht direkt
verbundenen Standorten verwendet wird. Brücken werden ignoriert, wenn die auto-
matische Standortverknüpfungsüberbrückung aktiviert ist.
Start-/Beendigungsskripte BAT-, CMD- oder Windows-Scrip-Host-Dateien

(VBScript oder JScript), die beim Start oder beim Herunterfahren von Computern
ausgeführt werden, auf denen das betreffende GPO umgesetzt wird. Mit Start-/
Beendigungsskripte kann der Administrator zusätzliche Einstellungen festlegen, die
nicht über Gruppenrichtlinien konfiguriert werden können.
Subnetz Ein einzelnes Segment eines gerouteten Netzwerks. In der Regel wird es
identifiziert durch die Subnetz-ID, gefolgt von einem Schrägstrich und der Anzahl
der Bits in der Netzmaske. Beispielsweise wäre 148.53.64.0/18 ein Subnetz mit den
Hosts 148.53.64.1 bis 148.53.127.254.
SYSTEM-Konto Das Konto SYSTEM ist ein Spezialkonto, das zum Start von
Diensten verwendet werden kann, die auf einem Computer verfügbar sein sollen.
Dieses Konto ist eigentlich das Computerkonto, das die vollständige Kontrolle über
das lokale System besitzt.
Systemmonitor Dieses Programm ermöglicht die Überwachung und Anzeige der

Leistung aller Systemkomponenten auf sehr niedriger Ebene. Er kann bei allgemei-
nen Systemproblemen und bei Leistungsproblemen zur Fehlersuche eingesetzt wer-
den.
Systemstatusdaten Diese Daten bilden das Herzstück des Betriebssystems und

repräsentieren Active Directory, die Registrierung, die Zertifikatdatenbank und wei-
tere wichtige Dateien. Die Systemstatusdaten sollten nach einem Zeitplan gesichert
werden.
SYSVOL Dies ist die Systemdatenträgerfreigabe. Sie bildet den Verbindungspunkt,

der für die Authentifizierung von Benutzeranmeldungen und zum Speichern von
Anmeldeskripte, Gruppenrichtlinien und ähnlichen Dateien verwendet wird.
T-Z
Tabelle Eine Struktur in einer Datenbank, die Daten enthält. Eine Tabelle besteht
aus Spalten, die Attribute oder Eigenschaften repräsentieren, und Zeilen, die Ele-
mente repräsentieren.
Task-Manager Dies ist ein elementares Programm, das einen schnellen Überblick
über die aktuelle Systemleistung liefert, darunter die ausgeführten Prozesse und die
Gesamtstatistiken für CPU und Speicher. Mit dieser Anwendung kann ein Task
beendet werden, der nicht mehr reagiert, oder die Priorität eines laufenden Tasks
geändert werden.
TFTP (Trivial File Transfer Protocol) Dieses Protokoll wird auf einem RIS-Ser-
ver ausgeführt und während der Bereitstellung zum Übertragen von Dateien auf den
Zielcomputer verwendet. Dieses ist ein anderes Protokoll als das FTP-Protokoll, das
Sie möglicherweise zur Verbindung mit einer FTP-Site im Internet verwenden.
TFTP unterscheidet sich von FTP darin, dass kein Benutzereingriff erforderlich ist.
Dies ist der Grund dafür, dass es für Remoteinstallationsdienste eingesetzt wird.
919
Transformationsdateien siehe Paketänderungen.
TTL (Time To Live, Lebensdauer) Wenn ein DNS-Server eine Adresse auflöst,
wird diese für den Zeitraum, der in den zurückgegebenen Informationen angegeben
wird, zwischengespeichert. Diese Zeit ist die TTL für den DNS-Cache-Eintrag.
Überwachung Die Verfolgung der Ausübung von Benutzerrechten, von Dateizu-

griffen und anderen Sicherheitselementen auf einem Computer. Zur Konfiguration
der Überwachungseinstellungen für einen Computer können Gruppenrichtlinien
eingesetzt werden.
Überwachungsrichtlinie Sicherheitsüberwachungsrichtlinien sind Bestandteil von

Sicherheitsrichtlinien, mit denen festgelegt werden kann, welche sicherheitsbezoge-
nen Ereignisse zu überwachen bzw. potenziell zu überwachen sind. Durch die Über-
wachung solcher sicherheitsrelevanter Systemereignisse kann erkannt werden,
wenn jemand versucht, einzudringen, um Daten im System zu beschädigen oder
Zugriff auf Ressourcen zu erlangen, die er bzw. sie nicht erreichen sollte.
Umpacken einer Anwendung Die Erstellung eines Windows-Installer-Pakets für

eine Anwendung mit Hilfe eines Umpackprogramms von einem Drittanbieter, bei-
spielsweise Veritas WinInstall LE.
Universelle Gruppe Eine Gruppe, die im globalen Katalog existiert und leicht
Domänen überspannen kann. Sicherheitsgruppen sollten sparsam eingesetzt wer-
den, weil sie die domänenübergreifende Replikation intensivieren.
Untergeordnete Domäne Eine Domäne, die innerhalb einer anderen Domäne liegt.
Beispielsweise wäre RD.Scrim.Tech.lokal eine untergeordnete Domäne von
Scrim.Tech.lokal.
Ursprüngliche Schreiboperation Die Änderung eines Objekts in Active Directory,

die von einem anderen Prozess als der Replikation verursacht wurde. Beispiels-
weise ist es eine ursprüngliche Schreiboperation, wenn ein Benutzer sein Kennwort
ändert. Bei einer ursprünglichen Schreiboperation wird die USN des Objekts erhöht.
USN (Update Sequence Number) Eine Nummer, die beim Domänencontroller

verwendet wird, um die Anzahl von Aktualisierungen zu verfolgen, die der Control-
ler ausgeführt hat, und die bei einem Objekt verwendet wird, um die Anzahl der
Aktualisierungen des Objekts zu verfolgen. Diese Nummern ermöglichen die Multi-
master-Replikation.
Verbindungsobjekte Ein Verbindungsobjekt repräsentiert einen Netzwerkpfad,

über den die Active Directory-Replikation stattfindet. Es wird normalerweise im
Knowledge-Konsistenzprüfer erstellt.
Vererbung In Active Directory werden Berechtigungen von übergeordneten

Objekten geerbt. Dieser Vorgang wird Vererbung genannt und kann auf Wunsch
blockiert werden.
Verkehr Ein allgemeiner Begriff in der Informatik, der sich auf Daten bezieht, die
sich in einem Netzwerk bewegen. Es ist eine große Sorge, dass in einem Netzwerk
mehr Verkehr anfällt, als dieses bewältigen kann.
Veröffentlichung von Softwarepaketen Damit wird ein Benutzer in die Lage ver-
setzt, ein mittels Gruppenrichtlinien bereitgestelltes Softwarepaket über Dokument-
aktivierung oder über die Systemsteuerung unter Software wahlweise zu installie-
ren.
Verteilergruppe Eine Gruppe, die zur Verteilung von E-Mail eingerichtet wird.
Verteilergruppen können keine Berechtigungen erhalten und dürfen nur Benutzer
enthalten.
Vertrauensverhältnisse Eine Beziehung zwischen zwei Microsoft-Domänen, bei

der eine Domäne darauf vertraut, dass die andere die Authentifizierung durchführt.
Die Domäne, die der anderen vertraut, akzeptiert Anmeldungsanforderungen von
Benutzern aus der anderen Domäne. Der lokale Domänencontroller leitet die
Anmeldungsanforderung an den Domänencontroller der vertrauenswürdigen
Domäne weiter, der die Authentifizierung durchführt und die Informationen an den
vertrauenden Domänencontroller zurückgibt.
Verzeichnis Dies ist, mit einfachen Worten, eine Liste, eine einfache Datenbank,
die eine Liste von Elementen enthält, nach denen jemand suchen könnte. In Win-
dows 2000 ist ein Verzeichnis eine Sammlung von Informationen über Objekte, die
im Netzwerk zu finden sind.
Vollqualifizierter Domänenname (FQDN) Der vollständige Name des Compu-

ters, eine Kombination aus Hostname und Name der Domäne, zu welcher der Host
gehört.
Vordergrundprozess Der aktive Prozess auf einem Computer. Der Prozess, mit
dem der Benutzer interagiert, wird als Vordergrundprozess bezeichnet.
921
Vorkonfigurieren Die Erstellung von Computerkonten in Active Directory unter

Verwendung der GUID eines Computers. Bei der Vorkonfiguration kann ein Admi-
nistrator einen Clientcomputer für den Empfang einer Image-Liste von einem
bestimmten RIS-Server konfigurieren. Außerdem kann damit gewährleistet werden,
dass nur vorkonfigurierte Computer RIS benutzen können.
Wiederherstellung Der Vorgang der Wiederherstellung von Daten aus einer Siche-
rung.
Windows 2000 Das aktuelle Netzwerkbetriebssystem von Microsoft. Windows

2000 wird in vier Versionen geliefert: Professional, Server, Advanced Server und
Data Center.
Windows Installer-Dienst Ein Dienst, der auf allen Windows-2000-Computern

installiert ist und ausgeführt wird. Dieser Dienst erleichtert die automatische Instal-
lation und Bereitstellung von Software. Außerdem ermöglicht er die automatische
Reparatur bzw. Änderung vorhandener Anwendungen in Fällen, in denen Dateien
überschrieben oder gelöscht wurden.
Windows Installer-Paket Dieses Paket enthält alle Informationen, die Windows

Installer zur Installation oder Entfernung einer Anwendung benötigt. Dazu gehören
die von der Software benötigten Dateien, Änderungen an der Registrierung und der
INI-Datei sowie zusätzlich benötigte Unterstützungsdateien, zusammenfassende
Informationen über das Paket und die Anwendung, die dem Benutzer angezeigt
werden, und ein Verweis auf den Speicherort der Produktdateien, d.h. von wo die
Software zu installieren ist. Der Großteil dieser Informationen ist in einer einzigen
Datei mit der Erweiterung .MSI enthalten, der Paketdatei selbst.
Windows NT Dies ist die Vorgängerversion von Microsofts Netzwerkbetriebssys-

tem. Windows NT Terminal Server Edition diente als Grundlage für das aktuelle
Windows 2000.
WINS (Windows Internet Naming System) Ein WINS-Server ist mit einem DNS-
Server vergleichbar, aber speziell für NetBIOS-Namen ausgelegt, die hierarchisch
sind. Solche Server sind für Windows-NT-4.0- und andere kompatible Clients erfor-
derlich.
Workstation Allgemeiner Begriff für einen Computer in einem Netzwerk. Außer-

dem der Name des Windows-2000-Dienstes, der für die Verbindung mit Remoter-
essourcen im Netzwerk zuständig ist.
X.500 Dies ist ein theoretischer Standard, der beschreibt, wie eine hierarchische
Verzeichnisstruktur erstellt und verwaltet wird. Microsofts Active Directory basiert
lose auf X.500.
ZAP-Datei Eine ASCII-Textdatei, die mit einem Texteditor erstellt wird (Notepad
reicht aus) und eine Reihe von Festlegungen für die zu installierende Software ent-
hält, darunter den Anwendungsnamen, den Namen des Installationsprogramms,
Parameter für die Installation sowie Dateierweiterungen, die mit der Anwendung
verknüpft werden sollen, die Adresse der Website für technischen Support usw.
ZAP-Dateien werden verwendet, um Software, für die kein Windows-Installer-
Paket vorliegt, mittels Gruppenrichtlinien bereitzustellen.
Zielcomputer Der Computer, auf dem RIPrep- oder CD-basierte Images mittels
Remoteinstallationsdienste installiert werden. Der Zielcomputer muss die Hard-
warevoraussetzungen für Windows 2000 Professional erfüllen und eine PXE-fähige
Netzwerkkarte enthalten oder von der RIS-Startdiskette unterstützt werden.
Zone Die Zone, oder Zonendatei, ist die Gruppe von Ressourcendatensätzen für
eine Domäne. Server, die eine Kopie der Zonendatei enthalten, können Anfragen
nach zuverlässigen Informationen über das System in der Domäne bedienen.
Zonenübertragung Das Kopieren einer Zonendatei von einem Masterserver zu

einem sekundären Server. Dieser Prozess wird nicht in Active Directory-integrier-
ten Zonen eingesetzt.
Zugriffssteuerungsliste (Access Control List, ACL) Dient zur Überprüfung, ob

ein Prozess berechtigt ist, auf ein Objekt zuzugreifen. Die Rechte des Prozesses
werden mit den Einträgen in der Zugriffssteuerungsliste verglichen, um festzustel-
len, ob der Zugriff gewährt werden soll und ggf. welche Berechtigungen verfügbar
sind.
Zuweisung von Softwarepaketen Die erzwungene Bereitstellung eines Software-

pakets für einen Benutzer oder Computer gemäß Konfiguration in Gruppenrichtli-
nien. Ein Softwarepaket, das einem Benutzer bzw. Computer zugewiesen ist, wird
ohne dessen Mitwirkung installiert.
Überblick über
die Zertifizierung
B
Um ein Microsoft Certified Professional (MCP) zu werden, müssen Sie strenge Zer-
tifizierungsprüfungen bestehen, die einen zuverlässigen Maßstab für Ihre technische
Kompetenz und Ihr Fachwissen liefern. Entwickelt in Zusammenarbeit mit Profis
aus der Industrie, die umfangreiche Erfahrungen mit Microsoft-Produkten haben,
werden die Prüfungen von zwei unabhängigen Organisationen durchgeführt: Sylvan
Prometric bietet die Prüfungen weltweit in mehr als 2000 autorisierten Prometric
Testing Centers an und Virtual University Enterprises (VUE) Testcenter sind an
mehr als 1400 Standorten mit Examensangeboten vertreten.
Für ein Examen können Sie sich telefonisch beim Sylvan Prometric Testing Center
oder bei VUE anmelden:
HINWEIS
Sylvan Prometric
Deutschland: 0130/83 97 08
Österreich: 06 60/85 82
Schweiz: 08 00/55 69 66
VUE
Deutschland: 08 00/1 81 06 96
Österreich: 06 60/31 21 50
Schweiz: 08 00/83 75 50
Die Registrierung ist auch online unter http://www.2test.com/register bzw. http://

www.vue.com/ms/msexam.html möglich. Bei Redaktionsschluss hat Microsoft acht
Zertifizierungsarten angeboten, die jeweils auf einem bestimmten Spezialgebiet
basieren. Aktuelle Informationen erhalten Sie auf der Website für den Microsoft
Certified Professional unter www.microsoft.com/mcp/.
924 Anhang B Überblick über die Zertifizierung
B.1 Zertifizierungsarten
씰 Microsoft Certified Professional (MCP): Personen mit diesem Zertifikat
besitzen umfangreiche Kenntnisse in mindestens einem Microsoft-Produkt
und können dieses Produkt professionell einsetzen. Kandidaten können Wahl-
examen absolvieren, um sich auf bestimmte Bereiche zu spezialisieren. Das
MCP-Zertifikat ist der Einstieg in das MCP-Programm.
씰 Microsoft Certified Professional + Internet (MCP + Internet): Personen

mit diesem Zertifikat sind qualifiziert, Sicherheit zu planen, Serverprodukte
zu installieren und zu konfigurieren, Serverressourcen zu verwalten, CGI-
Skripts oder ISAPI-Skripts auszuführen, Leistung zu überwachen und zu ana-
lysieren sowie Fehlersuche durchzuführen. Die Fachkenntnisse sind ähnlich
denen eines MCP, wobei aber der Schwerpunkt auf Internetthemen liegt.
씰 Microsoft Certified Professional + Site Building (MCP + Site Building):

Personen mit diesem Zertifikat haben die Fähigkeit, Websites mit den Micro-
soft-Technologien und -Produkten zu planen, zu entwickeln, zu warten und
zu unterstützen. Das Zertifikat ist für Personen geeignet, die intelligente, in-
teraktive Websites verwalten, zu denen Datenbankanbindung, Multimedia
und suchfähige Inhalte gehören.
씰 Microsoft Certified Database Administratoren (MCDBA): Experten mit

dieser Qualifikation können physikalische Datenbankentwürfe ableiten, logi-
sche Datenmodelle entwickeln, physikalische Datenbanken anlegen, Daten-
dienste mithilfe von Transact-SQL erstellen, Datenbanken verwalten und
warten, Sicherheit konfigurieren und verwalten, Datenbanken überwachen
und optimieren sowie Microsoft SQL Server installieren und konfigurieren.
씰 Microsoft Certified Systems Engineer (MCSE): Diese Experten verfügen

über die Qualifikation, die Geschäftsanforderungen für eine Systemarchitek-
tur zu analysieren, die Architekturkomponenten zu entwickeln, zu installieren
und zu konfigurieren sowie Systemprobleme zu beheben.
씰 Microsoft Certified Systems Engineer + Internet (MCSE + Internet):

Personen mit diesem Zertifikat sind für die Kernbereiche eines MCSE quali-
fiziert und beherrschen darüber hinaus die Erweiterung, Entwicklung und
Verwaltung von intelligenten Intranet- und Internetlösungen, die Browser,
Proxy-Server, Hostserver, Datenbanken sowie Komponenten der Nachrich-
tendienste und des Handels umfassen. Ein MCSE + Internet ist in der Lage,
Websites zu verwalten und zu analysieren.
B.2 Anforderungen an die Zertifizierung 925
씰 Microsoft Certified Solution Developer (MCSD): Diese Personen sind in

der Lage, mit Microsoft-Entwicklungstools, -Technologien und -Plattformen
businessrelevante Lösungen zu entwerfen und zu realisieren. Zum neuen
Track gehören Zertifizierungsexamen, die die Fähigkeit des Benutzers testen,
um webbasierte, verteilte und Handelsanwendungen mit Microsoft-Produk-
ten wie zum Beispiel Microsoft SQL Server, Microsoft Visual Studio und
Microsoft Component Services zu erstellen.
씰 Microsoft Certified Trainer (MCT): Personen mit diesem Zertifikat sind

Schulungsprofis und durch Microsoft technisch qualifiziert, um Microsoft
Education Courses an Standorte zu überführen, die von Microsoft autorisiert
sind. Ein MCT muss bei einem Microsoft Solution Provider Authorized
Technical Education Center oder einer Microsoft Authorized Academic Trai-
nig-Site beschäftigt sein.
HINWEIS
Neueste Informationen zu den Zertifizierungsarten finden Sie auf der Website für
Microsoft Training and Certification unter http://www.microsoft.com/mcp. Micro-
soft können Sie auch über die folgenden Quellen kontaktieren:
씰 Microsoft Certified Professional Program: 800-636-7544
씰 mcp@msource.com
씰 Microsoft Online Institute (MOLI): 800-449-9333
B.2 Anforderungen an die Zertifizierung

Die folgenden Abschnitte beschreiben die Anforderungen für die verschiedenen
Arten der Microsoft-Zertifizierungen.
HINWEIS
Mit einem Sternchen gekennzeichnete Prüfungen werden demnächst eingestellt.
B.2.1 Der Weg zum MCP

Um das Zertifikat für einen MCP (Microsoft Certified Professional) zu erhalten,
brauchen Sie nur ein beliebiges Microsoft-Examen zu bestehen (mit Ausnahme von
Networking Essentials, #70-058* und Microsoft Windows 2000 Accelerated Exam
for MCPs Certified on Microsoft Windows NT 4.0, #70-240).
B.2.2 Der Weg zum MCP + Internet

Um das Zertifikat für einen MCP mit Spezialisierung auf das Internet zu erhalten,
müssen Sie die folgenden Examen bestehen:
씰 Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0,

#70-059*
씰 Implementing and Supporting Microsoft Windows NT Server 4.0, #70-067*
씰 Implementing and Supporting Microsoft Internet Information Server 3.0 and

Microsoft Index Server 1.1, #70-077*
oder Implementing and Supporting Microsoft Internet Information Server

4.0, #70-087*
B.2.3 Der Weg zum MCP + Site Building

Um als MCP + Site Building zertifiziert zu werden, müssen Sie zwei der folgenden
Prüfungen ablegen:
씰 Designing and Implementing Web Sites with Microsoft FrontPage 98,

#70-055
씰 Designing and Implementing Commerce Solutions with Microsoft Site

Server 3.0, Commerce Edition, #70-057
씰 Designing and Implementing Web Solutions with Microsoft Visual InterDev

6.0, #70-152
B.2.4 Der Weg zum MCP + Database Administrator

Es gibt zwei MCDBA-Tracks; der eine Track ist an Windows 2000 gebunden, der
andere basiert auf Windows NT 4.0.
Windows-2000-Track
Um ein MCDBA im Windows-2000-Track zu werden, müssen Sie drei Pflichtexa-
men und ein Wahlexamen ablegen.
Pflichtexamen
Die erforderlichen Pflichtexamen für einen MCDBA im Windows-2000-Track sind:
씰 Installing, Configuring and Administering Microsoft Windows 2000 Server,

#70-215
oder Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Mi-
crosoft Windows NT 4.0, #70-240 (nur für die Personen, die die Examen
#70-067*, #70-068* und #70-073* bestanden haben)
씰 Administering Microsoft SQL Server 7.0, #70-028
씰 Designing and Implementing Databases with Microsoft SQL Server 7.0,

#70-029
Wahlexamen
Weiterhin müssen Sie ein Wahlexamen aus der folgenden Liste bestehen:
씰 Implementing and Administering a Microsoft Windows 2000 Network Infra-

structure, #70-216 (nur für die Personen, die die Examen #70-067*, #70-068*
und #70-073* noch nicht bestanden haben)
oder Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Mi-
crosoft Windows NT 4.0, #70-240 (nur für die Personen, die die Examen
#70-067*, #70-068* und #70-073* bestanden haben)
씰 Designing and Implementing Distributed Applications with Microsoft Visual
C++ 6.0, #70-015
씰 Designing and Implementing Data Warehouses with Microsoft SQL Server

7.0 and Microsoft Decision Support Services 1.0, #70-019
씰 Implementing and Supporting Microsoft Internet Information Server 4.0,

#70-087*

FoxPro 6.0, #70-155

Basic 6.0, #70-175
Windows-NT-4.0-Track
Um ein MCDBA im Windows-NT-4.0-Track zu werden, müssen Sie vier Pflichtex-
amen und ein Wahlexamen bestehen.
Pflichtexamen
Für einen MCDBA im Windows-NT-4.0-Track sind die folgenden Pflichtexamen
erforderlich:
씰 Administering Microsoft SQL Server 7.0, #70-028
씰 Designing and Implementing Databases with Microsoft SQL Server 7.0,

#70-029
씰 Implementing and Supporting Microsoft Windows NT Server 4.0 in the En-

terprise, #70-068*
Wahlexamen
Das abzulegende Wahlexamen können Sie aus der folgenden Liste wählen:

C++ 6.0, #70-015

7.0 and Microsoft Decision Support Services 1.0, #70-019
씰 Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0, #70-

059*
씰 Implementing and Supporting Microsoft Internet Information Server 4.0,

#70-087*

FoxPro 6.0, #70-155

Basic 6.0, #70-175
B.2.5 Der Weg zum MCSE

Für die Qualifikation zum MCSE sind Prüfungen zum Betriebssystem und zwei
Wahlexamen abzulegen. Der Weg zur MCSE-Zertifizierung gliedert sich in zwei
Tracks: Windows 2000 und Windows NT 4.0.
Die folgende Liste zeigt die Pflichtexamen für die Windows-2000- und Windows-
NT-4.0-Tracks sowie die Wahlexamen.
Windows-2000-Track
Beim Windows-2000-Track sind fünf Pflichtexamen (oder ein Accelerated Examen
und ein weiteres Pflichtexamen) abzulegen. Weiterhin müssen Sie zwei Wahlexa-
men bestehen.
Pflichtexamen
Alle Personen, die nicht die Examen #70-067, #70-068 und #70-073 abgelegt
haben, müssen die folgenden Pflichtexamen zum Windows-2000-Track für die
MCSE-Zertifizierung ablegen:
씰 Installing, Configuring and Administering Microsoft Windows 2000 Profes-

sional, #70-210
씰 Installing, Configuring and Administering Microsoft Windows 2000 Server,

#70-215
씰 Implementing and Administering a Microsoft Windows 2000 Network Infra-

structure, #70-216
씰 Implementing and Administering a Microsoft Windows 2000 Directory Ser-

vices Infrastructure, #70-217
Für diejenigen, die die Examen #70-067*, #70-068* und #70-073* abgelegt haben,
sind folgende Pflichtexamen im Windows-2000-Track erforderlich:
씰 Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Micro-

soft Windows NT 4.0, #70-240
Alle Kandidaten müssen eines der folgenden drei zusätzlichen Pflichtexamen able-
gen:
씰 Designing a Microsoft Windows 2000 Directory Services Infrastructure,

#70-219
oder Designing Security for a Microsoft Windows 2000 Network, #70-220
oder Designing a Microsoft Windows 2000 Infrastructure, #70-221
Wahlexamen
Alle MCSE-Wahlexamen, die mit der Freigabe der Windows-2000-Pflichtexamen
aktuell sind (d.h. nicht zurückgezogen werden), lassen sich verwenden, um die
Anforderungen der beiden Wahlexamen zu erfüllen. Darüber hinaus sind die
Pflichtexamen #70-219, #70-220 und #70-221 als Wahlexamen geeignet, solange
sie noch nicht abgelegt wurden, um die Anforderungen der oben genannten »zusätz-
lichen Pflichtexamen« zu erfüllen. Mit dem Examen #70-222 (Aktualisierung von
Microsoft Windows NT 4.0 auf Microsoft Windows 2000) kann man ebenfalls
diese Anforderung erfüllen. Schließlich zählen auch ausgewählte Zertifizierungen
von Drittanbietern, die sich auf Interoperabilität konzentrieren. Weitere Informatio-
nen zu derartigen Zertifizierungen entnehmen Sie bitte der Microsoft-MCP-Website
(www.microsoft.com/mcp).
Windows-NT-4.0-Track
Der Windows-NT-4.0-Track ist ebenfalls in Pflicht- und Wahlexamen organisiert.
Pflichtexamen
Für die MCSE-Zertifizierung sind im Windows-NT-4.0-Track die folgenden vier
Pflichtexamen abzulegen:

terprise, #70-068*
씰 Microsoft Windows 3.1, #70-030*

oder Microsoft Windows for Workgroups 3.11, #70-048*
oder Implementing and Supporting Microsoft Windows 95, #70-064*
oder Implementing and Supporting Microsoft Windows NT Workstation 4.0,
#70-073*
oder Implementing and Supporting Microsoft Windows 98, #70-098
씰 Networking Essentials, #70-058*
Wahlexamen
Für den Windows-NT-4.0-Track müssen Sie zwei der folgenden Wahlexamen für
eine MCSE-Zertifizierung bestehen:
씰 Implementing and Supporting Microsoft SNA Server 3.0, #70-013

oder Implementing and Supporting Microsoft SNA Server 4.0, #70-085
씰 Implementing and Supporting Microsoft Systems Management Server 1.2,
#70-018
oder Implementing and Supporting Microsoft Systems Management Server
2.0, #70-086
씰 Designing and Implementing Data Warehouse with Microsoft SQL Server

7.0, #70-019
씰 Microsoft SQL Server 4.2 Database Implementation, #70-021*

oder Implementing a Database Design on Microsoft SQL Server 6.5, #70-027
씰 Microsoft SQL Server 4.2 Database Administration for Microsoft
Windows NT, #70-022*
oder System Administration for Microsoft SQL Server 6.5 (oder 6.0), #70-
026
oder System Administration for Microsoft SQL Server 7.0, #70-028
씰 Microsoft Mail for PC Networks 3.2-Enterprise, #70-037*
씰 Internetworking with Microsoft TCP/IP on Microsoft Windows NT (3.5-

3.51), #70-053*
oder Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0,
#70-059*
씰 Implementing and Supporting Web Sites Using Microsoft Site Server 3.0,
#70-056
씰 Implementing and Supporting Microsoft Exchange Server 4.0, #70-075*

oder Implementing and Supporting Microsoft Exchange Server 5.0, #70-076
4.0, #70-087*
씰 Implementing and Supporting Microsoft Proxy Server 1.0, #70-078
oder Implementing and Supporting Microsoft Proxy Server 2.0, #70-088
씰 Implementing and Supporting Microsoft Internet Explorer 4.0 by Using the
Internet Explorer Resource Kit, #70-079
oder Implementing and Supporting Microsoft Internet Explorer 5.0 by Using
the Internet Explorer Resource Kit, #70-080
씰 Designing a Microsoft Windows 2000 Directory Services Infrastructure,
#70-219
씰 Designing Security for a Microsoft Windows 2000 Network, #70-220
씰 Designing a Microsoft Windows 2000 Infrastructure, #70-221
씰 Upgrading from Microsoft Windows NT 4.0 to Microsoft Windows 2000,

#70-222
B.2.6 Der Weg zum MCSE + Internet

Für die Zertifizierung zum MCSE, der auf die Internet-Technologie spezialisiert ist,
müssen Sie sieben Betriebssystem-Examen und zwei Wahlexamen ablegen.
Pflichtexamen
Die Zertifizierung zum MCSE + Internet erfordert die folgenden sieben Pflichtexa-
men:
씰 Networking Essentials, #70-058*
씰 Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0,

#70-059*
씰 Implementing and Supporting Microsoft Windows 95, #70-064*

oder Implementing and Supporting Microsoft Windows NT Workstation 4.0,
#70-073*
oder Implementing and Supporting Microsoft Windows 98, #70-098

terprise, #70-068*

4.0, #70-087*
씰 Implementing and Supporting Microsoft Internet Explorer 4.0 by Using the
Internet Explorer Resource Kit, #70-079
oder Implementing and Supporting Microsoft Internet Explorer 5.0 by Using
the Internet Explorer Resource Kit, #70-080
Wahlexamen
Weiterhin müssen Sie zwei der folgenden Wahlexamen für die Zertifizierung zum
MCSE + Internet ablegen:
씰 System Administration for Microsoft SQL Server 6.5, #70-026

oder Administering Microsoft SQL Server 7.0, #70-028
씰 Implementing a Database Design on Microsoft SQL Server 6.5, #70-027
oder Designing and Implementing Databases with Microsoft SQL Server 7.0,
#70-029
씰 Implementing and Supporting Web Sites Using Microsoft Site Server 3.0,
# 70-056
씰 Implementing and Supporting Microsoft Exchange Server 5.0, #70-076

씰 Implementing and Supporting Microsoft Proxy Server 1.0, #70-078
oder Implementing and Supporting Microsoft Proxy Server 2.0, #70-088
씰 Implementing and Supporting Microsoft SNA Server 4.0, #70-085
B.2.7 Der Weg zum MCSD

Die Zertifizierung zum MCSD (Microsoft Certified Solution Developer) hat eine
grundlegende Revision erfahren. Nachstehend sind die Anforderungen für den
neuen Track (seit viertem Quartal 1998) sowie die alten Anforderungen aufgeführt.
Neuer Track
Für den neuen Track müssen Sie drei Pflichtexamen und ein Wahlexamen ablegen.
Pflichtexamen
Aus jeder Gruppe der folgenden Pflichtexamen müssen Sie ein Examen ablegen:
Desktop Applications Development (1 Examen):
씰 Designing and Implementing Desktop Applications with Microsoft Visual

C++ 6.0, #70-016
oder Designing and Implementing Desktop Applications with Microsoft
Visual FoxPro 6.0, #70-156
Visual Basic 6.0, #70-176
Distributed Applications Development (1 Examen):

C++ 6.0, #70-015
oder Designing and Implementing Distributed Applications with Microsoft
Solution Architecture (1 Examen):
씰 Analyzing Requirements and Defining Solution Architectures, #70-100
Wahlexamen
Von den folgenden Wahlexamen können Sie eines auswählen:

C++ 6.0, #70-015

C++ 6.0, #70-016

7.0, #70-019
씰 Developing Applications with C++ Using the Microsoft Foundation Class

Library, #70-024
씰 Implementing OLE in Microsoft Foundation Class Applications, #70-025

#70-055
씰 Designing and Implementing Commerce Solutions with Microsoft Site

Server 3.0, Commerce Edition, #70-057
씰 Programming with Microsoft Visual Basic 4.0, #70-065*

씰 Application Development with Microsoft Access for Windows 95 and the

Microsoft Access Developer's Toolkit, #70-069
씰 Designing and Implementing Solutions with Microsoft Office 2000 and Mic-
rosoft Visual Basic for Applications, #70-091
씰 Designing and Implementing Database Applications with Microsoft Access

2000, #70-097
씰 Designing and Implementing Collaborative Solutions with Microsoft Out-

look 2000 and Microsoft Exchange Server 5.5, #70-105

6.0, #70-152

FoxPro 6.0, #70-155

FoxPro 6.0, #70-156
씰 Developing Applications with Microsoft Visual Basic 5.0, #70-165

Basic 6.0, #70-175

Basic 6.0, #70-176
Alter Track
Zur Zertifizierung als MCSD müssen Sie beim alten Track zwei Kerntechnologie-
prüfungen und zwei Wahlprüfungen ablegen. Die folgenden Listen zeigen die erfor-
derlichen Technologieexamen und die Wahlexamen für die MCSD-Zertifizierung.
Pflichtexamen
Um sich für die MCSD-Zertifizierung zu qualifizieren, müssen Sie die folgenden
beiden Pflichtprüfungen ablegen:
씰 Microsoft Windows Architecture I, #70-160*
씰 Microsoft Windows Architecture II, #70-161*

Wahlexamen
Um MSCD zu werden, müssen Sie zwei der folgenden Wahlexamen ablegen:

C++ 6.0, #70-015

C++ 6.0, #70-016

7.0, #70-019
씰 Microsoft SQL Server 4.2 Database Implementation, #70-021*

씰 Developing Applications with C++ Using the Microsoft Foundation Class Li-
brary, #70-024
씰 Implementing OLE in Microsoft Foundation Class Applications, #70-025
씰 Programming with Microsoft Visual Basic 4.0, #70-065

oder Developing Applications with Microsoft Visual Basic 5.0, #70-165
Basic 6.0, #70-176
씰 Microsoft Access 2.0 for Windows-Application Development, #70-051*

oder Microsoft Access for Windows 95 and the Microsoft Access Develop-
ment Toolkit, #70-069
oder Designing and Implementing Database Applications with Microsoft
Access 2000, #70-097
씰 Developing Applications with Microsoft Excel 5.0 Using Visual Basic for
Applications, #70-052*
씰 Programming in Microsoft Visual FoxPro 3.0 for Windows, #70-054*


#70-055
씰 Designing and Implementing Commerce Solutions with Microsoft Site Ser-

ver 3.0, Commerce Edition, #70-057
씰 Designing and Implementing Solutions with Microsoft Office (code-named

Office 9) and Microsoft Visual Basic for Applications, #70-091
씰 Designing and Implementing Collaborative Solutions with Microsoft Out-

look 2000 and Microsoft Exchange Server 5.5, #70-105

6.0, #70-152
B.2.8 Der Weg zum MCT

Damit Sie sich umfassend über die Laufbahn zum MCT (Microsoft Certified Trai-
ner) informieren können, besorgen Sie sich das Dokument Microsoft Certified Trai-
ner Guide von der Website
http://www.microsoft.com/mcp/
Auf dieser Site können Sie das Dokument als Webseite lesen oder als Word-Datei
herunterladen. Der MCT Guide erläutert die Laufbahn zum MCT. Die allgemeinen
Schritte für die MCT-Zertifizierung lauten wie folgt:
1. Füllen Sie die MCT-Bewerbungsunterlagen vollständig aus und senden Sie

sie an Microsoft. Weiterhin müssen Sie Ihre didaktischen Fähigkeiten nach-
weisen. Die Möglichkeiten dafür sind im MCT Guide beschrieben.
2. Beschaffen Sie sich das Microsoft Trainer-Kit zu den MOC-(Microsoft Offi-
cial Curriculum-) Kursen, für die Sie sich zertifizieren lassen wollen. Im
MCT Guide finden Sie Hinweise, wie Sie ein Trainer-Kit bestellen können.
3. Legen Sie alle MCP-Prüfungen entsprechend der Teilnahmevoraussetzungen
ab, um Ihr aktuelles technisches Wissen zu bewerten.
4. Bereiten Sie sich auf das Unterrichten eines MOC-Kurses vor. Besuchen Sie
zuerst den MOC-Kurs, für den Sie sich zertifizieren lassen wollen. Dadurch
verstehen Sie, wie der Kurs strukturiert ist, wie die Unterrichtsräume ausge-
stattet sind und wie der Kurs abläuft.
5. Absolvieren Sie alle zusätzlichen Prüfungen entsprechend der Teilnahmevor-

aussetzungen, um zusätzliche Produktkenntnisse zu bewerten, die sich auf
den Kurs beziehen.
6. Schicken Sie Ihre Checkliste der Kursvorbereitungen an Microsoft, sodass
Ihre zusätzlichen Nachweise bearbeitet werden können und sich in Ihrem
Transkript widerspiegeln.
ACHTUNG
Die vorstehend genannten Schritte sind als allgemeiner Überblick der MCT-Zerti-
fizierung zu verstehen. Die konkreten Schritte, die Sie unternehmen müssen, sind
detailliert auf der weiter vorn erwähnten Website beschrieben. Verstehen Sie die
obigen Schritte bitte nicht als dogmatischen Ablauf, dem Sie sich unterziehen
müssen.
Wenn Sie ein MCT werden wollen, können Sie sich weitere Informationen beschaf-
fen, indem Sie die Website für Microsoft Certified Training unter http://
www.microsoft.com/train_cert/mct/ besuchen oder unter 08 00/18 25 434 anrufen.
Die Prüfungssoftware
auf der CD-ROM
C.1 Was ist ExamGear?

ExamGear umfasst die folgenden Merkmale und Funktionen:
C
Effektive Prüfungssimulation – eine der Hauptfunktionen von ExamGear ist die
Examenssimulation. Um Sie effektiv und erfolgreich auf die Zertifizierungsprüfun-
gen der verschiedenen Examensanbieter vorbereiten zu können, wurde die derzeit
effizienteste Simulationstechnologie in ExamGear integriert.
Hochwertige Fragen – alle für die Examenssimulationen in ExamGear erstellten

Fragen entsprechen den hohen Qualitätsstandards, wie sie heutzutage angelegt wer-
den. Jede Frage bezieht sich auf ein spezifisches Examensthema, wie es vom Exa-
mensanbieter definiert wurde. ExamGear testet alle Wissensbereiche, die auch in
der realen Prüfung abgefragt werden. Das gesamte Examensmaterial ist direkt auf
die Lernziele ausgerichtet.
Zeitgemäße Benutzeroberfläche – Aussehen und Bedienung von ExamGear sind

den realen Zertifizierungsprüfungen nachempfunden. Dadurch können Sie sich an
die Examensumgebung gewöhnen und bereiten sich auf diese Weise effektiv auf
das Examen vor. ExamGear verhindert böse Überraschungen bei der realen Prüfung
und nimmt Ihnen so die Examensangst.
Unterschiedliche Testmodi, darunter auch die adaptive Prüfungsform – Viele

der anspruchsvollsten Technikzertifikate verwenden neuerdings die sogenannte
»adaptive« (anpassungsfähige) Prüftechnik. Die Fragen beim adaptiven Examen
werden dynamisch auf der Grundlage Ihrer bis dahin gegebenen Antworten gestellt.
Wenn Sie eine Frage korrekt beantworten, weist die nächste Frage einen höheren
Schwierigkeitsgrad auf; beantworten Sie die Frage falsch, wird die nächste Frage
weniger schwierig sein. Um das Examen zu bestehen, müssen Sie eine bestimmte
Anzahl von Fragen mit einem bestimmten Schwierigkeitsgrad innerhalb einer fest-
gelegten Zeitspanne beantworten.
940 Anhang C Die Prüfungssoftware auf der CD-ROM
ExamGear bietet Ihnen die Möglichkeit, das adaptive Examen zu üben, um sich mit
dieser Prüfmethode vertraut zu machen. So ist sichergestellt, dass Sie umfassend auf
die reale Prüfung vorbereitet sind.
Effiziente Lernumgebung – ExamGear stellt eine Lernumgebung bereit, die nicht

nur die tatsächliche Zertifizierungsprüfung simuliert, sondern in der Sie auch den
Prüfungsstoff üben können, den Sie brauchen, um die wirkliche Prüfung zu beste-
hen. Zu jeder Frage ist eine umfassende Erklärung vorhanden, die nicht nur die rich-
tige Antwort erläutert, sondern auch aufzeigt, warum die anderen Antwortoptionen
nicht richtig sind. Dadurch wird nicht nur das bereits vorhandene Wissen vertieft,
sondern Sie erhalten auch praktische Informationen, die Sie bei Ihrer normalen
Arbeit verwenden können.
Automatische Erkennung der Fortschritte – wenn Sie die Fragen beantworten,

erkennt ExamGear automatisch Ihre Fortschritte. Für jede Frage wird aufgezeich-
net, wie oft Sie sie beantwortet haben und ob die Antwort richtig oder falsch war.
C.2 Prüfungsauswahl
Abbildung C.1
Der Bildschirm Prü-

fungsauswahl von
ExamGear
Die verschiedenen Prüfmodi von ExamGear bereiten Sie optimal auf die richtige
Prüfung vor. ExamGear beinhaltet drei Prüfmodi. Es ist wichtig, die Unterschiede
zwischen diesen Modi zu kennen.
C.2 Prüfungsauswahl 941
Der Lernmodus gestattet es Ihnen anzugeben, wie viele Fragen das Programm
zufällig aus der Datenbank auswählen soll und wieviel Zeit Sie sich für die Beant-
wortung der Fragen zugestehen wollen. Darüber hinaus können Sie festlegen, ob Sie
Fragen aus allen Gebieten oder nur aus spezifischen Gebieten beantworten wollen.
Damit können Sie Ihr Wissen gezielt in den Bereichen auffrischen, in denen Sie Ihre
Schwächen vermuten. Während des Examens können Sie sich zu den einzelnen Fra-
gen jederzeit die korrekten Antworten samt Erläuterung anzeigen lassen. Der Lern-
modus verfeinert Ihr Wissen und schult Sie im Umgang mit der Prüfungssituation,
da die korrekte Antwort über die Option ANTWORTEN ANZEIGEN nur einen
Mausklick entfernt ist. Ferner können Sie jeder Zeit zum Bildschirm FRAGENKATA-
LOG wechseln, um auf der Registerkarte AKTUELLE BEWERTUNG Ihren Punktestand
einzusehen.
Die Musterprüfung ist ein praxisorientierter Prüfungsmodus, der das konkrete Zer-
tifizierungsexamen simuliert. Die Fragen entstammen allen Prüfungsgebieten und
die Anzahl der Fragen sowie die Bearbeitungszeit entsprechen der tatsächlichen
Prüfungssituation. Die Musterprüfung beinhaltet praktisch die gleichen Optionen
wie der Lernmodus, allerdings lassen sich die Antworten nicht anzeigen. Sie ent-
spricht den tatsächlichen Gegebenheiten einer Zertifizierungsprüfung – der Bild-
schirm FRAGENKATALOG ist erst verfügbar, nachdem alle Fragen angezeigt wurden.
Im Lernmodus hingegen kann der Bildschirm FRAGENKATALOG jederzeit aufgeru-
fen werden. Bei der Musterprüfung können Sie Ihren abschließenden Punktestand
auf dem Bildschirm ABSCHLUSSERGEBNIS einsehen.
Bei der adaptiven Prüfung ist die erste Frage typischerweise recht einfach. Wenn
Sie sie richtig beantworten, folgt eine etwas schwierigere Frage. Solange Sie korrekt
antworten, werden die Fragen zunehmend schwieriger. Und umgekehrt: Wenn Sie
falsche Antworten geben, werden die Fragen zunehmend einfacher. Das Examen
passt sich also Ihrem Wissenstand an, indem es den Schwierigkeitsgrad der Fragen
geeignet variiert. Damit Sie das Examen allerdings bestehen, müssen Sie eine
bestimmte Anzahl von Fragen auf einem gegebenen Schwierigkeitsgrad richtig
beantwortet haben. Sobald Sie einen Punkt erreichen, an dem Sie definitiv bestan-
den oder nicht bestanden haben, endet das Examen und Sie erhalten Ihre Bewer-
tung. Falls Sie also den erforderlichen Schwierigkeitsgrad nicht innerhalb der vor-
gegebenen Zeit erreichen (typischerweise 30 Minuten), endet das Examen mit der
mit der Bewertung durchgefallen. Und wenn Sie schon vor Ablauf dieser Zeit
durchgefallen sind, kann der Test auch frühzeitig enden. Wie bei der Musterprüfung
erhalten Sie das Ergebnis der adaptiven Prüfung im Fenster ABSCHLUSSERGEBNIS.
C.2.1 Der Lernmodus

Je nach Umfang Ihrer Zugriffsrechte können die Optionen variieren. Wenn Sie bei
der Prüfungsauswahl die Schaltfläche LERNMODUS wählen, erhalten Sie ein Konfi-
gurationsfenster angezeigt, in dem Sie alle Aspekte des Tests im Lernmodus wie
gewünscht einstellen können. (Die tatsächlich angezeigten Optionen können je nach
Fragesatz variieren.)
In diesem Konfigurationsfenster finden Sie mehr Optionen als bei jedem anderen
Test von ExamGear. Aber keine Sorge, Sie werden trotzdem schnell damit klarkom-
men. Sie können aber auch die Standardeinstellungen verwenden, die so gewählt
sind, dass sie in den meisten Fällen eine gute Wahl für Ihre Lernbemühungen dar-
stellen.
Der Lernmodus wurde aufgenommen, um Sie mit den Fragen in einer Datenbank
vertraut zu machen und Sie zu unterstützen, falls Sie die Antwort auf eine Frage
nicht wissen. Wenn Sie im Lernmodus eine hohe Punktzahl erreichen, sind Sie auf
die tatsächliche Prüfung gut vorbereitet.
Abbildung C.2
Einstellungen für
den Lernmodus
Eine Prüfung auswählen

Das gleich unter der Menüleiste befindliche Listenfeld PRÜFUNG listet alle Frage-
sätze auf, die auf Ihrem System für die Verwendung mit ExamGear installiert sind.
Für jede Prüfung ist mindestens ein Fragesatz vorhanden. Wählen Sie den Fragen-
satz für die Prüfung aus, auf die Sie sich vorbereiten wollen.
C.2 Prüfungsauswahl 943
Kapitel auswählen
In dem darunter gelegenen Listenfenster AUF FOLGENDE KAPITEL BESCHRÄNKEN
finden Sie eine Auflistung der einzelnen Kapitel (Lerneinheiten) des Fragensatzes.
Um den Lernmodus auf bestimmte Kapitel einzuschränken, entfernen Sie für die
Kapitel, an denen Sie nicht interessiert sind, die Häkchen aus den Kontrollkästchen.
Falls Sie gar kein Kapitel auswählen, erhalten Sie die Fehlermeldung »Keine Fra-
gen gefunden, die den angegebenen Kriterien entsprechen«.
Fragen auswählen
Neben einer Auswahl der Lerneinheiten können Sie auch festlegen, wie ExamGear
mit Fragen umgehen soll, die Sie bereits richtig bzw. falsch beantwortet haben. Das
Programm führt darüber Buch, mit welchen Fragen Sie Schwierigkeiten haben und
mit welchen nicht.
Für die Auswahl der Fragen während des Lernmodus können Sie eine der folgenden
Einstellungen treffen:
Aus allen verfügbaren Fragen auswählen – Diese Option ist die Voreinstellung.
Sie sorgt dafür, dass Ihnen das Programm Fragen aus allen gewählten Kapiteln
(Lerneinheiten) mit gleicher Wahrscheinlichkeit präsentiert.
Keine Fragen, die mindestens X mal richtig beantwortet wurden – ExamGear

ermöglicht es Ihnen, solche Fragen auszuschließen, die Sie bereits korrekt beant-
wortet haben. Sie können festlegen, wie oft Sie eine Frage richtig beantwortet haben
müssen, bevor ExamGear diese als »erledigt« betrachtet. Die Voreinstellung für X
ist 2.
Nur Fragen, die mindestens X mal falsch beantwortet wurden – wenn Sie diese
Option auswählen, drillt Sie ExamGear speziell auf die Fragen, die Sie mindestens
X mal falsch beantwortet haben. Die Voreinstellung für X ist 2.
Um die für eine Option geltende Voreinstellung wieder herzustellen, klicken Sie auf
die Schaltfläche STANDARD.
Ein Zeitlimit setzen

Unter Ihrer Zugriffseinstellung sehen Sie rechts im Fenster die Punktewertung (oder
prozentuale Wertung), die Sie erreichen müssen, damit die gewählte Prüfung als
»bestanden« betrachtet wird. Unter dieser Mindestwertung können Sie auswählen,
ob der Test zeitlich begrenzt werden soll, und wie viel Zeit ggf. zur Verfügung
steht. Markieren Sie das Kontrollkästchen TEST NACH 90 MINUTEN BEENDEN, um
eine zeitliche Begrenzung einzustellen, und geben Sie dann die Dauer des Tests in
Minuten ein. Wenn das Kontrollkästchen deaktiviert ist, wird das Examen ohne
zeitliche Begrenzung durchgeführt.
Anzahl der Prüfungsfragen

Sie können auch die Anzahl der Fragen festlegen, die Bestandteil der Prüfung sein
werden. Der hier voreingestellte Wert variiert abhängig davon, welche Prüfung Sie
ausgewählt haben. Geben Sie die Anzahl der Fragen im Feld NICHT MEHR ALS N
FRAGEN ein.
Reihenfolge der Fragen

Im Testmodus können Sie zwischen zwei Reihenfolgen wählen, wie Ihnen Exam-
Gear die Fragen präsentiert:
Fragen in zufälliger Reihenfolge anzeigen – diese Option ist die Voreinstellung.

Sie veranlasst ExamGear, die Abfolge der Fragen zufällig zu wählen.
Fragen nach Kapiteln geordnet – wenn Sie diese Option wählen, gruppiert Exam-
Gear die Fragen nach Lerneinheiten, die den Kapiteln in Ihrem Buch entsprechen
und arbeitet alle gewählten Lerneinheiten nacheinander ab.
Bewertungsoptionen
ExamGear lässt Ihnen im Lernmodus die Wahl zwischen zwei unterschiedlichen
Feedback-Mechanismen:
Bewertung am Ende der Prüfung – diese Option ist die Voreinstellung. Wenn sie
gewählt ist, bewertet ExamGear zwar Ihre Antworten, eine Anzeige der Bewertung
erfolgt aber erst nach Abschluss des Tests. Fragen, zu denen Sie die Lösung anfor-
dern, zählen nicht.
Bewertung direkt nach jeder Frage – wenn Sie diese Option auswählen, müssen
Sie später im Test zuerst auf die Schaltfläche BEWERTEN klicken, bevor Sie zur
nächsten Frage weiterschalten können. ExamGear zeigt Ihnen dann die korrekte
Antwort an bzw. signalisiert Ihnen durch einen Smiley, dass Ihre Antwort korrekt
ist. Fragen, zu denen die Lösung angezeigt wird, zählen nicht.
C.2.2 Den Lernmodus starten

Wenn Sie alle Optionen wie gewünscht eingestellt haben, betätigen Sie die Schalt-
fläche STARTE TEST. ExamGear wechselt nun in den Frage-/Antwort-Modus.
C.3 Die Musterprüfung 945
Mit den Schaltflächen im unteren Teil des Fensters können Sie das Programm inter-
aktiv bedienen.
C.3 Die Musterprüfung

Im Modus »Musterprüfung« simuliert ExamGear konkrete Zertifizierungsprüfun-
gen. Das Examen umfasst eine feste Anzahl von Fragen und muss in einer festge-
setzten Zeit absolviert werden. Als »Prüfling« haben Sie keine Kontrolle über die
Bearbeitungszeit und die Anzahl der Fragen. Sie können einzelne Fragen markieren,
bei denen Sie sich nicht sicher sind und zu denen Sie später zurückkehren wollen.
Nach Bearbeitung der letzten Frage gelangen Sie zum Bildschirm Punktestand, auf
dem Sie Ihre Punktzahl einsehen können. Von hier aus können Sie ausgelassene
sowie markierte Fragen im Suchmodus erneut bearbeiten.
Ihre Punktzahl wird nach Ende der Prüfung im Fenster ABSCHLUSSERGEBNIS ange-
zeigt. Damit das Examen als bestanden betrachtet wird, müssen Sie eine bestimmte
Punktzahl erreichen.
Die folgenden Optionen stehen während des Tests immer zur Verfügung:
Schaltfläche Beschreibung
PRÜFUNG BEENDEN Bricht die Prüfung ab und zeigt den Bildschirm Punktestand an.
Die Prüfung kann von diesem Bildschirm aus jedoch im Such-
modus wieder aufgenommen werden.
SIMULATION Diese Schaltfläche startet die Simulation zur aktuellen Frage.
STARTEN Unterstützt die Frage keine Simulation, so ist die Schaltfläche
deaktiviert.
ERLÄUTERUNG Betätigen Sie diese Schaltfläche, um eine Erläuterung zu öffnen.
Eine Erläuterung kann eine Grafik- oder Textdatei sein, die ergän-
zende Informationen zur aktuellen Frage beinhaltet. Sind für die
aktuelle Frage mehrere Erläuterungen vorhanden, dann wird das
Dialogfeld Erläuterung auswählen aufgerufen, in dem die
einzelnen Erläuterungen aufgelistet sind:
Wählen Sie einen Eintrag, um die entsprechende Erläuterung zu
öffnen, und betätigen Sie nachfolgend die Schaltfläche ÖFFNEN.
Die Erläuterungen werden in getrennten Fenstern angezeigt. Gibt
es zu einer Frage nur eine einzige Erläuterung, wird diese bei Betä-
tigung der Schaltfläche ERLÄUTERUNG direkt geöffnet. Sind keine
Erläuterungen vorhanden, dann ist die Schaltfläche deaktiviert.
ZURÜCKSETZEN Mit dieser Schaltfläche können Sie die aktuelle Frage auf ihre
Standardeinstellung (»nicht beantwortet«) zurücksetzen.
Schaltfläche Beschreibung
BEDIENUNG Nach Betätigung dieser Schaltfläche werden Bedienmöglichkeiten

für die aktuelle Frage angezeigt.
<< VORIGE Wenn Sie die vorhergehende Frage erneut betrachten wollen,
klicken Sie auf diese Schaltfläche. Wurde der Suchmodus
»markierte Fragen durcharbeiten« aktiviert, ist die Schaltfläche mit
<<VORIGE MARKIERTE beschriftet. Wurde der Suchmodus
»unvollständige Fragen durcharbeiten« aktiviert, ist die Schalt-
fläche mit <<VORIGE UNVOLLSTÄNDIGE beschriftet.
NÄCHSTE >> Zeigt die nächste Frage an. Wurde der Suchmodus »Nur
markierte« selektiert, so ist die Schaltfläche mit NÄCHSTE
MARKIERTE>> beschriftet. Wurde der Suchmodus »Nur unbeant-
wortete« selektiert, so ist die Schaltfläche mit NÄCHSTE
UNVOLLSTÄNIGE >> beschriftet.
C.3.1 Die adaptive Prüfung

Beim adaptiven Examen von ExamGear wird das vorhandene Wissen auf zwei
unterschiedliche Arten geprüft, nämlich zum einen Ihr Gesamtwissen und zum
anderen das Wissen zu den einzelnen Themenbereichen.
Beim adaptiven Examen wird Ihr Wissen sehr sorgfältig überprüft, d.h. Sie
müssen nicht nur eine hohe Gesamtpunktzahl erzielen, sondern auch eine Mindest-
punktzahl für jede einzelne Lerneinheit. Um die Prüfung zu bestehen, müssen Sie
alle Lerneinheiten bestehen und insgesamt 86 % oder mehr erreichen. Sie fallen
durch, wenn Sie eine Gesamtpunktuzahl von 85 % oder weniger erreichen oder
wenn Sie in einem der Bereiche unter 70 % haben.
Sie werden vor Ihrer Prüfung nicht erfahren, welche Examensfragen auf Sie zukom-
men. Wenn Sie bei einem bestimmten Thema Schwächen aufweisen, sind Sie viel-
leicht schon durchgefallen, bevor Sie Ihre Stärken auf anderen Gebieten unter
Beweis stellen konnten. Das adaptive Examen bereitet Sie auf alle Möglichkeiten
vor und sorgt dafür, dass Sie auch die reale Prüfung bestehen.
Auf dem Konfigurationsbildschirm für diesen Modus können Sie im Listenfeld

PRÜFUNG nichts weiter als den Kurs in Form eines Fragesatzes auswählen.
Sie starten das Examen durch Anklicken der Schaltfläche STARTE TEST.
C.4 Die Frageformen in ExamGear 947
C.4 Die Frageformen in ExamGear

C.4.1 Multiple-Choice-Fragen
Abbildung C.3
Eine typische Mul-

tiple-Choice-Frage
Viele der Fragen, die Ihnen bei einer Zertifizierungsprüfung gestellt werden, sind
Multiple-Choice-Fragen. Um eine solche Frage zu beantworten, wählen Sie einen
oder mehrere Einträge aus einer Liste möglicher Antworten aus.
Manchmal dürfen Sie nur eine Antwort wählen (dies wird durch einen Satz wie
etwa »Wählen Sie die beste Antwort« signalisiert), bei anderen Fragen wiederum
müssen Sie mehrere Antworten eintragen; dies wird durch eine entsprechende Auf-
forderung angezeigt (etwa: »Wählen Sie zwei Antworten!«).
Multiple-Choice-Fragen können innerhalb eines Szenarios oder nach einem kurzen

Bericht über Gegebenheiten wie Umgebung, Rolle, gewünschte oder benötigte
Ergebnisse usw. auftreten.
Wenn es auf eine Frage nur eine korrekte Antwort gibt, werden Optionsfelder neben
den möglichen Antworten angezeigt; sind mehrere Antworten möglich, so werden
Kontrollkästchen verwendet.
Antwort auswählen
Wählen Sie eine der folgenden Möglichkeiten:
씰 Klicken Sie auf das zu der Antwort gehörige Optionsfeld oder Kontrollkäst-
chen. Falls für eine Frage mehr als eine korrekte Antwort zulässig oder erfor-
derlich ist (Sie entnehmen dies der Fragestellung), finden Sie Kontrollkäst-
chen vor den Antworten, ansonsten Optionsfelder.
씰 Klicken Sie auf den Antworttext.
씰 Drücken Sie die Taste für den der Frage zugeordneten Buchstaben (A, B, C,
etc.).
Optionsfeld löschen
씰 Klicken Sie auf ein anderes Optionsfeld.
씰 Klicken Sie auf den Text einer anderen Antwort.
씰 Drücken Sie die Taste für den Buchstaben einer anderen Frage.
씰 Klicken Sie auf die Schaltfläche Zurücksetzen, um die Frage in den Anfangs-
zustand zurückzuversetzen.
Kontrollkästchen löschen
씰 Klicken Sie auf das Kontrollkästchen neben der gewählten Antwort.
씰 Klicken Sie auf den Text der gewählten Antwort.
씰 Drücken Sie die Taste für den der Frage zugeordneten Buchstaben.
Um alle Antworten zu löschen und die Frage in den unbeantworteten Zustand

zurückzuversetzen, klicken Sie auf die Schaltfläche Zurücksetzen.
C.4.2 Drop&Connect
Drop&Connect-Fragen beantworten Sie, indem Sie die korrekten Antwortobjekte
auswählen und nachfolgend die richtigen Beziehungen zwischen diesen herstellen.
Diese Beziehungen werden durch beschriftete Verbindungsobjekte repräsentiert.
C.4 Die Frageformen in ExamGear 949
Sie können ein und dasselbe Verbindungsobjekt mehrfach verwenden. Das Ver-
schieben verbundener Objekte ändert deren Beziehungen zueinander nicht.
Bewertet werden nur Objekte, die mit anderen Objekten verbunden sind.
Objekte auswählen
Sie wählen ein Objekt aus, indem Sie es an die gewünschte Stelle ziehen. Sie kön-
nen Objekte frei so anordnen, wie es zur Beantwortung der Frage notwendig
erscheint. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte verwendet
werden müssen.
Objekte verbinden
Wenn Sie die gewünschten Antwortobjekte platziert haben, verbinden Sie diese,
indem Sie zwei Objekte auswählen und dann das korrekte Verbindungsobjekt aus
der Liste selektieren. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte
verwendet werden müssen und dass Objekte auch mehrfach gewählt werden kön-
nen.
Verbindungen modifizieren
Sie können die Richtung eines Verbindungsobjekts umkehren und Verbindungsob-
jekte löschen. Um die Richtung umzukehren, klicken Sie mit der rechten Maustaste
auf das Verbindungsobjekt und wählen Sie Umkehren aus dem Kontextmenü. Sie
löschen ein Verbindungsobjekt, indem Sie mit der rechten Maustaste auf das Objekt
klicken und den Eintrag Löschen aus dem Kontextmenü wählen.
Antwort zurücksetzen
Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um Ihre Antwort zu löschen und
die Frage auf den ursprünglichen Status zurückzusetzen.
»Drop & Connect«-Fragen beinhalten Antwort- und Verbindungsobjekte. Ihre Auf-

gabe besteht darin, mit Hilfe der Verbindungsobjekte Beziehungen zwischen den
Antwortobjekten darzustellen. Durch Verbindung der Antwortobjekte entsteht ein
Prozessdiagramm.
C.4.3 Listen erstellen und ordnen/Zuordnungsaufgaben

Bei Fragen dieser Art müssen Sie zunächst die korrekten Einträge aus einer Aus-
wahlliste selektieren und diese dann in der richtigen Reihenfolge anordnen. Sie
erstellen Ihre Antwort in der Liste auf der linken Seite des Bildschirms.
1. Wählen Sie die Einträge aus, die Sie der Liste hinzufügen wollen.
2. Verschieben Sie die gewählten Einträge, um eine bestimmte Reihenfolge zu
erstellen.
Einträge hinzufügen
Wählen Sie eine der folgenden Vorgehensweisen:
씰 Doppelklicken Sie auf den gewünschten Eintrag aus der Gruppe der verfüg-
baren Einträge (rechte Liste), um ihn der Antwortliste (links) hinzuzufügen.
씰 Wählen Sie den Eintrag aus der Gruppe der verfügbaren Einträge (rechte Lis-
te), den Sie der Antwortliste hinzufügen wollen, und klicken Sie nachfolgend
auf die Schaltfläche VERSCHIEBEN.
Einträge aus der Antwortliste entfernen

Wählen Sie eine der folgenden Vorgehensweisen:
씰 Ziehen Sie den zu entfernenden Eintrag aus der Antwortliste zurück in die
Auswahlliste auf der rechten Seite.
씰 Doppelklicken Sie den zu entfernenden Eintrag in der Antwortliste auf der

linken Seite des Bildschirms.
씰 Wählen Sie den zu entfernenden Eintrag in der Antwortliste aus und klicken
Sie nachfolgend auf die Schaltfläche ENTFERNEN.
Antwortliste zurücksetzen
Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle Einträge aus der Antwort-
liste zu entfernen.
Reihenfolge der Einträge in der Antwortliste verändern

Wählen Sie den zu verschiebenden Eintrag in der Antwortliste aus und verschieben
Sie ihn mit den Pfeiltasten links neben der Liste nach oben bzw. unten.
Beachten Sie, dass sich Listeneinträge auch mehrfach auswählen lassen. Bei einigen
Fragen werden Sie aufgefordert, die Schritte, die zur Lösung einer bestimmten Auf-
gabe notwendig sind, in der richtigen Reihenfolge anzugeben; einige dieser Schritte
können während des Vorgangs auch mehrfach ausgeführt (d.h. mehrfach aus der
Auswahlliste gewählt) werden.
C.5 Punktebewertung 951
C.4.4 Baumstruktur
Fragen vom Typ »Baumstruktur« präsentieren Ihnen eine Anzahl Objekte und for-
dern Sie auf, aus diesen Objekten eine Baumstruktur zu erstellen. Das Feld links im
Fenster beinhaltet bereits übergeordnete Ebenen, zwischen denen sich die Eintrags-
objekte einfügen lassen.
Ein Eintrag aus der Auswahlliste kann mehrfach zwischen den Einträgen im linken
Feld eingefügt werden. Einträge, die eingeblendet werden können, sind mit einem
Pluszeichen (+) gekennzeichnet, bei Einträgen mit einem Minuszeichen (-) werden
alle untergeordneten Einträge angezeigt.
Die Schaltfläche AUSBLENDEN blendet alle untergeordneten Ebenen eines Knotens

aus.
Einen Eintrag hinzufügen

Wählen Sie zunächst einen Eintrag im linken Feld. Wählen Sie dann einen passen-
den Eintrag im Auswahlfeld (rechts) und klicken Sie auf die Schaltfläche HINZUFÜ-
GEN.
Einen Eintrag entfernen

Blenden Sie die Ebenen nach Bedarf ein, bis der zu löschende Eintrag angezeigt
wird. Klicken Sie auf die Schaltfläche ENTFERNEN.
Baumstruktur zurücksetzen
Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle dem Baum hinzugefügten
Objekte wieder zu entfernen.
C.5 Punktebewertung
Während Sie ein Examen bearbeiten, ermittelt ExamGear kontinuierlich Ihren
Punktestand.
Im Lernmodus können Sie den Fragenkatalog jederzeit öffnen, um eine grafische

Anzeige Ihres Punktestandes zu betrachten. Im Fragenkatalog können Sie zu jeder
beliebigen Frage springen, Ihren Punktestand überprüfen oder das Examen beenden.
Da Sie den Lernmodus jederzeit beenden können, wird kein abschließender Punkte-
stand angezeigt; überprüfen Sie deswegen Ihren Punktestand im Fragenkatalog,
bevor Sie eine Prüfung im Lernmodus beenden.
Abbildung C.4
So bewertet Exam-
Gear Ihren Lerner-
folg
Die Musterprüfung erlaubt den Zugriff auf den Fragenkatalog, allerdings ist dieser
erst möglich, wenn alle Fragen, die Bestandteil der Prüfung waren, mindestens ein-
mal angezeigt wurden.
Bei der adaptiven Prüfung ist der Zugriff auf den Fragenkatalog nicht möglich, da
hier alle Fragen dynamisch ausgewählt werden.
Bei der Musterprüfung und beim adaptiven Examen wird am Ende der abschlie-
ßende Punktestand angezeigt. Das Fenster ABSCHLUSSERGEBNIS beinhaltet ferner
eine Funktion namens WAS WAR FALSCH ODER FEHLTE, mit der Sie sich alle Fragen
anzeigen lassen können, die Sie falsch beantwortet haben.
C.5.1 Funktionen im Fenster ABSCHLUSSERGEBNIS

Das Fenster ABSCHLUSSERGEBNIS enthält folgende Informationen:
씰 eine Bewertung, ob Ihr Punktestand zum Bestehen der Prüfung ausreicht oder
nicht
씰 eine grafische Abbildung Ihrer abschließenden Gesamtpunktzahl
씰 eine grafische Abbildung Ihrer Punktzahl für die einzelnen Kapitel (Lernein-
heiten)
Mit der angepassten Sortierung können Sie die Ansicht Ihren Bedürfnissen anpas-
sen.
C.6 Systemanforderungen 953
Darüber hinaus können Sie über die Schaltfläche WAS WAR FALSCH ODER FEHLTE
nachprüfen, welche Fragen falsch beantwortet wurden. In diesem Modus sehen Sie
Ihre Antwort, die korrekte Antwort und eine Erklärung der korrekten Antwort.
C.6 Systemanforderungen
Die Minimalanforderungen, die ExamGear an Ihr System stellt, sind die folgenden:
씰 Windows-kompatibler PC (100 MHz oder schneller) mit mind. 32 Mbyte Ar-

beitsspeicher
씰 CD-ROM-Laufwerk (falls das Programm von CD installiert wird)
씰 20-30 Mbyte freier Festplattenspeicher. Die tatsächlich benötigte Kapazität

hängt von der Anzahl der installierten Prüfdatenbanken ab.
씰 Microsoft Windows 95/98 oder Windows NT
씰 Microsoft Internet Explorer 4.01 oder höher. ExamGear verwendet zahlrei-

che Komponenten des Internet Explorers für kryptografische und HTTP-Ak-
tionen. Ferner ist eine Instanz des Internet Explorers in das Anwendungsfens-
ter von ExamGear integriert, wodurch ExamGear grundlegende Funktionen
des Internet Explorers steuern kann. Der eingebaute Browser wird zur Teil-
nahme an Diskussionsforen und zur Anzeige von Webpages benötigt. Wenn
Microsoft Internet Explorer 4.01 oder höher nicht installiert ist, kann Exam-
Gear nicht ordnungsgemäß funktionieren.
Stichwortverzeichnis
Symbols – Benutzerkonto, Registerkarte Profil 196

– Benutzerkonto, Registerkarte
%USERNAME%-Variable 198 Remoteüberwachung 202
.com, Toplevel-Domäne 55 – Benutzerkonto, Registerkarte
.edu, Toplevel-Domäne 55 Rufnummern 198
.gov, Toplevel-Domäne 55 – Benutzerkonto, Registerkarte
.local, Namensvergabe für Domäne 118 Sicherheitseinstellungen 205
.org, Toplevel-Domäne 55 – Benutzerkonto, Registerkarte Sitzungen
201
A
– Benutzerkonto, Registerkarte
Abfrage, rekursive 913 Terminaldienstprofile 202
Ability (Fähigkeitsbewertung) 833 – Benutzerkonto, Registerkarte Umgebung
ACE (Access Control Entry) 240 200
ACLDiag 333 – Benutzerkonto, Registerkarte
Active Desktop, administrative Vorlage 415 Veröffentlichte Zertifikate 203
Active Directory 603, 661, 687 – Benutzerkontoeigenschaften ändern 192
– Komponenten 816 – Berechtigung zum Verwalten eines GPO
Active Directory (AD) 901 zuweisen 389
Active Directory Service Interface (ADSI) – Berechtigung zum Verwenden eines GPO
215 zuweisen 381
Active Directory-Benutzer und -Computer – Computer verwalten 186
– Benutzerkennwort zurücksetzen 209 – Computerkonto aktivieren 188
– Benutzerkonto deaktivieren 208 – Computerkonto deaktivieren 188
– Benutzerkonto hinzufügen 189 – Computerkonto hinzufügen 183
– Benutzerkonto kopieren 210 – Computerkonto löschen 186
– Benutzerkonto löschen 207 – Computerkonto zurücksetzen 187
– Benutzerkonto reaktivieren 209 – Drucker suchen 236
– Benutzerkonto umbenennen 207 – Eigenschaften von Computerkonto
– Benutzerkonto, Registerkarte Adresse einstellen 184
193 – Einstellungen einer administrativen
– Benutzerkonto, Registerkarte Allgemein Vorlage für eine Gruppenrichtlinie
192 bearbeiten 440
– Benutzerkonto, Registerkarte Einwählen – Erweiterte Funktionen 240
205 – Gruppe hinzufügen 227
– Benutzerkonto, Registerkarte Konto 194 – Gruppe löschen 229
– Benutzerkonto, Registerkarte Mitglied – Gruppe, Registerkarte Allgemein 229
von 205 – Gruppe, Registerkarte Mitglied von 229
– Benutzerkonto, Registerkarte Objekt 205 – Gruppe, Registerkarte Mitglieder 229
– Benutzerkonto, Registerkarte – Gruppe, Registerkarte Objekt 229
Organisation 199
956 Stichwortverzeichnis
– Gruppe, Registerkarte – Computerkonto 182

Sicherheitseinstellung 229 – Desktop 462
– Gruppe, Registerkarte Verwaltet von 229 – Domänen-Admins 226
– Gruppeneigenschaften bearbeiten 228 – erweiterte
– Gruppenrichtlinie deaktivieren 376 Gruppenrichtlinienberechtigungen
– Gruppenrichtlinie erstellen 369 390
– Gruppenrichtlinie erstellen, – filtern, Berechtigungen 400
Kontrollkästchen Kein Vorrang 376 – Gast-Konto 189
– Gruppenrichtlinie erstellen, Registerkarte – Grundfunktionen 181
Domänen/Organisationseinheiten 375 – Gruppe 227
– Gruppenrichtlinie erstellen, Registerkarte – Gruppenrichtlinie 356, 384
Gruppenrichtlinie 372 – Gruppenrichtlinie deaktivieren 376
– Gruppenrichtlinie erstellen, Registerkarte – Gruppenrichtlinienobjekte verknüpfen
Verknüpfungen 378 361
– Gruppenrichtlinie filtern 400 – Gruppenrichtlinienvererbung 395
– Gruppenrichtlinienvererbung – MOVETREE 258
deaktivieren 396 – Objektverwaltung 211, 247
– Gruppenrichtlinienvererbung – Offline-Datei 421
durchsetzen 399 – Ordnerumleitung 458
– GUID (Globally Unique Identifier) 378 – Organisationseinheiten 238
– Objekt suchen 231 – Regeln für
– Objektberechtigung einstellen 241 Gruppenrichtliniendeaktivierung 396
– Organisationseinheit erstellen 239 – Schema-Admins 226
– Personen suchen 236 – Strategien für Gruppen 221
– Skripte zur Verwendung in – Systemsteuerung 417
Gruppenrichtlinie implementieren 447 – Vorlagen, Vorteile 403
– Snap-In 182 – zentrale Kontrolle über Gruppenrichtlinie
– Überwachung für Gruppenrichtlinie 356
konfigurieren 465 Administrative Vorlage 901
– Verarbeitungsreihenfolge der – Active Directory 416
Gruppenrichtlinie 373 – An-/Abmeldung 424
Active Directory-Container 628, 868 – Anmeldung 432
Active Directory-Installation 797 – Anwendungsbereich 405
Active Directory-integrierte Zone 901 – Arbeitsumgebung bereitstellen 404
Active Directory-Komponenten, – Datenträgerkontingente 433
Überwachung, Wartung, Korrektur 820 – Desktop 407, 415, 418
Active Directory-Objekt 628, 816 – Desktopeinstellungen aufräumen 404
– Verschieben 817 – DFÜ-Verbindung 422
– Zugriffssteuerung 819 – DNS-Client 434
– Zugriffsüberwachung 650 – Drucker 406, 419, 438
Active Directory-Replikation, Verwaltung – Einstellungsarten 405
und Fehlerbehebung 822 – Gruppenrichtlinien 425, 434
Active Directory-Zugriff überwachen 634 – Implementierungsgrundsätze 461
Adaptives Prüfungsformat 832 – Internet Explorer 409, 429
Administration – Internet Explorer-Wartung 454
– Administrator-Konto 189 – Ländereinstellungen 420
– Adminpak.msi 282 – Microsoft Management Console 411
– Auswertungsreihenfolge von – Microsoft NetMeeting 409, 428
Berechtigungen 389 – Netzwerk 406
– Benutzer verwalten 206 – Netzwerk- und DFÜ-Verbindungen 437
– Benutzerkonto 188 – Offline-Datei 421, 437
– Benutzerumgebung 402 – Ordnerumleitung 458
Stichwortverzeichnis 957
– Programme, Internet Explorer-Wartung Analyseprotokolldatei anzeigen 621

457 Anmelde-/Abmeldeskripte 901
– Programmzugriff sperren 403 Anmeldeereignisse überwachen 634
– Sicherheitszonen, Internet Explorer- Anmeldeversuche überwachen 634
Wartung 456 Anmeldevorgang 858
– Snap-In Gruppenrichtlinie 405 Anmeldung 853
– Software 418 – administrative Vorlage 432
– Standards durchsetzen 403 – im Netzwerk 853
– Startmenü und Taskleiste 406, 413 Antwortdatei 711, 901
– System 406 – Verknüpfung mit CD-basiertem Image
– Systemsteuerung 407, 417 723
– Taskplaner 412, 430 Anwendung 870, 880
– URL, Internet Explorer-Wartung 456 – kann nicht installiert werden 568
– Vorteile 403, 425 – Umpacken 919
– Windows Explorer 410 – von Sicherheitseinstellungen 629
– Windows Installer 413, 430 Anwendungen
– Windows-Dateischutz 435 – funktionieren nach der Installation nicht
– Windows-Komponenten 405, 408 richtig 569
Administrator 901 – werden auf dem Desktop nicht angezeigt
Administrator-Profil, in Standardprofil wie erwartet 568
Benutzer kopieren 736 – werden nicht verteilt wie erwartet 569
Adminpak.msi, Snap-In 282 – Windows 2000-zertifiziert 515
ADSI (Active Directory Service Interface) Arbeitsstationsdienst 26
215 Architektur, erweiterbare 906
ADSIEdit 333 Assistent für die Remote-
Änderung Installationsvorbereitung 737
– eines Pakets mittels MST-Datei 557 Attribut
– von Sicherheitsvorlageneinstellungen mit – Active Directory 34
Hilfe des MMC-Snap-In – Datenverkehr regulieren 32
Sicherheitsvorlagen 610 – Domäne 31
Änderungs- und – festlegen, für globalen Katalog 32
Konfigurationsmanagement, Installation, – strukturiert 34
Konfiguration, Verwaltung 802 Attribute 902
Aktualisierung Attributtyp, Domäne 31
– dynamische 801 Auflösung, Forward-Lookupzone 62
– eines Pakets 547 Aufräumen 902
– Fälle 80 Authentifizierung 902
– obligatorisch 547, 550, 910 – Arbeitsstationsdienst 26
– optional 548, 550 – Explorer.exe 36
– Standardzone 80 – Verzeichnisdienst, in Windows 2000 36
– von Software mittels Gruppenrichtlinien – Windows NT 4.0 27
548 authoritative restore 310, 312
– Vorgang 81 Automatische Installation 746, 750
Aktualisierungspaket 547 Autorisierung
Analyse – des RIS-Servers 702
– der Sicherheitskonfiguration 619 – eines RIS-Servers 902
– Ihres Computers mittels Autoritätsursprung (SOA), Seriennummer
Sicherheitskonfiguration und -analyse vergleichen 85
618 Autoritativ, Namenserver 56, 57
– vieler Computer 624 AXFR (vollständige Zonenübertragung) 85
B Berechtigung 903
– Alle bestätigten Schreibvorgänge 245
Banyan 902 – Alle Eigenschaften lesen 244
Banyan Vines 28 – Alle Eigenschaften schreiben 244
– Organisationseinheit 28 – Alle erweiterten Rechte 245
Baumstruktur 902 – Alle untergeordneten Objekte erstellen
Benachrichtigung 902 242, 383
Benutzer 902 – Alle untergeordneten Objekte erstellen/
– Benutzerkonto 188 löschen 245
– Konto deaktivieren 191 – Alle untergeordneten Objekte löschen
– User Principal Name (UPN) 189 242
– verwalten 206 – Assistent für Objektverwaltung 247
Benutzerdefinierte Installation 746, 750 – Auswertungsreihenfolge für
Benutzerdesktops 874 Gruppenrichtlinien 389
Benutzerfreundlichkeit 660 – Berechtigungen ändern 245
Benutzerkonfiguration 600 – Berechtigungen lesen 245
– Skripte für An- und Abmeldung 443 – Besitzer ändern 245
Benutzerkonto – erweiterte 390
– deaktivieren 191, 208 – Erweiterte Funktionen 240
– Eigenschaften ändern 192 – Freigabe in Active Directory
– hinzufügen 189 veröffentlichen 255
– Kennwort zurücksetzen 209 – für freigegebene Ordner einstellen 254
– kopieren 210 – Gruppe in Gruppenrichtlinienobjekt 384
– löschen 207 – Gruppen 223
– reaktivieren 209 – Gruppenrichtlinie 384
– Registerkarte Adresse 193 – Gruppenrichtlinie übernehmen 383
– Registerkarte Allgemein 192 – Inhalt auflisten 244
– Registerkarte Einwählen 205 – Lesen 242
– Registerkarte Konto 194 – Löschen 244
– Registerkarte Mitglied von 205 – NTFS 253
– Registerkarte Objekt 205 – Objekte erstellen/löschen 245
– Registerkarte Organisation 199 – Schreiben 242
– Registerkarte Profil 196 – Sicherung 291
– Registerkarte Remoteüberwachung 202 – Standard für Gruppenrichtlinie 382
– Registerkarte Rufnummern 198 – Uneingeschränkter Zugriff 244
– Registerkarte Sicherheitseinstellungen – Unterstruktur löschen 245
205 – vererben 246
– Registerkarte Sitzungen 201 – Vererbung blockieren 246
– Registerkarte Terminaldienstprofile 202 – verwalten einer Gruppenrichtlinie 389
– Registerkarte Umgebung 200 – verweigern 383
– Registerkarte Veröffentlichte Zertifikate – verweigern, Warnung vor 254
203 – Windows Installer 430
– umbenennen 207 – zuweisen, zum Verwalten eines GPO 389
– User Principal Name (UPN) 189 Berechtigung für Images 730
– verwalten 188 Berechtigungen für Images 730
– Vorlage 210 Bereich, Gruppenrichtlinie 360
Benutzerprozess 902 Bereitstellung
Benutzerumgebungen – erneute 906
– Steuerung von 806 – von Software mittels Gruppenrichtlinien
– Verwaltung und Fehlersuche mittels 539
Gruppenrichtlinien 806 – von Software, erneute 552
– von Windows 2000 – Betriebssystem, Registerkarte 185

mit Remote-Installationsdiensten 679 – deaktivieren 188
Bereitstellungsoptionen 547 – löschen 186
– Konfiguration von 808 – Mitglied von, Registerkarte 185
Beschränken von Images 903 – Objekt, Registerkarte 185
Betriebsmaster 279 – Sicherheitseinstellung, Registerkarte 185
– Domäne 281 – SID 186
– Gesamtstruktur 282 – Standort, Registerkarte 185
– Rolle überschreiben 286 – verwalten 182
– Rolle übertragen 282 – Verwaltet von, Registerkarte 185
– Standort 281 – zurücksetzen 187
Betriebsmasterfunktionen 796 Computerkonto, Recht zur Erstellung,
Betriebssystem 903 Übung 768
Bewerbungsunterlagen 937 Computerverwaltung, Snap-In 251
BIND (Berkeley Intenet Name Domain) 86 Container
BINL 683 – Active Directory, Objekt in 35
BINL-Meldung 758 – Objektvererbung 246
Boot Information Negotiation Layer (BINL) Containerobjekt 903
683 CPU-Zeit 862
Bridgehead-Server konfigurieren 150 CSVDE 214
Browser- und Shelleinstellungen 718
Builtin, Gruppe 223 D
C DACL (Discretionary Access Control List)

36, 240, 903
Cache-only, Server 61 Datei- oder Dokumentaktivierung 538
Cache-Server 903 Dateierweiterungen, Verknüpfung mit
CD-basiertes Image 708, 723 Anwendungen 564
– RIPrep-Image 734 Dateierweiterungspriorität für ein GPO 566
Client Dateinamenserweiterungen, Prioritäten für
– Gruppenrichtlinie 357 565
– Gruppenrichtlinien kombinieren 366 Dateisystem 599
– Gruppenrichtlinienaktualisierung 365 Dateisystemobjekte 641
Clientcomputer Datenbank 903
– Hardwarevoraussetzungen 748 – Active Directory 30
– Vorkonfiguration 752 – Domäne 32
Clientinstallation, Auswahloptionen, – Domain Name System (DNS) 33
Einstellungen 746 – erstellen 616
Clientinstallationsoptionen 744 – Methoden 35
Clientkonto, Optionen 742 Datenträgerkontingent 661, 904
Collection – administrative Vorlage 433
– DACL (Discretionary Access Control List) Datenverkehr 857
36 DCPROMO 904
– Objekt 35 Deaktivierung der Richtlinienvererbung 661
Computer 903 Default Domain Controllers Policy 358
Computer hinzufügen 864 Default Domain Policy 358
Computerkonfiguration, Skripte für Starten Deinstallation 517
und Herunterfahren 443 Delegieren 115
Computerkonto – Objektverwaltung 247
– aktivieren 188 Desktop
– Allgemein, Registerkarte 185 – administrative Vorlage 415, 418
– benutzerseitige administrative Vorlage – Namespace 33, 54

462 – Netlogon 81
– Gruppenrichtlinie 356 – Netlogon starten und stoppen 91
DFS (Distributed Files System) 252 – NSLOOKUP verwenden 89
DFÜ-Verbindung, administrative Vorlage – Organisationseinheit 115
422 – primäre Zone konfigurieren 67
DHCO-Meldung 758 – primärer Server 62
DHCP (Dynamic Host Configuration – Protokollierung 88
Protocol) 683 – rekursive Namensauflösung 57
DHCP Discover-Paket 685 – Resolver 54
DHCP-Dienst 683, 687 – Reverse-Lookupzone 75
DHCP-Konsole 702 – Reverse-Lookupzone konfigurieren 75
DHCP-Relay-Agent 758 – Richtlinien für Organisationseinheiten
DHCP-Server 687, 758 116
Dialogfeld Sicherheitsrichtlinienvorlage 612 – Rollen 61
Dienst 904 – Secondlevel 55
Differenziell, Sicherung 290 – sekundärer Server 76
Discretionary Access Control List (DACL) – Snap-In DNS 88
36 – Stammdomäne installieren 119
DisplayVersion 520 – Standardzone 80
Distinguished Name (DN), LDIFDE 212 – Struktur und Gesamtstruktur 112
Distributed Files System (DFS) 252 – TCP/IP 132
DNS (Domain Name Service) 683, 849 – Toplevel 55
DNS (Domain Name System) 33 – TTL (Time To Live) 58
– Änderungen durch Active Directory 81 – Überwachen 88
– Aktualisierung 80 – Unterdomäne in Unternehmensstruktur
– Aktualisierung der Zone, Fälle 80 56
– Aktualisierungsvorgang 81 – untergeordnete Domäne 129
– Autokonfiguration 59 – vollständige (AXFR) Zonenübertragung
– BIND (Berkeley Internet Name Domain) 85
86 – Zonen integrieren 78, 86
– Cache-only-Server 61 – Zonenübertragungen in
– Delegieren 115 Standardumgebung 84
– Domäne 111 DNS für Active Directory 800
– Domänencontroller hinzufügen 128 – Installation, Konfiguration,
– Domänenstruktur 112 Fehlerbehebung 800
– erstellen, Domäne 117 – Verwaltung, Überwachung,
– Fehlersuche 87 Fehlerbehebung 801
– Forward-Lookupzone 66 DNS-Client, administrative Vorlage 434
– FQDN (Fully Qualified Domain Name) DNSCMD 333
54, 56 DNS-Daten, Replikation 802
– Hauptkomponenten 54 DNS-Server 859
– Hierarchie 112 DNS-Zonen 800
– inkrementelle (IXFR) Zonenübertragung Domäne 851, 854, 858, 904
85 – Active Directory 29, 111
– Installationsanleitung 60 – Änderungen durch Active Directory 81
– Installationsvoraussetzungen 59 – Aktualisierung von Gruppenrichtlinien
– iterative Namensauflösung 57 364
– Masterserver 76 – Attribut 31
– Namensauflösung 57 – Attributtyp 31
– Namensvergabe für Domäne 118 – automatische Verwaltung 29
– Benutzerkonto deaktivieren 208 – NSLOOKUP verwenden 90

– Benutzerkonto hinzufügen 189 – oberster Ebene 904
– Benutzerkonto kopieren 210 – Objektverwaltung zuweisen 247
– Benutzerkonto löschen 207 – Organisationseinheit 115
– Benutzerkonto reaktivieren 209 – Organisationseinheit erstellen 239
– Benutzerkonto umbennen 207 – Partition 47
– Benutzerkontoeigenschaften ändern 192 – PTR-Eintrag 80
– Betriebsmaster 281 – rekursive Namensauflösung 57
– BIND (Berkeley Intenet Name Domain) – Reverse-Lookupeintrag 80
86 – Rollen 61
– Computerkonto aktivieren 188 – Schemamaster 32
– Computerkonto deaktivieren 188 – Schwierigkeiten des Modells 29, 32
– Computerkonto hinzufügen 182 – Secondlevel 33, 55
– Computerkonto löschen 186 – separate 56
– Computerkonto zurücksetzen 187 – Serviceeintrag 80
– Default Domain Controller Policy 358 – Sicherheit 112
– Default Domain Policy 358 – SID (Security Identifier) 31
– Delegieren 115 – Stammdomäne 33
– DNS (Domain Name System) 33 – Stammdomäne installieren 119
– Domänencontroller 29 – Stammserver hinzufügen 131
– Domänen-Namensmaster 34 – Standort, Definition 132
– Domänenstruktur, Beispiel 113 – Struktur und Aufbau 112, 115
– erstellen 117 – Struktur und Gesamtstruktur 112
– Forward-Lookupzone, Auflösung 62 – strukturieren 33
– FQDN (Fully Qualified Domain Name) 54 – Strukturmodell 34
– FQDN auflösen 56 – Toplevel 33, 55
– gemeinsame Elemente 34 – TTL (Time To Live) 58
– Gesamtstruktur erstellen 130 – überprüfen, Installation der
– globale Liste 29 Stammdomäne 127
– Gruppe hinzufügen 227 – Unterdomäne in Unternehmensstruktur
– Gruppenrichtlinienvererbung 362 56
– Gruppenstrategien 221 – untergeordnete 919
– Hierarchie im Unternehmen 52 – untergeordnete, hinzufügen 129
– Hosteintrag 80 – Verarbeitung von Gruppenrichtlinien 364
– inkrementelle (IXFR) Zonenübertragung – Vererbung durchsetzen 398
85 – Vertrauensstellung 29
– Installationsvoraussetzung, Hardware – vollständige (AXFR) Zonenübertragung
und Software 117 85
– integrierte (builtin) Gruppen 223 – Vorteile 111
– IPCONFIG verwenden 90 – Wege zum Erstellen 112
– iterative Namensauflösung 57 – Zonen integrieren 78
– Klasse 31 – Zonenübertragung 84
– Masterserver 76 – zweiter Stufe 904
– Modus 218 Domänen-Admins 226
– Modus ändern 218 Domänenbetriebsmaster 281
– Namensauflösung, Prozess 57 Domänencontroller 601, 603, 850, 853,
– Namensvergabe 118 857f., 905
– Namensvergabe, hierarchisches Modell – Änderungen durch Active Directory 81
53 – Aktualisierung von Gruppenrichtlinien
– Namespace 33 364
– Netlogon 81 – Aktualisierungen in Active Directory 86
– Default Domain Controller Policy 358 Dynamic Host Configuration Protocol

– Domänenbetriebsmaster 281 (DHCP) 905
– einheitlicher Modus 218 Dynamische Aktualisierungen 906
– Gruppenrichtlinien kombinieren 366 Dynamisches Domänennamenssystem
– hinzufügen 128 (DDNS) 906
– Hosteintrag 80
– konfigurieren für globalen Katalog 289 E
– PTR-Eintrag 80
Eigenschaft 906
– Replikation 142
– des Pakets, Dialogfeld 545
– Reverse-Lookupeintrag 80
– Objekt 35
– Server für globalen Katalog 288
– von Softwareinstallation, Dialogfeld 544
– Serviceeintrag 80
Eingeschränkte Gruppen 599
– Skript-Replikation 449
Einheitlicher Modus 218
– Stammserver hinzufügen 131
– Auswirkung 219
– Systemrichtlinie unter NT 4.0 363
Einmaliges Ausführen 720
– SYSVOL 359
Element 906
– Task-Manager 313
E-Mail, Verteilergruppe 217
– Überwachung, Pflege, Korrektur der
Endknotenobjekte 906
Leistung 820
Enterprise 906
– USN (Update Sequence Number) 143
Entfernen eines Pakets 554
– verschieben 147
– mittels Gruppenrichtlinien 555
– wieder herstellen 857
– verteilter Pakete mittels
– wieder herstellen, nicht-maßgebend 305
Gruppenrichtlinien
Domänendaten, Replikation 142
Übung 580
domänenlokal
Entfernung
– Domänenmodus 220
– obligatorische 554
– verwenden 221
– optionale 555
Domänenmodell, Schwierigkeiten in den
Entfernungsoptionen 554
Anfängen 29
Ereignis, Details 322
Domänenmodus 218
Ereignisanzeige 654, 906
– Auswirkung auf Gruppen 219
– Ereignistypen 321
Domänennamenmaster 34, 280, 796, 905
– filtern 325
– Rolle übertragen 284
– konfigurieren 319
– Standort ändern 283
– Protokolle 318
Domänennamenssystem (DNS) 905
– Remote-System 321
Domänenpartition 47, 905
– Sicherheitsprotokoll 469
Domänenüberwachungsrichtlinien 657
Ereignisprotokoll 599
Domain Name Service (DNS) 683
Erstellung
Domain Name System (DNS) 33, 687
– einer Remotestartdiskette 751
DOMMAP 333
– einer Sicherheitsvorlage mit Hilfe des
Drittanbieter-Werkzeuge 523
Snap-Ins Sicherheitsvorlagen 607
Drop & Connect-Fragen 839
– eines Computerkontos 704
Drucker 905
– eines RIPrep-Image 733, 738
– administrative Vorlage 419, 438
Anforderungen 734
Drucker hinzugefügt 860
Quellcomputer konfigurieren 735
Drucker installieren 720
– von Computerkonten
Drucker, Überwachung von 645
Vergabe von Rechten 815
Druckerobjekt 37
– von Softwarekategorien 559
Druckerobjekte, Überwachung 645
– und Änderung von Sicherheitsvorlagen
Druckerstandort, Registerkarte 141
604
DSACLS 333
– von Softwarekategorien für die Domäne
DSAStat 333
560
ESEUtil 333 – REPAdmin 334

Examen, Anmelden 923 – REPLMon 334
Examen Siehe auch Prüfungen – SDCheck 334
ExamGear, Training Guide Edition 830 – SIDWalker 334
Export von Sicherheitseinstellungen 628 Fehlerprotokolldatei 620
Extras 750 Fehlersuche 791
– bei der Softwarebereitstellung 568
F – bei Remote-Installationsdienste 758
Filter, Gruppenrichtlinie 400
Fallstudie
Forward-Lookup 907
– Active Directory verwalten 258
– IPCONFIG 90
– Gruppenrichtlinien zum Konfigurieren der
– NSLOOKUP 90
Benutzer- und Computereinstellungen
Forward-Lookupzone
bei Sonnenschein-Brauerei 470
– Aktualisierungsintervall, auf Registerkarte
– Remote-Installationsdienste 760
Allgemein 70
– Softwarebereitstellung 570
– Aktualisierungsintervall, auf Registerkarte
– Überwachen und Verwalten von Active
Autoritätsursprung (SOA) 70
Directory 334
– Allgemein, Registerkarte 69
– Verwendung von Gruppenrichtlinien 655
– Alterung, auf Registerkarte Allgemein 69
Fallstudie Sonnenschein-Brauerei
– An jeden Server, auf Registerkarte
– Active Directory installieren und
Zonenübertragungen 74
konfigurieren 155
– Automatisch benachrichtigen, auf
– Anforderungen der Benutzer 40
Registerkarte Zonenübertragungen 75
– DNS Analyse für Implementierung von
– Autoritätsursprung (SOA), Registerkarte
DNS 92
70
– DNS implementieren 91
– Benachrichtigen, auf Registerkarte
– Domänenaufteilung, in der Analyse 46
– Kennwortrichtlinien, in der Analyse 47
– Cachezeitlimit, auf Registerkarte WINS
– Organisationseinheiten, in der Analyse
73
47
– Cachezeitlimit, auf Registerkarte WINS-R
– physisches Netzwerk 42
76
– Replikation, in der Analyse 47
– Diesen Eintrag nicht replizieren, auf
– Schlüsselfragen 91
Registerkarte WINS 72
– Standorte, in der Analyse 47
– Diesen Eintrag nicht replizieren, auf
– Struktur der Benutzergemeinde 39
Registerkarte WINS-R 75
– Szenario für Implementierung von DNS
– DNS-Domäne als NetBIOS-Bereich
92
übermitteln, auf Registerkarte WINS-R
– Vorstellung 38
76
Fehlerbehebung
– Domäne, die an den zurückgelieferten
– ACLDiag 333
Namen angehängt werden soll, auf
– ADSIEdit 333
– DNS (Domain Name System) 87
– Dynamische Aktualisierung zulassen, auf
– DNSCMD 333
Registerkarte Allgemein 69
– DOMMAP 333
– erstellen 66
– DSACLS 333
– Erweitert, auf Registerkarte WINS 73
– DSAStat 333
– Erweitert, auf Registerkarte WINS-R 76
– ESEUtil 333
– Folgende Server, auf Registerkarte
– Gruppenrichtlinie 461
– NETDOM5 333
– IP-Adresse, auf Registerkarte WINS 73
– NETTest 333
– Kein Aktualisierungsintervall, auf
– NLTest 333
Registerkarte Allgemein 70
– NTDSUtil 333
– Läuft ab nach, auf Registerkarte – Liste über die Eingabeaufforderung

Autoritätsursprung (SOA) 70 erstellen 250
– Lookupzeitlimit, auf Registerkarte WINS – über die Computerverwaltung erstellen
73 252
– Lookupzeitlimit, auf Registerkarte WINS-R – über die Eingabeaufforderung erstellen
76 249
– Minimum TTL (Standard), auf – veröffentlichen 255
Registerkarte Autoritätsursprung (SOA) – Verzeichnis mit Explorer freigeben 251
71 Freigabeprobleme 855
– Namenserver, Registerkarte 71 Freigegebene Ordner 38
– Nur an folgende Server, auf Registerkarte FriendlyName 519
– Nur an Server, auf Registerkarte G
Gemischter Modus 218, 907
– Primärer Server, auf Registerkarte
– Auswirkung 219
Gesamtstruktur 907
– Ressourceneinträge für veralteten
– erstellen 119, 130
Aufräumvorgang, auf Registerkarte
– Hierarchie 112
Allgemein 69
Geschäftsregeln, Gruppenrichtlinie 357
– Seriennummer, auf Registerkarte
Global
– Gruppe 217
– Server, die auf der Registerkarte für
– verwenden 222
Namenserver aufgelistet sind, auf
– vordefinierte Gruppen 226
– Domänenmodus 220
– Status, auf Registerkarte Allgemein 69
Globalen Katalog 855
– TTL für diesen Eintrag, auf Registerkarte
Globaler Katalog
– Datenverkehr, Probleme 29
– Typ, auf Registerkarte Allgemein 69
– Domäne 29
– Verantwortliche Person, auf Registerkarte
GPC (Group Policy Container) Siehe
Gruppenrichtlinien-Container
– Wiederholungsintervall, auf Registerkarte
GPCs 803
GPO 803, 867
– WINS, Registerkarte 72, 75
GPO (Group Policy Objekt) Siehe
– WINS-Forward-Lookup verwenden, auf
Gruppenrichtlinienobjekt
Registerkarte WINS 72
GPO-Gültigkeitsbereich 661, 907
– WINS-R-Lookup verwenden, auf
GPO-Rangfolge 760
GPO-Vererbung 661, 907
– Zonendateiname, auf Registerkarte
GPT (Group Policy Template) Siehe
Allgemein 69
Gruppenrichtlinienvorlage
– Zonenübertragung, Registerkarte 73
GPTs 803
– Zonenübertragungen zulassen, auf
Gruppe 908
– Auswirkung des Domänenmodus 219
FQDN (Fully Qualified Domain Name) 54
– Berechtigungen 223
– administrative Vorlage 434
– Berechtigungen für GPO 386
– auflösen 56
– Domänen-Admins 226
– Bestandteile 55
– domänenlokale verwenden 221
Fragen mit geordneten Listen 842
– Eigenschaften bearbeiten 228
Transitive Standortverknüpfung 151
– global 217, 907
Freigabe 907
– globale verwenden 222
– DFS (Distributed Files System) 252
– Gruppenrichtlinienverarbeitung 364
– Drucker (nicht Windows 2000) in Active
– hinzufügen 227
Directory veröffentlichen 256
– Identitäten 226 – DFÜ-Verbindung 422

– integrierte (Builtin) 223 – DNS-Client 434
– löschen 229 – Drucker 419, 438
– lokal 217, 910 – durchsetzen 398
– Mitglied von, Registerkarte 185 – erstellen 369
– Modus (gemischt/einheitlich) 218 – erweiterte Berechtigungen 390
– Registerkarte Allgemein 229 – Fehlerursachen 463
– Registerkarte Mitglied von 229 – filtern 400
– Registerkarte Mitglieder 229 – Funktionen für den Administrator 356
– Registerkarte Objekt 229 – Geschäftsregeln 357
– Registerkarte Sicherheitseinstellungen – Gruppen versus Benutzer 386
229 – Gruppenberechtigungen 384
– Registerkarte Verwaltet von 229 – Gruppenrichtlinie übernehmen 383
– Richtliniensicherheit 380 – GUID (Globally Unique Identifier) 358,
– Sicherheit 217 378
– SID (Security Identifier) 229 – GUID anzeigen 359
– Strategien 221 – Implementierungsgrundsätze 461
– universell 218, 919 – Internet Explorer 409, 429
– universelle verwenden 222 – Internet Explorer-Wartung 454
– Verteiler 217 – kombinieren 366
– vordefiniert 226 – Kontrollkästchen Berechtigungen für
– domänenlokale 905 diese Objekte und/oder Container in
Gruppenrichtlinie 869 diesem Container übernehmen 394
– Active Directory 416 – Kontrollkästchen Kein Vorrang 376
– administrative Vorlage 425, 434 – Kontrollkästchen Berechtigungen für
– administrative Vorlagen, Vorteile 403 diese Objekte und/oder Container in
– Aktualisierungsregeln 365 diesem Container übernehmen 394
– Aktualisisierung 364 – Ländereinstellungen 420
– Alle untergeordneten Objekte – Microsoft Management Console 411
erstellen 383 – Microsoft NetMeeting 409, 428
– An-/Abmeldung 424 – Netzwerk- und DFÜ-Verbindungen 437
– Anmeldung 432 – Objekt (GPO) 357
– Anwendungsbereich bei administrativen – Offline-Datei 421, 437
Vorlagen 405 – Ordnerumleitung 458
– Arbeitsumgebung über administrative – Programme, Internet Explorer-Wartung
Vorlagen bereitstellen 404 457
– Auswertungsreihenfolge von – Programmzugriff über administrative
Berechtigungen 389 Vorlagen sperren 403
– Benutzerprofile und Basisordner umleiten – Proxyserver 455
404 – Regeln für Deaktivierung 396
– Benutzerumgebung verwalten 402 – Registerkarte Berechtigungseintrag 390
– Bereich 360 – Registerkarte Gruppenrichtlinie 372, 375
– Client 357 – Registerkarte Überwachung 467
– Client-Aktualisierung 365 – Registerkarte Verknüpfungen 378
– Datenträgerkontingent 433 – Registerkarte Zugriffseinstellungen 390
– deaktivieren 376, 395 – Sicherheit konfigurieren 380
– Desktop 415, 418 – Sicherheitsprotokoll 469
– Desktopeinstellungen über administrative – Sicherheitszonen, Internet Explorer-
Vorlagen aufräumen 404 Wartung 456
– Desktopumgebung, zentrale 356 – Skript erstellen 443
– Skripttypen 444 – Bereich 360

– Snap-In 405 – Container (GPC) 358
– Software 418 – deaktivieren 376, 395
– Standardberechtigungen 382 – Default Domain Controllers Policy 358
– Standards mit administrativen Vorlagen – Default Domain Policy 358
durchsetzen 403 – durchsetzen 398
– Startmenü und Taskleiste 413 – erstellen 369
– Systemsteuerung 417 – erweiterte Berechtigungen 390
– Taskplaner 412, 430 – filtern 400
– URL, Internet Explorer-Wartung 456 – Gruppen versus Benutzer 386
– Verarbeitungsregeln 368 – Gruppenberechtigungen 384
– Verarbeitungsreihenfolge 373 – Gruppenrichtlinie übernehmen 383
– Verarbeitungsreihenfolge von Skripten – GUID (Globally Unique Identifier) 358,
443 378
– Verarbeitungsschritte 364 – Implementierungsgrundsätze 461
– Vererbung 361, 395 – kombinieren 366
– Vererbungspfad 363 – Kontrollkästchen Berechtigungen für
– verweigern 384 diese Objekte und/oder Container in
– Windows Explorer 410 diesem Container übernehmen 394
– Windows Installer 413, 430 – Kontrollkästchen Kein Vorrang 376
– Windows-Dateischutz 435 – Organisationseinheit 362
– Windows-Komponenten 408 – Regeln für Deaktivierung 396
Gruppenrichtlinien 514, 596, 638, 657, 659, – Registerkarte Berechtigungseintrag 390
661, 823, 866, 873 – Registerkarte Domänen/
– Ändern von 806 Organisationseinheiten 375
– Aktualisierung von Software 548 – Registerkarte Gruppenrichtlinie 372
– Bereitstellung von Software 539 – Registerkarte Verknüpfungen 378
– Durchsetzung von 905 – Registerkarte Zugriffseinstellungen 390
– Implementierung, Fehlerbehebung 803 – Sicherheit konfigurieren 380
– Softwarebereitstellung 537 – Skript erstellen 443
Fallstudie 570 – Standardberechtigungen 382
– Softwaremanagement und -fehlersuche – Verarbeitungsregeln 368
537 – Verarbeitungsreihenfolge 373
– Verantwortungsdelegierung 804 – Verarbeitungsschritte 364
– Wartung 547 – Vererbung 361, 395
– zur Softwarebereitstellung – verknüpfen 360
Übung 575 – verweigern 384
– zur Softwareverteilung – vorkonfiguriert 358
Übung 661 – Vorlage (GPT) 358
Gruppenrichtlinien-Container 358, 803, 908 Gruppenrichtlinienobjekt (GPO) 744, 803,
Gruppenrichtlinieneditor 639 908
Gruppenrichtlinieneinstellungen, filtern 805 – Vorbereitung 513
Gruppenrichtlinienfilterung 657, 661 Gruppenrichtlinienrangfolge 908
Gruppenrichtlinienobjekt 357, 609 Gruppenrichtlinienstruktur 864
– administrative Vorlagen, Vorteile 403 Gruppenrichtlinienvererbung 659
– Aktualisierung 364 – ändern 804
– Aktualisierungsregeln 365 Gruppenrichtlinienvorlage 358, 803, 873,
– Alle untergeordneten Objekte erstellen 908
383 – GUID (Globally Unique Identifier) 358
– Auswertungsreihenfolge von – SYSVOL 359
Berechtigungen 389 Gültigkeitsdauer, TTL (Time To Live) 58
GUID (Globally Unique Identifier) 358, 378, – Gruppenrichtlinien und Standard-

685, 753, 908 Container 371
– bekannt 753 – Gruppenrichtlinienobjekt, lokal 362
– unbekannt 756 – Gruppenrichtlinienvorlage 449
– Konfigurationseinstellungen Computer/
H Benutzer deaktivieren 379
– lokales Gruppenrichtlinienobjekt 362
Hardware- und Softwareanforderungen
– Programme zum Bearbeiten der
– Active Directory 117
Registrierung deaktivieren 423
– Übungen im Buch 20
– Rollen übertragen 287
Hardwareanforderungen an den RIS-Server
– Sicherheitsprincipal 182, 198, 242, 254,
686
282, 304, 315, 325, 357f., 362f., 365,
Hardwarevoraussetzungen, Clientcomputer
371, 379, 381, 383f., 386, 389, 394, 423,
748
427, 445f., 449, 451
Hierarchie 908
– Sicherungszeitpläne bearbeiten 304
– Delegieren 115
– Snap-In Active Directory-Schema 282
– FQDN (Fully Qualified Domain Name) 55
– Standardmäßige
– Gesamtstruktur erstellen 130
Zeitüberschreitungswerte 445
– Gruppenrichtlinienvererbung 361
– Variable USERNAME 198
– Namensauflösung 57
– Verarbeitung der Systemrichtlinie 363
– Namespace 34, 52
– Vererbte Berechtigungen 242
– Organisationeinheit 115
– vorkonfigurierte GPOs 358
– Richtlinien für Organisationseinheiten
Hosteintrag 80
116
Hot Area-Fragen 839
– Stammdomänen installieren 119
– Struktur und Gesamtstruktur 112 I
– Unterdomänen erstellen 56
– Unternehmensstruktur 52 Identitäten 226
– Zonen integrieren 78 Image, Absicherung
Hintergrundprozess 908 Übung 768
Hinweis – Berechtigungen 730
– Administrative Vorlagen – Benutzer- – CD-basiertes 903
versus Computereinstellungen 427 – Deaktivierung 741
– Administratoren und Gruppenrichtlinien – Installation
384 Übung 767
– Aktualisierungsregeln (Gruppenrichtlinie) – Installation auf Clientcomputer 684
365 – Remotestartdiskette 751
– Ausgelastete Anwendungen 315 Images, Verwaltung 814
– Autokonfiguration bei DNS-Installation Image, für Remoteinstallationsdienste 708
59 Implementierung, Gruppenrichtlinie 461
– BAT- und CMD-Dateien (als Skripte) 446 Infrastrukturmaster 280, 797, 909
– Berechtigungen für eine Inkrementell
Gruppenrichtlinie 389 – Sicherung 291
– Berechtigungen verweigern 254, 383 – Zonenübertragung 85
– Dateien dem Skript-Ordner hinzufügen Installation 791
451 – der Remote-Installationsdienste,
– Eigenes Zertifikat erstellen 149 Assistent 693
– Erweiterte Berechtigungen zuweisen 394 – des Pakets mittels Gruppenrichtlinien
– Filter in Ereignisanzeige 325 Optionen 534
– GPO-Sicherheit ändern 381 – Hardware und Software, für Active
– Gruppen sind besser 386 Directory 117
– Gruppenrichtlinie unter Windows NT 3.51/ – Stammdomäne 119
4.0 357 – überprüfen, Stammdomäne 127
– Umfang der Benutzereingriffe 712 – einer Datenbank für die Analyse Ihres
– und Konfiguration von WinINSTALL LE Computers in Sicherheitskonfiguration
525 und -analyse 616
– von RIS 688 – einer Überwachungsrichtlinie 638
Installations-Manager, zusätzliche – eines Computers mit
Einstellungen 716 Sicherheitseinstellungen 624f.
Installationsordner 719 – und Implementierung einer
Integration, Zonen 86 Überwachungsrichtlinie 633
Internet 909 – von Clientinstallationsoptionen 744
– .edu-, .gov-, .com-, .org-Domänen 55 – von MMC mit dem Snap-In
– Domänenhierarchie 54 Sicherheitskonfiguration und -analyse
– NS-Einträge 56 614
– Secondlevel-Domäne 55 – von MMC mit dem Snap-In
– Toplevel-Domäne 55 Sicherheitsvorlagen 604
Internet Explorer – von Paketänderungen 556
– administrative Vorlage 410, 429 – von Paketbereitstellungsoptionen 543
– Internet Explorer-Wartung 454 – von RIS 695
– Proxyserver 455 – von Softwareaktualisierungen
Internet Explorer Administration Kit 720 Übung 579
IP (Internet Protocol), Replikation 149 – der Überwachung für Dateien und Ordner
IPCONFIG, Verwendung 90 642
IP-Sicherheitsrichtlinien 600 – der Überwachung für Drucker 646
Iterative Abfrage 909 Konfiguration von
IXFR (inkrementelle Zonenübertragung) 85 Softwarebereitstellungsoptionen, Übung
577
K Konfigurationsinformationen, Replikation
142
Katalog, globaler 855, 907
Konfigurationspartition 909
Kategorien, Register 561
Konflikte, Gruppenrichtlinienverarbeitung
Kategorisieren eines Softwarepakets 563
368
KCC (Knowledge-Konsistenzprüfer) 144
Konten 862
– Verbindungsobjekt 145
Konten wieder herstellen 856
Kein Vorrang 909
Kontenerstellung und -verwaltung 818
Kennwort zurücksetzen 863
Kontensperrung 598
Kennwortrichtlinie 871
Kontenverwaltung 634
Kennwortvorgaben 658
Konto
Kerberos 82
– Administrator 189
Klasse 909
– Benutzerkonto 188
– Domäne 31
– Computerkonto 182
Knowledge-Konsistenzprüfer (KCC) 144,
– deaktivieren 191, 208
909
– Eigenschaften ändern 192
Konfiguration 791
– Gast 189
– der Dateierweiterungspriorität für ein GPO
– hinzufügen 189
566
– Kennwort zurücksetzen 209
– der Namensoptionen 740
– kopieren 210
– der Systemsicherheit 614
– löschen 207
– der Überwachung für Active Directory-
– reaktivieren 209
Objekte 650
– umbenennen 207
– des Quellcomputers 735
– Vorlage 210
– des Servers, Assistent 689, 693
Kontorichtlinien 598
– einer Antwortdatei 710
L – Warnungen 15
– Wiederholungsfragen 15
Ländereinstellungen 717 Lernstile 827
– administrative Vorlage 420 Lernziele 595
LAN-Manager, PDC (Primärer – Verzeichnisdienst-Infrastruktur 595
Domänencontroller) 27 Löschen von Sicherheitsvorlagen 612
27, 909 Lokal, Gruppe 217
Lastausgleich Lokale Richtlinien 599
– Vorkonfiguration 752
– zwischen RIPrep-Images 739 M
LDAP (Lightweight Directory Access
Protocol) 82, 909 MAC (Media Access Control) 910
LDAP Data Interchange Format Directory Macintosh, Sicherheit 240
Exchange (LDIFDE) 212 Maßgebende Wiederherstellung 293, 309
LDAP-Server 795 Masterserver 76, 910
LDIFDE (LDAP Data Interchange Format MCDBA 924
Directory Exchange) 212 MCP 924
– Beispieldatei 214 – Prüfungen 830
Leistungsindikator, Leistungsprogramm MCP + Internet 924
331 MCP + Site Building 924
Leistungsmanagement 820 MCSD 925, 933
Leistungsprogramm MCSE 924
– Leistungsindikator 331 MCSE + Internet 924
– Leistungsprotokolle 332 MCSE-Prüfung
– Nutzen 330 – Internet-Adressen 16
– Objekt 330 – Themenübersicht 16
Leistungsprotokolle, Leistungsprogramm – Tipps, allgemeine 21
332 MCT 925, 937
Lernhilfe – Guide 937
– ExamGear 15 Mehrsprachige Bereitstellung 750
– Fallstudie 15 Methode 910
– Hinweise 15 – Datenbank 35
– Organisation des Buchs 14 – Objekt 35
– praktische Testaufgaben 15 – Verb 35
– Prüfungstipps 14 Microsoft Certified Database
– Schlüsselbegriffe 15 Administratoren (MCDBA) 924
– Schlüsselbegriffe 2. Kapitel 94 Microsoft Certified Professional (MCP) 924
– Tipps für das Selbststudium 14 Microsoft Certified Professional + Internet
– Tipps für das Selbststudium zu Active (MCP + Internet) 924
Directory-Dienste verwalten 180 Microsoft Certified Professional + Site
– Tipps für das Selbststudium zu Active Building (MCP + Site Building) 924
Directory-Struktur aufbauen 110 Microsoft Certified Solution Developer
– Tipps für das Selbststudium zu DNS für (MCSD) 925, 933
Active Directory konfigurieren 52 Microsoft Certified Systems Engineer
– Tipps für das Selbststudium zu (MCSE) 13, 924
Gruppenrichtlinien zum Verwalten von Microsoft Certified Systems Engineer +
Benutzern 355 Internet (MCSE + Internet) 924
– Tipps für das Selbststudium zu Server Microsoft Certified Trainer (MCT) 925, 937
verwalten 278 Microsoft Management Console 597
– Tipps zum Selbststudium zu Grundlagen – administrative Vorlage 411
von Active Directory 25 Microsoft NetMeeting, administrative
– Tipps, allgemeine zur Prüfung 21 Vorlage 409, 428
Microsoft Official Curriculum (MOC) 937 Netzwerkdienst, Registrierung 82

Mitgliedsserver 861 Netzwerkkonfiguration, Verwaltung mittels
MMC-Snap-In, Sicherheitskonfiguration und Gruppenrichtlinien 809
-analyse 613 Netzwerkmonitor 855, 911
MOC 937 – Promiscuous-Modus 328
MOVETREE 258, 910 Neubereitstellung eines Pakets mittels
MSI-Datei 514 Gruppenrichtlinien 553
MST-Datei 556 Neue Sicherheitsvorlage hinzufügen 608
Multiple-Choice-Fragen 836 Neustart der Installation 746, 750
Multiple-Rating-Fragen 836 Nicht maßgebende Wiederherstellung 304
Musterprüfung 849 NLTest 333
Notebooks bereitstellen 749
N NS-Eintrag, separate Zonen 56
NSLOOKUP 911
Nachher-Bild
– Verwendung 89
– des Referenzcomputers 529
NTDSUTIL 911
– Erstellung 529f.
– authoritative restore 310, 312
– vom Referenzcomputer 530
– Optionen 312
Name, definierter 904
– restore subtree 310
Namenserver 54, 910
– Rolle überschreiben 286
– NS-Einträge 56
– seize 286
– Registerkarte 71
NTDSUtil 333
Namensoptionen 740
NTFS 911
Namespace
– Berechtigungen 253
– DNS (Domain Name System) 33
NTFS-Ordner 644
– Domänen-Namensmaster 34
NTFS-Partition 641f.
– FQDN-Bestandteile 55
Nutzungstrends, Verfolgung 637
– hierachisches Modell 34
– hierarchische Unternehmensstruktur 53 O
– Internet 54
– suchen 33 Objekt 911
Nativer Modus 911 – Active Directory 34
NET SHARE 249f. – Assistent für die Objektverwaltung 247
NETDOM5 333 – auffinden 818
NetLogon 911 – Benutzer 37
– Änderungen durch Active Directory 81 – Berechtigung 240
Netlogon – Berechtigung einstellen 241
– Format von NETLOGON.DNS 83 – Berechtigungsvererbung blockieren 246
– Inhalt von NETLOGON.DNS 82 – Collections 35
– Speicherungsort, Einträge 82 – Computer 37
– starten und stoppen 91 – Container, ansehen als 35
NETLOGON.DNS – Drucker 37
– Format 83 – Eigenschaft 35
– Inhalt 82 – erweiterte Berechtigung einstellen 242
NetPC Boot Service Manager (BINLSVC) – Erweiterte Funktionen 240
759 – freigegebene Ordner 38
NETTest 333 – Gruppe 37
NetWare 911 – Leistungsprogramm 330
NetWare 3.12 26 – Methode 35
– Anmeldung, mehrfache 27 – MOVETREE 258
Netzwerkbetriebssystem (NOS) 911 – Objektverwaltung zuweisen 247
– Registerkarte 141 Planung einer Überwachungsrichtlinie 636

– SID (Security-ID) 239 POSIX, Sicherheit 240
– suchen 231 Primär
– Vererbung 246 – Seriennummer vergleichen, Zone 85
– verschieben 257 – Server 62
Objektberechtigung 911 – Speicherungsort, Zone 62
Objekt, in Active Directory – Zone, konfigurieren 67
Delegieren der administrativen Primärer Domänencontroller (PDC) 912
Zuständigkeit 819 Prioritäten für Dateinamenserweiterungen
Objektzugriffsereignisse 641 565
Objektzugriffsversuche überwachen 635 Privilegien 522
Obligatorische Aktualisierung 547 Protokollierung, Snap-In DNS 88
Obligatorische Entfernung 554 Protokollprüfung 637
Offline-Datei, administrative Vorlage 421, Prozess 912
437 Prozessverfolgung 635
Optionale Aktualisierung 548 Prüfung
Optionale Entfernung 555 – der überwachten Ereignisse 654
Ordnerumleitung 912 – Fähigkeitsbewertung 833
– Gruppenrichtlinie 458 – Fallstudien 834
Organigramm – festes Format 831
– Domänenstruktur 113ff. – Formate 831
– Unternehmen 113ff. – Fragetypen 835
Organisation 912 – Punktestand 833
Organisationseinheit (OU) 115, 852, 912 – Studienhinweise 828
– Banyan Vines 28 – Tipps zur Vorbereitung 827
– Beispiel 116 Prüfungen Siehe auch Examen
– erstellen 239 Prüfungsthema
– Gruppenrichtlinienobjekt 362 – Installation, Konfiguration und
– Objektverwaltung zuweisen 247 Fehlerbehebung von DNS für Active
– Richtlinien für den Einsatz 116 Directory 51
Organisationseinheitenstruktur 798 – Verwalten, Überwachen und
OU (Organisationseinheit) 115 Fehlerbehebung des DNS 51
PTR-Eintrag 80
P Publisher 520
PXE (Pre-Boot Execution Environment) 913
Packung von Software für die Bereitstellung
PXE-kompatible Netzwerkkarte 749
515
Paketänderung 912 Q
Paketbereitstellungsoptionen 543
Paketdatei (MSI) 553 Quellcomputer 913
– neue 553
Paketentfernung R
– erzwungene 906
RAS (Remote Access Service) 124, 130f.,
– optionale 912
913
Paketentfernungsoptionen, Auswahl 556
– administrative Vorlage 422
Paketinstallation entfernt andere Dateien
Recht 913
569
– zur Erstellung von Computerkonten 705
PCMCIA/PC-Karten 684
Rechteverwendung 635
PDC (Primärer Domänencontroller) 32
Redirector 913
– LAN Manger 27
Redirector-Dienst 26
PDC-Emulator 280, 796, 912
Regeln, Gruppenrichtlinie 360
Pflichtexamen 926
Registrierung 599, 661, 913 – universelle Gruppe 218

– Bearbeitung deaktivieren 423 – USN (Update Sequence Number) 143
– Netzwerkdienste 82 – USN-Konflikt 143
Remote Access Service (RAS) 124, 130f. – Verbindungsobjekt 145
Remote-Installation ausführen 739 – zwischen Standorten 146
Remote-Installationsdienste (RIS), Übersicht REPLMon 334
682 Resolver 54, 914
679, 682, 810, 864f., 913 – FQDN auflösen 56
– Anforderungen auf Clientseite 683 – iterative Namensauflösung 57
– Fallstudie 760 – rekursive Namensauflösung 57
– Fehlersuche 758 Ressource 914
– Konfiguration 693 – Serverdienst und Arbeitsstationsdienst
– Konfigurationsschritte 685 26
– Voraussetzungen 682 – suchen 32
– Windows 2000, Installationsschritte 684 Ressourcenveröffentlichung 817
Remote-Installationsdienste (RIS), Ressourcenzugriff, Überwachung 640
Installation, Übung 766 restore subtree 310
Remote-Installationsoptionen, Konfiguration Reverse-Lookup 914
811 – Arbeitsweise 62
Remote-Installationsvorbereitung, Assistent, – NSLOOKUP 90
Aufgaben 737 Reverse-Lookupeintrag 80
Remote-Prozeduraufruf (RPC) 149 Reverse-Lookupzone
Remote-Startdiskette 751, 914 – erstellen 63
– Erstellung 751, 811 – konfigurieren 75
Remotestartdiskette, Erstellung, Übung Richtlinien
770 – öffentlicher Schlüssel 598, 600
REPAdmin 334 – zur Sicherheitsüberprüfung 633
Replikation 914 Richtlinienänderungen überwachen 635
– Bridgehead-Server konfigurieren 150 Richtlinienvererbung, Blockieren 903
– Datenkompression 146 RID-Master 280, 796, 914
– Domänendaten 142 – SID 280
– Domänenpartition 47 RIPrep (Remote Installation Preparation)
– Ebenen 142 733
– Informationen 142 RIPrep-Image 682, 708, 914
– innerhalb Standort 144 – Erstellung 733
– IP (Internet Protocol) 149 – Kopieren auf den RIS-Server 737
– KCC (Knowledge-Konsistenzprüfer) 144 – oder CD-basiertes Image 734
– Konfigurationsinformationen 142 RIS (Remote Installation Services)
– Kontrolle durch Domänen 112 – Installation, Möglichkeiten 688
– Remote-Prozeduraufruf (RPC) 149 – Konfiguration 695
– Schema 142 – Notebooks 749
– Schemapartition 143 – Softwarevoraussetzungen 687
– Sicherheitsgrenze Domäne 112 RIS (Remote Installation Services) (Remote
– Skriptdateien 449 Installation Services) 681
– SMTP (Simple Mail Transport Protocol) RIS (Remote Installation Services),
149 Konfiguration, Übung 767
– standortintern 149, 822 RIS (Remote Installation Services), Remote-
– standortübergreifend 146, 149, 822 Installationsdienst 679
– Standortverknüpfungsbrücke 151 RIS(Remote Installation Services),
– strukturierte Domäne 33 Installation auf Windows 2000 Server-
– Topologie 144 Computer 688
RIS-Clientcomputer – Berechtigung zum Verwalten eines GPO

– Installation eines Image 811 zuweisen 389
– Vorkonfiguration – Berechtigung zur Verwendung einer GPO
Vergabe von Rechten 816 zuweisen 381
RIS-Image 914 – Berechtigungen für freigegebene Ordner
RIS-Probleme, Fehlerbehebung 812 einstellen 254
RIS-Server 914 – bestehender Domäne zusätzlichen
– Autorisierung 702 Domänencontroller hinzufügen 128
– Einrichtung 688 – Betriebsmasterrolle überschreiben 286
– Hardwareanforderungen 686 – Bridgehead-Server konfigurieren 151
– Optionen konfigurieren 739 – Computer im Verzeichnisdienst-
RIS-Sicherheit, Konfiguration 702, 815 wiederherstellung starten 306
Rolle – Computerkonto hinzufügen 183
– Betriebsmaster 282 – Domänencontroller für globalen Katalog
– Domänennamensmaster 280, 283f. konfigurieren 289
– Infrastrukturmaster 280 – Domänencontroller verschieben 147
– PDC-Emulator 280 – Domänenmasterrollen übertragen 285
– RID-Master 280 – Domänenmodus ändern 218
– Schemamaster 280, 282 – Drucker (nicht Windows 2000) in Active
– Serverrollen 280 Directory veröffentlichen 256
– überschreiben 286 – Drucker suchen 236
RPC, Remoteprozeduraufruf 149 – Einstellungen einer administrativen
RPC (Remote Procedure Call) 914 Vorlage für eine Gruppenrichtlinie
bearbeiten 440
S – Ereignisprotokoll auf Remote-System
anzeigen 321
SACL (System Access Control List) 240
– Ereignisprotokoll filtern 325
Sammlung 915
– Ereignisprotokoll konfigurieren 319
Schema 32, 915
– Erweitertes Suchen 234
– Replikation 142
– Forward-Lookupzone konfigurieren 68
– Schema-Admins 226
– Freigabe in Active Directory
– Schema-Master 32
veröffentlichen 255
– Snap-In 282
– Freigabe über die Computerverwaltung
Schemamaster 280, 796, 862, 915
erstellen 252
– Domänenmodell 32
– Freigabe über die Eingabeaufforderung
– Rolle übertragen 282
erstellen 249
Schemapartition 915
– Gruppe hinzufügen 227
– Replikation 143
– Gruppe löschen 229
Schreiboperation, ursprüngliche 919
– Gruppeneigenschaften bearbeiten 228
Schritt-für-Schritt-Anleitung
– Gruppenrichtlinie filtern 400
– Active Directory installieren 119
– Gruppenrichtlinienvererbung deaktivieren
– Aktualisieren der USN zum
396
Wiederherstellen eines Objekts 310
– Gruppenrichtlinienvererbung
– Assistent für die Objektverwaltung 247
durchsetzen 399
– Benutzerkennwort zurücksetzen 209
– GUIDs der Gruppenrichtlinie anzeigen
– Benutzerkonto deaktivieren 208
359
– Benutzerkonto hinzufügen 189
– Installation des DNS-Dienstes 60
– Benutzerkonto kopieren 210
– Liste der Freigaben über die
– Benutzerkonto löschen 207
Eingabeaufforderung erstellen 250
– Benutzerkonto reaktivieren 209
– Nach Personen in Active Directory suchen
– Benutzerkonto umbennen 207
236
– Benutzerkontoeigenschaften ändern 192
– Objekt suchen 231 – Verbindungsobjekt manuell erstellen 145

– Objekt zwischen Organisationseinheiten – Vererbung von Berechtigungen
verschieben 257 blockieren 246
– Objektberechtigung einstellen 241f. – Verzeichnis mit Explorer freigeben 251
– Organisationseinheit erstellen 239 – Wiederherstellen eines
– Reverse-Lookupzone erstellen 63, 66 Domänencontrollers über die
– Schemamasterrolle übertragen 282 Replikation 306
– Sekundären Server konfigurieren 84 – Wiederherstellung ausführen 304
– sekundären Server konfigurieren 77 – Windows 2000 DNS für ältere BIND-
– Server für globalen Katalog konfigurieren Server konfigurieren 87
155 SDCheck 334
– Sicherung planen 301 Security, Registrierungsschutz 603
– Sicherung über den seize, NTDSUTIL 286
Sicherungsassistenten durchführen Sekundär, Server 76
295 Server
– Skripte zur Verwendung in – Betriebsmaster 279
Gruppenrichtlinie implementieren 447 – Bridgehead 150
– Spalten im Task-Manager hinzufügen – Cache-only 61
315 – Domänennamensmaster 280
– Speichern und Laden von – globaler Katalog 142, 154, 288
Ereignisprotokollen 327 – Infrastrukturmaster 280
– Stammserver einer Gesamtstruktur – IPCONFIG verwenden 90
hinzufügen 131 – iterative Namensauflösung 57
– Standort der Rolle des – maßgebende Wiederherstellung 293,
Domänennamensmaster ändern 284 309
– Standort erstellen 134 – Masterserver 76
– Standort löschen 136 – Namensauflösung, Prozess 57
– Standort umbenennen 135 – Namenserver 54, 56
– Standortverknüpfung erstellen 149 – Netlogon-Dienst 81
– Standortverknüpfungsbrücke erstellen – nicht maßgebende Wiederherstellung
153 304
– Subnetz erstellen 138 – NSLOOKUP verwenden 90
– Subnetz löschen 139f. – PDC-Emulator 280
– Systemstatusdaten wiederherstellen 307 – primär 62
– Transitive Standortverknüpfung – Proxyserver, Internet Explorer-Wartung
abschalten 152 455
– Über den Computer der Domäne den – Registerkarte Namenserver 71
Computer hinzufügen 183f., 186ff., – Registerkarte WINS 75
192, 207ff., 218, 227ff., 231, 234, 236, – rekursive Namensauflösung 57
239, 241f., 246f., 249ff., 254ff., 282, – RID-Master 280
284ff., 289, 295, 301, 304, 306f., 310, – Rolle überschreiben 286
315, 319, 321, 325, 327, 359, 370, 381, – Rollen 61, 280
389, 396, 399f., 440, 447, 465 – Schemamaster 280
– Überprüfen Ihres Computernamens 59 – sekundär 76
– Überprüfen, ob Active Directory installiert – sichern 290
ist 127 – Stammserver 131
– Überwachung für Gruppenrichtlinie – TTL (Time To Live) 58
konfigurieren 465 Server für globalen Katalog 288, 795, 915
– Untergeordnete Domäne einer – erstellen 154
Domänenstruktur hinzufügen 129 – primärer 912
– Replikation 142 – inkrementell 291

– sekundärer 915 – Sicherung planen 301
– Autorisierung 815 – Sicherungsarten 290
Serverdienst 26 – Sicherungs-Assistent 295
Serverinstallation, Optionen 739 – Systemstatus 292
Serviceeintrag 80 – Systemstatus wiederherstellen 307
SetupCommand 519 – Zugriff auf Sicherungsdaten verhindern
Setup-Informationsdatei (SIF) 709 292
Sicherheit Sicherungsdomänencontroller (BDC) 916
– ACE (Access Control Entry) 240 SID (Security Identifier) 31
– administrative Vorlage 402 – Computerkonto 186
– Benutzerumgebung 402 – Gruppe 229
– DACL (Discretionary Access Control List) – Objekt 239
36, 240 – RID-Master 280
– Domäne 112 – Zugriffstoken 36
– Gruppe 217 SID (Sicherheitskennung) 916
– Gruppenberechtigungen 223 SIDWalker 334
– Gruppenrichtlinie 379 SIF-Datei 730
– Gruppenrichtlinie übernehmen 383 Simple Mail Transport Protocol (SMTP),
– Gruppen-SID 229 Replikation 149
– Kontext 36 Simulationsfragen 836
– SACL (System Access Control List) 240 Single Instance Store (SIS) 683
– Sicherheitsprincipal 182 SIS 683
– Vererbung 246 SIS-Dienst (Single Instance Store) 697, 916
– Zugriffstoken 36, 239 Skript
Sicherheitsanforderungen, Durchsetzung – administrative Vorlage 443
655 – ADSI 215
Sicherheitseinstellungen 597 – Benutzerkonfiguration 443
– Registerkarte 141 – Computerkonfiguration 443
Sicherheitsereignisprotokoll 653 – GPO 443
Sicherheitsereignisse 826 – Gruppenrichtlinie 443
– Überprüfung und Überwachung 653 – implementieren, in Gruppenrichtlinie 446
Sicherheitsgruppe 659, 915 – Replikation bei
Sicherheitsinformationen 915 Gruppenrichtlinienskripten 449
Sicherheitskonfiguration 601 – Typen 444
Sicherheitskonfiguration und -analyse 661, – Verarbeitungsreihenfolge in
825, 916 Gruppenrichtlinien 443
Sicherheitskontext 36, 916 Skriptrichtlinien, Zuordnung 807
Sicherheitslösungen, Konfiguration, SMTP (Simple Mail Transfer Protocol) 917
Verwaltung, Überwachung, – Replikation 149
Fehlerbehebung 822 Snap-In
Sicherheitsprincipal 182, 916 – Active Directory-Benutzer und -Computer
Sicherheitsrichtlinien 659ff., 874 182
Sicherheitsrichtlinientest, Übung 663 – Active-Directory-Schema 282
Sicherheitsvorlage 603, 660f., 825, 916 – Adminpak.msi 282
– Erstellen, Ändern und Löschen von 613 – Computerverwaltung 251
– in Windows 2000 601 – DNS, Protokollieren und Überwachen 88
Sicherheitsvorlagendatei 626 – DNS, Registerkarte Protokollieren 88
Sichern und Wiederherstellen 798 – DNS, Registerkarte Überwachen 89
Sicherung 861, 916 – Ereignisanzeige 318
– Berechtigungen 291 – Gruppenrichtlinie 405
– differenziell 290 Snap-In hinzufügen/entfernen 604
SOA-Datensatz (Start of Authority) 917 Standort 792, 859, 917

Software – Betriebsmaster 281
– administrative Vorlage 418 – Brücke 151
– Bereitstellung mittels Gruppenrichtlinien – Datenkompression 146
807 – Definition 132
– Entfernen 554 – Domänenbetriebsmaster 281
– Verwaltung und Fehlerbehebung mittels – Domänennamensmaster 283
Gruppenrichtlinien 807 – Eigenschaften 137
– Wartung mittels Gruppenrichtlinien 808 – erstellen 134
– Zuweisung an Benutzer und Computer – löschen 136
538 – Netzwerkpfad 145
Softwarebereitstellung 513, 537, 865 – Replikation innerhalb 144
– Bereitstellungsphase 513 – Replikationstopologie 144
– Entfernung 514 – Standortverknüpfungsbrücke erstellen
– Fehlersuche 568 153
– Fehlersuche bei verbreiteten – Transportprotokoll 149
Problemen 809 – übergreifende Replikation 146
– Management 556 – umbenennen 134
– mittels Gruppenrichtlinien 537, 539 – verknüpfen 148
– Probleme, Ursachen, Lösungen 568 – Verknüpfung abschalten 152
– Vorbereitung 513 – Verknüpfung erstellen 149
– Wartung 514 Standortverknüpfung 148, 793, 917
Softwarebereitstellungs-Lebenszyklus 513 – abschalten 152
Softwarekategorien 559, 917 – erstellen 149
– Gruppierung von Paketen 562 – Kosten, auf Registerkarte Allgemein 150
– innerhalb Domänen 560 – Registerkarte Allgemein 150
– Zuordnung eines Softwarepakets 563 – Replizieren alle, auf Registerkarte
Softwaremanagement und -fehlersuche Allgemein 150
537 – Standorte in dieser Standortverknüpfung,
Softwaremodifikationsdateien 556 auf Registerkarte Allgemein 150
Softwarepakete – transitive 151
– Veröffentlichung von 920 – Transportprotokoll 149
– Zuweisung von 922 – Zeitplan ändern, auf Registerkarte
Softwareverteilungsfreigabe 531 Allgemein 150
Softwareverteilungspunkt, Hinweise zum Standortverknüpfungsbrücke 794, 917
Kopieren der Pakete 531 – abschalten 152
Softwarevoraussetzungen für RIS 687 – Beispiel 151
Speichern – erstellen 151, 153
– von MMC-Konsoleinstellungen 607 – transitiv 151
– von Sicherheitsvorlagen 608 Start-/Beendigungsskripte 917
Sprachen 718 Startmenü, administrative Vorlage 413
SRV-Datensätze 917 Struktur
Stammdomäne 33, 917 – Gesamtstruktur erstellen 130
– Secondlevel 33 – Hierarchie 112
– Toplevel 33 Strukturfragen 842
Standard-Antwortdatei 708 Subnetz 793, 852, 918
Standards (Unternehmen), administrative – erstellen 138
Vorlagen 403 – löschen 139
Standardsicherheitsstufe 601 – Registerkarte 141
Standardsicherheitsvorlagen 660 – Registerkarten beim Verschieben 141
– Standort 132 Transitive Standortverknüpfung, abschalten

– verschieben 140 152
Sylvan Prometric Testing Center 923 Trivial File Transfer Protocol (TFTP) 683
Systemausfall 799 Trockentraining 829
Systemdienste 599 TTL (Time To Live) 58, 919
Systemereignisse überwachen 635
SYSTEM-Konto 918 U
Systemkonzept, Active Directory 32
Überwachen, Snap-In DNS 89
Systemmonitor 331, 855, 918
Überwachung 661, 919
Systemrichtlinie
– des Zugriffs auf Dateisystemobjekte 640
– Verarbeitung 363
– des Zugriffs auf Druckerobjekte 645
– Windows NT 3.51/4.0 357
– Gruppenrichtlinie 465
Systemstatus
– Registerkarte, in Active Directory-
– sichern 292
Benutzer und -Computer 467
– wiederherstellen 292, 307
Überwachungseintrag 648
Systemstatusdaten 918
Überwachungsereignisse 654
Systemsteuerung, Software 537
Überwachungsfokussierung 653
SYSVOL 292, 918
Überwachungsrichtlinie 661, 919
– Gruppenrichtlinienvorlage 359
– Implementierung 595
T Überwachungsrichtlinien 640, 653, 660,
826, 870
Tabelle 918 – Einrichtung 638
Tags 870 Übung
Taskleiste, administrative Vorlage 413 – Administrative Kontrolle der
Task-Manager 918 Gruppenrichtlinie delegieren 485
– Domänencontroller überwachen 313 – Anmeldeskript der Gruppenrichtlinie
Taskplaner 596 verifizieren 483
– administrative Vorlage 412, 417, 430 – Benutzer lokalisieren 264
– Windows Installer 430 – Delegation der administrativen Kontrolle
TCP/IP über die Gruppenrichtlinie testen 486
– Schlüsselkomponente in Active Directory – DNS-Dienst installieren 95
132 – DNS-Server vorbereiten 159
– Subnetz 132 – Domänencontroller wiederherstellen 339
Telefonie 717 – Dynamische Aktualisierung
Terminalserver, Registerkarten konfigurieren 97
Benutzerkonto 200 – Filtern der Gruppenrichtlinie testen 488
Terminalserver-SID 603 – Freigabe veröffentlichen 265
Testlets 834 – Gruppenrichtlinien der administrativen
TFTP (Trivial File Transfer Protocol) 683, Vorlage verifizieren 480
918 – Gruppenrichtlinienobjekt für Benutzer
Tipps für das Selbststudium erstellen 478
– Active Directory-Dienste verwalten 180 – Gruppenrichtlinienobjekt für Computer
– Active Directory-Struktur aufbauen 110 erstellen 477
– DNS für Active Directory konfigurieren 52 – Gruppenrichtlinienvererbung filtern und
– Grundlagen von Active Directory 25 deaktivieren 487
– Gruppenrichtlinien zum Verwalten von – Gruppenrichtlinienverknüpfung und
Benutzern 355 Anmeldeskripteinstellungen
– Server verwalten 278 verifizieren 484
Transcript 938 – Installation von Active Directory
Transformationsdateien (MST) 556f., 919 verifizieren 161
– Konten in Active Directory erstellen 261 V

– Maßgebende Wiederherstellung
durchführen 341 Verb, Methode 35
– Mit Serverrollen arbeiten 337 Verbindung, Netzwerkpfad 145
– Objekte in Active Directory verschieben Verbindungsfreigabe, administrative
264 Vorlage 437
– Objektverwaltung für Verbindungsobjekt 145, 795, 920
Organisationseinheit zuweisen 263 – erstellen, manuell 145
– Organisationseinheiten erstellen 262 – KCC (Knowledge-Konsistenzprüfer) 145
– Organisationseinheiten, Benutzer und – Netzwerkpfad 145
Gruppen erstellen und den Vererbung 920
Domänencontroller verschieben 476 – deaktivieren 395
– Richtlinien über An- und Abmeldeskripte – durchsetzen 398
implementieren 481 – Gruppenrichtlinie 361, 395
– Sekundären Domänencontroller – Pfad bei Gruppenrichtlinien 363
hinzufügen 162 Vergleichen, Konfiguration 618
– Stammdomänencontroller installieren Veritas Software Console 532
160 – Paketdateiliste 535
– Standorte und Replikation verwalten 163 Verkehr 920
– Systemstatusdaten sichern 338 Verknüpfen, Gruppenrichtlinienobjekt 360
– Vorhandenes GPO mit einer OU Verknüpfung
verknüpfen 483 – einer Antwortdatei 724
– Zonen erstellen 95 – von Dateierweiterungen mit
– Zonenübertragung konfigurieren 97 Anwendungen 564
Umpacken einer Anwendung, Schritte 523 Veröffentlichung
UNC (Universal Naming Convention) 197, – Eigenschaften 521
249 – von Software 537
Uneingeschränkter Zugriff 242 Verschieben von Objekten 796
Universal Naming Convention (UNC) 197, Verteilergruppe 920
249 Vertrauensstellung
Universell – Active Directory 29
– Gruppe 218 – Domänenverkehr 29
– verwenden 222 – globale Liste 29
– Domänenmodus 219 Vertrauensverhältnis 920
UNIX-Server 861 Verweigern,
Untergeordnete Domäne hinzufügen 129 Gruppenrichtlinienberechtigung 383
Unternehmensstruktur Verwendung
– Hierarchie 52 – einer vorhandenen Sicherheitsvorlage
– Organigramm 113ff. 610
– Unterdomänen erstellen 56 – von Gruppenrichtlinien zur Anwendung
– Zonen integrieren 78 von Sicherheitseinstellungen 628
Update Sequence Number (USN) 143 – von Sicherheitskonfiguration und -
UPN (User Principal Name) 189 analyse 613
URL 520 Verzeichnis 920
User Principal Name (UPN) 189 Verzeichnisdienst
USN (Update Sequence Number) 143, 919 – Anmeldung in Windows 2000 36
– aktualisieren 310 – Anmeldung, mehrfache unter NetWare
– maßgebende Wiederherstellung 293 3.12 27
– Arbeitsstationsdienst 26
– Attribut 31
– Attributtyp 31
– Banyan Vines, Hierarchie 28
– Berechtigung in Active Directory 239 – bekannte GUID 753

– CSVDE 214 – unbekannte GUID 756
– Domänenmodell, Schwierigkeiten in den Vorkonfigurieren 921
Anfängen 29 VPN (Virtual Private Network) 157
– Grundlagen 26 VUE (Virtual University Enterprises) 923
– Hierarchie, unter Banyan Vines 28
– hierarchische Unternehmensstruktur 53 W
– Klasse 31
Wahlexamen 927
– LAN Manager 27
Warnung
– LDIFDE (LDAP Data Interchange Format
– Aktualisierungshäufigkeit 332
Directory Exchange) 212
– Kennwort für Dienstkonto 210
– maßgebende Wiederherstellung 293,
– Lesen-Berechtigung 292
309
– Wiederherstellung auf FAT-Partitionen
– Modus, Verzeichnisdienst-
305
wiederherstellung 306
Wartung von Softwarepaketen 547
– Namensvergabe, hierarchisches Modell
Weitergabe von Sicherheitseinstellungen
53
630
– Namespace, unter X.400 28
Wiederherstellung 798f., 921
– NetWare 3.12 26
– Domänencontroller 305
– nicht maßgebende Wiederherstellung
– maßgebende 293, 309, 910
304
– nicht maßgebende 304
– Objekt suchen 230
– Systemstatus 292, 307
– Organisationseinheit, unter Banyan Vines
Windows 2000 921
28
– Bereitstellung mittels Remote -
– PDC (Primärer Domänencontroller) 27
Installationsdiensten 810
– Programme für Verzeichnisaustausch
– Druckerobjekt 37
211
– Explorer.exe 36
– Redirector-Dienst 26
– Gruppenobjekt 37
– Serverdienst 26
– Installation mit RIS 684
– SID (Security Identifier) 31
– Installationsmethoden 681
– wiederherstellen 292
– Remote-Installationsdienste 681
– Windows for Workgroups 3.11 26
– SID (Security Identifier) 31
– Windows NT 4.0 27
– Zugriffstoken 36
– X.400, Spezifikationen von 28
Windows 2000 Professional-Image,
– zentralisieren, Verzeichnisse unter LAN
Absicherung, Übung 770
Manager 27
Windows 2000 Resource Kit
Verzeichnisdienst-Infrastruktur 597
– ACLDiag 333
Verzeichniskontext 740
– ADSIEdit 333
Virtual Private Network (VPN) 157
– DNSCMD 333
Virtual University Enterprises (VUE) 923
– DOMMAP 333
Vollqualifizierter Domänenname (FQDN)
– DSACLS 333
54, 920
– DSAStat 333
Vollständig, Zonenübertragung 85
– ESEUtil 333
Voraussetzungen für Clientcomputer 748
– NETDOM5 333
Vordefiniert, Gruppen 226
– NETTest 333
Vordergrundprozess 920
– NLTest 333
Vorher-Bild
– NTDSUtil 333
– Erstellung 525
– REPAdmin 334
– vom Referenzcomputer 525
– REPLMon 334
Vorher-Schnappschuss 529
– SDCheck 334
Vorkonfiguration eines Clientcomputers
– SIDWalker 334
752
Windows 2000, Bereitstellung mit Remote- Z

Installationsdiensten, Übung 771
Windows 2000-Track 926 ZAP-Datei 517f., 922
Windows 2000-zertifiziert 515 – Anwendungen zur sicheren Verteilung
Windows Explorer, administrative Vorlage 522
410 – Eigenschaften 521
Windows for Workgroups 3.11 26 – Erstellung 518
Windows Installations-Manager, Installation – Grenzen 521
709 ZAP-Dateiabschnitte 518
Windows Installer 515 – Application 519
– administrative Vorlage 413 – Ext 520
– Hauptkomponenten 516 Zertifizierung 923
– Vorbereitung 513 – Anforderungen 925
– Vorteile 516 – ftp 16
Windows Installer unter NT 4.0 515 – Inhaltsübersicht 16
Windows Installer-Dienst 516, 921 – MCT 937
Windows Installer-Paket 514, 516, 921 – Tipps, allgemeine 21
Windows Installer-Paketdatei, Änderung mit – Transcript 938
Drittanbieter-Tools 532 – von Anwendungen 515
Windows Installer-Technologie 516 Zielcomputer 922
Windows NT 921 Zone 922
– Domänenmodell, Schwierigkeiten in den – Active Directory-integriert 86
Anfängen 29 – Änderungen durch Active Directory 81
– Domänenstruktur 34 – Aktualisierung, Fälle 80
– SID (Security Identifier) 31 – Aktualisierung, Standard 80
Windows NT 4.0 27 – Aktualisierungsintervall, auf Registerkarte
– Gruppenrichtlinienverarbeitung 357 Allgemein 70
– Systemrichtlinienverarbeitung 363 – Aktualisierungsintervall, auf Registerkarte
Windows NT 4.0-Track 930 Autoritätsursprung (SOA) 70
Windows-Dateischutz, administrative – Aktualisierungsvorgang 81
Vorlage 435 – Allgemein, Registerkarte 69
WinINSTALL Discover 525 – als Active Directory-integriert
WinINSTALL LE konfigurieren 79
– Ändern eines Anwendungspakets mit – Alterung, auf Registerkarte Allgemein 69
533 – An jeden Server, auf Registerkarte
– Installation 524 Zonenübertragungen 74
– Installation und Konfiguration 525 – Automatisch benachrichtigen, auf
– Speicherort 523 Registerkarte Zonenübertragungen 75
WINS (Windows Internet Naming System) – Autoritätsursprung (SOA), Registerkarte
921 70
– Registerkarte 72 – autoritativer Server 56f.
Workstation 921 – AXFR (vollständige Übertragung) 85
– Benachrichtigen, auf Registerkarte
X Zonenübertragungen 75
– BIND (Berkeley Internet Name Domain)
X.400 86
– Namespace 28 – Cache-only-Server 61
– Organisationseinheit, unter Banyan Vines – Cachezeitlimit, auf Registerkarte WINS
28 73
– Verzeichnisdienst nutzen 28 – Cachezeitlimit, auf Registerkarte WINS-R
X.500 922 76
– Diesen Eintrag nicht replizieren, auf – Ressourceneinträge für veralteten

Registerkarte WINS 72 Aufräumvorgang, auf Registerkarte
– Diesen Eintrag nicht replizieren, auf Allgemein 69
Registerkarte WINS-R 75 – Reverse-Lookup 75
– DNS-Domäne als NetBIOS-Bereich – Reverse-Lookupeintrag 80
übermitteln, auf Registerkarte WINS-R – sekundärer Server 76
76 – Seriennummer 85
– Domäne, die an den zurückgelieferten – Seriennummer, auf Registerkarte
Namen angehängt werden soll, auf Autoritätsursprung (SOA) 70
Registerkarte WINS-R 75 – Server, die auf der Registerkarte für
– Dynamische Aktualisierung zulassen, auf Namenserver aufgelistet sind, auf
Registerkarte Allgemein 69 Registerkarte Zonenübertragungen 75
– erstellen, Forward-Lookupzone 66 – Serviceeintrag 80
– erstellen, Reverse-Lookupzone 63 – Speicherungsort 62
– Erweitert, auf Registerkarte WINS 73 – Status, auf Registerkarte Allgemein 69
– Erweitert, auf Registerkarte WINS-R 76 – TTL für diesen Eintrag, auf Registerkarte
– Folgende Server, auf Registerkarte Autoritätsursprung (SOA) 71
Zonenübertragungen 75 – Typ, auf Registerkarte Allgemein 69
– Forward-Lookup 66 – Übertragung, in Standardumgebung 84
– Hosteintrag 80 – Verantwortliche Person, auf Registerkarte
– inkrementelle (IXFR) Übertragung 85 Autoritätsursprung (SOA) 70
– integrieren 78, 86 – vollständige (AXFR) Übertragung 85
– IP-Adresse, auf Registerkarte WINS 73 – Wiederholungsintervall, auf Registerkarte
– IXFR (inkrementelle Übertragung) 85 Autoritätsursprung (SOA) 70
– Kein Aktualisierungsintervall, auf – WINS, Registerkarte 72, 75
Registerkarte Allgemein 70 – WINS-Forward-Lookup verwenden, auf
– konfigurieren, primäre 67 Registerkarte WINS 72
– konfigurieren, Reverse-Lookup 75 – WINS-R-Lookup verwenden, auf
– Läuft ab nach, auf Registerkarte Registerkarte WINS-R 75
Autoritätsursprung (SOA) 70 – Zonendatei für Server 56
– Lookupzeitlimit, auf Registerkarte WINS – Zonendateiname, auf Registerkarte
73 Allgemein 69
– Lookupzeitlimit, auf Registerkarte WINS-R – Zonenübertragung, Registerkarte 73
76 – Zonenübertragungen zulassen, auf
– Minimum TTL (Standard), auf Registerkarte Zonenübertragungen 74
Registerkarte Autoritäts- Zonenübertragung 922
ursprung (SOA) 71 Zugriffssteuerungsliste (access control list,
– Namenserver, Registerkarte 71 ACL) 819, 922
– Nur an folgende Server, auf Registerkarte Zugriffstoken 36, 239
Zonenübertragungen 74 Zuordnung eines Softwarepakets zu einer
– Nur an Server, auf Registerkarte Kategorie 563
Zonenübertragungen 74 Zuweisung
– Originaldatei 62 – Eigenschaften 521
– primärer Server 62 – von Software an Benutzer 538
– primärer Server, auf Registerkarte – von Software an Benutzer und Computer
Autoritätsursprung (SOA) 70 538
– PTR-Eintrag 80 – von Software an Computer 539

Damir Bersinic &amp; Rob Scringer - MCSE Windows 2000 Active Directory Services Infrastructure

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Damir Bersinic &amp; Rob Scringer - MCSE Windows 2000 Active Directory Services Infrastructure

Hochgeladen von

Copyright:

Verfügbare Formate

MCSE

Windows 2000 Directory Services

Die Informationen in diesem Buch werden ohne Rücksicht auf einen

© 2001 by Markt+Technik Verlag,

1 Konfiguration und Grundlagen von Active Directory . . . . . 25

2 DNS für Active Directory konfigurieren . . . . . . . . . . . . . . . . . . . 51

2.6 Zoneninformationen übertragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

3 Eine Active Directory-Struktur aufbauen . . . . . . . . . . . . . . . . 109

4 Active Directory-Dienste verwalten . . . . . . . . . . . . . . . . . . . . . . 179

4.4.4 Vordefinierte globale Gruppen . . . . . . . . . . . . . . . . . . . . 226

5 Server verwalten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

6 Benutzerverwaltung mit Gruppenrichtlinien . . . . . . . . . . . . . 353

6.4 Gruppenrichtliniensicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379

7 Softwarebereitstellung mittels Gruppenrichtlinien . . . . . . 511

8 Sicherheit mittels Gruppenrichtlinien . . . . . . . . . . . . . . . . . . . 595

8.4 Konfiguration und Implementierung einer

9 Windows 2000 und Remoteinstallationsdienste . . . . . . . . 679

Teil 2: Wiederholungsteil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 789

10.1.11 Implementieren einer Organisationseinheitenstruktur . . 798

11 Tipps zur Prüfungs-vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . 827

Teil 3: Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899

B Überblick über die Zertifizierung . . . . . . . . . . . . . . . . . . . . . . . . 923

C Die Prüfungssoftware auf der CD-ROM . . . . . . . . . . . . . . . . . 939

Wie dieses Buch Sie unterstützt

Übungsteile, sondern auch Verweise auf zusätzliches Studienmaterial. Durch einen

씰 Organisation. Der Grundaufbau des Buches entspricht den einzelnen Prü-

씰 Diese Einführung enthält das vollständige Verzeichnis aller Prüfungsthe-

씰 Schlüsselbegriffe. Am Ende jedes Kapitels finden Sie eine Liste mit

씰 Wiederholungsfragen. Diese Auswahlfragen erscheinen am Ende jedes

Was die Prüfung 70-217 beinhaltet

씰 Installieren, Konfigurieren und Fehlerbehebung von Active Directory

씰 Installieren, Konfigurieren, Verwalten, Überwachen und Fehlerbehebung von

씰 Installieren, Konfigurieren, Verwalten, Überwachen, Optimieren und Fehler-

씰 Verwalten, Überwachen und Optimieren der Komponenten von Active Di-

씰 Konfigurieren, Verwalten, Überwachen und Fehlerbehebung bei Sicherheits-

Installieren, Konfigurieren und Fehlerbehebung von Active

씰 Active Directory installieren

씰 Server für globalen Katalog erstellen

씰 Serverobjekte zwischen Standorten verschieben

씰 Active Directory-Installation überprüfen

씰 Struktur der Organisationseinheit (OU) implementieren

씰 Active Directory sichern und wiederherstellen

씰 Autoritative Wiederherstellung von Active Directory ausführen

씰 Wiederherstellen nach einem Systemausfall

Installieren, Konfigurieren, Verwalten, Überwachen und

씰 Zonen für dynamische Aktualisierungen konfigurieren

Verwalten, Überwachen und Fehlerbehebung von DNS

씰 Replikation von DNS-Daten verwalten

Installieren, Konfigurieren, Verwalten, Überwachen,

씰 Gruppenrichtlinienobjekt (GPO) erstellen

씰 Existierendes GPO verknüpfen

씰 Vereinfachte Verwaltungsfunktionen der Gruppenrichtlinien delegieren

씰 Vererbung von Gruppenrichtlinien modifizieren

씰 Einstellung von Gruppenrichtlinien durch Verknüpfen von Sicherheitsgrup-

Verwaltung und Fehlerbehebung von Benutzerumgebungen unter Verwendung der

씰 Benutzerumgebung über administrative Vorlagen steuern

씰 Skriptrichtlinien Benutzern und Computern zuweisen

Verwaltung und Fehlerbehebung von Software unter Verwendung von Gruppen-

씰 Software unter Verwendung von Gruppenrichtlinien bereitstellen

씰 Software unter Verwendung von Gruppenrichtlinien verwalten

씰 Probleme, die während der Softwarebereitstellung häufig auftreten, beheben

Verwalten von Netzwerkkonfigurationen unter Verwendung von Gruppenricht-

Windows 2000 unter Verwendung des Remoteinstallationsdienstes (RIS) bereitstel-

씰 Image auf einem Client-Computer mit RIS installieren

Damir Bersinic & Rob Scringer - MCSE Windows 2000 Active Directory Services Infrastructure

Damir Bersinic & Rob Scringer - MCSE Windows 2000 Active Directory Services Infrastructure