Beruflich Dokumente
Kultur Dokumente
MCSE
Windows 2000
Directory Services
Infrastructure
Übersetzer:
Clemens Vargas
MediaMate GmbH
Markt+Technik
Verlag
Die Deutsche Bibliothek – CIP-Einheitsaufnahme
Ein Titeldatensatz für diese Publikation ist bei
Der Deutschen Bibliothek erhältlich.
10 9 8 7 6 5 4 3 2 1
04 03 02 01 00
ISBN 3-8272-5828-6
Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Teil 1: Prüfungsstoff . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
10 Gesamt-zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 791
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory . 791
10.1.1 Installation, Konfiguration und Fehlersuche bei
Komponenten von Active Directory . . . . . . . . . . . . . . . . 792
10.1.2 Erstellen von Standorten . . . . . . . . . . . . . . . . . . . . . . . . . 792
10.1.3 Erstellen von Subnetzen . . . . . . . . . . . . . . . . . . . . . . . . . 793
10.1.4 Erstellung von Standortverknüpfungen. . . . . . . . . . . . . . 793
10.1.5 Erstellung von Standortverknüpfungsbrücken . . . . . . . . 794
10.1.6 Erstellung von Verbindungsobjekten . . . . . . . . . . . . . . . 795
10.1.7 Erstellen von Servern für den globalen Katalog . . . . . . . 795
10.1.8 Verschieben von Objekten zwischen Standorten . . . . . . 796
10.1.9 Übertragen von Betriebsmasterfunktionen . . . . . . . . . . . 796
10.1.10 Überprüfen der Active Directory-Installation . . . . . . . . . 797
10 Inhaltsverzeichnis
12 Musterprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
12.1 Prüfungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
12.2 Antworten auf die Prüfungsfragen . . . . . . . . . . . . . . . . . . . . . . . . . 882
Inhaltsverzeichnis 11
A Glosssar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
Einleitung
E
Dieses Buch ist für Techniker und Systemverwalter geschrieben, die das Zertifikat
eines Microsoft Certified Systems Engineer (MCSE) erlangen möchten. Es behan-
delt die Prüfung Implementing and Administering a Microsoft Windows 2000
Directory Services Infrastructure (70-217). Das Ziel dieser Prüfung besteht laut
Microsoft darin, Ihre Kenntnisse hinsichtlich der Installation, Konfiguration und
Fehlerbehebung der Komponenten von Windows 2000 Active Directory, DNS für
Active Directory und den Sicherheitsmodellen von Active Directory zu ermitteln.
Darüber hinaus testet die Prüfung Ihre Fähigkeit zum Verwalten, Überwachen und
Optimieren der Desktopumgebung unter Verwendung von Gruppenrichtlinien.
Dieses Buch stellt Information aus erster Hand dar. Es behandelt alle Grundlagen,
die Sie in der Prüfung benötigen, und ist von Microsoft als Studienmaterial akzep-
tiert worden. Sie brauchen daher keinen zusätzlichen Kurs zu besuchen, um Ihre
Prüfung erfolgreich zu bestehen! Vielleicht empfiehlt es sich jedoch hinsichtlich
Ihrer persönlichen Lerngewohnheiten oder Ihres Arbeitsstils, zusätzlich zu diesem
Buch noch Kurse zu absolvieren, was Sie jedoch am besten selbst entscheiden.
Bitte beachten Sie, dass Microsoft von den Kandidaten einer Prüfung eine Mindes-
terfahrung von 1 Jahr in der Implementierung und Verwaltung von Netzwerkbe-
triebssystemen in mittleren und größeren Systemumgebungen erwartet. Microsoft
setzt außerdem voraus, dass Sie mit TCP/IP vertraut sind.
씰 Die Kapitel beginnen außerdem mit einem Überblick über den Stoff und
die Lernziele, um die es im Kapitel geht.
씰 Die Prüfungsthemen werden an Stellen wiederholt, an denen Stoff vor-
kommt, der sich unmittelbar auf sie bezieht (es sei denn, dass das Kapitel
nur ein einziges Prüfungsthema behandelt).
씰 Spezielle Lernhilfen. Dieses Buch wurde so geschrieben, dass es Ihnen meh-
rere Wege zum Erlernen und Wiederholen des Stoffes bietet. Die folgenden
Lernhilfen stehen Ihnen hierfür zur Verfügung:
씰 Erläuterung der Ziele. Wie schon erwähnt, beginnt jedes Kapitel mit
einem Verzeichnis der im Kapitel behandelten Lernziele. Darüber hinaus
folgt jedem Lernziele eine Erläuterung in einem konkreten und aussage-
fähigen Kontext.
씰 Tipps für das Selbststudium. Am Beginn jedes Kapitels finden Sie außer-
dem Strategien, die klären, wie Sie an den Stoff des Kapitels (besonders
im Hinblick auf seine direkte Behandlung in der Prüfung) herangehen,
und wie Sie ihn am besten behalten können.
씰 Prüfungstipps. In den Kästen finden Sie Prüfungstipps, die Hilfe zu spezi-
ellen Fragen zur Prüfung geben. Die Tipps beziehen sich auf den Stoff,
der behandelt bzw. nicht behandelt wird, darauf, wie er behandelt wird,
oder auf spezielle Erinnerungshilfen oder Kniffe, die Sie kennen sollten.
씰 Kapitelzusammenfassungen. Am Ende jedes Kapitels werden die wich-
tigsten Informationen noch einmal zusammengefasst.
Wie dieses Buch Sie unterstützt 15
HINWEIS
Eine Beschreibung der Trainingssoftware ExamGear finden Sie im Anhang.
16 Einleitung
Dieses Buch enthält noch weitere Orientierungshilfen wie etwa den Abschnitt mit
dem Titel »Weitere Informationen und Ressourcen« am Ende jedes Kapitels. Dieser
weist Ihnen den Weg zu noch mehr Informationen, die hilfreich bei der Vorberei-
tung auf die Prüfung oder Ihrer Arbeit sein können. Es gibt ferner wichtige Anhänge
wie das Glossar, einen Überblick über das Microsoft Zertifizierungsprogramm und
eine Inhaltsbeschreibung der dem Buch beiliegenden CD.
Informationen über die Prüfung oder die Zertifizierung erhalten Sie telefonisch bei
Microsoft oder im Internet unter ftp://ftp.microsoft.com/services/MCSEdCert, und
im World Wide Web unter www.microsoft.com/train_cert. Es gibt zu diesem
Thema ebenfalls ein CompuServe-Forum: GO MSEDCERT.
Bevor Sie sich in die eigentliche Prüfung begeben, sollten Sie in den folgenden
beruflichen Fertigkeiten (dargestellt in der Form von Lerneinheiten und Zielen) fit
sein:
씰 Standorte erstellen
씰 Subnetze erstellen
씰 Standortverknüpfungen erstellen
씰 Standortverknüpfungsbrücke erstellen
씰 Verbindungsobjekte erstellen
씰 Betriebsmasterrolle übertragen
씰 DNS-Zonen von Active Directory und DNS-Zonen, die nicht von Active
Directory sind, integrieren
씰 Gruppenrichtlinien ändern
씰 Bereitstellungsoptionen konfigurieren
씰 RIS-Bootdiskette erstellen
씰 Remoteinstallationsoptionen konfigurieren
RIS-Sicherheit konfigurieren
씰 Überwachungsrichtlinien implementieren
씰 Prozessor Pentium 166 (oder schneller), empfohlen wird ein Pentium II 300
oder schneller
씰 CD-ROM-Laufwerk
씰 Netzwerkkarte. Die Karte auf dem PC, auf dem Windows 2000 Professional
läuft, sollte mindestens ein PXE-Boot-ROM besitzen
씰 128 Mbyte RAM (256 Mbyte empfohlen für Windows 2000 Server)
씰 Lesen Sie den gesamten Stoff sorgfältig durch. Microsoft war in der Vergan-
genheit bekannt dafür, dass es Stoffgebiete in die Prüfung aufgenommen hat,
die nicht explizit in den Prüfungsthemen angegeben waren. In diesem Buch
finden Sie daher zusätzliche, über die Prüfungsthemen hinausgehende Infor-
mationen, die Ihnen die bestmögliche Vorbereitung auf die Prüfung und die
praktischen Erfahrungen in Ihrer beruflichen Zukunft ermöglichen sollen.
씰 Nutzen Sie die Fragen zur Überprüfung Ihrer Kenntnisse. Lesen Sie nicht nur
den Inhalt der Kapitel, sondern nutzen Sie die Fragen, um festzustellen, was
Sie tatsächlich wissen und was nicht! Wenn Sie sich noch unsicher fühlen,
studieren Sie wieder und wieder, wiederholen Sie alles und überprüfen Sie
Ihre Kenntnisse anschließend erneut.
22 Einleitung
씰 Orientieren Sie sich an den Lernzielen. Entwickeln Sie zu den einzelnen erör-
terten Themen eigene Fragestellungen und Beispiele. Die Prüfung wird Ihnen
weniger Schwierigkeiten bereiten, wenn Sie gelernt haben, zu jedem Thema
einige eigene Fragen stellen und beantworten zu können.
HINWEIS
Tipp zur Prüfung
Dieses Buch will Sie darauf vorbereiten, die MCSE-PRüfung 70-217 erfolgreich zu
absolvieren, kann Ihnen aber natürlich keinerlei Garantien bieten. Sie sollten dieses
Buch durchlesen, die Fragen und Übungen beantworten, und sich, sobald Sie sich
sicher fühlen, der Testsoftware ExamGear bedienen, um die Musterprüfung und die
zusätzlichen Übungen durchzuarbeiten. All diese Arbeit wird Ihnen zum Schluss
eine Vorstellung davon verschaffen können, ob Sie für die echte Prüfung bereit
sind.
Viel Glück!
1
Prüfungsstoff
Teil
Was ist das Active Directory? Dies ist eine der ersten Fragen, die viele Leute bei der
ersten Begegnung mit Windows 2000 stellen werden. Die einfachste Antwort lautet
natürlich zunächst einmal, dass das Active Directory der Verzeichnisdienst ist, der
von Windows 2000 verwendet wird. Vollständig befriedigen kann eine solche Ant-
wort sicherlich nicht!
Dieses Buch beginnt daher mit einem Überblick über die Aufgaben eines Verzeich-
nisdienstes und erörtert anschließend, wie Active Directory diese Aufgaben erfüllt.
Ausgesprochene Microsoft-Themen werden in diesem Kapitel nicht behandelt – Sie
erhalten im Gegenteil einfach nur einen Überblick über Active Directory. Nachdem
Sie die erforderlichen Grundlageninformationen bekommen haben, beschäftigt sich
das nächste Thema mit der Frage, wie Sie die verschiedenen Bestandteile des
Active Directory implementieren und in Ihre alltägliche Arbeit integrieren können.
Das Buch bespricht keinesfalls das Design einer Infrastruktur mit Active Directory,
denn dieses Thema wird in der Literatur zur Prüfung 70-219 behandelt.
씰 Achten Sie genau darauf, auf welche Weise Microsoft DNS in Active Direc-
tory einbezogen hat.
씰 Vergewissern Sie sich, dass Sie Klassen und Attribute und den Vergleich
zwischen Tabellen und Spalten in einer Datenbank verstanden haben.
씰 Stellen Sie sicher, dass Sie die drei gemeinsamen Elemente in Active Direc-
tory kennen.
1.1 Einführung
In diesem Kapitel erfahren Sie alles, was Sie wissen müssen, bevor Sie sich mit den
Einzelheiten befassen können. Sie werden hier alle Informationen finden, die die
Basis für den Rest des gesamten Textes darstellen.
26 Kapitel 1 Konfiguration und Grundlagen von Active Directory
Das Kapitel beginnt mit einer allgemeinen Erörterung des Verzeichnisdienstes und
einer Darstellung der Geschichte früherer ähnlicher Systeme. Anschließend unter-
sucht es den Kern eines Verzeichnisdienstes, nämlich seine Datenbank. Weiterhin
werden die Grundlagen einer Datenbank erörtert – Sie erfahren, wie ein Verzeich-
nisdienst von unten nach oben aufgebaut ist. Anschließend wendet sich das Kapitel
den Objekten in Active Directory zu und führt Sie in diese Objekte ein. Zum
Schluss werden sämtliche Informationen noch einmal zusammengefasst, um sicher-
zustellen, dass Sie ein vollständiges Wissen über die Funktionsweise des Systems
erhalten haben.
Beginnen Sie, indem Sie sich Netzwerke wie etwa NetWare 3.12 oder Windows für
Workgroups 3.11 vorstellen. Diese Netzwerke stellen das Grundelement eines Netz-
werks zur Verfügung, d.h., sie bieten zunächst einmal einen Dienst (ein Programm,
welches im Hintergrund ausgeführt wird) an, mit dem sich Benutzer an einem
Arbeitsplatz-PC anmelden können. Darüber hinaus bieten sie einen Dienst an, der
Anfragen für Ressourcen, die im Netzwerk liegen, automatisch in dieses weiterlei-
tet.
An dieser Stelle kommt der Verzeichnisdienst ins Spiel. Das Verzeichnis ist eigent-
lich eine Liste der Benutzer, die zur Anmeldung an einem System berechtigt sind.
Diese Liste legt weiterhin fest, welche Benutzer sich mit welcher Ressource verbin-
den dürfen. Dies ist ein Sicherheitsmechanismus, den Sie durch die Einrichtung
1.2 Was ist ein Verzeichnisdienst? 27
In Netzwerken wie NetWare 3.12 war das Verzeichnis für jeden Server im Netz-
werk separat gehalten. Dies hatte zur Folge, dass ein Benutzer sich mehrfach an ver-
schiedenen Servern mit seinem Benutzernamen und Kennwort anmelden musste.
Weiterhin bedeutete dies, dass der Administrator den Benutzer jedem Server
bekannt zu geben und Kennwörter einzurichten hatte, damit der Benutzer sich
anmelden konnte. Außerdem bestand für die Benutzer die Notwendigkeit, ihre
Kennwörter für mehrere Server zu verwalten. NetWare 3.12 sorgte dann zwar für
ein Verfahren zum Ändern der Kennwörter auf mehreren Servern, konnte die voll-
ständige Betriebssicherheit dieses Verfahrens aber auch nicht realisieren.
All dies bedeutete eine Menge Extraaufwand hinsichtlich der Administration und
stellte keine echte Unternehmenslösung für Networking dar. Einige Netzwerksys-
teme aus dieser Zeit boten Wege zur Vermeidung der Probleme an. Beispielsweise
hatte der Vorläufer von Windows NT, der LAN-Manager, ein Verfahren entwickelt,
mit dem die Verzeichnisse einer Gruppe von Servern zentralisiert werden konnten.
Bei diesem Verfahren besaß einer der Server, der primäre Domänencontroller, das
Originalverzeichnis, in dem sämtliche Änderungen stattfanden, während ein oder
mehr Server Kopien dieses Verzeichnisses bekamen. Die anderen Server konnten
dieses Verzeichnis zwar nicht ändern, jedoch zur Authentifizierung von Benutzern
verwenden. In einem solchen Modell authentifizierte sich der Benutzer in einem
Domänencontroller und konnte sich daraufhin an jedem beliebigen Server anmel-
den, für den er die erforderlichen Rechte besaß. Durch dieses Verfahren wurden die
Authentifizierung und der Serverdienst sogar noch weitgehender voneinander
getrennt.
Der Benutzer meldete sich an seinem lokalen PC an und war damit zum Zugriff auf
das Netzwerk berechtigt. Diese Authentifizierung wurde anschließend über das
Netzwerk an einen Domänencontroller gesendet, der die eigentliche Authen-
tifizierung vornahm. Sämtliche Verbindungen über das Netzwerk gegenüber ande-
ren Servern wurden ebenfalls über einen Domänencontroller authentifiziert. Win-
dows NT 4.0 benutzt dieses Authentifizierungssystem bis auf den heutigen Tag. Am
Ende lief es dann darauf hinaus, dass nicht mehr die Server jeweils voneinander
getrennte Verzeichnisse zu verwalten hatten, sondern diese Aufgabe nun den Domä-
nencontrollern zufiel. Da immer nur ein Controller über eine aktualisierbare Kopie
des Verzeichnisses verfügte, gab es de facto nur ein Verzeichnis für alle Computer.
Der Trick bestand darin, dass alle Computer zur selben Domäne (einer aus Adminis-
trationsgründen eingerichteten Gruppe mit Computern und Benutzern) gehören
mussten, damit die Server andere Server mit demselben Verzeichnis erkennen konn-
28 Kapitel 1 Konfiguration und Grundlagen von Active Directory
ten. Hatte man sich dann mit einem Server einer Domäne verbunden, suchte dieser
nach einem Domänencontroller für seine Domäne, der die Authentifizierung der
Anmeldung durchführte.
Die Grundlage all dessen stellten die Spezifikationen von X.400 dar, die ein Verfah-
ren zum Umgang mit einem Verzeichnis in einer Hierarchie beschrieben. Im
Wesentlichen bedeutete dies, einen Ausgangspunkt zu definieren, der das Unterneh-
men darstellte, und den gesamten Namespace des Unternehmensnetzwerks um-
fasste. Der Namespace wurde anschließend in Organisationseinheiten aufgeteilt, die
noch weiter aufgeteilt werden konnten. Die Benutzer gehörten zu den Organisations-
einheiten. Wenn ein Benutzer authentifiziert werden musste, wurde die zutreffende
Organisationseinheit gesucht und der Benutzer gegenüber seinem Homeserver
authentifiziert. Dies bedeutete, dass der Benutzer einen einfach zu merkenden
Benutzernamen und einen vollständigen, beschreibenden Namen wie etwa Tho-
masV@Marketing@Biotech haben konnte.
Da die Ausführungen oben etwas vom Thema fortgeführt haben, ist eine Zusam-
menfassung erforderlich: Ein Verzeichnis ist eine Liste von Objekten eines Netz-
werks, die von Benutzern gesucht werden, oder die zur Authentifizierung von
Benutzern notwendig sind. Der »Dienst« in Verzeichnisdienst wird für die Authen-
tifizierung eines Benutzers gegenüber dem Verzeichnis oder zur Beantwortung der
Benutzeranfragen zu Objekten verwendet.
Vermutlich haben Sie jetzt eine Vorstellung davon bekommen, welchem Zweck ein
Verzeichnis dient, und weshalb in sehr großen Netzwerken Verzeichnisse auf
Unternehmensebene benötigt werden, um den beschriebenen Zweck zu erfüllen.
Sicherlich verstehen Sie jetzt auch, dass ein Verzeichnis grundsätzlich nichts ande-
res als eine Liste ist.
1.3 Active Directory auf den ersten Blick 29
Das Domänenmodell selbst war korrekt und arbeitete auch gut – die Benutzer konn-
ten sich anmelden und weitgehend ohne Probleme im Netzwerk arbeiten. Die
Schwierigkeiten mit den Verzeichnisdiensten von Windows NT begannen dort, wo
sie über die einzelne Domäne hinaus gehen mussten. Jedes Mal dann, wenn ein
Benutzer eine Ressource in einer anderen Domäne benutzte, gab es zusätzlichen
Netzwerkverkehr. Der Verkehr wurde noch gesteigert, wenn die Domänencontroller
die Vertrauensstellungen verwalteten. Noch mehr Verkehr wurde erzeugt, wenn
Berechtigungen vergeben wurden, weil das gesamte Verzeichnis immer dann aus
der Remote-Domäne ausgelesen werden musste, wenn ein Benutzer dieser Domäne
Berechtigungen erhielt. Es stellte sich daher heraus, dass Vertrauensstellungen zwar
brauchbar, jedoch gleichzeitig auch etwas umständlich waren.
씰 Jede Domäne brauchte eine globale Liste des Verzeichnisses jeder Domäne.
Als Erstes stellen Sie sich nun wahrscheinlich vor, dass ein derartiger Lösungsan-
satz wegen der Bereitstellung einer Liste aller Objekte aller Domänen in der Organi-
sation eine Menge an Hintergrundverkehr erzeugt. Sicherlich benötigt das Erstellen
einer Liste des gesamten Verzeichnisses mit sämtlichen Objekten in einer Organisa-
tion mit sagen wir 80.000 Benutzern und noch mehr Computern einen sehr leis-
tungsfähigen Server, der dann auch viel Verkehr zum Replizieren dieser Informatio-
nen generiert. Falls es außerdem auch noch Unterschiede in den Strukturen einer der
Domänendatenbanken geben sollte, die Sie zu kombinieren versuchen, könnte es
30 Kapitel 1 Konfiguration und Grundlagen von Active Directory
Bevor beschrieben wird, wie diese Probleme gelöst werden, müssen Sie jedoch erst
einmal verstehen, was sich im einzelnen in dem Verzeichnis befindet. Es wurde
bereits festgestellt, dass ein Verzeichnis eine Liste ist. Eine Liste eines Computers
wird jedoch normalerweise in einer Datenbank gespeichert. Behalten Sie dies im
Hinterkopf, denn die folgenden Erörterungen werden sich das Verzeichnis nun vom
Standpunkt einer Datenbank aus ansehen.
Milch
10 Eier
Speck
Brot
Eine solche Liste notieren Sie sich vielleicht, wenn Ihre Partnerin Sie anruft und bit-
tet, auf dem Nachhauseweg etwas einzukaufen. Dies ist schon eine Datenbank, in
der Sie für jeden Datensatz (eine Zeile oder Spalte) zwei Informationen haben: Die
Menge und die Beschreibung. Wenn es keine Mengenangabe gibt, gehen Sie von
einer Standardmenge aus (in diesem Fall wahrscheinlich 1 Stück). Die Einkaufsliste
kann daher auch folgendermaßen geschrieben werden:
Menge Beschreibung
1 Milch
10 Eier
1 Speck
1 Brot
1.3 Active Directory auf den ersten Blick 31
Entsprechend diesem Beispiel können Sie auch eine Liste der Benutzer in einem
Netzwerk erstellen:
Wie Sie in der Tabelle erkennen können, haben Sie nun einen Schlüsselwert, näm-
lich die Benutzerkennung. Dies ist eine interne Nummer, die das System aus Sicher-
heitsgründen zur Identifizierung der Benutzer verwendet und unter Windows NT
und Windows 2000 Security Identifier (SID) genannt wird. In Wirklichkeit ist sie
noch viel länger. Zusätzlich zur SID sind der Anmeldename, der Vor- und Nach-
name und die Domäne weitere Attribute zur Beschreibung des Eintrags. Alle
Objekte verfügen über einen Namen, der wie die SID eindeutig ist. Eine solche
Liste wäre in einer Datenbank eine Tabelle, in der die Attribute, also die Spalten,
die Tabelle definieren. In Active Directory wird hierdurch gleichzeitig eine Klasse
von Objekten beschrieben, da eine Tabelle alle Entitäten einer einzelnen Klasse
speichert.
Damit Sie Zeit beim Erstellen derselben Spalte sparen, hat Microsoft die Attribute
und Klassen separiert. Als Erstes werden die Attribute erstellt, und danach aus den
verfügbaren Attributen die Klassen. Wie bei gewöhnlichen Datenbanken können
Sie die Daten als Text, Zahlen oder als logische Werte (Ja/Nein) speichern. Die
Klassen speichern die Daten als den Attributtyp, was, falls Sie mit Datenbanken
Bescheid wissen, den benutzerdefinierten Datentypen vergleichbar ist.
»Klasse« ist ein Begriff, mit dem die Art eines Dings beschrieben wird. Beispiels-
weise wird in der Tabelle oben eine Benutzerklasse definiert, deren Benutzer über
die aufgeführten Attribute verfügen. Wenn Sie Informationen über Computer spei-
chern möchten, können Sie eine weitere Tabelle definieren, die die entsprechenden
Attribute über Computer enthält. Dasselbe machen Sie für alle anderen Dinge, die
Sie in den Verzeichnisdienst aufnehmen möchten.
Wenn Sie möchten, können Sie auch eine weitere Spalte definieren, oder der Klas-
sendefinition weitere Attribute hinzufügen. Durch Änderungen dieser Art erweitern
Sie gleichzeitig die Informationen, die Active Directory speichert. Falls Sie bei-
spielsweise eine Personalnummer für jeden Mitarbeiter benötigen, können Sie ein
entsprechendes Attribut definieren und der Benutzertabelle hinzufügen. Ebenso
problemlos nehmen Sie auch die Informationen über die Inventarnummern Ihrer fir-
meneigenen Ausstattungsteile auf. Mit anderen Worten: Was Sie hier vor sich
32 Kapitel 1 Konfiguration und Grundlagen von Active Directory
sehen, ist nichts anderes als ein erweiterbares Systemkonzept. Ein solches erweiter-
bares Konzept begrenzt die Informationen nicht, die Sie speichern, sondern macht
es möglich, neue Informationen nach Bedarf hinzuzufügen.
Vielleicht fragen Sie sich jetzt, wie dies mit den zwei weiter oben herausgestellten
Punkten zusammenhängt, nämlich der Notwendigkeit einer globalen Liste für jedes
Domänenverzeichnis und einer Verwaltungsmethode für Vertrauensstellungen. Es
ist ja gerade diese Fähigkeit zum Hinzufügen von Attributen und Klassen nach
Bedarf, die es unmöglich macht, eine Liste aller Domänenverzeichnisse zu erstel-
len, da jedes einzelne Verzeichnis unterschiedlich sein kann. Jedoch ist dies nicht
der Fall. Tatsächlich verfügt jede Domäne in Ihrem Unternehmen über exakt das-
selbe Schema, was durch den Einsatz eines Schemamasters erreicht wird. Der Sche-
mamaster (wie der einstige PDC) ist das einzige System mit einer aktualisierbaren
Kopie des Schemas.
Weil es unpraktisch wäre, wenn die Attribute aller Objekte im Unternehmen ständig
verfolgt werden müssten, gibt Active Directory Ihnen die Gelegenheit, bestimmte
Attribute (bzw. Spalten) festzulegen, die in den globalen Katalog kopiert werden
sollen. Der globale Katalog wird dazu verwendet, allen Benutzern in Ihrem Unter-
nehmen die Liste der Objekte in den einzelnen Domänenverzeichnissen zur Verfü-
gung zu stellen. Da Sie Active Directory mitteilen können, welche Attribute in den
globalen Katalog gehören, können Sie auch kontrollieren, wie viele Daten zwischen
den globalen Katalogservern bewegt werden.
Bis hierhin haben Sie nun für jede Domäne ein Verzeichnis (eine Datenbank).
Gewisse Attribute aus jeder Domäne werden zum globalen Katalog kopiert, der von
allen Domänen gemeinsam genutzt wird. Eine Antwort auf das Problem mit den
Vertrauensstellungen und eine Erklärung der tatsächlichen Unternehmensstrukturen
haben Sie damit allerdings noch nicht erhalten. Im Folgenden werden Sie daher zu
diesem Punkt mehr erfahren.
Die erste Lösung, die Ihnen einfallen könnte, besteht vielleicht darin, das Domänen-
modell mit dem Ziel zu erweitern, einer Domäne so viele Objekte hinzuzufügen,
dass die Notwendigkeit mehrerer Domänen vermieden wird. Bis zu einem gewissen
Ausmaß wurde dies auch versucht. Die neuen Domänen können dann zwar mehr
1.3 Active Directory auf den ersten Blick 33
Wenn die Domänen weiterleben sollen, besteht der nächste sinnvolle Schritt darin,
sie zu strukturieren, was das Auffinden von Objekten erleichtert und die Replikation
von Objekten wie etwa dem globalen Katalog über Domänengrenzen hinweg unter-
stützt. Statt das Rad neu zu erfinden, entschloss sich Microsoft dazu, das Verfahren
zum Verbinden der Domänen über bereits bestehende Technologien zu realisieren.
Heutzutage hat fast jeder die Gelegenheit zum Einsatz eines Internet-Browsers.
Wahrscheinlich ist nur wenigen Menschen überhaupt klar, welche bedeutende tech-
nische Leistung darin liegt, die Webadresse einer beliebigen Site irgendwo auf der
Welt eingeben und mit ihr verbunden werden zu können. Noch beeindruckender
wird diese Leistung, wenn man sich die Anzahl der Sites und die Komplexität des
Internets vor Augen führt. Möglich wird dies durch das Domain Name System
(DNS), welches wahrscheinlich das umfangreichste Beispiel einer hierarchischen
Datenbank auf dieser Erde ist.
DNS funktioniert so, dass es das gesamte Internet als einen einzigen zusammenhän-
genden Namespace betrachtet. Der Ausgangspunkt bei diesem Verfahren ist im
Internet als sog. Stammdomäne bekannt. Sie sehen die Stammdomäne bei der Ein-
gabe einer Adresse zwar nicht, jedoch stellt sie immer den Schlussbestandteil einer
Site-Adresse dar. Diese Stammdomäne (d.h. der gesamte Namespace) wird in klei-
nere Abschnitte aufgeteilt, die im Internet Toplevel-Domänen genannt werden.
Toplevel-Domänen werden schließlich wieder in Secondlevel-Domänen unterteilt.
Von hier aus kann sich dieser Prozess theoretisch unendlich fortsetzen.
Im Hinblick auf das Internet wird die Anfrage (theoretisch) an die Stammdomäne
geleitet. Da die Stammdomäne keineswegs die Namen sämtlicher Server beher-
bergt, leitet sie Ihre Anfrage an einen Server weiter, der für den Namespace, den Sie
suchen, verantwortlich ist. Falls Sie beispielsweise nach www.pearson.com suchen,
erkennt der Server der Stammdomäne, dass Sie nach einem Server in der Domäne
.com suchen, und würde Sie (bzw. Ihren DNS-Server) an den Server der Domäne
.com weiterleiten. Ihre Anfrage wird dann an den für diesen Namespace verantwort-
lichen Server gerichtet. Der Server für .com weiß, dass Sie nach einem Computer
im Namespace pearson.com suchen, und leitet Sie an den Server weiter, der mit die-
sem Teil des Namespace zu tun hat. Jetzt können Sie den Server, der für den Name-
space pearson.com verantwortlich ist, direkt nach der Adresse fragen.
Falls Ihnen dies Verfahren ineffizient vorkommt, sollten Sie einmal an die Unzahl
von Einträgen denken, die zu durchsuchen wären, wenn sich alle Einträge auf dem-
selben Server befänden. Ziehen Sie außerdem in Betracht, wie groß Server sein
34 Kapitel 1 Konfiguration und Grundlagen von Active Directory
müssten, um all die Anfragen von Benutzern befriedigen zu können. Die Verwen-
dung des hierarchischen Modells vermeidet die Notwendigkeit einer einzigen gro-
ßen Datenbank und die Überlastung einzelner Server.
Wenn Sie jetzt, statt auf den unteren Levels nur eine Datenbank mit Hostnamen zu
haben, die zuvor beschriebene Verzeichnisdatenbank auf jedem einzelnen Level
ansiedeln, haben Sie eine Struktur für die Domänen von Windows NT. Wenn wei-
terhin eines der Attribute, die Sie in den globalen Katalog aufnehmen wollen, der
eindeutige Name für ein beliebiges Objekt ist (der vollständige Name einschließlich
der Domäne und der Organisationseinheit, zu der das Objekt gehört), dann können
Sie beliebige Objekte im gesamten Unternehmen leicht ausfindig machen. Genau
dies hat Microsoft mit Active Directory realisiert.
Da es eine Domänenstruktur gibt, können Sie jetzt ein System erstellen, welches für
die Vertrauensstellungen sorgt, da die Struktur aus den Namen abgeleitet werden
kann. In Active Directory ist hierfür der Domänennamensmaster verantwortlich.
Ein solches System gewährleistet, dass alle Domänen Namen besitzen, die in den
Namespace passen.
Damit verfügen Sie über drei Schlüssel für die Einsatzbereitschaft von Active
Directory, die gleichzeitig die drei allen Domänen in Active Directory gemeinsa-
men Elemente darstellen:
Grundsätzlich gilt, dass nahezu alles ein Objekt ist. Natürlich ist dies etwas vage
ausgedrückt, jedoch in anderer Hinsicht auch wieder völlig korrekt. Windows 2000
(und auch andere Versionen von Windows) behandeln alles als ein Objekt, haupt-
1.4 Objekte in Active Directory 35
씰 Methoden. Alle Objekte verfügen über eine grundlegende Methode, die bei-
spielsweise das Objekt erstellt, öffnet und löscht. Darüber hinaus haben die
meisten Objekte Methoden, die für sie spezifisch sind. Hierzu gehören Aktio-
nen, die Sie auf dieses Objekt anwenden können, oder die das Objekt selbst
ausführen kann.
씰 Collections. Wenn eine Eigenschaft oder ein Attribut mehr als einen einzigen
Wert haben kann (wie etwa die Zutaten einer Mahlzeit), werden diese Werte
als Collection innerhalb eines Wertebereichs gespeichert. Die Anzahl der
Mitglieder einer Collection ist normalerweise unbekannt.
Methoden führen, wenn man es auf das Beispiel weiter oben mit der Datenbank
anwendet, Aktionen für eine Zeile aus. Eine Zeile können Sie hinzufügen, aus der
Tabelle löschen, oder die Daten darin bearbeiten. Solche Methoden sind allgemein
als Create-, Update- und Delete-Methoden bekannt. Beachten Sie, dass Sie diesel-
ben Verben (Methoden) auf alles im Betriebssystem einschließlich Dateien, Dru-
cker, Computer usw. anwenden können. Eben dadurch werden Objekte so beeindru-
ckend leistungsfähig: Die Anzahl Verben (Aktionen), die ein Computer verstehen
muss, wird dadurch stark reduziert. Man kann allgemeine Programmroutinen
schreiben, die mit diesen Funktionen arbeiten. Nicht nur die Programme schreiben
sich dadurch einfacher, sondern auch die Sicherheit wird einfacher implementiert,
da auf alle Objekte über dieselben Techniken zugegriffen wird.
Die Eigenschaften beziehen sich natürlich auf die Spalten in der Tabelle. Es gibt
offensichtliche Eigenschaften wie den Namen und Typ des Objekts. Gewisse Eigen-
schaften sind immer notwendig, wie beispielsweise der Besitzer des Objekts.
Collections sind Felder mit multiplen Werten, also Felder, in die Sie viele verschie-
36 Kapitel 1 Konfiguration und Grundlagen von Active Directory
dene Werte wie etwa »Groß« und »Blau« zum Beschreiben des Himmels eingeben
können (technisch gesehen, wird dies natürlich anders realisiert, als es hier zu
Anschauungszwecken beschrieben ist).
Eine Schlüsselcollection, die jedes Objekt besitzt, ist die Discretionary Access Con-
trol List (Zugriffssteuerungsliste, DACL), die dafür sorgt, dass das Sicherheitsmo-
dell ebenso leistungsfähig wie einfach handhabbar wird. Da auf jedes Objekt im
Betriebssystem auf dieselbe Art und Weise zugegriffen wird, und auch alles und
jedes eine DACL besitzt, fiel es Microsoft leicht, ein Referenzmodell für die Sicher-
heit zu entwickeln. Damit dieses Modell auch wirklich funktioniert, muss allerdings
noch sichergestellt werden, dass jeder Prozess, Benutzer, Dienst und jedes Pro-
gramm, welche auf ein Objekt zugreifen, auch über einen Sicherheitskontext verfü-
gen.
Ein Sicherheitskontext bedeutet einfach nur, dass Sie wissen, welches Objekt (ver-
gessen Sie nicht, dass auch Benutzer Objekte sind), auf ein anderes Objekt zuzu-
greifen versucht. »Prozess« ist der allgemeine Begriff zur Beschreibung eines lau-
fenden Programms. Ein Prozess kann ein Hintergrundprozess wie etwa ein Dienst,
oder ein Vordergrundprozess wie etwa ein Benutzerprogramm sein. Bei der Anmel-
dung in Windows 2000 werden Sie zuerst gegenüber den Verzeichnisdiensten
authentifiziert. Anschließend wird ein Programm namens Explorer.exe ausgeführt.
In dieser Shell befinden Sie sich mit Ihrer Sitzung – es verwaltet Ihren Desktop,
zeichnet die Taskleiste auf den Bildschirm und bearbeitet die Aktionen, die Sie auf
Ihrem Desktop unternehmen, wie beispielsweise den Klick auf das Start-Menü.
Nachdem Sie authentifiziert worden sind und der Explorer für Sie gestartet wurde,
stehen Informationen über Sie im System zur Verfügung. Diese Informationen
bestehen aus Ihrer eindeutigen Objekt-ID (Ihre SID) und den eindeutigen Objekt-
IDs für die Gruppen, zu denen Sie gehören (deren SIDs). Zusammen bilden diese
das Zugriffstoken. Beim Start eines Programms wie Word werden die IDs an den
Explorer (Ihr Benutzerprozess) angehängt und mit der ACL der Word-Programm-
datei (und der dazugehörenden Dateien) verglichen. Sofern Sie die Berechtigung
besitzen, startet das System Word als einen weiteren Prozess und hängt Ihre Anmel-
deinformationen (Ihre Objekt-ID und die der Gruppen, zu denen Sie gehören) an
den Prozess an.
Da Windows 2000 unter Verwendung des beschriebenen Prozesses alles wie ein
Objekt behandelt, kann es die Sicherheit unabhängig von der Art und Weise
gewährleisten, wie ein Benutzer auf ein Objekt zugreift. Nach der Erklärung des
Objektzugriffs sollen Sie nun einen näheren Blick auf einige der Objekte von Active
Directory werfen.
1.4.1 Computer
Das Objekt Computer ist genau das, was es besagt, nämlich ein Computer irgendwo
im Unternehmen. Ein solches Objekt wird im Hintergrund dazu verwendet, alle
Computer zu Verwaltungszwecken zusammenzufassen. Über das Konto ist es darü-
ber hinaus möglich, Computern die Authentifizierung von Benutzeranmeldungen zu
überlassen, da der Computer weiß, welche Domäne für die Authentifizierung benö-
tigt wird. Später bei der Erörterung von Gruppenrichtlinien werden Sie auch bemer-
ken, dass Sie Gruppenobjekten (Konten) in einer Domäne Sicherheitsrichtlinien
zuweisen, Optionen für sie auswählen und sogar Software zuordnen können.
1.4.2 Benutzer
Benutzer sind offensichtlich ein recht großer Bestandteil eines Netzwerks, und ohne
sie wäre das gesamte Netzwerk wohl witzlos (obschon viel schneller!). Ein Benut-
zerobjekt enthält das Benutzerkonto, und erst mit diesem Konto ist der Benutzer in
der Lage, sich mit der Domäne zu verbinden.
1.4.3 Gruppen
Ein Gruppenobjekt (Konto) enthält eine Liste der Benutzer, die zu der Gruppe gehö-
ren. Unter Windows 200 kann es außerdem noch weitere Gruppen enthalten. Diese
Objekte werden bei der Vergabe von Berechtigungen auf andere Objekte eingesetzt,
was das umständliche Hinzufügen einzelner Benutzerkonten vermeidet und anstelle
dessen die Arbeit mit einer größeren Gruppe von Benutzern innerhalb eines einzi-
gen Schrittes ermöglicht. Gruppen werden auch dazu verwendet, eine Anzahl von
Benutzerkonten in einem einzigen Objekt zusammenzufassen.
1.4.4 Drucker
In Windows 2000 verfügen Sie über die Option, für einen gemeinsam genutzten
Drucker ein Druckerobjekt in Active Directory zu erstellen. Hauptsächlich dient
diese Option dazu, den Benutzern im Netzwerk die Suche nach diesem Drucker zu
ermöglichen. Der Drucker bleibt dabei ein Objekt auf dem lokalen PC, der als
Druckserver fungiert und auch die Sicherheit übernimmt.
38 Kapitel 1 Konfiguration und Grundlagen von Active Directory
Vorstellung
In diesem Kapitel lernen Sie die grundlegenden Konzepte von Active Directory
kennen. Das Ziel dieses Kapitels ist, Ihnen die erforderlichen Voraussetzungen
für das Verständnis der nachfolgenden Kapitel zu vermitteln.
Im Sinne einer Einführung erfolgt nun auch die Vorstellung der Sonnenschein-
Brauerei. Dieses Unternehmen und das damit verbundene Netzwerk dient als
Basis für die Fallstudien, die am Ende jedes Kapitels stehen. Die Fallstudie ist
eine Gelegenheit für Sie, die Anwendung der Technologien, die im Buch
behandelt werden, auf eine Situation in der Praxis zu studieren.
Situationsbeschreibung
Wie beim Projektmanagement wird auch der größte Teil der vorbereitenden
Arbeit im Networking während der Planungs- bzw. Designphase erledigt. Da
sich dieses Buch jedoch vorwiegend mit der Implementierung beschäftigt, setzt
es die Designprinzipien voraus, die in der entsprechenden Literatur zur Prüfung
70-219 beschrieben werden.
Fallstudie: Vorstellung der Sonnenschein-Brauerei 39
Houston 2 15 0 66 98 350
New York 2 23 0 96 131 298
Buenos 1 8 0 45 67 245
Aires
St.John's 1 4 0 35 64 198
Paris 1 16 0 41 134 201
Moskau 1 6 0 24 54 126
Peking 1 2 0 88 140 320
Tokio 2 4 0 48 98 264
Wie Sie sich wahrscheinlich schon gedacht haben, ist die Aufteilung der Benut-
zer in sechs Gruppen nicht zufällig. Diese Gruppen repräsentieren nämlich die
wichtigsten Rollen innerhalb des Unternehmens, wobei jede Rolle verschie-
dene Anforderungen an das Netzwerk stellt.
Anforderungen
Die folgende Aufstellung enthält einen Überblick über die verschiedenen
Anforderungen an die Benutzergruppen:
Die Benutzer aus Forschung und Entwicklung haben die Option zur Heim- oder
Büroarbeit. Außerdem verfügen sie über gemeinsam genutzte Arbeitsplätze, an
denen sich jeder Benutzer dieser Abteilung niedersetzen und arbeiten kann.
Diese Benutzergruppe möchte, dass an jedem der gemeinsam genutzten Sys-
teme alle Anwendungen verfügbar sind, jedoch jeder einzelne Benutzer seine
eigenen Desktopeinstellungen verwalten kann.
IT (1.077 Benutzer)
Die IT-Abteilung jedes Unternehmensstandorts kümmert sich um die lokalen
Computer der Produktionssysteme unter UNIX und der Windows-Systeme der
übrigen Benutzer. Das IT-Personal reist häufig zwischen den Zweigstellen hin
und her, um die Systeme zu verwalten und zu aktualisieren. Es benötigt von
jeder Zweigstelle aus den Zugriff auf seine E-Mail-Postfächer. Darüber hinaus
muss es auf Programme für die Fehlersuche und -beseitigung zugreifen können,
die sich auf verschiedenen Servern im Netzwerk befinden.
Das Büro in Kapstadt ist an das Internet über eine Standleitung mit 512 Kbps
angeschlossen. Zusätzlich ist es über eine Verbindung mit 512 Kbps mit dem
Büro in Buenos Aires und mit Ottawa verbunden.
Situationsanalyse
Die erste große Entscheidung, die Sie treffen müssen, besteht darin, wie Sie die
privaten und öffentlichen DNS-Namen integrieren. Im vorliegenden Fall sind
davon mehrere Länder betroffen. Wahrscheinlich muss pro Land eine Domäne
registriert werden, damit eine länderspezifische Anpassung gegeben ist. Dies
hat zur Folge, dass Sie mehrere verschiedene Namen im externen Netzwerk
haben werden. Dies in Kombination mit Bedenken über die versehentliche Ein-
bindung von Servern oder Adressen ins Internet ergibt die Schlussfolgerung,
besser eine interne Adresse zu verwenden. Eine nahe liegende Adresse lautet
SonnenscheinBrauerei.local, der Sie daher auch in der gesamten Fallstudie
begegnen werden.
Die Aufteilung der Domänen ist ein sehr großes Problem und erfordert eine
Studie darüber, welche Veränderungen in welchem Ausmaß auftreten können.
Wenig Änderungen würde bedeuten, dass auch nur wenig repliziert werden
muss. Das Unternehmen hat weltweit 16.072 Mitarbeiter, was bedeutet, dass
alles, was weiter über einen Mitarbeiterwechsel von 5% pro Monat hinaus-
reicht, zu einem Problem werden kann. Außerdem müssen Sie noch die Kenn-
wortrichtlinien in Betracht ziehen – werden die Kennwörter häufig gewechselt,
haben Sie mit vermehrter Replikation in der Domäne zu rechnen.
Fallstudie: Vorstellung der Sonnenschein-Brauerei 47
Grundsätzlich gibt es drei Typen der Replikation, die Sie ins Design einbezie-
hen müssen: der globale Katalog, der häufig zwischen den Domänen gesendet
wird, das Schema und die Konfigurationspartition, die zwischen den Domänen
gesendet werden, wenngleich weniger häufig, sowie die Domänenpartition, die
alle Domäneninformationen enthält und häufig gesendet wird, wenn auch nur
innerhalb der Domäne.
Im vorliegenden Fall kann Ihnen die Kommunikation in der Personalabteilung
bei der Entscheidung helfen. Sie kann auch eine Hilfe hinsichtlich einer Ent-
scheidung zur Kennwortrichtlinie bieten. Bei der Sonnenschein-Brauerei liegt
der monatliche Mitarbeiterwechsel bei etwa 2%. Die Kennwortrichtlinie ver-
langt einen Kennwortwechsel alle 60 Tage. Unter dieser Voraussetzung und der
äußerst unterschiedlichen Anforderungen der Benutzer sollte die Domäne Son-
nenschein-Brauerei besser nach der Funktion als dem Standort aufgeteilt wer-
den. Die Administration wird hierdurch einfacher gestaltet, wenngleich gleich-
zeitig die Replikation vermehrt wird.
Das Design würde dann eine Domäne SonnenscheinBrauerei.local vorsehen,
die das IT-Personal und die Geschäftsleitung beherbergt, und eine unterge-
ordnete Domäne für jede der vier verbleibenden Funktionen: Forschung.Son-
nenscheinBrauerei.local, Administration.SonnenscheinBrauerei.local, Vertrieb
.SonnenscheinBrauerei.local und Produktion.SonnenscheinBrauerei.local.
Da die Struktur jetzt steht, müssen Sie nur noch festlegen, welche Organisa-
tionseinheiten und Standorte erstellt werden, was ziemlich einfach ist. Für die
Domänennamen gibt es zwei Grenzlinien, die Sie hätten verwenden können:
die Funktion und der geografische Gesichtspunkt. Da die Funktion bereits zum
Erstellen der Domänen benutzt worden ist, verbleibt für die weitere Aufteilung
der geografische Gesichtspunkt. Innerhalb jeder Domäne wird es daher eine
OU (Organisational Unit) für jeden Standort geben.
Vom Standpunkt des Netzwerks aus brauchen Sie eine Kontrolle der Replika-
tion zwischen den Orten, weshalb Sie für jeden einen Standort erstellen wer-
den. An großen Standorten müssen Sie außerdem die Auswirkung der Replika-
tion auf das Netzwerk in Erwägung ziehen, was bedeutet, dass Sie die Büros
wahrscheinlich aufteilen müssen. Denken Sie gleichwohl daran, dass die Ver-
triebs-Benutzer nicht immer im Büro sind, sodass Sie nicht für alle von ihnen
Vorkehrungen treffen müssen. Um das Beispiel einfach zu gestalten, werden
die großen Büros in zwei oder drei Standorte nach dem Gebäudeteil aufgeteilt.
48 Kapitel 1 Konfiguration und Grundlagen von Active Directory
Jetzt haben Sie die Grundlage des Netzwerks. In den noch folgenden Fallstu-
dien werden Sie verfolgen können, wie das DNS konfiguriert, die Domänen
eingerichtet und die Standorte und OUs erstellt werden. Später werden Sie
einen Blick auf die Überwachung des Netzwerks werfen und erfahren, welche
Schwachstellen auftreten können und wie die Daten des Netzwerks gesichert
werden. Es wird weiterhin eine Erörterung darüber geben, wie die Gruppen-
richtlinien erstellt, auf reisende Benutzer angewendet und zur Verwaltung der
Desktopumgebung eingesetzt werden. Sie werden ein Beispiel für die Installa-
tion der Software und deren Verwaltung über Gruppenrichtlinien kennen ler-
nen. Zum Schluss werden Sie noch erfahren, wie der RAS-Server in dieser
Umgebung dazu verwendet werden kann, Windows 2000 Professional einzu-
führen.
Zusammenfassung
An diesem Punkt wird es hilfreich für Sie sein, alle vorgestellten Informationen ein-
mal in der Zusammenfassung zu betrachten.
Active Directory ist eine Datenbank, die mehrere Tabellen enthält, und zwar eine
für jede Klasse bzw. jeden Typ eines Objekts. Die Tabellen enthalten eine eindeu-
tige ID und verschiedene Attribute (Eigenschaften) der aufgeführten Objekte. Aus
jeder dieser Tabellen werden Schlüsselfelder in den globalen Katalog kopiert, der
zwischen allen Domänen im Unternehmen repliziert wird. Die Struktur der Daten-
bank ist im gesamten Unternehmen dieselbe und wird vom Schemamaster verwal-
tet. Die Domänen werden in Windows 2000 aus Gründen der administrativen Gren-
zen und Replikationsgrenzen verwendet. Die Domänen sind in einer Hierarchie
miteinander verbunden, die auf dem DNS-System beruht.
Dieses Kapitel bot eine Einführung in Active Directory und einen Überblick über
seine Funktionsweise. Die folgenden Fragen werden Sie beim Rekapitulieren des
vorgestellten Stoffes unterstützen.
Wiederholungsfragen
1. Was wird in Active Directory für jeden Objekttyp, den es enthält, erstellt?
2. Was ist der Zweck des globalen Katalogs?
3. Was ist die Aufgabe des Schemamasters?
4. Jedes Objekt besitzt mindestens drei Attribute. Welche sind es?
5. Welche drei Dinge sind allen Domänen in Active Directory gemeinsam?
Zusammenfassung 49
Lernziele
2
Dieses Kapitel behandelt die DNS-Server in Windows 2000 in Beziehung zu Active
Directory. Obwohl sich das Kapitel überwiegend damit befasst, wie die Integration
von Active Directory realisiert wird, beginnt es mit einem kurzen Überblick über
die Grundlagen von DNS. Anschließend wird die Installation unter besonderer
Berücksichtigung der Rolle eines DNS-Servers behandelt. Nachdem diese Grundla-
gen behandelt worden sind, wendet sich das Kapitel der Zusammenarbeit des DNS
mit Active Directory zu.
mit der Replikation von in Active Directory integrierten Zonen zu tun haben, verste-
hen.
Der DNS-Teil der Implementierung des Active Directory wird voraussichtlich nicht
umfangreich sein. Sie müssen sich hauptsächlich auf die folgenden Themen kon-
zentrieren:
2.1 Einführung
Der wahrscheinlich wichtigste Aspekt von Active Directory besteht darin, dass es
hierarchisch aufgebaut ist. Dadurch wird die Verwendung des Namespace-Konzep-
tes möglich, welches eine nahezu unbegrenzte Anzahl von Objekten erlaubt, die
gespeichert und dargestellt werden können. Auf diese Weise kann eine Organisation
eine einzige Stamm- bzw. Hauptdomäne einrichten, und diese dann in immer detail-
liertere Abschnitte unterteilen.
Denken Sie einen Moment lang mal an all die Unternehmen, mit denen Sie bereits
zu tun gehabt haben. Nahezu alle Unternehmen unterteilen ihre Organisation über
die Funktion in verschiedene Bereiche. So verfügen beispielsweise viele Unterneh-
men über Abteilungen für die Geschäftsführung, Buchhaltung, Personal, Vertrieb,
Produktion und Marketing.
Eine derartige Struktur stellt eine Hierarchie dar, in der sich die Geschäftsleitung an
der Spitze befindet, an die alle anderen Abteilungen berichten. Weiterhin können
Sie jede einzelne Abteilung – beispielsweise die Buchhaltung – in einen Abteilungs-
leiter, Manager oder Buchhalter unterteilen, der die Debitoren und Kreditoren über-
wacht. Dadurch entsteht eine weitere Hierarchieebene (siehe Abbildung 2.1).
Diese Organisation kann weiterhin Bereiche wie den Vertrieb und Marketing regio-
nal aufteilen. Alternativ dazu könnte die gesamte Organisation außerdem in geogra-
2.1 Einführung 53
Abbildung 2.1
Geschäftsleitung
Das Organigramm
des vorliegenden
Beispiels
Buchhaltung Vertrieb Logistik
Abteilungsleiter
Buchhaltung
Buchhaltung Buchhaltung
Debitoren Kreditoren
fische Standorte und anschließend in Funktionen für jeden Standort geordnet wer-
den. Dies kann erforderlich werden, wenn ein Unternehmen in verschiedenen
Ländern tätig ist und die Gesetze dieser Länder vom lokalen Personal den Umgang
mit Funktionen wie der Buchhaltung oder dem Versand verlangen.
Unter der Voraussetzung, dass Organisationen immer Ebenen aufweisen, ist es für
einen Verzeichnisdienst entscheidend, ein Verfahren zu finden, diese Ebenen in sei-
ner Struktur abzubilden. Eine solche Struktur begünstigt das Konzept des Name-
space. Wenn Sie als Beispiel einmal annehmen, dass John Young in der Buchhal-
tung und John D’Aoust in der Produktion arbeiten, so haben Sie hier gleichzeitig
sowohl den Namen eines Benutzers und des Namespace wie Buchhaltung oder Pro-
duktion vor sich, zu der der Benutzer gehört.
Durch die Einrichtung eines Verfahrens, mit dem nicht nur der Benutzername, son-
dern gleichzeitig der Namespace (bzw. die Domäne) verwaltet wird, in der sich der
Benutzer hierarchisch befindet, versetzt uns Active Directory in die Lage, einen
Benutzer eindeutig durch seinen vollständigen Namen zu identifizieren.
씰 Namenserver. Hierbei handelt es sich um Server, die Adress- und andere In-
formationen über Computer zur Verfügung stellen, die Sie im Internet oder
Intranet finden können.
Obgleich die schiere Anzahl der Hostcomputer, mit denen man sich verbinden
könnte, überwältigend ist, genügt tatsächlich allein der Name, um die Verbindung
herzustellen. Offensichtlich wäre dies unmöglich, wenn sich alle Listen auf einem
einzigen, riesigen Computer im Internet befinden würden. Wie ein Unternehmen
Abteilungen in Gruppen unterteilt, so müssen die Namenserver im Internet die
Domänennamen in handhabbare Teilstücke organisieren.
zu der Stammdomäne des Internet nach rechts. Jeder Bestandteil des Namens ist
durch einen Punkt getrennt (.). Für die Stammdomäne gibt es noch einen nachlau-
fenden Punkt, der normalerweise nicht eingegeben wird.
Es gibt verschiedene Toplevel-Domänen wie etwa .com, .edu und .gov, die
ursprünglich nur innerhalb der USA verwendet werden sollten. Dies ist jedoch nicht
immer der Fall, denn viele Unternehmen in der Welt haben Domänen wie .com, .org
oder .net registrieren lassen. In anderen Ländern als den USA stellt das Länderkür-
zel wie .de oder .au die Toplevel-Domäne dar.
Ab dem Secondlevel beginnt sich die Hierarchie bereits breit zu verteilen. Ab die-
sem Punkt können Unternehmen, Organisationen oder Einzelpersonen ihre eigenen
Namen registrieren lassen. Im vorigen Beispiel wurde Pearson mit der Domäne com
registriert. Die Registrierung mit der übergeordneten Domäne, die über Ihnen liegt,
ist wichtig, weil anderenfalls der nachfolgend beschriebene Auflösungsprozess
(»Einen FQDN auflösen«) nicht funktionieren würde.
56 Kapitel 2 DNS für Active Directory konfigurieren
Wenn Sie Ihren Namen registrieren, sind Sie selbst für die Namensauflösung in die-
sem Teil des Namespace verantwortlich. Aus diesem Grunde müssen Sie ein oder
auch mehr DNS-Namenserver bereitstellen. Falls Sie eine Domäne im Internet
registrieren, benötigen Sie im Allgemeinen zwei Namenserver. Das dahinter ste-
hende Konzept besagt, dass mindestens einer von diesen ständig verfügbar sein
sollte. Nach der Bereitstellung des Servers können Sie die Einträge für Ihre Domäne
in einer Zonendatei aufnehmen.
Wenn Sie beispielsweise bei Pearson.de arbeiten und die Buchproduktion von den
elektronischen Veröffentlichungen trennen möchten, könnten Sie eine Unterdomäne
namens elektronisch--- erstellen, die diesen Geschäftszweig auslagert. So erhalten
Sie eine Hauptdomäne namens pearson.de und eine Unterdomäne namens elektro-
nisch.pearson.de. Diese beiden könnten nun entweder separate Zonendateien dar-
stellen oder sich innerhalb derselben Zonendatei befinden. Sofern sie auf demselben
Server lagern, können sie sich in derselben Zonendatei befinden.
Falls die Domänen auf separaten Servern liegen, sind sie definitiv zwei getrennte
Zonen. In diesem Fall müssen Sie NS-Einträge (NS, Name Server) in die Zone pear-
son.de aufnehmen, die auf die Namenserver für elektronisch.pearson.de zeigen.
Dieser Prozess der Delegierung findet auch in den Namenservern des Internet dann
statt, wenn Sie Ihre Domäne registrieren lassen, denn diese enthalten NS-Einträge
für Ihre Unterdomäne. Mit den NS-Einträgen wird der Vorgang der Namensauflö-
sung überhaupt erst möglich.
Solange Sie nur nach Servern innerhalb des Namespace Ihrer Organisation suchen,
ist der lokale DNS-Server für die angefragte Domäne nicht autoritativ. Dies hat zur
Folge, dass der Server die von Ihnen nachgefragte Adresse außerhalb suchen muss.
Zu diesem Zweck nimmt er Verbindung mit anderen DNS-Servern in der Hierarchie
auf, um die bestmögliche Antwort auf die Anforderung zu finden. Dabei beginnt er
mit dem Stamm und arbeitet sich abwärts, bis er den Server gefunden hat, der für
die von Ihnen gesuchte Domäne autoritativ ist.
Ihr lokaler DNS-Server wird nun einen dieser Server nach der von Ihnen eingegebe-
nen Adresse befragen. Auch dieser Server kennt den Standort des Host nicht, weiß
aber, wo sich die Domäne pearson.com befindet. Daher wird er die NS-Einträge für
diese Domäne zurückliefern.
Ihr lokaler DNS-Server durchsucht nun die Namenserver für Pearson.com, die mit
der IP-Adresse des Servers www antworten werden. Dies bedeutet, dass Ihr Server
endlich die Adresse kennt und sie an den Resolver Ihres Systems zurückgeben kann.
Der Resolver auf Ihrem System reicht sie an den Browser weiter, der jetzt die Seite
auf dem Webserver eines anderen Unternehmens anzeigen kann. Der gesamte Vor-
gang wird in der Abbildung 2.2 veranschaulicht.
Wie Sie vielleicht bemerkt haben, gibt es tatsächlich zwei Typen von Anforderun-
gen in dieser Darstellung:
씰 Rekursiv. Die Anforderung von Ihrem System zum lokalen DNS-Server ist
eine rekursive Anforderung. Rekursive Anforderungen verlangen, dass der
Remote-Server entweder eine autoritative Antwort oder eine Meldung »nicht
gefunden« zurückliefert.
Abbildung 2.2
DNS-
Schritte bei der Auf- Root-
Server
lösung einer DNS- 2
Anforderung interaktive
Anforderung
3
empfängt Adresse
des .com Server
4
wiederholte Abfrage
DNS DNS-
Server 5 Server
empfängt Adresse laden empfängt Adresse .com
von www.erudite.com 8
von erudite.com
wie
de
rho
lte
em Ab
1 pfä fra
vo n ge
n e gt A
Rekursive Anforderung rud d r
ite sse e 6
www.erudite.com .co
m
DNS
Server
7 erudite.com
Client
Die Antworten werden auf dem lokalen Server für einen gewissen Zeitraum zwi-
schengespeichert, der vom Remote-Server festgelegt wird und unter der Bezeich-
nung TTL (Time To Live, Gültigkeitsdauer) bekannt ist. Dadurch wird es möglich,
Ihre nächste Anforderung an http://www.pearson.com aus dem Cache Ihres lokalen
DNS-Servers zu beantworten.
Dieser Teil des Kapitels geht davon aus, dass Sie bereits Erfahrungen mit der Instal-
lation von Windows 2000 haben. Es konzentriert sich daher auf die Installation und
Konfiguration des DNS-Servers.
2.3 DNS installieren 59
2.3.1 Voraussetzungen
Vor der Installation des DNS-Servers benötigen Sie einen arbeitsfähigen Windows
2000 Server oder Windows 2000 Advanced Server. Das System muss mit TCP/IP
konfiguriert sein, und genug Datenträgerplatz haben, um die zu installierenden Ein-
träge aufnehmen zu können.
Vorher sollten Sie, obschon nicht zwingend erforderlich, den Computernamen über-
prüfen. Hierdurch stellen Sie sicher, dass während der Installation von DNS kor-
rekte Informationen eingegeben werden können. Führen Sie zur Überprüfung des
Namens die folgenden Schritte aus:
HINWEIS
Autokonfiguration
Seit der Finalversion brauchen Sie den DNS-Server nicht mehr vorher zu konfigu-
rieren. Der Installations-Assistent von Active Directory konfiguriert den DNS-
Dienst auf dem Domänencontroller automatisch. Er konfiguriert unter Ver-
wendung von sicheren Aktualisierungen nur die Forward-Lookupzone als Active
Directory-integrierte Zone.
HINWEIS
Installation der Netzwerkdienste
In NT 4.0 werden die Netzwerkdienste unter Verwendung des Applets Netzwerk
in der Systemsteuerung installiert und entfernt. In Windows 2000 werden die
Netzwerkdienste als reguläre Systemkomponenten behandelt und daher normal
über das Applet Software installiert.
Abbildung 2.3
Mit diesem Vorgang wird der DNS-Server installiert. Als Nächstes müssen Sie die
Reverse- und Forward-Lookupzonen für Ihr Netzwerk erstellen. Danach können Sie
dann Active Directory installieren. Forward-Lookups lösen einen Namen in eine IP-
Adresse auf und Reverse-Lookups tun – Sie haben’s sich schon gedacht – das
Gegenteil!
씰 Cache-only Server
씰 Primärer Namensserver
씰 Sekundärer Namensserver
Jede einzelne dieser Rollen wird in den folgenden Abschnitten erläutert. Anschlie-
ßend folgt der Abschnitt mit dem Titel »DNS und Active Directory integrieren«, der
eine gänzlich neue Rolle behandelt: Active Directory-integriert.
2.4.1 Cache-only-Server
Dieser Server ist am einfachsten zu konfigurieren, da Sie hierfür lediglich den DNS-
Serverdienst installieren müssen. Danach haben andere Computer die Möglichkeit,
zum Zweck der Namensauflösung für Namen im Internet oder Intranet auf diesen
Server zu zeigen. Da dieser Servertyp keine Zonendateien besitzt, muss er für die
Auflösung ohnehin andere Server bemühen. Da er die Resultate anschließend zwi-
schenspeichert, ist dieser Servertyp auch als ein Cache-only-Server bekannt. Darü-
ber hinaus kann der Server als ein Forwarder konfiguriert werden; d.h., Ihr lokaler
Server kann einen anderen DNS-Server rekursiv zur Auflösung des Namens befra-
gen. Dies ist insbesondere in großen Organisationen sinnvoll, da ein einzelner gro-
ßer Server die Anfragen auflösen und für mehrere Server zwischenspeichern kann.
Die Chance, dass sich eine aufzulösende Adresse bereits im Cache des zentralen
Servers befindet, wird damit größer.
62 Kapitel 2 DNS für Active Directory konfigurieren
Es gibt zwei Typen von primären Zonen, mit denen Sie umgehen werden: Forward
und Reverse. Forward-Lookupzonen lösen, wie Sie weiter oben gesehen haben,
einen FQDN oder Hostnamen in eine IP-Adresse auf. Die Reverse-Zone geht umge-
kehrt vor und löst IP-Adressen in FQDNs auf. Die Konfiguration der beiden wird,
beginnend mit Reverse-Zonen, in den folgenden Abschnitten erörtert. Der DNS-
Server kann für Sie automatisch Reverse-Lookupeinträge erstellen.
2.4.3 Reverse-Loopupzonen
Eines der immer wieder verwirrenden Themen ist die Arbeitsweise einer Reverse-
Lookupzone. In Wirklichkeit ist diese jedoch wie so viele scheinbar komplizierte
Themen recht einfach zu verstehen. Als Erstes müssen Sie wissen, dass Forward-
Lookupzonen Namen von rechts nach links, nämlich beginnend mit der Stammdo-
mäne bis zum Toplevel und Secondlevel, auflösen. Wenn Sie sich eine IP-Adresse
anschauen, werden Sie feststellen, dass es dort genau anders herum läuft; d.h.,
anstelle des ersten Oktetts würde für jeden Host die letzte Zahl verändert werden
müssen. Der Vorgang wäre daher derselbe und müsste nur rückwärts bzw. von links
nach rechts ablaufen.
Wenn Sie möchten, dass der DNS-Server »reverse« arbeitet, müssen Sie zu diesem
Zweck erst einmal alle Resolver und Namenserver neu schreiben. Da es draußen
schon viele Tausend von ihnen gibt, wäre diese Aufgabe unerfüllbar. Da Sie also
den Vorgang selbst nicht umkehren können, müssen Sie eben die Daten umkehren!
Nehmen Sie die Zahlen aus der Adresse heraus und kehren Sie sie um – jetzt sucht
Ihr Resolver anstelle eines Lookups auf 152.124.25.14 nach 14.25.124.152; wie bei
einem FQDN von rechts nach links gelesen.
Abbildung 2.4
3. Blenden Sie den Server ein, den Sie konfigurieren, und klicken Sie mit der
rechten Maustaste auf REVERSE-LOOKUPZONEN. Wählen Sie im Kontext-
menü NEUE ZONE aus. Der Assistent zum Erstellen neuer Zonen wird gestar-
tet.
4. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum
Erstellen neuer Zonen weiterzuschalten.
5. Im nächsten Bildschirm (siehe Abbildung 2.5) können Sie den Typ der Zone,
Primär (Standard) oder Sekundär (Standard), festlegen. Weil Active Direc-
tory noch nicht installiert ist, ist ACTIVE DIRECTORY-INTEGRIERT grau darge-
stellt. Da es sich hier um die erste Zone handelt, sollten Sie PRIMÄR (STAN-
DARD) auswählen. Klicken Sie anschließend auf WEITER.
6. Geben Sie den ersten Teil der IP-Adresse ein, die die Zone zur Auflösung IP-
nach-FQDN verwenden soll. Dies ist entweder die Ihnen von InterNIC zuge-
wiesene Nummer, oder der Teil der Adresse eines privaten Netzwerks, der
für alle Hosts gilt. Überprüfen Sie den Dateinamen, den der Assistent erzeugt,
und klicken Sie auf WEITER (siehe Abbildung 2.6).
64 Kapitel 2 DNS für Active Directory konfigurieren
Abbildung 2.5
Abbildung 2.6
Eingabe der
IP-Adresse des
Netzwerks für die
Reverse-Lookup-
zone
2.4 Rollen für DNS-Server 65
HINWEIS
Datei von einem BIND-Server verwenden
Falls Sie diese Datei bereits auf einem anderen Server, gleichgültig welchen
Typs, erstellt haben sollten, können Sie sie in das Verzeichnis system-
root\system32\dns kopieren und anschließend im Feld Name der Reverse-
Lookupzone den Zonennamen und im nächsten Bildschirm den Dateinamen ein-
geben.
7. Als Nächstes müssen Sie einen Dateinamen eingeben. Sofern dies eine neue
Zone ist, wird ein Name vorgeschlagen, und Sie können auf WEITER klicken.
Andernfalls geben Sie den Zonen-Dateinamen in das Eingabefeld VORHAN-
DENE DATEI VERWENDEN ein, und klicken anschließend auf WEITER (siehe
Abbildung 2.7).
Abbildung 2.7
Forward-Lookupzonen
Der Vorgang zum Erstellen einer Standard-Forward-Lookupzone ähnelt dem Vor-
gang zum Erstellen einer Reverse-Lookupzone und wird in der nachstehenden
Schritt-für-Schritt-Anleitung behandelt.
Wie Sie selbst gesehen haben, ist die Konfigurierung einer Forward-Lookupzone
recht einfach. Wenn Sie diese Arbeit hinter sich gebracht haben, können Sie noch
weitere Eigenschaften der Zone einstellen. Anschließend konfigurieren Sie dann die
sekundären Server.
2.4 Rollen für DNS-Server 67
Abbildung 2.8
Eingabe des
Domänennamens
für eine Forward-
Lookupzone
Abbildung 2.9
Im Allgemeinen ist die Konfiguration der Zone eine simple Angelegenheit. Die fol-
gende Schritt-für-Schritt-Anleitung erläutert die Dialogfelder für die Eigenschaften
der Zonen.
Beim Konfigurieren einer primären Zone stehen Ihnen die folgenden Optio-
nen zur Verfügung:
Abbildung 2.10
Die Registerkarte
ALLGEMEIN für eine
Forward-Lookup-
zone
2.4 Rollen für DNS-Server 69
Allgemein
Die Registerkarte ALLGEMEIN (siehe Abbildung 2.10) ermöglicht die Konfiguration
der grundlegenden Informationen zur Zone. Zu den verfügbaren Optionen gehören:
씰 STATUS. Teilt Ihnen den aktuellen Status der Zone mit und ermöglicht Ihnen
das Anhalten (durch Klicken auf die Schaltfläche ANHALTEN) oder Starten
einer Zone (durch Klicken auf die Schaltfläche STARTEN).
씰 TYP. Hiermit können Sie den Typ der Zone auf primär, sekundär oder Active
Directory-integriert umschalten. Die Funktion kann dazu verwendet werden,
im Falle eines Ausfalls eines primären Servers die Serverrolle zu ändern. Au-
ßerdem steht Ihnen mit dieser Funktion die Möglichkeit zur Verfügung, einen
Server zu ändern, der ursprünglich während der Installation als ein Active Di-
rectory-integrierter Server verwendet worden ist.
씰 ZONENDATEINAME. Mit dieser Funktion können Sie den Namen der Zonen-
datei ändern, ohne Daten zu verlieren. Beachten Sie, dass sich die Zonenin-
formationen eigentlich in der Registrierung befinden, und die Datei von Zeit
zu Zeit aus Gründen der Kompatibilität gegenüber sekundären BIND-Servern
aktualisiert wird. Eine Aktualisierung erzwingen Sie mit SERVERDATENDATEI
AKTUALISIEREN im Kontextmenü.
씰 ALTERUNG. Da sich die Systeme selber registrieren können, werden Sie gele-
gentlich Einträge finden, die nicht länger gültig sind und von einem Compu-
ter stammen, der entfernt wurde oder ein Notebook von einem Besucher des
Büros war. Mit ALTERUNG können Sie einstellen, dass das System derartige
Einträge, die dynamisch erstellt worden sind, von Zeit zu Zeit überprüft und
löscht. Nach Klicken auf die Schaltfläche ALTERUNG stehen Ihnen drei Aus-
wahlmöglichkeiten zur Verfügung:
씰 SERIENNUMMER. Dies ist die Seriennummer der Zonendatei. Sie wird immer
dann inkrementiert, wenn die Datei geändert wird. Die sekundären Server
vergleichen ihre eigene Seriennummer mit derjenigen des primären Servers
und kopieren (AXFR) die Datei, falls sich die Nummern unterscheiden. Sie
erzwingen einen Kopiervorgang an einen sekundären Server, indem Sie diese
Nummer heraufsetzen. Ein Windows-2000-Server kann außerdem eine inkre-
mentelle Zonenübertragung nutzen, die nur Änderungen überträgt, die seit
der letzten Versionsnummer geschehen sind. Hierdurch wird die zu übertra-
gende Datenmenge verringert.
씰 PRIMÄRER SERVER. Dies ist der Name des primären Servers. Dieser Server
besitzt die aktualisierbare (Lesen/Schreiben) Version der Zonendatei.
씰 VERANTWORTLICHE PERSON. Dies ist die E-Mail-Adresse der Person, die für
die Zone verantwortlich ist. Das Zeichen @ in der Adresse wird durch einen
Punkt ersetzt, damit der Eintrag korrekt in der Zonendatei gespeichert werden
kann, denn das Zeichen @ bedeutet »diese Zone«.
씰 LÄUFT AB NACH. Nach diesem Zeitraum stoppt ein sekundärer Server die
Auflösung einer Adresse für eine Zonendatei, die er nicht verifizieren kann.
2.4 Rollen für DNS-Server 71
Abbildung 2.11
Die Registerkarte
AUTORITÄTSUR-
SPRUNG (SOA) für
eine Forward-
Lookupzone
씰 TTL FÜR DIESEN EINTRAG. Den primären Server können Sie jederzeit ändern.
Möglich wird dies durch die Aufnahme einer Ablaufzeit in den Eintrag AU-
TORITÄTSURSPRUNG. Der Server stellt über diesen Eintrag fest, ob er bei Ab-
lauf dieser TTL immer noch der primäre Server ist.
Namenserver
Die Registerkarte NAMENSERVER (siehe Abbildung 2.12) führt die Namenserver in
dieser Zone auf. Durch die Nennung eines Servers an dieser Stelle wird ein NS-Ein-
trag für die Zone erstellt. Hier sollte für eine Übereinstimmung mit den Servern
gesorgt werden, die in der Domäne eine Ebene weiter oben registriert sind, da diese
Domäne diese Einträge zurückliefert, sobald andere Server Anforderungen für Ihre
Domäne stellen.
72 Kapitel 2 DNS für Active Directory konfigurieren
Abbildung 2.12
In dieser Register-
karte können Sie
Namenserver für
Ihre Domäne hinzu-
fügen, bearbeiten
oder entfernen
WINS
In einem Netzwerk nur mit Windows 2000 sollten Sie diesen Eintrag nicht benöti-
gen, da sich alle Ihre Systeme direkt beim DNS-Server registrieren. Falls Sie jedoch
noch ältere Windows-Clients unterstützen müssen, bedarf es unter Umständen einer
Konfiguration der Registerkarte WINS (siehe Abbildung 2.13). Sie sorgt dafür, dass
der Server die IP-Adresse von einem oder mehreren WINS-Servern erhält, die er
befragen kann, falls er den von Ihnen gesuchten Namen nicht hat. Der DNS-Server
befragt den WINS-Server nach dem Hostnamen, und kann dann zum Erstellen des
FQDN den Dateinamen der Zonendatei anhängen.
씰 IP-ADRESSE. An dieser Stelle können Sie die IP-Adressen der von Ihnen ein-
gesetzten WINS-Server hinzufügen, entfernen oder anordnen.
씰 ERWEITERT. An dieser Stelle erscheint ein weiteres Dialogfeld mit den fol-
genden Auswahlmöglichkeiten:
Abbildung 2.13
Die Registerkarte
WINS in einer For-
ward-Lookupzone
Zonenübertragungen
Die letzte Registerkarte in der Konfiguration der Forward-Lookupzone ist die
Registerkarte ZONENÜBERTRAGUNGEN (siehe Abbildung 2.14). Hier kann einge-
stellt werden, wie Zonenübertragungen, also Kopiervorgänge von einem primären
zu einem sekundären Server, stattfinden sollen. Sie können die Konfiguration auf
dem Server mit der primären Zonendatei oder dem Server mit einer sekundären
Datei vornehmen. Auf dem sekundären Server werden dadurch andere sekundäre
Server mitbetroffen, die ihre Kopie der Zonendatei von diesem bekommen. In die-
ser Rolle ist der Server der Masterserver.
74 Kapitel 2 DNS für Active Directory konfigurieren
Abbildung 2.14
Die Registerkarte
ZONENÜBERTRAGUN-
GEN für eine For-
ward-Lookupzone
WINS-R
Da dies die einzige wirklich unterschiedliche Registerkarte (siehe Abbildung 2.15)
ist, wird sie hier als einzige genannt. Der WINS-R-Eintrag zeigt auf die Forward-
Zonendatei. Der Name dieser Zone wird an die Einträge angehängt, die in Reverse-
Anforderungen zurückgeliefert werden.
씰 CACHEZEITLIMIT. Legt fest, wie lange der Name auf dem DNS-Server
zwischengespeichert wird.
씰 LOOKUPZEITLIMIT. Legt fest, wie lange der DNS-Server auf den WINS-
Server wartet, wenn dieser nicht verfügbar ist.
Abbildung 2.15
Die Registerkarte
WINS-R, die von
Ihnen lediglich die
Eingabe der For-
ward-Lookupzone
erwartet
2.4.4 Sekundär
Zusätzlich zum primären Server müssen Sie noch einen oder mehrere Server als
sekundäre Server konfigurieren. Wie Sie wahrscheinlich schon der Konfigurations-
beschreibung einer Forward-Lookupzone entnehmen konnten, kopiert ein sekundä-
rer Server die Zonendatei eines anderen Servers, der primär oder sekundär sein
kann. Im letzteren Fall ist dieser Server gleichzeitig ein Masterserver. Die folgende
Schritt-für-Schritt-Anleitung beschreibt die Einrichtung eines sekundären Servers.
2.4 Rollen für DNS-Server 77
Abbildung 2.16
Eingabe des
Namens der sekun-
dären Zone
6. Geben Sie die IP-Adresse des Masterservers ein, von dem Sie die Zone
kopieren (siehe Abbildung 2.17), und klicken Sie auf WEITER.
7. Überprüfen Sie im letzten Bildschirm des Assistenten die eingegebenen
Informationen und klicken Sie auf FERTIG STELLEN. Unter Umständen dauert
es nun einige Zeit, bis die Zoneninformationen kopiert worden sind.
78 Kapitel 2 DNS für Active Directory konfigurieren
Abbildung 2.17
Eingabe der
IP-Adresse des
Masterservers
씰 Sie verwenden intern und extern dieselbe Domäne (nutzen Sie z.B. den DNS-
Namen, den Sie über InterNIC registriert haben, wie etwa MCP.com).
씰 Sie verwenden eine Unterdomäne der externen Domäne (erstellen Sie z.B.
aus Ihrer öffentlichen Domäne für Active Directory eine Unterdomäne, wie
etwa AD.MCP.com).
씰 Sie verwenden eine interne separate Domäne (benutzen Sie intern z.B. einen
anderen Namen wie MCP.local. Da Sie keine Registrierung über InterNIC
vornehmen, kann eine beliebige Toplevel-Domäne benutzt werden. Microsoft
empfiehlt .local.).
2.5 DNS und Active Directory integrieren 79
Unabhängig vom Verfahren, welches Sie zur Integration der öffentlichen und priva-
ten Netzwerke wählen, sollten Sie immer als Erstes die Reverse- und Forward-
Lookupzonen konfigurieren.
Vergessen Sie nicht, dass Sie keine Active Directory-integrierte Zone einsetzen
müssen, wenn Sie Server verwenden, die nicht mit Microsoft laufen, oder wenn Sie
keine Zoneninformationen in Active Directory veröffentlichen möchten. Wenn Sie
eine Active Directory-integrierte Zone erstellen, müssen Sie als DNS-Server einen
Windows-2000-Domänencontroller einsetzen.
Bei Standardzonen haben Sie die Auswahl unter JA oder NEIN. Ja lässt Aktualisie-
rungen zu, während NEIN keine Aktualisierungen erlaubt. Falls es sich beim Typ der
Zone um Active Directory-integriert handelt, verfügen Sie außerdem noch über die
Option NUR GESICHERTE AKTUALISIERUNGEN. Ist eine Zone in Active Directory
integriert, werden die Zoneninformationen in Active Directory verschoben, sodass
Sie dort Berechtigungen vergeben können. Bei Aktivierung von NUR GESICHERTE
AKTUALISIERUNGEN sind Computer mit Computerkonten in der Gesamtstruktur, in
der sich der DNS-Server befindet, zum Registrieren eines Computers in der Lage.
HINWEIS
Ein DHCP-Server ist jeder Server, auf dem ein DHCP-Dienst bzw. -Dämon läuft.
Ein solcher Dienst versorgt Clients mit einer IP-Adresse und einer Subnetzmaske.
Darüber hinaus können in Abhängigkeit vom Typ des Clients, der die Adresse an-
fordert, weitere Konfigurationsoptionen gesendet werden.
Clients mit Windows 2000 aktualisieren standardmäßig die Informationen auf dem
DNS-Server. In den folgenden Fällen nimmt der Client eine Änderung dieser Infor-
mationen auf dem DNS-Server vor:
씰 Die vom DHCP-Server geleaste IP-Adresse wird routinemäßig oder als Er-
gebnis eines vom Benutzer ausgelösten IPCONFIG/RENEW-Befehls aufge-
frischt bzw. geändert.
In allen diesen Fällen muss das System die Informationen aktualisieren. Der Aktua-
lisierungsprozess führt die folgenden Schritte aus:
씰 Der Netlogon-Dienst registriert sich bei dem oder den DNS-Servern, damit
den Benutzern Dienste zur Verfügung stehen.
82 Kapitel 2 DNS für Active Directory konfigurieren
mydom.local.600 IN A 10.10.10.200
_ldap._tcp.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_ldap._tcp.pdc._msdcs.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_ldap._tcp.gc._msdcs.mydom.local.600 IN SRV 0 100 3268
comp.mydom.local.
_ldap._tcp.a3c99adb-f3fe-4a88-8ea8-
7fc4945be8d6.domains._msdcs.mydom.local.600 IN SRV 0 100
389 comp.mydom.local.
gc._msdcs.mydom.local.600 IN A 10.10.10.200
2b8e8e62-6f26-4d89-ab0e-29ce9cec8458._msdcs.mydom.local.
600 IN CNAME comp.mydom.local.
_kerberos._tcp.dc._msdcs.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_ldap._tcp.dc._msdcs.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_kerberos._tcp.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_gc._tcp.mydom.local.600 IN SRV 0 100 3268
comp.mydom.local.
_kerberos._udp.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_kpasswd._tcp.mydom.local.600 IN SRV 0 100 464
comp.mydom.local.
_kpasswd._udp.mydom.local.600 IN SRV 0 100 464
comp.mydom.local.
2.5 DNS und Active Directory integrieren 83
_ldap._tcp.Default-First-Site-Name._sites.mydom.local.600
IN SRV 0 100 389 comp.mydom.local.
_ldap._tcp.Default-First-Site-
Name._sites.gc._msdcs.mydom.local.600 IN SRV 0 100 3268
comp.mydom.local.
_kerberos._tcp.Default-First-Site-
Name._sites.dc._msdcs.mydom.local.600 IN SRV 0 100 88
comp.mydom.local.
_ldap._tcp.Default-First-Site-
Name._sites.dc._msdcs.mydom.local.600 IN SRV 0 100 389
comp.mydom.local.
_kerberos._tcp.Default-First-Site-Name._sites.mydom.local.
600 IN SRV 0 100 88 comp.mydom.local.
_gc._tcp.Default-First-Site-Name._sites.mydom.local.600 IN
SRV 0 100 3268 comp.mydom.local.
In jeder Zeile der Datei wird ein anderer Dienst beim DNS-Server registriert. Das
Format dieser Zeilen lautet folgendermaßen:
Sobald mehrere Server denselben Dienst anbieten, zeigt der Wert preference an,
welcher bzw. welche Einträge bei einer Anforderung an diesen Dienst als erste
zurückgeliefert werden sollen. Niedrige Werte kommen zuerst an der Reihe. Haben
mehrere Server denselben preference-Eintrag, wird der zu bevorzugende Server
mit weight bestimmt. port legt fest, an welchem Port sich der Dienst befindet. Diese
Informationen werden an den Client weitergegeben, sodass auch Nichtstandard-
Ports verwendet werden können. target schließlich gibt entweder eine IP-Adresse
oder einen Hostnamen an.
Im Moment ist es nicht wichtig, welche speziellen Einträge registriert werden. Bis
zu diesem Punkt müssen Sie lediglich wissen, dass die Datei existiert und zur Regis-
trierung von Netzwerkdiensten verwendet wird.
84 Kapitel 2 DNS für Active Directory konfigurieren
Um einen DNS-Server als einen sekundären Server für eine existierende Zone zu
konfigurieren, müssen Sie die folgenden Schritte ausführen:
HINWEIS
Geduld
Unter Umständen dauert es nun einige Zeit, bis die Zoneninformationen kopiert
worden sind.
einfach integrierte Server werden. Der Grund liegt darin, dass die erforderlichen
Informationen aus Active Directory geladen werden. Es ist Active Directory, wel-
ches die Replikation kontrolliert. Anstelle von Zonenübertragungen fordern die
DNS-Server alle 15 Minuten Aktualisierungen von Active Directory an (wird in den
Zoneneigenschaften eingestellt).
Aus diesem Grunde sind auch alle Domänencontroller einer Active Directory-inte-
grierten Zone mit DNS in der Lage, Aktualisierungen zu übernehmen, da sie über
eine aktualisierbare Kopie der Zone verfügen.
Sie sollten sich darüber im Klaren sein, dass die Zonendaten innerhalb der Domäne
gespeichert werden, in der sich auch die DNS-Server befinden. Das dabei auftau-
chende Problem besteht darin, dass Daten der Active Directory-integrierten Zonen
über die Replikation des Active Directory nur innerhalb einer einzigen Zone repli-
ziert werden können. Sie können daher auch nur eine einzige Domäne zur Verwen-
dung Active Directory-integrierter Zonen konfigurieren. Alle anderen Domänen
benötigen sekundäre DNS-Server gegenüber der Active Directory-integrierten
Zone.
Microsoft hat bedeutende Zeit und Mühe darauf verwandt, hierfür die RFC-Kompa-
tibilität zu gewährleisten. Dies bedeutet, dass ein Microsoft-DNS-Server in der
Lage sein sollte, mit sämtlichen anderen Typen von DNS-Servern am Markt zusam-
menzuarbeiten. Hauptsächlich werden dies die BIND-Systeme (BIND, Berkeley
Internet Name Domain) sein.
Diese Art Server kann sich so verhalten, als wäre sie sekundär gegenüber Active
Directory-integrierten Servern. Finden Übertragungen zwischen zwei DNS-Servern
auf zwei Servern mit Windows 2000 statt, werden die übertragenen Daten kompri-
miert, was normalerweise zu einem Abbruch der Übertragung zu einem Server ohne
Windows 2000 führt. Diese Option kann daher über das Snap-In für DNS abge-
schaltet werden, und wird in der Schritt-für-Schritt-Anleitung 2.9 erläutert.
2.7 Fehlerbehebung im DNS 87
HINWEIS
BIND-Versionen
Die Abschaltung der Kompression ist nur bei der BIND-Version 4.9.4 und davor
erforderlich. Dies dürfte für Sie jedoch kein Thema sein, da Sie zur Unterstützung
der SRV-Ressourceneinträge mindestens 4.9.6, und für die vollständige Kompati-
bilität zur dynamischen Aktualisierung 8.1.2 brauchen.
Auch wenn diese Option korrekt eingestellt ist, kann es immer noch Probleme
geben, falls der Server, der die Einträge empfängt, diese nicht richtig versteht.
Unterstützt der Server beispielsweise keine SRV-Einträge, können diese Einträge
fehlerhaft verarbeitet werden, und die Übertragung misslingen lassen.
Sicherheit
Als Erstes sollten Sie überprüfen, ob der Computer überhaupt berechtigt ist, dem
DNS-Server dynamisch Einträge hinzuzufügen. Dies stellen Sie über die Zonenei-
genschaften auf der Registerkarte SICHERHEIT fest.
Falscher DNS-Server
Überprüfen Sie die DNS-Konfiguration und stellen Sie sicher, dass der Client auf
einen DNS-Server zeigt, der dynamische Aktualisierungen unterstützt oder ein
sekundärer Server ist, der auf einen solchen zeigt. Stellen Sie weiterhin sicher, dass
der Domänenname richtig eingegeben wurde und mit einer Domäne auf dem Server
übereinstimmt, bei dem Sie sich registrieren wollen.
Protokollierung
In der Registerkarte PROTOKOLLIERUNG können Sie Protokollierungsoptionen ein-
schalten, mit denen Sie die Aktivitäten des DNS-Servers verfolgen. Sie haben die
Möglichkeit, die folgenden verschiedenen Dinge zu protokollieren:
씰 SENDEN. Protokolliert die Anzahl der iterativen Anforderungen, die vom Ser-
ver gesendet worden sind.
씰 UDP. Protokolliert die Anzahl von Anforderungen, die unter Verwendung des
Protokolls UDP (User Datagram Protocol) empfangen worden sind.
씰 TCP. Protokolliert die Anzahl von Anforderungen, die unter Verwendung des
Protokolls TCP (Transmission Control Protocol) empfangen worden sind.
Überwachen
Über die Registerkarte ÜBERWACHEN können Sie den DNS-Server testen, um
sicherzustellen, dass er korrekt arbeitet. Sie können den Testtyp (einfach oder rekur-
siv) festlegen, und anschließend entweder mit der Schaltfläche JETZT TESTEN den
Test sofort starten oder später ausführen lassen.
씰 Der vollständige FQDN des Host wurde aufgelöst, jedoch nicht der Name al-
lein. Dies ist in der Regel das Ergebnis einer fehlerhaften Konfiguration auf
dem Client. Stellen Sie sicher, dass die DNS-Einstellung hinsichtlich des Do-
mänennamens korrekt ist.
C:\>nslookup behemoth.scrimtech.local
Server:cyclops.scrimtech.com
Address:24.142.192.45
Name:behemoth.scrimtech.local
Addresses:10.10.10.200,24.112.93.248
Der andere Typ einer Anforderungen ist die Reverse-Anforderung, die hilfreich sein
kann, wenn Sie einen Host nicht finden können, von dem Sie wissen, dass er exis-
tiert. Durch die Anfrage nach der IP-Adresse dieses bekannten Host sind Sie in der
Lage, den mit dem Host verknüpften Namen zu ermitteln, wie das folgende Beispiel
zeigt:
C:\>nslookup 207.236.145.38
Server:cyclops.scrimtech.com
Address:24.142.192.45
Name:virgile.hq.newroma.com
Address:207.236.145.38
씰 /DISPLAYDNS. Zeigt die Einträge vom DNS-Server an, die sich aktuell im Ca-
che befinden. Damit können Sie überprüfen, ob der DNS-Server die richtigen
Informationen liefert.
Situationsbeschreibung
Sie haben in diesem Kapitel erfahren, wie DNS arbeitet und in Windows 2000
Active Directory eingesetzt wird. Da Sie also jetzt über Hintergrundwissen
über dieses Thema verfügen, wird es Zeit, das Gelernte auf die Praxis anzuwen-
den. Die Fallstudie wird Ihnen zeigen, wie DNS in der Sonnenschein-Brauerei
konfiguriert wird.
Bevor Sie Active Directory installieren und Ihren ersten Benutzer erstellen
können, müssen Sie sicher sein, dass Sie über eine betriebsbereite DNS-Struk-
tur verfügen. Wie Sie sich vielleicht noch aus der Fallstudie des Kapitels 1 erin-
nern, haben die Netzwerkdesigner die Organisation so aufgeteilt, dass sich aus
dieser Art der Aufteilung fünf verschiedene Domänen ergeben. Jetzt müssen
Sie an die praktische Seite des Designs herangehen und schauen, wie Sie eine
Namensauflösung über alle Domänen und Standorte hinweg, aus denen die
Sonnenschein-Brauerei besteht, gewährleisten.
Situationsanalyse
Die beste Wahl in diesem Fall ist eine Active Directory-integrierte Zone für die
Stammdomäne. Die anderen Domänen werden untergeordnete Domänen dieser
Domäne.
Ganz offensichtlich müssen Sie eine Domäne erstellen, die von Active Direc-
tory genutzt werden kann. In diesem Fall werden die Windows-2000-DNS-Ser-
ver, die gleichzeitig Domänencontroller sind, DNS bearbeiten. Der erste Server
wird installiert und DNS auf diesem Server geladen. Dieser Server wird gleich-
zeitig der Server sein, den Sie als Ersten in Ihrer Struktur installieren. Nachdem
Sie Active Directory installiert haben, werden Sie die Zone in eine Active
Directory-integrierte Zone umwandeln und dafür sorgen, dass auf allen Domä-
nencontrollern für die Stammdomäne DNS installiert wird.
Zusammenfassung 93
Zusammenfassung
씰 Bei der Integration einer Zone in Active Directory wird die Zoneninforma-
tion in Active Directory gespeichert. Active Directory übernimmt dann die
Handhabung der Sicherheit und Replikation.
94 Kapitel 2 DNS für Active Directory konfigurieren
씰 Es gibt verschiedene Werkzeuge, die bei der Fehlerbehebung des DNS unter-
stützen, wie etwa das Snap-In DNS, IPCONFIG und NSLOOKUP.
Schlüsselbegriffe
쎲 Active Directory-integriert 쎲 Namenserver
쎲 Aufräumvorgang 쎲 Namespace
쎲 Autoritätsursprung 쎲 Netlogon
(SOA, Start Of Authority)
쎲 Benachrichtigung 쎲 Nslookup
Lernzielkontrolle
Übungen
Die folgenden Übungen sollen Ihnen ein erstes Gefühl für die Erfahrungen vermit-
teln, die Ihnen in der beruflichen Praxis begegnen können, und die in diesem Kapi-
tel thematisch behandelt wurden. Es ist sehr empfehlenswert, diese Übungen ernst-
haft durchzuarbeiten und in Ihrer Systemumgebung zu bearbeiten, bevor Sie in die
echte Prüfung gehen.
Lernzielkontrolle 95
ACHTUNG
Tests und Übungen!
Nehmen Sie Tests und Übungen niemals in einer Produktionsumgebung vor!
5. Wählen Sie DNS-SERVER (DOMAIN NAME SYSTEM) aus, und klicken Sie auf OK.
6. Klicken Sie im Assistent für Windows-Komponenten auf WEITER. Sie sehen
nun das Dialogfeld KOMPONENTEN KONFIGURIEREN und werden unter Umstän-
den dazu aufgefordert, Ihre Installations-CD mit Windows 2000 einzulegen.
7. Zum Schluss erscheint der Abschlussbildschirm des Assistenten für Win-
dows-Komponenten, in dem Sie auf FERTIG STELLEN klicken können.
8. Klicken Sie im Dialogfeld SOFTWARE auf die Schaltfläche SCHLIESSEN. Da-
nach schließen Sie auch das Dialogfeld SYSTEMSTEUERUNG.
2.2 Zonen erstellen
Nach der Installation des DNS-Dienstes erstellen Sie nun die Reverse- und For-
ward-Lookupzonen. Diese Zonen werden in allen folgenden Übungen in diesem
Text verwendet werden.
Wählen Sie im Kontextmenü NEUE ZONE aus. Nun wird der Assistent zum
Erstellen neuer Zonen gestartet.
3. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER.
4. Wählen Sie im nächsten Bildschirm PRIMÄR (STANDARD) aus, und klicken
Sie auf WEITER.
5. Geben Sie den ersten Teil der IP-Adresse des Servers ein. Verwenden Sie
zum Suchen der Adresse ipconfig über die Befehlszeile. Klicken Sie dann
auf WEITER.
HINWEIS
Was Sie bei Reverse-Zone eingeben müssen
Dieses Dialogfeld kann auf den ersten Blick verwirrend aussehen. Sein Inhalt
hängt davon ab, wie Sie mit dem Internet verbunden sind bzw. wie Ihre Verbin-
dungen überhaupt aussehen. Als Faustregel sollten Sie, sofern Ihre Adresse mit
dem Wert 1 bis 126 beginnt, nur die erste Nummer eingeben. Beginnt die
Adresse dagegen mit dem Wert 128 bis 191, sollten Sie die ersten beiden Num-
mern eingeben. Liegt Ihre Adresse darüber, geben Sie die ersten drei Nummern
ein. Falls Ihre Adresse beispielsweise 173.23.92.2 lautet, geben Sie also 173.23
ein.
6. Beachten Sie, dass der Dateiname automatisch für Sie in das Eingabefeld
NEUE DATEI MIT DIESEM DATEINAMEN ERSTELLEN eingetragen wird. Klicken
Sie zum Fortfahren auf WEITER.
7. Bestätigen Sie im nächsten Bildschirm Ihre Eingaben und klicken Sie auf
FERTIG STELLEN.
8. Klicken Sie auf FORWARD-LOOKUPZONEN, und anschließend mit der rechten
Maustaste auf FORWARD-LOOKUPZONEN. Wählen Sie im Kontextmenü NEUE
ZONE aus. Nun wird wieder der Assistent zum Erstellen neuer Zonen gestar-
tet.
9. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER.
10. Wählen Sie im nächsten Bildschirm PRIMÄR (STANDARD) aus, und klicken
Sie auf WEITER.
11. Geben Sie im Eingabefeld NAME einen Namen für Ihre Domäne ein, z.B.
TestDom.local. Klicken Sie auf WEITER.
12. Beachten Sie im folgenden Bildschirm den vorgeschlagenen Dateinamen:
testdom.local.dns. Klicken Sie zur Übernahme dieses Dateinamens auf WEI-
TER.
13. Bestätigen Sie im nächsten Bildschirm Ihre Eingaben, und klicken Sie auf
WEITER, wenn diese korrekt sind.
Lernzielkontrolle 97
1. Klicken Sie mit der rechten Maustaste auf der Reverse-Lookupzone, die Sie
erstellt haben, und wählen Sie EIGENSCHAFTEN aus.
2. Sorgen Sie auf der Registerkarte ALLGEMEIN dafür, dass das Feld DYNAMI-
SCHE AKTUALISIERUNG ZULASSEN auf JA eingestellt ist.
5. Erich versucht ein Problem auf einem DNS-Server mit Windows 2000 zu lö-
sen, der anscheinend keine Std. Query packets auflöst, die an ihn gesendet
werden. Was sollte er protokollieren, um die Fehlerursache zu finden (wählen
Sie alle zutreffenden Antworten aus)?
A. Abfragen
B. Benachrichtigen
C. Fragen
D. TCP
6. Sabine denkt darüber nach, wie sie DNS in ihrem Unternehmen konfigurieren
muss, um Windows 2000 Active Directory in die bestehende DNS-Konfigu-
ration zu integrieren. Welche Möglichkeiten stehen ihr zur Verfügung?
A. Sie kann dieselbe Domäne sowohl intern als auch extern einsetzen.
B. Sie kann eine Unterdomäne der öffentlichen Domäne verwenden.
C. Sie kann eine separate Domäne mit einem nicht standardmäßigen Suffix
verwenden.
D. Alles oben Genannte ist möglich.
7. Sam installiert den ersten Domänencontroller in einer neuen Domäne, der
zum Stamm der neuen Organisationsstruktur werden soll. Der verwendete
DNS-Server unterstützt SRV-Einträge, aber keine dynamischen Aktualisie-
rungen. Was muss er nach der Installation des neuen Domänencontrollers
machen, um sicherzustellen, dass sich die Einträge alle korrekt auf dem DNS-
Server befinden?
A. Er muss den Befehl ipconfig/registerdns verwenden.
B. Er muss die erforderlichen Einträge manuell erstellen.
C. Er sollte den Netlogon-Dienst stoppen und erneut starten.
D. Diesen DNS-Server darf er nicht benutzen.
8. Ihr Unternehmen hat sieben Standorte überall in der Welt. Sie dokumentieren
gerade die vorhandene DNS-Struktur für die Auflösung interner Namen. Es
gibt einen primären DNS-Server, der sich im Hauptbüro in Ottawa befindet.
Darüber hinaus haben Sie einen sekundären DNS-Server in den folgenden
Büros: Calgary, Washington, Mexico City, Dundee, Paris und Bonn. Die Ser-
ver in Paris und Bonn übertragen die Zone vom Dundee-Server, während der
Lernzielkontrolle 101
Server in Mexico City die Zone vom Server in Washington bekommt. Wel-
che Server können Sie in Ihrer Dokumentation als Masterserver kennzeich-
nen?
A. Nur Ottawa.
B. Ottawa, Dundee und Washington.
C. Alle Server.
D. Masterserver gibt es überhaupt nicht.
9. Sie setzen gegenwärtig einen BIND-Server für die interne Namensauflösung
ein. Sie haben etwa 300 interne Server in der Zonendatei des BIND-Servers
und möchten diese Einträge zum neuen Windows-2000-DNS-Server ver-
schieben, den Sie gerade installiert haben. Welches der folgenden Verfahren
erledigt diese Aufgabe am besten?
A. Kopieren Sie vor dem Erstellen der Zone die Domänendatei in das Ver-
zeichnis winnt/system32/dns auf dem Windows-2000-Server.
B. Kopieren Sie nach dem Erstellen der Zone die Domänendatei in das Ver-
zeichnis winnt/system32/dns auf dem Windows-2000-Server.
C. Kopieren Sie die Datei an eine beliebige Stelle auf dem Windows-2000-
Server und verwenden Sie dann das Snap-In DNS zum Importieren der
Datei.
D. Sie müssen alle Informationen noch einmal manuell eingeben.
10. Sie befinden sich gerade in einem Zweigstellenbüro, welches neu eingerichtet
wird. Sie richten den DNS-Server ein, der die lokale Auflösung übernimmt,
und konfigurieren ihn als sekundären DNS-Server gegenüber ihrem primären
Server im Hauptbüro. Danach wollen Sie die Zone übertragen, aber die Sache
klappt nicht. Was ist die wahrscheinliche Ursache dieses Problems?
A. Sie müssen den lokalen Server für IP-Weiterleitung konfigurieren.
B. Sie müssen den primären Server mit der Adresse des sekundären Servers
konfigurieren.
C. Sie müssen RIP V2, das Protokoll zum Übertragen von Zonen, installie-
ren.
D. Sie können keinen sekundären Server erstellen, wenn der primäre Server
Active Directory-integriert ist.
102 Kapitel 2 DNS für Active Directory konfigurieren
11. Sie arbeiten an einem Server, der immer wiederkehrende Probleme aufweist;
beispielsweise können die Benutzer den Server manchmal nicht finden. In
diesem Fall hat der Administrator regelmäßig den PC einfach neu gestartet,
um das Problem zu beseitigen. Der Server befindet sich in einem Zweig-
stellenbüro und arbeitet mit einem DNS-Server in Ihrem Hauptbüro zusam-
men. Welcher der folgenden Punkte kann das Problem ohne Neustart des PC
lösen?
A. Stoppen und starten Sie den Netlogon-Dienst.
B. Verwenden Sie den Befehl ipconfig/registerdns.
C. Verwenden Sie den Befehl netstat/updatedns.
B. Aktivieren Sie die Option WEITERLEITUNG AKTIVIEREN, und geben Sie die
IP-Adresse des zentralen Servers ein.
C. Aktivieren Sie die Option WINS-FORWARDLOOKUP und geben Sie die
IP-Adresse des zentralen Servers ein.
D. Aktivieren Sie die Option REKURSIONSVORGANG DEAKTIVIERT.
Lernzielkontrolle 103
14. Sie planen die Implementierung von Active Directory in Ihrem Unternehmen.
Sie suchen nach Möglichkeiten zur Integration der internen und externen
Unternehmensnamen. Das Unternehmen hat bereits den Namen MTP.com re-
gistriert und verwendet ihn gegenwärtig im Internet. Man wünscht im Unter-
nehmen jedoch nicht, dass das interne Netzwerk außerhalb des Unternehmens
sichtbar sein soll. Welche der folgenden Methoden zur Integration der DNS-
Namen sollten Sie verwenden?
A. Verwenden Sie denselben Domänennamen intern und extern.
B. Verwenden Sie intern eine Unterdomäne Ihres externen Namens.
C. Erstellen Sie eine Struktur in Ihrer Gesamtstruktur für den
Internet-Namen.
lage der Seriennummer der Zonendatei, die sich auf den Servern befindet.
Siehe dazu den Abschnitt »Zoneninformationen übertragen«.
4. Wenn eine Zone als Active Directory-integriert konfiguriert ist, wird die Rep-
likation von Active Directory übernommen und findet standardmäßig alle
5 Minuten innerhalb eines Standorts statt. Sie wird über die Standortver-
knüpfungen zwischen den Standorten kontrolliert. Der bzw. die DNS-Server
fragen standardmäßig alle 15 Minuten nach Aktualisierungen der Informatio-
nen. Siehe dazu den Abschnitt »Zoneninformationen übertragen«.
5. Damit ein DNS-Server mit Active Directory zusammenarbeitet, muss er
SRVs (Service-Locatoreinträge) unterstützen. Darüber hinaus sollte er dyna-
mische Aktualisierungen unterstützen, muss dies aber nicht unbedingt. Siehe
dazu den Abschnitt »DNS und Active Directory integrieren«.
6. Der primäre Server enthält die originale aktualisierbare Zonendatei. Diese
Datei wird an sekundäre Server überall im Unternehmen kopiert. In manchen
Fällen erhält ein sekundärer Server seine Kopie der Zonendatei von einem
anderen sekundären Server, der dann zu seinem Masterserver wird. Siehe
dazu den Abschnitt »Zoneninformationen übertragen«.
Antworten zu den Prüfungsfragen
1. A, B. In diesem Fall ist die wahrscheinlichste Ursache die Tatsache, dass der
Server keine dynamischen Aktualisierungen zulässt. Die Installationsroutine
überprüft, ob der konfigurierte DNS-Server dynamische Aktualisierungen
unterstützt. Falls nein, bietet die Routine eine lokale Installation von DNS an.
Die andere Möglichkeit besteht darin, dass der Server mit Windows NT 4.0
in seiner TCP/IP-Konfiguration nicht den neuen Windows-2000-Server als
DNS-Server verwendet hat. Auch hier stellt das System fest, dass der Server
keine dynamische Aktualisierung unterstützt, und bietet die Installation von
DNS an. Antwort C ist offensichtlich nicht richtig, weil es nur eine Version
von DNS gibt, die in Windows 2000 zur Verfügung steht. Auch Antwort D
ist falsch, weil dies eine Warnung ist, dass der DNS-Server nicht zur Durch-
führung von Aktualisierungen in der Lage ist. Siehe dazu den Abschnitt
»Fehlerbehebung im DNS«.
2. C. Da die Übertragung nicht fehlschlug, können Sie die Antworten A, B und
D ausschließen. Als mögliche Antwort bleibt daher nur C übrig. Dies ge-
schieht in Abhängigkeit von der eingesetzten Version und dem verwendeten
Betriebssystem. Siehe dazu den Abschnitt »Zoneninformationen übertragen«.
3. D. Da dies eine Active Directory-integrierte Zone ist, gibt es weder primäre
noch sekundäre Server. Denken Sie auch daran, dass diese eigentlich primär
(Standard) und sekundär (Standard) genannt werden, was bedeutet, dass A
und B nicht richtig sein können. Die Antwort D stimmt deshalb, weil die
Konfiguration automatisch an jeden neuen Domänencontroller repliziert
Lernzielkontrolle 105
zu erstellen. Während des Vorgangs der Erstellung haben Sie die Gelegen-
heit, der Datei einen Namen zu geben. Wählen Sie dazu die vorhandene Datei
aus; die Einträge darin sollten sichtbar sein. Sie können den Server außerdem
als sekundär konfigurieren und die Zone übertragen; danach können Sie dann
die Zone auf primär ändern. Wenn Sie die Datei nach dem Erstellen der Zone
kopieren, wird sie bei der nächsten Aktualisierung der Zonendateien vom
System überschrieben. Die Antwort C ist falsch, weil es keinen Importbefehl
gibt. Siehe dazu den Abschnitt »Primär«.
10. B. Die wahrscheinlichste Ursache des Problems besteht darin, dass die primä-
re oder Active Directory-integrierte Zone nur zur Übertragung der Zone an
bekannte Server konfiguriert ist. Dies bedeutet, dass Sie sich mit dem primä-
ren oder einem Active Directory-integrierten Server verbinden müssen, und
den neuen Server als sekundär konfigurieren müssen. Die Konfiguration des
Servers als einen IP-Weiterleiter würde zwar eine Auflösung erlauben, je-
doch müsste der gesamte Auflösungsverkehr über die WAN-Verbindung lau-
fen, während der lokale Server keine Kopie der Zonendateien besäße. RIP V2
ist ein Routingprotokoll und hat nichts mit Zonenübertragungen zu tun. Siehe
dazu den Abschnitt »Sekundär«.
11. B. Das Problem hier besteht darin, dass der Server dynamisch beim Server im
Hauptbüro registriert ist. Dies kann dazu führen, dass ein Server nicht korrekt
registriert wird. In diesem Fall neigen Sie vielleicht zu den Antworten A und
B, was jedoch nicht zutrifft, da in der Frage nicht erwähnt wird, dass es sich
um einen Domänencontroller handelt. Der Befehl netstat besitzt keinen
Schalter updatedns, und einen Befehl regwins gibt es nicht. Siehe dazu den
Abschnitt »IPCONFIG verwenden«.
12. D. Dieser Fehler ist nur allzu bekannt und wird vom DNS-Server verursacht,
der einen Reverse-Lookup auf sich selbst durchzuführen versucht. Das Prob-
lem liegt in der Reverse-Lookupzonendatei, die entweder fehlt oder keinen
Eintrag für den DNS-Server enthält. Da Ihr Vorgesetzter diesen Fehler immer
wieder erhält, ist der Typ der Abfrage nicht von Bedeutung. Es gibt keine
Konfigurationsoption, die den Reverse-Lookup stoppt, weshalb Sie das Prob-
lem auch nicht über die Konfiguration beheben können. Da Ihr Vorgesetzter
außerdem die Auflösung erhält, liegt der Fehler auch nicht in der Forward-
Lookupzone. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«.
13. B, D. In diesem Fall möchten Sie, dass der Server Anforderungen an den zen-
tralen DNS-Server weiterleitet. Aus diesem Grunde müssen Sie die Weiter-
leitung aktivieren. Da Sie nicht wünschen werden, dass dieser Server eigene
Abfragen ins Internet ausführt, müssen Sie die Rekursion abschalten. Es gibt
keinen Grund dafür, den sekundären Server für diese Aufgabe zu verwenden.
WINS hat nichts mit dem Auflösen von Internet-Namen zu tun, die FQDNs
sind. Siehe dazu den Abschnitt »Rollen für DNS-Server«.
Lernzielkontrolle 107
14. D. In diesem Fall halten Sie die beiden Zonen komplett voneinander getrennt.
Der beste Weg, dies zu erreichen, besteht in zwei verschiedenen Domänen
wie etwa MTP.com und MTP.local. .local ist eine Empfehlung von Micro-
soft. Die interne und externe Verwendung desselben Namens kann dazu füh-
ren, dass der Namespace versehentlich hinauswandert. Die Verwendung einer
Unterdomäne kann dasselbe Problem verursachen. Und schließlich würde das
Erstellen einer Subnetzdomäne für das Internet überhaupt nicht funktionie-
ren. Siehe dazu den Abschnitt »DNS und Active Directory integrieren«.
15. B. Der Befehl netstat ermöglicht Ihnen nicht nur die Fehlersuche im DNS,
sondern wird auch zur Überprüfung des Netzwerkstatus verwendet. Sie kön-
nen mit ihm rasch die Verbindungen zu anderen DNS-Servern überprüfen,
aber das ist auch schon alles. Mit dem Programm NSLOOKUP können Sie
den Server daraufhin abfragen, ob der Eintrag dort ist. Diese Lösung wird
wohl nicht funktionieren, da auch andere Abfragen den Eintrag nicht gefun-
den haben. Natürlich sollten Sie zunächst einmal das Snap-In DNS auf den
Eintrag und die Serverkonfiguration hin überprüfen. Über die Registerkarte
ÜBERWACHEN können Sie erkennen, ob das System eine Abfrage durchfüh-
ren kann oder nicht. Der Netzwerkmonitor ist das einzige Programm, mit
dem Sie die Anforderung, die zum DNS-Server und zurück gesendet wird,
verfolgen können. Siehe dazu den Abschnitt »Fehlerbehebung im DNS«.
Lernziele
3
Bis hierhin haben Sie eine Einführung in die Konzepte von Active Directory erhal-
ten. Sie hatten Gelegenheit, sich noch einmal mit DNS zu beschäftigen. Nun wird es
Zeit, dass Sie mit der konkreten Arbeit am Active Directory beginnen. In diesem
Kapitel werden einige der Themen und Unterthemen aus den Lerneinheiten »Instal-
lieren, Konfigurieren und Fehlerbehebung von Active Directory« und »Verwalten,
Überwachen und Optimieren der Komponenten von Active Directory« behandelt.
Die anderen Themen und Unterthemen finden Sie in späteren Kapiteln.
Der erste Teil dieses Kapitels untersucht die logische Struktur von Active Directory.
Der letzte Teil dagegen zeigt, wie Sie eine Stammdomäne erstellen.
Die Domänenkonfiguration in diesem Themas erwartet von Ihnen, dass Sie wissen,
wie Sie Active Directory im Netzwerk einrichten müssen. Hierzu gehört das Erstel-
len von Standorten, die wiederum aus einem oder mehreren Subnetzen bestehen,
und die anschließende Sicherstellung, dass die Replikation unter Verwendung von
Standortverknüpfungen und Standortverknüpfungsbrücken gewährleistet ist. Darü-
ber hinaus müssen Sie noch wissen, wie Sie ein Verbindungsobjekt erstellen. Mit
Verbindungsobjekten können Sie die vom System generierten Verbindungen über-
schreiben. Zum Schluss sollten Sie noch einen Server für einen globalen Katalog
erstellen können.
Dieses Kapitel behandelt drei Hauptthemen: die logische und physische Struktur
und die Replikation von Active Directory. Damit Sie Daten und Informationen in
einem Netzwerk mit Active Directory problemlos bewegen können, sollten Sie
genau verstanden haben, wie die hier behandelten Punkte zusammenwirken. Achten
Sie insbesondere auf die folgenden Punkte:
3.1 Einführung
Domänencontroller sind das Rückgrat des Netzwerks. Ihre korrekte Implementie-
rung stellt in jeder Implementation mit Windows 2000 den Schlüssel zum Erfolg
dar. In diesem Kapitel werden Sie erfahren, wie Domänencontroller eingeführt, und
die Replikation zwischen diesen Controllern konfiguriert wird. Damit Ihre Organi-
sation tadellos läuft, ist eine Replikation der Informationen sowohl der Struktur als
auch der Objekte von Active Directory erforderlich.
Das Kapitel beginnt mit einer Erörterung der logischen Strukturen, aus denen
Active Directory besteht, und wendet sich anschließend der Installation von Domä-
nencontrollern zu. Dann folgt die Einführung der physischen Umweltbedingungen –
die Diskussion dreht sich nun um Subnetze und Standorte. Das Ganze führt
abschließend zur Erörterung der Replikation von Active Directory sowohl innerhalb
als auch zwischen Standorten.
Die Erörterung beginnt mit einem Überblick über Domänen und ihren Zweck, da sie
die Bausteine der logischen Struktur darstellen. Danach erfahren Sie, auf welche
Weise Sie Domänen in Strukturen zusammenfassen können, und wie Sie diese ggf.
so erweitern, dass sie eine Gesamtstruktur ergeben.
3.2.1 Domänen
Die Grundeinheit, mit der Sie immer zu tun haben werden, ist wie bei
Windows NT 4.0 die Domäne. Indem Sie Ihr Unternehmen in verschiedene Domä-
nen aufteilen, erzielen Sie folgende Vorteile:
112 Kapitel 3 Eine Active Directory- Struktur aufbauen
씰 Domänen erlauben Ihnen die Kontrolle der Replikation. Die in der Domäne
gespeicherten Objekte werden vollständig nur an andere Domänencontroller
innerhalb der Domäne repliziert.
Es stehen zwei Wege zum Erstellen von Active Directory-Domänen zur Verfügung:
Entweder aktualisieren Sie eine Domäne unter Windows NT 4.0 oder installieren
einen Server mit Windows 2000, den Sie anschließend zu einem Domänencontrol-
ler heraufstufen.
Nachdem Sie eine Stammdomäne erstellt haben, können Sie zum Erstellen von
Strukturen übergehen. Eine Struktur beginnt immer mit der Stammdomäne, kann
aber verzweigen, um weitere Domänen aufzunehmen. Damit erhalten Sie die erste
Hierarchieebene innerhalb von Active Directory.
Dieses Thema ist Ihnen bereits in der Erörterung von DNS im Kapitel 2, »DNS für
Active Directory konfigurieren«, begegnet. In Windows 2000 wird die DNS-Hierar-
chie zu dem Zweck eingesetzt, die verschiedenen Domänen zusammenzufassen und
die Domänenstruktur zu erstellen. Wenn Sie beispielsweise mit einer Domäne wie
etwa Widgets.com beginnen, könnten Sie nun eine einzelne Domäne erstellen, die
alle Objekte in Ihrem Unternehmen enthält. Hat Ihr Unternehmen jedoch Haupt-
3.2 Grundlagen der logischen Struktur von Active Directory 113
büros an zwei geografischen Standorten, von denen jeder unabhängig vom anderen
arbeitet, wäre diese Anordnung nicht sinnvoll. In einem solchen Fall würden Sie
vielleicht lieber separate Domänen erstellen, die unabhängig voneinander verwaltet
werden können. In der Abbildung 3.1 werden Sie bemerken, dass es sowohl Wid-
gets.com als auch Ost.Widgets.com und West.Widgets.com gibt. In diesem Fall ist
die Topdomäne einfach nur ein Zeiger auf eine der Domänen in der unteren Ebene.
Abbildung 3.1
Eine einfache
Domänenstruktur
für Widgets.com
auf der Grundlage
der geografischen
Standorte
Widgets.com
Ost.Widgets.com West.Widgets.com
Falls Sie die Organisation auf der Grundlage der internen Organisationsstruktur auf-
teilen möchten, kann die Struktur wie in Abbildung 3.2 aussehen. In dieser Abbil-
dung gibt es eine Domäne für den Vertrieb und für Marketing, eine weitere für
Logistik (Produktion und Versand) sowie eine Domäne für Forschung und Entwick-
lung. Die Administration und andere Hilfsfunktionen befinden sich in diesem Fall
in der Toplevel-Domäne.
Aus dem Kapitel 1, »Grundlagen von Active Directory«, wissen Sie noch, dass es
überall in diesem Unternehmen ein einziges Schema, einen gemeinsamen globalen
Katalog und transitive zweiseitige Vertrauensstellungen gibt.
Abbildung 3.2
Eine Domänen-
struktur für
Widgets.com auf
der Grundlage der
internen Organi- Widgets.com
sation
ordneten Domänen, obwohl ihre Namen anders lauten. In Abbildung 3.3 wurde
noch Div.com hinzugefügt. Die Linie, die die neue Struktur mit der Gesamtstruktur
verbindet, wird per Konvention zur Spitze des Stamms hin gezeichnet, um deutlich
zu machen, dass es sich nicht einfach nur um eine untergeordnete Domäne handelt.
Abbildung 3.3
Eine Domänenge-
samtstruktur
Widgets.com
Von hier aus können Sie nun untergeordnete Domänen zu Div.com hinzufügen
(siehe Abbildung 3.4).
Nachdem Sie den ersten Domänencontroller für die erste Domäne erstellt haben,
können Sie unter Verwendung des Programms Dcpromo zum Erstellen weiterer
Domänencontroller mit dem Aufbau der Hierarchie beginnen. Während der Beför-
derung haben Sie die Wahl, neue Domänencontroller in der vorhandenen Domäne,
einen neuen Controller für eine neue untergeordnete Domäne, oder einen neuen
Stammcontroller für eine neue Struktur in der Gesamtstruktur zu erstellen.
3.2 Grundlagen der logischen Struktur von Active Directory 115
Abbildung 3.4
Eine erweiterte
Domänengesamt-
struktur
Widgets.com
Ost.Div.com West.Div.com
Die Kombination von Strukturen und Gesamtstrukturen bietet Ihnen absolute Flexi-
bilität hinsichtlich des Designs Ihrer Domänenstruktur und damit auch im Design
Ihres Active Directory.
Nachdem Sie nun über Wissen über Domänen verfügen, die die erste Ebene Ihrer
Hierarchie bilden, sollten Sie einen Schritt weitergehen und sich mit Organisations-
einheiten (OU, Organizational Units) befassen. OUs stellen die sekundäre Ebene
der Hierarchie dar. Mit ihnen können Sie eine Domäne in logische Einheiten auftei-
len, die Sie bis zu einem gewissen Grade unabhängig voneinander kontrollieren
können.
3.2.3 Organisationseinheiten
Die Fähigkeit, die Kontrolle über einen Teil der Domäne an einen Benutzer oder
eine Benutzergruppe zu delegieren, ist mit Windows 2000 neu hinzugekommen.
Erreicht wird dies über den Einsatz von Organisationseinheiten. Eine Organisati-
onseinheit ist ein Container in Active Directory, den Sie erstellen. Nachdem Sie den
Container erstellt haben, können Sie Computer, Benutzer und andere Objekte in den
Container verschieben.
Nachdem Sie dies erledigt haben, können Sie die Kontrolle über diese Objekte im
Container an bestimmte Benutzer oder Gruppen delegieren. Als Domänenadminist-
rator haben Sie zwar immer noch die Kontrolle, jedoch können auch die Personen,
an die Sie delegiert haben, diese Objekte kontrollieren. Das gibt Ihnen die Möglich-
keit, Arbeitsgruppenadministratoren einzuführen, die einen begrenzten Teil Ihrer
Domäne kontrollieren. Außerdem können Sie Gruppenrichtlinien auf die Organisa-
116 Kapitel 3 Eine Active Directory- Struktur aufbauen
tionseinheiten anwenden, die sich von den auf die Domäne angewendeten Richt-
linien unterscheiden.
Abbildung 3.5 zeigt ein Beispiel dafür, wie das Netzwerk Widgets.com in eine ein-
zige Domäne organisiert werden kann und noch lokale Administratoren vorsieht,
die eine Benutzergruppe und Computer verwalten.
Abbildung 3.5
Logistik
Vertrieb FuE
Widgets.com
Zunächst müssen Sie für Ihre Organisation entscheiden, ob Sie zum Verwalten von
Benutzern, Computern und anderen Objekten von Active Directory Domänen oder
Organisationseinheiten einsetzen. Die folgenden Richtlinien sollen Sie bei dieser
Entscheidung unterstützen:
씰 Setzen Sie Domänen ein, wenn die verschiedenen Benutzer und Ressourcen
in der Organisation von gänzlich unterschiedlichen Administratoren verwal-
tet werden.
씰 Verwenden Sie für ein Netzwerk Domänen, in denen Teile des Netzwerks
durch eine langsame Verbindung getrennt sind. In dieser Situation können
Sie auch Standorte verwenden, was später im Abschnitt »Im physischen
Netzwerk« behandelt wird.
3.3 Die erste Domäne erstellen 117
Wie Sie gesehen haben, wird die logische Struktur von Active Directory dazu ver-
wendet, eine Hierarchie aufzubauen, mit der Sie die Benutzer in einer Organisation
beliebiger Größe verwalten können. Mit Domänen erstellen Sie Sicherheits- und
Replikationsgrenzen, während Sie die Organisationseinheiten dazu benutzen,
Domänen weiter in besser handhabbare Einheiten aufzuteilen.
Die Planung der Struktur von Active Directory ist die Aufgabe der Netzwerkplaner.
Als derjenige, der die Implementierung vornimmt, müssen Sie nun die Stammdo-
mäne, den Rest der Struktur und die Organisationseinheiten erstellen.
Da Sie nun mit der logischen Struktur von Active Directory bekannt gemacht wor-
den sind, sollten Sie sich der Installation von Active Directory zuwenden. Die
Installation selbst ist ein recht einfacher Vorgang. Jedoch müssen Sie vor Beginn
der Installation noch die Struktur Ihres Unternehmens planerisch erfasst haben.
3.3.1 Vorbedingungen
Wie Sie sich wahrscheinlich schon gedacht haben, gilt es vor der Installation von
Active Directory eine Reihe erforderlicher Dinge und Aufgaben zu berücksichtigen.
Die folgende Liste teilt Ihnen mit, was Sie für die Installation vor Ort haben müssen:
118 Kapitel 3 Eine Active Directory- Struktur aufbauen
씰 Sie müssen sicherstellen, dass für den Computer, den Sie zum Domänencon-
troller machen wollen, der korrekte DNS-Server ausgewählt wurde, und dass
der Name des Computers stimmt. Auf dem Computer muss außerdem TCP/IP
korrekt installiert und konfiguriert sein.
씰 Sie müssen sicherstellen, dass Sie auf dem Computer, den Sie zum Domänen-
controller machen wollen, eine NTFS-Partition existiert. Außerdem brauchen
Sie genug Platz für das Directory (empfohlen wird 1 GB).
씰 Sie müssen sicherstellen, dass die Zeitzone des Systems stimmt. Außerdem
müssen Sie dafür sorgen, dass auf dem System die Zeit korrekt eingestellt ist.
Neben den physischen Systemen, die Sie zum Installieren des Domänencontrollers
brauchen, benötigen Sie zusätzlich noch den Namen des Domänencontrollers, den
Sie installieren. Darüber hinaus ist noch der Domänenname für die Domäne, die Sie
erstellen, erforderlich.
Der Domänenname sollte natürlich festgelegt werden, bevor Sie mit der eigentli-
chen Installation beginnen, und verlangt unter Umständen sogar eine größere
Debatte in der Organisation. Unter der Voraussetzung, dass Sie über alle erforderli-
chen Informationen und Vorbedingungen verfügen, können Sie dann mit der Instal-
lation von Active Directory beginnen.
Abbildung 3.6
Neue Domäne
erstellen
120 Kapitel 3 Eine Active Directory- Struktur aufbauen
4. Wählen Sie EINE NEUE DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie
auf WEITER (siehe Abbildung 3.7).
Abbildung 3.7
Neue Domänen-
struktur erstellen
Abbildung 3.8
Neue Domänen-
struktur in einer
Gesamtstruktur
erstellen
3.3 Die erste Domäne erstellen 121
6. Geben Sie den gesamten DNS-Namen für die neue Domäne ein, und klicken
Sie auf WEITER (siehe Abbildung 3.9).
Abbildung 3.9
Eingabe des
Namens für Ihre
neue Domäne
HINWEIS
Falls es sich beim ersten Teil des Namens um den Namen Ihrer existierenden NT-
Domäne handelt, erhalten Sie eine Warnung, die Sie auf einen Namenskonflikt im
Netzwerk aufmerksam macht. Der Downlevel (NetBIOS)-Name der Domäne ent-
hält eine Zahl, um ihn von der vorhandenen Domäne zu unterscheiden. Dies ge-
schieht nicht, wenn Sie einen vorhandenen PDC aktualisieren.
Abbildung 3.10
Abbildung 3.11
Festlegung der
Speicherorte von
Datenbank und
Protokolldateien
von Active Directory
3.3 Die erste Domäne erstellen 123
Abbildung 3.12
Festlegung des
Speicherorts von
SYSVOL
HINWEIS
Wenn der DNS-Server nicht gefunden werden kann, bietet der Assistent Ihnen die
Installation und Konfiguration des Servers an (siehe Abbildung 3.14). Wenn Sie
möchten, dass der Assistent dies für Sie erledigt, klicken Sie auf Ja. Wenn Sie da-
gegen Nein wählen, fährt die Installation zwar fort, jedoch werden Sie zahlreiche
Startfehler angezeigt bekommen. Active Directory wird nicht arbeiten, solange Sie
diese Fehler nicht beseitigt haben. Es wird daher empfohlen, dem Assistenten zu
erlauben, den DNS-Server zu installieren und zu konfigurieren, sofern er keinen
anderen DNS-Server finden kann.
Abbildung 3.13
Diesen Fehler
erhalten Sie, wenn
das System Ihren
DNS-Server nicht
finden kann
10. Der Assistent bestätigt als Nächstes Ihren DNS-Server. Wenn er den Server
nicht finden kann, bekommen Sie eine Warnung angezeigt (siehe Abbil-
dung 3.13).
124 Kapitel 3 Eine Active Directory- Struktur aufbauen
Abbildung 3.14
Abbildung 3.15
Dieses Dialogfeld
warnt Sie hinsicht-
lich der RAS-
Sicherheit von
NT 4.0
11. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit,
die vor Windows 2000 bestanden hat. In NT 4.0 und vorherigen Versionen
musste der RAS-Server den Clients vor der Authentifizierung das Einlesen
der Domäneninformationen erlauben. Beim Betrieb von Downlevel-RAS-
Servern müssen Sie diese Sicherheitseinschränkung zulassen. Wählen Sie die
gewünschte Option aus, und klicken Sie auf WEITER (siehe Abbildung 3.15).
3.3 Die erste Domäne erstellen 125
12. Als Nächstes werden Sie dazu aufgefordert, das Kennwort für die Wiederher-
stellung der Verzeichnisdienste einzugeben. Stellen Sie sicher, dass Sie die-
ses Kennwort gut schützen und sicher ablegen (siehe Abbildung 3.16).
Abbildung 3.16
Abbildung 3.17
Bestätigung aller
von Ihnen vor-
genommenen Ein-
gaben
126 Kapitel 3 Eine Active Directory- Struktur aufbauen
13. Der nächste Bildschirm fasst alle von Ihnen bis hierhin vorgenommenen Ein-
gaben zusammen. Überprüfen Sie alle Ihre Angaben noch einmal, und korri-
gieren Sie ggf. unrichtige Angaben über die Schaltfläche ZURÜCK (siehe
Abbildung 3.17).
14. Wenn alles geklappt hat, erhalten Sie nun einen Abschlussbildschirm, der die
Installation von Active Directory bestätigt. Klicken Sie auf FERTIG STELLEN,
und starten Sie Ihren Computer neu (siehe Abbildung 3.18).
Abbildung 3.18
Im Abschluss-
bildschirm wird Ihre
Installation bestä-
tigt
Jetzt wird Active Directory installiert. Nach dem Neustart des Systems können Sie
dann die Installation überprüfen.
Die Überprüfung, dass Active Directory auf dem Computer installiert ist, ist einfach
zu erledigen. Alles was Sie zu tun haben, besteht darin, das Vorhandensein der fol-
genden Programme im Ordner VERWALTUNG im Startmenü zu bestätigen.
Darüber hinaus stellen die folgenden Schritte sicher, dass Active Directory auf
Ihrem System installiert ist.
Sie in der Lage sein, Ihrer Domänenstruktur andere Domänen bzw. weitere Struktu-
ren der Gesamtstruktur hinzufügen zu können. Der folgende Abschnitt behandelt
diese Installationstypen.
8. Jetzt werden Sie nach dem Kennwort für die Wiederherstellung von Active
Directory gefragt. Geben Sie das Kennwort ein, und klicken Sie auf WEITER.
9. Als Nächstes erhalten Sie den Abschlussbildschirm. Klicken Sie auf die
Schaltfläche FERTIG STELLEN – die Informationen von Active Directory wer-
den nun kopiert.
10. Nach Beendigung des Kopiervorgangs werden Sie zum Neustart des Compu-
ters aufgefordert.
Nach Abschluss dieser Schritte sind Sie in der Lage, Domänencontroller einer
bestehenden Domäne hinzuzufügen. Der Einsatz mehrerer Domänencontroller ist
aus Gründen der Redundanz und Lastenverteilung wichtig. Der nächste Abschnitt
erläutert, wie einer bestehenden Domäne eine untergeordnete Domäne hinzugefügt
wird.
Weitere Domänencontroller nehmen Sie in die neue Domäne mit der Schritt-für-
Schritt-Anleitung »Bestehender Domäne zusätzlichen Domänencontroller hinzufü-
gen« auf.
Denken Sie daran, dass die untergeordneten Domänen als Grenzen hinsichtlich der
Replikation und Sicherheit wirken. Untergeordnete Domänen werden zum Bestand-
teil desselben Namespace. In manchen Fällen kann dies Ihren Anforderungen
widersprechen – dann müssen Sie eine neue Struktur und auch Gesamtstruktur
erstellen.
6. Geben Sie die Sicherheitsinformationen für einen Benutzer der Gruppe Orga-
nisations-Admins aus der Stammdomäne ein, und klicken Sie auf WEITER.
7. Geben Sie den DNS-Namen für die neue Domäne ein, und klicken Sie auf
WEITER.
8. Bestätigen Sie den Downlevel(NetBIOS)-Namen der neuen Domäne und kli-
cken Sie auf WEITER.
9. Bestätigen Sie den Speicherungsort der Datenbank und Protokolldateien von
Active Directory. Für eine bessere Wiederherstellung sollten diese auf ver-
schiedenen Laufwerken liegen. Außerdem müssen sie sich auf einem mit
NTFS formatierten Laufwerk befinden.
10. Bestätigen Sie den Speicherungsort des SYSVOL-Ordners (ersetzt die Net-
logon-Freigabe). Er muss sich auf einem mit NTFS 5 formatierten Laufwerk
befinden.
HINWEIS
DNS-Unterstützung
Da diese Domäne den Start einer neuen Struktur darstellt, wird sie gleichzeitig
der Start eines separaten Namespace sein. Sollte der DNS-Server nicht korrekt
eingerichtet sein, erhalten Sie dieselben Optionen angeboten, die Sie schon wäh-
rend der Installation der ersten Domänencontroller in der Schritt-für-Schritt-Anlei-
tung »Active Directory installieren« erhalten haben.
11. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit,
die vor Windows 2000 bestanden hat. In NT 4.0 und vorherigen Versionen
musste der RAS-Server den Clients vor der Authentifizierung das Einlesen
132 Kapitel 3 Eine Active Directory- Struktur aufbauen
Wie Sie gesehen haben, ist der Aufbau der logischen Struktur von Active Directory
nicht schwierig und sollte bei guter Vorbereitung reibungslos ablaufen. Denken Sie
wieder daran, dass Domänen als Grenzen hinsichtlich der Sicherheit und Replika-
tion arbeiten, was der wichtigste Grund ist, sie überhaupt einzusetzen.
Wenn Sie Hunderte von Domänencontrollern in eine einzige Domäne setzen, viel-
leicht sogar an verschiedenen Orten, dann werden Sie immer noch ein Replikations-
problem haben. Dieses Problem wird durch die Verwendung von Standorten gelöst,
die Ihnen eine weitere Kontrolle der Replikation erlauben. Damit kommen wir zum
physischen Netzwerk.
Einer der Schlüsselkomponenten im Einsatz von Active Directory ist TCP/IP. TCP/
IP ist nicht nur deshalb erforderlich, um Windows 2000 die Zusammenarbeit mit
DNS zu ermöglichen, obwohl auch dies ein wichtiger Grund ist. Erst mit TCP/IP
können Sie jedoch Ihr Unternehmen in Standorte aufteilen und die Replikation zwi-
schen diesen kontrollieren. Darüber hinaus sind Sie in der Lage, Gruppenrichtlinien
auf Standorte anzuwenden und bestimmte Einstellungen für alle Computer eines
bestimmten Ortes zu erzwingen.
Einfach ausgedrückt, besteht ein Standort aus ein oder mehr IP-Subnetzen, die
durch Hochgeschwindigkeitsleitungen miteinander verbunden sind. Möglicher-
weise ist dies nicht ganz aussagekräftig, da »Hochgeschwindigkeit« ein in Ihrer
3.5 Im physischen Netzwerk 133
Umgebung relativer Begriff sein wird. Viele Faktoren müssen berücksichtigt wer-
den, wenn man den Begriff Hochgeschwindigkeitsverbindung mit Inhalt füllen will.
Falls Ihre Domäne beispielsweise drei Millionen Objekte enthält, Ihre Kennwort-
richtlinien einen Kennwortwechsel alle sieben Tage erfordern, und Sie zahlreiche
Wechsel der Mitarbeiter haben, kann ein LAN mit 10 Mbps zu schwach sein, um
die erforderliche Replikation zu bewältigen. Haben Sie dagegen auf der anderen
Seite nur einige Hundert Objekte in Active Directory und nur zwei Domänencont-
roller, dann werden Sie unter Umständen eine ISDN-Leitung mit 128 Kbps großar-
tig finden.
Als Daumenregel sollten Sie alles, was unter einer T1-Verbindung (1,54 Mbps)
liegt, als eine langsame Verbindung betrachten. In solchen Fällen werden Sie
sicherlich die Auswirkungen der Replikation auf eine derartige Verbindung ermes-
sen wollen. Wahrscheinlich brauchen Sie zwei Standorte, damit Sie die Replikation
zwischen diesen besser kontrollieren können.
Auf der Plusseite steht, dass sich Standorte weitgehend dem Zweck anpassen lassen,
den die Unternehmen ursprünglich bei der Einrichtung ihres Netzwerks verfolgt
haben. Darüber hinaus sind Standorte sehr einfach in Active Directory zu erstellen
und zu verwalten. Normalerweise verfügen Sie bereits über definierte Standorte in
Ihrem Netzwerk, mit denen die Segmente in handhabbare Abschnitte unterteilt wer-
den. Diese Abschnitte werden in der Regel aus dem Grunde implementiert, den
Netzwerkverkehr besser steuern zu können, da auch dies mit Standorten geregelt
werden kann. Die Übertragung der physischen Segmente in Standorte ist dann recht
einfach.
Active Directory verlangt von Ihnen, dass Sie Standorte erstellen und verwalten
können. Die folgenden Abschnitte umreißen, wie Standorte erstellt und wieder ent-
fernt werden. Danach werden Sie erfahren, wie einem Standort Subnetze hinzuge-
fügt und Domänencontroller in einen Standort verschoben werden.
134 Kapitel 3 Eine Active Directory- Struktur aufbauen
Standort hinzufügen
Das Hinzufügen eines Standorts ist ein recht einfacher Vorgang, zu dem die folgen-
den Schritte gehören.
Abbildung 3.19
3. Geben Sie im Dialogfeld NEUES OBJEKT – STANDORT den Namen des neuen
Standorts ein (siehe Abbildung 3.20). Buchstaben und Zahlen sind erlaubt,
Leerzeichen und Sonderzeichen dagegen nicht.
4. Klicken Sie auf eine der Standortverknüpfungen und danach auf OK.
5. Sie erhalten eine Meldung, die Ihnen die nächsten Schritte mitteilt (siehe
Abbildung 3.21). Klicken Sie zum Fortfahren auf OK.
Sie sehen, dass das Erstellen eines Standorts ein einfacher Vorgang ist. Standorte
können außerdem auch umbenannt und gelöscht werden.
Standort umbenennen
Das Umbenennen eines Standorts ist ebenso simpel wie das Umbenennen einer
Datei. Die folgenden Schritte genügen zum Umbenennen eines Standorts.
3.5 Im physischen Netzwerk 135
Abbildung 3.20
Abbildung 3.21
Eine Umbenennung ist sinnvoll, wenn Sie Ihr Netzwerk reorganisieren, oder wenn
sich die Verwendung eines entfernten Büros ändert. Sie ist auch dann sinnvoll,
wenn ein Standort nicht länger benötigt wird.
Standort löschen
Auch das Löschen eines Standorts ist so einfach wie das Umbenennen. Vergewis-
sern Sie sich vor dem Löschen des Standorts, dass er leer ist, da Sie anderenfalls
Objekte verlieren werden. Die folgende Schritt-für-Schritt-Anleitung führt Sie
durch den Vorgang des Löschens.
Abbildung 3.22
4. Klicken Sie auf Ja, wenn Sie ganz sicher sind, dass Sie diesen Standort
löschen möchten. Sie erhalten dann eine Warnung, die Sie darauf hinweist,
dass ein Standort ein Container mit darin enthaltenen Objekten ist, und das
Löschen des Standorts auch die Objekte löscht (siehe Abbildung 3.23).
Abbildung 3.23
Dieses Dialogfeld
warnt Sie davor,
dass zusammen
mit dem Standort
auch die Objekte
darin gelöscht wer-
den.
Es sei noch einmal darauf hingewiesen, dass Sie Standorte normalerweise nur im
Zuge einer Reorganisation Ihres physischen Netzwerks löschen sollten.
Neben dem Erstellen, Umbenennen und Löschen von Standorten sollten Sie noch in
der Lage sein, die Eigenschaften der Standorte in Ihrem Netzwerk einzustellen.
Standorteigenschaften
Es gibt einige Eigenschaften für die von Ihnen in Active Directory erstellten Stand-
orte, die in den folgenden Abschnitten beschrieben werden. Zum Einstellen dieser
Eigenschaften klicken Sie mit der rechten Maustaste auf dem Standortnamen und
wählen im Kontextmenü EIGENSCHAFTEN aus. Das Dialogfeld EIGENSCHAFTEN
wird angezeigt (siehe Abbildung 3.24).
Abbildung 3.24
Das Dialogfeld
EIGENSCHAFTEN FÜR
STANDORT
씰 OBJEKT. Hiermit können Sie den vollen Namen des Objekts und weitere De-
tails wie etwa sein Erstellungsdatum, anzeigen. In dieser Registerkarte stehen
keine Eingabemöglichkeiten zur Verfügung.
138 Kapitel 3 Eine Active Directory- Struktur aufbauen
Denken Sie daran, dass ein Standort als eine Gruppe von IP-Subnetzen definiert
wird, die über Hochgeschwindigkeitsleitungen miteinander verbunden sind. Daher
müssen Sie auch mit Subnetzen umgehen können.
Subnetz hinzufügen
Das Hinzufügen von Subnetzen ist sehr einfach, wie Sie aus der folgenden Schritt-
für-Schritt-Anleitung ersehen können.
Abbildung 3.25
5. Wählen Sie den Standort aus, dem Sie das Subnetz hinzufügen möchten, und
klicken Sie dann auf OK.
Subnetz löschen
Das Löschen eines Subnetzes ist genauso einfach wie das Hinzufügen. Führen Sie
dazu die folgenden Schritte aus.
Häufiger noch als das Löschen von Subnetzen kommt das Verschieben eines Sub-
netzes an einen anderen Standort vor. Es wird erforderlich, wenn sich das Netzwerk
und damit auch die Verteilung der Benutzer und Server ändert.
Subnetz verschieben
Manchmal müssen Sie ein Subnetz auch verschieben, was der Fall sein kann, wenn
das Netzwerk wächst oder die Bandbreite zwischen den Standorten vergrößert wird.
Auch die Schritte zum Verschieben eines Subnetzes sind einfach und werden in der
folgenden Schritt-für-Schritt-Anleitung demonstriert.
Abbildung 3.26
Das Verschieben
eines Subnetzes ist
mit dem Dialogfeld
EIGENSCHAFTEN EIN-
FACH
Das Verschieben eines Subnetzes ist in der Praxis eher selten und kommt nur dann
vor, wenn das physische Netzwerk reorganisiert wird.
In diesem Dialogfeld gibt es, wie Sie sehen, mehrere Registerkarten. Die folgende
Liste enthält die Optionen dieser Registerkarten.
씰 OBJEKT. Hiermit können Sie den vollen Namen des Objekts und weitere De-
tails, wie etwa sein Erstellungsdatum, anzeigen. In dieser Registerkarte ste-
hen keine Eingabemöglichkeiten zur Verfügung.
Nachdem Sie die Standorte erstellt haben, können Sie nun die Domänencontroller in
die Standorte verschieben und die Replikation zwischen den Standorten konfigurie-
ren.
Dieser Abschnitt betrachtet die Replikation von Active Directory und beginnt mit
einem Überblick über ihre Arbeitsweise. Er erörtert die Besonderheiten der standort-
internen Replikation mit einem Blick auf die Verbindungen. Anschließend wendet
sich die Diskussion der Frage zu, wie Sie die Replikation zwischen Standorten kon-
trollieren können. Zum Schluss erhalten Sie noch eine Übersicht über die Konfigu-
ration eines Servers für den globalen Katalog.
씰 Domänendaten. Dies sind Informationen, die Sie zusammen mit den Objek-
ten speichern, aus denen Ihre Domäne besteht. All diese Informationen wer-
den von den Domänencontrollern innerhalb einer Domäne repliziert. Die Ser-
ver für den globalen Katalog im gesamten Unternehmen replizieren eine
Untermenge dieser Informationen.
Wie Sie sehen, gibt es zwei Ebenen der Replikation. Es gibt eine Replikation inner-
halb einer Domäne und eine, die von den Servern für den globalen Katalog gehand-
habt wird. Die Replikation innerhalb einer Domäne wird primär von den Domänen-
controllern gehandhabt. Diese Replikation erfasst grundsätzlich alle Objekte in der
Domäne und alle ihre Attribute.
Die Server für den globalen Katalog bearbeiten den anderen Replikationstyp. Min-
destens ein Server für den globalen Katalog wird im Unternehmen benötigt. Außer-
dem sollte es noch einen Server für den globalen Katalog für jede Domäne und
jeden Standort im Unternehmen geben.
3.6 Informationen in Active Directory replizieren 143
Der Server für den globalen Katalog ist für die folgenden Informationen verantwort-
lich:
씰 Alle Verzeichnisobjekte und deren Eigenschaften für die Domäne, in der sich
der globale Katalog befindet
Nachdem Sie erfahren haben, was repliziert wird, werden Sie sich nun mit der
Arbeitsweise der Replikation befassen.
Jeder Domänencontroller überwacht seine eigene USN und die USNs seiner Repli-
kationspartner. In periodischen Abständen (standardmäßig alle 5 Minuten) sucht der
Server nach Änderungen bei seinen Replikationspartnern. Wenn er welche findet,
fordert er die an, die seit der zuletzt bekannten USN des Partners stattgefunden
haben. Der Partner kann dann alle Änderungen seit dieser USN senden. Ein Domä-
nencontroller kann eine Zeitlang offline sein, ist anschließend jedoch schnell wieder
aktuell.
Allerdings gibt es an dieser Stelle folgende Gefahr: Nehmen Sie einmal an, dass ein
Domänencontroller eine Aktualisierung empfängt. Er nimmt die Änderung vor, und
aktualisiert seine USN. Der Domänencontroller, der die Änderung ursprünglich ver-
anlasst hat, fordert nun die USN des Servers an, der die Änderung bekommen hat.
Seine USN wird aktualisiert, und er fordert daher eine Aktualisierung an. Das Sys-
tem, welches die Änderung ausgelöst hat, erhält nun seine eigene Änderung wieder
zurück. Vollzieht das System diese Aktualisierung und aktualisiert erneut seine
USN, würde der ganze Kreislauf endlos weitergehen.
dert wurde, sondern es wird verfolgt, wie oft ein Benutzer den Wert geändert hat.
Im vorigen Fall würde daher das erste System, in dem die Änderung stattgefunden
hat, erkennen, dass es den eigentlichen ursprünglichen Schreibwert besitzt, und
daher keine Aktualisierung vornehmen.
Weiterhin existiert noch die Möglichkeit, dass zwei verschiedene Benutzer dasselbe
Attribut desselben Objekts zur selben Zeit auf zwei verschiedenen Controllern
ändern. Bei Beginn der Replikation eines solchen Änderungsvorgangs würde ein
Konflikt entdeckt werden, den Windows 2000 dadurch löst, dass es die Änderung
mit dem neueren Zeitstempel (die jüngste Änderung) verwendet. Wurden die beiden
Änderungen sogar zur selben Millisekunde vorgenommen, gewinnt die Änderung
mit der höheren globalen, eindeutigen ID.
Nachdem Sie jetzt die Theorie der Replikation betrachtet haben, werden Sie sich der
Frage zuwenden, wie die Replikation innerhalb und zwischen Standorten konfigu-
riert wird.
Die Replikation innerhalb eines Standorts wird von Active Directory übernommen
– es gibt keine Notwendigkeit von Ihrer Seite her einzugreifen. Der Knowlegde-
Konsistenzprüfer (Knowledge Consistency Checker, KCC) ermittelt die Domänen-
controller im Standort und erstellt automatisch eine Replikationstopologie. All-
gemein gesprochen, konfiguriert der KCC die Verbindungen so, dass jeder
Domänencontroller zusammen mit mindestens zwei weiteren Domänencontrollern
repliziert.
Die Replikation innerhalb eines Standorts verläuft unkompliziert – Sie haben nichts
weiter zu tun. Der KCC erledigt die meiste Arbeit für Sie, indem er Verbindungsob-
jekte erstellt, die alle Ihre Server untereinander verbinden.
3.6 Informationen in Active Directory replizieren 145
3.6.3 Verbindungsobjekte
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von
Active Directory
씰 Verbindungsobjekte erstellen
Verbindungsobjekte dienen als Rückgrat der Replikation und definieren Netzwerk-
pfade, über die die Replikation ablaufen kann. Sie müssen wissen, welche es sind,
und wie sie definiert sind. Außerdem müssen Sie in der Lage sein, sie selbst zu defi-
nieren.
Eine Verbindung ist ein dauerhafter oder temporärer Netzwerkpfad, der für die Rep-
likation benutzt werden kann. Die Verbindungsobjekte in einem Standort erstellen
Sie normalerweise nicht selbst. Es wird vorausgesetzt, dass alle Pfade zwischen Ser-
vern die gleiche Geschwindigkeit bieten und KCC daher in der Lage sein wird, Ver-
bindungsobjekte zu erstellen.
Sie können innerhalb eines Standorts Verbindungen erstellen. Sie können außerdem
die von KCC erstellten Verbindungen zwar bearbeiten, müssen dabei jedoch Vor-
sicht walten lassen. Eine Verbindung, die Sie selbst erstellen, wird niemals von
KCC ausgewertet und auch niemals außer von Ihnen selbst gelöscht. Dies kann zu
Problemen führen, wenn Ihr Netzwerk sich ändert und Sie vergessen, die von Ihnen
erstellte Verbindung zu entfernen. In Fällen, in denen Sie die Verbindung bearbei-
ten, die KCC erzeugt hat, gehen die Änderungen verloren, sobald KCC die Verbin-
dungen wieder aktualisiert.
Der Hauptgrund, aus dem Sie ein Verbindungsobjekt erstellen würden, besteht
darin, dass Sie die Server zur Verknüpfung der Standorte selbst festlegen möchten.
Diese sog. Bridgehead-Server (Brückenkopf-Server) bilden das eigentliche Rück-
grat der Replikation über eine Standortverknüpfung. Führen Sie zum Erstellen eines
Verbindungsobjekts nun die folgenden Schritte aus.
3. Blenden Sie den Ordner SERVERS für den Standort ein, und dann den Server,
der zum Bestandteil der Verknüpfung werden soll.
4. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS, und wählen Sie
NEUE ACTIVE DIRECTORY-VERBINDUNG im Kontextmenü aus.
5. Wählen bzw. suchen Sie im angezeigten Dialogfeld den Server aus, für den
Sie die Verknüpfung erstellen möchten, und klicken Sie auf OK.
Verbindungsobjekte stellen, wie Sie gesehen haben, die Netzwerkpfade für die Rep-
likation zur Verfügung. Dies gilt sowohl für Verbindungen innerhalb als auch zwi-
schen zwei Standorten.
Active Directory ermöglicht darüber hinaus eine Zeitplanung für die standortüber-
greifende Replikation, sodass diese nur zu geplanten Zeitpunkten stattfindet. Wäh-
rend dieser Zeiträume steht Ihnen immer noch die Gelegenheit zur Verfügung, den
Replikationsintervall abzuändern. Bevor Sie dies jedoch tun können, müssen Sie
einen Domänencontroller in einen anderen Standort verschieben. Anschließend
können Sie dann eine Verbindung zwischen diesem Domänencontroller und einem
weiteren in einem anderen Standort erstellen.
Domänencontroller verschieben
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von
Active Directory
씰 Serverobjekte zwischen Standorten verschieben
Die Kontrolle der Replikation und die Gewährleistung dessen, dass sich die Benut-
zer innerhalb eines angemessenen Zeitraums am Netz anmelden können, verlangt
von Ihnen, dass Sie Domänencontroller in der Nähe der Benutzer stationieren. Dies
bedeutet, dass Sie gelegentlich Domänencontroller zwischen Standorten verschie-
ben werden.
Der Zweck eines Standorts besteht darin, die Replikation zwischen den Domänen-
controllern und durch langsame Netzwerkverbindungen hindurch zu unterstützen.
Zusätzlich zum Erstellen des Standorts und dem Hinzufügen von Subnetzen zu die-
sem Standort müssen Sie außerdem noch Domänencontroller in den Standort ver-
schieben können.
Das Verschieben eines Domänencontrollers zu einem Standort ist Teil des Erstel-
lens und Verwaltens von Standorten in Active Directory.
Abbildung 3.27
Standorte verknüpfen
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von
Active Directory
씰 Standortverknüpfungen erstellen
Der Schlüssel zur Kontrolle der Replikation ist das Erstellen von Standorten. Stand-
orte ermöglichen Ihnen wiederum das Erstellen von Standortverknüpfungen, mit
denen Sie die Existenz von Verknüpfungen überprüfen und steuern, wie oft die
Replikation während der Verfügbarkeit der Verknüpfung stattfinden kann. Mehrere
Standortverknüpfungen können auch genutzt werden, um verschiedene Replika-
tionszeitpläne zu erstellen oder einfach redundante Verbindungen zu unterstützen,
die dann über Kostenwerte gesteuert werden. Jetzt, wo Sie Domänencontroller an
verschiedene Standorte verschoben haben, müssen Sie zwischen den Standorten
noch eine Standortverknüpfung erstellen. Damit wird der Pfad erstellt, über den die
Replikation zu diesem Standort dann stattfindet.
Über das Erstellen und Konfigurieren von Standortverknüpfungen liefern Sie KCC
die Informationen darüber, welche Verbindungsobjekte erstellt werden müssen, um
die Verzeichnisdaten replizieren zu können. Standortverknüpfungen zeigen an, wo
Verbindungsobjekte erstellt werden müssen. Sie nutzen zum Austausch der Ver-
zeichnisinformationen das Netzwerk.
Beim Erstellen von Standortverknüpfungen haben Sie die Wahl unter entweder IP
oder SMTP als Transportprotokoll für die Standortverknüpfung.
HINWEIS
Eigenes Zertifikat erstellen
Falls Sie keine Authentifizierung mit externen Systemen herstellen müssen, kön-
nen Sie zum Erstellen des Zertifikats auch den zusammen mit Windows 2000
ausgelieferten Zertifikatsserver verwenden.
Nach dem Erstellen der Standortverknüpfung können Sie zurückgehen und die rest-
lichen Eigenschaften der Standortverknüpfung erstellen. Dazu lokalisieren Sie die
Standortverknüpfung im IP- oder SMTP-Ordner und zeigen die Eigenschaften der
Verknüpfung an.
150 Kapitel 3 Eine Active Directory- Struktur aufbauen
씰 KOSTEN. Dies ist ein relativer Wert, der von Active Directory dazu verwendet
wird, die Route beim Replizieren der Informationen festzulegen. Die güns-
tigste verfügbare Route basiert auf den Gesamtkosten, die für zwei Standorte
leicht zu ermitteln sind. Falls die Standorte jedoch nicht direkt miteinander
verbunden sind, werden sämtliche Standortkombinationen, die beide Stand-
orte verknüpfen, ausgewertet und die Gesamtkosten aller Standorte miteinan-
der verglichen.
씰 REPLIZIEREN ALLE. Dies ist das Intervall, mit dem die Replikation über diese
Verknüpfung stattfindet.
씰 ZEITPLAN ÄNDERN. Mit dieser Schaltfläche können Sie einstellen, wann die
Standortverknüpfung für die Replikation zur Verfügung steht. Die Replikati-
on findet während des Zeitraums der Verfügbarkeit der Verknüpfung mit ei-
ner Häufigkeit statt, die durch dieses Intervall festgelegt wird.
Standortverbinder bieten die Flexibilität an, die Sie für den Umgang mit dem physi-
schen Netzwerk innerhalb einer Domäne brauchen. In manchen Fällen werden Sie
noch die Server kontrollieren wollen, die für die Replikation verwendet werden. Zu
diesem Zweck müssen Sie einen Bridgehead-Server konfigurieren können.
Bridgehead-Server
Ein Bridgehead-Server ist der für die standortübergreifende Replikation eingesetzte
Hauptserver. Sie können einen solchen Server für jeden von Ihnen erstellten Stand-
ort und mit jedem standortübergreifenden Replikationsprotokoll konfigurieren.
Dadurch haben Sie die Möglichkeit festzulegen, welcher Server in einem Standort
zur Replikation von Informationen an andere Server eingesetzt wird. Die folgende
Schritt-für-Schritt-Anleitung führt Sie durch die Konfiguration eines Bridgehead-
Servers.
3.6 Informationen in Active Directory replizieren 151
Mit der Konfiguration eines Servers als Bridgehead-Server erlangen Sie größere
Kontrolle über die Ressourcen, die zwischen zwei Standorten oder in Fällen, in de-
nen z.B. eine Standortverknüpfungsbrücke zwischen mehreren Standorten besteht,
verwendet werden.
Standortverknüpfungsbrücken
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von
Active Directory.
씰 Standortverknüpfungsbrücken erstellen
In vielen Fällen brauchen Sie mit Standortverknüpfungsbrücken überhaupt nicht
umzugehen, weil standardmäßig alle Standortverknüpfungen automatisch über-
brückt sind; eine Eigenschaft, die unter der Bezeichnung transitive Standortver-
knüpfungen bekannt ist. In anderen Fällen möchten Sie unter Umständen die Kon-
trolle darüber erlangen, durch welche Standorte die Daten fließen sollen. In solchen
Fällen müssen Sie Standortverknüpfungsbrücken erstellen.
Betrachten Sie als Beispiel einmal die Abbildung 3.28. Sie sehen drei Standorte
(1, 2 und 3), die direkt miteinander verbunden sind; ein Fall, in dem die automati-
sche Überbrückung gut funktioniert. Allerdings ist der Standort 4 über eine lang-
152 Kapitel 3 Eine Active Directory- Struktur aufbauen
same Leitung angebunden, weshalb Sie keine Replikation dieses Standorts mit den
anderen Standorten wünschen. In diesem Fall möchten Sie dagegen, dass Standort 4
nur mit Standort 1 repliziert.
Abbildung 3.28
blematisch sein
kann Router
Standort 4 Router
Standort 2
Standort 3
Führen Sie zum Abschalten der automatischen Überbrückung die folgenden Schritte
aus.
Abbildung 3.29
Auf der Registerkarte ALLGEMEIN werden Sie bemerken, dass es noch eine Option
zum Ignorieren aller Zeitpläne gibt. Diese Option wird nur dazu verwendet, Ände-
rungen unabhängig davon zu erzwingen, ob die Replikation gegenwärtig zeitplan-
gesteuert ist oder nicht.
Bis hierhin haben Sie sich mit der Replikation der Domäneninformationen befasst.
Sie müssen darüber hinaus auch noch die Replikation des Schemas, der Konfigura-
tionspartitionen und des globalen Katalogs ins Auge fassen. Erledigt werden diese
Vorgänge vom Server, der als Globaler Katalog-Server definiert ist
Abbildung 3.30
Server für den globalen Katalog stellen grundlegende Informationen zur Verfügung,
die zum Zusammenschmieden aller Bestandteile von Active Directory verwendet
werden. Die Server für den globalen Katalog gewährleisten, dass die Schema- und
Konfigurationsinformationen an alle Domänen verteilt werden, bearbeiten die uni-
Fallstudie: Active Directory installieren und konfigurieren 155
Am Beginn der Diskussion weiter oben über die Replikation haben Sie erfahren,
dass die Server für den globalen Katalog miteinander replizieren. Diese Replikation
findet so statt, als ob sich alle Server für den globalen Katalog innerhalb derselben
Domäne befänden, und KCC die Replikation kontrollieren würde. Ihre eigene ein-
zige Wahl besteht in der Festlegung, ob ein Domänencontroller ein Server für den
globalen Katalog wird oder nicht. Die folgende Anleitung demonstriert, wie ein
Domänencontroller zu einem Server für den globalen Katalog gemacht wird.
Einer der wichtigsten Jobs eines Administrators besteht darin, die Verzeichnisinfor-
mationen aktuell zu halten und sicherzustellen, dass alle Domänencontroller kor-
rekte Informationen besitzen. Eben dies wird durch die Replikation ermöglicht. Die
Abschnitte oben haben Ihnen diese sowohl für Ihre Prüfung als auch Ihre berufliche
Praxis entscheidende Tatsache sicher nähergebracht.
씰 Einige der Orte sind recht groß und brauchen wahrscheinlich mehrere
Controller. Diese Orte benötigen wohl auch mehrere Standorte.
씰 Um sicherzustellen, dass eine Suche nach Objekten rund um den Globus
herum möglich ist, und Benutzer sich an jedem beliebigen Punkt anmel-
den können, sind an jedem Standort Server für den globalen Katalog er-
forderlich.
씰 Da die Domänen nicht nach der Geografie, sondern nach der Funktion
aufgeteilt sind, benötigt jeder Standort mindestens einen Domänencont-
roller für jede Domäne.
씰 Die Gesamtgröße jeder Domäne ist vergleichsweise gering. Da es nur
wenig Veränderungen bei den Mitarbeitern und seltene Kennwortwech-
sel gibt, wird der Replikationsaufwand minimal sein.
씰 Da es Domänencontroller in jeder Domäne gibt, die lokal zum Ort sind,
können die Benutzer Änderungen vornehmen, die ihren lokalen Bedin-
gungen entsprechen. Dies bedeutet, dass die Replikation nicht sofort
stattfinden muss.
Situationsbeschreibung
In diesem Kapitel haben Sie einen Blick auf die physische und logische Struk-
tur von Active Directory geworfen. Darüber hinaus haben Sie erfahren, wie Sie
den Domänencontroller und die untergeordneten Domänen installieren, und
wie Sie außerdem eine weitere Struktur in der Gesamtstruktur installieren.
Das andere hier erörterte Hauptthema betrifft die Replikation. Sie haben nun
sicher die drei Hauptbestandteile von Active Directory verstanden: Schema,
Konfiguration und Domäne. Weiterhin haben Sie ein Verständnis dafür entwi-
ckelt, wie diese Teile repliziert werden.
Von den vorigen Fallstudien her erinnern Sie sich sicher noch, dass die Son-
nenschein-Brauerei auf 15 verschiedene Städte auf der ganzen Welt aufgeteilt
ist, von denen einige über mehrere Standorte verfügen. Außerdem wissen Sie
noch, dass die Domänenstruktur wegen der völlig unterschiedlichen Anforde-
rungen der weltweiten Benutzer entlang der Berichtslinien und nicht der Geo-
grafie aufgebaut wurde.
Nun wird es Zeit, dass Sie dies alles in einem Beispiel aus der Praxis imple-
mentieren und die Herausforderungen und Fragen erwägen, die sich aus einer
solchen Situation ergeben.
Fallstudie: Active Directory installieren und konfigurieren 157
Das Szenario ist recht einfach. Als Erstes müssen Sie eine Active Directory-
Struktur erstellen, die den ganzen Globus umspannt. Dann müssen Sie gewähr-
leisten, dass die Replikation alle Domänen aller Standorte aktuell halten kann,
ohne die zwischen den Standorten verfügbare Bandbreite zu überlasten.
Unter Berücksichtigung dieser Voraussetzungen und des generellen Zwecks des
Netzwerks präsentiert die folgende Analyse eine Lösung für dieses Szenario.
Situationsbeschreibung
Beim Betrachten des geschilderten Szenarios fallen zunächst einige Schlüssel-
faktoren auf, von denen die Analyse bestimmt wird. Als Erstes müssen Sie die
Replikation sicherstellen. Diese muss in der Tat nicht schneller als die Zeit ver-
laufen, die ein Benutzer braucht, um physisch von einem Büro ins andere zu
wechseln.
Gehen wir einmal davon aus, dass die kürzeren Distanzen wie etwa von Victo-
ria nach Los Angeles oder von Ottawa nach New York oder von Paris nach
London innerhalb einer Flugstunde zu erledigen sind. Daraus ergibt sich, dass
Sie eine Replikation anpeilen sollten, die zwischen den Hauptbüros alle 3 Stun-
den und entsprechend länger zwischen den übrigen Orten wie etwa zwischen
Kapstadt und Buenos Aires stattfindet.
Eine andere Erwägung im Hinblick auf die Replikation betrifft die Tatsache,
dass nicht alle Orte über eine zweite Verbindung zu einem anderen Ort verfü-
gen und daher isoliert werden könnten, wenn die Hauptverbindung einmal aus-
fallen sollte. Damit die Replikation in solchen Fällen nicht behindert wird,
müssen sekundäre Standortverknüpfungen konfiguriert werden, die das Internet
und ein VPN (Virtual Private Network) oder SMTP als standortübergreifenden
Transport nutzen.
SMTP kann deshalb in Betracht gezogen werden, weil der Zertifikatsserver für
Sie ein Zertifikat erstellen kann, womit aber nur die Replikation erledigt wird.
Da Sie jedoch wegen des möglichen Ausfalls der Hauptleitung ggf. auch noch
anderen Datenverkehr bewältigen wollen, macht das VPN mehr Sinn.
Damit bleibt nur noch die standortinterne Replikation innerhalb eines Standorts
übrig. Sie erledigen dies recht einfach dadurch, dass Sie alle Standorte inner-
halb eines Ortes dieselbe Standortverknüpfung verwenden lassen. Pro Ort wird
es daher eine Standortverknüpfung geben. Die Replikation innerhalb des Stand-
orts findet unter Verwendung der Standards statt. An jedem Ort wird ein Stand-
ort erstellt, der die Orte miteinander verbindet.
158 Kapitel 3 Eine Active Directory- Struktur aufbauen
Zusammenfassung
Dieses Kapitel hat Ihnen die Gelegenheit geboten, anhand eines praktischen Bei-
spiels mit Active Directory zu arbeiten. Wie Sie gesehen haben, basiert die Struktur
von Active Directory grundsätzlich auf den zwei Komponenten des logischen und
physischen Designs. Das logische Design besteht aus den Organisationseinheiten,
mit denen die Verwaltung der Domänen unterteilt wird, den Domänen, die den
Stamm und die Verzweigungen einer Struktur bilden, sowie den Strukturen, aus
denen die Gesamtstrukturen bestehen.
Weiterhin gibt es das physische Design, welches das Unternehmen zur Grundlage
nimmt, um eine Aufteilung in Netzwerke mit Hochgeschwindigkeitsverbindungen
vorzunehmen. Auf der physischen Seite gibt es Standorte, aus denen das Netzwerk
besteht, sowie einen Knowledge-Konsistenzprüfer, der sämtliche Standortverknüp-
fungen, die die Verbindungen für die Replikationstopologie darstellen, überwacht.
Sie haben die Wahl, entweder Ihre eigenen Verbindungen zu erstellen oder die Rep-
likationstopologie Ihren eigenen Standortverknüpfungsbrücken anzupassen. Alle
diese Dinge dienen Ihnen dazu, die Replikation all Ihrer Objekte in der Domäne
sicherzustellen.
Darüber hinaus müssen Sie noch Server für den globalen Katalog erstellen, norma-
lerweise einen pro Standort und einen pro Domäne. Diese Server für den globalen
Katalog replizieren unternehmensweite Informationen wie etwa den globalen Kata-
log (eine Liste der Objekte in allen Domänen mit einer Untermenge ihrer Attribute),
das Schema und die Konfigurationsinformationen.
Lernzielkontrolle 159
Schlüsselbegriffe
쎲 dcpromo 쎲 Standort
쎲 Domänenpartition 쎲 Standortverknüpfungen
쎲 Gesamtstruktur 쎲 Standortverknüpfungsbrücken
쎲 Knowledge-Konsistenzprüfer 쎲 Struktur
쎲 Konfigurationspartition 쎲 Subnetz
쎲 NTFS 쎲 Untergeordnete Domäne
쎲 RAS 쎲 Ursprünglicher Schreibwert
쎲 Remoteprozeduraufruf 쎲 USN (Update Sequence
Number)
쎲 Schemapartition 쎲 Verbindungsobjekte
쎲 SMTP (Simple Mail Transfer
Protocol)
Lernzielkontrolle
Übungen
Bei den folgenden Übungen benötigen Sie mindestens zwei PCs, mit denen Sie
arbeiten können. Beide Computer werden einige Male herauf- und wieder herabge-
stuft, sodass Sie, falls sie wichtige Daten enthalten, diese besser vorher sichern soll-
ten.
5. Geben Sie als Domänennamen W2KBrewing.com ein, und klicken Sie auf WEI-
TER.
voraus, dass das Laufwerk, auf dem Windows 2000 installiert ist, ein NTFS-Lauf-
werk ist. Falls nicht, wandeln Sie es mit dem Befehl convert in NTFS um.
1. Wählen Sie im Startmenü AUSFÜHREN aus, und geben Sie dcpromo ein.
2. Klicken Sie auf WEITER, um den Begrüßungsbildschirm des Assistenten zum
Installieren von Active Directory weiterzuschalten.
3. Wählen Sie Domänencontroller für eine neue Domäne aus, und klicken Sie
anschließend auf WEITER.
4. Wählen Sie EINE NEUE DOMÄNENSTRUKTUR ERSTELLEN aus, und klicken Sie
dann auf WEITER.
5. Wählen Sie NEUE GESAMTSTRUKTUR AUS DOMÄNENSTRUKTUREN ERSTEL-
LEN aus, und klicken Sie auf WEITER.
6. Geben Sie als den vollen DNS-Namen für die Domäne W2KBrewing.com ein,
und klicken Sie auf WEITER.
7. Bestätigen Sie, dass der Downlevel-Domänenname W2KBrewing.com lautet.
8. Beachten Sie die Standardspeicherungsorte für Active Directory und die Pro-
tokolldateien. Klicken Sie zur Übernahme des Standardwerts auf WEITER.
9. Beachten Sie den Speicherungsort des Ordners SYSVOL. Klicken Sie zur
Übernahme des Standardwerts auf WEITER.
10. Als Nächstes erhalten Sie einen Sicherheitshinweis über die RAS-Sicherheit
von Windows 2000. Klicken Sie zum Fortfahren auf WEITER.
11. Geben Sie als Kennwort für die Wiederherstellung des Verzeichnisdienstes
kennwort ein, und klicken Sie zum Fortfahren auf WEITER.
12. Überprüfen Sie den Schlussbildschirm und vergewissern Sie sich, dass alle
Ihre Eingaben korrekt sind. Klicken Sie zum Fortfahren auf WEITER. Falsche
Eingaben korrigieren Sie, indem Sie mit der Schaltfläche ZURÜCK zurückge-
hen und Änderungen vornehmen.
13. Klicken Sie auf FERTIG STELLEN und starten Sie Ihren Computer nach Auf-
forderung neu.
3.3 Installation von Active Directory verifizieren
In dieser Übung werden Sie verifizieren, dass eine korrekte Installation von Active
Directory stattgefunden hat, und dass der DNS-Server die korrekten Ressourcenein-
träge erhalten hat.
162 Kapitel 3 Eine Active Directory- Struktur aufbauen
1. Melden Sie sich am Domänencontroller, den Sie gerade erstellt haben, als
Administrator an. Das Kennwort entspricht dem Administratorkennwort vor
der Heraufstufung des Systems.
2. Wählen Sie im Startmenü PROGRAMME/VERWALTUNG aus.
3. Überprüfen Sie, dass die folgenden Active Directory-Programme installiert
sind: Active Directory-Benutzer und Computer, Active Directory-Standorte
und Dienste sowie Active Directory-Domänen und Vertrauensstellungen.
4. Klicken Sie zum Öffnen des DNS-Managers auf DNS.
5. Blenden Sie den Server und anschließend FORWARD-LOOKUPZONEN ein, und
klicken Sie auf W2KBrewing.
6. Sie sollten jetzt vier Unterordner sehen: _msdcs, _sites, _tcp und _udp.
7. Schließen Sie den DNS-Manager.
3.4 Sekundären Domänencontroller hinzufügen
In dieser Übung werden Sie Ihrer Domäne einen zweiten Domänencontroller hinzu-
fügen, was Ihnen ermöglicht, Standorte zu erstellen, und Standortverknüpfungen
und Brücken zu konfigurieren. Diese Übung sollte auf einem Server ausgeführt
werden, auf dem Windows-2000-Server oder Advanced Server läuft, jedoch nicht
auf dem in Übung »Stammdomänencontroller installieren« installierten Server.
Auch diese Übung setzt voraus, dass das Laufwerk, auf dem Windows 2000 instal-
liert ist, mit NTFS formatiert ist.
4. Geben Sie für den primären DNS-Server die Adresse Ihres existierenden Ser-
vers ein, die in den vorigen Übungen eingerichtet worden ist.
5. Schließen Sie durch Klicken auf OK die TCP/IP-Eigenschaften, und schlie-
ßen Sie dann durch Klicken auf OK die Verbindungseigenschaften. Schließen
Sie das Dialogfeld LAN-VERBINDUNG.
Lernzielkontrolle 163
6. Wählen Sie über das Startmenü AUSFÜHREN, geben Sie dcpromo ein und drü-
cken Sie dann (Enter).
7. Klicken Sie zum Weiterschalten des Begrüßungsbildschirms auf WEITER.
8. Wählen Sie ZUSÄTZLICHER DOMÄNENCONTROLLER FÜR EINE BESTEHENDE
DOMÄNE aus, und klicken Sie auf WEITER.
9. Geben Sie hinsichtlich der Netzwerkberechtigung Administrator als Benut-
zername, Ihr Administratorkennwort und die Domäne W2KBrewing.com als
Domäne ein. Klicken Sie auf WEITER.
10. Geben Sie im Eingabefeld DOMÄNE VERBINDEN W2KBrewing.com ein, und kli-
cken Sie auf WEITER.
11. Übernehmen Sie durch Klicken auf WEITER die Standardwerte für die Daten-
bank und Protokolldateien.
12. Übernehmen Sie durch Klicken auf WEITER den Standardwert für den Spei-
cherungsort von SYSVOL.
13. Klicken Sie im Abschlussbildschirm auf FERTIG STELLEN, und starten Sie den
Computer nach Aufforderung neu.
3.5 Standorte und Replikation verwalten
In dieser Übung werden Sie Standorte und Subnetze erstellen, und darüber hinaus
einen der Domänencontroller an einen anderen Standort verschieben. Sie werden
Standortverknüpfungen und Standortverknüpfungsbrücken konfigurieren. Zum
Schluss werden Sie noch einen Domänencontroller als Server für den globalen
Katalog konfigurieren. Diese Übung können Sie an einem beliebigen Computer
durchführen.
Abbildung 3.31 Office = Physischer Standort: Büro Office = Physischer Standort: Lager
Ein Beispielnetz-
werk für die Übung
Standorte und Rep- Standort Hauptbüro Standort Produktion
likation verwalten
Router Router
ISDN mit 128 Kbps
6. Lesen Sie den Hinweis und entfernen Sie ihn dann durch Anklicken von OK.
7. Fügen Sie mit den Schritten 4 bis 6 die folgenden Standorte hinzu:
씰 Produktion
씰 Versand
씰 Vertrieb
8. Blenden Sie den Ordner INTER-SITE TRANSPORTS ein, und klicken Sie mit der
rechten Maustaste auf IP. Wählen Sie im Kontextmenü NEUE STANDORTVER-
KNÜPFUNG aus.
13. Klicken Sie mit der rechten Maustaste auf einen der Server, und wählen Sie
im Kontextmenü VERSCHIEBEN aus. Wählen Sie in der Liste Hauptbuero aus,
und klicken Sie auf OK.
14. Verschieben Sie auch die anderen Server mit denselben Schritten in Produktion.
15. Klicken Sie mit der rechten Maustaste auf den Ordner SUBNETS und wählen
Sie im Kontextmenü NEUES SUBNETZ aus.
16. Geben Sie die IP-Adresse 10.1.1.0 mit der Subnetzmaske 255.255.255.0 ein.
Wählen Sie als Standort dieses Subnetzes Hauptbuero aus, und klicken Sie
auf OK.
17. Fügen Sie mit den Schritten 15 und 16 die folgenden zusätzlichen Subnetze
hinzu:
18. Klicken Sie unter INTER-SITE TRANSPORTS mit der rechten Maustaste auf IP,
und wählen Sie im Kontextmenü EIGENSCHAFTEN.
19. Deaktivieren Sie das Kontrollkästchen BRÜCKE ZWISCHEN ALLEN STAND-
ORTVERKNÜPFUNGEN HERSTELLEN und klicken Sie auf OK.
20. Klicken Sie noch einmal mit der rechten Maustaste auf IP, und wählen Sie im
Kontextmenü Neue STANDORTVERKNÜPFUNGSBRÜCKE aus.
21. Geben Sie als Namen Crosstown ein und fügen Sie die Standortverknüpfun-
gen Buero und Lager hinzu. Klicken Sie zum Erstellen der Brücke auf OK.
22. Blenden Sie den Standort Hauptbuero und danach den Ordner SERVERS dar-
unter ein. Blenden Sie Ihren Server ein, und klicken Sie mit der rechten
Maustaste auf NTDS SETTINGS.
23. Wählen Sie NEUE ACTIVE DIRECTORY-VERBINDUNG aus. Klicken Sie auf den
anderen Domänencontroller in der Liste, und klicken Sie auf OK.
166 Kapitel 3 Eine Active Directory- Struktur aufbauen
24. Erstellen Sie mit den Schritten 22 und 23 eine Verbindung vom Server in
Produktion zum Server in Hauptbuero.
25. Klicken Sie mit der rechten Maustaste einen der Server an, und wählen Sie im
Kontextmenü EIGENSCHAFTEN aus. Wählen Sie in der Liste der verfügbaren
Transporte für standortübergreifende Datenübertragungen IP aus. Klicken Sie
auf HINZUFÜGEN, um diesen zum bevorzugten Bridgehead-Server zu ma-
chen. Klicken Sie auf OK.
26. Wiederholen Sie den Schritt 25 für den anderen Server.
27. Klicken Sie mit der rechten Maustaste auf NTDS SETTINGS für einen der Ser-
ver und wählen Sie im Kontextmenü EIGENSCHAFTEN aus. Vergewissern Sie
sich, dass GLOBALER KATALOG ausgewählt ist, und klicken Sie auf OK. Wie-
derholen Sie dies für den anderen Server.
28. Schließen Sie den Manager für Standorte und Dienste.
Wiederholungsfragen
1. Welches sind die Hauptgründe zum Erstellen einer Domäne?
2. Was ist der Zweck einer Organisationseinheit?
3. Was ist der Unterschied zwischen einer Standortverknüpfung und einer
Standortverknüpfungsbrücke?
4. Wann würden Sie eine Active Directory-Verbindung erstellen?
5. Was ist die Definition eines Standorts?
6. Was ist der Unterschied zwischen einer Gesamtstruktur und einer Struktur?
7. Welcher Servertyp wird zum Replizieren des Schema eines Unternehmens
verwendet?
8. Welche Optionen können Sie zur Kontrolle der Replikation bei einer Stand-
ortverknüpfung einstellen?
9. Was müssen Sie beim manuellen Erstellen von Standortverknüpfungsbrücken
tun, um die Nutzung Ihrer Standortverknüpfungsbrücken sicherzustellen?
10. Was können Sie tun, um eine Replikation durch alle Standortverknüpfungen
zu erzwingen?
Prüfungsfragen
1. Rolf installiert einen Server mit Windows 2000, der während der Installation
der Active Directory-Struktur in seiner Organisation verwendet werden soll.
Er installiert den DNS-Server, erstellt die Domänen und konfiguriert die dy-
namischen Aktualisierungen. Als er den ersten Domänencontroller zu instal-
lieren versucht, erhält er die Meldung, dass der Domänencontroller für die
Lernzielkontrolle 167
Domänen nicht zur Verfügung steht. Er entschließt sich dazu, mit der Instal-
lation fortzufahren und das Problem später anzugehen. Welcher Art wird das
Problem sein, das er später beheben muss?
A. Der DNS-Server muss gestoppt und gestartet werden.
B. Der Server, den er installiert, muss auf den richtigen DNS-Server verwei-
sen.
C. Nur Active Directory-integriertes DNS kann beim Installieren von Active
Directory verwendet werden. Rolf sollte zum Installieren besser den As-
sistenten benutzen.
D. Der DNS-Server, nicht die Zone, muss für dynamische Aktualisierungen
konfiguriert werden.
2. Sally ist Netzwerkadministrator und installiert im Moment Windows 2000
mit Active Directory. Sie hat bemerkt, dass die Replikation zwischen den
15 Domänencontrollern viel von der Bandbreite in Ihrem Ethernet-Netzwerk
mit 10 Mbps beansprucht. Der Ort, an dem sie arbeitet, hat drei Stockwerke.
Sally möchte für jedes Stockwerk einen separaten Standort erstellen. Sie hat
bereits drei Standorte und die Standortverknüpfungen zwischen diesen er-
stellt, kann jedoch keinen Unterschied zur früheren Situation feststellen. Was
sollte Sie als Nächstes tun?
A. Sie muss alle Domänencontroller neu starten.
B. Sie muss warten, bis der Knowledge-Konsistenzprüfer die neuen Verbin-
dungen berechnet hat.
C. Die Replikation wurde nicht ausgeführt und ist erst später geplant.
D. Das System, an dem Marc arbeitet, ist für diesen Standort der Server für
den globalen Katalog.
4. Rita hat eine Active Directory-Struktur mit Windows 2000 für Ihre Organisa-
tion erstellt. Sie hat eine einzige Domäne errichtet, die 700 Benutzer und de-
ren Computer enthält. Das Unternehmen ist in zwei Büros mit einer 56 Kbps-
Verbindung dazwischen aufgeteilt. Rita konfiguriert zwei Standorte (einen
für jedes Büro) und eine Standortverknüpfung dazwischen mit SMTP. Die
Replikation zwischen den beiden Standorten scheint jedoch nicht richtig zu
funktionieren. Was sollte Rita nun tun?
A. Sie muss eine unternehmensweite Zertifizierungsstelle erstellen.
D. Stellen Sie sicher, dass die Option BRÜCKE ZWISCHEN ALLEN STANDORT-
VERKNÜPFUNGEN HERSTELLEN nicht aktiviert ist.
8. Sie unterstützen Kollegen bei der Vorbereitung auf die Prüfung 70-217. Sie
befassen sich im Moment mit der Active Directory-Replikation und den ver-
schiedenen Partitionen. Sie stellen den Kollegen die folgenden vier Punkte
vor und fordern Sie auf, den Punkt herauszusuchen, der keine Partition von
Active Directory ist. Welcher Punkt ist es?
A. Schema
B. Konfiguration
C. Globaler Katalog
D. Domäne
9. Die Benutzer in den zwei Remote-Standorten, die Sie betreuen, beklagen sich
darüber, dass die Verbindung zum Hauptbüro, in dem Sie arbeiten, langsam
ist. Sie berichten, dass die Verbindungen seit den letzten Tagen zu langsam
gewesen sei. Sie überprüfen sie und stellen fest, dass sie tatsächlich mit 100%
ihrer Kapazität läuft. Als Sie weitere Untersuchungen anstellen, entdecken
Sie als die Ursache des Problems die Active Directory-Replikation. Beim
170 Kapitel 3 Eine Active Directory- Struktur aufbauen
12. Sie fügen Ihrem Netzwerk einen Remote-Standort hinzu, der mit einer ISDN-
Leitung mit 128 K angebunden wird. Die ISDN-Leitung wird erwartungsge-
mäß tagsüber zu annähernd 80% und in der Nacht zu 30% ausgelastet sein.
Sie möchten gewährleisten, dass die Replikation tagsüber nicht zuviel Band-
breite beansprucht, während die Bandbreite in der Nacht genügen soll, um
alle Synchronisierungen zu erledigen. Die Netzwerkdesigner haben Ihnen ge-
sagt, dass Sie mindestens einmal am Tag replizieren müssen. Welcher der
folgenden Punkte löst diese Anforderungen am besten?
A. Erstellen Sie eine Standortverknüpfung, die nur in der Nacht repliziert. Er-
zwingen Sie manuell einmal täglich eine Replikation.
B. Erstellen Sie eine Standortverknüpfung mit einem Intervall von 30 Minu-
ten, die in der Nacht genutzt wird, und eine andere Standortverknüpfung,
die während des Tages mit einem Intervall von 6 Stunden betrieben wird.
C. Erstellen Sie eine Standortverknüpfung, die in der Nacht mit Kosten von
10 und tagsüber über einen Zeitplan mit den Kosten von 99 betrieben
wird.
D. Erstellen Sie eine Standortverknüpfung, die während der Nacht mit stan-
dardmäßigen Kosten und Intervallen genutzt wird, und eine andere Stand-
ortverknüpfung, die nur von Mittag bis 1 Uhr nachts zur Verfügung steht.
13. Sie haben zwei Standorte, die unter Verwendung einer T1-Leitung miteinan-
der verbunden sind. Sie arbeiten an der Optimierung des Replikationsver-
kehrs zwischen den Standorten. Jeder Standort enthält einen Highend-
Domänencontroller, der dediziert für den globalen Katalog zuständig ist. Sie
möchten sicherstellen, dass die Replikation über die Standortverknüpfung
diese beiden Controller nutzt. Was müssen Sie dafür tun?
A. Erstellen Sie Verbindungsobjekte zum Verbinden dieser Server.
B. Erstellen Sie eine Standortverknüpfungsbrücke, die diese Server verbin-
det.
C. Stellen Sie sicher, dass die Standortverknüpfung diese Server als Bridge-
head-Server kennzeichnet.
172 Kapitel 3 Eine Active Directory- Struktur aufbauen
D. Erstellen Sie für jeden Server einen separaten Standort und verbinden Sie
diese Standorte. Anschließend konfigurieren Sie eine Standortverknüp-
fung zwischen den Servern und den anderen Servern Ihres Netzwerks.
14. Sie haben die Standortverknüpfungen und Standortverknüpfungsbrücken Ih-
res Netzwerks konfiguriert. Die Replikation funktioniert und alle Standorte
erhalten ordnungsgemäß die Aktualisierung von Active Directory. Sie be-
schreiben das Netzwerk, mit dem Sie arbeiten, einem Kollegen, der Ihnen
mitteilt, dass Sie die Standortverknüpfungsbrücken gar nicht konfigurieren
mussten. Warum brauchen Sie die Standortverknüpfungsbrücken nicht?
A. Der KCC erstellt die Standortverknüpfungsbrücken für Sie.
B. Die Standorte werden automatisch überbrückt.
15. Ihr Netzwerk läuft sehr stabil – die Benutzer ändern nicht viel und die Com-
puter auch nicht. Die vorhandene Struktur funktioniert, und Sie nehmen nur
selten Änderungen in Active Directory vor. Sie haben sich mit einem Band-
breitenproblem zwischen dem Hauptstandort und einem Remote-Standort be-
schäftigt und festgestellt, dass es Replikationsverkehr gibt, der während des
Tages durch diese Verbindung geht. Was können Sie tun, um diesen Verkehr
zu beseitigen?
A. Erstellen Sie eine Standortverknüpfung, die nur nachts repliziert.
B. Erstellen Sie eine Standortverknüpfungsbrücke, die nur nachts repliziert.
C. Erstellen Sie zwei Standorte, von denen der eine tagsüber mit einem lang-
samen Zeitplan und der andere häufiger in der Nacht repliziert.
halb die Antwort D falsch ist. Siehe dazu den Abschnitt »Replikation zwi-
schen Standorten«.
5. A. In diesem Fall besteht die beste Antwort darin, zuerst den Standort zu er-
stellen, sodass die Antworten B, C und D falsch sind. Während der Erstellung
des Standorts werden Sie nach der Standortverknüpfung gefragt, zu der dieser
Standort gehören soll. Anschließend können Sie Subnetze und Domänencon-
troller hinzufügen (in beliebiger Reihenfolge). Siehe dazu den Abschnitt »In-
formationen in Active Directory replizieren«.
6. C. In diesem Fall besteht der ausschließliche Unterschied nur darin, dass die
Daten komprimiert werden. Die anderen Unterschiede sind, dass Sie die Rep-
likation zwischen Standorten planen und das Intervall für die Suche nach
Änderungen einstellen können. Außerdem können Sie verschiedene Verknüp-
fungen zu verschiedenen Kosten zwischen zwei Standorten haben, und
zwischen den Standorten SMTP verwenden. Nachdem Sie eine Standortver-
knüpfung definiert haben, bearbeitet der KCC die Verbindungen für Sie, so-
dass die Antwort A nicht zutrifft. Die standortübergreifende Replikation kann
SMTP verwenden, aber auch RPC über IP, sodass Antwort B nicht stimmt.
Die Antwort D ist falsch, weil der KCC automatisch alle erforderlichen Ver-
knüpfungen für Sie einrichtet. Siehe dazu den Abschnitt »Informationen in
Active Directory replizieren«.
7. D. In diesem Fall können Sie zwar ein Problem mit einer manuell erstellten
Verbindung haben, jedoch muss auch eine manuell erstellte Verbindung den
Informationen der Standortverknüpfung entsprechen, weshalb die Antwort A
nicht richtig ist. Die Antwort B kann zu einem Problem führen, weil die Rep-
likation kontinuierlich stattfindet, obwohl dies jedoch nicht die Standortver-
knüpfungsbrücke ignorieren würde. Die Antwort C ist keine zulässige
Option, was bedeutet, dass die Antwort D die einzig richtige ist. Diese Option
ist standardmäßig aktiviert und muss von Ihnen abgeschaltet werden, wenn
Sie Standortverknüpfungsbrücken erstellen möchten. Siehe dazu den Ab-
schnitt »Replikation zwischen Standorten«.
8. C. Es gibt drei große Partitionen im Active Directory: Die Schemapartition,
die sämtliche Attribute und Klassen enthält, die die Datenbank definieren, die
Konfigurationspartition zum Speichern der Domänen- und Vertrauensstel-
lungsinformationen, sowie die Domänenpartition mit den Informationen zu
jedem Objekt in der Domäne. Der globale Katalog stellt eine Untermenge
von Attributen dar und ist in Wirklichkeit keine separate Partition. Siehe dazu
den Abschnitt »Informationen in Active Directory replizieren«.
9. B. Standortverknüpfungsbrücken verfügen nicht über Zeitpläne, sodass die
Antwort A nicht zutreffend ist. Andere Operatoren können zwar eine Repli-
kation über die Verknüpfung erzwingen, jedoch kaum kontinuierlich die gan-
ze Woche hindurch, weshalb die Antwort C falsch ist. Die Antwort D entfällt
176 Kapitel 3 Eine Active Directory- Struktur aufbauen
aus einem ähnlichen Grunde – es wird kaum eine Woche brauchen, bis die
Active Directory-Replikation abgeschlossen ist, sofern Sie kein Modem mit
110 Baud einsetzen. Antwort B bleibt daher die einzig mögliche und ist auch
sinnvoll. Diese Option kann dazu verwendet werden, erforderlichenfalls die
Replikation zu erzwingen, sollte aber nach Beendigung unverzüglich wieder
abgeschaltet werden, damit die Zeitpläne der Standortverknüpfungen ge-
währleistet bleiben. Siehe dazu den Abschnitt »Replikation zwischen Stand-
orten«.
10. D. In einem Fall wie diesem, in dem Sie auf beiden Seiten der Verbindung
Administratoren haben, und die Orte aus geografischen (wie in diesem Fall)
oder geschäftlichen Gründen weitgehend unabhängig voneinander betrieben
werden, werden Sie normalerweise eine Domäne in Betracht ziehen. Denken
Sie wieder daran, dass eine Domäne eine Grenze hinsichtlich der Replikation
und Sicherheit darstellt. Das Netzwerk ist bei näherer Betrachtung sicher
nicht gerade optimal. Die Idee zweiter Standorte könnte funktionieren, sofern
es nur eine Administration an einem der Standorte gibt, oder die Einheiten
enger zusammenarbeiten würden, was aber hier nicht der Fall ist. Mit einer
Organisationseinheit, die nützlich für die Anwendung von Richtlinien und die
Delegierung der Kontrolle ist, können Sie keine Zeitplanung von Replikatio-
nen machen, was das Problem daher nicht löst. Siehe dazu den Abschnitt
»Grundlagen der logischen Struktur von Active Directory«.
11. B. Wenn Sie einen Standort erstellen, erstellen Sie als Erstes den Standortna-
men, und wählen dann die Standortverknüpfung aus, zu der er gehört. Ist die
Standortverknüpfung nicht passend, können Sie eine neue erstellen. Als
Nächstes erstellen Sie die Subnetze, die Bestandteil des Standorts werden sol-
len, und verschieben anschließend die Domänencontroller in den Standort
bzw. erstellen diese darin. Außerdem sollten Sie noch die Lizenzierungs-
standorteinstellungen konfigurieren. Siehe dazu den Abschnitt »Mit Standor-
ten arbeiten«.
12. D. Sie nutzen in diesem Fall zwei Standortverknüpfungen, damit alles auto-
matisch erledigt wird. Der nächtliche Zeitplan wird mit dem Standardwert gut
laufen, und könnte sogar noch häufiger ablaufen. Alles was Sie darüber hi-
naus noch tun müssen, besteht darin, einmal am Tag zu replizieren (am we-
nigsten Unterbrechung werden Sie verursachen, wenn Sie zur Mittagszeit
replizieren!). Siehe dazu den Abschnitt »Replikation zwischen Standorten«.
13. A. Durch Erstellen einer Verbindung, d.h., eines Netzwerkpfades zwischen
diesen Servern, können Sie festlegen, welchem Pfad die Replikation folgen
soll. Außerdem könnten Sie die Serverobjekte als Bridgehead-Server für die-
ses Replikationsprotokoll konfigurieren, was jedoch dazu führen würde, dass
sie zu den Hauptservern für alle Standortverknüpfungen würden, die dieses
Protokoll einsetzen. Die Standortverknüpfung besitzt keine Option zum Fest-
Lernzielkontrolle 177
Lernziele
4
Dieses Kapitel hilft Ihnen bei der Vorbereitung auf das Thema »Active Directory-
Objekte verwalten« sowie Teilen des Themas »Installieren, Konfigurieren und Feh-
lerbehebung der Komponenten von Active Directory« der Microsoft-Prüfung.
Active Directory verfügt außerdem über die Fähigkeit, Drucker und Freigaben im
Netzwerk aufzulisten. Wie schon beim Hinzufügen von Benutzern und Computern
müssen Sie auch hier in der Lage sein, diese Objekte Active Directory über eine
Veröffentlichung hinzuzufügen.
Außer dem Hinzufügen von Benutzern, Computern, Freigaben und Druckern müs-
sen Sie dann noch wissen, wie Sie diese Objekte sowohl vom Gesichtspunkt des
Administrators als auch des Benutzers ausfindig machen können.
180 Kapitel 4 Active Directory-Dienste verwalten
Active Directory verfügt über die Fähigkeit, die Administration von Teilen des Ver-
zeichnisses an andere Benutzer oder Gruppen zu delegieren. In den Übungen dieses
Kapitels wird getestet werden, ob Sie in der Lage sind, die einzelnen Schritte der
Delegierung auszuführen.
Sie müssen ferner in der Lage sein, Benutzer innerhalb einer Domäne, zwischen
Organisationseinheiten und Domänen zu verschieben. Auch dies ist in Active
Directory neu, denn in NT 4.0 wurde das Objekt vor dem Verschieben erst gelöscht
und dann neu erstellt.
In diesem Kapitel werden viele verschiedene Themen behandelt, die alle mit den
Grundfunktionen eines Administrators zu tun haben. Manche dieser Funktionen
haben Sie vielleicht schon einmal ausgeführt, und Sie werden sich an sie beim
Lesen dieses Kapitels erinnern. Insbesondere sollten Sie auf die folgenden Punkte
achten:
씰 Beachten Sie, wie Objekte verwaltet werden, d.h., das Erstellen, Ändern,
Verschieben und Löschen.
씰 Obwohl es sich dabei nicht um ein Prüfungsthema handelt, sollten Sie ver-
standen haben, wie Gruppen funktionieren. Außerdem sollten Sie die Regel
Konten-sind-in-globalen-Gruppen-zusammengefasst-die-wiederum-zu-
domänenlokalen-Gruppen-gehören-die-die-Berechtigungen-haben beherr-
schen!
씰 Sie sollten die Funktion universeller Gruppen kennen.
씰 Achten Sie auf die Beschreibungen der Registerkarten, die bei Suchvorgän-
gen verwendet werden.
씰 Achten Sie darauf, wie Organisationseinheiten eingesetzt werden.
씰 Vertiefen Sie die Option zur Freigabe von Verzeichnissen, und wie diese
Freigaben in Active Directory gelangen. Hierzu gehören auch Drucker.
4.1 Einführung 181
4.1 Einführung
Die Verwaltung der Objekte eines großen Netzwerks macht einen großen Teil der
Arbeitszeit eines Netzwerkadministrators aus. Dieses Kapitel betrachtet einige der
Schlüsselbestandteile der Netzwerkadministration und erläutert, wie diese notwen-
digen Funktionen ausgeführt werden.
Das Kapitel beginnt mit dem Hinzufügen von Benutzer- und Computerkonten und
zeigt dann, wie Gruppen von Benutzern und Computern auf einmal verwaltet wer-
den. Nachdem Sie gesehen haben, wie Sie Benutzer und Computer Ihrem Netzwerk
hinzufügen können, werden Sie erfahren, wie Sie Objekte in Active Directory als
Administrator oder Benutzer ausfindig machen.
Sie werden im Verlaufe der Darstellung selbst feststellen, wie einfach die Arbeit
und die Suche in Active Directory ist. Die Diskussion wendet sich dann der Sicher-
heit der Objekte in Active Directory zu. Es wird weiterhin eine Erörterung der
Organisationseinheiten und der Delegierung der Autorität einschließlich der Ein-
richtung eines Benutzer oder einer Gruppe zur Verwaltung eines Teils von Active
Directory geben.
HINWEIS
Definition
Sicherheitsprincipale sind Verzeichnisobjekte, denen automatisch Sicherheits-
IDs zugewiesen werden. Objekte mit Sicherheits-IDs können sich am Netzwerk
anmelden und auf Domänenressourcen zugreifen.
4.2.1 Computerkonto
In Windows 2000 wurde die Administration des Computerkontos erweitert und
kann nun fast so wie ein Benutzerkonto verwaltet werden. Jeder Computer, auf dem
Windows 2000 oder Windows NT 4.0 läuft, kann sich an der Domäne anmelden
und wird daher beim Hochfahren auch authentifiziert.
Durch die Authentifizierung des Computers kann das Netzwerk die Aktivitäten des
Computers überwachen und ihn von einer zentralen Stelle aus verwalten. Möglich
ist dies nur für Computer mit Windows 2000 und Windows NT 4.0, während
Windows 95 und 98 noch nicht über die erforderlichen erweiterten Sicherheitsfunk-
tionen verfügen. Zwar kann ein Benutzer unter diesen Betriebssystemen den PC als
Arbeitsplatz im Netzwerk einsetzen, jedoch kann der Computer selbst noch nicht
verwaltet werden.
Computer verwalten
Das Programm, welches Sie zum Verwalten der Computer eines Netzwerks ein-
setzen, ist das Snap-In Active Directory-Benutzer und -Computer. Mit diesem
Programm sind Sie in der Lage, Computerkonten hinzuzufügen, zu löschen, zu ver-
schieben und zu verwalten. Standardmäßig verfügt nur die Gruppe Domänen-
Admins über die Berechtigung zum Hinzufügen und Verwalten von Computern
einer Domäne.
Mit Computern können Sie verschiedene Dinge anstellen. Als Erstes werden Sie
erfahren, wie Sie einen Computer hinzufügen. Sie erledigen dies entweder über den
Computer selbst (siehe die folgende Schritt-für-Schritt-Anleitung) oder über Active
Directory-Benutzer und -Computer.
4.2 Administrative Grundfunktionen 183
Mit diesen Schritten können Sie auf einfache Weise beim Installieren des Systems
der Domäne einen Computer hinzufügen.
Sie können das Computerkonto auch vor der Installation des Computers erstellen. In
einem solchen Fall muss die Person, die die Installation ausführt, kein Mitglied der
Gruppe Domänen-Admins sein, da kein Computerkonto in der Domäne erstellt wer-
den muss. Führen Sie zum Hinzufügen eines Computerkontos zur Domäne noch vor
dem eigentlichen Hinzufügen des Computers die folgende Schritt-für-Schritt-Anlei-
tung aus.
Abbildung 4.1
Nachdem Sie Active Directory das Computerkonto hinzugefügt haben, werden Sie
wahrscheinlich die Eigenschaften des Computerkontos einstellen wollen. Von die-
sen stehen Ihnen viele direkt zur Verfügung, während andere nur der Information
dienen. Zum Ändern der Eigenschaften führen Sie die folgende Schritt-für-Schritt-
Anleitung aus.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer,
und wählen Sie dann im Kontextmenü EIGENSCHAFTEN aus.
4. Stellen Sie die gewünschten Eigenschaften ein, und klicken Sie auf OK.
Die ersten zwei Schritt-für-Schritt-Anleitungen haben Ihnen gezeigt, wie Sie das
Computerkonto erstellen. Die folgende Anleitung demonstriert, wie Sie die Eigen-
schaften eines Computerkontos einstellen, von denen es viele verschiedene gibt.
In der folgenden Liste werden die einzelnen Optionen aufgeführt, die Sie in den
Registerkarten des Dialogfeldes EIGENSCHAFTEN einstellen können.
씰 VERWALTET VON. Hiermit können Sie das Benutzer- oder Gruppenkonto ein-
richten, mit dem der Computer verwaltet wird. Falls Sie Kontaktinformatio-
nen für den Benutzer eingegeben haben, werden diese hier angezeigt.
씰 OBJEKT. Dies ist der vollständige Name des Objekts, sein Erstellungsdatum
und die Aktualisierungsinformation.
des Objekts in Active Directory gemeint ist. Dieses Thema wird weiter unten
im Kapitel behandelt.
Gelegentlich müssen Sie einen Computer aus Active Directory wieder entfernen,
was beispielsweise der Fall sein kann, wenn er in eine andere Domäne kommt oder
aus anderen Gründen entfernt wird. Zum Löschen eines Computerkontos führen Sie
die folgenden Schritte aus.
Durch das Löschen eines Computerkontos wird wie beim Löschen jedes anderen
Objekts auch das Objekt und die SID (Security Identifier) entfernt. Dies bedeutet,
dass das Löschen eines Objekts, welches von Windows 2000 über seine SID identi-
fiziert wird, endgültig ist. Mit dem Erstellen eines neuen Objekts mit demselben
Namen wird eine neue SID und damit auch ein gänzlich unterschiedliches Objekt
erstellt.
3. Klicken Sie im Detailfenster mit der rechten Maustaste auf den Computer,
und wählen Sie im Kontextmenü VERWALTEN.
Jetzt können Sie alle Dinge rund um die Computerverwaltung erledigen. Sie
bekommen außerdem noch wichtige Informationen angezeigt, die Sie zur Fehlersu-
che von einer zentralen Stelle im Netzwerk aus benötigen.
Computer stürzen immer wieder mal ab. In einem solchen Fall müssen Sie sie nor-
malerweise neu starten oder sogar erneut installieren. Bei einer Neuinstallation
unter Windows NT mussten Sie den Computer dann aus der Domäne entfernen und
später wieder dort aufnehmen. Der Computer erhielt eine neue SID und war damit
in der Domäne ein komplett anderer Computer.
Unter Windows 2000 können Computer Mitgliedern von Gruppen oder verwalten-
den Personen zugewiesen sein und über Gruppenrichtlinien verfügen. Wenn sich
die SID einmal ändert, müssen alle diese Dinge nicht völlig neu eingerichtet wer-
den, denn Sie setzen lediglich das Computerkonto zurück. Dadurch wird die Ver-
bindung des Computers mit der Domäne unterbrochen, und Sie können diese dann
später ohne Verlust aller sonstigen Einstellungen wieder herstellen.
Durch das Zurücksetzen eines Computerkontos können Sie die Verbindung eines
Computers mit der Domäne erneut herstellen. Sie haben immer noch denselben
Namen und dieselbe SID, was bedeutet, dass Sie einen Computer ohne Neueinrich-
tung der Sicherheitseinstellungen austauschen können.
Zu diesem Thema gehört auch, dass Sie ein Computerkonto gelegentlich einmal
eine gewisse Zeitlang deaktivieren müssen. Das Deaktivieren eines Computerkon-
tos kann beispielsweise erforderlich werden, wenn Sie einen Computer daran hin-
188 Kapitel 4 Active Directory-Dienste verwalten
dern wollen, sich unbefugt in Ihrem Netzwerk zu betätigen. Führen Sie zum Deakti-
vieren eines Computerkontos die folgenden Schritte aus.
Nach der Deaktivierung ist ein Computer nicht mehr in der Lage, sich erneut mit
dem Netzwerk zu verbinden, bis das Konto wieder aktiviert wird.
Natürlich müssen Sie nach der Deaktivierung eines Computerkontos dieses später
auch wieder einmal aktivieren können. Führen Sie zum Aktivieren des Kontos die
folgenden Schritte aus.
Nachdem Sie gelernt haben, wie Computerkonten verwaltet werden, müssen Sie
etwas über die Verwaltung von Benutzern erfahren, damit Sie Benutzerkonten
erstellen und Ihren Benutzern damit die Arbeit im Netzwerk ermöglichen können.
4.2.2 Benutzerkonto
Mit einem Benutzerkonto kann sich ein Benutzer an Computern und Domänen mit
einer Identität anmelden, deren Zugriffsrechte für die Domänenressourcen authenti-
4.2 Administrative Grundfunktionen 189
fiziert werden kann. Jeder Benutzer braucht ein eigenes Benutzerkonto und ein
Kennwort. Benutzerkonten dienen außerdem für bestimmte Anwendungen wie etwa
Microsoft SQL Server 2000 und Microsoft Exchange 2000 als Dienstkonto.
Das Gast-Konto ist generell in einer Domäne deaktiviert, es sei denn, dass Sicher-
heitsfragen keine Rolle spielen. Das Administrator-Konto ist das Konto, welches
Sie zum Erstellen und Verwalten aller Dinge nutzen, die Active Directory betreffen.
Benutzer verwalten
Der offensichtlichste Grund zum Einsatz der Benutzerverwaltung betrifft die Erstel-
lung von Benutzerkonten. Führen Sie zum Erstellen eines Benutzerkontos die fol-
genden Schritte aus.
Abbildung 4.2
Im ersten Bild-
schirm des Assis-
tenten zum Hinzu-
fügen eines
Benutzers wird die
Identität des Benut-
zers festgelegt
12. Wählen Sie die passenden Kennwortoptionen aus. Es stehen die folgenden
Auswahlmöglichkeiten zur Verfügung:
씰 BENUTZER MUSS KENNWORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN.
Damit wird der Benutzer gezwungen, sein Kennwort nach der ersten
Anmeldung zu ändern. Denken Sie jedoch vor der Anwendung dieser
Option über die Konsequenzen nach. Falls der Benutzer nie zuvor mit
Microsoft-Netzwerken gearbeitet hat, kann das plötzliche Ändern des
Kennworts bei der ersten Anmeldung irritierend sein.
씰 BENUTZER KANN KENNWORT NICHT ÄNDERN. Dies verhindert, dass der
Benutzer sein Kennwort selbst ändert und erzwingt, dass die Kennwörter
der Benutzer des Netzwerks nur vom Administrator geändert werden.
Diese Option kann auch bei gemeinsam genutzten oder anderen Konten,
die Sie kontrollieren möchten, verwendet werden.
4.2 Administrative Grundfunktionen 191
Abbildung 4.3
Im zweiten Bild-
schirm des Assis-
tenten zum Hinzu-
fügen eines
Benutzers werden
die Kennwortoptio-
nen eingegeben
Das Erstellen von Benutzerkonten ist ein wichtiger Bestandteil der Alltagsarbeit
eines Administrators. Ein Benutzerkonto ist für jeden Benutzer eines Netzwerks
erforderlich.
Wie Sie sich wahrscheinlich schon gedacht haben, wurden an dieser Stelle nicht alle
zum Benutzer gehörenden Optionen vorgestellt. Nach dem Erstellen des Benutzer-
kontos beginnen Sie normalerweise damit, die restlichen Einstellungen für das
192 Kapitel 4 Active Directory-Dienste verwalten
Konto zu bearbeiten. Die folgenden Schritte zeigen Ihnen, wie Sie die entsprechen-
den Eigenschaften bearbeiten.
Da die vorhandenen Registerkarten recht umfangreich sind, wird sich der folgende
Teil der Erörterung nur mit ihrem Inhalt und den darin verfügbaren Optionen befas-
sen.
ALLGEMEIN
Die Registerkarte ALLGEMEIN (siehe dazu Abbildung 4.4) ermöglicht Ihnen die Ein-
stellung der allgemeinen Benutzereigenschaften. Eine Beschreibung der einzelnen
Eigenschaften ist in der folgenden Auflistung enthalten:
씰 WEBSEITE. Dies sind ein oder mehr Webseiten, die zum Benutzer gehören.
Abbildung 4.4
Die Registerkarte
ALLGEMEIN des Dia-
logfeldes Eigen-
schaften
ADRESSE
Die Informationen auf der Registerkarte ADRESSE (siehe Abbildung 4.5) enthalten
die Daten zur Anschrift des Benutzers und bestehen aus den folgenden Einträgen:
194 Kapitel 4 Active Directory-Dienste verwalten
씰 PLZ. Dies ist die Postleitzahl der Stadt, in der der Benutzer wohnt.
씰 LAND/REGION. Hier können Sie Land und Region des Benutzers eingeben.
Abbildung 4.5
Die Registerkarte
ADRESSE des Dia-
logfeldes Eigen-
schaften
KONTO
Abbildung 4.6
Die Registerkarte
KONTO des Dialog-
feldes Eigenschaf-
ten
씰 BENUTZERANMELDENAME. Dies ist der Name, den der Benutzer zur Anmel-
dung am Netzwerk benutzt. Sie können den Anmeldenamen und dessen Er-
weiterung ändern. Durch das Ändern der Erweiterung wird der Benutzer
nicht in eine andere Domäne verschoben.
씰 ANMELDEZEITEN. Hiermit können Sie die Zeiten einstellen, die dem Benutzer
zur Anmeldung am Netzwerk erlaubt sind. In hochgesicherten Umgebungen
können hier die Arbeitszeiten des Benutzers eingestellt werden (siehe Abbil-
dung 4.7).
씰 ANMELDEN. Hiermit können Sie die Computer einstellen, an denen sich der
Benutzer anmelden darf (siehe Abbildung 4.8).
196 Kapitel 4 Active Directory-Dienste verwalten
씰 KONTO IST GESPERRT. Diese Option steht nur dann zur Verfügung, wenn das
Konto gesperrt worden ist. Dies geschieht, wenn der Benutzer ein Kennwort
öfter, als von den Sicherheitsrichtlinien erlaubt, zu erraten versucht.
씰 KONTOOPTIONEN. Dies ist eine Reihe von weiteren Optionen für das Konto.
Abbildung 4.7
Abbildung 4.8
Die Computer, an
denen sich der
Benutzer anmel-
den darf, können
Sie explizit ange-
ben
PROFIL
4.2 Administrative Grundfunktionen 197
Die Registerkarte PROFIL (siehe Abbildung 4.9) stellt das Basisverzeichnis und das
Anmeldeskript des Benutzers sowie den Speicherungsort seines Benutzerprofils ein.
Die folgende Aufzählung beschreibt die vorhandenen Eigenschaften:
Abbildung 4.9
Die Registerkarte
PROFIL des Dialog-
feldes Eigenschaf-
ten
씰 ANMELDESKRIPT. Dies ist der Name der Stapeldatei, die bei der Anmeldung
des Benutzers ausgeführt werden soll. Normalerweise gilt diese Option für
Downlevel-Clients. Sie brauchen nur den Namen einzugeben, da sich die Da-
tei immer in der SYSVOL-Freigabe auf den Domänencontrollern befindet. Bei
der Datei kann es sich entweder um eine BAT- oder CMD-Datei handeln.
Falls Sie eine BAT-Datei verwenden, starten Windows NT oder Windows
2000 zur Ausführung der Datei eine DOS-Emulationssitzung. Eine CMD-Da-
tei läuft im 32-Bit-Modus ab. Die Namenserweiterung ist in diesem Eingabe-
feld nicht enthalten.
198 Kapitel 4 Active Directory-Dienste verwalten
씰 LOKALER PFAD. Hiermit wird der Basisordner des Benutzers auf ein Ver-
zeichnis des lokalen Computers oder ein gemeinsam genutztes Verzeichnis
im Netzwerk eingestellt.
HINWEIS
Die Variable USERNAME
Die Variable %USERNAME% kann dazu verwendet werden, ein Verzeichnis mit dem-
selben Namen zu erstellen, den der Benutzer vor Windows 2000 als Anmeldena-
men verwendet hat. Dies kann für den Profilpfad (\\Servername\Freigabename\
%USERNAME%) oder den Basisordner verwendet werden.
Abbildung 4.10
Die Registerkarte
RUFNUMMERN des
Dialogfeldes Eigen-
schaften
RUFNUMMERN
Die Registerkarte RUFNUMMERN enthält, wie Sie sich schon gedacht haben werden,
die verschiedenen Rufnummern, die ein Benutzer haben kann (siehe Abbildung 4.10).
Auf dieser Registerkarte gibt es zwei Abschnitte:
씰 RUFNUMMERN. Hier können Sie alle Telefonnummern für die Person, und
zwar auch mehrere pro Kategorie, eingeben.
4.2 Administrative Grundfunktionen 199
ORGANISATION
Die Registerkarte ORGANISATION (siehe Abbildung 4.11) wird zur Eingabe von
Informationen über die Rolle eines Benutzers innerhalb der Organisation verwen-
det. Die folgende Liste enthält die Beschreibung der Eigenschaften:
씰 FIRMA. Dies ist der Name des Unternehmens, für welches der Benutzer arbei-
tet.
씰 VORGESETZTER. Dies ist der Name des Vorgesetzten des Benutzers. Der
Name wird aus den bereits in Active Directory vorhandenen Benutzern aus-
gewählt.
씰 MITARBEITER. Dies ist eine Liste der Personen, die an diesen Benutzer be-
richten. Sie wird automatisch von Active Directory aufgebaut.
Abbildung 4.11
Die Registerkarte
ORGANISATION des
Dialogfeldes Eigen-
schaften
200 Kapitel 4 Active Directory-Dienste verwalten
TERMINALSERVER
Die nächsten vier Registerkarten haben alle mit der Konfiguration der Einstellungen
für den Terminalserver zu tun. Sie werden nur dann angezeigt, wenn Sie den Termi-
nalserver installiert haben.
Auf der Registerkarte UMGEBUNG (siehe Abbildung 4.12) können Sie die Optionen
einstellen, über die Sie die Umgebung des Benutzers bei der Verwendung des Ter-
minalservers kontrollieren. Es folgt eine Liste mit den Beschreibungen der verfüg-
baren Optionen:
씰 PROGRAMM STARTEN. Über diesen Abschnitt können Sie ein Programm an-
geben, welches automatisch bei der Anmeldung des Benutzers ausgeführt
wird.
Abbildung 4.12
Die Registerkarte
UMGEBUNG des Dia-
logfeldes Eigen-
schaften
4.2 Administrative Grundfunktionen 201
Die Registerkarte SITZUNGEN (siehe Abbildung 4.13) kann dazu verwendet werden,
die Zeitüberschreitungen für die Sitzungen und die Verbindungswiederherstellun-
gen zu konfigurieren. Die folgende Liste beschreibt die zur Verfügung stehenden
Optionen:
씰 GETRENNTE SITZUNG BEENDEN. Teilt dem Benutzer mit, wie lange er auf die
Beendigung einer Sitzung warten muss, wenn er getrennt wird. Der Benutzer
kann dieselbe Sitzung während dieses Zeitraums wiederherstellen.
씰 AKTIVES SITZUNGSLIMIT. Dies ist die maximale Dauer einer Sitzung im Ter-
minalserver für diesen Benutzer.
Abbildung 4.13
Die Registerkarte
SITZUNGEN des Dia-
logfeldes Eigen-
schaften
202 Kapitel 4 Active Directory-Dienste verwalten
씰 STEUERUNGSEBENE. Dies stellt ein, ob Sie nur zur Anzeige der Sitzung oder
auch zur Ausführung von Aktionen darin fähig sind.
Abbildung 4.14
Die Registerkarte
REMOTEÜBERWA-
CHUNG des Dialog-
feldes Eigenschaf-
ten
Abbildung 4.15
Die Registerkarte
TERMINALDIENSTPRO-
FILE des Dialogfel-
des Eigenschaften
VERÖFFENTLICHTE ZERTIFIKATE
Zertifikate können Sie entweder über einen lokalen Zertifikatspeicher oder über
eine Datei hinzufügen. Es handelt sich hierbei um X.509-Zertifikate, die für die
Internet-Authentifizierung genutzt werden können und sich auch im verschlüsselten
Dateisystem befinden.
204 Kapitel 4 Active Directory-Dienste verwalten
Abbildung 4.16
Die Registerkarte
VERÖFFENTLICHTE
ZERTIFIKATE des
Dialogfeldes Eigen-
schaften
Abbildung 4.17
Die Registerkarte
MITGLIED VON des
Dialogfeldes Eigen-
schaften
4.2 Administrative Grundfunktionen 205
MITGLIED VON
Über die Registerkarte MITGLIED VON (siehe Abbildung 4.17) wird verwaltet, zu
welcher Gruppe ein Benutzer gehört, und welche Gruppe seine primäre Gruppe ist.
Mit den Schaltflächen HINZUFÜGEN und ENTFERNEN können Sie den Benutzer zu
Gruppen hinzufügen oder von dort entfernen. Die primäre Gruppe des Benutzers
findet nur bei Benutzern Anwendung, die sich am Netzwerk über einen Macintosh-
Computer anmelden oder POSIX-Anwendungen betreiben. Solange Sie solche
Dienste nicht beanspruchen, brauchen Sie den Wert Domänen-Benutzer für die pri-
märe Gruppe nicht zu verändern.
EINWÄHLEN
Die Registerkarte EINWÄHLEN (siehe Abbildung 4.18) erlaubt Ihnen die Einstellung
der verschiedenen Einwahloptionen für den Benutzer. Die folgende Aufzählung
enthält die zur Verfügung stehenden Optionen:
씰 STATISCHE ROUTEN ANWENDEN. Hiermit können Sie das Routing für das Re-
mote-System konfigurieren.
Weitere Registerkarten
Die Registerkarten OBJEKT und SICHERHEITSEINSTELLUNGEN bieten weitere Kon-
trollmöglichkeiten an. Die Registerkarte OBJEKT dient dabei der Information und
enthält den vollen Namen des Objekts, sein Erstellungsdatum, sein Aktualisierungs-
datum und seine USN.
206 Kapitel 4 Active Directory-Dienste verwalten
Abbildung 4.18
Die Registerkarte
EINWÄHLEN des Dia-
logfeldes Eigen-
schaften
Manchmal müssen Sie ein Benutzerkonto wieder löschen. Denken Sie an dieser
Stelle daran, dass beim Löschen eines Benutzerkontos alle Berechtigungen und Mit-
gliedschaften, mit denen dieses Konto verknüpft sein kann, verloren gehen. Da die
SID jedes Kontos eindeutig ist, führt das Hinzufügen eines neuen Benutzerkontos
mit demselben wie dem zuvor gelöschten Namen nicht dazu, dass die zuvor
gelöschten Berechtigungen und Mitgliedschaften nun automatisch wieder mit dem
Konto verknüpft werden. Führen Sie die folgenden Schritte zum Löschen eines
Benutzerkontos aus.
4.2 Administrative Grundfunktionen 207
Gelegentlich müssen Sie einen Benutzer umbenennen, was passieren kann, wenn
ein Mitarbeiter, der das Unternehmen verlassen hat, durch einen neuen Mitarbeiter
ersetzt wird, oder wenn einer Ihrer Benutzer seinen Namen durch Heirat ändert.
Führen Sie zum Umbenennen eines Benutzerkontos die nun folgenden Schritte aus.
Es gibt viele Gründe zum Umbenennen oder Ersetzen eines Benutzers. Darüber
hinaus müssen Sie sicher auch einmal ein Benutzerkonto deaktivieren. Das Deakti-
vieren eines Benutzerkontos ist empfehlenswert, wenn ein Benutzer die Organisa-
tion verlässt oder für eine bestimmte Zeit außer Haus ist. Falls der Benutzer die
Organisation für immer verlässt, können Sie das Konto später, wenn der neue Mitar-
beiter eingetroffen ist, umbenennen.
Sie haben auch die Möglichkeit, deaktivierte Benutzerkonten mit den üblichen
Gruppenmitgliedschaften zu erstellen. Deaktivierte Benutzerkonten können weiter-
hin als Kontovorlagen verwendet werden, die das Erstellen von Benutzerkonten
vereinfachen. Führen Sie die folgenden Schritte aus, um ein Benutzerkonto zu deak-
tivieren.
Wenn Sie ein Konto deaktivieren, dessen Benutzer für eine bestimmte Zeit außer
Haus ist, ersparen Sie sich die Mühe, das Konto bei der Rückkehr des Benutzers neu
erstellen zu müssen. Nützlich ist dies außerdem insofern, als Sie ein deaktiviertes
Konto mit allen gewünschten Einstellungen erstellen und dann nur noch kopieren
müssen, um auf diese Weise viele neue Benutzer hinzuzufügen.
Manchmal werden Sie das Benutzerkonto löschen oder neu reaktivieren müssen,
Das Symbol deaktivierter Konten enthält in Active Directory-Benutzer und -Com-
puter ein Kreuz im roten Kreis. In der folgenden Schritt-für-Schritt-Anleitung erfah-
ren Sie, wie Sie ein deaktiviertes Benutzerkonto reaktivieren.
4.2 Administrative Grundfunktionen 209
Eine weitere Funktion, die Sie wahrscheinlich noch öfter als alle anderen ausführen
werden, ist das Zurücksetzen des Kennwortes, das ein Benutzer vergessen hat. Ver-
gewissern Sie sich jedoch immer, dass es tatsächlich der Benutzer ist, der das Kenn-
wort zurücksetzen lassen möchte, und nicht etwa eine dritte Person mit unlauteren
Absichten. Das Zurücksetzen eines Kennworts wird in der folgenden Schritt-für-
Schritt-Anleitung behandelt.
4. Geben Sie das Kennwort ein und bestätigen Sie es. Kennwörter dürfen bis zu
128 Zeichen lang sein und Buchstaben, Ziffern und die meisten Sonderzei-
chen enthalten.
5. Falls Sie möchten, dass der Benutzer bei der nächsten Anmeldung sein Kenn-
wort ändert, aktivieren Sie das Kontrollkästchen BENUTZER MUSS DAS KENN-
WORT BEI DER NÄCHSTEN ANMELDUNG ÄNDERN.
6. Klicken Sie zum Zurücksetzen auf das Kennwort, und klicken Sie danach
zum Schließen des Dialogfeldes mit der Bestätigung auf OK.
210 Kapitel 4 Active Directory-Dienste verwalten
ACHTUNG
Kennwort für Dienstkonto
Vorlagen verwenden
Mit Kontovorlagen können Sie Muster erstellen, die immer wieder für neue Benut-
zerkonten kopiert werden können. Sie erledigen dies, indem Sie ein Beispielkonto
erzeugen und die entsprechenden Gruppen- und anderen Optionen für dieses Konto
vergeben. Anschließend haben Sie dann eine Vorlage für zukünftige Konten. Sie
kopieren dann die Vorlage und bearbeiten danach die Einstellungen so, dass ein per-
sönlich angepasstes Konto entsteht. Das Kopieren eines Benutzerkontos wird in der
folgenden Schritt-für-Schritt-Anleitung demonstriert.
11. Falls das Konto, welches Ihnen als Kopiervorlage gedient hat, deaktiviert
war, klicken Sie zum Deaktivieren auf das Kontrollkästchen KONTO IST
DEAKTIVIERT, womit das neue Konto aktiviert ist.
Durch die Verwendung von Vorlagen als Kopiervorlage zum Erstellen neuer Benut-
zerkonten sparen Sie viel Zeit und Mühe gegenüber dem manuellen Erstellen der
Konten. Wie Sie gesehen haben, ist dieser Vorgang zweigeteilt: Als Erstes erstellen
Sie ein deaktiviertes Benutzerkonto mit den Grundinformationen und kopieren die-
ses dann im zweiten Schritt.
Die Verwaltung von Benutzern und Computern ist eine der grundlegendsten Funk-
tionen eines Netzwerkadministrators. Während der Lebensdauer eines Netzwerks
werden Sie vermutlich viele Male Benutzerkonten hinzufügen, bearbeiten und
löschen müssen. Zum Glück ist dieser Vorgang, wie Sie gesehen haben, so einfach
wie möglich gehalten worden, und nahezu identisch mit dem Vorgang beim Erstel-
len von Computerkonten. Es gibt noch weitere Möglichkeiten zum Erstellen und
Verwalten von Objekten in Active Directory, die Sie kennen sollten.
LDIFDE verwenden
Das Programm LDIFDE (LDAP Data Interchange Format Directory Exchange) ver-
wenden Sie zu dem Zweck, Daten in Active Directory zu importieren oder von dort
zu exportieren. Der LDIF-Standard ist ein Industriestandard zum Importieren oder
Bearbeiten von LDAP-Verzeichnissen, und das Programm LDIFDE wird dazu ein-
gesetzt, diese Funktionen in Windows 2000 zur Verfügung zu stellen. Der entspre-
chende Programmaufruf findet über die Eingabeaufforderung statt. Die Funktion
des Programms wird sowohl über mitgegebene Optionen als auch über die Informa-
tionen der Datei gesteuert.
LDIFDE -i -f -s -c -v -t -d -r -p -l -o -m -n -j -g -k -a -b -?-u
Die zahlreichen Optionen sprechen für die Flexibilität dieses Programms und kön-
nen dreifach unterteilt werden: Allgemeine Funktionen, Exportfunktionen und
Importfunktionen. Die zur Verfügung stehenden Funktionen werden in der folgen-
den Aufzählung beschrieben:
씰 -f Dateiname. Diese Option gibt den Namen einer Datei an, die importiert
bzw. in die exportiert wird.
씰 -u. Diese Option gibt an, dass sich die von Ihnen verwendete Datei im Uni-
code-Format befindet.
씰 -v. Diese Option schaltet den ausführlichen Modus ein, der mehr Informatio-
nen über die Operation zurückliefert.
씰 -a Name Kennwort. Diese Option teilt den Benutzernamen und das Kennwort
mit, welche zur Authentifizierung an den LDAP-Server gesendet werden sol-
len. Anstelle des Kennworts können Sie auch »*« eingeben, wodurch eine
Eingabeaufforderung für eine verdeckte Eingabe des Kennworts möglich
wird.
씰 -i. Hiermit wird der Importmodus eingestellt. Der Standardwert ist der Ex-
portmodus, der keine explizite Optionsangabe erfordert.
씰 -k Aktion. Diese Angabe ermöglicht Ihnen die Einstellung einer Aktion, die
im Fehlerfall ausgeführt werden soll.
씰 -d distinguished name. Legt den Ausgangspunkt für den Export fest. Falls
nicht vorhanden, wird der Stamm der aktuellen Domäne verwendet.
씰 -r LDAP-Filter. Über diese Option können Sie über die Verwendung einer
LDAP-Eigenschaft als Kriterium filtern, welche Datensätze exportiert wer-
den sollen.
씰 -o Attributliste. Mit dieser Option können Sie den Export bestimmter At-
tribute unterdrücken. Sie erstellen eine LDAP-Datei, die von einem anderen
LDAP-kompatiblen System importiert werden kann, welches nicht so viele
Attribute unterstützt.
씰 -n. Über diese Option verhindern Sie den Export binärer Werte, die standard-
mäßig immer exportiert werden.
214 Kapitel 4 Active Directory-Dienste verwalten
씰 -g. Diese Option schaltet bei einem Export seitenweise Suchvorgänge ab.
Wie Sie sehen können, steht Ihnen eine ganze Reihe von Optionen zur Verfügung.
Die meisten von diesen werden allerdings nur beim Export verwendet. In der Prü-
fung sollten Sie sowohl mit den grundlegenden Import- als auch Exportfunktionen
vertraut sein.
Die Datei, mit der Sie arbeiten, ist eine Textdatei, die Sie normal bearbeiten können.
Es folgt nun ein Beispiel einer solchen Datei:
dn:CN=Bio,CN=Users,DC=Biotech,DC=com
changetype:add
cn:Gerdsen
description:Thomas Gerdsen
objectClass:user
sAMAccountName:Thomas
Sie können eine solche Datei selbst erstellen, oder über den Export des Verzeichnis-
ses von LDIFDE erstellen lassen. In jedem Fall haben Sie die Möglichkeit, den
Inhalt der Datei bearbeiten und auf Korrektheit überprüfen zu können. Anschlie-
ßend importieren Sie sie mit dem folgenden Befehl:
ldifde -i -f import.ldf
Wie Sie sehen, stellt das Programm LDIFDE eine besonders schnelle Methode
dafür zur Verfügung, eine Liste der Benutzer von Active Directory zu erhalten, eine
solche aus einer anderen Quelle stammende Liste in Active Directory zu importie-
ren, oder sogar eine Liste mit Attributen zu exportieren, um sie zu bearbeiten und
danach wieder zu importieren. Das Programm arbeitet ausschließlich mit LDIF-
Dateien; falls Ihre Datei eine kommaseparierte Datei ist, können Sie anstelle dessen
CSVDE verwenden.
CSVDE verwenden
Das andere zur Verfügung stehende Programm ist CSVDE, welches mit kommase-
parierten Dateien arbeitet. Dieser Dateityp ist nützlich, wenn Sie beim Umgang mit
Dateien, die Sie importieren oder exportieren wollen, mit Anwendungen wie Excel
arbeiten.
4.3 Weitere Programme für die Verwaltung von Objekten 215
Das Programm ähnelt sehr LDIFDE und unterscheidet sich hauptsächlich dadurch,
dass es nur zum Hinzufügen von Datensätzen zu Active Directory verwendet wer-
den kann – es kann keine Änderungen vornehmen. Außerdem ist die Datei einfacher
aufgebaut; sie besteht aus einer Kopfzeile mit Attributnamen und einer Anzahl von
zeilenweise angeordneten Datensätzen mit den Attributen in etwa dem folgenden
Format:
dn,cn,.rstName,surname,description,objectClass, sAMAccountname
"cn=Heidi Hagan,cn=Users,dc=Biotech,dc=com",Heidi
Hagan,Heidi,Hagan,VP – Research,user,HHagan
"cn=Wayne Cassidy,cn=Users,dc=Biotech,dc=com",Wayne
Cassidy,Wayne,Cassidy,Manager,user,Wcassidy
Wenn Sie genau hinschauen, werden Sie bemerken, dass die Datei keinerlei Hin-
weis auf den Änderungstyp enthält, was der Grund dafür ist, dass Sie sie nicht für
Änderungen einsetzen können. Die Befehlszeile ist fast mit LDIFDE identisch – die
zur Verfügung stehenden Optionen haben nahezu dieselbe Bedeutung wie bei
LDIFDE.
CSVDE -i -f -s -c -v -t -d -r -p -l -o -m -n -e -j -g -k -a -b -?-u
Trotz der leichten Unterschiede sind sowohl LDIFDE und CSVDE in der Lage,
Informationen aus Active Directory herauszuholen oder dort hineinzuschreiben.
Falls Sie Active Directory jedoch programmiertechnisch bearbeiten möchten, set-
zen Sie dazu ADSI ein.
Diese Schnittstelle zur interaktiven Arbeit mit Active Directory können Sie über
verschiedene Programmiersprachen einschließlich des Windows Scripting Host,
ansprechen. ADSI ist kompatibel mit Common Object Model (COM) und unter-
stützt die standardmäßigen COM-Funktionen.
Eine vollständige Erörterung dessen, wie ADSI-Skripte erstellt werden, wäre ein
Thema aus der Programmierung und ginge über den Rahmen dieses Buches hinaus.
Für die hier zugrunde liegenden Zwecke sollten Sie sich nur im Klaren darüber sein,
dass ADSI existiert und mit jeder Programmiersprache einschließlich des Windows
216 Kapitel 4 Active Directory-Dienste verwalten
Scripting Host zusammenarbeitet. Das folgende Beispiel soll Ihnen eine Vorstel-
lung davon vermitteln, wie einfach diese Schnittstelle bedient werden kann:
Dim objDomain
Dim objUser
Set
objDomain=GetObject("LDAP://OU=Users,DC=Biotech,DC=com")
Set objUser =objDomain.Create("user","cn=Dave Shapton")
objUser.Put "samAccountName","Dshapton"
objUser.Put "givenName","Dave"
objUser.Put "sn","Shapton"
objUser.Put "userPrincipalName","DShapton@Biotech.com"
objUser.SetInfo
MsgBox "Benutzer erstellt: " &&objUser.Name
Set objDomain =Nothing
MsgBox "Fertig"
WScript.Quit
In diesem Beispiel dienen die ersten zwei Zeilen als Platzhalter für die Objekte, die
erstellt werden. Als Nächstes wird über die Komponente LDAP:// die Verbindung
mit dem LDAP-Server hergestellt. Anschließend wird ein Benutzerobjekt mit dem
neuen Namen erstellt. Danach werden verschiedene Attribute vergeben und die
Information gespeichert. Ein Dialogfeld teilt Ihnen zum Schluss mit, dass der
Benutzer erstellt und das Programm beendet wurde.
Dies ist zwar ein simples Programm, aber ein gutes Beispiel dafür, wie leistungsfä-
hig die Schnittstelle ist. Für Ihre Prüfung müssen Sie lediglich wissen, dass ADSI
existiert. Viel mehr müssen Sie dagegen über Gruppen wissen.
Bevor Sie mehr über Gruppen in Windows 2000 erfahren, sollten Sie sich noch ein-
mal all das vor Augen halten, was Sie über das Speichern von Benutzern gelernt
haben. Eine der Kernintentionen von Windows 2000 besteht ja darin, die Verzeich-
nisdienste der Netzwerk- und der E-Mail-Seite zusammenzubringen. Ein großer
Teil der Daten, die Sie über die Benutzer speichern können, besteht zu einem gro-
4.4 Gruppen in Windows 2000 217
ßen Teil aus Daten, die Sie bis dahin in der Regel im E-Mail-System abgelegt
haben.
Wenn Sie sich mit Gruppen befassen, wird dies offensichtlich, denn im Windows-
2000-Verzeichnisdienst können Sie zwei Hauptgruppen erstellen:
4.4.1 Domänenmodus
Die aktuelle Verwendung und der Bereich von Gruppen hängt von dem Modus ab,
in dem Sie eine Domäne betreiben. In einer Windows-2000-Domäne stehen Ihnen
zwei Modi zur Verfügung:
Der einheitliche Modus von Windows 2000 steht nur für Domänen zur Verfügung,
die keine Domänencontroller mit Windows NT 4.0 besitzen. Sie können auf den
einheitlichen Modus aktualisieren, nachdem Sie alle eingeplanten Domänencontrol-
ler aktualisiert und alle Domänencontroller mit Windows NT entfernt haben. Der
Wechsel des Domänenmodus wird in der nächsten Schritt-für-Schritt-Anleitung
demonstriert.
4. Sie erhalten eine Warnung angezeigt, die darauf hinweist, dass Sie nicht wie-
der zum gemischten Modus zurückkehren können. Klicken Sie zum Fortfah-
ren auf WEITER.
5. Klicken Sie zum Abschluss der Operation auf OK.
6. Sie erhalten eine Warnung angezeigt, die darauf hinweist, dass die Replika-
tion 15 Minuten und länger dauern kann. Klicken Sie zum Schließen des Mel-
dungsfeldes auf OK.
Abbildung 4.19
Die folgende Tabelle fasst die Auswirkung des Domänenmodus auf Gruppen
zusammen.
Für den Einsatz von Gruppen brauchen Sie eine Strategie, die der Gegenstand des
folgenden Abschnitts sein wird.
Nehmen Sie beispielsweise an, dass Sie einen Drucker haben, und den Buchhaltern
in Ihrer Domäne dessen Verwendung erlauben möchten. Sie können nun sehr ein-
222 Kapitel 4 Active Directory-Dienste verwalten
fach eine globale Gruppe definieren, die die Buchhalter enthält, und diese in eine
lokale Gruppe mit den Berechtigungen für diesen Drucker aufnehmen. Falls Sie
später einmal eine Buchhaltergruppe einer anderen Domäne hinzufügen müssen,
erledigen Sie dies einfach durch Hinzufügen der globalen Gruppe. Müssen Sie spä-
ter die Berechtigung für den Drucker auf einen anderen Drucker ändern, dann ver-
geben Sie diese Berechtigung einfach der lokalen Gruppe.
Mit lokalen Gruppen können Sie gleichzeitig mit mehreren globalen Gruppen arbei-
ten, die als Einheit den Zugriff auf verschiedene lokale Ressourcen benötigen.
Bei der Arbeit mit Gruppen ist es wichtig daran zu denken, dass globale Gruppen
zum Zusammenfassen von Benutzern, und lokale Gruppen zum Zuweisen von
Berechtigungen eingesetzt werden. Durch Aufnahme einer globalen Gruppe in eine
lokale Gruppe erhalten die Benutzer die Berechtigungen. Universelle Gruppen
erlauben Ihnen die Zusammenfassung von globalen Gruppen und deren Aufnahme
in mehrere domänenübergreifende lokale Gruppen.
Außer den von Ihnen erstellten Gruppen stehen Ihnen noch mehrere eingebaute
Gruppen zur Verfügung, die Sie bei der Verwaltung Ihres Netzwerks unterstützen.
4.4 Gruppen in Windows 2000 223
씰 Konten-Operatoren
씰 Administratoren
씰 Sicherungs-Operatoren
씰 Gäste
씰 Druck-Operatoren
씰 Replikations-Operator
씰 Server-Operatoren
씰 Benutzer
씰 Hauptbenutzer
(nur in Windows Professional und Standalone-Servern vorhanden)
Alle diese Gruppen verfügen über einen domänenlokalen Bereich und werden
hauptsächlich zu dem Zweck verwendet, Berechtigungen an Benutzer zu verleihen,
die eine administrative Rolle in der Domäne spielen sollen. Die folgende Tabelle
zeigt die standardmäßigen Berechtigungen für jede dieser Gruppen und die generel-
len Berechtigungen für alle Benutzer auf, die in einer besonderen Gruppe namens
Jeder zusammengefasst sind.
224 Kapitel 4 Active Directory-Dienste verwalten
Außer den zusätzlichen lokalen Gruppen gibt es noch mehrere vordefinierte Grup-
pen mit globalem Bereich.
226 Kapitel 4 Active Directory-Dienste verwalten
씰 Zertifikatherausgeber
씰 Domänen-Admins
씰 Domänencomputer
씰 Domänencontroller
씰 Domänen-Gäste
씰 Domänen-Benutzer
씰 Organisations-Admins
씰 Richtlinien-Ersteller-Besitzer
씰 Schema-Admins
Die Gruppe Domänen-Admins wird für die Administratoren der Domäne verwendet
und ist ein Mitglied der lokalen Gruppe Administratoren. In diese Gruppe sollten
Sie nur dann Benutzer aufnehmen, wenn diese volle Administratorprivilegien inner-
halb der Domäne benötigen.
Die integrierten und vordefinierten Gruppen helfen bei der Verwaltung des größten
Teils Ihres Netzwerks. Diese Gruppen in Verbindung mit den von Ihnen selbst
erstellten Gruppen gestalten die Administration einfacher.
씰 JEDER. Repräsentiert alle aktuellen Benutzer eines Systems, die sich über das
Netzwerk oder lokal anmelden.
씰 NETZWERK. Diese Gruppe enthält alle Benutzer, die eine Ressource im Netz-
werk benutzen.
씰 INTERAKTIV. Diese Gruppe ist für Benutzer bestimmt, die sich physisch am
Computer befinden.
Abbildung 4.20
Vergessen Sie nicht, dass Sie mit globalen Gruppen Benutzer zusammenfassen, die
Sie zu administrativen Zwecken als Einheit behandeln wollen. Lokale Gruppen die-
nen zum Zusammenfassen von Rechten. Den Zweck einer vorhandenen Gruppe
sollten Sie immer genauestens überprüfen, da Sie ggf. die Gesamtzahl der Gruppen
und damit auch die Notwendigkeit von Berechtigungsüberprüfungen reduzieren
können.
Wie bei den Benutzern gibt es auch hier mehrere Optionen, die Sie einstellen kön-
nen. Zum Bearbeiten dieser Optionen müssen Sie die Gruppeneigenschaften bear-
beiten. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie dies tun.
Sie können zwar bei Bedarf die Eigenschaften der Gruppen ändern, werden jedoch
im Normalfall eher die Gruppenmitgliedschaften bearbeiten wollen. Damit haben
Sie die Möglichkeit, Benutzer der Gruppe hinzuzufügen oder von dort zu entfernen.
4.4 Gruppen in Windows 2000 229
Außerdem können Sie den Manager dieser Gruppen ändern, sofern die Verwaltung
delegiert worden ist.
Es gibt sechs Registerkarten zum Konfigurieren von Gruppen. Die folgende Auf-
stellung benennt diese Registerkarten und die darin zur Verfügung stehenden Optio-
nen.
씰 VERWALTET VOn. Hiermit können Sie den Benutzer einrichten, der der Mana-
ger der Gruppe ist. Die Informationen über diesen Benutzer werden ange-
zeigt.
Gelegentlich möchten Sie eine Gruppe sicher auch einmal löschen. Denken Sie in
diesem Fall daran, dass eine Gruppe wie ein Benutzer eine eindeutige SID besitzt.
Mit dem Löschen der Gruppe löschen Sie gleichzeitig die SID. Mit dem Erstellen
einer neuen Gruppe mit genau demselben Namen stellen Sie die Rechte und Berech-
tigungen, die früher bestanden haben, nicht wieder her, sondern müssen diese neu
zuweisen. Die Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Gruppe
löschen.
2. Klicken Sie in der Baumstruktur der Konsole zweimal auf den Domänenkno-
ten.
3. Klicken Sie den Ordner an, in dem sich die Gruppe befindet.
4. Klicken Sie im Detailfenster mit der rechten Maustaste auf der Gruppe, und
wählen Sie im Kontextmenü LÖSCHEN aus.
5. Klicken Sie im angezeigten Dialogfeld zum Bestätigen auf JA.
Wenn Sie eine Gruppe nicht mehr benötigen und sicher sind, dass auch niemand
sonst mehr mit dieser Gruppe arbeitet, sollten Sie sie löschen. Dadurch vermeiden
Sie, dass im System »herrrenlose« Berechtigungen einer Gruppe existieren. Gleich-
zeitig wird dieses Objekt damit aus Active Directory entfernt.
Denken Sie daran, dass Sie zum Hinzufügen eines Benutzers entweder die Gruppen-
eigenschaften bearbeiten oder den Benutzer über dessen Eigenschaften zur Gruppe
hinzufügen können. Mit diesen Vorgehensweisen überprüfen Sie gleichzeitig, zu
welchen Gruppen ein Benutzer gehört bzw. welche Benutzer Mitglieder einer
Gruppe sind.
Im nächsten Abschnitt erfahren Sie, wie Sie Objekte suchen, was sich als nützlich
erweisen wird, wenn Sie Gruppen erstellen.
Abbildung 4.21
Das Dialogfeld
SUCHEN zeigt
Ihnen, welche
Objekte Sie lokali-
sieren können
5. Je nach Ihrer Auswahl können Sie nun die Optionen angeben, mit denen Sie
die Suche ausführen wollen. Folgende Optionen stehen Ihnen zur Verfügung:
씰 BENUTZER, KONTAKTE UND GRUPPEN. Hier können Sie einen Namen
bzw. eine Beschreibung angeben.
232 Kapitel 4 Active Directory-Dienste verwalten
Abbildung 4.22
Das Dialogfeld
SUCHEN mit den
Suchoptionen
씰 COMPUTER. Geben Sie bei der Suche nach Computern den Namen des
Computers, des Besitzers oder der Rolle in der Domäne (Domänencon-
troller oder Arbeitsplatz-PC/Server) ein.
씰 DRUCKER. Bei Druckern können Sie nach dem Druckernamen, Standort
oder Modell suchen.
씰 FREIGEGEBENE ORDNER. Bei freigegebenen Ordnern haben Sie die Mög-
lichkeit, nach dem Namen oder nach Schlüsselwörtern, die mit dem frei-
gegebenen Ordner verknüpft sind, zu suchen.
씰 ORGANISATIONSEINHEIT. Falls Sie nach einer OU suchen müssen, können
Sie hier als einzige Option den Namen eingeben.
씰 BENUTZERDEFINIERTE SUCHE. Diese Option ermöglicht Ihnen eine genaue
Festlegung dessen, wonach und über welche Kriterien Sie suchen. Das
Dialogfeld BENUTZERDEFINIERTE SUCHE entspricht dem der Option WEI-
TERE für die restlichen lokalisierbaren Objekte. Die Option WEITERE wird
detailliert weiter unten in diesem Kapitel beschrieben.
씰 REMOTEINSTALLATIONSCLIENTS. Hiermit können Sie nach der global ein-
deutigen ID oder dem Remoteinstallationsserver suchen, dem sie zuge-
wiesen ist.
Sie brauchen nicht den vollständigen Wert eines Textfeldes einzugeben, da
der Suchvorgang normalerweise mit ein oder zwei Suchworten auskommt.
Beispielsweise finden Sie durch Eingabe von Schmidt im Suchfeld alle Per-
sonen mit dem Nachnamen Schmidt.
6. Wenn Sie nach einem Drucker suchen, können Sie auf die Registerkarte
FUNKTIONEN anklicken, und den Drucker über eine Suche nach seinen Funk-
tionen ausfindig machen (siehe Abbildung 4.23).
4.5 Objekte in Verzeichnisdiensten suchen 233
Abbildung 4.23
7. Wenn Sie auf JETZT SUCHEN klicken und das System den Suchvorgang
ausführt, werden die Ergebnisse im Ergebnisfenster dargestellt (siehe Abbil-
dung 4.24).
Abbildung 4.24
Nachdem Sie das Objekt oder die Objekte gefunden haben, nach denen Sie Aus-
schau halten, können Sie sie markieren und über die rechte Maustaste das Kontext-
menü anzeigen. Auf diese Weise stehen Ihnen dieselben Optionen zur Verfügung,
als ob Sie manuell nach dem Objekt gesucht und mit der rechten Maustaste geklickt
hätten.
234 Kapitel 4 Active Directory-Dienste verwalten
Abbildung 4.25
Die Registerkarte
WEITERE
Abbildung 4.26
Ihre Suchoptionen
hängen von dem
gewünschten
Objekt ab. In eini-
gen Fällen erhalten
Sie eine Liste von
Objekten mit der
dazugehörigen Lis-
te von Feldern in
einem Menü ange-
zeigt
4.5 Objekte in Verzeichnisdiensten suchen 235
Abbildung 4.27
Über die erweiterten Suchoptionen lokalisieren Sie die Objekte, die Sie benötigen,
schneller, und bekommen sie übersichtlicher präsentiert. Die erweiterte Suche
erlaubt Ihnen außerdem die Suche nach bestimmten Objektcharakteristiken, sodass
Sie Gruppen von Objekten mit gemeinsamen Eigenschaften lokalisieren können.
Nicht nur für Sie als Administrator ist die Lokalisierung von Objekten über die
unter VERWALTUNG zur Verfügung stehenden Funktionen nützlich, sondern auch
die Benutzer selbst müssen Objekte in Active Directory suchen können.
Abbildung 4.28
Dieses Dialogfeld
ermöglicht Benut-
zern die Suche
nach Druckern
Hat der Benutzer einen Drucker lokalisiert, kann er ihn mit der rechten Maustaste
anklicken und mit VERBINDEN den Drucker nutzen. Das Suchen nach Personen
ähnelt der Suche nach Druckern. Die folgende Schritt-für-Schritt-Anleitung erklärt
Ihnen die Suche nach Personen in Active Directory.
Abbildung 4.29
Abbildung 4.30
Die Ergebnisse
werden in einem
Ergebnisfenster
angezeigt
Mit diesem Programm können Benutzer andere Benutzer des Netzwerks ausfindig
machen und Informationen über sie erhalten. Sie können dieses Programm außer-
dem zu dem Zweck einsetzen, ihnen E-Mails zu schicken.
Sicherlich haben Sie nun gelernt, dass sowohl Administratoren als auch Benutzer
fähig sein müssen, Objekte zu lokalisieren. Vielleicht haben Sie sich in diesem
Zusammenhang bereits Gedanken über die Sicherheit gemacht, denn es sieht ja so
238 Kapitel 4 Active Directory-Dienste verwalten
aus, als ob jede beliebige Person Objekte in Ihrem Netzwerk lokalisieren könnte.
Darum brauchen Sie sich jedoch keine Sorgen zu machen, denn alle Objekte sind
durch die jeweilige Zugriffssteuerungsliste (ACL, Access Control List) geschützt.
Bis hierhin haben Sie also erfahren, wie Sie mit Benutzer- und Computerkonten
umgehen, und wie Sie diese unter Verwendung von Gruppen verwalten. Außerdem
ist Ihnen nun die Suche nach Objekten in Active Directory bekannt. Als Nächstes
werden Sie sich mit Organisationseinheiten befassen und erfahren, wie Sie sie zum
Delegieren der Kontrolle über gewisse Objekte an andere Benutzer oder Gruppen
einsetzen.
Mit Organisationseinheiten sind Sie in der Lage, Benutzer, Computer und andere
Ressourcen im Netzwerk logisch zu organisieren. Mit Organisationseinheiten kön-
nen Sie nicht nur eine zentrale Kontrolle des Netzwerks aufbauen, sondern auch
Benutzer und Computer zu dem Zweck gruppieren, die Kontrolle zu delegieren und
Gruppenrichtlinien anzuwenden.
Stellen Sie sich einmal ein Netzwerk mit etwa 8.000 Benutzern vor, und überlegen
Sie, welche Möglichkeiten sich anbieten, um dieses Netzwerk sinnvoll zu organisie-
ren. Sie könnten eine Stammdomäne und anschließend untergeordnete Domänen
erstellen, oder Sie könnten ebenso gut eine einzelne Domäne erstellen und dann das
Netzwerk mit Hilfe von Organisationseinheiten aufsplitten. Sogar in einem Unter-
nehmen, in dem Sie die Organisation über untergeordnete Domänen innerhalb einer
einzigen Stammdomäne vorgenommen haben, können Sie immer noch Organisa-
tionseinheiten verwenden, um die Benutzer innerhalb einer Domäne zu organisie-
ren.
4.7 Berechtigungen in Active Directory-Diensten 239
Nachdem Sie die Organisationseinheit erzeugt haben, können Sie Benutzer und
Computer in diese verschieben oder direkt darin neu erstellen. Darüber hinaus kön-
nen Sie in einer Organisationseinheit auch andere Objekte wie Gruppen, Drucker,
freigegebene Ordner und weitere Organisationseinheiten erstellen.
Vergessen Sie nicht, dass der Hauptgrund zum Erstellen einer Organisationseinheit
darin besteht, Ihnen die Delegierung der Kontrolle über die Organisationseinheit an
andere Benutzer oder Gruppen zu ermöglichen. Sie erledigen dies durch die Einstel-
lungen der Berechtigungen für diese Organisationseinheit, sodass ein Benutzer oder
eine Gruppe die entsprechenden Kontrollmöglichkeiten bekommen kann.
Dieses Zugriffstoken wird an jeden weiteren Prozess angehängt, den der Benutzer
startet. Es wird laufend mit den Objektberechtigungen verglichen, um zu ermitteln,
ob der Benutzer dazu berechtigt ist, auf das Objekt zuzugreifen. In Windows 2000
beinhaltet dies auch den Zugriff auf Objekte in Active Directory.
Jedes Objekt verfügt über eine Sicherheitsbeschreibung, die SID des Besitzers, die
SID der Hauptgruppe des Besitzers sowie eine DACL (Discretionary Access Control
List, Zugriffssteuerungsliste) und eine SACL (System Access Control List, System-
zugriffssteuerungsliste). Die SID des Besitzers wird dazu verwendet, dem Besitzer
die Änderung von Berechtigungen möglich zu machen. Die SID der Gruppe wird für
den Gruppenzugriff aus POSIX-Anwendungen heraus und für Macintosh-Dienste
verwendet. Die SACL kontrolliert den Zugriff des lokalen Systems auf das Objekt.
Über die Einstellung von Berechtigungen für ein Objekt können Sie die Aktionen
steuern, die Personen für diese Objekte ausführen dürfen. Auf diese Weise legen Sie
fest, wie andere Benutzer oder Gruppen im Netzwerk Teile Ihrer Organisation ver-
walten.
Wenn die erweiterten Funktionen eingeschaltet sind, können Sie die Berechtigun-
gen auf Objektebene anzeigen und einstellen. Normalerweise werden Sie dies so
nicht tun, sondern anstelle dessen eine OU erstellen und die Kontrolle über die OU
an einen Benutzer oder eine Gruppe delegieren. Die folgende Schritt-für-Schritt-
Anleitung beschreibt nichtsdestotrotz den Vorgang.
4.7 Berechtigungen in Active Directory-Diensten 241
Abbildung 4.31
Die Registerkarte
SICHERHEITSEINSTEL-
LUNGEN einer Orga-
nisationseinheit
242 Kapitel 4 Active Directory-Dienste verwalten
HINWEIS
Vererbte Berechtigungen
Falls die Berechtigung abgeblendet dargestellt ist, wurde sie aus einer höheren
Ebene in Active Directory vererbt. Dieses Thema wird im nächsten Abschnitt,
»Vererbung von Berechtigungen«, erörtert.
Wie Sie gesehen haben, konnten Sie fünf verschiedene Berechtigungen einstellen.
Die Berechtigungen sind selbsterklärend und in der folgenden Übersicht dargestellt:
씰 LESEN. Dies ermöglicht einem Benutzer das Lesen des Objekts und der mit
ihm verknüpften Eigenschaften. Es ist gleichzeitig die Standardberechtigung
aller Benutzer und versetzt sie in die Lage, das Objekt beim Durchsuchen des
Active Directory ausfindig machen können.
Wenn Sie sich die Abbildung 4.31 noch einmal anschauen, dann werden Sie bemer-
ken, dass es eine Schaltfläche ERWEITERT gibt. Damit können Sie einerseits die ein-
zelnen Berechtigungen noch spezifischer festlegen, und andererseits die Überwa-
chung konfigurieren sowie den Besitz am Objekt übernehmen. Die Schritt-für-
Schritt-Anleitung führt Sie durch die Schritte in der Anwendung der erweiterten
Berechtigung.
Abbildung 4.32
Abbildung 4.33
Die erweiterten
Berechtigungen
können separat für
das Objekt und sei-
ne Eigenschaften
eingestellt werden
Es gibt zahlreiche Berechtigungen, die Sie einstellen können, und die allesamt in
der folgenden Übersicht aufgeführt sind. Diese Übersicht dient mehr Ihrer persönli-
chen Information und wird für die Prüfung nicht benötigt.
씰 INHALT AUFLISTEN. Der Benutzer oder die Gruppe darf den Inhalt eines Con-
tainerobjekts auflisten.
씰 ALLE EIGENSCHAFTEN LESEN. Ein Benutzer bzw. eine Gruppe darf alle Ei-
genschaften des Objekts lesen.
씰 ALLE EIGENSCHAFTEN SCHREIBEN. Damit kann ein Benutzer bzw. eine Grup-
pe sämtliche Eigenschaften eines Objektes schreiben.
씰 LÖSCHEN. Dem Benutzer oder der Gruppe wird das Löschen des Objekts er-
laubt.
4.7 Berechtigungen in Active Directory-Diensten 245
씰 UNTERSTRUKTUR LÖSCHEN. Der Benutzer oder die Gruppe darf das Objekt
und alle darin enthaltenen Objekte löschen.
씰 BERECHTIGUNGEN LESEN. Der Benutzer bzw. die Gruppe darf die Berechti-
gungen des Objekts lesen.
씰 BERECHTIGUNGEN ÄNDERN. Der Benutzer oder die Gruppe hat die Erlaubnis,
die Berechtigungen für das Objekt zu ändern.
씰 BESITZER ÄNDERN. Falls diese Berechtigung gegeben ist, darf der Benutzer
bzw. die Gruppe den Besitz am Objekt übernehmen.
씰 ALLE ERWEITERTEN RECHTE. Der Benutzer oder die Gruppe erhält den Zu-
griff auf die erweiterten Rechte für das Objekt.
Über die Registerkarte EIGENSCHAFTEN können Sie einem Benutzer selektiv das
Lesen und Schreiben der Eigenschaften eines Objekts erlauben oder verweigern.
Diese Einstellungen sollten Sie mit Sorgfalt handhaben, da sie Active Directory
dazu zwingt, eine spaltenweise Überprüfung der Berechtigungen vorzunehmen.
Die Optionen für den Bereich sind ähnlich wie bei den Eigenschaften aufgeteilt. Die
Berechtigungen können so eingestellt werden, dass sie nur das aktuelle Objekt, das
aktuelle Objekt und seine untergeordneten Objekte, nur die untergeordneten
Objekte oder einen bestimmten Objekttyp betreffen.
Die von Ihnen eingerichteten Berechtigungen haben unter Umständen auch Auswir-
kungen auf andere Objekte.
246 Kapitel 4 Active Directory-Dienste verwalten
Obwohl diese Funktion standardmäßig gegeben ist, muss sie nicht immer erwünscht
sein. Sie verfügen daher über die Wahl, die Vererbung von Berechtigungen zuzulas-
sen oder nicht, was über die Registerkarte SICHERHEITSEINSTELLUNGEN erledigt
wird. Die Schritt-für-Schritt-Anleitung führt Sie durch die Schritte zum Blockieren
von vererbten Berechtigungen.
Abbildung 4.34
5. Ein Dialogfeld erscheint und fragt, was Sie mit den Berechtigungen machen
wollen, die dem Objekt bereits zugewiesen worden sind (siehe Abbildung 4.34).
6. Klicken Sie zum Beibehalten der Berechtigungen auf KOPIEREN, oder klicken
Sie zum Löschen auf ENTFERNEN.
In den meisten Fällen werden Sie diese Berechtigungen nicht direkt einrichten, son-
dern die Kontrolle einer Organisationseinheit mit den darin enthaltenen Objekten
delegieren.
Die Zuweisung des erforderlichen Vollzugriffs können Sie zwar auch über die
Registerkarte SICHERHEITSEINSTELLUNGEN vornehmen, jedoch empfiehlt sich die
Verwendung des Assistenten zum Zuweisen der Objektverwaltung, über den Sie die
Kontrolle einer Organisationseinheit entweder vollständig oder teilweise zuweisen.
Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie es machen.
Die Freigabe von Verzeichnissen ist kein Bestandteil der Verwaltung von Active
Directory. Dieser Abschnitt wurde nur deshalb hier aufgenommen, damit Sie eine
Grundlage zum Verständnis öffentlicher Freigaben in Active Directory haben und
verstehen können, wie die Berechtigungen vergeben werden.
Bei der Freigabe eines Verzeichnisses erstellen Sie einen Namen, der dieses Ver-
zeichnis im Netzwerk repräsentiert und vom Benutzer unter Verwendung der UNC-
Konvention (UNC, Universal Naming Convention) angesprochen werden kann. Das
Erstellen einer Freigabe ist ein simpler Vorgang, den Sie mit verschiedenen Metho-
den erledigen können. Die folgende Schritt-für-Schritt-Anleitung erstellt eine Frei-
gabe mit Hilfe der Eingabeaufforderung.
Obwohl Sie normalerweise nicht die Eingabeaufforderung zum Erstellen von Frei-
gaben verwenden, müssen Sie doch wissen, wie Sie diese einsetzen können, um
gelegentlich mit Skripten einige Ihrer administrativen Aufgaben automatisieren
können. Dies ist recht nützlich, wenn Sie sich der Vorteile des Telnet-Dienstes
bedienen, der mit Windows 2000 ausgeliefert wird. Er kann nämlich dazu benutzt
werden, eine Liste der Verzeichnisse und Namen zu erstellen, die Sie freigegeben
haben. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie Sie eine Liste der Frei-
gaben erstellen.
250 Kapitel 4 Active Directory-Dienste verwalten
2. Geben Sie den Befehl NET SHARE ein und drücken Sie die (¢).
Dies ist eine recht schnelle Methode zum Anzeigen der Freigaben, die auf Ihrem
Computer erstellt worden sind.
In den meisten Fällen erstellen Sie Freigaben auf Ihrem Computer unter Verwen-
dung des Explorer, des Snap-In Computerverwaltung oder des Snap-In Active
Directory-Benutzer und -Computer. Hierbei wird zum Erstellen der Freigabe die
grafische Oberfläche benutzt. Die folgende Schritt-für-Schritt-Anleitung zeigt, wie
Sie mit dem Explorer eine Freigabe erstellen.
Abbildung 4.35
Das Dialogfeld zu
den Eigenschaften
eines Ordners mit
der Registerkarte
FREIGABE
4.8 Freigaben verwalten 251
5. Nun wird ein Standardname für die Freigabe angezeigt, den Sie nach Wunsch
ändern können.
6. Geben Sie einen Kommentar zum Beschreiben der Freigabe und ihres Inhalts
ein.
7. Stellen Sie mit der Option BENUTZERBEGRENZUNG die Anzahl gleichzeitiger
Benutzer ein. Sie haben die Wahl unter MAXIMUM ERLAUBT oder MAX. N
BENUTZER. Geben Sie im letzteren Fall die erlaubte Anzahl ein.
8. Stellen Sie ggf. die Optionen BERECHTIGUNGEN und ZWISCHENSPEICHERN
ein.
9. Klicken Sie zum Freigeben des Ordners auf OK. Schließen Sie dann das Dia-
logfeld EIGENSCHAFTEN.
Diesen üblichen Weg zum Erstellen von Freigaben sollten Sie kennen, da Sie ihn
gelegentlich zum Erstellen von Freigaben benutzen werden. Vielleicht müssen Sie
auch einmal einen Benutzer dazu anleiten, eine Freigabe über eben diesen Weg zu
erstellen.
Eine Freigabe können Sie auch über die Computerwaltung erstellen. Starten Sie das
Snap-In COMPUTERVERWALTUNG entweder durch Öffnen von Computerverwaltung
im Ordner VERWALTUNG oder durch Öffnen von ACTIVE DIRECTORY-BENUTZER
UND -COMPUTER. Anschließend können Sie mit der rechten Maustaste den Compu-
ter anklicken, auf dem Sie die Freigabe erstellen möchten, und wählen im Kontext-
menü VERWALTEN aus. Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie
Sie über die Computerverwaltung eine Freigabe erstellen.
252 Kapitel 4 Active Directory-Dienste verwalten
Die Freigabe eines Ordners ist eine grundlegende Aktion in einem Netzwerk und
wird viele Male vorgenommen. Eine andere Art der Freigabe in Windows 2000
nennt sich Distributed File System (DFS). Eine umfassende Erörterung des verteil-
ten Dateisystems DFS würde über das Thema dieses Buches hinausgehen – hin-
sichtlich Ihrer Prüfung sollten Sie aber schon einmal davon gehört haben.
Mit dem Dateisystem DFS können Sie einen einzelnen Freigabepunkt wie beispiels-
weise \\server\DFS erstellen, mit dem sich andere Benutzer verbinden. Unterhalb
dieser Freigabe erstellen Sie dann untergeordnete DFS-Knoten, die eigentlich Zei-
ger auf andere Freigaben im Netzwerk darstellen. Die Benutzer brauchen sich jetzt
nur noch mit der Hauptfreigabe zu verbinden, um alle anderen Freigaben einfach
durch das Wechseln von »Verzeichnissen« erreichen zu können. Unter DFS stehen
die folgenden zwei Typen zur Verfügung: Domänen-DFS-Stamm und der eigen-
ständige DFS-Stamm. Ein eigenständiger DFS-Stamm ist wie eine reguläre Frei-
gabe, die Sie nach Wunsch in Active Directory veröffentlichen können. Ein Domä-
nen-DFS-Stamm stellt einen untergeordneten Knoten zur Verfügung, der auf mehr
als einen Server zeigt. Dies in Kombination mit dem Dateireplikationssystem macht
DFS fehlertolerant und ermöglicht einen Lastenausgleich. Der Domänen-DFS-
Stamm wird zu einem Bestandteil von Active Directory – es wird automatisch ver-
öffentlicht.
4.8 Freigaben verwalten 253
Beim Freigeben von Dateien müssen Sie immer auch die Berechtigungen einrich-
ten.
Normalerweise vergeben Sie für eine Freigabe etwas liberalere Berechtigungen als
bei NTFS, insofern für das freigegebene Verzeichnis und alle Unterverzeichnisse
darin ein und dieselben Freigabeberechtigungen verwendet werden. Die Berechti-
gungen der Freigabe werden dann mit den NTFS-Berechtigungen verglichen und
diejenigen angewendet, die restriktiver sind.
Falls ein Benutzer über NTFS voll auf eine Datei zugreifen kann, als Zugriff für die
Freigabe jedoch nur Lesen erhält, wird die Lesen-Berechtigung angewendet – der
Benutzer verliert also einen Teil seiner zuvor zugewiesenen Rechte. Hat der Benut-
zer dagegen vollen Zugriff über die Freigabe und auf NTFS-Ebene nur Zugriff über
eine einzelne Datei, nicht über die anderen, dann kann er nur mit dieser einen Datei
arbeiten. Er erhält den Zugriff auf diese Datei, weil die Berechtigungen der Freigabe
und der Datei zusammenarbeiten und gleich behandelt werden. Die Zugriffsberech-
tigungen werden kombiniert und restriktiv angewandt.
Für eine Datei kann der Benutzer die folgenden sechs NTFS-Hauptberechtigungen
erhalten:
씰 SCHREIBEN (W). Der Benutzer darf Informationen ändern und die geänderte
Version speichern.
씰 AUSFÜHREN (X). Der Benutzer darf eine Programmdatei laden und den Code
darin ausführen.
씰 LÖSCHEN (D). Der Benutzer darf eine Datei oder einen Ordner löschen.
씰 BERECHTIGUNGEN (P). Der Benutzer darf die Berechtigungen für eine Datei
ändern.
254 Kapitel 4 Active Directory-Dienste verwalten
씰 BESITZ ÜBERNEHMEN (O). Der Benutzer darf den Besitz an der Datei über-
nehmen und erhält damit die Möglichkeit, Berechtigungen zu ändern.
Die Standardberechtigungen stellen eine Kombination dieser Rechte dar und erlau-
ben dem Benutzer die Ausführung verschiedener Funktionen. Es gibt drei Freigabe-
berechtigungen, die Sie Benutzern gewähren oder verweigern können: LESEN (RX),
ÄNDERN (RWXD) und VOLLZUGRIFF (RWXDPO). Die folgende Schritt-für-Schritt-
Anleitung demonstriert die Anwendung von Berechtigungen auf freigegebene Ord-
ner.
HINWEIS
Berechtigungen verweigern
Microsoft empfiehlt, dass Sie die Funktion zum Verweigern von Berechtigungen
möglichst sparsam verwenden. Die Verweigerung überschreibt nämlich sämtli-
che anderen Berechtigungen auch in dem Fall, dass der Benutzer den Vollzugriff
bekommen hat. Daher kann es in Abhängigkeit davon, wo die Verweigerung ein-
gestellt worden ist, schwierig werden, ihren Ursprung zu finden. Vergessen Sie
nicht, dass ein Benutzer, dem Sie keine Berechtigungen verleihen, auch keine
Berechtigungen besitzt. Wenn Sie bei der Vergabe von Berechtigungen umsich-
tig sind, besteht auch keine Notwendigkeit, diese wieder zu verweigern.
4.8 Freigaben verwalten 255
Neben der Einstellung der Freigabeberechtigungen sollten Sie ebenfalls die NTFS-
Berechtigungen einstellen. Sie erledigen dies in ähnlicher Weise wie bei der Frei-
gabe, indem Sie mit der rechten Maustaste im Explorer eine Datei oder einen Ord-
ner anklicken und im Kontextmenü EIGENSCHAFTEN auswählen. Von da aus können
Sie dann in der Registerkarte SICHERHEITSEINSTELLUNGEN die NTFS-Berechtigun-
gen einstellen.
Durch die Einbindung einer Freigabe in Active Directory wird es einfacher für die
Benutzer, diese zu finden. Manche Benutzer können nicht mit UNC-Namen umge-
hen und haben so eine einfache Möglichkeit, die gesuchte Freigabe ausfindig zu
machen.
So wie Sie Ordner veröffentlichen können, können Sie auch Drucker zum einfache-
ren Lokalisieren veröffentlichen.
256 Kapitel 4 Active Directory-Dienste verwalten
Der Drucker stellt nun ein Objekt in Active Directory dar, nach dem die Benutzer
suchen können. Drucker gehören zu den Objekten, die Active Directory standard-
mäßig immer hinzugefügt werden – Sie sollten daher wissen, wie Sie diese Arbeit
erledigen. Darüber hinaus müssen Sie auch noch den Vorgang des Verschiebens
von Objekten kennen lernen.
Abbildung 4.36
Durch das Verschieben von Objekten können Sie Veränderungen in Ihrer Organisa-
tionsstruktur, die im Laufe der Zeit immer wieder auftreten werden, abbilden. Das
Verschieben der in Active Directory-Benutzer und -Computer integrierten Objekte
wird Ihre Alltagsarbeit als Administrator einfacher machen; Programme von Dritt-
anbietern sind zu diesem Zweck nicht nötig.
258 Kapitel 4 Active Directory-Dienste verwalten
Das Verschieben eines Objekts zwischen Domänen ist schwieriger als das Verschie-
ben zwischen Organisationseinheiten. Der Grund liegt darin, dass die SID auch aus
der SID der Domäne in Verbindung mit der relativen ID besteht. Zum Verschieben
eines Objekts zwischen Domänen benötigen Sie daher das Programm Movetree.
Der Befehl Movetree erwartet von Ihnen die Angabe des Quell- und Zielservers
sowie die Distinguished Names von Quelle und Ziel. Die Server können beliebige
Server in der Quell- oder Zieldomäne darstellen. Die Syntax des Befehls lautet wie
folgt:
Unter Operation können Sie Start zum Start des Vorgangs, Check zum Überprüfen
der Verzeichnisstruktur oder Continue zum Fortführen einer abgebrochenen Move-
Operation angeben. Wenn Sie beispielsweise eine Organisationseinheit namens
Marketing von der Domäne Office in eine neue Domäne namens Marketing ver-
schieben möchten, lautet der Befehl etwa wie folgt:
Das Verschieben von Objekten innerhalb einer Domäne ist einfach und unproble-
matisch, was für Sie besonders deshalb von Bedeutung ist, weil die Benutzer inner-
halb einer Organisation öfter die Funktion wechseln. Das Verfahren zum Verschie-
ben von Objekten zwischen Domänen ist zwar etwas heikler, spart Ihnen aber im
Gegensatz zur Verwendung von Drittanbieter-Programmen Zeit und Mühe.
씰 Es gibt fünf Domänen, die nicht auf dem Aufenthaltsort des Benutzers,
sondern auf seiner Funktion in der Organisation beruhen.
씰 Für die verschiedenen Stationierungsorte werden Standorte erstellt, de-
ren Replikation so konfiguriert ist, dass die Daten jedes Hauptstationie-
rungsortes nicht älter als drei Stunden sind.
씰 Es gibt 15 Standorte, von denen 4 die Hauptbüros und die restlichen 11
die Zweigbüros darstellen.
Situationsbeschreibung
In diesem Kapitel sind Sie mit umfangreichen Informationen konfrontiert wor-
den. Die meisten dieser Informationen betreffen nicht das Design, des Netz-
werks, sondern die notwendigen Richtlinien im Netzwerk. Richtlinien werden
zum Erstellen und zur Verwendung von Gruppentypen und zum Hinzufügen
von Objekten in Active Directory benötigt.
Richtlinien müssen außerdem zu dem Zweck entwickelt werden, die Delegie-
rung der Kontrolle über die Organisationseinheiten und den Inhalt der jeweili-
gen Kontrollfunktionen zu regeln. Weiterhin wird die Sonnenschein-Brauerei
Standards für die verschiedenen Sicherheitsebenen für Dokumente setzen und
festlegen müssen, welche Berechtigungen und Überwachungsanforderungen
für diese Dokumente bestehen sollten.
Die Fallstudie wird sich auch mit dem Erstellen der Organisationseinheiten und
der Platzierung der Server für den globalen Katalog beschäftigen. Durch die
hier vorgeschlagene Organisation der Standorte, die korrekte Platzierung der
Server und die erstellten Organisationseinheiten werden Sie unabhängig von
den jeweils gewählten Richtlinien immer auf der sicheren Seite sein.
Dieses Beispiel ist, es sei noch einmal gesagt, recht unproblematisch – Sie müs-
sen vor allem dafür Sorge tragen, dass es an jedem Standort einen Server für
den globalen Katalog gibt, und dass die entsprechenden Organisationseinheiten
erstellt werden.
Situationsanalyse
Möglicherweise werden Sie viele Organisationseinheiten benötigen, was je-
doch kein Problem sein sollte, da alle von ihnen nur als Objekte in Active
Directory existieren. In jeder Domäne werden schließlich getrennte Organisa-
tionseinheiten für jeden Standort existieren.
260 Kapitel 4 Active Directory-Dienste verwalten
Hierdurch erhalten Sie die Möglichkeit, alle Benutzer eines Typs auf der
Domänenebene oder alle Benutzer desselben Typs am selben Standort auf der
Organisationseinheitenebene verwalten zu können. Die Anwendung standort-
bezogener Gruppenrichtlinien wird dadurch schwieriger, weil Sie diese in einer
Domäne definieren und dann Verknüpfungen von anderen Domänen her erstel-
len müssen. Dies hat zur Folge, dass standortbezogene Richtlinien in der
Stammdomäne definiert werden müssen, die mindestens einen Domänencon-
troller an jedem Standort hat.
Hinsichtlich der Server für den globalen Katalog werden Sie noch erfahren, wie
die Bridgehead-Server für die Standortverknüpfungen so konfiguriert werden,
dass sie als Server für den globalen Katalog eingesetzt werden können.
Zusammenfassung
Dieses Kapitel hat sich mit der elementaren Administration von Active Directory
beschäftigt. Sie haben erfahren, wie Objekte verschiedenen Typs erstellt und ver-
schoben, und wie Berechtigungen für Objekte zugewiesen werden. Weiterhin haben
Sie gesehen, wie Organisationseinheiten erstellt werden, und wie Sie die Kontrolle
über diese Organisationseinheiten an andere Benutzer und Gruppen delegieren.
Schlüsselbegriffe
쎲 Berechtigung auf Objektebene 쎲 Verteilergruppe
쎲 Domänenlokale Gruppe 쎲 MOVETREE
쎲 Einheitlicher Modus 쎲 Rechte
쎲 Gemischter Modus 쎲 Sicherheitsgruppe
쎲 Globale Gruppe 쎲 Sicherheits-Principal
쎲 Lokale Gruppe 쎲 Universelle Gruppe
쎲 Vererbung
Lernzielkontrolle 261
Lernzielkontrolle
Übungen
4.1 Konten in Active Directory erstellen
In dieser Übung werden Sie über Active Directory-Benutzer und -Computer Benut-
zer- und Computerkonten erstellen, die in den nachfolgenden Übungen verwendet
werden.
9. Klicken Sie mit der rechten Maustaste auf den Ordner COMPUTERS und wäh-
len Sie im Kontextmenü NEU/COMPUTER aus.
10. Geben Sie als den Computernamen WKS5542 ein.
11. Klicken Sie auf WEITER und im Abschlussbildschirm auf FERTIG STELLEN.
12. Fügen Sie mit den Schritten 9 bis 11 die folgenden Computer hinzu:
씰 WKS8726
씰 WKS8652
씰 WKS0823
씰 WKS0564
씰 WKS8762
씰 WKS7645
씰 WKS2735
씰 WKS0012
씰 WKS3218
5. Klicken Sie mit der rechten Maustaste auf der Organisationseinheit Sales und
wählen Sie im Kontextmenü NEU/ORGANISATIONSEINHEIT aus.
6. Geben Sie als den Namen der neuen Organisationseinheit Eastern ein, und
klicken Sie auf OK.
7. Wiederholen Sie die Schritte 5 und 6 zum Erstellen der Organisationseinheit
Western.
4.3 Objektverwaltung für Organisationseinheit zuweisen
In dieser Übung werden Sie die Objektverwaltung für die Organisationseinheit
Sales dem Konto SalesAdmin zuweisen.
1. Klicken Sie zum Anzeigen des Dialogfeldes PERSONEN SUCHEN auf START/
SUCHEN/NACH PERSONEN.
2. Wählen Sie im Listenfeld SUCHEN IN ACTIVE DIRECTORY aus.
3. Geben Sie den Namen Dan ein und klicken Sie auf SUCHEN.
4. Überprüfen Sie, ob die Informationen zu Dan Harris angezeigt werden.
Lernzielkontrolle 265
1. Öffnen Sie den Explorer, indem Sie mit der rechten Maustaste auf ARBEITS-
PLATZ klicken und im Kontextmenü EXPLORER wählen.
2. Klicken Sie auf dem Laufwerk C:. Klicken Sie dann im rechten Detailfenster
eine leere Stelle an.
3. Wählen Sie im Kontextmenü NEU/ORDNER aus. Geben Sie als Ordnernamen
PubText ein, und drücken Sie die (¢).
4. Klicken Sie mit der rechten Maustaste das Verzeichnis PubTest an, und wäh-
len Sie im Kontextmenü FREIGABE aus.
5. Klicken Sie im Dialogfeld EIGENSCHAFTEN auf DIESEN ORDNER FREIGEBEN,
und klicken Sie anschließend zur Übernahme der Standardwerte auf OK.
6. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
7. Blenden Sie Ihre Domäne und die Organisationseinheit Sales ein.
8. Klicken Sie mit der rechten Maustaste auf der Organisationseinheit Sales und
wählen Sie im Kontextmenü NEU/FREIGEGEBENER ORDNER aus.
9. Geben Sie als den in Active Directory anzuzeigenden Namen SalesFiles und
als Freigabenamen \\Servername\PupText ein (Servername ist der Name Ih-
res Server).
10. Klicken Sie auf OK.
11. Vergewissern Sie sich, dass der Ordner in der Organisationseinheit Sales an-
gezeigt wird. Falls nicht, klicken Sie mit der rechten Maustaste Sales an und
wählen AKTUALISIEREN im Kontextmenü aus.
Wiederholungsfragen
1. Worin besteht der Hauptzweck der Organisationseinheiten?
2. Welches Protokoll wird zum Suchen in Active Directory verwendet?
3. Worin besteht der Zweck von Gruppen?
4. Bis zu welcher Anzahl von Ebenen sollten Sie Organisationseinheiten maxi-
mal schachteln?
5. Worin besteht der Effekt in der Delegierung des Zugriffs auf eine Organisa-
tionseinheit?
266 Kapitel 4 Active Directory-Dienste verwalten
B. Er muss mit der rechten Maustaste auf den Benutzer klicken und die zu-
treffende Organisationseinheit auswählen.
B. Universell
C. Domänenlokal
D. Lokal
8. Tom ist auf der Fehlersuche bei einem Berechtigungsproblem von Danielle.
Danielle hat eine Datei, die sie einmal pro Woche auf den Server laden muss.
Die Datei kann von den Benutzern des Managements in der Organisation ge-
lesen werden. Im Moment muss Danielle immer zu dem Server gehen, sich
anmelden und dann über eine Diskette die Datei auf den Server kopieren.
Stattdessen möchte sie sich aber lieber mit der Freigabe verbinden, die die
Mitarbeiter des Managements zum Lesen der Datei verwenden. Was muss
Tom überprüfen?
A. Die NTFS-Berechtigungen.
B. Die Berechtigungen der Gruppe Jeder.
C. Die Freigabeberechtigungen.
D. Die Berechtigungen des Dateiobjekts in Active Directory.
9. Ein Computer in Ihrem Netzwerk ist vor kurzem abgestürzt. Bei dem System
handelte es sich um einen älteren P233 MMX mit 64MB RAM. Sie wollen es
durch ein neues Multiprozessor-System ersetzen. Da hierdurch die Hardware-
Abstraction-Layer von einem einzelnen auf mehrere Prozessoren geändert
Lernzielkontrolle 269
werden muss, wissen Sie, dass Sie den Computer neu installieren müssen.
Was sollten Sie in Active Directory tun, um sicherzustellen, dass Sie den
Computer später wieder leicht zur Domäne hinzufügen können?
A. Das vorhandene Computerkonto umbenennen.
10. Dave hat eine Benutzergruppe in einer Domäne, auf die er andere Gruppen-
richtlinien anwenden möchte. Was muss er tun, um die Gruppenrichtlinie an-
zuwenden?
A. Eine globale Gruppe erstellen.
B. Eine universelle Gruppe erstellen.
C. Domänenlokal
D. Lokal
14. Um die Anzahl der Anrufe, die das Helpdesk in Ihrer Organisation bearbeiten
muss, zu minimieren, haben Sie sich dazu entschlossen, eine Gruppe »Benut-
zerberater« zu erstellen, die eine zusätzliche Schulung und einige besondere
Berechtigungen im Netzwerk bekommen sollen. Diese Benutzer sollen in der
Lage sein, die Benutzercomputer zu verwalten. Die Computer werden in je
einer Organisationseinheit pro Domäne (es gibt sechs Domänen) unter-
gebracht. Die Benutzerberater sollen außerdem dazu berechtigt sein, die
Kennwörter von Benutzern zurückzusetzen, die sich ebenfalls in einer Orga-
nisationseinheit pro Domäne befinden. Die Benutzer, die zu den Benutzerbe-
ratern gemacht werden sollen, sind in den verschiedenen Domänen verstreut.
Welchen Gruppentyp müssen Sie verwenden, um die Berechtigungen, die be-
nötigt werden, delegieren zu können?
A. Global
B. Universell
C. Domänenlokal
D. Keine Gruppe verwenden, nehmen Sie anstelle dessen eine Organisations-
einheit.
15. Sally versucht ein Verzeichnis freizugeben. Welches Werkzeug sollte sie zu
diesem Zweck verwenden?
A. Explorer
B. Active Directory-Standorte und -Dienste
Lernzielkontrolle 271
die Freigabeberechtigungen, was richtig ist. Denken Sie daran, dass Freigabe-
und NTFS-Berechtigungen kombiniert und die niedrigeren Berechtigungen
verwendet werden. Da Danielle die NTFS-Berechtigung besitzt, kann sie lo-
kal operieren. Daher können Sie davon ausgehen, dass die Freigabeberechti-
gungen falsch sind. Siehe dazu den Abschnitt »Freigaben verwalten«.
9. D. Das Umbenennen des Computerkontos würde ein totes Computerkonto in
Active Directory zurücklassen, welches nie wieder benutzt werden würde.
Daher ist die Antwort A falsch. Im Verzeichnis Lost and Found hinterlegt das
System die verwaisten Objekte, die es gefunden hat. Dieses Verzeichnis wird
von den Benutzern nicht verwendet, sodass die Antwort B falsch ist. Das Lö-
schen und Neuerstellen des Kontos führt zum Verlust aller Gruppenmitglied-
schaften und Gruppenrichtlinien und ist daher auch falsch. Das Zurücksetzen
des Kontos behält das Konto bei und gibt Ihnen die Möglichkeit, den Compu-
ter später wieder der Domäne hinzuzufügen – dies ist daher die beste Ant-
wort. Siehe dazu den Abschnitt »Computerkonten«.
10. D. Da Sie eine Gruppenrichtlinie auf der Ebene der Organisationseinheit an-
wenden können, ist dies die beste Antwort. Die Antworten A und B wären
möglich, falls Sie Gruppenrichtlinienfilter verwenden, was jedoch nicht der
beste Weg wäre, da alle anderen Benutzer die Richtliniendatei ebenfalls wür-
den laden müssen. Es gibt bei Gruppenrichtlinien meist keine Notwendigkeit,
eine neue Domäne zu erstellen, was die Antwort C falsch macht. Siehe dazu
den Abschnitt »Organisationseinheit erstellen«.
11. C. Diese einfache Frage überprüft, ob Sie wissen, dass Sie in Active Directo-
ry suchen können. Die Antwort A wäre möglich, jedoch wären die damit ver-
bundenen Kosten und der Zeitaufwand zu hoch. Die Antwort B ist
wahrscheinlich das, was die meisten Benutzer tun würden, jedoch gibt es
auch hier zu hohe Kosten. Außerdem wäre eine Faxkopie vielleicht unleser-
lich. Die Antwort D wäre zwar ebenfalls möglich, jedoch ist Antwort C simp-
ler, da Tims Chef wahrscheinlich recht beschäftigt ist. Siehe dazu den
Abschnitt »Objekte in Active Directory suchen«.
12. C. Obwohl eine neue Gruppe verwendet werden könnte, würde dies nicht
dazu führen, dass die HR-Dokumente einfacher gefunden werden könnten,
weil die Benutzer dazu den Newsserver überprüfen und neue Gruppen suchen
müssten. Die Mailliste könnte funktionieren, würde aber die Last auf dem
Mailserver und dem Netzwerk stark erhöhen. Das Verzeichnis in einem neu-
en DFS-Stamm zu lokalisieren, würde es leichter machen, den Zugriff darauf
zu bekommen, aber nicht, es zu finden. Die Antwort C bleibt damit als einzig
richtige Antwort übrig. Sie ist sinnvoll, weil die Veröffentlichung einer Frei-
gabe gleichzeitig dazu führt, dass die Freigabe einfacher lokalisiert werden
kann. Siehe dazu den Abschnitt »Freigaben verwalten«.
Lernzielkontrolle 275
13. C. Eine lokale Gruppe wird nur auf Standalone-Servern und Windows Pro-
fessional verwendet, was die Antwort D falsch macht. Globale Gruppen wer-
den dazu eingesetzt, die Benutzer in einer Domäne anderen Domänen
verfügbar zu machen, weshalb die Antwort A falsch ist, da es sich um eine
Ressource handelt. Universelle Gruppen (Antwort B) werden benutzt, um
Benutzer aus mehreren Domänen zusammenzufassen und ihnen Berechtigun-
gen in mehreren Domänen zu verschaffen. Übrig bleibt daher nur eine domä-
nenlokale Gruppe, wodurch die Antwort C korrekt wird. Die globalen
Gruppen aus der lokalen und den vier anderen Domänen würden dieser do-
mänenlokalen Gruppe hinzugefügt werden und den Benutzern die erforderli-
chen Rechte geben. Siehe dazu den Abschnitt »Strategien zum Einsatz von
Gruppen«.
14. B. In diesem Fall haben Sie es mit Benutzern zu tun, die Teil mehrerer Domä-
nen sind, und denen Sie Rechte in mehreren Domänen verschaffen. Das kor-
rekte Werkzeug dafür ist eine universelle Gruppe. Globale Gruppen erlauben
Ihnen die Zusammenfassung von Benutzern und können in anderen Domänen
verwendet werden, während lokale Gruppen Rechte beherbergen und norma-
lerweise globale Gruppen als Mitglieder enthalten. Sie könnten in diesem Fall
auch eine Kombination einer globalen und lokalen Gruppe einsetzen, was
über die universelle Gruppe jedoch viel leichter erledigt wird, die daher die
richtige Antwort darstellt. Siehe dazu den Abschnitt »Strategien zum Einsatz
von Gruppen«.
15. A. Sally kann drei Werkzeuge einsetzen: den Befehl NET, Explorer und das
Snap-In COMPUTERVERWALTUNG. Aufgeführt ist lediglich der Explorer.
Standorte und Dienste wird nur zur Kontrolle von Standorten in Active Di-
rectory und einigen Diensten eingesetzt, während Benutzer und Computer der
Verwaltung von Active Directory-Objekten dient und auch dazu benutzt wer-
den kann, das Snap-In Computerverwaltung für einen Computer zu laden.
Unter NT 4.0 war dafür der Servermanager zuständig, während wir es hier
aber mit Windows 2000 zu tun haben. Siehe dazu den Abschnitt »Freigaben
verwalten«.
Lernziele
5
Dieses Kapitel behandelt einige der Themen und Unterthemen der Lerneinheiten
»Installieren, Konfigurieren und Fehlerbehebung von Active Directory« und »Ver-
walten, Überwachen und Optimieren der Komponenten von Active Directory«. Die
übrigen Themen und Unterthemen dieser Lerneinheiten finden Sie in den entspre-
chenden sonstigen Kapiteln.
Dieses Kapitel befasst sich mit den allgemeinen Administrationsaufgaben für Ser-
ver. Es beginnt mit einer Betrachtung der Rollen, die ein Server im Netzwerk über-
nehmen kann. Anschließend wird es sich mit der Sicherung und Wiederherstellung
von Servern und insbesondere mit den drei zur Verfügung stehenden Methoden zur
Wiederherstellung eines Domänencontrollers beschäftigen. Der Rest des Kapitels
behandelt die Überwachung und Verwaltung von Servern im Netzwerk. Achten Sie
beim Studium dieses Kapitels vor allem auf die folgenden Punkte:
5.1 Einführung
Eine Funktion, die ein Netzwerkadministrator häufig auszuführen hat, ist die Ver-
waltung der Server. Im Zuge der Einführung von Windows 2000 werden Sie keine
primären Domänencontroller, Backupdomänencontroller und Mitgliedsserver mehr
haben, sondern anstelle dessen verschiedene andere Servertypen, die Sie kennen
und verwalten müssen. Hierzu gehören der Schemamaster, der Domänennamens-
master, der PDC-Emulator, der RID-Master und der Infrastrukturmaster.
Über die Funktionen hinaus, die Sie bereits im vorigen Kapitel kennen gelernt
haben (Benutzer, Computer und Gruppen verwalten), müssen Sie auch die Überwa-
chung Ihrer Server beherrschen; d.h., Sie müssen Sicherungen und Wiederherstel-
lungen durchführen und Schlüsselserverrollen von einem auf den anderen Server
übertragen können.
5.2 Serverrollen
Installieren, Konfigurieren und Fehlerbehebung der Komponenten von
Active Directory
씰 Funktion des Betriebsmasters übertragen
Die Betriebsmaster besitzen im Netzwerk eine entscheidende Funktion. Als Netz-
werkadministrator müssen Sie sicherzustellen, dass diese einsatzbereit sind, wenn
sie gebraucht werden. Manchmal bleibt der Ausfall derartiger Rollen längere Zeit
ohne ernste Auswirkungen, während zu anderen Zeitpunkten sehr schnell dramati-
sche Beeinträchtigungen entstehen können.
In den nächsten Abschnitten werden Sie mehr über die einzelnen Betriebsmasterrol-
len erfahren. Die Diskussion wird sich darum drehen, wie Rollen platziert und über-
tragen werden. Anschließend werden Sie sehen, wie eine Rolle in dem Fall über-
schrieben wird, dass ein Server abgestürzt ist. Zum Schluss wird es noch eine
Erörterung des Servers für den globalen Katalog geben.
5.2.1 Betriebsmaster
In Active Directory können Änderungen an Benutzerkonten, Computerkonten, Frei-
gaben u.ä. an jedem Domänencontroller vorgenommen werden, was Ihnen eine
große Flexibilität ermöglicht. Manche Änderungen dürfen dagegen nur an einer ein-
zigen Stelle durchgeführt werden (z.B. Schemaänderungen).
280 Kapitel 5 Server verwalten
Diese Einschränkung umgeht Active Directory durch den Einsatz einer Gruppe von
Servern, die Betriebsmaster genannt werden, und bestimmte Rollen innerhalb des
Unternehmens oder einer Domäne übernehmen. Für den Fall, dass ein Server
heruntergefahren wird oder abstürzt, müssen Sie wissen, welche Rollen dies sind,
und wie Sie die fünf Betriebsmaster übertragen können.
씰 Schemamaster. Es gibt immer nur einem Schemamaster für das gesamte Un-
ternehmen. Der Schemamaster verfügt über die Originalversion des Schemas
und stellt den einzigen Ort dar, an dem das Schema geändert werden kann.
씰 Domänennamensmaster. Der Server, der diese Rolle übernimmt, ist für das
Hinzufügen und Entfernen von Domänen im gesamten Unternehmen verant-
wortlich und ist daher der einzige Server seiner Art. Dieser Server gewähr-
leistet die Eindeutigkeit der Domänennamen und stellt sicher, dass sie in den
Namespace des Unternehmens passen. Die Informationen über die logische
Struktur des Active Directory-Namespace werden bei der Verwaltung der
Vertrauensstellungen zwischen den Domänen verwendet.
Alle diese Rollen müssen verwaltet werden, um sicherzustellen, dass sie den Syste-
men im Netzwerk zur Verfügung stehen, und dass bei Systemausfällen Möglichkei-
ten zur Wiederherstellung vorhanden sind. Hierin eingeschlossen ist die Planung
sinnvoller Standorte für diese Server.
Für eine kleine Domäne in einem kleineren Gebäude oder für eine Gesamtstruktur,
die nur wenige Domänen mit wenigen Controllern besitzt, funktioniert dieses Ver-
fahren im Allgemeinen recht gut. Im Verlauf von Erweiterungen jedoch werden Sie
in Ihrer Planung auch das Verschieben von Domänenbetriebsmastern in Erwägung
ziehen. Die Planung von Betriebsmastern in einer Domäne stellt daher das Thema
des nächsten Abschnitts dar, dem eine Erörterung über die Planung von Betriebs-
mastern in einer Gesamtstruktur folgt.
Über die Planung der Standorte von Betriebsmastern sind Sie nun informiert – als
Nächstes sollten Sie wissen, wie Sie die Rollen übertragen.
HINWEIS
Falls Sie das Snap-In noch nicht hinzugefügt haben sollten, erklären die folgen-
den Schritte die Vorgehensweise. Klicken Sie auf START/AUSFÜHREN, und geben
Sie mmc ein. Nach dem Klicken wird die Management-Konsole angezeigt. Klicken
Sie nun KONSOLE/SNAP-IN HINZUFÜGEN/ENTFERNEN und anschließend die Schaltflä-
che HINZUFÜGEN an. Wählen Sie aus der Liste ACTIVE DIRECTORY-SCHEMA aus, und
klicken Sie auf HINZUFÜGEN. Schließen Sie das Dialogfeld EIGENSTÄNDIGES SNAP-IN
HINZUFÜGEN und klicken Sie auf OK, um zur Konsole zurückzukehren.
Falls sich dieses Snap-In nicht auf Ihrem System befinden sollte, klicken Sie mit
der rechten Maustaste im Dateiverzeichnis auf Adminpak.msi und folgen den an-
gezeigten Anweisungen.
Schemamasterrolle übertragen
Führen Sie zum Übertragen der Schemamasterrolle die folgende Schritt-für-Schritt-
Anleitung aus.
Abbildung 5.1
Entweder wählen
Sie selbst einen
bestimmten Cont-
roller aus, oder Sie
lassen ihn durch
das System festle-
gen
Der Schemamaster stellt eine der Rollen auf Unternehmensebene dar und wird
Ihnen nur dann ggf. Probleme bereiten, wenn über einen Administrator oder eine
Softwareinstallation der Versuch unternommen wird, das Schema zu modifizieren.
Nachdem Sie dem Schemamaster einmal seinen Platz angewiesen haben, brauchen
Sie ihn nicht wieder zu verschieben; es sei denn, Sie möchten das System, auf wel-
chem er untergebracht ist, austauschen (dasselbe gilt auch für den Domänenna-
mensmaster).
Den Standort der Rolle des Domänennamensmaster ändern Sie mit der folgenden
Schritt-für-Schritt-Anleitung.
284 Kapitel 5 Server verwalten
3. Wählen Sie die Domäne entweder durch Eingabe ihres Namens oder über die
Schaltfläche DURCHSUCHEN aus. Normalerweise sollte sich der Domänenna-
mensmaster in der Stammdomäne befinden. Legen Sie dann in der Liste der
verfügbaren Domänencontroller einen Controller fest, zu dem Sie die Rolle
verschieben können. Klicken Sie zum Verbinden mit dem Controller auf OK.
Der Controller, der die Rolle ausüben soll, erhält damit den Fokus (siehe
Abbildung 5.2).
4. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄ-
NEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü
BETRIEBSMASTER aus.
5. Klicken Sie zum Verschieben der Rolle auf ÄNDERN.
Abbildung 5.2
Domänenmasterrolle übertragen
Der Betriebsmaster auf der Domänenebene befindet sich ebenfalls typischerweise
auf einem einzelnen Controller, dem ein weiterer Controller in demselben Subnetz
für Sicherungszwecke zugeordnet ist. Gelegentlich werden Sie diese Rollen ver-
5.2 Serverrollen 285
3. Wählen Sie den Domänencontroller aus, auf den Sie die Rolle verschieben
möchten, und klicken Sie auf OK. Hiermit ist der Fokus auf den Domänen-
controller übergegangen.
4. Klicken Sie ein weiteres Mal auf ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER und wählen Sie BETRIEBSMASTER im Kontextmenü aus (siehe Abbil-
dung 5.3).
Abbildung 5.3
5. Legen Sie den Betriebsmaster fest, indem Sie die Registerkarte der Rolle, die
Sie ändern möchten, auswählen. Klicken Sie auf dieser Registerkarte zum
Verschieben der Rolle auf ÄNDERN. Zum Verschieben sämtlicher Rollen kli-
cken Sie ÄNDERN auf allen Registerkarten an.
Wie Sie selbst sehen, ist das Verschieben der Betriebsmasterrollen recht einfach,
solange beide System online sind. Ist dies aber nicht der Fall, müssen Sie feststellen,
welcher Master ausgefallen ist, und wie lange das System nicht zur Verfügung ste-
hen wird. In manchen Fällen müssen Sie die Rolle dann überschreiben.
Abbildung 5.4
Seize-Befehl bestä-
tigen
HINWEIS
Rollen übertragen
HINWEIS
Infrastructure -CN=NTDS Settings,CN=BEHEMOTH,CN=Servers,CN=HeadOf-
fice,CN=Sites,CN=Configuration,DC=SonnenscheinBrauerei,DC=com
fsmo maintenance:quit
ntdsutil:quit
Disconnecting from behemoth ...
씰 Schemamaster
씰 Domänennamensmaster
씰 RID-Master
씰 PDC
씰 Infrastrukturmaster
Das Überschreiben einer Rolle sollte nur die allerletzte Zuflucht darstellen, da Sie
sich dadurch Probleme im Netzwerk einhandeln können. Der einzige spezielle Ser-
vertyp, von dem Sie mehrere verwenden können, ist der Server für den globalen
Katalog.
Der globale Katalog wird für gewisse unternehmensweite Informationen wie etwa
die Mitgliedschaften bestimmter (insbesondere universeller) Gruppen verwendet.
Die andere Hauptfunktion des globalen Katalogs besteht darin, den Benutzern und
anderen Prozessen im System die Suche nach benötigten Objekten im gesamten
Unternehmen zu ermöglichen.
Der erste Domänencontroller in der Domäne ist standardmäßig der Server für den
globalen Katalog. Sie können weitere Server für den globalen Katalog hinzufügen,
wenn Sie dies wünschen oder vorhandene Server austauschen wollen. Es muss
5.3 Server sichern und wiederherstellen 289
jedoch immer mindestens einen Server für den globalen Katalog pro Gesamtstruktur
geben. Zum Konfigurieren eines Domänencontrollers als einen Server für den glo-
balen Katalog führen Sie die folgenden Schritte aus.
Die in Windows 2000 ausgelieferte Version der Datensicherung stellt gegenüber der
früheren Version eine deutliche Verbesserung dar, wobei die wichtigste Neuerung
darin besteht, dass Sie als Sicherungsmedium nun auch andere Medien als nur Bän-
der festlegen können. Mit dem Sicherungsprogramm können Sie die folgenden
Aktionen ausführen:
290 Kapitel 5 Server verwalten
Die folgenden Abschnitte zeigen Ihnen, wie Sie das Sicherungsprogramm verwen-
den, und wie Sie damit einen Windows-2000-Server sichern und wiederherstellen.
5.3.1 Sicherungsarten
Zunächst müssen Sie eine Entscheidung darüber treffen, welchen Sicherungstyp
und welche Sicherungshäufigkeit Sie zu verwenden gedenken, und was Sie eigent-
lich sichern wollen. Mit dem Sicherungsprogramm in Windows 2000 können Sie
lokale FAT- oder NTFS-Partitionen sichern oder Partitionen, die sich im Netzwerk
befinden.
Für die Sicherungen, die Sie zum Vermeiden von Datenverlusten ausführen, stehen
Ihnen fünf verschiedene Arten zur Verfügung, die Sie separat oder kombiniert ver-
wenden können. Die folgende Liste erläutert diese fünf Sicherungsarten.
씰 Inkrementell. Hiermit werden alle Dateien gesichert, die seit der letzten nor-
malen oder inkrementellen Sicherung gesichert worden sind. Diese Art setzt
das Archivattribut zurück und zeigt damit an, dass die entsprechenden Datei-
en gesichert worden sind. Bei dieser Sicherungsart benötigen Sie zur Wieder-
herstellung eine normale und alle inkrementellen Sicherungen, die seitdem
stattgefunden haben.
씰 Normal. Dies ist die vollständige Sicherungsart, die einfach alle Dateien
nach und nach sichert und anschließend das Archivattribut zurücksetzt.
Normalerweise legen Sie fest, ob Sie entweder die normale und inkrementelle oder
die normale und differenzielle Sicherungsart miteinander kombinieren möchten.
Bei jeder Methode führen Sie typischerweise eine wöchentliche vollständige und
anschließend tägliche differenzielle oder inkrementelle Sicherung aus. Inkremen-
telle Sicherungen reduzieren die Menge des erforderlichen Speicherplatzes für die
Daten und die Zeit, die zur Ausführung der täglichen Sicherungen benötigt wird.
Allerdings dauert dafür der Wiederherstellungsprozess länger. Differenzielle Siche-
rungen benötigen dagegen mehr Speicherplatz und mehr Zeit, machen jedoch dafür
die Wiederherstellungszeit kürzer, da nur die normale und die letzte differenzielle
Sicherung wiederhergestellt werden müssen.
Generell gilt, dass Sie dafür ein Mitglied entweder der Gruppe Administratoren
oder Sicherungs-Operatoren sein müssen. Sie müssen sich sowohl für das lokale
System als auch für jedes weitere System, welches Sie über das Netzwerk sichern,
in einer dieser Gruppen befinden. Erst damit steht Ihnen die Möglichkeit zur Verfü-
gung, Daten zu sichern, die nicht Ihre eigenen sind.
292 Kapitel 5 Server verwalten
ACHTUNG
Lesen-Berechtigungen verwenden
Vergessen Sie nicht, dass jeder Benutzer mit Lesen- oder höheren Berechtigun-
gen in der Lage ist, Daten zu kopieren und daher auch zu lesen.
씰 Die Registrierung
씰 Die COM+-Registrierungsdatenbank
씰 Die Zertifikatsdienstedatenbank
씰 Die Clusterdienstinformationen
Nicht jede Konfiguration von Windows 2000 enthält diese Objekte. Sie werden
jedoch alle, sofern vorhanden, gesichert, wenn Sie über das Sicherungsprogramm
die Sicherung der Systemstatusdaten veranlassen. Eine Wahl hinsichtlich der
Objekte, die im Rahmen des Systemstatus gesichert werden, haben Sie wegen des
internen Zusammenhangs der Komponenten nicht – entweder alles oder gar nichts!
Bei der Wiederherstellung der Systemstatusdaten müssen Sie das System in einem
speziellen Modus starten, der unter der Bezeichnung »Verzeichnisdienste wieder-
herstellen« bekannt ist und im über (F8) erscheinenden Menü angezeigt wird. Sie
5.3 Server sichern und wiederherstellen 293
haben dabei die Möglichkeit, die Systemstatusdaten auch an einen anderen Speiche-
rungsort zurückzuschreiben, wodurch jedoch lediglich die Registrierungsdateien,
die Systemvolumeinformationen, die Clusterdienstdatenbank und die Bootdateien
wiederhergestellt werden; die restlichen Daten werden nicht wiederhergestellt. Der
Grund liegt darin, dass die COM-Registrierungsdatenbank während der Installation
von Komponenten aufgebaut wird, und diese neu installiert werden müssen, wenn
die Quelldateien an anderen Speicherungsorten abgelegt werden. Auch die Zertifi-
katsinformationen müssen neu aufgebaut werden, da der Zertifikatsserver neu
installiert werden muss, und daher auch einen neuen Signaturschlüssel erhält.
Zu einem Problem kann dies führen, wenn Teile Ihres Active Directory versehent-
lich verlorengegangen sind. Falls Sie beispielsweise irrtümlich eine Organisations-
einheit (OU) gelöscht haben, würde die Wiederherstellung über eine Datensiche-
rung diese Organisationseinheit nicht wiederherstellen. Zur Wiederherstellung eines
gelöschten Objekts in Active Directory müssen Sie eine maßgebende Wiederher-
stellung durchführen.
Bei der Wiederherstellung der OU im Verlauf der nächsten Replikation würden die
USNs dem lokalen System mitteilen, dass die Organisationseinheit gelöscht worden
ist. Die OU wird daher ein weiteres Mal gelöscht und nicht an die anderen Domä-
nencontroller repliziert. Um dieses Problem zu umgehen, müssen Sie mit NTDS-
UTIL eine maßgebende Wiederherstellung durchführen.
Der Vorgang ist problemlos insofern, als Sie wie gewohnt den Wiederherstellungs-
prozess veranlassen. Vor dem Neustart des Servers jedoch starten Sie NTDSUTIL
294 Kapitel 5 Server verwalten
zu dem Zweck, den Teil von Active Directory, den Sie wiederherstellen wollen, zu
markieren. Durch diesen Vorgang werden die USNs einfach nur auf einen höheren
Wert gesetzt. Nach dem Start des Servers und dem Beginn der Replikation ist der
Wert der Kopie nun höher, was bewirkt, dass das Objekt an andere Domänencon-
troller repliziert wird.
Denken Sie also daran, dass Sie zur Wiederherstellung eines ausgefallenen Compu-
ters lediglich eine reguläre Wiederherstellung durchführen, die die Daten ersetzt
und es der Replikation überlässt, das System erneut zu aktualisieren. Führen Sie
dagegen eine Wiederherstellung an einen anderen Speicherungsort durch, werden
nur Teile der Systemstatusdaten wiederhergestellt, wobei auch hier der Prozess der
Replikation das System aktualisiert.
Eine maßgebende Wiederherstellung müssen Sie nur dann vornehmen, wenn Teile
von Active Directory verlorengegangen sind.
Das Sicherungsprogramm von Windows 2000 ermöglicht Ihnen eine Sicherung auf
ein Band oder in eine Datei. Wenn Sie eine Datei verwenden, müssen Sie einen
Speicherungsort und einen Namen angeben – die standardmäßige Dateinamenser-
weiterung .BKF ist dabei optional. Verwenden Sie am besten immer die Standarder-
weiterungen, damit auch andere Benutzer die Dateitypen erkennen können. Die
Datei kann sich auf einem festen oder wechselbaren Datenträger im System oder in
einer Freigabe eines Netzcomputers befinden.
Zum Konfigurieren der Sicherung können Sie auch den eingebauten Assistenten
verwenden.
Sicherungs-Assistent verwenden
Die folgende Schritt-für-Schritt-Anleitung zeigt Ihnen, wie Sie eine Sicherung mit
dem Sicherungs-Assistenten konfigurieren.
Abbildung 5.5
Klicken Sie im
Sicherungspro-
gramm auf die
Schaltfläche
SICHERUNGS-
ASSISTENT
Abbildung 5.6
Abbildung 5.7
6. Legen Sie das Sicherungsmedium (Band oder Datei) und das Bandlaufwerk
bzw. den Dateinamen fest (siehe Abbildung 5.8).
7. Klicken Sie im nächsten Bildschirm auf FERTIG STELLEN – die Sicherung
beginnt. Durch Anklicken der Schaltfläche ERWEITERT erhalten Sie weitere
Einstelloptionen (siehe Abbildung 5.9).
5.3 Server sichern und wiederherstellen 297
Abbildung 5.8
Abbildung 5.9
8. Die erste erweiterte Option fragt danach, welche Sicherungsart Sie verwen-
den möchten (siehe Abbildung 5.10). Wählen Sie unter den verfügbaren
Sicherungsarten die gewünschte Art aus. Außerdem können Sie Dateien
sichern lassen, die auf Remotespeicher migriert worden sind. Aktivieren Sie
das Kontrollkästchen, wenn Sie dies wünschen, und klicken Sie dann auf
WEITER.
298 Kapitel 5 Server verwalten
Abbildung 5.10
9. Auf dem nächsten Bildschirm können Sie festlegen, ob Sie die fertig gestellte
Sicherung verifizieren lassen möchten (siehe Abbildung 5.11), was empfeh-
lenswert ist. Außerdem geben Sie an, ob Ihr Bandlaufwerk eine Hardware-
kompression unterstützt. Klicken Sie nach dem Einstellen der Optionen auf
WEITER.
Abbildung 5.11
Die Verifizierung
der Sicherung soll-
ten Sie immer vor-
nehmen lassen
5.3 Server sichern und wiederherstellen 299
10. Als Nächstes können Sie festlegen, ob die vorhandenen Daten überschrieben
werden sollen, oder ob die Sicherung angehängt werden soll. Wenn Sie sich
für das Überschreiben entscheiden, haben Sie noch die Wahl, ob nur der
Besitzer bzw. Administrator auf die Sicherung zugreifen darf. Klicken Sie
zum Fortfahren auf WEITER (siehe Abbildung 5.12).
Abbildung 5.12
Abbildung 5.13
Geben Sie
Bezeichnungen für
die Sicherung und
das Medium ein
300 Kapitel 5 Server verwalten
11. Als Nächstes haben Sie die Möglichkeit, Bezeichnungen für die Sicherung
und das Medium einzugeben (siehe Abbildung 5.13). Klicken Sie nach dem
Einstellen auf WEITER.
12. Der nächste Bildschirm gibt Ihnen die Gelegenheit, die Sicherung sofort oder
nach einem Zeitplan auszuführen (siehe Abbildung 5.14). Wählen Sie die
gewünschte Option aus, und klicken Sie auf WEITER.
Abbildung 5.14
Abbildung 5.15
13. Wenn Sie auf SPÄTER klicken, werden Sie zur Eingabe des Benutzernamens
und Kennwortes für den Sicherungsauftrag aufgefordert. Nehmen Sie die
Eingaben vor und geben Sie dann den Namen des Sicherungsauftrags ein.
Klicken Sie zur Einstellung des Zeitplans auf die Schaltfläche ZEITPLAN
FESTLEGEN (die Zeitplanoptionen werden in der folgenden Schritt-für-Schritt-
Anleitung demonstriert). Klicken Sie danach zum Fortfahren auf WEITER.
14. Jetzt können Sie auf FERTIG STELLEN klicken – der Auftrag wird nun gestartet
oder als geplanter Auftrag gespeichert (siehe Abbildung 5.15).
Abbildung 5.16
3. Geben Sie im Dialogfeld AUFTRAG PLANEN als Erstes ein, wie oft der Auf-
trag laufen soll. Die Häufigkeit legen Sie über das Drop-down-Listenfeld
TASK AUSFÜHREN fest (siehe Abbildung 5.16).
4. Je nach der gewählten Option erhalten Sie nun acht verschiedene Auswahl-
möglichkeiten angezeigt.
씰 TÄGLICH. Bei täglichen Aufträgen können Sie festlegen, zu welchem Zeit-
punkt der Auftrag gestartet wird, und ob die Sicherungen jeden Tag oder
weniger häufig laufen sollen.
씰 WÖCHENTLICH. Bei wöchentlichen Aufträgen legen Sie wieder fest, ob
die Sicherung jede Woche oder weniger häufig laufen soll. Außerdem
können Sie die Startzeit des Auftrags und die Wochentage der Sicherung
bestimmen.
씰 MONATLICH. Auch hier legen Sie wieder die Startzeit des Auftrags fest.
Darüber hinaus bestimmen Sie noch den Tag des Monats (entweder über
die Nummer des Tages oder über den Wochentag; z.B. der erste Dienstag
des Monats). Darüber hinaus wählen Sie über die Schaltfläche MONATE
AUSWÄHLEN die Monate zur Ausführung des Zeitplans aus.
Abbildung 5.17
Die Registerkarte
EINSTELLUNGEN bie-
tet weitere Optio-
nen für den Auftrag
an
7. Wählen Sie unter den folgenden zur Verfügung stehenden Optionen aus:
씰 TASK LÖSCHEN, WENN ER NICHT ERNEUT GEPLANT WIRD. Hiermit wird
der Task, sofern er nicht erneut geplant ist, aus der Taskliste entfernt.
씰 TASK BEENDEN NACH. Hier können Sie eine Grenze für die Laufzeit des
Auftrags festlegen. Der Auftrag wird beendet, sobald die Zeitgrenze über-
schritten ist.
씰 LEERLAUF. Sie legen hier fest, ob der Task nur dann gestartet werden soll,
wenn der Computer für mindestens die angegebene Zeitdauer im Leerlauf
ist. Derartige Tasks werden nur im Leerlauf des Computers ausgeführt.
Sie können die gewünschte Leerlaufzeit in Minuten und die Wartezeit für
wiederholte Versuche zum Start des Auftrags einstellen. Außerdem legen
Sie fest, ob der Task gestoppt werden soll, wenn der Computer nicht
mehr im Leerlauf ist.
씰 ENERGIEVERWALTUNG. Mit den Optionen an dieser Stelle können Sie die
Ausführung eines Tasks verhindern, wenn der Computer im Akkubetrieb
läuft bzw. einen laufenden Task abbrechen, wenn der Computer in den
Akkubetrieb wechselt.
8. Klicken Sie nach dem Einstellen des Zeitplans auf WEITER.
304 Kapitel 5 Server verwalten
HINWEIS
Zeitpläne bearbeiten
Sie haben in diesem Abschnitt die Grundlagen der Sicherung eines Servers in Ihrem
Netzwerk kennen gelernt. Einmal erstellte Sicherungen sollten Sie als Nächstes
natürlich auch wiederherstellen können!
4. Nun können Sie entweder die Wiederherstellung starten oder vorher noch
die erweiterten Optionen einstellen. Die erweiterten Optionen betreffen die
Sicherheitseinstellungen, die Datenbank des Wechselmediendienstes und die
Abzweigungspunkte.
ACHTUNG
Wiederherstellung auf FAT-Partition
Daten, die auf einer NTFS-Partition unter Windows 2000 gesichert worden sind,
sollten auch wieder auf der ursprünglichen Partition wiederhergestellt werden. Es
werden nämlich auch verschiedene Eigenschaften des NTFS-Dateisystems mit-
gesichert, die die Berechtigungen, die Verschlüsselung und die Remotespeicher-
informationen betreffen. Diese Informationen können nicht wiederhergestellt
werden, wenn die Zielpartition eine FAT-Partition ist. Ein Teil dieser Informationen
kann dagegen auf einer NTFS-Partition unter Windows NT 4.0 wiederhergestellt
werden.
Bevor Sie eine der Wiederherstellungsmethoden verwenden, müssen Sie erst das
Problem beheben bzw. den Computer neu installieren. Falls Sie den Computer kom-
plett neu installieren müssen, sollten Sie sicherstellen, dass die Anzahl und Größe
der Datenträger und ihr Format gleich sind.
Der Vorgang selbst ist einfach und verläuft relativ schnell. Die folgende Schritt-für-
Schritt-Anleitung demonstriert, wie Sie einen Domänencontroller mit Hilfe der
Replikation wiederherstellen.
2. Stufen Sie das System mit dem Installationsassistenten für Active Directory
auf einem Domänencontroller herauf.
Durch diesen Vorgang wird ein arbeitsfähiger Domänencontroller mit allen aktuel-
len Active Directory-Informationen erzeugt. Auch wenn Sie die volle Wiederher-
stellung eines ausgefallenen Systems planen, sollten Sie normalerweise erst den
Computer neu installieren und dann vor dem Start des Vorgangs diese Schritte aus-
führen.
Bevor Sie mit dem Wiederherstellen der Systemstatusdaten beginnen können, müs-
sen Sie den Computer neu starten und in den Modus VERZEICHNISDIENST WIEDER-
HERSTELLEN wechseln. Führen Sie dazu die folgende Schritt-für-Schritt-Anleitung
aus.
4. Melden Sie sich nach der Aufforderung am System an. Während der Anmel-
dung wird eine Warnung angezeigt, dass das System im abgesicherten Modus
läuft (siehe Abbildung 5.18).
Abbildung 5.18
Diese Warnung
weist darauf hin,
dass das System
im abgesicherten
Modus läuft
Nun befindet sich Ihr System im korrekten Betriebsmodus – Sie können jetzt mit
dem Wiederherstellungsprogramm die Systemstatusdaten und andere erforderliche
Dateien wie etwa die für die Dienste benötigten Dateien wiederherstellen. Zum
Wiederherstellen der Systemstatusdaten führen Sie die folgende Schritt-für-Schritt-
Anleitung aus.
6. Wenn das Programm Sie nach einer Bestätigung des Dateinamens für die
Wiederherstellung fragt, überprüfen Sie diesen und klicken auf OK.
Anschließend beginnt die Wiederherstellung (siehe Abbildung 5.21).
308 Kapitel 5 Server verwalten
Abbildung 5.19
Abbildung 5.20
Abbildung 5.21
Die Systemstatus-
daten werden wie-
derhergestellt
5.3 Server sichern und wiederherstellen 309
7. Nach der Wiederherstellung klicken Sie zum Schließen des Dialogfeldes auf
OK, und schließen dann auch das Sicherungsprogramm.
8. Starten Sie den Computer im normalen Modus.
Nach dem Neustart sollte sich das System wieder im normalen Zustand mit der Aus-
nahme befinden, dass es unter Umständen nicht mehr aktuell ist. Mit dem Eintreffen
der Replikationen von den anderen Domänencontrollern sollte sich dieser Zustand
jedoch nach und nach ändern.
Dadurch entsteht allerdings eine Frage: Was geschieht, wenn Sie Active Directory
wiederherstellen, um ein oder mehr Objekte wiederzugewinnen, die gelöscht wur-
den? Die Antwort lautet, dass diese Art der Wiederherstellung nicht die erhofften
Ergebnisse bringen wird, da die lokale Kopie von Active Directory durch die Repli-
kation mit den anderen Domänencontrollern wie jede andere Kopie auch aussehen
wird. Um ein gelöschtes Objekt wiederherzustellen, müssen Sie eine maßgebende
Wiederherstellung durchführen.
Die USN (Update Sequence Number) des Objekts, welches wiederhergestellt wird,
liegt niedriger als die letzte Version dieses Objekts im Active Directory der anderen
Domänencontroller. Dies hat zur Folge, dass der lokale Controller bei Beginn der
Replikation aufgrund der höheren USN der anderen Domänencontroller gezwungen
ist, das Objekt erneut zu löschen.
Abbildung 5.22
Bestätigen Sie,
dass der Objektna-
me korrekt ist
C:\>ntdsutil
ntdsutil:authoritative restore
authoritative restore:restore subtree cn=testit,dc=SonnenscheinBrauerei,dc=com
Opening DIT database...Done.
The current time is 03-10-00 15:00.52.
Most recent database update occured at 03-10-00 13:51.56.
Increasing attribute version numbers by 10000.
Counting records that need updating...
Records found:0000000018
Done.
5.4 Andere administrative Funktionen 311
C:\>
Maßgebende Wiederherstellungen sind, wie Sie eben gesehen haben, nicht beson-
ders schwierig durchzuführen. Hoffentlich haben Sie nichtsdestotrotz nicht zu oft
mit ihnen zu tun!
Dieser Abschnitt hat die Grundlagen der Sicherung und Wiederherstellung behan-
delt, die einen wesentlichen Bestandteil der Alltagsarbeit eines Administrators aus-
machen, und Ihnen vertraut sein sollten. Eine andere Hauptfunktion Ihrer Arbeit
besteht im Überwachen der Server, um deren Betriebsbereitschaft zu gewährleisten
oder ein Problem zu beseitigen.
Dieser Abschnitt befasst sich mit generellen Fragen der Überwachung und den
dafür zur Verfügung stehenden Werkzeugen. Es wird außerdem darüber gespro-
chen, welche verschiedenen Probleme bei Domänencontrollern auftreten, und wie
Sie diese beseitigen können.
312 Kapitel 5 Server verwalten
5.4.1 NTDSUTIL
Eines der Schlüsselwerkzeuge zum Verwalten von Active Directory ist NTDS-
UTIL, ein Befehlszeilenprogramm für verschiedene Funktionen:
씰 Domain Management. Mit dieser Option können Sie vor dem eigentlichen
Installieren Objekte in Active Directory wie etwa untergeordnete Domänen
erstellen, sodass der Benutzer, der das System physisch installiert, nicht über
die Privilegien eines Organisations-Admins verfügen muss.
씰 File. Mit dieser Option verwalten Sie NTDS.dit und die dazugehörigen Ver-
zeichnisdienstdatenbanken. Zum Verwalten dieser Dateien müssen Sie den
Computer im Modus VERZEICHNISDIENSTWIEDERHERSTELLUNG (WINDOWS-
2000-DOMÄNENCONTROLLER) starten, um zu vermeiden, dass die Dateien ge-
öffnet werden.
씰 IPDenyList. Diese Option erlaubt Ihnen das Erstellen einer Liste von IP-
Adressen, die der Server zum Abweisen von LDAP-Abfragen benutzt. Diese
Option betrifft die standardmäßige LDAP-Richtlinie und wirkt sich auf alle
Domänencontroller aus, die über keine bestimmte LDAP-Richtlinie verfügen.
씰 Roles. Wie Sie schon erfahren haben, gibt es fünf verschiedene Betriebsmas-
terrollen. Die Rollen dienen als Grundlage für bestimmte Funktionen inner-
halb des Netzwerks. Mit dieser Option übertragen bzw. überschreiben Sie die
Betriebsmasterrolle.
씰 Semantic Database Analysis. Der Befehl files hat mit den Dateien zu tun,
aus denen Active Directory besteht. Die Semantic Database Analysis kann
dazu verwendet werden, Probleme bei den Verknüpfungen zwischen logi-
schen Strukturen ausfindig zu machen. Dazu gehört beispielsweise ein ver-
waister Benutzer, der Teil einer Organisationseinheit ist, die nicht mehr exis-
tiert. Inkonsistenzen dieser Art sollten sich auch im Container Lost+Found
zeigen.
Das Programm NTDSUTIL ist einfach zu bedienen, besitzt aber keine grafische
Oberfläche, weil davon ausgegangen wird, dass die entsprechende Funktion später
einmal über eine spezielle Managementschnittstelle zur Verfügung stehen wird.
Einige dieser Funktionen müssen jedoch auch über die Wiederherstellungskonsole
ausgeführt werden, die ein reines Befehlszeilenprogramm ist, sodass NTDSUTIL in
der vorliegenden Form immer seinen Sinn haben wird.
Neben NTDSUTIL zum Untersuchen und Verwalten von Active Directory stehen
noch einige weitere Werkzeuge zur Verfügung, die zum Überwachen von Domä-
nencontrollern und des Netzwerks eingesetzt werden können.
Einige Programme wie beispielsweise der Task-Manager, mit dem Sie rasch fest-
stellen können, ob Sie weitere Überwachungswerkzeuge einsetzen müssen, werden
häufig verwendet. Die Verwendungsweise dieses Programms wird daher als Erste
erörtert.
Task-Manager
Eine besonders schnelle und einfache Methode zur Überprüfung Ihrer Systemleis-
tung steht mit dem Task-Manager zur Verfügung. Ursprünglich sollte Ihnen dieses
Programm lediglich nur die Gelegenheit geben, im System laufende Tasks anzuzei-
gen, zu starten und zu stoppen. Tatsächlich ist der Task-Manager gleichzeitig aber
auch ein sehr nützliches Werkzeug bei der Fehlersuche.
314 Kapitel 5 Server verwalten
Abbildung 5.23
Der Task-Manager
mit der Registerkar-
te ANWENDUNGEN
씰 Klicken Sie mit der rechten Maustaste auf der Taskleiste, und wählen Sie im
Kontextmenü TASK-MANAGER aus.
Nach dem Start des Task-Managers werden Sie bemerken, dass er drei verschiedene
Registerkarten enthält: ANWENDUNGEN, PROZESSE und SYSTEMLEISTUNG (siehe
Abbildung 5.23).
In der Registerkarte PROZESSE können Sie alle Prozesse einschließlich der Anwen-
dungen und Dienste anzeigen, aus denen Windows 2000 besteht und die gegenwär-
tig in Ihrem System laufen. In dieser Registerkarte befinden sich standardmäßig die
folgenden Spaltenüberschriften:
씰 NAME. Dies ist der Name des gegenwärtig laufenden Prozesses. Pro gestarte-
ter Instanz eines Prozesses kann es mehrere Namen für denselben Prozess ge-
ben.
씰 PID. Über die Prozess-ID verfolgt das Betriebssystem den laufenden Prozess
im Kernel von Windows 2000.
HINWEIS
Ausgelastete Anwendungen
Manchmal gibt es Anwendungen, die so stark ausgelastet sind, dass sie als nicht
reagierende Anwendungen angezeigt werden. Solche Anwendungen sind aber
nicht zwangsläufig immer auch abgestürzte Anwendungen. Der Task-Manager
schaut nur nach, ob die betreffende Anwendung noch auf die Systemanfragen
reagiert. Wenn diese stark belastet ist, kann sie das aber nicht immer. Bevor Sie
solche Anwendungen beenden, sollten Sie ihr noch einige Minuten Zeit geben.
Zusätzlich zu den genannten können Sie jedoch noch weitere Datenquellen anzei-
gen. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie es machen.
2. Aktivieren Sie die Kontrollkästchen neben den Namen der Datenquellen, die
Sie anzeigen möchten.
3. Klicken Sie auf OK.
Spalten, die Sie hinzufügen können, gibt es viele. Falls Sie sich über die Bedeutung
einzelner Datenquellen nicht im Klaren sein sollten, erfahren Sie über die Hilfe im
Menü weitere Einzelheiten.
Die letzte Registerkarte liefert Ihnen einen raschen Überblick über die Systemleis-
tung. Sie soll keinen erschöpfenden Einblick in die Aktivität des Systems darstellen,
sondern dient lediglich der Anzeige des aktuellen Systemstatus. Auf dieser Register-
karte befinden sich sechs Bereiche, die in der folgenden Liste beschrieben werden:
씰 INSGESAMT. Teilt Ihnen die Gesamtanzahl der Handles, Threads und Prozes-
se mit.
씰 REALER SPEICHER (KB). Dies ist die Menge physischen Speichers, der im
System zur Verfügung steht und nach der verfügbaren Menge sowie der für
den Systemcache benötigten Menge aufgeteilt ist. Idealerweise sollte der ver-
fügbare Speicher nicht unter 4096 KB fallen. Generell gilt: je mehr Speicher,
umso besser. Haben Sie jedoch mehr als 65536 KB frei, dann haben Sie ent-
weder zuviel Speicher im System, oder es gibt Dienste, die nicht gestartet
worden sind.
5.4 Andere administrative Funktionen 317
Wie Sie sehen, ist der Task-Manager ein recht nützliches Werkzeug, welches Sie
immer dann einsetzen können, wenn sich eine Anwendung auffällig verhält. Außer-
dem können Sie mit ihm den Status des Systems überprüfen. Die Grenze des Task-
Managers liegt darin, dass Sie mit ihm nur sehen können, was im Moment passiert.
Gelegentlich möchten Sie jedoch auch wissen, was bereits zu früheren Zeitpunkten
im System geschehen ist – dies erledigen Sie mit der Ereignisanzeige.
Ereignisanzeige
Windows 2000 besitzt die Fähigkeit, auch bei Problemen mit einem Dienst oder
Gerät starten zu können. Gleichwohl kann es frustrierend sein, während des Boot-
vorgangs auf die entsprechenden Meldungen des fehlerhaften Gerätes oder Dienstes
warten zu müssen, bis es endlich weitergeht. Unter Windows 2000 können Sie
anschließend das System untersuchen und das Problem beseitigen. Nach dem Start
sollten Sie daher als Erstes über die Ereignisanzeige die Ursache des Problems fest-
stellen.
318 Kapitel 5 Server verwalten
Abbildung 5.24
Die Ereignisanzei-
ge starten Sie über
PROGRAMME/VER-
WALTUNG/
EREIGNISANZEIGE
씰 Directory Service. Dieses Protokoll enthält Ereignisse, die mit der Active
Directory-Datenbank und ihrer Replizierung zu tun haben.
씰 DNS Server. Dieses Protokoll verfolgt Ereignisse, die mit dem DNS-Server
zu tun haben. Sie sollten es immer dann kontrollieren, wenn Sie Probleme
beim Auflösen von Netzwerknamen oder beim Anmelden haben.
Die Ereignisprotokolle sollten Sie regelmäßig überprüfen. Sie teilen Ihnen oftmals
die Ursachen von Problemen mit, auf die Sie noch gar nicht aufmerksam geworden
sind, und können mögliche Fehlerquellen in der Zukunft aufzeigen.
Ereignisprotokolle konfigurieren
Die Ereignisprotokolle enthalten ziemlich viele und wichtige Informationen. Je
mehr Dienste und Anwendungen im System laufen, und je mehr Überwachung Sie
erwarten, umso umfangreicher werden auch die zur Verfügung stehenden Informa-
tionen werden. Um zu vermeiden, dass die Ereignisprotokolle zu viel Platz wegneh-
men und damit vielleicht Probleme verursachen, sollten Sie sie so konfigurieren,
dass sie nur so viel Speicherplatz wie nötig verbrauchen. Damit stellen Sie gleich-
zeitig sicher, dass die Protokollinformationen zur Verfügung stehen, wenn sie
gebraucht werden. Die folgende Schritt-für-Schritt-Anleitung demonstriert, wie Sie
die Ereignisprotokolle konfigurieren.
Abbildung 5.25
Die Registerkarte
ALLGEMEIN im Dia-
logfeld EIGENSCHAF-
TEN VON ANWEN-
DUNGSPROTOKOLL
Auf diese Weise können Sie den Status von Remote-Systemen überprüfen, ohne die
Computer selbst aufsuchen zu müssen. Besonders praktisch wird dies, wenn Ihre
Clients mit Windows 2000 Professional laufen, da Sie in diesem Fall Probleme
unter Verwendung des Ereignisprotokolls sogar über das Netzwerk beseitigen kön-
nen.
Ereignisprotokoll verwenden
Das Ereignisprotokoll verzeichnet alle Aktivitäten im System, wozu nicht nur nor-
male Aktivitäten, sondern auch Fehler gehören. Jeder Ereignistyp, der im Protokoll
verzeichnet ist, ist mit einem Symbol markiert, welches das Erkennen von Proble-
men erleichtert. Es gibt fünf verschiedene Symbole:
Warnung. Diese Warnung weist darauf hin, dass etwas nicht richtig arbeitet.
Der Fehler verhindert nicht den Start des Prozesses, sollte aber trotzdem von
Ihnen überprüft werden.
Fehler. Dies ist ein kritischer Fehler und weist auf einen Prozess hin, der we-
gen eines Fehlers nicht fortfahren konnte. Manche Prozesse versuchen nach
einem Fehler erneut zu starten, und schreiben daher das Protokoll mit ihren
Fehlermeldungen voll.
Fehlerüberwachung. Dieser Eintrag zeigt an, dass jemand eine Aktion aus-
zuführen versucht hat, für die er nicht die erforderliche Berechtigung besaß.
Dies passiert nur im Sicherheitsprotokoll und sollte überprüft werden.
Erfolgsüberwachung. Zeigt an, dass eine Aktion versucht wurde, für die der
Benutzer die erforderliche Berechtigung besaß. Die Meldung ist im Allge-
meinen zwar ein gutes Zeichen, kann Ihnen aber auch dazu dienen, Benutzer
zu verfolgen, die es geschafft haben, in Ihr System einzudringen.
Hinsichtlich der anderen Protokolle müssen Sie sich die Warnungen und Fehler
näher anschauen. Bei der Arbeit mit den Ereignisprotokollen beginnen die meisten
Leute normalerweise mit dem ersten Eintrag, und arbeiten sich dann nach unten
weiter. Der Trick besteht aber darin, erst nach dem Beginn des Fehlers zu suchen,
und ab dieser Stelle das Protokoll durchzuarbeiten. Schauen Sie sich die Einträge
beginnend mit dem ältesten bis zum neuesten Eintrag an – so können Sie den Ver-
lauf des Problems besser verfolgen.
Wenn Sie dann den ersten bzw. frühesten Eintrag gefunden haben, der auf das Prob-
lem hinweist, können Sie die Details des Ereignisses anzeigen.
Ereignisdetails anzeigen
Durch die Anzeige der Ereignisdetails erhalten Sie nicht nur mehr Informationen
über das betreffende Ereignis, sondern in manchen Fällen sogar nützliche Daten. Sie
brauchen nur zweimal auf den Ereigniseintrag zu klicken (siehe Abbildung 5.26).
Abbildung 5.26
씰 BENUTZER. Der Name des Benutzers, der den Fehler verursacht bzw. den
Prozess gestartet hat, der zum Fehler führte.
씰 COMPUTER. Der Name des Computers, auf dem das Ereignis aufgetreten ist.
씰 QUELLE. Der Prozess (ein Programm oder Dienst), der das Ereignis gemeldet
hat.
Die Schaltfläche mit dem Aufwärtspfeil ermöglicht Ihnen standardmäßig die Auf-
wärtswanderung im Ereignisprotokoll bzw. die Vorwärtsbewegung in der Zeit.
Diese Option eignet sich gut, wenn Sie die zeitliche Reihenfolge eines Ereignisses
verfolgen möchten. Die Schaltfläche mit dem Abwärtspfeil bewirkt das Gegenteil.
Mit der anderen Schaltfläche können Sie das Ereignis in die Zwischenablage kopie-
ren und in eine Anwendung (wie z.B. die E-Mail) wieder einfügen.
Die Beschreibung soll Ihnen beim Verständnis des Fehlers helfen. Microsoft hat
sich zwar bemüht, die Fehlerbeschreibungen in Windows 2000 möglichst aussage-
kräftig zu formulieren, jedoch werden Sie sich gelegentlich doch einmal an andere
Quellen wie etwa TechNet auf der Microsoft-Website wenden müssen, um schwie-
rige Fehlermeldungen zu verstehen.
Die angezeigten Datenbereiche können sich als nützlich erweisen, und als Bytes
oder Words angezeigt werden. Die Anzeige als Bytes ist am besten, um lesbare Zei-
chen auf der rechten Seite zu erhalten. Die Anzeige der Nachricht als Words (ein
Wort besteht aus 16 Bit) liefert Ihnen in der Regel keine sinnvollen Informationen.
Das Durchsuchen des ganzen Protokolls kann seine Zeit dauern. Um diese Zeit zu
verkürzen, können Sie die Informationen im Protokoll auch filtern.
Abbildung 5.27
Die Registerkarte
FILTER im Dialogfeld
EIGENSCHAFTEN VON
ANWENDUNGSPRO-
TOKOLL
5.4 Andere administrative Funktionen 325
Filter
Im Ereignisprotokoll können Tausende von Ereignissen verzeichnet sein. Um ein
Problem schneller entdecken zu können, filtern Sie das Protokoll. Führen Sie zum
Filtern des Protokolls die folgenden Schritte aus.
Das Filtern stellt eine Methode dar, die Ansicht der Ereignisse im Protokoll anders
zu gestalten. Es stehen aber noch weitere Ansichtsoptionen zur Verfügung, die im
folgenden Abschnitt erläutert werden.
HINWEIS
Statusleiste
Ob ein Filter gerade aktiv ist oder nicht, können Sie über die Statusleiste oberhalb
der Liste der Ereignisse feststellen. Zum Abschalten des Filters gehen Sie wieder
zur Registerkarte FILTER, und klicken auf die Schaltfläche STANDARD WIEDERHER-
STELLEN.
Ansichtsoptionen
Zusätzlich zum Filtern der Ereignisse können Sie auch ANSICHT im Kontextmenü
(siehe Abbildung 5.28) dazu verwenden, die Anzeige der Informationen zu verän-
dern.
씰 SPALTEN WÄHLEN. Hiermit können Sie die Spalten festlegen, die Sie im De-
tailbereich anzeigen lassen möchten. Standardmäßig werden alle verfügbaren
Spalten angezeigt.
씰 ALLE EINTRÄGE. Hiermit wird der Filter, der ggf. eingeschaltet ist, wieder ab-
geschaltet.
326 Kapitel 5 Server verwalten
Abbildung 5.28
씰 NEUERE ZUERST. Hiermit werden die Einträge beginnend mit den neuesten
bis zu den ältesten Einträgen sortiert.
씰 ÄLTERE ZUERST. Hiermit werden die Einträge beginnend mit den ältesten bis
zu den neuesten Einträgen sortiert.
씰 SUCHEN. Hiermit wird ein Dialogfeld ähnlich dem Dialogfeld FILTER ange-
zeigt. Der Unterschied besteht darin, dass SUCHEN Sie zum jeweils nächsten
Eintrag bringt, der Ihren Suchkriterien entspricht.
Die meisten Optionen, die Ihnen zur Verfügung stehen, um die Ansicht der Ereig-
nisprotokolle anzupassen, haben Sie nun kennen gelernt. Der Abschnitt schließt mit
einem Blick auf das Speichern und Laden von Protokolldateien.
Protokolle archivieren
In einigen Fällen möchten Sie die Ereignisprotokolle archivieren, um Sie zu einem
späteren Zeitpunkt noch einmal zu überprüfen oder mit gewissen Programmen wei-
terzubearbeiten, um Probleme herausfiltern zu können. Das Speichern und Laden
eines Ereignisprotokolls wird, wie die folgende Schritt-für-Schritt-Anleitung zeigt,
über das Kontextmenü erledigt.
5.4 Andere administrative Funktionen 327
Mit diesen Schritten können Sie die Aktivitäten des Systems über einen größeren
Zeitraum hinweg verfolgen und überprüfen.
Die Ereignisanzeige ist ein recht wichtiges Werkzeug, weil Sie mit ihm überwachen
können, was eigentlich auf Ihrem Computer passiert. Es gibt Ihnen allerdings keine
Informationen darüber, was im Netzwerk geschieht – dazu benötigen Sie den Netz-
werkmonitor, der eines der Schlüsselprogramme zur Diagnose darstellt und in Win-
dows 2000 enthalten ist.
Netzwerkmonitor
Eine vollständige Erörterung des Netzwerkmonitors wäre für Sie sicher interessant,
übersteigt aber bei weitem den Rahmen dieses Buches. Nichtsdestotrotz sind Sie
dringend aufgefordert, sich eingehend mit dem Netzwerkmonitor zu beschäftigen,
um Techniken zur Fehlerbehebung zu erlernen, die Sie nicht nur auf lokale, sondern
auch auf Systeme im Netzwerk anwenden können.
Die Kenntnisse über die Funktionsweise des Netzwerkmonitors brauchen Sie für die
Vorbereitung auf die Prüfung 70-217.
328 Kapitel 5 Server verwalten
In einem Broadcasting-Netzwerk wie Ethernet oder Token Ring wird ein gesendetes
Datenpaket von jeder Netzwerkkarte im Subnetz empfangen. Die Karte identifiziert
das Paket und überprüft die Zieladresse, um feststellen zu können, ob es sich um
einen vollständigen Broadcast oder ein Datenpaket für das lokale System handelt.
Falls das Paket nicht für eine dieser Adressen bestimmt ist, wird es gelöscht.
Abbildung 5.29
Der Netzwerkmonitor fasst die Daten zusammen und erzeugt Berichte über die ver-
schiedenen Protokolle im Netzwerk und die Sitzungen zwischen den Computern. Er
gibt Ihnen auch die Gelegenheit, den Netzwerkverkehr in einer Form zu verfolgen,
die durch eine Aufbereitung und Interpretation aller Codes des Netzwerks besser
lesbar ist (siehe Abbildung 5.30).
Sie können sich die Informationen auch detailliert anzeigen lassen und die verschie-
denen Schichten betrachten (siehe Abbildung 5.31).
Mit dem Netzwerkmonitor können Sie die Daten, die durch Ihr Netzwerk wandern,
unmittelbar analysieren, was sich als nützlich erweisen kann, wenn Sie beispiels-
weise Probleme beim Suchen von Computern haben. Mit dem Netzwerkmonitor
stellen Sie fest, wie die DNS-Abfrage aussieht und wo sie hingeht. Oder schauen
Sie sich bei Problemen mit der Authentifizierung einmal die Sitzung und den
Authentifizierungs-Handshake genauer an. Dies sind nur zwei Beispiele für den
sinnvollen Einsatz des Netzwerkmonitors.
5.4 Andere administrative Funktionen 329
Abbildung 5.30
Abbildung 5.31
Mit dem Netzwerkmonitor haben Sie die Gelegenheit, die Ereignisse im Netzwerk
näher untersuchen zu können. Falls das Problem, welches Sie zu beheben versu-
chen, mit dem Computer selbst zu tun hat, hilft er Ihnen wahrscheinlich nicht –
dafür brauchen Sie ein anderes wichtiges Diagnosewerkzeug in Windows 2000, den
Systemmonitor.
330 Kapitel 5 Server verwalten
Leistung
Eine vollständige Erörterung des Leistungsprogramms würde den Rahmen dieses
Buches überschreiten. Nichtsdestotrotz benötigen Sie zur Vorbereitung auf die Prü-
fung 70-217 Kenntnisse über seinen Zweck und seine Verwendung.
Das Leistungsprogramm besteht eigentlich aus zwei Teilen: Es gibt einmal den Sys-
temmonitor, der Ihnen eine grafische Anzeige der aktuellen oder protokollierten
Aktivitäten auf einem Server bietet. Damit erhalten Sie die Gelegenheit, Trends in
einer Zeitkurve erkennen und minutengenaue Informationen über Ihr System
gewinnen zu können. Der andere Teil des Leistungsprogramms sind die Leistungs-
datenprotokolle und Warnungen, mit denen Sie Protokolldateien über die Aktivitä-
ten auf dem Server erstellen oder Warnungen konfigurieren können, die beim Über-
schreiten bestimmter Schwellenwerte ausgelöst werden. Beide Werkzeuge können
Sie für unterschiedliche Aufgabenstellungen einsetzen:
씰 Durch eine Leistungsmessung der Dienste in Ihrem System erhalten Sie eine
Auskunft darüber, wie viele Benutzer sie unterstützen können, und welche
Ressourcen noch für andere Dienste übrigbleiben. Daten dieser Art können
Sie dann zur Optimierung von Diensten auf Domänencontrollern verwenden.
An dieser Stelle können Sie auch eine Parallele zwischen dem Leistungsprogramm
und dem Netzwerkmonitor ziehen – was der Netzwerkmonitor für Ihr Netzwerk ist,
ist das Leistungsprogramm für Ihren Einzel-PC.
Objekte
Das Leistungsprogramm arbeitet unter Mitwirkung verschiedener Datenquellen, die
in die Microsoft-Dienste eingebaut sind und vom Leistungsprogramm ausgewertet
werden. Die Ergebniswerte können grafisch angezeigt, protokolliert oder in Verbin-
dung mit einer Warnung verwendet werden.
5.4 Andere administrative Funktionen 331
Der Ursprung der Datenquelle, also der Dienst, in den die Datenquelle eingebaut ist,
ist aus der Sicht des Leistungsprogramms ein Leistungsindikator. So stellt beispiels-
weise der Prozessor einen vom Betriebssystemkern bereitgestellten Leistungsindi-
kator dar, während der Server ein vom Serverdienst angebotener Leistungsindikator
ist.
Weiterhin stehen Leistungsindikatoren zur Verfügung, die für das jeweilige Objekt
spezifisch sind. Beispielsweise besitzt das Prozessorobjekt den Indikator Interrupts/s,
und das Serverobjekt den Indikator Anmeldungen/s.
Zusätzlich zur Festlegung des Objekts und dessen Leistungsindikator können Sie
noch auswählen, welche Instanz eines Objekts Sie untersuchen möchten. Dies ist
notwendig, weil Sie mehr als eine verfügbare Instanz des Objekts haben können. So
können Sie beispielsweise zwei Kopien desselben Programms starten oder mehrere
physikalische Datenträger im System haben.
Systemmonitor
Den Systemmonitor setzen Sie zur Analyse der von Ihnen gesammelten Daten ein.
Diese Daten können von einem Live-System oder aus einer gespeicherten Proto-
kolldatei stammen. Bezüglich des Live-Systems können Sie festlegen, welches der
verfügbaren Objekte Sie analysieren möchten, und welche Leistungsindikatoren Sie
für die Instanz, die Sie beobachten möchten, benutzen.
Ein weiterer Bestandteil des Leistungsprogramms ist dessen Fähigkeit, die Leis-
tungsindikatoren im System zu protokollieren, um sie später im Systemmonitor
betrachten zu können. Außerdem kann dieser Teil dazu verwendet werden, Warnun-
gen einzurichten, die ausgelöst werden, wenn gewisse Leistungsindikatoren einer
spezifischen Instanz eines Objekts unterhalb oder oberhalb eines bestimmten
Schwellenwerts liegen.
332 Kapitel 5 Server verwalten
ACHTUNG
Aktualisierungshäufigkeit
Das Leistungsprogramm ist ein Werkzeug, mit dem Sie die Anzahl der Benutzer
ermitteln können, die ein Server bearbeiten kann, oder mit dem Sie die Quelle eines
Flaschenhalses in der Systemleistung entdecken.
씰 SIDWalker. Mit diesem Programm können Sie die ACL von Objekten bear-
beiten, die verschobenen, gelöschten oder verwaisten Konten gehören.
Alle diese Werkzeuge können Sie dazu verwenden, das Problem, welches Sie ein-
mal erkannt haben, dingfest zu machen und zu beseitigen. Für die Prüfung sollten
Sie die Namen und den Verwendungszweck dieser Programme kennen. Wenn
Ihnen die Zeit zur Verfügung steht, sollten Sie diese Programme außerdem auspro-
bieren, um ein Gefühl für ihre Funktionsweise zu bekommen.
Die Überwachung von Servern ist wichtig, um Probleme schon im Keim vermeiden
zu können. Die Programme, die Sie gerade kennen gelernt haben, haben alle ihren
jeweiligen spezifischen Einsatzzweck und -zeitpunkt, und Sie sollten verstanden
haben, wie sie mit ihnen umgehen.
씰 Es gibt nur wenige Änderungen in Active Directory, und obwohl die Be-
nutzer gelegentlich von Standort zu Standort wandern, bleiben sie nor-
malerweise am gewohnten Platz und damit auch in derselben Domäne.
씰 Sie brauchen pro Standort einen Server für den globalen Katalog. Die
Anzahl der Standorte ist hoch.
씰 Zu Wiederherstellungszwecken werden Sie die Betriebsmaster in Ottawa
verwenden.
씰 Sie planen alle Sicherungen so, dass sie automatisch ausgeführt werden.
Wenn Sie die angesprochenen Punkte berücksichtigen, werden Sie bei der Ana-
lyse des Falls keine großen Schwierigkeiten haben.
Situationsbeschreibung
Diese Fallstudie beschäftigt sich mit den Vorbereitungen einer Wiederherstel-
lung. Dies gehört zu den Dingen, die Sie bereits im Vorfeld gut geplant haben
sollten, sodass Sie beispielsweise auch wissen, wo Sie im Katastrophenfall
Ersatzteile oder andere Server bekommen können. Weiterhin sollten Sie einen
Plan für eine alternative Platzierung der Server für den Fall haben, dass der
Computerraum nicht zur Verfügung steht. Ihr Plan sollte ebenfalls die Frage
der Notstromversorgung vorsehen.
Im vorliegenden Fall werden Sie jedoch speziell mit der Platzierung der Server
und der Planung der Sicherungsstrategie zu tun haben.
Situationsanalyse
Bezüglich der Stationierung der Betriebsmaster ist vorgesehen, dass ein Paar
Domänencontroller in Ottawa untergebracht und ein Verbindungsobjekt zwi-
schen diesen beiden erstellt wird, welches sicherstellt, dass beide Replikations-
partner sind. Einer dieser Server wird als Schema- und Domänennamensmaster
und der andere nur als ein Domänencontroller konfiguriert. Für die Betriebs-
master auf Domänenebene wird ein ähnliches Paar für jede Domäne im Büro
Ottawa erstellt.
Die Sicherungen im Büro Ottawa für die Server, die als Betriebsmaster und
Backups konfiguriert sind, finden einmal wöchentlich voll und jede Nacht dif-
ferenziell statt. Die Sicherungen werden vier Wochen lang aufgehoben und
dann von hinten her wieder überschrieben. Es wird weiterhin monatliche, vier-
teljährliche und jährliche Sicherungen geben. Die monatlichen Sicherungen
werden bis zur nächsten monatlichen Sicherung am Standort aufbewahrt, und
dann außerhalb des Standortes für 15 Jahre gelagert.
336 Kapitel 5 Server verwalten
Zusammenfassung
Dieses Kapitel hat sich mit den Serverrollen einschließlich der zwei Unternehmens-
rollen Schema- und Domänennamensmaster beschäftigt. Es hat weiterhin die drei
Masterrollen erörtert, die sich in jeder Domäne finden: der PDC-Emulator, der RID-
Master und der Infrastrukturmaster. Sie haben erfahren, welchem Zweck jede Rolle
dient, und wie Sie die Rolle in dem Fall, dass ein Server abstürzt, auf einen anderen
Server verschieben oder überschreiben.
Zum Schluss haben Sie einige der verfügbaren Werkzeuge zur Überwachung und
Fehlersuche kennen gelernt. Diese Programme erfordern eine Menge Übung – sie
sollten sich einige Zeit lang mit ihnen beschäftigen, bevor Sie in die Prüfung gehen!
Schlüsselbegriffe
쎲 Betriebsmaster 쎲 PDC-Emulator
쎲 Ereignisanzeige 쎲 RID-Master
쎲 Infrastrukturmaster 쎲 Server für den globalen
Katalog
쎲 Leistung 쎲 Sicherung
쎲 Maßgebende 쎲 Systemstatusdaten
Wiederherstellung
쎲 Netzwerkmonitor 쎲 Task-Manager
쎲 NTDSUTIL 쎲 Wiederherstellen
Lernzielkontrolle 337
Lernzielkontrolle
Übungen
5.1 Mit Serverrollen arbeiten
In dieser Übung werden Sie den Betriebsmaster auf Unternehmensebene von einem
Server auf den anderen verschieben. Die Übung setzt voraus, dass Sie zwei Server
mit Windows 2000 oder mit Advanced Server installiert und zu Domänencontrol-
lern in derselben Domäne heraufgestuft haben.
10. Klicken Sie zum Schließen der Snap-In-Liste auf SCHLIESSEN, und klicken
Sie danach zum Schließen des Dialogfeldes SNAP-IN HINZUFÜGEN/ENTFER-
NEN auf OK.
11. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHEMA und
wählen Sie im Kontextmenü DOMÄNENCONTROLLER ÄNDERN aus.
12. Klicken Sie auf NAMEN ANGEBEN und geben Sie den Namen des zweiten Do-
mänencontrollers ein. Klicken Sie auf OK.
338 Kapitel 5 Server verwalten
13. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-SCHE-
MA und wählen Sie im Kontextmenü BETRIEBSMASTER aus.
14. Vergewissern Sie sich, dass AKTUELLER FOKUS und DER SERVER IST ZUR-
ZEIT zwei verschiedene Server bezeichnen. Falls dies nicht der Fall sein soll-
te, gehen Sie zu Schritt 11 zurück und geben den Namen des anderen Servers
ein.
15. Klicken Sie auf ÄNDERN.
16. Schließen Sie MMC. Klicken Sie auf NEIN, wenn Sie zum Speichern der Än-
derungen aufgefordert werden.
17. Öffnen Sie im Ordner VERWALTUNG ACTIVE DIRECTORY-DOMÄNEN UND
-VERTRAUENSSTELLUNGEN.
18. Klicken Sie mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄNEN
UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü VERBIN-
DUNG MIT DOMÄNENCONTROLLER HERSTELLEN aus.
19. Klicken Sie auf die Schaltfläche DURCHSUCHEN und wählen Sie Ihre Domäne
aus. Wählen Sie aus der Serverliste den Server aus, auf den Sie die Schema-
masterrolle übertragen haben.
20. Klicken Sie erneut mit der rechten Maustaste auf ACTIVE DIRECTORY-DOMÄ-
NEN UND -VERTRAUENSSTELLUNGEN und wählen Sie im Kontextmenü BE-
TRIEBSMASTER aus.
21. Vergewissern Sie sich, dass die Servernamen im Dialogfeld ÄNDERN unter-
schiedlich sind. Falls nicht, gehen Sie zu Schritt 18 zurück und legen einen
anderen Server fest.
22. Klicken Sie auf ÄNDERN.
23. Schließen Sie ACTIVE DIRECTORY-DOMÄNEN UND -VERTRAUENSSTELLUN-
GEN.
1. Melden Sie sich am System an, welches die Sicherung speichern soll.
2. Erstellen Sie auf diesem System ein Verzeichnis namens Backup und geben
Sie das Verzeichnis frei.
Lernzielkontrolle 339
3. Melden Sie sich an dem System, welches Sie sichern werden, als Administra-
tor an.
4. Klicken Sie mit der rechten Maustaste auf NETZWERKUMGEBUNG und wählen
Sie im Kontextmenü NETZLAUFWERK VERBINDEN aus.
5. Wählen Sie als Laufwerk O: aus und geben Sie als Pfad \\ihr-anderer-ser-
ver\Backup ein.
6. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
7. Klicken Sie mit der rechten Maustaste auf Ihrer Domäne und wählen Sie im
Kontextmenü NEU/ORGANISATIONSEINHEIT aus. Geben Sie Testit und den
Namen ein, und klicken Sie auf OK.
8. Blenden Sie Ihre Domäne ein und klicken Sie mit der rechten Maustaste die
Organisationseinheit Testit an. Wählen Sie im Kontextmenü NEU/BENUTZER
aus. Verwenden Sie den Namen David Smith und den Anmeldenamen
Dsmith. Klicken Sie auf WEITER.
9. Klicken Sie im Kennwortbildschirm zur Übernahme der Standardwerte auf
WEITER, und klicken Sie dann auf FERTIG STELLEN.
10. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
11. Wählen Sie START/PROGRAMME/ZUBEHÖR/SYSTEMPROGRAMME/SICHERUNG
zum Start des Sicherungsprogramms aus.
12. Klicken Sie auf die Schaltfläche SICHERUNGS-ASSISTENT und dann zum Wei-
terschalten des Begrüßungsbildschirms auf WEITER.
13. Klicken Sie im Bildschirm ZU SICHERNDE DATEN auf NUR DIE SYSTEMSTA-
TUSDATEN SICHERN.
16. Klicken Sie nach der Beendigung der Sicherung auf SCHLIESSEN und been-
den Sie danach das Sicherungsprogramm.
5.3 Domänencontroller wiederherstellen
In dieser Übung werden Sie den in der vorherigen Übung gesicherten Domänencon-
troller wiederherstellen. Vor der Wiederherstellung des Domänencontrollers werden
Sie der Domäne einen Benutzer hinzufügen.
340 Kapitel 5 Server verwalten
14. Klicken Sie auf der Bildschirmseite FERTIGSTELLEN DES ASSISTENTEN zum
Start des Wiederherstellungsprozesses auf FERTIG STELLEN. Wenn das Pro-
gramm Sie zur Überprüfung des Namens der wiederherzustellenden Siche-
rung auffordert, überprüfen Sie dessen Richtigkeit und klicken auf OK.
15. Nach Beendigung der Wiederherstellung klicken Sie zum Schließen des Dia-
logfeldes auf OK und beenden das Sicherungsprogramm.
16. Starten Sie den Computer nach der Aufforderung jetzt nicht neu.
17. Starten Sie eine Eingabeaufforderung und geben Sie ntdsutil ein.
18. Geben Sie an der Eingabeaufforderung von NTDSUTIL authoritative res-
tore ein, und drücken Sie (Enter).
19. Geben Sie restore subtree und den vollständigen Namen der Organisations-
einheit ein, die Sie zuvor gelöscht haben. Wenn Ihre Domäne beispielsweise
ODIN.COM heißt, geben Sie nun dc=com,dc=odin,cn=Testit ein.
20. Ein Dialogfeld fragt Sie danach, ob Sie dieses Objekt tatsächlich wiederher-
stellen möchten. Klicken Sie auf JA.
21. Geben Sie nach Ende der Wiederherstellung quit zum Beenden des Wieder-
herstellungsmodus ein, und geben Sie ein weiteres Mal quit zum Beenden
von NTDSUTIL ein.
22. Starten Sie den Computer neu.
23. Melden Sie sich als Administrator an.
24. Öffnen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
25. Vergewissern Sie sich, dass die Organisationseinheit Testit wieder an Ort und
Stelle ist.
Wiederholungsfragen
1. Was ist die Rolle des Domänennamensmasters?
2. Was müssen Sie wiederherstellen, bevor Sie eine inkrementelle Sicherung
wiederherstellen?
3. Sie möchten wissen, wie viele Benutzer ein neuer Servertyp bearbeiten kann.
Welches Werkzeug verwenden Sie zu diesem Zweck?
4. Aus welchen zwei Komponenten besteht die SID eines Objektes in Active
Directory?
5. Welches Programm verwenden Sie zum Erfassen der Schemamasterrolle,
wenn diese fehlerhaft ist?
Lernzielkontrolle 343
6. Sie haben einen Server, der andere Server im Netzwerk nicht erkennen kann.
Mit welchem Werkzeug stellen Sie fest, welche Abfragen er sendet?
7. Sie mussten die Schemamasterrolle überschreiben. Welche Vorsichtsmaßnah-
me sollten Sie hinsichtlich des Servers ergreifen, der ausgewechselt wurde?
8. Wenn Sie Ihren Computer starten, erhalten Sie eine Meldung, die darauf hin-
weist, dass ein Dienst oder Gerät nicht gestartet werden konnte. Was müssen
Sie tun, um die Ursache des Problems zu finden?
9. Sie müssen eine Organisationseinheit wiederherstellen, die versehentlich ge-
löscht worden ist. Was müssen Sie tun?
10. Was müssen Sie erwägen, wenn Sie eine Rolle überschreiben müssen, und
den Server festlegen, auf dem Sie die Rolle platzieren möchten?
Prüfungsfragen
1. Jon versucht einen Computer zum ersten Domänencontroller in einer neuen
untergeordneten Domäne heraufzustufen. Alles läuft soweit gut. Als er den
Domänennamen eingeben will, hängt sich das System jedoch auf.
Er wiederholt die Aktion zwei weitere Male, nachdem er sichergestellt hat,
dass alle Einstellungen korrekt sind und die Berechtigungen stimmen. Was
sollte Jon tun?
A. Überprüfen, ob der Infrastrukturmaster offline ist.
B. Überprüfen, ob der DNS-Server beendet ist.
C. Überprüfen, ob der Domänennamensmaster offline ist.
D. Keine der genannten Möglichkeiten.
2. Franz fügt einer Domäne Benutzer hinzu. Nachdem er die ersten 117 Benut-
zer der Domäne hinzugefügt hat, kann er plötzlich keine weiteren Benutzer
mehr aufnehmen. Warum nicht?
A. Der PDC-Emulator steht nicht zur Verfügung.
B. Die Domäne, der er Benutzer hinzufügt, hat ein Maximum von 10.000 Be-
nutzern erreicht.
C. Der DNS-Server kann die neuen Benutzer nicht registrieren.
D. Der RID-Master ist offline.
3. Diane ist am Helpdesk und nimmt einen Benutzeranruf entgegen. Der Benut-
zer kann sein Netzwerkkennwort nicht ändern. Er arbeitet an einem alten
Windows-95-PC. Diane verifiziert den Benutzernamen und setzt das Kenn-
344 Kapitel 5 Server verwalten
wort für ihn zurück. Der Benutzer kann es immer noch nicht ändern. Was
sollte Diane als Nächstes überprüfen?
A. Sie sollte sicherstellen, dass der Benutzer einen DNS-Eintrag in seiner
TCP/IP-Konfiguration hat.
C. Das Schema kann nur geändert werden, bevor andere Server hinzugefügt
worden sind.
D. Dies muss interaktiv auf dem System gemacht werden, welches der Sche-
mamaster ist.
8. Bobby hat einen Sicherungszeitplan für die Server eingestellt und konfigu-
riert die Server gerade für die Ausführung der Sicherungen. Sie sollen eine
volle Sicherung am Sonntag um 1 Uhr nachts und differenzielle Sicherungen
am Montag, Dienstag, Mittwoch, Donnerstag und Freitagnacht um 1 Uhr aus-
führen.
Am Donnerstag um 2 Uhr nachts stürzt ein Server ab, den Bobby auf die oben
beschriebene Weise konfiguriert hat. Was muss er zur Wiederherstellung des
Servers tun?
A. Er muss die vollständige Sicherung und danach die differenzielle Siche-
rung vom Mittwoch einspielen.
12. Bobby hat einen Sicherungszeitplan für die Server eingestellt und konfigu-
riert die Server gerade für die Ausführung der Sicherungen. Sie sollen eine
volle Sicherung am Sonntag um 1 Uhr nachts und differenzielle Sicherungen
am Montag, Dienstag, Mittwoch, Donnerstag und Freitag nachts um 1 Uhr
ausführen.
Am Freitag um 10 Uhr vormittags stürzt ein Server, den Bobby auf die oben
beschriebene Weise konfiguriert hat, ab. Wie viele Daten sind verlorengegan-
gen?
A. Alles seit der letzten vollständigen Sicherung
B. Alles seit der inkrementellen Sicherung vom Dienstag
C. Alles seit der differenziellen Sicherung
D. DSAStat
14. Frank arbeitet an einem Konnektivitätsproblem und muss die Datenpakete im
Netzwerk untersuchen. Was sollte er tun?
A. Ereignisanzeige benutzen
B. Systemmonitor benutzen
C. Netzwerkmonitor benutzen
D. NETSTAT benutzen
15. Erika versucht eine Verbindung mit einer Ressource in der Domäne HR her-
zustellen. Sie befindet sich in der Domäne VERTRIEB und braucht die Res-
source, um ihre Überstunden geltend zu machen. Als sie das Helpdesk anruft,
verifiziert Mia, dass sie ein gültiger Benutzer ist und korrekt angemeldet ist.
Mia vergewissert sich außerdem, dass Erika die Berechtigungen besitzt. Mia
versucht sich nun mit Ressource von ihrer Domäne (Administration) her zu
verbinden, kann es aber auch nicht. Was sollte sie als Nächstes tun?
348 Kapitel 5 Server verwalten
3. C. In diesem Fall konnte sich der Benutzer anmelden. Die Antworten A und
B sind, obschon möglich, nicht wahrscheinlich. Weil dies eine Prüfung zu
Active Directory ist, können Sie davon ausgehen, dass es sich nicht um ein
Netzwerkproblem handelt, da die Sache gestern noch funktionierte. Da eine
Dateireplikation für die Anmeldung nicht erforderlich ist, scheidet die Ant-
wort D aus. Die Antwort D hätte richtig sein können, falls verbindliche Profi-
le erwähnt worden wären. Damit bleibt nur die Antwort C übrig, die auch
sinnvoll ist, weil es sich um Windows 95 handelt, das standardmäßig kein
Active Directory-Client ist. Der Client-Computer braucht zum Ändern von
Kennwörtern einen PDC. Siehe dazu den Abschnitt »Serverrollen«.
4. D. Bubba hat mit einer Reihe von Dingen zu tun, die im Buch noch nicht er-
örtert wurden und auch nicht erörtert werden. Sie sollten sich an dieser Stelle
nur darüber im Klaren sein, dass Bubba offenbar nicht genug zu tun hat und
aufhören sollte, an der Registrierung zu spielen! Sie sollten außerdem wissen,
dass Microsoft manchmal in eine Frage viele irrelevante Informationen unter-
bringt, von denen Sie sich nicht irritieren lassen dürfen. Die Antworten A und
C haben mit einer Stoppuhr zu tun und messen daher nur einen Aspekt der
Leistung, der einen Hinweis liefern könnte, aber weder genau noch aussage-
kräftig ist. Die Antwort B ist richtig, wenn Sie es mit der Frage zu tun haben,
was eigentlich in das Netzwerk gesendet wird. Jedoch sollten quantitative
Messungen im Netzwerk besser zusammen mit der Leistung des Speichers,
Datenträgerzugriffs und der CPU-Nutzung vorgenommen werden, was den
Einsatz des Leistungsprogramms empfiehlt. Siehe dazu den Abschnitt »Do-
mänencontroller überwachen«.
5. A, B. Die Antworten A und B betreffen einen Domänencontroller. Die Ant-
wort C beschreibt, wie Sie ein in Active Directory gelöschtes Objekt wieder-
herstellen können. Die Antwort D trifft nicht zu, weil die Antwort C falsch
ist. Wenn Sie auf derartige Fragen stoßen, müssen Sie verstehen, was sich der
Fragesteller dabei gedacht hat. Lesen Sie die Frage daher immer sorgfältig.
Siehe dazu den Abschnitt »Server sichern und wiederherstellen«.
6. A, D. Die Antwort B ist falsch, wenn Sie sie mit der Hardwarekompression
verwechseln. Die Antwort C ist falsch, weil Benutzern keine Sicherungs-
oder Wiederherstellungsaktionen erlaubt sind. Die Antworten A und D sind
beide richtig. Siehe dazu den Abschnitt »Server sichern und wiederherstel-
len«.
7. B. In diesem Fall können Sie voraussetzen, dass die Person, die alle vier Do-
mänencontroller installiert hat, auch das Administratorkennwort besitzt. Das
Schema kann jederzeit modifiziert werden, sodass die Antwort C falsch ist.
Die Antwort D sieht wegen der Bedeutung des Schemas zunächst richtig aus,
scheidet aber aus, weil dann keine Remoteverwaltung möglich wäre – nahezu
alles von Microsoft kann remote verwaltet werden. Damit bleibt nur die Ant-
wort B, die auch sinnvoll ist. Siehe dazu den Abschnitt »Serverrollen«.
Lernzielkontrolle 351
8. A. Wenn Sie Daten wiederherstellen, beginnen Sie immer mit der vollständi-
gen Sicherung, und fahren dann mit der Wiederherstellung aller inkrementel-
len Sicherungen fort (beim differenziellen Verfahren benötigen Sie nur eine
einzige Sicherung). Die Antworten C und D haben nichts mit einer vollstän-
digen Sicherung zu tun. Die Antwort B stellt Sicherungen wieder her, die gar
nicht wiederhergestellt werden müssen. Siehe dazu den Abschnitt »Server si-
chern und wiederherstellen«.
9. D. Wenn Sie einen Domänencontroller wiederherzustellen versuchen, müs-
sen Sie sich im Modus Verzeichnisdienstwiederherstellung befinden, damit
Sie auf das Verzeichnis SYSVOL zugreifen können. Der Laufwerkbezeichner
kann derselbe sein, muss aber nicht, weshalb die Antwort A falsch ist. Die
Frage stellt schon fest, dass das Laufwerk ein NTFS-Laufwerk ist; daher ist
die Antwort B falsch (so was kann Ihnen in der Prüfung auch passieren!).
Wenn Sie bei einer Prüfungsfrage einmal nicht genug Informationen haben,
was auch vorkommen kann, müssen Sie die Antwort einzuschätzen versu-
chen. Falls es eine offensichtliche Antwort geben sollte, sollten Sie diese
wählen und sich nicht von Inkonsistenzen irritieren lassen. Die Antwort C
war lange Jahre hindurch falsch – heute aber können Sie ein Laufwerk partiti-
onieren und formatieren, ohne den Computer neu zu starten. Siehe dazu den
Abschnitt »Server sichern und wiederherstellen«.
10. A, C. Diese Frage ist einfach – manchmal bekommen Sie eine solche gestellt.
NTDSUTIL kann die USN eines Objekts ändern, was über die maßgebende
Wiederherstellung erledigt wird. NTDSUTIL kann außerdem Betriebsmas-
terrollen ändern und überschreiben. Das Sicherungsprogramm arbeitet mit Si-
cherungen, weshalb die Antwort B falsch ist. Das Programm zum Ändern
von Berechtigungen heißt DSACLS (Directory Service Access Control Lists
Setting), wodurch Antwort D falsch wird. Siehe dazu den Abschnitt
»NTDSUTIL«.
11. B. Wenn sie keine Berechtigungen gehabt hätte, hätte sie sie nicht erstellen
können. Die Antwort A ist daher falsch. Die Benutzer wären immer noch in
der Gruppe, wenn sie die Benutzer über eine Vertrauensstellung hinzugefügt
hätte. Die Antwort C ist daher falsch. Das Erstellen von Objekten verursacht
unverzüglich eine Replikation. Wenn sie die Gruppe gesehen hat, der sie die
Benutzer hinzugefügt hat, war sie offensichtlich auch vorhanden; die Antwort
D ist daher falsch. Damit bleibt der Infrastrukturmaster, der für die Zuord-
nung der Benutzer zu Gruppen verantwortlich ist. Siehe dazu den Abschnitt
»Serverrollen«.
12. C. In diesem Fall gibt es keine inkrementelle Sicherung, sodass die Antwort
B ausscheidet. Die differenziellen Sicherungen sind verfügbar, sodass mit der
Antwort C die letzte Sicherung bezeichnet wird und daher der Punkt ist, ab
dem die Daten verloren sind. Wenn Sie alles bis zur letzten vollständigen Si-
352 Kapitel 5 Server verwalten
Lernziele
6
In diesem Kapitel werden Sie erfahren, wie Sie die Gruppenrichtlinie zu dem
Zweck einsetzen, Benutzer und Gruppen auf der Ebene eines Standorts, einer
Domäne und einer Organisationseinheit (OU) zu verwalten. Zunächst wird erklärt,
was Gruppenrichtlinien sind, wie sie funktionieren und was unter ihrem Bereich zu
verstehen ist; weiterhin, wo sie erstellt werden können, und wie ihre Anwendung
durchgesetzt wird. Anschließend folgt eine Erörterung darüber, wie Gruppenrichtli-
nienobjekte auf den verschiedenen Ebenen in Active Directory erstellt werden. Das
Durchsetzen der Gruppenrichtlinie und die Sicherheitseinstellungen der Richtlinien
sind die nächsten Themen. Organisationen und Untenehmen sind keine statischen
Gebilde, sondern im steten Wandel begriffen; Änderungen der geschäftlichen Ver-
fahrensweisen kommen häufig vor. Der Schwerpunkt des anschließenden Themas
wird sich daher mit der Verwaltung von Gruppenrichtlinien beschäftigen, worin das
Delegieren der administrativen Kontrolle und die Modifizierung der Gruppenrichtli-
nie, nachdem sie erstellt worden ist, eingeschlossen sind. Das Kapitel wird dann die
einzelnen Dinge erörtern, die durch Gruppenrichtlinien kontrolliert werden, wozu
Computer- und Benutzereinstellungen und deren Rangfolge gehören. Zum Schluss
folgen wieder eine Fallstudie und ein Abschnitt, in dem Sie das Erlernte testen und
praktisch anwenden können.
Im Kapitel sind einige der Themen und Unterthemen der Lerneinheit »Installieren,
Konfigurieren, Verwalten, Überwachen, Optimieren und Fehlerbehebung im Ände-
rungs- und Konfigurationsmanagement« enthalten. Die übrigen Themen werden in
den entsprechenden anderen Kapiteln behandelt.
6.1 Einführung
Eines der leistungsfähigsten Werkzeuge innerhalb von Windows 2000 Active
Directory ist der Einsatz der Gruppenrichtlinie, die eine zentrale Kontrolle der
Benutzer, Gruppen und Computer in einem großen Unternehmen bietet. Über die
Gruppenrichtlinie kann der Administrator eines sehr großen Netzwerks die Aktivi-
täten auf dem Desktop eines Benutzers auch dann kontrollieren, wenn der Benutzer
selbst viele Kilometer entfernt ist. Die Gruppenrichtlinie befähigt den Administra-
tor, Teile oder sogar alle administrativen Aufgaben an lokale administrative Res-
sourcen zu delegieren. Die Gruppenrichtlinie stellt vielleicht die bei weitem leis-
tungsfähigste einzelne Komponente von Windows 2000 dar, die gleichwohl bei
falscher Handhabung und Implementierung den meisten Kummer verursachen
kann.
Mit der Gruppenrichtlinie kann ein Administrator den Status der Arbeitsumgebung
eines Benutzers definieren und festlegen. Windows 2000 Active Directory sorgt
dann dafür, dass die damit verbundenen Einstellungen durchgesetzt werden, und
zwar unabhängig davon, welchen PC der Benutzer verwendet oder um welchen
Benutzer es sich handelt. Die Gruppenrichtlinie erlaubt dem Administrator die fol-
genden Funktionen:
HINWEIS
Gruppenrichtlinie unter Windows NT 3.51 oder 4.0
Die Gruppenrichtlinie kann die Durchsetzung der Einstellungen für Clients mit
Windows NT 3.51 oder 4.0 nicht erzwingen, da diese Betriebssysteme Active Di-
rectory nicht unterstützen. Für Clients mit Windows NT 3.51 oder niedriger müs-
sen Sie nach wie vor auf die in NT verfügbaren Systemrichtlinien zurückgreifen,
mit denen Benutzer- und Computereinstellungen innerhalb der NT-Domänen-
struktur durchgesetzt werden. Dasselbe gilt für Clients mit Windows 95 und 98.
Grundsätzlich gilt, dass kein Client Gruppenrichtlinien verwenden kann, der nicht
unter Windows 2000 läuft. Sie müssen an dieser Stelle Systemrichtlinien einset-
zen.
Die Gruppenrichtlinie ist eine Technik, die auf der Ebene des Standorts, der
Domäne und Organisationseinheit innerhalb von Active Directory angewendet wer-
den kann. Weil die Gruppenrichtlinie ein Active Directory-Objekt ist, kann man sie
dazu benutzen, die zuvor erwähnten Einstellungen auf jedem Windows-2000-Client
durchzusetzen. Dies sind Clients mit Windows 2000 Professional, Windows 2000
Server, Windows 2000 Advanced Server und Windows 2000 Data Center Server.
6.1.2 Gruppenrichtlinienkomponenten
Die Gruppenrichtlinie stellt ein Objekt innerhalb von Active Directory dar und wird
als Gruppenrichtlinienobjekt (GPO = Group Policy Object) bezeichnet. Die GPO
stellt viele Einstellungen zur Verfügung, mit denen Sie zahlreiche Aspekte der IT-
Umgebung kontrollieren können. Als Objekt in Active Directory kann es mit ver-
schiedenen Active Directory-Containern verknüpft werden (Standorte, Domänen
und OUs). Weil sich GPOs mit verschiedenen Containern verknüpfen lassen, eignen
sie sich auch zur Durchsetzung organisationsweit (Standorte und Domänen) oder
abteilungsweit (OU) geltender Regeln.
358 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
HINWEIS
Vorkonfigurierte GPOs
Wenn Sie Active Directory installieren und den ersten Domänencontroller in der
ersten Domäne der ersten Gesamtstruktur installieren, erstellt Windows 2000 Ac-
tive Directory automatisch zwei Gruppenrichtlinienobjekte: Default Domain Policy
und Default Domain Controllers Policy (standardmäßige Domänen- und Domä-
nencontrollerrichtlinie). Diese Standardrichtlinien werden an alle Domänencont-
roller verteilt, die in allen anderen Domänen in der Gesamtstruktur erstellt werden.
Voreinstellungen für die Werte in den GPOs der Benutzer und Computer in der
Domäne nehmen Sie in der Default Domain Policy vor. Wenn alle Domänencon-
troller in allen Domänen mit denselben Einstellungen starten sollen, modifizieren
Sie zu diesem Zweck die Default Domain Controllers Policy auf diesem ersten
Domänencontroller. Wie Sie später noch erfahren werden, können Domänenad-
ministratoren innerhalb der untergeordneten Domänen diese Einstellungen wie-
der ändern.
Abbildung 6.1
Der Gruppenrichtli-
nien-Container in
ACTIVE DIRECTORY-
BENUTZER UND
-COMPUTER
Der GPC (siehe Abbildung 6.1) ist ein Active Directory-Objekt, welches die GPO-
Attribute und Versionsinformationen enthält. Jedes GPO wird durch eine globale ID
(Globally Unique Identifier, GUID) dargestellt. Die GUID ist eine 128-Bit-Zahl, die
das GPO innerhalb der Gesamtstruktur, der Domänenstruktur und der Domäne ein-
deutig identifiziert. Die GUID kann vom Benutzer weder geändert noch entfernt
werden, und wird automatisch von Active Directory verwaltet. Auch die mit dem
GPO verknüpften Versionsinformationen werden innerhalb von Active Directory
überwacht. Sie werden mit dem GPC verknüpft und von den Domänencontrollern
6.1 Einführung 359
Die Gruppenrichtlinienvorlage (GPT) stellt einen Satz von Ordnern und Unterord-
nern in der SYSVOL-Freigabe auf Windows-2000-Domänencontrollern dar. Jede
erzeugte GPO ergibt eine neue Ordnerhierarchie, in der die vom GPO benötigten
physischen Dateien und Einstellungen enthalten sind. Hierzu gehören die administ-
rativen Vorlagen, die Sicherheitseinstellungen, Skripte, Softwareinstallationsvorga-
ben und die Ordnerumleitungsdirektiven. Clients mit Windows 2000 verbinden sich
mit dem freigegebenen SYSVOL-Ordner, um diese Einstellungen zu bekommen
und den Inhalt anzuwenden.
Jeder GPT-Ordner heißt so wie die GUID des GPOs, die gleichzeitig zur Identifizie-
rung im GPC verwendet wird. Die von Active Directory und der dazugehörigen
GPT-Struktur wie auch dem GPC verwendete eindeutige ID (die GIUD) ändert sich
auch dann nicht, wenn Sie ein GPO nach dem Erstellen umbenennen. Die Abbil-
dung 6.2 zeigt die Struktur einer Beispiel-GPT in der SYSVOL-Freigabe eines
Domänencontrollers.
Wie Sie also gesehen haben, kann die Gruppenrichtlinie dazu verwendet werden,
sowohl für Computer als auch Benutzer eine Reihe von Einstellungen durchzuset-
zen. Wie zuvor erwähnt, bestehen Gruppenrichtlinienobjekte aus zwei Komponen-
ten: GPC und GPT. Die Gruppenrichtlinie kann nur zum Durchsetzen von Compu-
ter- und benutzerbezogenen Einstellungen auf Windows-2000-Computern benutzt
werden – Einstellungen anderer Computer (Windows NT, Windows 9x) bedürfen
immer noch der Systemrichtlinie.
360 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.2
Die Ordnerhierar-
chie der Gruppen-
richtlinienvorlage in
der SYSVOL-Freiga-
be auf einem Win-
dows-2000-Domä-
nencontroller
6.2 Gruppenrichtlinienbereich
Die Gruppenrichtlinie verfügt über einen bestimmten Satz von Regeln, dem sie
folgt, wenn sie auf Benutzer und Computer angewendet wird. Einer dieser Regel-
sätze hat damit zu tun, was mit jedem Active Directory-Container passiert, in dem
eine Gruppenrichtlinie existiert (Vererbung), während andere Regeln die Frage
betreffen, wie die Einstellungen mehrerer GPOs kombiniert werden, um eine maxi-
male Wirkung in der Anwendung zu erzielen. Schließlich gibt es noch einen dritten
Regelsatz, der sich damit befasst, wie GPOs innerhalb desselben Active Directory-
Containers verarbeitet werden. Alle diese verschiedenen Bereiche werden im Fol-
genden besprochen.
Jedes GPO kann innerhalb von Active Directory mit einem oder mehreren Contai-
nern verknüpft werden, weil GPOs aus einem separaten Gruppenrichtlinien-Contai-
ner bestehen. Anders ausgedrückt: Sie können ein einzelnes Gruppenrichtlinienob-
jekt mit einer vordefinierten Sammlung von Einstellungen erzeugen, die immer
angewendet werden sollen (beispielsweise ein Hintergrundbild auf dem Desktop
mit dem Firmenlogo). Dieses GPO könnte dann selektiv mit den Organisationsein-
heiten Marketing und Vertrieb innerhalb der Unternehmensdomäne verknüpft wer-
den, während andere Organisationseinheiten wie beispielsweise FuE oder Support
solche verknüpften GPOs unter Umständen gar nicht haben. Auf diese Weise
gewährleisten die GPOs die Geltung bestimmter Einstellungen nur für bestimmte
Benutzer und Computer, während andere diese nie zu Gesicht bekommen. Der Vor-
teil dieser Verfahrensweise besteht darin, dass es nicht notwendig wird, mehrere
separate GPOs zu erstellen, um für verschiedene Teile Ihres Unternehmens diesel-
6.2 Gruppenrichtlinienbereich 361
ben Einstellungen durchzusetzen. Eine GPO kann für mehr als einen organisatori-
schen Teil in Active Directory verwendet werden.
Die Administratoren haben außerdem die Möglichkeit, mehr als eine GPO mit dem-
selben Active Directory-Container zu verknüpfen. Anstatt beispielsweise sowohl
die Einstellungen für den Benutzerdesktop und die Softwareinstallation in einer
GPO unterzubringen, kann der Administrator festlegen, für jede Einstellung ein
getrenntes GPO zu erzeugen. Auf diese Weise würden Änderungen am Desktop, die
über die GPO durchgeführt werden, nicht dazu führen, dass das GPO für die Soft-
wareinstallation unnötig repliziert wird. Die Administration wird dadurch erleich-
tert und beeinträchtigt die Systemleistung weniger. Die GPOs werden bei der
Anmeldung eines Benutzers oder beim Start eines Computers nur dann angewendet,
wenn sie für diesen Container konfiguriert worden sind.
6.2.1 Gruppenrichtlinienvererbung
Abbildung 6.3
Gruppenrichtlinien-
vererbung wäh-
rend der Verarbei-
SITE
tung
Domäne
Organisationseinheit
sehen werden, kann dies von einem Administrator einer höheren Ebene (Domäne
oder Organisation) wiederum überschrieben werden.
Die zuerst verarbeiteten GPOs sind diejenigen für das Active Directory an dem
Standort, an dem sich der Benutzercomputer befindet. Die Computer- und Benutzer-
einstellungen werden verarbeitet und auf die Registrierung angewendet. Da der
Standort einen physischen Ort repräsentiert und ein einzelner Standort mehr als eine
Domäne haben kann, ist es wichtig, mit der Gruppenrichtlinie zu beginnen, die
eventuelle nationale Besonderheiten oder andere regionale Anforderungen berück-
sichtigt. Diese Gruppenrichtlinie gilt für den Standort, an dem sich der Computer
und der Benutzer befinden.
Die nächsten verarbeiteten GPOs sind diejenigen für eine Domäne. Benutzer, Grup-
pen und Computer sind immer mit einer Domäne verknüpft. Domänenweite Richtli-
nien betreffen daher auch sämtliche Benutzer und werden hauptsächlich zu dem
Zweck verwendet, domänenweite Restriktionen oder allgemeine Geschäftsregeln
und Einstellungen durchzusetzen. In Unternehmen, die zur Differenzierung von ver-
schiedenen Geschäftsfeldern eine Domänenstruktur benutzen, stellt diese Verfah-
rensweise sicher, dass jedes Geschäftsfeld seine eigenen Regeln anwendet, ohne die
anderen Teile des Unternehmens zu beeinflussen. Wie bei der Anwendung von
GPOs auf Standorte werden auch die Computer- und Benutzereinstellungen, die
über die Richtlinie definiert sind, auf die Registrierung übertragen.
HINWEIS
Lokales Gruppenrichtlinienobjekt
Jeder Computer mit Windows 2000 verfügt auch über ein lokales GPO. So kön-
nen Einstellungen konfiguriert werden, die nur für diesen Computer gelten und
nicht an andere PCs mit Windows 2000 repliziert werden. Bei Verwendung von
Active Directory können diese Einstellungen durch Richtlinien überschrieben wer-
den, die auf der Ebene des Standorts, der Domäne oder Organisationseinheit de-
finiert worden sind. Diese Einstellungen gelten dann als die am wenigsten
einflussreichsten (d.h., sie haben die niedrigste Priorität). In einer Umgebung
ohne Active Directory wie beispielsweise einer Arbeitsgruppe ohne Windows-
2000-Domänencontroller sind GPOs dieser Art die einzigen, die angewendet wer-
den können – ihre Bedeutung ist daher entsprechend größer.
Zuletzt werden die GPOs für die Organisationseinheit verarbeitet, in der sich der
Benutzer oder Computer innerhalb von Active Directory befindet. Active Directory
ermöglicht es einer Domäne oder einem Organisations-Admin, die Benutzer und
Computer innerhalb einer Domäne weiter in administrative Einheiten namens OUs
zu unterteilen. Richtlinien dieser Art sollten daher nur für die kleinstmögliche
Anzahl an Objekten angewendet werden, und Sie sollten sicherstellen, dass darüber
hinaus sehr spezielle Regeln durchgesetzt werden. Nehmen Sie beispielsweise an,
6.2 Gruppenrichtlinienbereich 363
dass Sie innerhalb der Unternehmensstruktur eine Domäne Vertrieb haben, in der
Sie eine Organisationseinheit Telemarketing erstellen. Die Benutzer, die in dieser
OU untergebracht werden, brauchen restriktivere Desktopeinstellungen als die
anderen Vertriebsmitarbeiter in der Organisation. Sie erreichen dies, indem Sie eine
GPO mit der OU Telemarketing verknüpfen und die Gruppenrichtlinie mit dieser
Einstellung konfigurieren. Wie bei der Anwendung der GPOs auf Standorte und
Domänen werden auch die von der Richtlinie definierten Benutzer- und Computer-
einstellungen auf die Registrierung übertragen.
HINWEIS
Verarbeitung der Systemrichtlinie
In Umgebungen, in denen sich sowohl Clients mit Windows 2000 und Windows
9x oder NT 4.0 befinden, brauchen Sie unter Umständen immer noch System-
richtlinien zum Durchsetzen von Desktop- oder anderen Einstellungen. Bei der
Anmeldung eines Clients mit Windows 9x oder NT 4.0 am Netzwerk verarbeitet
dieser anstelle der Gruppenrichtlinie die Systemrichtlinie.
Falls sich Domänencontroller mit Windows NT 4.0 in der Domäne befinden, sen-
den diese den Benutzern bei der Anmeldung an der Domäne ebenfalls die Sys-
temrichtlinie. Je nach den Richtlinieneinstellungen kann dies die Konfiguration
eines Client-Computers ändern; sogar eines Clients mit Windows 2000. Es ist da-
her empfehlenswert, Domänencontroller so schnell wie möglich auf Windows
2000 zu aktualisieren.
Auf Windows 2000 aktualisierte Computer behalten nach der Aktualisierung die
Registrierungsänderungen bei, die von der Systemrichtlinie des Windows-NT-
Systems vorgenommen worden sind. Der Grund liegt darin, dass Änderungen
der Registrierung als Ergebnis einer Systemrichtlinie während der Aktualisierung
nicht zurückgesetzt werden.
6.2.2 Gruppenrichtlinienverarbeitung
Wie schon erwähnt, können GPOs mit einem Standort, einer Domäne oder Organi-
sationseinheit in Active Directory verknüpft werden. Es ist möglich, mehr als eine
GPO mit demselben Container zu verknüpfen, die alle zusammen in Abhängigkeit
von der Sicherheit und weiteren konfigurierten Einstellungen verarbeitet werden.
364 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Die tatsächlich von Windows 2000 ausgeführten Schritte bei der Verarbeitung einer
Gruppenrichtlinie sind recht simpel. Als Erstes muss ein Windows-2000-Computer
beim Start mit den Domänencontrollern in der Domäne kommunizieren, um DNS
und andere Einstellungen zu aktualisieren und um sicherzustellen, dass er vom
Domänencontroller bemerkt wird. Während dieser Prozedur werden die GPOs mit
den Computereinstellungen, die auf den Windows-2000-Computer angewendet
werden müssen, verarbeitet und auf die Registrierung übertragen. Zu diesem Zeit-
punkt werden außerdem die zuvor erstellten und dem Computer zugewiesenen
Startskripte verarbeitet, und gewährleisten damit, dass die Computereinstellungen
erwartungsgemäß angewendet werden.
Die Administratoren können den Inhalt von GPOs im Laufe der Zeit abändern. Da
einige dieser Einstellungen unter Umständen in sehr kurzer Zeit angewendet werden
müssen unterstützt Windows 2000 eine automatische Aktualisierung von Gruppen-
richtlinien im laufenden Betrieb und bei noch angemeldeten Benutzern. Dies
gewährleistet, dass Gruppenrichtlinien konsequent auf alle Benutzer und Computer
sogar dann angewendet werden, wenn sich ein Benutzer niemals abmeldet oder der
betreffende Computer niemals abgeschaltet wird. Auf diese Weise ist es möglich,
einen konsistenten Satz von Regeln aufzustellen, die überall im Unternehmen und
in jedem Teilbereich einer Organisation befolgt werden.
Die standardmäßig eingestellte Aktualisierungsrate für ein GPO kann innerhalb der
GPO-Vorlage verändert werden. Sie haben so die Möglichkeit, eine standardmäßige
Aktualisierungshäufigkeit, die Ihnen zu hoch erscheint, zu verringern oder umge-
kehrt auch zu erhöhen. Das Ändern der Aktualisierungshäufigkeit kann eine
gewisse Verzögerung zwischen der Änderung der GPO und der entsprechenden
Anwendung auf dem Client-Computer mit sich bringen (sofern anstelle des Aktuali-
sierungsintervalls von 90 ein höherer von beispielsweise 180 Minuten verwendet
wird). Das Ändern der Aktualisierungshäufigkeit kann Netzwerkprobleme verursa-
chen, wenn die Aktualisierung stark verkürzt wird, weil dann alle Clients viel häufi-
ger mit den Domänencontrollern kommunizieren müssen, um nach anstehenden
Aktualisierungen zu fragen.
HINWEIS
Aktualisierungsregeln
Eine der größten Veränderungen in Windows 2000 betrifft die Möglichkeit, Grup-
penrichtlinieneinstellungen über verschiedene Ebenen (Standort, Domäne oder OU)
in Active Directory zu vererben. Die automatische Neuanwendung von GPO-Ein-
stellungen auf alle Domänencontroller, Mitgliedsserver und Windows-2000-Clients
zur Gewährleistung aktueller Einstellungen stellt einen Schlüsselvorteil dar. Die
Kombination der Gruppenrichtlinienvererbung (die Reihenfolge, in der GPOs aus-
366 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
gewertet werden) mit ihrer Verarbeitung (wie GPOs innerhalb desselben Containers
und im Netzwerk verarbeitet werden) ist ein sehr wichtiger Punkt dieses Themas
und wird als Nächstes behandelt.
Beim Start eines Computers und bei der Anmeldung eines Benutzers stellt der
Domänencontroller fest, welche GPOs sowohl auf den Computer als auch den
Benutzer angewendet werden müssen. Der Domänencontroller verarbeitet nun als
Erstes die GPOs des Computers und anschließend diejenigen für den Benutzer. Er
reicht anschließend an den Client eine Liste der angewendeten GPOs weiter. Der
Client verbindet sich mit dem SYSVOL-Ordner auf dem Domänencontroller, lokali-
siert die Gruppenrichtlinienvorlage des ersten vom Domänencontroller gelieferten
GPO, und wendet die Gruppenrichtlinieneinstellungen an. Dieser Prozess wird für
alle GPOs wiederholt, die der Domänencontroller für den Client bereithält.
Der ganze Vorgang fährt dann mit den Regeln zur Gruppenrichtlinienvererbung
fort, die weiter oben erörtert worden sind (Standort, dann Domäne, und zum Schluss
OU). Falls auf dieser Stufe der Verarbeitung mehrfache GPOs auf den Computer
und/oder Benutzer auf derselben Ebene (Standort, Domäne oder OU) angewendet
werden müssen, werden sie von unten nach oben verarbeitet; und zwar in der Rei-
henfolge, in der sie im Gruppenrichtlinienbereich des Containers, mit dem sie ver-
knüpft sind, auftauchen. Im Beispiel der Abbildung 6.4 werden beide GPOs auf
denselben Benutzer bzw. Computer angewendet, wobei zuerst die Kennwortrichtli-
nie und anschließend die Default Domain Policy angewendet wird. Falls auch in der
Default Domain Policy Einstellungen zur Kennwortrichtlinie (siehe Abbildung 6.5
als Beispiel für Kennworteinstellungen) enthalten sind, erhalten die Einstellungen
in der Default Domain Policy den Vorrang.
6.2 Gruppenrichtlinienbereich 367
Abbildung 6.4
Mehrfache GPOs
können mit dem-
selben Active
Directory-Contai-
ner verknüpft wer-
den. Die Verarbei-
tung erfolgt von
unten nach oben
Abbildung 6.5
Kennwortrichtlinie
für Einstellungen
zur Komplexität und
Länge des Kenn-
worts
Das folgende Szenario soll als Beispiel dienen: Sie definieren eine Einstellung in
der Kennwortrichtlinie. Diese Richtlinie sieht vor, dass das Kennwort mindestens
aus sechs Zeichen bestehen und eine Kombination aus Großbuchstaben, Kleinbuch-
staben, Ziffern oder Symbolen darstellen soll. Die Default Domain Policy verfügt
368 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
ebenfalls über eine Kennwortrichtlinie, die besagt, dass das Kennwort aus acht Zei-
chen bestehen soll, aber keine Komplexität haben muss. Aus dieser Situation ergibt
sich als wirksame Richtlinie, dass ein Kennwort aus acht Zeichen (wie zuletzt in der
Default Domain Policy definiert) besteht und, wie in der Kennwortrichtlinie vorge-
sehen, die Komplexität durchgesetzt wird, weil diese Einstellung von der Default
Domain Policy nicht explizit behandelt bzw. nicht deaktiviert worden ist (siehe
Abbildung 6.6).
Abbildung 6.6
씰 Falls mehr als ein GPO mit demselben Active Directory-Container verknüpft
ist, werden die GPOs von unten nach oben entsprechend der Liste Gruppen-
richtlinie des Containers verarbeitet.
씰 Falls eine Einstellung sowohl für einen Benutzer als auch einen Computer auf
derselben GPO-Ebene definiert worden ist, wird die Computereinstellung im-
mer dann angewendet, wenn sie mit einer Benutzereinstellung im Konflikt
steht. Mit anderen Worten: Auf derselben GPO-Ebene besitzt die Computer-
einstellung gegenüber der Benutzereinstellung den Vorrang.
Abbildung 6.7
Die Programm-
gruppe VERWAL-
TUNG in Windows
2000
2. Da Sie eine Gruppenrichtlinie für die Domäne erstellen, wählen Sie als
Nächstes ACTIVE DIRECTORY-BENUTZER UND -COMPUTER aus. Jetzt wird die
Microsoft Management Console (MMC) gestartet (siehe Abbildung 6.8).
Abbildung 6.8
3. Zum Erstellen der Gruppenrichtlinie klicken Sie mit der rechten Maustaste
auf dem Active Directory-Container, in dem Sie die Richtlinie erstellen
möchten. In Windows 2000 Active Directory-Benutzer und -Computer haben
Sie die Berechtigung, ein GPO entweder im Container des Domänencontrol-
lers oder in der Domäne selbst zu erstellen. Zum Erstellen einer domänenweit
geltenden Richtlinie klicken Sie mit der rechten Maustaste auf dem Domä-
nennamen und wählen im Kontextmenü EIGENSCHAFTEN aus (siehe Abbil-
dung 6.9)
Abbildung 6.9
Das Dialogfeld
EIGENSCHAFTEN für
die Domäne in Acti-
ve Directory-Benut-
zer und -Computer
HINWEIS
Gruppenrichtlinien und Standard-Container
Es ist nicht möglich, eine Gruppenrichtlinie mit den standardmäßigen Active Di-
rectory-Containern Users, Computers, Builtin und Foreign Security Principals zu
verknüpfen. Der Grund liegt darin, dass das Standard-Domänen-GPO, welches
während der Installation von Windows 2000 erstellt wird, bereits mit dem Inhalt
dieser Container in Verbindung steht. Das Erstellen eines GPO in diesen Contai-
nern wäre also redundant, da diese mit allen GPOs, die in der Domäne erstellt
werden, bzw. mit GPOs, die mit Domänencontrollern verknüpft sind, zu tun ha-
ben.
372 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
4. Das Dialogfeld in der Abbildung 6.9 zeigt alle Container in Active Directory
an, mit denen GPOs verknüpft werden können. Durch die Auswahl der
Registerkarte GRUPPENRICHTLINIE in diesem Dialogfeld erscheint der Bild-
schirm in der Abbildung 6.10, der die aktuell mit dem Container verknüpften
GPOs anzeigt. Falls mehr als ein GPO mit dem Container verknüpft ist, ver-
läuft die Anwendungsreihenfolge von unten nach oben. In dieser Register-
karte stehen Ihnen verschiedene Schaltflächen zum Erstellen und Verwalten
von Gruppenrichtlinien zur Verfügung, deren Funktionen jetzt beschrieben
werden:
Abbildung 6.10
Die Registerkarte
GRUPPENRICHTLINIE
eines Active Direc-
tory-Containers, der
ein mit ihm ver-
knüpftes GPO
besitzt
Schaltfläche Funktion
NEU Erstellt ein neues GPO auf der Ebene dieses Containers und fügt
es unten in die Liste der GPOs dieses Containers ein. Die GPO
wird dann automatisch mit diesem Container verknüpft und nach
dem Erstellen auf die normalen Benutzer angewendet.
HINZUFÜGEN Damit verknüpfen Sie ein in einem anderen Active Directory-
Container erstelltes GPO mit diesem Container und fügen es
unten in die Liste der GPOs für diesen Container ein. Das
verknüpfte GPO wird ebenfalls nach der Verknüpfung automa-
tisch auf normale Benutzer angewendet.
6.3 Gruppenrichtlinien erstellen und verwalten 373
Schaltfläche Funktion
BEARBEITEN Hiermit können Sie die Attribute des GPO bearbeiten und Richtli-
nieneinstellungen aktivieren oder deaktivieren. Nach der Bearbei-
tung des GPO werden die Änderungen unter Verwendung der
zuvor umrissenen normalen Aktualisierungsrate auf alle Benutzer
und Computer angewendet, die von der Richtlinie betroffen sind.
OPTIONEN Ermöglicht Ihnen die Einstellung von Optionen für das GPO.
Hierin eingeschlossen ist, ob das GPO aktiviert oder deaktiviert
ist, und ob seine Einstellungen auf niedrigeren Ebenen der Verer-
bungshierarchie deaktiviert werden sollen.
LÖSCHEN Hiermit können Sie die Verknüpfung zum GPO in diesem
Container und optional die mit dem GPO verknüpfte GPT
löschen. Durch das Löschen der GPT wird das GPO vollständig
gelöscht und kann nicht mehr mit anderen Containern verknüpft
werden. Wird dagegen nur die Verknüpfung für das GPO
gelöscht, bleiben die GPT und die Verknüpfungsmöglichkeit mit
anderen Containern bestehen.
EIGENSCHAFTEN Zeigt ein Dialogfeld an, in dem Sie die Sicherheit des GPO konfi-
gurieren, Teile des GPO, die nicht verwendet werden, deakti-
vieren und nach allen Containern suchen können, mit denen das
GPO verknüpft ist. Diese letzte Option bietet ein Verfahren an,
mit dem sichergestellt wird, dass ein gelöschtes GPO keine Prob-
leme mehr in anderen Unternehmensbereichen verursacht.
Eine weitere Option, die der Administrator einstellen kann, betrifft die Deak-
tivierung der Richtlinienvererbung; ein Thema, welches weiter unten im Ab-
schnitt »Gruppenrichtliniensicherheit« näher besprochen werden wird.
Mit den restlichen Schaltflächen können Sie die richtige Reihenfolge in der
Anwendung der Gruppenrichtlinie innerhalb des Containers einstellen, sofern
dieser mit mehr als einem GPO verknüpft ist. Wie weiter oben erläutert, wer-
den GPOs innerhalb desselben Containers von unten nach oben in der Rei-
henfolge, in der sie im Dialogfeld angezeigt werden, angewendet. Mit den
Schaltflächen NACH OBEN und NACH UNTEN können Sie festlegen, welches
GPO als Erstes (das am weitesten unten stehende) und als Letztes angewen-
det wird, wodurch unter Umständen andere GPO-Einstellungen überschrie-
ben werden.
374 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.11
Neues GPO
erstellen
Abbildung 6.12
Das Dialogfeld
zeigt vorhandene
GPO-Verknüpfun-
gen an
5. Zum Erstellen eines neuen GPO, welches automatisch mit diesem Container
verknüpft wird, klicken Sie auf die Schaltfläche NEU. Dadurch wird eine
GPO ans Ende der Liste angefügt, der Sie sofort einen Namen geben können
(siehe Abbildung 6.11).
6.3 Gruppenrichtlinien erstellen und verwalten 375
Abbildung 6.13
Abbildung 6.14
Die Gruppenrichtli-
nieneinstellungen
können über MMC
bearbeitet werden.
MMC wird durch
Klicken auf die
Schaltfläche Bear-
beiten automatisch
gestartet
Abbildung 6.15
8. Durch Anklicken der Schaltfläche OPTIONEN erhalten Sie ein Dialogfeld mit
Kontrollkästchen (siehe Abbildung 6.15).
Das Kontrollkästchen DEAKTIVIERT besagt genau das: Das GPO wird auf die-
ser Ebene deaktiviert. GPOs können immer aktiviert bzw. deaktiviert werden
– wenn Sie nicht möchten, dass eine bestimmte GPO auf den Container ange-
6.3 Gruppenrichtlinien erstellen und verwalten 377
wendet wird, deaktivieren Sie es mit dieser Option. Sie ist auch in Fällen
nützlich, wenn Sie gerade die Einstellungen einer Richtlinie konfigurieren
und nicht wünschen, dass sie vor ihrem Abschluss und vor Beseitigung aller
Fehler angewendet wird.
Abbildung 6.16
Die Schaltfläche
LÖSCHEN zeigt ein
Dialogfeld an, in
dem Sie entweder
die Verknüpfung
eines GPO oder
das GPO selbst
löschen können
Abbildung 6.17
9. Die Schaltfläche LÖSCHEN zeigt Ihnen das Dialogfeld in der Abbildung 6.16
an. Sie haben damit die Möglichkeit, eine Verknüpfung des aktuellen Active
Directory-Containers für das GPO zu löschen, oder das GPO permanent aus
Active Directory zu löschen. Zum Löschen der Verknüpfung müssen Sie die
Administratorrechte für den Container besitzen. Zum permanenten Löschen
der GPO müssen Sie die Administratorrechte für den Container besitzen, in
dem das GPO ursprünglich erstellt worden ist.
378 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
10. Beim Anklicken der Schaltfläche EIGENSCHAFTEN erhalten Sie das Dialog-
feld in der Abbildung 6.17. Die Registerkarte ALLGEMEIN zeigt die GUID des
GPO in Active Directory an. Außerdem werden das Erstelldatum/Zeit des
GPO sowie die letzten Änderungszeiten und Revisionen angezeigt, die an den
Computer- und Benutzereinstellungen vorgenommen worden sind. Sie haben
weiterhin die Gelegenheit, den Computer- und Benutzerteil des GPO zu akti-
vieren bzw. zu deaktivieren. Durch das Deaktivieren des einen oder anderen
Teils des GPO werden die Downloadzeiten schneller, da nicht alle Teile der
GPT mehr downgeloaded und auf den Client angewendet werden müssen.
Abbildung 6.18
HINWEIS
Konfigurationseinstellungen des Computers deaktivieren und Benut-
zerdefinierte Konfigurationseinstellungen deaktivieren
Wie die letzte Schritt-für-Schritt-Anleitung gezeigt hat, ist das Erstellen eines GPO
kein Problem. Auch die Verwaltung des GPO ist einfach vorzunehmen. Der wirk-
lich schwierige Teil besteht in der Festlegung, welche Einstellungen innerhalb des
GPO gelten, und welche Benutzer und Computer von der Richtlinie betroffen sein
sollen. Dies sind Themen, die später im Zusammenhang mit den administrativen
Vorlagen und in den Kapiteln 7 (»Softwarebereitstellung mittels Gruppenrichtli-
nien«) und 8 (»Sicherheitsmanagement mittels Gruppenrichtlinien«) näher erläutert
werden.
6.4 Gruppenrichtliniensicherheit
Implementieren und Fehlerbehebung der Gruppenrichtlinie
씰 Gruppenrichtlinieneinstellungen durch die Verknüpfung von Sicherheits-
gruppen mit GPOs filtern
씰 Administrative Kontrolle über Gruppenrichtlinien delegieren
Eine der besten Eigenschaften der Gruppenrichtlinie in Windows 2000 ist die Mög-
lichkeit, die Benutzer und Computer festlegen zu können, auf die ein GPO ange-
wendet werden soll, sowie auch die Benutzer, die die Richtlinie verwalten dürfen,
bestimmen zu können. Der Administrator hat die Gelegenheit, über die Vergabe von
Berechtigungen und Sicherheitseinstellungen sehr genau festlegen zu können, wie
380 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
der Zugriff auf und die Anwendung eines GPO erfolgen soll. Schon diese eine
Eigenschaft der Gruppenrichtlinie stellt gegenüber der Systemrichtlinie in
Windows NT 4.0, die vor Windows 2000 Verwendung fand, eine enorme Verbesse-
rung dar.
Beim Einstellen von Berechtigungen für eine Gruppenrichtlinie kann der Administ-
rator zwei Dinge definieren:
씰 Welche Benutzer die Erlaubnis haben, Änderungen an der Richtlinie und ih-
rer Vererbung vorzunehmen
HINWEIS
GPO-Sicherheit ändern
Klicken Sie nicht zweimal auf den GPO-Namen, weil Sie dann in den Bearbei-
tungsmodus für das GPO gelangen. Zum Ändern der GPO-Sicherheit müssen
Sie das GPO durch Anklicken ihres Namens markieren und dann über die Schalt-
fläche EIGENSCHAFTEN anzeigen, dass Sie die GPO-Eigenschaften ändern möch-
ten.
Abbildung 6.19
Die Registerkarte
SICHERHEITSEINSTEL-
LUNGEN des Dialog-
feldes für die
Eigenschaften von
Default Domain
Policy
Berechtigung Bedeutung
Uneingeschränkter Zugriff Der Benutzer bzw. die Gruppe darf sämtliche Funk-
tionen für dieses GPO ausführen. Hierzu gehören das
Ändern der GPO-Einstellungen, das Hinzufügen oder
Ändern der Berechtigungen für das GPO, der
Erstellen und Löschen von untergeordneten Objekten
sowie das Löschen des GPO selbst.
Lesen Der Benutzer, die Gruppe oder der Computer darf das
GPO lesen. Falls zusammen mit der Berechtigung
zum Lesen der GPO auch die Berechtigung Über-
nehmen zugewiesen wird, kann der Benutzer oder der
Computer auch die angewendeten Einstellungen
lesen. Obwohl für die Anwendung eines GPO die
Lesen-Berechtigung vorausgesetzt wird, kann diese
Berechtigung auch separat zugewiesen werden, um
dem Benutzer das Lesen des Inhalts eines GPO zu
ermöglichen. Beispielsweise muss der Administrator
zum Ändern der GPO-Einstellungen immer das GPO
selbst lesen können; auch dann, wenn es nicht auf ihn
angewendet wird.
6.4 Gruppenrichtliniensicherheit 383
Berechtigung Bedeutung
HINWEIS
Berechtigungen verweigern
Die Möglichkeit, eine bestimmte Berechtigung explizit verweigern zu können, ist
eine neue Funktion in Windows 2000. Diese Funktion sollte, wenn überhaupt, nur
nach reiflicher Überlegung angewendet werden. Wenn Sie explizit eine Berechti-
gung verweigern (indem Sie das Kontrollkästchen in der Spalte VERWEIGERN akti-
vieren), legen Sie fest, dass die Berechtigung völlig unabhängig davon verweigert
wird, welche Berechtigungen über die Mitgliedschaft des Benutzers oder der
Gruppe in anderen Gruppen darüber hinaus noch bestehen. Dies kann gefährli-
che Konsequenzen haben. Es kann nämlich schwierig werden zu entscheiden,
auf welcher Ebene ein Problem bei der Anwendung einer GPO tatsächlich be-
steht. Anstatt einer expliziten Verweigerung einer Berechtigung ist es empfehlens-
werter, einfach das Kontrollkästchen ZULASSEN der Berechtigung, die Sie dem
Benutzer oder der Gruppe nicht geben möchten, zu deaktivieren. Die Berechti-
gung wird damit dem Benutzer bzw. der Gruppe entzogen und überlässt es den
bestehenden Gruppenmitgliedschaften, die tatsächlichen Berechtigungen festzu-
legen.
384 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
HINWEIS
Administratoren und Gruppenrichtlinien
Jedes GPO, das Sie erstellen, verfügt über einen standardmäßigen Satz von
Berechtigungen, die auf die verschiedenen in Active Directory vorhandenen
Gruppen angewendet werden. Bei diesen Gruppen handelt es sich um die fol-
genden:
Authentifizierte Benutzer Lesen und Übernehmen. Die GPO wird auf jeden
Benutzer, dessen Benutzerkonto vom Container
betroffen ist (Standort, Domäne oder Organisations-
einheit), angewendet. Die Lesen-Berechtigung macht
dies möglich. Um das GPO anwenden zu können,
müssen Sie es lesen können.
Ersteller-Besitzer Alle Kontrollkästchen sind deaktiviert. Dies bedeutet,
dass keinerlei Berechtigungen explizit gewährt oder
verweigert werden. Die Berechtigungen werden im
Gegenteil über anderenorts zugelassene Berechti-
gungen vererbt.
Domänen-Admins Lesen, Schreiben, Alle untergeordneten Objekte
erstellen und Alle untergeordneten Objekte löschen.
Mitgliedern von Domänen-Admins sind alle notwen-
digen Änderungen an GPOs wie auch das Lesen der
Inhalte erlaubt. Die GPOs werden jedoch auf sie bei
der Anmeldung nicht angewendet.
Organisations-Admins Wie bei den Domänen-Admins. Die Organisations-
Admins stellen eine globale Gruppe in Domänen des
gemischten Modus und eine universelle Gruppe in
Domänen mit einheitlichem Modus dar.
6.4 Gruppenrichtliniensicherheit 385
6. Zum Hinzufügen einer Berechtigung für einen Benutzer oder eine Sicher-
heitsgruppe klicken Sie auf die Schaltfläche HINZUFÜGEN. Es wird dann ein
Dialogfeld (siehe Abbildung 6.20) angezeigt, in dem alle Benutzer, Gruppen
und Computer der Containerebene, auf der Sie sich aktuell befinden
(Domäne), aufgelistet sind.
Durch Anklicken des Pfeils im Listenfeld SUCHEN wird die Active Directory-
Domänenstruktur angezeigt. Sie haben dann die Möglichkeit, die Benutzer,
Gruppen und Computer auszuwählen, auf welche Sie die Richtlinie anwenden
möchten. Außerdem können Sie den gesamten Inhalt des Verzeichnisses
durchsuchen (siehe Abbildung 6.21). Auf diese Weise können Sie den Bereich
der Objekte, auf die Sie die GPO-Berechtigungen anwenden möchten, und de-
ren Zahl unter Umständen in die Hunderte oder Tausende geht, einengen.
Abbildung 6.20
Das Dialogfeld
BENUTZER, COMPU-
TER ODER GRUPPEN
AUSWÄHLEN für die
Gruppenrichtlinien-
berechtigungen
386 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.21
HINWEIS
Gruppen sind besser
Wenn Sie vor der Frage stehen, ob Sie Berechtigungen für GPOs auf Benutzer
oder Gruppen anwenden sollen, denken Sie daran, dass die Anwendung von Be-
rechtigungen auf Gruppen empfehlenswerter ist. Der Grund liegt darin, dass es
sehr einfach ist, Benutzer und Computer in Gruppen aufzunehmen und wieder
von dort zu entfernen. In Windows 2000 können auch Computer Mitglieder von
Gruppen sein. Die Berechtigungen, die der Gruppe gewährt worden sind, können
automatisch auf alle Mitglieder der Gruppe angewendet werden. Die individuelle
Zuweisung von Berechtigungen an Benutzer oder Computer in der GPO erfordert
mehr Aufwand und ist fehleranfälliger.
7. Zum Hinzufügen eines Benutzers suchen Sie nur seinen Namen in der Liste
und klicken dann auf die Schaltfläche HINZUFÜGEN. Zum Hinzufügen weite-
rer Benutzer markieren Sie einen weiteren Namen und klicken wieder auf
HINZUFÜGEN. Mehrere Benutzer fügen Sie hinzu, indem Sie (Strg) gedrückt
halten und die Benutzer, Gruppen oder Computer markieren, denen Sie
Berechtigungen zuweisen möchten. Anschließend klicken Sie wieder auf
HINZUFÜGEN. Wie die Abbildung 6.22 zeigt, enthält dabei der untere Bereich
des Dialogfensters die von Ihnen ausgewählten Objekte. Sie haben auch die
6.4 Gruppenrichtliniensicherheit 387
Abbildung 6.22
Auswählen von
Benutzern, Grup-
pen und Compu-
tern, um ihnen
Berechtigungen
zuzuweisen
8. Nachdem Sie die Liste der Active Directory-Objekte, denen Sie Berechtigun-
gen zuweisen möchten, gespeichert haben, kehren Sie zur Registerkarte
SICHERHEITSEINSTELLUNGEN für GPO-Eigenschaften zurück. Die jedem
Objekt zugewiesene Standardberechtigung lautet LESEN (siehe Abbildung
6.23), was bedeutet, dass diese Benutzer, Gruppen und Computer das GPO
lesen können. Die Berechtigung kann ihnen außerdem aufgrund ihrer Mit-
gliedschaft in der Gruppe Authentifizierte Mitglieder, die über die Berechti-
gungen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN verfügt, über vererbte
Berechtigungen zukommen.
Abbildung 6.23
Die standardmäßi-
ge Berechtigung
für neue Objekte ist
LESEN
Als Administrator können Sie das Recht zum Ändern und Aktualisieren von GPO-
Einstellungen, die erstellt worden sind, an andere Benutzer vergeben, die nicht über
direkte administrative Privilegien für den Container verfügen, mit dem das GPO
verknüpft ist. Damit bekommen Sie einen Benutzer, der Änderungen am GPO vor-
nehmen kann, aber nicht den sonstigen Inhalt des Containers verändern kann. Der
Benutzer kann also weder untergeordnete Objekte in dem Container erstellen noch
entfernen. Auf diese Weise kann eine Organisation individuelle Verantwortliche für
die Konfiguration von GPOs einsetzen, die nicht zwangsläufig auch Einfluss auf die
Active Directory-Struktur haben.
Ein Benutzer, dem administrative Kontrolle über ein GPO gewährt worden ist, kann
Änderungen an den GPO-Einstellungen vornehmen, aber keine neuen GPOs im sel-
ben Container erstellen. Falls ein Benutzer Administratorprivilegien für einen Con-
tainer hat, mit dem das GPO verknüpft ist, hat dieser Benutzer gleichzeitig die
Administratorprivilegien für das GPO. Das Zulassen von Administratorprivilegien
für ein GPO ist insbesondere dann nützlich, wenn ein Benutzer für den Test von
GPO-Einstellungen verantwortlich ist, bevor diese im ganzen Unternehmen einge-
setzt werden, oder wenn er für die Veröffentlichung und Pflege von über GPOs ver-
teilte Softwareanwendungen verantwortlich ist, oder wenn das Personal des Help-
desk Änderungen an GPO-Einstellungen vornehmen muss, um Probleme zu lösen.
6.4 Gruppenrichtliniensicherheit 389
HINWEIS
Berechtigungen für eine Gruppenrichtlinie
Führen Sie die folgenden Schritte aus, um einem Benutzer die Berechtigung zum
Verwalten einer Gruppenrichtlinie zuzuweisen.
5. Klicken Sie zum Anzeigen der vorhandenen Berechtigungen auf die Regis-
terkarte SICHERHEITSEINSTELLUNGEN.
6. Klicken Sie zum Anzeigen einer Liste mit Benutzern, Gruppen und Compu-
tern, unter denen Sie eine Auswahl treffen können, auf die Schaltfläche HIN-
ZUFÜGEN.
7. Klicken Sie den Benutzer oder die Gruppe an, der das GPO verwalten soll,
und klicken Sie dann auf HINZUFÜGEN.
8. Klicken Sie auf OK, wenn Sie alle Benutzer und Gruppen festgelegt haben,
die die Richtlinie verwalten sollen. Sie kehren daraufhin zur Registerkarte
SICHERHEITSEINSTELLUNGEN im Dialogfeld mit den Eigenschaften der Grup-
penrichtlinie zurück.
9. Klicken Sie den Namen des Benutzers bzw. der Gruppe an, den Sie zur Liste
der Berechtigungen für dieses GPO hinzufügen möchten, und aktivieren Sie
die Kontrollkästchen LESEN und SCHREIBEN in der Spalte ZULASSEN.
10. Klicken Sie, wenn Sie fertig sind, zum Speichern Ihrer Änderungen auf
ÜBERNEHMEN und OK. Das Dialogfeld mit den Eigenschaften der Gruppen-
richtlinie wird geschlossen.
In den meisten Fällen werden Sie hinsichtlich der Zuweisung von Berechtigungen
für Anwendung und Bearbeitung des GPO Gebrauch von den zuvor erwähnten
kombinierten Berechtigungen machen. Mit diesen können Sie nicht nur einstellen,
auf welche Benutzer, Computer oder Gruppen die Richtlinie angewendet werden
soll, sondern auch, wer die Kontrolle über die Bearbeitung der Richtlinie hat. Falls
Sie detailliertere Berechtigungen benötigen, greifen Sie auf die erweiterten Berech-
tigungen zurück.
Erweiterte Gruppenrichtlinienberechtigungen
Windows 2000 Active Directory stellt eine außerordentliche Vielfalt an Berechti-
gungen zur Verfügung, die Sie einem Benutzer, einer Gruppe oder Computer
gewähren oder verweigern können. Um den Vorgang der Zuweisung zu vereinfa-
chen, werden sie normalerweise zwar nicht angezeigt, können jedoch jederzeit
sichtbar gemacht werden.
Wenn Sie im Dialogfeld der Eigenschaften zur Gruppenrichtlinie auf die Schaltflä-
che ERWEITERT klicken, erhalten Sie das Dialogfeld in der Abbildung 6.24. In die-
sem können Sie die aktuellen Berechtigungen anzeigen und bearbeiten, die Überwa-
chung anzeigen und bearbeiten, sowie den Besitzer des GPO, mit dem Sie gerade zu
tun haben, anzeigen und ändern.
6.4 Gruppenrichtliniensicherheit 391
Abbildung 6.24
Das Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN für die
Gruppenrichtlinie
wird durch Ankli-
cken der Schaltflä-
che ERWEITERT in
der Registerkarte
SICHERHEITSEINSTEL-
LUNGEN ZUR GRUP-
PENRICHTLINIE ange-
zeigt
Abbildung 6.25
Diese detaillierte
Übersicht über die
Berechtigungen im
Dialogfeld Berech-
tigungseintrag
erscheint, wenn Sie
ANZEIGEN/BEARBEI-
TEN im Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN anklicken
392 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Auf jeder Registerkarte werden Sie außerdem noch einige andere Einträge bemer-
ken. Als Erstes gehört dazu das Feld NAME, welches Ihnen den Benutzer, die
Gruppe oder den Computer angibt, auf den diese Berechtigungen angewendet wer-
den. Dadurch stellen Sie fest, für wen oder was die aktuellen Einstellungen gelten.
Über die Schaltfläche ÄNDERN neben dem Feld NAME können Sie angeben, für wen
diese Berechtigungen gültig sein sollen. Mit anderen Worten: Damit weisen Sie die-
sen Satz von Berechtigungen einem anderen Benutzer, einer anderen Gruppe oder
einem anderen Computer zu.
Im Listenfeld ÜBERNEHMEN FÜR legen Sie fest, auf welcher Ebene diese Berechti-
gungen angewendet werden sollen: nur dieses Objekt, dieses und alle untergeordne-
ten Objekte, nur untergeordnete Objekte, nur Computer, nur Gruppen, Standorte
oder Benutzer. Einen Teil dieser Liste zeigt die Abbildung 6.27, die Ihnen die große
Flexibilität der Berechtigungszuweisung in Windows 2000 demonstriert.
6.4 Gruppenrichtliniensicherheit 393
Abbildung 6.26
Berechtigungen,
die auf die Eigen-
schaften des GPO
angewendet wer-
den können, wer-
den in der Register-
karte
EIGENSCHAFTEN des
Dialogfeldes
BERECHTIGUNGSEIN-
TRAG angezeigt
Hauptsächlich zeigt dieses Dialogfeld die Berechtigungen, die Sie zuweisen kön-
nen, sowie deren Typ (ob für das jeweilige Objekt zugelassen oder verweigert).
Durch Aktivieren und Deaktivieren legen Sie die gewünschte Kombination von
Berechtigungen fest.
Unten im Dialogfeld stehen noch einige weitere Optionen zur Verfügung: Mit der
Schaltfläche ALLES LÖSCHEN entfernen Sie die angezeigten Berechtigungen alle auf
einmal, anstatt sie einzeln löschen zu müssen. So haben Sie die Gelegenheit, ganz
neu aufzusetzen und nur die Berechtigungen in die Liste zu übernehmen, die Sie
wirklich brauchen. Am besten notieren Sie sich vor dem Löschen die zuvor zuge-
wiesenen Berechtigungen, falls Sie den früheren Zustand später einmal wiederher-
stellen müssen.
394 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.27
Berechtigungen
können auf zahlrei-
chen Ebenen und
auf viele Typen von
Objekten angewen-
det werden
HINWEIS
Erweiterte Berechtigungen zuweisen
Berechtigungen sollten auf dieser Ebene besser nicht zugewiesen werden, weil
es im Fehlerfall sehr schwierig werden kann, die konkrete Anwendungsweise ei-
nes GPO zu debuggen. Die auf der Registerkarte SICHERHEITSEINSTELLUNGEN des
Dialogfeldes zu den Eigenschaften des GPO zur Verfügung stehenden Berechti-
gungen sollten in den meisten Fällen ausreichen, um die korrekte Ausführung der
Gruppenrichtlinie zu gewährleisten. Erweiterte Berechtigungen können bei der
Anwendung einer Gruppenrichtlinie zu fehlerhaften Funktionen führen und sollten
daher nur nach sehr sorgfältiger Planung vergeben werden.
Durch die Verwendung von Berechtigungen kann der Administrator nicht nur kon-
trollieren, auf wen die Richtlinie angewendet wird, sondern auch, wer das Recht
zum Erstellen oder Bearbeiten der Richtlinieneinstellungen besitzt. Auf diese Weise
können Sie sicherstellen, dass nur bestimmte Richtlinien auf eine bestimmte Gruppe
von Benutzern oder Computer angewendet werden, andere dagegen nicht.
Richtlinien einer höheren Ebene (Standort oder Domäne) können dafür konfiguriert
werden, die niedrigstufigeren Richtlinien auf der OU-Ebene zu überschreiben. Auch
ein Administrator einer niedrigeren Ebene (einer Organisationseinheit beispiels-
weise) verfügt über die Möglichkeit, die Richtlinienvererbung zu deaktivieren und
zu verhindern, dass Einstellungen von GPOs, die auf der Standort- oder Domänen-
ebene erstellt worden sind, auf ihn oder seine Benutzer angewendet werden (es sei
denn, dass diese GPOs mit der Einstellung KEIN VORRRANG konfiguriert wurden).
Diese Optionen werden im nächsten Abschnitt erörtert.
6.4.2 Gruppenrichtlinienvererbung
In manchen Fällen reicht die einfache Vergabe von Berechtigungen für ein GPO
unter Umständen nicht aus. Sie wünschen sich in solchen Fällen vielleicht, dass die
Anwendung eines GPO auf einen Teil von Active Directory blockiert wird, oder dass
Unternehmensstandards durchgesetzt werden, deren Anwendung auf alle Bestand-
teile der Organisation sichergestellt ist. Vielleicht möchten Sie aber auch ein GPO
haben, welches ausschließlich nur auf bestimmte Benutzer oder Computer angewen-
det werden soll. Diese drei Fälle betreffen die Deaktivierung, den Vorrang und die
Filterung der Gruppenrichtlinie, und werden in den nächsten Abschnitten erörtert.
Mit diesen Verfahren setzen Sie für alle Benutzer bestimmte Einstellungen durch
(Vorrang), verhindern die Anwendung von Richtlinien einer höheren Ebene auf
niedrigere Ebenen (Deaktivierung, etwa bei einer OU) oder vergeben Berechtigun-
gen auf eine Weise, die sicherstellt, dass Sie nur auf bestimmte Benutzer angewen-
det wird (Filtern). Die folgenden Abschnitte stellen diese Verfahren vor.
Gruppenrichtlinienvererbung deaktivieren
Gruppenrichtlinien können auf der Ebene des Standorts, der Domäne und der OU
vergeben werden. Ein Administrator auf der Ebene der OU oder Domäne möchte
jedoch unter Umständen gar nicht, dass GPOs höherer Ebenen auf seine jeweilige
OU angewendet werden. Oder ein Administrator einer niedrigeren Ebene in Paris
wünscht aus verständlichen Gründen nicht, dass die Landeseinstellungen eines in
396 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Wenn Sie sich die Frage stellen, ob Sie die Deaktivierung anwenden sollen, sollten
Sie an zwei Regeln denken: Wenn Sie sich für die Deaktivierung der Richtlinienver-
erbung entscheiden, tun Sie dies für sämtliche GPOs, die höher in der Vererbungs-
hierarchie liegen. Sie haben keinesfalls die Möglichkeit, selektiv festzulegen, wel-
che GPOs deaktiviert werden – die Entscheidung lautet immer: Alles oder gar
nichts! Sie deaktivieren entweder alle auf einer höheren Ebene konfigurierten GPO-
Einstellungen, und konfigurieren dann die Einstellungen, die Sie deaktiviert haben,
selbst für Ihre eigenen GPOs, oder aber keine der GPOs auf höherer Ebene werden
deaktiviert. Dazwischen gibt es nichts – entweder alle GPOs oder keine!
Die zweite Regel in der Frage, wann Sie Deaktivierungen einsetzen sollten, lautet,
dass Administratoren der höheren Ebene unter Umständen gar nicht möchten, dass
gewisse GPOs blockiert werden. In diesem Fall werden diese Administratoren die
Durchsetzung der GPO auch dann erzwingen, wenn Sie die Vererbung deaktiviert
haben. GPOs eines übergeordneten Containers wie eines Standorts oder einer
Domäne, deren Vorrang festgelegt worden ist, können im untergeordneten Objekt
nicht deaktiviert werden. Damit wird sichergestellt, dass unternehmenswichtige
Einstellungen niemals umgangen werden können. Ein Beispiel hierfür wäre ein
GPO, welches die automatische Installation und Aktualisierung einer Antivirussoft-
ware auf der Standortebene vorsieht. Wenn Sie jetzt festlegen, dass die Vererbung
auf Ebene der OU oder Domäne deaktiviert wird, wird die Software trotzdem, wie
im Standort-GPO vorgegeben, installiert und ausgeführt, sofern der Vorrang des
GPO entsprechend konfiguriert worden ist.
2. Klicken Sie mit der rechten Maustaste auf den Container, für den Sie die
Gruppenrichtlinienvererbung deaktivieren möchten, und wählen Sie im Kon-
textmenü EIGENSCHAFTEN aus.
3. Klicken Sie in dem Dialogfeld auf die Registerkarte GRUPPENRICHTLINIE.
4. Aktivieren Sie das Kontrollkästchen RICHTLINIENVERERBUNG DEAKTIVIEREN
(siehe Abbildung 6.28), damit GPO-Einstellungen aus höheren Ebenen auf
diesen Active Directory-Container nicht mehr angewendet werden.
5. Klicken Sie auf ÜBERNEHMEN und OK, um Ihre Einstellung zu speichern.
Abbildung 6.28
Deaktivieren der
GRUPPENRICHTLINI-
ENVERERBUNG durch
Aktivieren des Kon-
trollkästchens
Richtlinienverer-
bung deaktivieren
Gruppenrichtlinieneinstellungen durchsetzen
Auf der Domänen- oder Standortebene sind Sie als Administrator für eine große
Anzahl von Benutzern und Computern in der gesamten Organisation verantwort-
lich. Sie wollen nun an Administratoren der niedrigeren Ebenen administrative
Rechte für deren Unterdomäne oder OU delegieren, wollen aber gleichzeitig sicher
sein, dass verschiedene wichtige Einstellungen, die von der Geschäftspolitik
erzwungen werden, von diesem Administratoren nicht abgeändert werden. Solche
Geschäftsregeln können beispielsweise vorsehen, dass als Desktop-Hintergrundbild
für alle Benutzer immer das Firmenlogo angezeigt wird, oder dass auf jedem Com-
puter eine Antivirussoftware installiert sein muss. Als Erstes erstellen Sie die GPOs,
die diese unternehmenswichtigen Richtlinien enthalten, und sorgen nun als Nächs-
tes dafür, dass diese auch im gesamten Unternehmen angewendet werden. Die
Funktionen der Gruppenrichtlinie ermöglichen es Ihnen, die GPOs und ihre Einstel-
lungen auf allen niedrigeren Ebenen durchzusetzen, und zwar unabhängig davon, ob
die Gruppenrichtlinienvererbung deaktiviert wurde oder nicht.
Stellen Sie im Zusammenhang mit der Frage, ob Sie eine GPO auf niedrigeren Ebe-
nen durchsetzen sollten, immer sicher, dass dies tatsächlich der gangbare Weg zur
Realisierung Ihrer Ziele ist. Wenn Sie beispielsweise auf der Domänenebene die
Einstellungen eines GPO für einen Active Directory-Container durchsetzen möch-
ten, die nur für die Vertriebsabteilung gültig sein sollen, macht die Durchsetzung
des GPO keinen Sinn, weil nun auch die Einstellungen für alle anderen Abteilungen
geändert werden. Das Verfahren führt also nicht zum gewünschten Ergebnis. Beim
Durchsetzen eines GPO überschreiben dessen Einstellungen sämtliche Einstellun-
gen auf niedrigeren Ebenen unabhängig davon, ob diese auf der Ebene des unteren
Containers geändert worden sind oder nicht.
Legen Sie sich, wenn Sie GPO-Einstellungen auf niedrigeren Ebenen in der Hierar-
chie durchsetzen möchten, zwei Fragen vor: »MÜSSEN alle Container in den unte-
ren Ebenen diese Einstellungen haben?« Und weiter: »Sollten Administratoren der
unteren Ebenen diese Einstellungen ändern können?« Wenn die Antwort auf die
erste Frage Ja lautet, dann käme ein Durchsetzen des GPO in Frage. Lautet die Ant-
wort auf die zweite Frage auch Ja, dann müssen Sie die Sache noch einmal überden-
ken. Ist die Antwort auf die erste Frage Ja, und auf die zweite Frage Nein, dann sieht
es so aus, als wäre das Durchsetzen des GPO der beste Weg.
Führen Sie die folgenden Schritte aus, um die GPO-Einstellungen auf alle niedrige-
ren Ebenen durchzusetzen.
6.4 Gruppenrichtliniensicherheit 399
Abbildung 6.29
Denken Sie noch einmal daran, wie wichtig es ist, sich darüber im Klaren zu sein,
dass mit dieser Aktion die Einstellungen auf dieser Ebene auf sämtliche Active
Directory-Container unterer Ebenen durchgesetzt werden, und zwar unabhängig
davon, ob dieselben Einstellungen auf der unteren Ebene geändert worden sind oder
nicht! Eine gleiche Einstellung auf der Unterdomänen- oder Organisationseinheiten-
ebene, die ein Administrator dort konfiguriert haben mag, wird in Zukunft nicht
mehr angewendet.
zer die Richtlinie angewendet wird. Dies ist mit dem Filtern bzw. der selektiven
Zuweisung von Berechtigungen an ein GPO möglich.
Gruppenrichtlinie filtern
Sie haben bis hierhin erfahren, wie die Anwendung von GPOs auf Container der
niedrigeren Ebenen deaktiviert und GPO-Einstellungen auf alle diese Container
durchgesetzt werden. Vielleicht haben Sie aber auch gewisse GPOs, die Sie nur auf
ganz bestimmte Benutzer, Gruppen oder Computer anwenden möchten. Der Prozess
der selektiven Festlegung, welche GPO-Einstellungen im Einzelnen verwendet wer-
den, heißt Filtern.
Mit dem Filtern von Gruppenrichtlinien ist gemeint, Berechtigungen des GPO so
anzuwenden, dass bestimmte Benutzer, Sicherheitsgruppen oder Computer ausge-
schlossen werden. Das Filtern stellt daher eine besonders sorgfältig geplante Ver-
waltung von Berechtigungen für Fälle dar, in denen das GPO nur auf bestimmte
Objekte angewendet werden soll.
GPOs, die mit Active Directory-Containern verknüpft sind, wurden bereits weiter
oben erörtert. Wenn ein GPO mit einem Active Directory-Container verknüpft wird,
wird damit standardmäßig der Sicherheitsgruppe Authentifizierte Benutzer, die alle
Benutzer und Computer enthält, die Gruppenrichtlinienberechtigung Lesen und
Schreiben gewährt. GPO-Einstellungen werden daher standardmäßig auf jedermann
und alles so lange angewendet, wie keine anderslautenden Berechtigungen ein-
schließlich Administratorenprivilegien etwas anderes vorschreiben. Führen Sie
zum Filtern der Gruppenrichtlinie die folgenden Schritte aus.
5. Klicken Sie zum Anzeigen einer Liste der Benutzer, Gruppen und Computer,
denen Berechtigungen der GPO zugewiesen wurden, auf die Registerkarte
SICHERHEITSEINSTELLUNGEN.
6. Falls der Benutzer, die Gruppe oder der Computer, für den Sie die Richtlinie
filtern möchten, nicht in der Liste aufgeführt ist, klicken Sie auf die Schaltflä-
che HINZUFÜGEN. Sie erhalten daraufhin eine Liste mit Benutzern, Gruppen
und Computern angezeigt. Wählen Sie die Objekte aus, für die Sie eine Filte-
rung der Gruppenrichtlinieneinstellungen vornehmen möchten, und klicken
Sie auf HINZUFÜGEN und OK.
Abbildung 6.30
Durch Deaktivieren
der Berechtigun-
gen LESEN und
GRUPPENRICHTLINIE
ÜBERNEHMEN bei
einem Benutzer,
einer Sicherheits-
gruppe oder einem
Computer filtern Sie
das GPO und stel-
len sicher, dass es
nicht mehr auf die-
ses Objekt ange-
wendet wird
7. Wie in Abbildung 6.30 gezeigt, filtern Sie die Anwendung der GPO-Einstel-
lungen, indem Sie die Kontrollkästchen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN in der Spalte ZULASSEN auf der Registerkarte SICHERHEITSEIN-
STELLUNGEN deaktivieren. Dadurch wird sichergestellt, dass die GPO-Ein-
stellungen nicht mehr auf diesen Benutzer, Computer oder diese Sicherheits-
gruppe angewendet werden. Deaktivieren Sie das Kontrollkästchen
GRUPPENRICHTLINIE ÜBERNEHMEN auch für die Gruppe Authentifizierte
Benutzer bzw. entfernen Sie die Gruppe Authentifizierte Benutzer.
Eine alternative Möglichkeit zum Filtern der Richtlinie besteht darin, für den
Benutzer, die Gruppe oder den Computer, auf welche die Richtlinie nicht an-
gewendet werden soll, das Kontrollkästchen VERWEIGERN bei GRUPPEN-
RICHTLINIE ÜBERNEHMEN zu aktivieren. Eine Verweigerung hat immer den
402 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Vorrang vor Zulassen und ist dann nützlich, wenn Sie die GPO-Einstellungen
auf die meisten Benutzer mit wenigen Ausnahmen wie etwa Administratoren
anwenden möchten.
8. Klicken Sie zum Speichern Ihrer Sicherheitseinstellungen auf ÜBERNEHMEN
und OK.
9. Klicken Sie im Hauptdialogfeld zum Speichern Ihrer Einstellungen auf
ÜBERNEHMEN und OK.
Wie Sie nun erfahren haben, können Sie Gruppenrichtlinien deaktivieren, durchset-
zen und filtern. Die Deaktivierung der Richtlinienvererbung bedeutet, dass die
GPO-Einstellungen aus Active Directory-Containern höherer Ebenen (typischer-
weise Standorte und Domänen) nicht mehr auf Active Directory-Container niedri-
gerer Ebenen (OUs) angewendet werden. Das Durchsetzen von GPO-Einstellungen
stellt das Gegenteil der Deaktivierung dar – Sie gewährleisten damit, dass GPO-
Einstellungen, die auf höherer Ebene in einem Active Directory-Container erstellt
wurden, in allen Active Directory-Containern niedrigerer Ebenen ungeachtet der
Deaktivierung oder Aktivierung der GPO-Vererbung durchgesetzt werden. Das Fil-
tern stellt eine weitere Feinabstimmung von Berechtigungen zu dem Zweck dar,
GPO-Einstellungen nur auf bestimmte Benutzer oder Computer anzuwenden, denen
die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN gewährt wurde.
Schön und gut – aber was können Sie mit der Gruppenrichtlinie nun eigentlich alles
kontrollieren? Der nächste Abschnitt erörtert die Frage, wie Sie Gruppenrichtlinien
einsetzen, und wie Benutzer- und Computerumgebungen durch die Kombination
von GPOs mit administrativen Vorlagen kontrolliert werden. In den Kapiteln 7
(»Softwarebereitstellung mittels Gruppenrichtlinien«) und 8 (»Sicherheitsmanage-
ment mittels Gruppenrichtlinien«) werden weitere Details zu anderen Aspekten der
Gruppenrichtlinie diskutiert.
benötigen. Da die Ressourcen, die von den Benutzern gebraucht werden, sich im
Laufe der Zeit auch ändern, muss den Administratoren ein Verfahren zur Verfügung
stehen, welches ihnen die rasche und effiziente Weiterverteilung dieser Änderungen
an die betroffenen Benutzer ermöglicht. Im Idealfall sollte diese Fragestellung eine
Lösung haben, die die Belastung der Administratoren verringern hilft und richtig
konfigurierte Arbeitsumgebungen für die Benutzer ergibt.
씰 Benutzer von der Verwendung bestimmter Programme oder Teile des Be-
triebssystems ausschließen. Obwohl es vielleicht einen falschen Eindruck er-
wecken kann, ist es doch empfehlenswert, manche Benutzer am Zugriff auf
bestimmte Bereiche von Windows 2000 zu hindern, weil sie sich anderenfalls
mehr Schaden zufügen könnten, als ihnen selbst bewusst ist. Beispielsweise
können Sie einen Benutzer daran hindern, die Systemsteuerung zum Ändern
der Systemeinstellungen zu öffnen. In Umgebungen, in denen eine Abwei-
chung von bestimmten Standards der Desktopkonfiguration verhindert wer-
404 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
den soll, kann es sinnvoll sein, die Benutzer davon abzuhalten. Ähnlich dazu
möchten Sie vielleicht auch sicherstellen, dass die Benutzer keinen Zugang
zur Eingabeaufforderung oder AUSFÜHREN-Option im Startmenü haben, um
das Laden von Programmen zu verhindern, die potenziell Viren enthalten.
Windows- Teile von Windows 2000 und der darin enthal- Computer
Komponenten tenen Werkzeuge. An dieser Stelle können Sie die Benutzer
Funktion bestimmter Komponenten von Windows
2000 einschließlich Internet Explorer, Microsoft
NetMeeting, Windows Explorer, Windows
Installer, Taskplaner und Microsoft Management
Console festlegen. Konfigurieren können Sie, ob
das Programm gestartet werden darf, welcher Teil
des Programms verwendet werden darf, und wie
die Funktion des Programms nach dem Start ist.
406 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Die nächsten Abschnitte befassen sich mit den Einstellungen administrativer Vorla-
gen, die den Benutzer betreffen.
Abbildung 6.31
Einige administrati-
ve Vorlagen werden
entweder auf die
Computer- oder die
Benutzerkonfigura-
tion der Gruppen-
richtlinie angewen-
det
Abbildung 6.32
Änderbare Einstel-
lungen administrati-
ver Vorlagen zu
Windows-Kompo-
nenten für Benutzer
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 409
Microsoft NetMeeting
In der Vorlage für Microsoft NetMeeting können Sie einige allgemeine Einstellun-
gen (siehe Abbildung 6.33) festlegen, wie etwa, ob das Whiteboard aktiviert wird,
oder der Benutzer die Erlaubnis zum Verwenden des Chatmodus erhält. Außerdem
gibt es noch drei weitere Ordner mit weiteren Einstellungen, die die Konfiguration
betreffen: Anwendungsfreigabe, Audio & Video und die Optionsseite von NetMee-
ting.
Über die Anwendungsfreigabe können Sie festlegen, ob der Benutzer während einer
NetMeeting-Sitzung eine Anwendung freigeben und damit anderen Benutzern die
Möglichkeit verschaffen kann, die Kontrolle über die Anwendung zu übernehmen
bzw. den Desktop gemeinsam zu nutzen.
Bei der Konfigurierung von Audio & Video legen Sie die erlaubte Bandbreite einer
NetMeeting-Sitzung oder die Verwendung von Audio und Video und deren Eigen-
schaften fest.
Die Einstellungen zur Optionsseite erlauben Ihnen eine Festlegung dessen, was für
den Benutzer sichtbar und änderbar wird, sobald er Optionen von NetMeeting aus-
wählt.
Abbildung 6.33
Einstellungen
benutzerseitiger
administrativer Vor-
lagen von Micro-
soft NetMeeting
410 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Internet Explorer
Über die Gruppenrichtlinien in Windows 2000 können Sie ziemlich präzise festle-
gen, wie Internet Explorer (IE) sich verhält, und wie der Benutzer das Programm
konfigurieren kann. Die von Ihnen festgelegten Einstellungen beziehen sich auf die
Systemsteuerung von Internet Explorer. Sie können eine Reihe allgemeiner IE-Ein-
stellungen konfigurieren (siehe Abbildung 6.34), wie beispielsweise, ob der Benut-
zer digitale Zertifikate verwalten darf, wie die Spracheinstellung ist, wie die Farb-
einstellung ist, ob der Benutzer die Suchen-Seite anpassen kann u.a.m. Darüber
hinaus gibt es noch eine Anzahl weiterer Elemente des IE, die über die Gruppen-
richtlinie eingestellt werden:
Windows Explorer
Als Administrator können Sie über die administrativen Vorlagen der Gruppenricht-
linie auch einstellen, welche Eigenschaften von Windows Explorer dem Benutzer
zur Verfügung stehen sollen (siehe Abbildung 6.35). Dies gibt Ihnen die Möglich-
keit festzulegen, ob der Benutzer andere Computer im Netzwerk sehen kann, indem
Sie entsprechend dazu GESAMTES NETZWERK oder BENACHBARTE COMPUTER in
Windows Explorer aktivieren bzw. deaktivieren. Außerdem legen Sie fest, ob der
Benutzer in Windows Explorer Netzlaufwerke zuordnen darf.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 411
Abbildung 6.34
Einstellungen
benutzerseitiger
administrativer Vor-
lagen von Internet
Explorer
Abbildung 6.35
Einstellungen
benutzerseitiger
administrativer Vor-
lagen von Win-
dows Explorer
Weitere Einstellungen, die Sie vornehmen können, betreffen die Darstellung von
Windows Explorer, ob neuere Dokumente angezeigt werden und dem Benutzer zur
Verfügung stehen, und wie sich Verknüpfungen verhalten, wenn der Benutzer den
Arbeitsplatz wechselt.
Eine der wirklich praktischen Funktionen von administrativen Vorlagen für Benut-
zer betrifft hinsichtlich der Verwaltung von Windows 2000 die Möglichkeit, die
412 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.36
Einstellungen
benutzerseitiger
administrativer Vor-
lagen von Micro-
soft Management
Console
Taskplaner
Windows 2000 enthält auch einen Taskplaner, der gegenüber dem AT-Scheduler
unter Windows NT stark verbessert worden ist. Wie die Abbildung 6.37 zeigt, kön-
nen Sie im Zusammenhang mit Gruppenrichtlinien die Funktionen des Taskplaner
dahingehend konfigurieren, ob der Benutzer Tasks löschen oder erstellen, ja sogar,
ob er sie ablaufen lassen kann. Auf diese Weise erlauben Sie den Start unerwünsch-
ter Programme nur zu bestimmten Zeiten oder verhindern generell, dass diese über-
haupt gestartet werden.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 413
Abbildung 6.37
Einstellungen
benutzerseitiger
administrativer Vor-
lagen von Taskpla-
ner
Windows Installer
Die Vorlageneinstellungen für Windows Installer sind sehr nützlich insofern, als sie
Benutzer daran hindern können, Software zu installieren, die sich eigentlich nicht
auf ihren Computern befinden sollte. Mit den Einstellungen zum Windows Installer
für den Benutzer (siehe Abbildung 6.38) können Sie beispielsweise die Suchreihen-
folge der Medienquellen für Installationsdateien konfigurieren (d.h. Diskette, CD
oder Netzwerk). Sie haben außerdem die Gelegenheit, die Installation von Software
über Wechseldatenträger zu unterbinden (Diskette oder CD), oder festzulegen, ob
das Installationsprogramm mit Administratorprivilegien ausgeführt werden soll.
Wie Sie also gesehen haben, können Sie mit den administrativen Vorlagen zu Win-
dows-Komponenten des Benutzers die Funktionen einer ganzen Anzahl wichtiger
Programme in Windows 2000 konfigurieren: Microsoft NetMeeting, Internet
Explorer, Windows Explorer, Microsoft Management Console, Taskplaner und
Windows Installer. Andere Bestandteile von Windows 2000 wie etwa das Start-
menü und die Taskleiste (werden als Nächstes erläutert) können über Gruppenricht-
linien ebenfalls konfiguriert werden.
Abbildung 6.38
Einstellungen
benutzerseitiger
administrativer Vor-
lagen von Win-
dows Installer
Das Abschalten von AUSFÜHREN hindert den Benutzer am Ausführen von Program-
men mit Ausnahme derjenigen, für welche bereits Verknüpfungen existieren.
Außerdem kann er Programme immer noch durch Doppelklick im Windows Explo-
rer oder über die Eingabeaufforderung starten. Sie können weiterhin konfigurieren,
ob im Startmenü des Benutzers die Menüs SUCHEN, HILFE, FAVORITEN und DOKU-
MENTE zur Verfügung stehen. Sie haben auch die Gelegenheit, die gemeinsamen
und/oder benutzerbezogenen Programmgruppen aus der Liste der Programme aus-
zuschließen, was die Anzahl der Programme, auf die der Benutzer Zugriff hat, wei-
ter beschränkt.
Abbildung 6.39
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Startme-
nü und Taskleiste
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 415
Wie Sie sehen können, legen die über administrative Vorlagen einstellbaren Start-
menü- und Taskleisteneigenschaften fest, wie das Windows-Startmenü und seine
Funktionalität dem Benutzer angezeigt werden.
Abbildung 6.40
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für den Desk-
top
Hinsichtlich von Active Desktop (siehe Abbildung 6.41) legen Sie über die Grup-
penrichtlinie fest, ob Active Desktop verwendet wird, welches Hintergrundbild
angezeigt wird, und ob dieses Hintergrundbild eine Bitmapdatei (BMP) oder ein
anderer Grafikdateityp wie JPEG oder GIF ist. Außerdem können Sie konfigurieren,
ob dem Benutzer Änderungen am Desktop einschließlich Hinzufügen, Löschen,
Ändern oder sogar Schließen von Objekten erlaubt sind. Über eine umfangreiche
Liste von nicht zugelassenen Aktionen können Sie außerdem eine Reihe nicht
erlaubter Aktionen definieren.
416 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.41
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Active
Desktop
Abbildung 6.42
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Active
Directory
Hinsichtlich von Active Directory gibt es nur einige wenige Einstellungen, die über
benutzerseitige administrative Vorlagen konfiguriert werden können (siehe Abbil-
dung 6.42). Die verfügbaren Einstellungen haben mit der Größe der Suchvorgänge
in Active Directory zu tun (die Anzahl der Objekte, die von einer einzelnen Suche
zurückgeliefert werden), und erlauben Ihnen eine Konfiguration dahingehend, ob
der Benutzer diese Suche filtern kann. Diese Einstellungen sind für den Einsatz in
großen Organisationen mit Tausenden von Benutzern und Computern gedacht, und
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 417
sollen primär sicherstellen, dass eine Suche in Active Directory zeitsparend verläuft
und möglichst wenig Netzwerkbandbreite bzw. Domänencontrollerressourcen ver-
braucht.
Abbildung 6.43
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für die Sys-
temsteuerung
Software
Anzeige
Abbildung 6.44
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Software
in der Systemsteu-
erung
Abbildung 6.45
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Anzeige in
der Systemsteue-
rung
Drucker
Zur Kontrolle von Druckern stellen Sie über die administrativen Vorlagen (siehe
Abbildung 6.46) ein, ob ein Benutzer über das Applet DRUCKER in der Systemsteu-
erung oder über START/EINSTELLUNGEN/DRUCKER Drucker hinzufügen oder entfer-
nen kann. Weiterhin stellen Sie ein, ob der Benutzer nach Druckern suchen kann,
um diese ggf. hinzuzufügen (über eine Website, Active Directory oder das Netz-
werk).
420 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.46
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Drucker in
der Systemsteue-
rung
Ländereinstellungen
Abbildung 6.47
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Länder-
einstellungen in der
Systemsteuerung
Abbildung 6.48
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für das Netz-
werk
Eine schöne Funktion von Windows 2000 insbesondere für Leute, die viel reisen
und sich über ein Notebook mit dem Büro verbinden, besteht in der Offline-Verfüg-
barkeit von Netzwerkordnern. Für den Administrator kann dies wiederum zu einem
Problem führen, weil er unter Umständen gar nicht wünscht, dass bestimmte
Dateien offline zur Verfügung stehen (beispielsweise der Quellcode einer neu ent-
wickelten und kommerziell vertriebenen Software). Mit administrativen Vorlagen
422 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
bestimmen Sie, wie Offline-Dateien Benutzern zur Verfügung stehen (siehe Abbil-
dung 6.49). Diese Funktion können Sie ggf. auch gänzlich abschalten. Sie können
weiterhin kontrollieren, auf welche Ordner Benutzer offline zugreifen und welche
sie selber konfigurieren dürfen. Außerdem legen Sie die Häufigkeit von Erinnerun-
gen an die Synchronisation und die Verfügbarkeit der Offline-Dateien fest. Über die
administrative Vorlage bestimmen Sie, was passieren soll, wenn ein Server verfüg-
bar wird (d.h., ob zwischengespeicherte Kopien der Dateien verwendet oder die
Dateien nicht verfügbar werden sollen). Sie bestimmen auch, ob die Menüauswahl
OFFLINE VERFÜGBAR MACHEN auch für Netzwerkressourcen angezeigt wird.
Abbildung 6.49
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Offline-
Dateien im Netz-
werk
DFÜ-Verbindungen
Abbildung 6.50
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Netz-
werk- und DFÜ-Ver-
bindungen
HINWEIS
Programme zum Bearbeiten der Registrierung deaktivieren
Es ist dringend zu empfehlen, dass Sie dem größten Teil der Benutzer den Ein-
satz von Programmen zur Bearbeitung der Registrierung verweigern. In der Re-
gistrierung sind systemwichtige Einstellungen und Anwendungsdaten enthalten,
die von Windows 2000 und den meisten Windows-2000-Anwendungen benötigt
werden. Eine Änderung der Registrierung durch einen Benutzer kann nicht mehr
rückgängig gemacht werden; es sei denn, dass der Benutzer sich noch an den
Ausgangszustand erinnern kann. Ein Benutzer, der Änderungen an der Registrie-
rung vornimmt und die Folgen nicht richtig einschätzt, kann ernste Probleme auf
seinem PC verursachen.
424 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Wenn Sie verhindern, dass ein Benutzer die Registrierung ändert, heißt dies nicht,
dass Sie selbst keine Änderungen mehr vornehmen können. Sie haben nach wie
vor die Möglichkeit, die Registrierung entweder lokal auf dem PC, auf dem die
Änderung erforderlich ist, oder remote durchzuführen. Administratoren können
standardmäßig immer Bearbeitungen der Systemregistrierung durchführen.
Abbildung 6.51
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für das Sys-
tem
Allgemeine Einstellungen
Im allgemeinen Teil der Systemeinstellungen legen Sie fest, ob bei der Anmeldung
ein Begrüßungsbildschirm angezeigt wird, oder ob der Benutzer Programme zum
Bearbeiten der Registrierung verwenden darf. Sie können weiterhin bestimmte
Anwendungen sperren (z.B. indem Sie festlegen, dass nur Programmdateien, die in
der Einstellung aufgeführt sind, gestartet werden können), die automatische Wie-
dergabe von CDs im CD-ROM-Laufwerk deaktivieren und die Eingabeaufforde-
rung abschalten. Alle diese Einstellungen sind für den Benutzer recht restriktiv und
haben unmittelbare Auswirkungen auf seine Möglichkeiten im Umgang mit dem
System.
Bei den Einstellungen zu den An- und Abmeldungen eines Benutzers (siehe Abbil-
dung 6.52) steuern Sie die Ausführung von Skripten während der An- und Abmel-
dung. Beispielsweise legen Sie fest, ob diese Skripte sichtbar sind, oder ob sie asyn-
chron ausgeführt werden sollen. Sie bestimmen außerdem, ob ein Benutzer sein
Kennwort ändern kann, und ob er sich überhaupt abmelden darf. Sie haben die
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 425
Abbildung 6.52
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für An- und
Abmeldung im Sys-
tem
Gruppenrichtlinien
Abbildung 6.53
Einstellungen
benutzerseitiger
administrativer Vor-
lagen für Gruppen-
richtlinien im Sys-
tem
steht, und ob sich der Benutzer anzumelden hat. Durch administrative Vorlagen
können aber nicht nur die Desktopeinstellungen des Benutzers beeinflusst werden –
auch die Computereinstellungen unterliegen der Gruppenrichtlinie. Mit ihnen wird
dafür gesorgt, dass ein Computer unabhängig vom angemeldeten Benutzer immer
mit vordefinierten Einstellungen arbeitet.
HINWEIS
Administrative Vorlagen – Benutzer- versus Computereinstellungen
Kommt ein und dieselbe Einstellung einer administrativen Vorlage sowohl in der
Benutzer- als auch in der Computerkonfiguration einer Gruppenrichtlinie vor, wird
immer die Computereinstellung angewendet. Anders gesagt, wenn Sie in der
Computerkonfiguration der administrativen Vorlage eines GPO definieren, dass
Autoplay für CD-ROM-Laufwerke deaktiviert wird, während die Benutzerkonfigu-
ration Autoplay aktiviert, behält die Computereinstellung die Oberhand – Autoplay
bleibt deaktiviert. Der Grund liegt darin, dass ein Benutzer sich gleichzeitig an
mehreren PCs anmelden kann, und daher auch dieselbe GPO-Einstellung unab-
hängig davon angewendet wird, an welchem Arbeitsplatz er sich gerade befin-
det. Da ein Computer aber nur einmal existieren kann, müssen auch seine
Konfigurationseinstellungen auf Kosten der Benutzereinstellungen geschützt wer-
den.
Generell gilt, dass die Anzahl der Objekte, die für computerseitige administrative
Vorlagen konfiguriert werden können, weitaus geringer als diejenige für den korre-
spondierenden Benutzerteil administrativer Vorlagen ist. Obwohl beispielsweise der
Ordner WINDOWS-KOMPONENTEN im Computer- und Benutzerteil erscheint, ist die
Anzahl der für den Benutzer konfigurierbaren Einstellungen weitaus höher und
detaillierter. Der Grund liegt darin, dass viele der Einstellungen Änderungen betref-
fen, die sich nicht auf den Computerteil (HKEY_LOCAL_MACHINE), sondern auf den
Benutzerteil der Registrierung (HKEY_CURRENT_USER) beziehen.
428 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.54
Einstellungen
administrativer Vor-
lagen für den Com-
puter
Außerdem ist es einleuchtend, dass der Benutzerteil detaillierter ist, da der Compu-
terteil mit den Systemeigenschaften zu tun hat, die sich auf alle Benutzer beziehen,
während der Benutzerteil individuelle Präferenzen betrifft, von denen es naturge-
mäß viele geben kann.
NetMeeting
Im Ordner NetMeeting gibt es nur eine einzige für den Computer konfigurierbare
Einstellung (siehe Abbildung 6.56), die die Aktivierung der Remotedesktop-Frei-
gabe betrifft, was sich beträchtlich von den für Benutzer zur Verfügung stehenden
Optionen unterscheidet. Mit der Remotedesktop-Freigabe ist die Fähigkeit gemeint,
den Desktop remote über NetMeeting zu steuern. Indem Sie diese Option abschal-
ten, verhindern Sie, dass jemand den Computer übernimmt und damit ein potenziel-
les Sicherheitsrisiko darstellt.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 429
Abbildung 6.55
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Windows-Kom-
ponenten
Abbildung 6.56
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Windows-Kom-
ponenten/NetMee-
ting
Internet Explorer
Mit den Einstellungen, die Internet Explorer (siehe Abbildung 6.57) betreffen, kon-
trollieren Sie sowohl die Proxy-Parameter wie die Sicherheitsrichtlinien für alle
Benutzer des Computers. Sie verfügen über die Option, die Anzeige des Begrü-
ßungsbildschirms beim Start von Internet Explorer zu deaktivieren, die Suche des
IE nach eigenen Softwareaktualisierungen freizugeben, oder die automatische
Installation von fehlenden Komponenten zu deaktivieren, die stattfinden kann,
430 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
sobald der Benutzer eine Site mit Softwarekomponenten aufruft, über die IE noch
nicht verfügt. Mit diesen Einstellungen legen Sie mit anderen Worten das Erschei-
nungsbild, die Bedienung und die Funktionen von IE für alle Benutzer des Compu-
ters fest.
Abbildung 6.57
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Windows-Kom-
ponenten/Internet
Explorer
Taskplaner
Windows Installer
Abbildung 6.58
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Windows-Kom-
ponenten/Taskpla-
ner
Abbildung 6.59
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Windows-Kom-
ponenten/Win-
dows Installer
432 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.60
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für SYSTEM
Anmeldung
Während der Anmeldung durchläuft Windows 2000 eine Reihe besonderer Start-
phasen, von denen einige eine Benutzeraktion erfordern. Mit dem Anmeldungsteil
der administrativen Vorlage eines GPO für das System (siehe Abbildung 6.61) kön-
nen Sie festlegen, was geschehen soll, wenn solche Systemzustände auftreten. Hier
definieren Sie beispielsweise, wie Startskripte für den Computer ausgeführt werden
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 433
sollen (dies unterscheidet sich von den Anmeldeskripts für Benutzer, die im Benut-
zerbereich für dieses GPO eingestellt werden). Beispielsweise können Sie veranlas-
sen, dass servergespeicherte Profile nach der Abmeldung eines Benutzers gelöscht
werden, oder dass ein Benutzerprofil auch dann downgeloaded wird, wenn die
Anmeldung über eine langsame Netzwerkverbindung wie etwa Modem-DFÜ statt-
findet. Außerdem legen Sie Zeitlimits für Dialogfelder und Profildownloads fest.
Abbildung 6.61
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für SYSTEM/ANMEL-
DUNG
Datenträgerkontingente
Abbildung 6.62
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für SYSTEM/DATEN-
TRÄGERKONTINGENTE
DNS-Client
Im Bereich DNS-Client der administrativen Vorlage steht Ihnen für den Computer
nur eine einzige Einstellung zur Verfügung (siehe Abbildung 6.63), nämlich das pri-
märe DNS-Suffix. Die Einstellung gibt einen Anhang für den Computernamen zur
Erzeugung eines FQDN-Namens (FQDN, Fully Qualified Domain Name) für den
Host an, der für Active Directory und die Hostnamensauflösung benötigt wird. Die
hier vorgenommene Einstellung kann von Benutzern einschließlich Administrato-
ren im Dialogfeld TCP/IP-Eigenschaften der Netzwerkkonfiguration des Computers
nicht mehr geändert werden.
Gruppenrichtlinien
Abbildung 6.63
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für SYSTEM/DNS-
CLIENT
Abbildung 6.64
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für SYSTEM/GRUP-
PENRICHTLINIEN
Windows-Dateischutz
Windows-Dateischutz (WFP, Windows File Protection) ist die Fähigkeit von Win-
dows-2000-Computern, kritische Systemdateien, die von anderen Anwendungen
wie beispielsweise einem Installer-Programm überschrieben worden sind, automa-
tisch wiederherzustellen. Mit WINDOWS-DATEISCHUTZ in der computerseitigen
administrativen Vorlage (siehe Abbildung 6.65) können Sie die Häufigkeit der
Suchvorgänge von WFP einstellen. Die Suchvorgänge ermitteln, ob es Dateien gibt,
436 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
die auf ihren ursprünglichen Status zurückgesetzt werden müssen. Wenn Sie möch-
ten, können Sie auch den Cache von WFP an einen anderen als den standardmäßig
eingestellten Speicherungsort verschieben. Weiterhin können Sie die Größe des
Dateischutzcache festlegen. Der Cache wird zum Zwischenspeichern von Kopien
der Windows-2000-Dateien verwendet, die von anderen Programmen überschrieben
werden könnten. Die Dateien werden über diesen Cache wiederhergestellt, ohne
dass Sie eine CD mit den Originaldateien einlegen müssen. Außerdem legen Sie
noch fest, ob das Statusfenster während des Suchvorganges ausgeblendet wird.
Abbildung 6.65
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für SYSTEM/W IN-
DOWS-DATEISCHUTZ
Abbildung 6.66
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für das Netzwerk
Offline-Dateien
Abbildung 6.67
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für NETZWERK/OFF-
LINE-DATEIEN
Abbildung 6.68
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Netzwerk- und
DFÜ-Verbindungen
Mit den Netzwerkeinstellungen für den Computer kann der Administrator die Funk-
tionen von Offline-Dateien und die Freigabe einer Internet-Verbindung auf dem
Computer konfigurieren.
Abbildung 6.69
Einstellungen com-
puterseitiger admi-
nistrativer Vorlagen
für Drucker
6. Blenden Sie nach und nach auch die Ordner der unteren Ebenen von ADMI-
NISTRATIVE VORLAGEN ein, bis Sie den Ordner mit der Einstellung erreicht
haben, die Sie bearbeiten möchten. Um beispielsweise Datenträgerkontin-
gente zu aktivieren, blenden Sie SYSTEM und DATENTRÄGERKONTINGENTE
ein, bis Sie die MMC-Konsole in der Abbildung 6.70 erhalten.
7. Zum Aktivieren bzw. Deaktivieren einer Einstellung klicken Sie zweimal auf
der Einstellung, die Sie bearbeiten möchten, und klicken dann das entspre-
chende Optionsfeld an: AKTIVIERT, DEAKTIVIERT oder NICHT KONFIGURIERT
(siehe Abbildung 6.71). AKTIVIERT bedeutet, dass die Richtlinieneinstellung
zwar auf dieser Ebene durchgesetzt wird, aber auf einer niedrigeren Ebene
wie einer OU überschrieben werden kann. DEAKTIVIERT bedeutet, dass die
Einstellung auf dieser Ebene nicht durchgesetzt wird. NICHT KONFIGURIERT
ist eine Einstellung, die im Moment nicht gesetzt ist, jedoch von einem über-
geordneten Container wie einer Domäne oder einem Standort ererbt werden
kann. NICHT KONFIGURIERT ist beim Erstellen eines neuen GPO der Stan-
dardwert aller Einstellungen.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 441
Abbildung 6.70
Abbildung 6.71
8. Wie die Abbildung 6.72 zeigt, können Sie auch zusätzliche Informationen zu
der jeweiligen Einstellung bekommen, die Sie über den Windows-2000-
Gruppenrichtlinieneditor bearbeiten. Durch Anklicken der Registerkarte
ERKLÄRUNG erhalten Sie eine kurze Erläuterung zur Funktion der Einstellung
und dem Ergebnis ihrer Aktivierung oder Deaktivierung.
442 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.72
Die Registerkarte
ERKLÄRUNG erläu-
tert die Auswirkung
einer aktiven Ein-
stellung
9. Zum Speichern Ihrer Änderungen an der Einstellung klicken Sie auf ÜBER-
NEHMEN und anschließend auf OK, um das Dialogfeld EIGENSCHAFTEN zu
schließen. Nach Abschluss aller Ihrer Änderungen am GPO schließen Sie
zum Speichern des GPO die Konsole GRUPPENRICHTLINIE.
10. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN für den Contai-
ner, dessen GPO Sie gerade bearbeitet haben, auf OK.
11. Beenden Sie die Konsole ACTIVE DIRECTORY-BENUTZER UND -COMPUTER
bzw. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE.
Mit Gruppenrichtlinien können Sie Skripte konfigurieren, die beim Starten oder
Herunterfahren eines Computers ablaufen. Weiterhin können Sie Skripte erstellen,
die bei der An- oder Abmeldung eines Benutzers ausgeführt werden, und Änderun-
gen an seiner oder der Umgebung aller Benutzer vornehmen. Sie haben auch die
Möglichkeit, Skripte zu konfigurieren, die noch vor der Anmeldung des nächsten
Benutzers oder dem Start des Computers sämtliche Änderungen beseitigen, die von
anderen Benutzern herbeigeführt worden sind. Als Skripte können Batchdateien
(BAT oder CMD), ausführbare Programmdateien (EXE) oder Skripte des Windows
Script Host (VBScript oder JScript) eingesetzt werden. Im Allgemeinen machen Sie
dann Gebrauch von Skripten, wenn Sie eine Gruppenrichtlinie implementieren
möchten, deren Anforderungen über eine administrative Vorlage nicht realisiert
werden können. Zu diesem Zweck erstellen Sie dann ein Skript, welches die ent-
sprechende Aufgabe ausführt und das gewünschte Ergebnis erbringt. Mit Skripten,
die über VBScript und Windows Script Host (WSH) unterstützt werden, können Sie
nahezu jede beliebige Aufgabe realisieren.
Wenn Sie dieselbe Einstellung in einer administrativen Vorlage für den Benutzer
und den Computer definieren, erhält die Computereinstellung immer den Vorrang.
Nehmen Sie als Beispiel einmal an, dass im Ordner SYSTEM der administrativen
Vorlage für den Computer Autoplay deaktiviert worden ist, während Sie dieselbe
444 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Einstellung für den Benutzer aktiviert haben. Autoplay bleibt in diesem Fall deakti-
viert, weil die Computereinstellung den Vorrang besitzt. Der Grund hierfür liegt
darin, dass die für den Computer und den Benutzer spezifizierten Konfigurationen
bei der Anwendung der GPO-Einstellungen kombiniert und Konflikte noch vor der
Anwendung der Vorlageneinstellungen aufgelöst werden. Auf diese Weise ist sich
der Administrator immer des Endergebnisses von Änderungen in der Vorlagenein-
stellung sicher.
Skripte können beim Starten und Herunterfahren des Computers sowie beim An-
und Abmelden des Benutzers ausgeführt werden. Jedes dieser Ereignisse ist recht
spezifisch (An- und Abmeldungen von Benutzern können vor dem Herunterfahren
des Computers viele Male erfolgen), wobei die Skripte beim Auftreten der jeweili-
gen Ereignisse ausgeführt werden. Da Skripte einfach nur Batch-, Programm- oder
WSH-Skriptdateien darstellen, stehen in ihnen keine Techniken zur Verfügung, mit
denen ein vorheriger Zustand erkannt und entschieden werden kann, dass die im
Skript festgelegten Einstellungen besser nicht angewendet werden sollten. Skripte
setzen voraus, dass sämtliche Einstellungen immer, komme was wolle, auch ange-
wendet werden. Durch dieses spezifische Verhalten kann es geschehen, dass eine im
Skript für die Benutzeranmeldung vorgesehene Einstellung eine gleichartige im
Skript für den Computerstart überschreibt. Da dies nichts anderes als die normale
vorgesehene Arbeitsweise von Skripten ist, müssen Sie sich als Administrator der
Folgen bewusst sein.
1. Sobald ein Benutzer einen Computer startet und sich anmeldet, laufen zwei
Typen von Skripten: Start- und Anmeldeskripte. Startskripte laufen sequenti-
ell ab (synchron). Jedes Skript muss erst komplett ablaufen oder per Zeitüber-
schreitung abbrechen, bevor das nächste Skript starten kann. Die Skripte
werden im Hintergrund ausgeführt und sind für den Benutzer nicht sichtbar.
Mit anderen Worten: Der Benutzer kann die Skripte nicht »ausspionieren«
und feststellen, welche Änderungen am System als Ergebnis des Startskripts
vorgenommen werden. Die Ausführungsreihenfolge der Startskripte wird im
Dialogfeld EIGENSCHAFTEN VON STARTEN (siehe Abbildung 6.73) festgelegt,
welches sich in WINDOWS-EINSTELLUNGEN, SKRIPTS, STARTEN im Gruppen-
richtlinieneditor befindet.
Anmeldeskripte laufen nach Startskripten und werden asynchron ausgeführt,
womit die Möglichkeit besteht, dass mehrere Skripte gleichzeitig ausgeführt
werden. Falls zwischen den Einstellungen in diesen Skripten Konflikte beste-
hen sollten, wird die letzte ausgeführte Einstellung angewendet. Falls daher
eine Einstellung in verschiedenen Skripten identisch ist, lässt sich nicht mehr
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 445
mit Sicherheit sagen, was das Endergebnis in der Ausführung der Skripte sein
wird. Als Faustregel sollten Sie daran denken, gleiche Einstellungen in meh-
reren Skripten zu vermeiden.
HINWEIS
Standardmäßige Zeitüberschreitungswerte
Abbildung 6.73
Die Verarbeitungs-
reihenfolge von
Startskripten kann
im Dialogfeld
EIGENSCHAFTEN VON
STARTEN unter
W INDOWS-EINSTEL-
LUNGEN, SKRIPTS,
STARTEN IM GRUP-
PENRICHTLINIENEDI-
TOR eingestellt wer-
den
446 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
HINWEIS
BAT- und CMD-Dateien
In Windows 2000 können Sie zwar sowohl BAT- als auch CMD-Dateien ausfüh-
ren, jedoch werden beide Typen ganz unterschiedlich ausgeführt. Batchdateien
werden innerhalb einer virtuellen Maschine von NT (NTVDM) ausgeführt und sind
mit DOS und MS Windows 3.x/9x kompatibel. Sie laufen im 16-Bit-Modus und
können daher bei einem Absturz auch die virtuelle Maschine zum Absturz bringen
(sofern diese von anderen Anwendungen mitbenutzt wird). CMD-Dateien laufen
im 32-Bit-Modus und werden unter Verwendung des Befehlsinterpreters
CMD.EXE im eigenen Speicherbereich ausgeführt. Probleme mit einer CMD-Da-
tei betreffen, da der Prozess isoliert verläuft, daher niemals die Ausführung ande-
rer Programme. Dieser Unterschied kann manchmal verwirrend sein, da die
Befehle, die Sie in BAT- oder CMD-Dateien schreiben können, im Großen und
Ganzen dieselben sind.
Nachdem Sie ein Skript erstellt haben, welches zu dem Zweck eingesetzt werden
soll, entweder den Computer zum Zeitpunkt des Startens oder Herunterfahrens oder
eine Benutzerumgebung zum Zeitpunkt der An- oder Abmeldung zu konfigurieren,
müssen Sie zwei Dinge tun: Als Erstes kopieren Sie die Datei in einen gemeinsam
genutzten Speicherungsort, damit sie von dort downgeloaded und ausgeführt wer-
den kann; typischerweise ein Ordner innerhalb der GPO-Struktur im Ordner SYS-
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 447
VOL auf einem Domänencontroller. Als Nächstes müssen Sie das Skript mit einem
GPO verknüpfen. Die folgende Schritt-für-Schritt-Anleitung führt Sie durch den
Vorgang des Kopierens und Verknüpfens von Skripts hindurch.
Abbildung 6.74
Abbildung 6.75
Abbildung 6.76
Im Dialogfeld
EIGENSCHAFTEN VON
ANMELDEN können
Sie Skripte hinzufü-
gen und die Liste
der Skripte anzei-
gen
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 449
8. An dieser Stelle können Sie Skripte hinzufügen. Falls mehrere Skripte aufge-
listet sein sollten, können Sie außerdem deren Eigenschaften bearbeiten oder
ein Skript entfernen. Darüber hinaus können Sie noch die Dateien anzeigen,
die hinter den hier genannten Skripten stehen und physisch auf der Festplatte
liegen. Zum Kopieren eines Skripts an die für Anmeldeskripte vorgesehene
Stelle klicken Sie zum Anzeigen eines Windows-Explorer-Fensters (siehe
Abbildung 6.77) auf DATEIEN ANZEIGEN und zeigen auf den Ordner, in dem
Sie das Anmeldeskript erstellt haben. Anschließend klicken Sie das Skript an
und ziehen es in das mit der Schaltfläche DATEIEN ANZEIGEN geöffnete Win-
dows Explorer-Fenster.
Abbildung 6.77
Das Windows-
Explorer-Fenster
zeigt eine Liste der
physischen Dateien
im GPT-Ordner
Logon an
HINWEIS
Die Gruppenrichtlinienvorlage
Damit eine Skriptdatei an Domänencontroller repliziert und als ein Gruppenrichtli-
nienskript ausgeführt werden kann, muss es sich physisch im Vorlagenpfad für
Gruppenrichtlinien auf einem Domänencontroller befinden. Der standardmäßige
Speicherungsort eines Anmeldeskripts befindet sich in der Freigabe SYSVOL des
Domänencontrollers in der Ordnerhierarchie <Domänenname>\Policies\<GPO-
GUID>\User\Scripts\Logon. Ein Abmeldeskript liegt in demselben Pfad mit der
Ausnahme, dass der Name des letzten Ordners Logoff anstelle von Logon lautet.
Start- und Anmeldeskripte befinden sich in der Ordnerhierarchie <Domänen-
name>\Policies\<GPO-GUID>\Machine\Scripts\Startup bzw. Shutdown in der
Freigabe SYSVOL.
Skripte können nur dann ausgeführt werden, wenn Sie zuvor an diese Speiche-
rungsorte kopiert werden.
450 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.78
Zum Kopieren
eines Skripts auf
der Festplatte zum
passenden Ordner
innerhalb der GPT
ziehen Sie es ein-
fach nur mit der
Maus vom
Ursprungsort zum
Windows Explorer,
den Sie mit der
Schaltfläche DATEI-
EN ANZEIGEN geöff-
net haben.
Abbildung 6.79
HINWEIS
Dateien dem Ordner für Skripte hinzufügen
Da die Berechtigungen automatisch von Windows 2000 bei der Einrichtung eines
Domänencontrollers konfiguriert werden, können nur Mitglieder der Gruppen Ad-
ministratoren, Domänen-Admins oder Organisations-Admins Dateien in die für
Skripte vorgesehenen Ordner kopieren. Der Grund liegt darin, dass die GPT-Ord-
nerstruktur alle Benutzer betrifft und daher auch besonders geschützt werden
muss. Falls Sie eine Datei in einen Skriptordner der GPT zu kopieren versuchen
und die Meldung erhalten, dass Sie nicht über die erforderlichen Berechtigungen
verfügen, wenden Sie sich bitte an Ihren Administrator.
Die Abbildung 6.78 zeigt einen Ordner namens SKRIPTE auf einem Laufwerk
E:, der Skripte für ein GPO enthält (diese Skripte sind Beispieldateien und
existieren nicht auf Ihrem Computer – Sie müssen selbst zwei solche Dateien
erstellen, um die folgende Erläuterung nachstellen zu können). Wenn Sie nun
zwei Dateien mit dem Namen PRINTERS.BAT und SHARES.CMD in das
richtige Verzeichnis für Anmeldeskripte kopieren möchten, müssen Sie die
Dateien nur markieren und dann mit der Maus in das Windows-Explorer-
Fenster Logon ziehen. Das Ergebnis zeigt Abbildung 6.79. Schließen Sie das
Windows-Exporer-Fenster wieder, wenn Sie mit dem Kopieren der Dateien
in den GPT-Ordner fertig sind.
Abbildung 6.80
Zum Suchen der bereits früher erstellten Dateien klicken Sie auf DURCHSU-
CHEN und kopieren die gefundene Datei in den entsprechenden Ordner. Be-
achten Sie, dass Sie sich automatisch im GPT-Ordner für den Skripttyp
452 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
befinden, den Sie hinzufügen möchten. Zum Verknüpfen mit diesem GPO
klicken Sie eine der Dateien an. Klicken Sie zum Abschluss auf OK. Wieder-
holen Sie diese Schritte für alle Skripte, die Sie hinzufügen möchten.
10. Nachdem Sie die Skripte hinzugefügt haben, gehen Sie wieder zum Dialog-
feld EIGENSCHAFTEN von ANMELDEN mit den darin enthaltenen Namen der
Skripte zurück (siehe Abbildung 6.81). Wenn Sie einen der Skriptnamen
anklicken, werden die Schaltflächen BEARBEITEN und ENTFERNEN aktiviert.
Zum Ändern der Parameter für Skriptausführung oder Speicherungsort des
Skripts klicken Sie die Schaltfläche BEARBEITEN an (BEARBEITEN bedeutet
hier nicht, das Skript direkt zu bearbeiten, sondern nur Änderungen an den
Ausführungsparametern vorzunehmen). Um ein Skript von der Ausführung
auszuschließen, klicken Sie auf die Schaltfläche ENTFERNEN. Mit ENTFER-
NEN wird das Skript nicht auf der Festplatte gelöscht, sondern nur die Ver-
knüpfung zwischen dem GPO und dem Skript entfernt. Die eigentliche
Skriptdatei müssen Sie manuell löschen.
11. Wenn Sie alle Skripte konfiguriert haben, klicken Sie auf ÜBERNEHMEN und
OK. Damit kehren Sie zum Gruppenrichtlinieneditor zurück.
12. Schließen Sie die MMC-Konsole des Gruppenrichtlinieneditors.
13. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Active
Directory-Container mit dem GPO zu schließen.
14. Zum Abschluss können Sie noch, wenn Sie wollen, die MMC-Konsole
ACTIVE DIRECTORY-BENUTZER UND -COMPUTER bzw. ACTIVE DIRECTORY-
STANDORTE UND -DIENSTE schließen.
Hinsichtlich der Konfiguration und dem Einsatz von Skripten ist für Sie besonders
die Frage wichtig, welche Skripttypen zur Verfügung stehen (Anmelden, Abmel-
den, Starten und Herunterfahren), und wofür diese Skripte benötigt werden. Skripte
sind in Windows 2000 nicht enthalten und müssen von Ihnen selbst manuell erstel-
len werden.
Skripte können mit GPOs verknüpft und Benutzern und Computern zugewiesen
werden. Skripte für Starten und Herunterfahren werden selbstverständlich nur Com-
putern zugewiesen. Ihre Ausführungsreihenfolge verläuft sequenziell, und bei Kon-
flikten in gleichen Einstellungen wird die letzte verarbeitete Einstellung angewen-
det. An- und Abmeldeskripte werden nur auf Benutzer angewendet und in keiner
bestimmten Reihenfolge ausgeführt (asynchron), sodass unvorhersehbare Konflikte
auftreten können.
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 453
Abbildung 6.81
Das Dialogfeld
EIGENSCHAFTEN VON
ANMELDEN nach
dem Hinzufügen
von Skripten
Abbildung 6.82
Weitere Windows-
Einstellungen für
die Computer- und
Benutzerkonfigura-
tion, die über GRUP-
PENRICHTLINIEN defi-
niert werden
können
Abbildung 6.83
Benutzerseitig über
GRUPPENRICHTLINI-
EN konfigurierbare
Einstellungen für
Internet Explorer
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 455
Abbildung 6.84
Benutzerseitig kon-
figurierbare Einstel-
lungen zur Benut-
zeroberfläche des
Browsers
Verbindung
Mit der Gruppenrichtlinie können Sie dafür sorgen, dass die Verbindungseinstellun-
gen transparent für den Benutzer im Hintergrund abgewickelt werden, ohne dass die
Benutzer krude Fehlermeldungen des Inhalts erhalten, dass aus dem einen oder
anderen Grunde keine Verbindung mit der Site möglich war. Zu den konfigurierba-
ren Optionen (siehe Abbildung 6.85) gehört die Möglichkeit, die Verbindungsein-
stellungen eines Benutzers durch einen vordefinierten Satz von Optionen zu erset-
zen. Sie können festlegen, ob die Einstellungen zu einem Proxyserver automatisch
erkannt werden sollen, oder Sie können eine Konfiguration eines Proxyservers auch
456 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
manuell erstellen und dem Benutzer zuweisen. Schließlich können Sie noch den
Benutzeragententext definieren, einen Identifikationstext, den der Browser bei der
Verbindung mit einer Website sendet.
Vorkonfigurierte URL-Einstellungen
Abbildung 6.85
Mit GRUPPENRICHTLI-
NIEN können auch
Verbindungsein-
stellungen des
Internet Explorer
definiert werden
IE-Sicherheitszonen
Abbildung 6.86
Abbildung 6.87
INTERNET EXPLORER-
WARTUNG erlaubt
dem Administrator
auch die Anpas-
sung der Sicher-
heitseinstellungen
Schließlich kann der Administrator auch noch die Programme festlegen, die gestar-
tet werden sollen (siehe Abbildung 6.88), wenn der Benutzer Usenet-Nachrichten
lesen, Internet-E-Mails abrufen oder senden, einen Anruf über das Internet empfan-
gen, Termine eingeben und abrufen, eine Webseite bearbeiten und nach Kontakten
suchen möchte. Eine Konfiguration all dieser Optionen ist zum Herbeiführen eines
unternehmensweiten Standards für alle oder bestimmte Benutzergruppen möglich.
458 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.88
Programmeinstel-
lungen in INTERNET
EXPLORER-WAR-
TUNG, die dem
Administrator die
Festlegung der Pro-
gramme erlauben,
die für die E-Mail
verwendet werden
sollen
Ein Beispiel hierfür wäre der Ordner Eigene Dateien, der oft dazu benutzt wird, die
Textverarbeitung, das Tabellenkalkulationsprogramms oder andere Dateien des
Benutzers aufzunehmen. Damit diese Dateien in die Sicherung einbezogen werden,
können Sie sie in eine Netzwerkfreigabe auf einem Laufwerk umleiten, welches
6.5 Benutzerumgebungen mit Gruppenrichtlinien verwalten 459
jede Nacht gesichert wird. Andere Ordner wie etwa die Desktopverknüpfungen, die
Startmenükonfiguration oder die Ordner mit den Anwendungsdaten können auf
dem lokalen Laufwerk bleiben.
Abbildung 6.89
Die benutzerseiti-
gen Einstellungen
zur Ordnerumlei-
tung, die über
GRUPPENRICHTLINI-
EN konfiguriert wer-
den können
Abbildung 6.90
Abbildung 6.91
Die grundlegen-
den Konfigurations-
einstellungen in
dem Fall, dass alle
Benutzerordner an
denselben Ort
umgeleitet worden
sind
Zum Umleiten eines Ordners an einen anderen als den standardmäßigen Ort wählen
Sie zuerst den Ordner aus, klicken mit der rechten Maustaste auf dem Namen, und
wählen dann im Kontextmenü EIGENSCHAFTEN aus. Ein Dialogfeld (siehe Abbil-
dung 6.90) ermöglicht Ihnen die Festlegung der Art und Weise, wie Sie den Ordner
umleiten. Sie können ihn zu einem gemeinsamen Pfad für alle Benutzer (Standard)
oder zu einem anderen Pfad auf der Grundlage der Gruppenmitgliedschaft des
Benutzers (Erweitert) umleiten, oder aber die aktuellen Einstellungen unverändert
lassen.
Wenn Sie alle Benutzerordner auf denselben Pfad umleiten, haben Sie die Möglich-
keit, weitere Konfigurationen des Ordners vorzunehmen, was beispielsweise bein-
haltet, ob Sie den aktuellen Inhalt des Ordners zum neuen Pfad verschieben möch-
ten. Weiterhin legen Sie fest, ob Sie dem entsprechenden Benutzer exklusive
Zugriffsrechte für den umgeleiteten Ordner gewähren. Benutzer, die auf diesen Ord-
ner keinen Zugriff haben sollen, werden dadurch an der Anzeige seines Inhalts
gehindert. Sie legen außerdem fest, was in dem Fall passiert, wenn die Ordnerum-
leitungsrichtlinie entfernt wird. In Abhängigkeit von dem Ordner, den Sie umleiten,
stehen Ihnen noch andere Einstellungen zur Verfügung.
Directory und Gruppenrichtlinien wurde dieses Ziel weitgehend erreicht. Mit Grup-
penrichtlinien kann der Administrator Benutzer- und Computereinstellungen auf der
Ebene des Standorts, der Domäne oder OU definieren und diese selektiv auf Benut-
zer und Computer anwenden. Bei der Konfiguration von Benutzer- und Computer-
umgebungen greift der Administrator auf administrative Vorlagen zurück, die die
benötigten Einstellungen enthalten. Durch administrative Vorlagen werden auf dem
Zielcomputer entweder die Registrierungseinträge für den Benutzer oder Computer
modifiziert. Falls administrative Vorlagen in einer spezifischen Situation einmal
nicht ausreichen, können Sie über Skripte weitere Elemente der Benutzer- und
Computerumgebung konfigurieren.
씰 Erstellen Sie nicht zu viele GPOs. Es ist zwar möglich, GPOs auf der Ebene
des Standorts, der Domäne und OU zu erstellen, jedoch sollten Sie darauf
achten, nicht zuviel des Guten zu tun. Ideal ist die geringstmögliche Menge
von GPOs, die zur Unterstützung der Anforderungen innerhalb der Organisa-
tion oder des Unternehmens notwendig ist. Wenn Sie keine GPOs auf Stand-
ortebene brauchen, sollten Sie auch keine solchen erstellen. Wahrscheinlich
werden Sie mindestens ein GPO auf Domänenebene erstellen, sollten sich
aber genau überlegen, ob ein zweites oder drittes noch einen Nutzen bringen
kann. Erstellen Sie GPOs auf OU-Ebene nur dann, wenn die OU sehr spezifi-
sche Eigenschaften besitzt, die nicht von allen Benutzern und Computern in
462 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
der Domäne genutzt werden. Strenge Planung hat zur Folge, dass weniger
GPOs erstellt werden, und weniger GPOs wiederum verursachen ein geringe-
res Fehlerpotenzial. Außerdem würden viele GPOs den Anmeldevorgang für
die Benutzer entsprechend verlängern.
씰 Verwenden Sie zur Kontrolle des Desktops benutzerseitige und nicht compu-
terseitige Einstellungen. Computerseitige GPO-Einstellungen werden nur auf
den Computer angewendet und betreffen die Benutzer, die sich an dem jewei-
ligen Computer anmelden. Benutzerseitige Einstellungen werden auf den Be-
nutzer angewendet, und zwar unabhängig davon, an welchem Computer im
Netzwerk er sich anmeldet. Da der Bereich benutzerseitiger Einstellungen
potenziell größer ist, bieten diese eine bessere Kontrolle über die Benutzer-
umgebung.
씰 Melden Sie sich nach Änderungen eines GPO als betroffener Benutzer an und
testen Sie, ob die Änderungen wie gewünscht umgesetzt werden. Das
Schlechteste, was ein Administrator von einer Gruppenrichtlinie denken
kann, ist, dass sie sofort funktionieren wird – Glauben ist nicht Wissen!
Sämtliche Einstellungen und Skripte sollten vor der Implementierung der
Richtlinie immer ausgiebig getestet werden. Durch Filtern gewährleisten Sie,
dass bis zur Freigabe der Richtlinie in der gesamten Organisation nur Testbe-
nutzer von der Richtlinie betroffen sind.
6.6 Fehlerbehebung bei Gruppenrichtlinien 463
씰 Das A und O: Absoluten Vorrang hat die sorgfältige Planung der Gruppen-
richtlinie. Sie sollten sich immer wieder die Frage stellen, welches Ziel Sie
erreichen möchten, und welches der beste Weg ist, dieses Ziel zu erreichen.
Die Gruppenrichtlinie kann die richtige Antwort sein – wenn ja, planen Sie
deren Einführung und Konfiguration sorgfältig. Vergessen Sie auch nicht,
wie zuvor erwähnt, den sorgfältigen Test. Es gibt nichts Schlimmeres für Ih-
ren Ruf als eine schlecht vorbereitete und unreife Implementierung einer
Funktion, die die weitreichendsten Auswirkungen haben kann!
씰 Delegieren Sie die Kontrolle über GPOs nicht an andere Personen, sofern
dies nicht notwendig ist. Zu viele Köche verderben den Brei – als Administ-
rator sollten Sie eigentlich immer gern die Kontrolle in Ihren eigenen Händen
behalten wollen, und diese nicht leichtfertig weggeben! In manchen Situatio-
nen wie beispielsweise in der Organisation eines multinationalen Unterneh-
mens sind Sie natürlich gezwungen, die Kontrolle teilweise aufzugeben und
in die Hände anderer Leute zu legen.
Wie zuvor schon angedeutet, lautet das Kardinalprinzip beim Planen und Imple-
mentieren der Gruppenrichtlinie KIS – Keep It Simple! Packen Sie nicht zuviel in
eine einzige Gruppenrichtlinie hinein. Vermeiden Sie aber auch viele Gruppenricht-
linien, weil Sie dann längere Anmeldezeiten hinnehmen müssen. Verlegen Sie all-
gemeine Einstellungen in die Domänen- und spezifische in die OU-Ebene. Erstellen
Sie nicht auf jeder OU-Ebene eine Gruppenrichtlinie (nur eine dort, wo sie auch
benötigt wird), und sorgen Sie dafür, dass die Richtlinien über Vererbung weiterge-
reicht werden.
Falls diese Ratschläge noch nicht geholfen haben sollten, haben Sie unter Umstän-
den ein ganz simples Problem, dem man leicht beikommen kann.
Der Versuch, ein GPO zu Dieses Problem tritt gele- Vergewissern Sie sich, dass
bearbeiten, führte zu der gentlich dann auf, wenn ein Domänencontroller
Fehlermeldung, dass das Netzwerkprobleme verfügbar ist.
GPO nicht geöffnet werden vorliegen. Dies können Vergewissern Sie sich, dass
konnte. physische Probleme mit dem keine Netzwerkprobleme
Netzwerk, nicht verfügbare existieren.
Server oder (sehr wahr- Überprüfen Sie die DNS-
scheinlich) DNS-Konfigura- Konfiguration und Verfüg-
tionsprobleme sein. barkeit von DNS.
Die häufigsten Fehler, die im Zusammenhang mit der Verarbeitung einer Gruppen-
richtlinie auftreten, können leicht beseitigt werden, wenn Sie mit logischer Überle-
gung an das Problem herangehen. Überprüfen Sie als Erstes die zur Verfügung ste-
henden Domänencontroller und stellen Sie fest, ob sie die betreffenden
Gruppenrichtlinienvorlagen enthalten. Überlegen Sie als Nächstes Schritt für
Schritt, was eigentlich hätte passieren sollen, und wie die der Gruppenrichtlinie
zugewiesenen Berechtigungen lauten. Die meisten Probleme haben mit Berechti-
gungen oder damit zu tun, dass sich das GPO nicht auf der richtigen Ebene befindet.
Falls dies nicht ausreicht und eine ausgedehnte Überprüfung der Verarbeitung des
GPO erforderlich wird, können Sie die Überwachung einschalten.
Die Überwachung eines GPO konfigurieren Sie mit der folgenden Schritt-für-
Schritt-Anleitung.
2. Klicken Sie mit der rechten Maustaste auf dem Container mit dem GPO, für
welches Sie die Überwachung konfigurieren möchten, und wählen Sie im
Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie im angezeigten Dialogfeld die Registerkarte GRUPPENRICHTLINIE
an.
4. Wählen Sie das GPO aus, für welches Sie die Überwachung konfigurieren
möchten, und klicken Sie auf die Schaltfläche EIGENSCHAFTEN.
5. Klicken Sie im Dialogfeld EIGENSCHAFTEN die Registerkarte SICHERHEITS-
EINSTELLUNGEN an.
Abbildung 6.92
Abbildung 6.93
Die Registerkarte
ÜBERWACHUNG des
Dialogfeldes mit
den erweiterten
Zugriffseinstellun-
gen für eine Grup-
penrichtlinie
468 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Abbildung 6.94
Das Dialogfeld
ÜBERWACHUNGSEIN-
TRAG für die Grup-
penrichtlinie
Falls Sie die Überwachung auf die untergeordneten Objekte des aktuellen
Containers ausweiten möchten, können Sie den Ausdehnungsbereich auf die
aktuelle Ebene begrenzen, indem Sie das Kontrollkästchen ÜBERWACHUNGS-
EINTRÄGE NUR FÜR OBJEKTE UND/ODER CONTAINER DIESES CONTAINERS
ÜBERNEHMEN aktivieren.
Mit der Schaltfläche ALLES LÖSCHEN löschen Sie alle vorgenommenen Ein-
stellungen auf einmal. Falls Sie einen Fehler gemacht haben und ganz von
vorne anfangen möchten, oder falls in der Überwachung ein Fehler steckt und
Sie die Einstellungen neu initialisieren möchten, wird Ihnen diese Schaltflä-
che von Nutzen sein.
10. Wenn Sie die Festlegung der Berechtigungen und Eigenschaften des GPO,
die überwacht werden sollen, abgeschlossen haben, speichern Sie Ihre Ein-
stellungen mit OK. Sie sollten wenigstens die Überwachung der fehlgeschla-
genen (bzw. erfolgreicher und fehlgeschlagener) Zugriffe LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN aktiviert haben, um die Anwendung des
GPO verfolgen zu können.
11. Klicken Sie auf ÜBERNEHMEN, und anschließend zum Schließen des Dialog-
feldes ZUGRIFFSEINSTELLUNGEN auf OK.
6.6 Fehlerbehebung bei Gruppenrichtlinien 469
12. Klicken Sie zum Schließen des Dialogfeldes mit den Eigenschaften des GPO
und Speichern Ihrer Einstellungen auf OK.
13. Klicken Sie zum Schließen des Dialogfeldes für den Active Directory-Con-
tainer auf OK.
14. Schließen Sie auch die MMC-Konsole.
Nachdem Sie die Überwachung konfiguriert haben, können Sie die Ergebnisse der
Überwachung durch Anzeige der Ereignisanzeige und darin des Sicherheitsproto-
kolls überprüfen (siehe Abbildung 6.95), was Ihnen genügend Informationen über
die Verarbeitung des GPO liefern sollte. Außerdem können Sie daraus ersehen, bei
welchen Benutzern und Computern die GPO-Verarbeitung auf Schwierigkeiten
stößt.
Abbildung 6.95
Überwachungsein-
träge für Gruppen-
richtlinien werden
im Sicherheitspro-
tokoll der Ereignis-
anzeige angezeigt
Bei der Fehlerbehebung für Gruppenrichtlinien müssen Sie als Erstes festlegen, was
falsch läuft, und wer davon betroffen ist. Überprüfen Sie daher die Verarbeitung des
GPO im Hinblick sowohl auf die Berechtigungen für das GPO als auch auf Verer-
bung und Deaktivierung. Falls ein Problem schwierig zu verfolgen ist, können Sie
die Überwachung einschalten, um Erfolg oder Fehlschlag von GPO-Ereignissen zu
protokollieren, was Ihnen die Möglichkeit gibt, die einzelnen Verarbeitungsschritte
nachzuvollziehen und damit der Problemlösung näher zu kommen.
470 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Situationsbeschreibung
In diesem Kapitel haben Sie erfahren, was Gruppenrichtlinien sind und wie sie
zur Verwaltung der Benutzer- und Computerumgebung verwendet werden kön-
nen. Da die Sonnenschein-Brauerei ein international tätiges Unternehmen ist,
bieten sich Gruppenrichtlinien zur Unterstützung der Konfiguration von Benut-
zer- und Computereinstellungen im gesamten Unternehmen an.
Die Implementierung von Active Directory-Standorten, OUs und Domänen in
der Sonnenschein-Brauerei ist, wie auch die Migration der Desktop- und Note-
book-Computer der Benutzer auf Windows 2000, erfolgreich verlaufen. Alle
wichtigen Benutzercomputer laufen jetzt auf der Windows-2000-Plattform. Sie
als Hauptadministrator der Sonnenschein-Brauerei erhalten nun sowohl von
den Junior-Administratoren der verschiedenen Büros als auch vom Manage-
ment verschiedene Anfragen nach der Implementierung spezifischer Anpassun-
gen.
472 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Situationsanalyse
Wie Sie sehen, reichen die Anfragen und Anforderungen von unternehmens-
weiten Themen bis hin zu abteilungsspezifischen Elementen, von denen nur ein
Teil der Organisation betroffen ist. Ihre Lösung muss alle diese Elemente
umfassen und trotzdem hinsichtlich der Verwaltbarkeit unproblematisch sein.
Die beste Lösung für alle diese Anforderungen besteht im Einsatz der Gruppen-
richtlinien von Windows 2000, wobei Sie sich insbesondere der administrati-
ven Vorlagen und der Konfigurationsoptionen zu Windows-Einstellungen im
GPO bedienen werden.
Die erste Anforderung (unternehmensweites Hintergrundbild mit dem Unter-
nehmenslogo) erfüllen Sie, indem Sie eine Gruppenrichtlinie auf Domänen-
ebene erstellen, die das zu verwendende Hintergrundbild spezifiziert. Sie geben
einen Speicherungsort für das Bild in einer Netzwerkfreigabe an, die über einen
fehlertoleranten DFS-Link an andere Server repliziert wird. Diese Anforderung
können Sie über das von Windows 2000 Active Directory installierte GPO
Default Domain Policy implementieren.
Die Anforderung der Vertriebsbenutzer nach einem Hintergrundbild mit den
aktuellen Verkaufszahlen erfüllen Sie, indem Sie ein GPO auf Standortebene
erstellen, welches ein solches Hintergrundbild spezifiziert. Da dieses Bild auf
Ebene der Domänenrichtlinie nicht modifiziert werden soll, stellen Sie KEIN
VORRANG in der Standortrichtlinie ein, um sicherzustellen, dass die Einstellung
nicht geändert wird. Damit dieses GPO außerdem nur auf die Vertriebsbenutzer
am Standort angewendet wird, filtern Sie das GPO, damit seine Inhalte nur auf
die Mitglieder der Sicherheitsgruppe Vertrieb angewendet werden.
Damit Benutzer, die nicht mit dem Netzwerk verbunden sind oder deren Server
nicht verfügbar ist, den Zugriff auf ihre Dateien bekommen, konfigurieren Sie
über ein GPO in der Unternehmenszentrale in Ottawa die Unterstützung für
Offline-Dateien, in welchem Sie die freigegebenen Ordner festlegen, für wel-
che die Offline-Unterstützung besteht. Auf diese Weise können die Benutzer
mit ihren Dateien auch außerhalb des Büros arbeiten und Dateien, an denen sie
gerade arbeiten, auf ihren Computer kopieren lassen.
Zur Unterstützung des Helpdesk-Personals, welches eine Favoriten-Verknüp-
fung im IE haben möchte, die auf die Website des Helpdesk verweist, erstellen
Sie ein GPO auf Domänenebene mit der Option KEIN VORRANG. Das GPO fügt
den URL der Website der Favoritenliste der Benutzer hinzu. So steht diese Ver-
knüpfung allen Benutzern permanent zur Verfügung.
Zusammenfassung 473
Zusammenfassung
Sie haben in diesem Kapitel die Gruppenrichtlinie kennen gelernt und erfahren, wie
Sie sie zum Durchsetzen einer konsistenten Konfiguration auf der Ebene des Stand-
orts, der Domäne und/oder der OU verwenden können. Die Gruppenrichtlinie ist
eine sehr leistungsfähige Funktion von Windows 2000 und stellt gegenüber der Sys-
temrichtlinie, die unter Windows 9x und Windows NT zur Verfügung stand, eine
bedeutende Verbesserung dar.
Über die Konfigurierung der Gruppenrichtlinie können Sie festlegen, wie ein Com-
puter konfiguriert wird, und ob die Benutzer Änderungen an bestimmten Computer-
konfigurationen vornehmen dürfen. Sie haben weiterhin die Gelegenheit, Desktop-
einstellungen und andere Eigenschaften der Benutzer unabhängig davon, wo und
474 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
wie sich diese im Netzwerk oder in der Domäne anmelden (über den Arbeitsplatz-
PC, eine DFÜ-Verbindung, einen anderen Netzwerknoten in demselben Standort
oder über einen Computer irgendwo sonst auf der Welt), zu sperren.
Gruppenrichtlinien, die auf einer höheren Ebene wie etwa einer Domäne oder einem
Standort definiert werden, werden automatisch an alle Active Directory-Objekte
niedrigerer Ebenen wie etwa OUs vererbt. Ein lokaler Administrator, der für eine
Unterdomäne oder OU verantwortlich ist, kann die Richtlinienvererbung aus höhe-
ren Ebenen wie einem Standort deaktivieren und damit sicherstellen, dass nur seine
GPOs verarbeitet werden. Der Administrator der höheren Ebene wiederum verfügt
über die Option, die Deaktivierung der GPO-Anwendung auf untere Ebenen zu
überschreiben und GPO-Einstellungen auch dann durchzusetzen, wenn diese auf
der unteren Ebene deaktiviert sind.
Schlüsselbegriffe
쎲 Administrative Vorlagen 쎲 Gruppenrichtlinienvorlage
쎲 Anmelde/Abmeldeskripte 쎲 Gruppenrichtlinienvorrang
쎲 GPO-Bereich 쎲 GUID
쎲 GPO-Vererbung 쎲 Kein Vorrang
쎲 Gruppenrichtlinie durchsetzen 쎲 Ordnerumleitung
쎲 Gruppenrichtlinien-Container 쎲 Registrierung
쎲 Gruppenrichtlinienfilter 쎲 Richtlinienvererbung
deaktivieren
쎲 Gruppenrichtlinienobjekt 쎲 Starten/Herunterfahren-
Skripte
Lernzielkontrolle
Übungen
Die Übungen dieses Kapitels setzen voraus, dass Sie auf einem Computer Windows
2000 Server (bzw. Advanced Server) installiert haben. Damit die Übungen korrekt
verlaufen können, muss Ihr Windows 2000 Server gleichzeitig der Domänencon-
troller einer Domäne sein. Weiterhin müssen Sie sich als Administrator am System
anmelden können. Ihr Benutzerkonto muss Mitglied entweder der Gruppe Organi-
sations-Admins oder Domänen-Admins sein. Es reicht, wenn Sie das Kennwort für
den Benutzer Administrator kennen.
476 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Führen Sie zum Erstellen der OUs, Gruppen und Benutzer die folgenden Schritte
aus:
1. Melden Sie sich am Domänencontroller unter Windows 2000 Server als Ad-
ministrator für Ihre Domäne an.
2. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORY-BE-
NUTZER UND -COMPUTER, um die MMC-Konsole zum Verwalten der Benut-
zer und Computer Ihrer Domäne zu starten.
3. Klicken Sie mit der rechten Maustaste auf Ihrer Domäne und wählen Sie im
Kontextmenü NEU/ORGANISATIONSEINHEIT aus. Geben Sie im angezeigten
Dialogfeld Forschung ein.
4. Wiederholen Sie den Schritt 3 zum Hinzufügen der Organisationseinheit Ver-
trieb.
5. Klicken Sie mit der rechten Maustaste auf der OU Forschung und wählen Sie
im Kontextmenü NEU/GRUPPE aus. Geben Sie als Gruppennamen Entwickler,
als Gruppenbereich LOKALE DOMÄNE und als Gruppentyp SICHERHEIT ein.
6. Wiederholen Sie den Schritt 5 zum Erstellen einer domänenlokalen Sicher-
heitsgruppe namens Telemarketing in der OU Vertrieb.
7. Nehmen Sie in die OU Vertrieb drei neue Benutzer mit den Anmeldenamen
HowardH (Howard Ham), PhilC (Philip Chambers) und NatashaW (Natasha
Wilson) auf. Machen Sie PhilC und NatashaW (nicht jedoch HowardH) zu
Mitgliedern der Gruppe Telemarketing. Geben Sie nach Aufforderung für je-
den Benutzer das Kennwort kennwort ein. Lassen Sie bei allen anderen Ein-
stellungen die Standardwerte stehen.
8. Fügen Sie der OU Forschung zwei neue Benutzer mit den Anmeldenamen
RalphD (RalpDowning) und TimC (Tim Clark) hinzu. Machen Sie TimC
zum Mitglied der Gruppe Entwickler. Geben Sie nach Aufforderung für jeden
Benutzer das Kennwort kennwort ein. Lassen Sie bei allen anderen Einstel-
lungen die Standardwerte stehen.
Lernzielkontrolle 477
Führen Sie die folgenden Schritte zum Erstellen der Computerrichtlinien für die OU
Forschung durch:
1. Starten Sie, während Sie als Administrator angemeldet sind, ACTIVE DIREC-
TORY-BENUTZER UND -COMPUTER.
2. Blenden Sie Ihre Domäne ein, und klicken Sie mit der rechten Maustaste auf
der OU Forschung. Wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie auf der Registerkarte GRUPPENRICHTLINIE auf NEU, geben Sie
den Namen Forschung-Gruppenrichtlinie ein und drücken Sie (Enter).
Führen Sie zum Bearbeiten der Computereinstellungen der administrativen Vorlage
für Forschung folgende Schritte aus:
3. Blenden Sie in der Baumstruktur der Konsole SYSTEM ein, klicken Sie auf
DATENTRÄGERKONTINGENTE, und klicken Sie im Detailfenster zweimal auf
DATENTRÄGERKONTINGENTE ERMÖGLICHEN.
478 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Führen Sie die folgenden Schritte zum Erstellen der Richtlinie Telemarketing-
Benutzer aus:
2. Blenden Sie Ihre Domäne ein, klicken Sie mit der rechten Maustaste auf der
OU Vertrieb, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie auf der Registerkarte GRUPPENRICHTLINIE auf NEU, geben Sie als
Namen Telemarketing-Gruppenrichtlinie ein, und drücken Sie (Enter).
Lernzielkontrolle 479
Führen Sie zum Bearbeiten der Einstellungen der administrativen Vorlage für die
Telemarketing-Benutzer folgende Schritte aus:
4. Stellen Sie sicher, dass die Gruppe Telemarketing markiert und die Kontroll-
kästchen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN unter ZULASSEN ak-
tiviert sind. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN auf
OK.
5. Wählen Sie TELEMARKETING-GRUPPENRICHTLINIE aus und klicken Sie auf
BEARBEITEN. Der Gruppenrichtlinieneditor wird gestartet.
6. Blenden Sie in der Baumstruktur der Gruppenrichtlinie BENUTZERKONFIGU-
RATION und ADMINISTRATIVE VORLAGEN ein.
7. Klicken Sie in der Konsole auf STARTMENÜ UND TASKLEISTE und klicken Sie
im Detailfenster zweimal auf MENÜEINTRAG »AUSFÜHREN« AUS DEM
STARTMENÜ ENTFERNEN.
8. Wählen Sie im Dialogfeld EIGENSCHAFTEN AKTIVIERT aus, und klicken Sie
auf OK.
9. Klicken Sie in der MMC-Konsole des Gruppenrichtlinieneditors auf SYSTEM-
STEUERUNG (zwei Ordner unterhalb von STARTMENÜ UND TASKLEISTE).
10. Klicken Sie zur Anzeige des Dialogfeldes EIGENSCHAFTEN zweimal auf SYS-
TEMSTEUERUNG DEAKTIVIEREN im Detailfenster.
11. Klicken Sie auf AKTIVIERT und OK, um das Dialogfeld EIGENSCHAFTEN VON
SYSTEMSTEUERUNG zu schließen.
12. Schließen Sie die MMC-Konsole des Gruppenrichtlinieneditors.
13. Schließen Sie das Dialogfeld mit den Eigenschaften der OU Vertrieb und be-
enden Sie auch ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
14. Starten Sie Ihren Computer neu, damit die Änderungen wirksam werden.
Um den Neustart Ihres Computers zu vermeiden, können Sie auch auf START/
PROGRAMME/ZUBEHÖR/EINGABEAUFFORDERUNG klicken. Im Fenster der
Eingabeaufforderung geben Sie dann Folgendes ein:
480 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
1. Falls Sie gerade am Computer angemeldet sind, melden Sie sich ab und er-
neut als HowardH mit dem Kennwort kennwort wieder an.
2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/WIN-
DOWS EXPLORER.
3. Blenden Sie ARBEITSPLATZ ein, und klicken Sie das Laufwerk C: an. Wie
viel freier Speicherplatz wird im Windows Explorer für dieses Laufwerk an-
gezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Klicken Sie eine andere verfügbare NTFS-Partition an, und überprüfen Sie
den für HowardH verfügbaren freien Speicherplatz. Wie viel davon steht zur
Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Warum steht dem Benutzer auf jeder NTFS-Partition dieser Speicherplatz zur
Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
6. Klicken Sie auf START/EINSTELLUNGEN. Steht die Systemsteuerung dort zur
Verfügung? Wenn ja, warum, bzw. wenn nein, warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
7. Klicken Sie auf START. Steht die Option AUSFÜHREN im Startmenü zur Ver-
fügung? Wenn ja, warum, bzw. wenn nein, warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
Lernzielkontrolle 481
Zum Erstellen einer Freigabe und eines Anmeldeskripts führen Sie nun die folgen-
den Schritte aus:
7. Geben Sie noch in Notepad den folgenden Text in die Datei ein:
net use k: \\<server>\corpdata
wobei <server> der Name Ihres Computers ist. Speichern Sie die Datei und
beenden Sie Notepad.
8. Schließen Sie Windows Explorer.
Führen Sie die folgenden Schritte zum Erstellen einer Gruppenrichtlinie für ein
Anmeldeskript aus:
teityp SKRIPTDATEIEN fest. Klicken Sie zum Schließen des Dialogfeldes HIN-
ZUFÜGEN EINES SKRIPTS auf OK.
11. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON ANMEL-
DEN auf OK.
1. Melden Sie sich, falls Sie gegenwärtig am Computer angemeldet sind, ab und
erneut als RalphD mit dem Kennwort kennwort wieder an.
2. Klicken Sie zum Start von WINDOWS EXPLORER AUF START/PROGRAMME/
ZUBEHÖR/WINDOWS EXPLORER.
3. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freiga-
be CORPDATA auf Ihrem Computer? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Melden Sie sich ab, und erneut als HowardH mit dem Kennwort kennwort an.
5. Klicken Sie zum Start von WINDOWS EXPLORER AUF START/PROGRAMME/
ZUBEHÖR/WINDOWS EXPLORER.
6. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freiga-
be CORPDATA auf Ihrem Computer? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
7. Melden Sie sich in Windows 2000 ab.
6.7 Vorhandenes GPO mit einer OU verknüpfen
In dieser Übung werden Sie die Forschung-Anmeldeskriptrichtlinie mit der OU
Vertrieb verknüpfen. Der Grund ist, dass der Vertrieb Zugriff auf Terminpläne
haben muss, die von den Benutzern aus der OU Forschung in der Freigabe CORP-
DATA abgelegt werden.
484 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
1. Melden Sie sich am Domänencontroller unter Windows 2000 Server als Ad-
ministrator für Ihre Domäne an.
2. Klicken Sie auf START/PROGRAMME/VERWALTUNG/ACTIVE DIRECTORY-BE-
NUTZER UND -COMPUTER, um die MMC-Konsole zum Verwalten der Benut-
zer und Computer in Ihrer Domäne zu öffnen.
3. Blenden Sie Ihre Domäne ein, klicken Sie mit der rechten Maustaste auf der
OU Vertrieb, und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
4. Klicken Sie auf die Registerkarte ALLE, wählen Sie FORSCHUNG-ANMELDE-
SKRIPTRICHTLINIE aus, und klicken Sie auf OK.
1. Melden Sie sich am Computer ab, und erneut als RalpD mit dem Kennwort
kennwort wieder an.
2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZU-
BEHÖR/WINDOWS EXPLORER.
3. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freiga-
be CORPDATA auf Ihrem Computer? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Melden Sie sich ab, und erneut als HowardH mit dem Kennwort kennwort an.
5. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZU-
BEHÖR/WINDOWS EXPLORER.
6. Blenden Sie ARBEITSPLATZ ein. Existiert ein Netzlaufwerk K: für die Freiga-
be CORPDATA auf Ihrem Computer? Warum bzw. warum nicht?
Lernzielkontrolle 485
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
7. Melden Sie sich in Windows 2000 ab
6.9 Administrative Kontrolle der Gruppenrichtlinie delegieren
In dieser Übung werden Sie die Verwaltung der Richtlinie von Telemarketing an
HowardH delegieren, der Manager der Vertriebsabteilung ist. Da die Organisation
recht klein ist, sind auch seine Ressourcen knapp. Howard hat schon einige Win-
dows-2000-Kurse besucht und kennt sich etwas mit Active Directory und Gruppen-
richtlinien aus. Sie glauben, dass er in der Lage ist, die Richtlinie für den Teil des
Unternehmens, für den er verantwortlich ist, zu verwalten.
1. Melden Sie sich in Windows 2000 als Administrator für Ihre Domäne an.
2. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und blenden Sie
Ihre Domäne ein. Klicken Sie mit der rechten Maustaste auf der OU Vertrieb
und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an, wählen Sie TELEMAR-
KETING-GRUPPENRICHTLINIE aus, und klicken Sie auf EIGENSCHAFTEN.
1. Melden Sie sich in Windows 2000 als HowardH mit dem Kennwort kennwort
an.
2. Starten Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER und blenden Sie
Ihre Domäne ein. Klicken Sie mit der rechten Maustaste auf der OU Vertrieb
und wählen Sie im Kontextmenü EIGENSCHAFTEN aus.
3. Klicken Sie die Registerkarte GRUPPENRICHTLINIE an und wählen Sie TELE-
MARKETING-GRUPPENRICHTLINIE aus. Welche der sechs Schaltflächen unten
im Dialogfeld stehen HowardH zur Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Klicken Sie FORSCHUNG-ANMELDESKRIPTRICHTLINIE an. Gibt es in den
HowardH zur Verfügung stehenden Schaltflächen einen Unterschied zwi-
schen Telemarketing-Gruppenrichtlinie und Forschung-Anmeldeskriptricht-
linie?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Klicken Sie auf TELEMARKETING-GRUPPENRICHTLINIE und dann auf EIGEN-
SCHAFTEN. Kann HowardH die Berechtigungen für dieses GPO ändern? Wa-
rum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
6. Schließen Sie das Dialogfeld EIGENSCHAFTEN VON TELEMARKETING-GRUP-
PENRICHTLINIE und klicken Sie auf BEARBEITEN. Wird jetzt der MMC-Grup-
penrichtlinieneditor angezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
Lernzielkontrolle 487
7. Sie werden jetzt als HowardH das GPO ändern und dem Startmenü die Op-
tion ABMELDEN hinzufügen. Blenden Sie dazu BENUTZERKONFIGURATION,
ADMINISTRATIVE VORLAGEN, STARTMENÜ UND TASKLEISTE ein. Klicken Sie
im Detailfenster zweimal auf OPTION »ABMELDEN« DEM STARTMENÜ HINZU-
FÜGEN. Klicken Sie auf AKTIVIERT. Konnte HowardH die GPO-Einstellung
ändern? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
8. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON OPTION
»ABMELDEN« DEM STARTMENÜ HINZUFÜGEN auf OK, und schließen Sie auch
den MMC-Gruppenrichtlinieneditor.
9. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON VERTRIEB
auf OK, und schließen Sie auch ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER.
In dieser Übung werden Sie die Richtlinienvererbung für die OU Vertrieb deaktivie-
ren und gleichzeitig filtern, um sicherzustellen, dass die Telemarketing-Richtlinie
nur auf Benutzer in der Sicherheitsgruppe Telemarketing durchgesetzt wird.
Schritte aus:
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Klicken Sie zum Schließen des Dialogfeldes EIGENSCHAFTEN VON TELEMAR-
KETING-GRUPPENRICHTLINIE auf OK.
1. Melden Sie sich am Computer als NatashaW (eines der Mitglieder der Si-
cherheitsgruppe Telemarketing) mit dem Kennwort kennwort an.
2. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZU-
BEHÖR/WINDOWS EXPLORER.
3. Blenden Sie ARBEITSPLATZ ein, und klicken Sie das Laufwerk C: an. Wie
viel freier Speicherplatz auf dem Datenträger wird angezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
4. Klicken Sie auf eine andere NTFS-Partition, falls verfügbar, und überprüfen
Sie, wie viel freier Speicherplatz NatashaW zur Verfügung steht. Wie viel da-
von hat Sie?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
5. Warum steht dem Benutzer auf den einzelnen NTFS-Partitionen diese Menge
an Speicherplatz zur Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
6. Klicken Sie auf START/EINSTELLUNGEN. Wird unter EINSTELLUNGEN die
SYSTEMSTEUERUNG angezeigt? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
Lernzielkontrolle 489
7. Klicken Sie auf START. Steht die Option AUSFÜHREN im Startmenü zur Ver-
fügung? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
8. Werden die Computereinstellungen der Richtlinie für die Organisationsein-
heit Forschung auf Ihrem Computer durchgesetzt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
9. Werden die Benutzereinstellungen der Richtlinie für die Organisationseinheit
Vertrieb auf Ihrem Computer durchgesetzt?
10. Melden Sie sich in Windows 2000 ab.
11. Melden Sie sich am Computer als HowardH mit dem Kennwort kennwort an.
12. Klicken Sie zum Start von Windows Explorer auf START/PROGRAMME/ZU-
BEHÖR/WINDOWS EXPLORER.
13. Blenden Sie ARBEITSPLATZ ein, und klicken Sie das Laufwerk C: an. Wie
viel freier Speicherplatz auf dem Datenträger wird angezeigt?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
14. Klicken Sie auf eine andere NTFS-Partition, falls verfügbar, und überprüfen
Sie, wie viel freier Speicherplatz HowardH zur Verfügung steht. Wie viel da-
von hat er?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
15. Warum steht dem Benutzer auf den einzelnen NTFS-Partitionen diese Menge
an Speicherplatz zur Verfügung?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
16. Klicken Sie auf START/EINSTELLUNGEN. Wird unter EINSTELLUNGEN die
SYSTEMSTEUERUNG angezeigt? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
17. Klicken Sie auf START. Steht die Option AUSFÜHREN im Startmenü zur Ver-
fügung? Warum bzw. warum nicht?
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
490 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Prüfungsfragen
1. Sie sind Administrator von LearnWin2K.com, einem Online-Trainingsinsti-
tut, welches Windows-2000-Kurse anbietet. Sie müssen sämtliche Computer
des Kundenservice so konfigurieren, dass der Internetzugang für alle außer
den Supervisoren des Kundenservice abgeschaltet ist. Alle Benutzer des Kun-
denservice sind Teil der Sicherheitsgruppe KundenService, während die Su-
pervisoren obendrein noch Mitglieder der Sicherheitsgruppe KSSupervisoren
sind.
B. Erstellen Sie zwei GPOs, von denen das eine den Internetzugang deakti-
viert und das andere ihn aktiviert. Gewähren Sie der Sicherheitsgruppe
KundenService die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN für das erste GPO. Gewähren Sie der Sicherheitsgruppe
KSSupervisoren die Berechtigungen LESEN und GRUPPENRICHTLINIE
ÜBERNEHMEN für das zweite GPO. Gewähren Sie weiterhin der Sicher-
heitsgruppe KSSupervisoren die Berechtigung LESEN für das erste GPO.
C. Erstellen Sie ein GPO zum Deaktivieren des Internetzugangs. Gewähren
Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN.
D. Erstellen Sie ein GPO zum Deaktivieren des Internetzugangs. Gewähren
Sie der Sicherheitsgruppe KundenService die Berechtigungen LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN, und gewähren Sie der Sicherheits-
gruppe KSSupervisoren lediglich die LESEN-Berechtigung für das GPO.
2. Sie haben ein GPO mit der Domäne verknüpft, in welchem der Befehl AUS-
FÜHREN aus dem Startmenü für alle Domänenbenutzer entfernt wird. Wäh-
rend der Installation eines neuen Servers in der Buchhaltungsabteilung
bemerken Sie, dass einige der Computer mit Windows 2000 Professional im-
mer noch über diesen Befehl verfügen. Warum (wählen Sie zwei zutreffende
Antworten aus)?
A. Die Buchhalter sind keine Domänenbenutzer.
B. Sie haben die GPO-Einstellung nicht durchgesetzt.
492 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
E. Die Benutzer haben keinen Arbeitsplatz-PC mit Windows 98. Damit der
Befehl AUSFÜHREN abgeschaltet werden kann, müssen die Benutzer mit
Windows 98 arbeiten.
3. Sie stellen fest, dass die Verwaltung der Gruppenrichtlinien mit dem Wachs-
tum Ihres Unternehmens immer zeitaufwendiger wird. Die einzelnen Abtei-
lungen fordern bereits mehr Kontrolle über ihre eigenen OUs an. Jede
Abteilung verfügt über einen Junior-Administrator, der die Abteilung verwal-
tet. Was müssen Sie tun, um die Kontrolle über die GPOs der einzelnen Ab-
teilungen an diese Junior-Administratoren zu delegieren (wählen Sie die
beste Antwort aus)?
A. Weisen Sie den Junior-Administratoren die Kontrolle der GPOs in den
OUs über den Assistent zum Zuweisen der Objektverwaltung zu.
B. Gewähren Sie den Junior-Administratoren die Berechtigung UNEINGE-
SCHRÄNKTER ZUGRIFF für die GPOs, die mit ihren OUs verknüpft sind.
B. Gewähren Sie ihnen den uneingeschränkten Zugriff auf die mit ihren OUs
verknüpften GPOs.
B. Standort, Domäne, OU
C. Domäne, Standort, OU
D. OU, Standort, Domäne
E. Benutzer, Skript, Computer
6. Sie haben die Gruppenrichtlinie folgendermaßen konfiguriert:
Auf der Domänenebene haben Sie das GPO1, welches die Systemsteuerung
aus dem Menü EINSTELLUNGEN ausblendet.
Auf der Standortebene haben Sie das GPO2, welches eine Kennwortlänge für
die Benutzer von 6 Zeichen erzwingt. Das GPO wurde mit der Option KEIN
VORRANG definiert.
Auf der Ebene der OU haben Sie das GPO3, welches den Befehl AUSFÜHREN
aus dem Startmenü ausblendet.
Auf Ebene der OU haben Sie die Richtlinienvererbung deaktiviert.
Welches Ergebnis haben Sie in dem Fall, wenn sich ein Benutzer an einem
Computer mit Windows 2000 Professional anmeldet, der sich in dem OU-
Container befindet (wählen Sie alle zutreffenden Antworten aus)?
A. Die Systemsteuerung steht nicht zur Verfügung.
8. Was müssen Sie hinsichtlich der Gruppenrichtlinie tun, wenn auf der OU-
Ebene nur die Computereinstellungen eines GPO angewendet und diese Ein-
stellungen nicht durch die GPO-Konfiguration auf Domänenebene verändert
werden sollen (wählen Sie die beste Antwort aus)?
A. Aktivieren Sie die Einstellungen der Computerkonfiguration und die Op-
tion KEIN VORRANG.
B. Aktivieren Sie die Einstellungen der Computerkonfiguration und deakti-
vieren Sie die Richtlinienvererbung.
C. Deaktivieren Sie die Einstellungen der Benutzerkonfiguration und deakti-
vieren Sie die Richtlinienvererbung.
D. Deaktivieren Sie die Einstellungen der Benutzerkonfiguration und die Op-
tion KEIN VORRANG.
E. Aktivieren Sie die Einstellungen der Benutzerkonfiguration und die Richt-
linienvererbung.
9. Sie entwerfen eine Gruppenrichtlinienstruktur mit zwei GPOs, eine auf der
Domänenebene und eine andere auf der Ebene der OU Marketing.
Nach dem Speichern Ihrer Änderungen und einer Aktualisierung des GPO
auf allen betroffenen Domänencontrollern meldet sich ein Benutzer der OU
Marketing am Netzwerk an. Wie werden sich Ihre GPO-Einstellungen auf
den Desktop des Benutzers auswirken (wählen Sie alle zutreffenden Antwor-
ten aus)?
Lernzielkontrolle 495
씰 Eine OU Entwicklung
씰 Eine OU Finanzen
In welchen Active Directory-Containern können Sie eine Gruppenrichtlinie
erstellen (wählen Sie alle zutreffenden Antworten aus)?
A. Benutzer
B. OU Vertrieb
C. OU Finanzen
D. Computer
496 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
E. OU Entwicklung
F. Domäne factron.com
G. Domänencontroller
12. Sie ändern für die Benutzer eines vorhandenen GPO, welches der Sicher-
heitsgruppe VertriebsPersonal zugewiesen ist, die Einstellungen zu Offline-
Ordnern. NatashaW, ein Mitglied der Sicherheitsgruppe VertriebsPersonal,
ist bereits an einem Computer mit Windows 98 in der Domäne angemeldet.
Wann werden die geänderten Einstellungen für die Offline-Ordner auf ihrem
Computer wirksam werden (wählen Sie die beste Antwort aus)?
A. Bei ihrer nächsten Anmeldung in der Domäne.
B. Innerhalb von 5 Minuten.
C. Innerhalb von 90 Minuten.
Sie erstellen ein GPO in der OU Vertrieb. Sie fügen das Starten-Skript der
Computerkonfiguration des GPO hinzu. Außerdem fügen Sie beide Anmel-
deskripte der Benutzerkonfiguration des GPO hinzu. Sie weisen der Sicher-
heitsgruppe Vertrieb die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN für
das GPO zu und entfernen die Gruppe Authentifizierte Benutzer aus der Liste
der Gruppen mit Berechtigungen für das GPO.
HaraldH, ein Mitglied der Sicherheitsgruppe Vertrieb, dessen Computerkonto
in der OU Vertrieb definiert ist, meldet sich am Netzwerk an. Wie wird LPT1
auf seinem Computer zugeordnet werden (wählen Sie die beste Antwort
aus)?
A. \\DEVWORK\HP5
B. \\DEVWORK\LEXMARK
C. Die Zuordnung wird gelöscht.
D. \\DEVWORK\HP5 und \\DEVWORK\LEXMARK
E. Die Zuordnung kann nicht vorhergesagt werden.
15. Sie versuchen ein GPO zu bearbeiten, erhalten aber die Meldung, dass das
Gruppenrichtlinienobjekt nicht geöffnet werden kann. Sie verbinden sich mit
einer Freigabe auf einem einzelnen Domänencontroller Ihres Standorts und
überprüfen, ob der Domänencontroller verfügbar ist und das Netzwerk fehler-
frei arbeitet. Was ist die wahrscheinliche Ursache des Problems (wählen Sie
die beste Antwort aus)?
A. Sie verfügen nicht über die erforderlichen Berechtigungen zum Bearbei-
ten des GPO.
B. Es steht kein DHCP-Server zur Verfügung.
C. Das GPO ist in Active Directory nicht autorisiert.
D. Der DNS-Server steht nicht zur Verfügung.
E. Der WINS-Server steht nicht zur Verfügung.
F. Das GPO existiert nicht.
Antworten zu den Übungen
Gruppenrichtlinien der administrativen Vorlage verifizieren
1. Der freie Speicherplatz auf dem Datenträger solle knapp unterhalb von 100
MB liegen. Das über die Richtlinie eingerichtete Datenträgerkontingent ist
standardmäßig 100 MB für alle Benutzer. Da Windows 2000 auf dem Lauf-
werk C: installiert und dieses der Standardspeicherungsort der Benutzerprofi-
498 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
2. HowardH verfügt nun über die Berechtigungen LESEN für das GPO. Das
Kontrollkästchen GRUPPENRICHTLINIE ÜBERNEHMEN ist deaktiviert, sodass er
nicht länger über diese Berechtigung des GPO verfügt.
3. Er braucht zum Verwalten des GPO die Berechtigungen LESEN und SCHREI-
BEN. Falls Sie die Richtlinie auch auf ihn angewendet wissen wollen, müssen
Sie ihm außerdem die Berechtigung GRUPPENRICHTLINIE ÜBERNEHMEN ge-
währen.
Delegation der administrativen Kontrolle über die Gruppenrichtlinie
testen
1. HowardH stehen die Schaltflächen EIGENSCHAFTEN und BEARBEITEN zur Ver-
fügung. Die Schaltflächen NEU, HINZUFÜGEN, LÖSCHEN und OPTIONEN sind
inaktiv. HowardH kann daher die GPO-Inhalte bearbeiten und die Eigenschaf-
ten anzeigen. Er kann dagegen nicht hinzufügen, löschen, die Reihenfolge der
Anwendung ändern, die Richtlinienvererbung deaktivieren, Richtlinien niedri-
ger Ebenen überschreiben oder die Gruppenrichtlinie deaktivieren.
2. HowardH verfügt hinsichtlich von FORSCHUNG-ANMELDESKRIPTRICHTLINIE
lediglich über die Schaltfläche EIGENSCHAFTEN, was ihm die Anzeige der Ei-
genschaften des GPO, aber nicht ihre Veränderung erlaubt. Er kann die Grup-
penrichtlinie nicht bearbeiten. Er kann aber die Gruppenrichtlinie
TELEMARKETING-BENUTZER bearbeiten.
500 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
3. HowardH erhält ein Dialogfeld mit der Meldung, dass er die Berechtigungen
für das GPO nicht ändern kann. Er braucht die Berechtigungen UNEINGE-
SCHRÄNKTER ZUGRIFF oder ÄNDERN, um die Sicherheitseinstellungen des
GPO ändern zu können.
4. Ja, die MMC wird angezeigt, da HowardH die Berechtigungen LESEN und
SCHREIBEN für das GPO besitzt.
5. Ja, HowardH kann Änderungen an den GPO-Einstellungen vornehmen, weil
ihm die Berechtigung SCHREIBEN für das GPO gegeben worden ist.
Filtern und Gruppenrichtlinienvererbung deaktivieren
1. Sie müssen die Richtlinienvererbung auf der Ebene der OU Vertrieb deakti-
vieren. Dazu aktivieren Sie das Kontrollkästchen RICHTLINIENVERERBUNG
DEAKTIVIEREN unten links im Dialogfeld.
2. Entfernen Sie Authentifizierte Benutzer aus der Liste der Gruppen, denen Be-
rechtigungen zugewiesen wurden. Deaktivieren Sie außerdem das Kontroll-
kästchen bei GRUPPENRICHTLINIE ÜBERNEHMEN für den Benutzer HowardH,
da dieser kein Mitglied der Sicherheitsgruppe Telemarketing ist. Fügen Sie
schließlich die Sicherheitsgruppe Telemarketing der Liste der Gruppen mit
Berechtigungen hinzu und weisen Sie ihnen die Berechtigungen LESEN und
GRUPPENRICHTLINIE ÜBERNEHMEN zu.
Filtern der Gruppenrichtlinie testen
1. Der freie Speicherplatz auf dem Datenträger soll knapp unterhalb von 100
MB liegen. Das über die Computerrichtlinie eingerichtete Datenträgerkontin-
gent ist standardmäßig 100 MB für alle Benutzer. Da Windows 2000 auf dem
Laufwerk C: installiert und dieses der Standardspeicherungsort der Benutzer-
profile ist, werden Sie an freiem Speicherplatz knapp unterhalb 100 MB ha-
ben. Dies liegt nicht an der Richtlinie für die Benutzer von Telemarketing,
sondern an der dem Computer zugewiesenen Computerrichtlinie, die sich in
der OU Forschung befindet.
2. Der Benutzer wird etwa 100 MB freien Speicherplatz haben. Dies entspricht
dem für alle Benutzer über die Computerrichtlinie eingerichteten Standardda-
tenträgerkontingent.
3. Sie haben eine Computerrichtlinie konfiguriert, die ein Datenträgerkontin-
gent durchsetzt und definiert. Das jedem Benutzer zugewiesene Standardda-
tenträgerkontingent beträgt laut der Richtlinie 100 MB auf allen NTFS-
Partitionen. Da Sie diesen Standardwert für das Benutzerkonto von HowardH
nicht verändert haben, erhält er über die GPO-Einstellungen 100 MB Spei-
cherplatz.
Lernzielkontrolle 501
8. Der freie Speicherplatz auf dem Datenträger sollte knapp unterhalb von 100
MB liegen. Das über die Computerrichtlinie eingerichtete Datenträgerkontin-
gent ist standardmäßig 100 Mbyte für alle Benutzer. Da Windows 2000 auf
dem Laufwerk C: installiert und dieses der Standardspeicherungsort der Be-
nutzerprofile ist, werden Sie an freiem Speicherplatz knapp unterhalb 100
MB haben. Dies liegt nicht an der Richtlinie für die Benutzer von Telemarke-
ting, sondern an der dem Computer zugewiesenen Computerrichtlinie, die
sich in der OU Forschung befindet. HowardH ist dieser Richtlinie unterwor-
fen.
9. Der Benutzer wird 100 Mbyte freien Speicherplatz haben, was der allen Be-
nutzern über das Standarddatenträgerkontingent in der Computerrichtlinie zu-
gewiesene Betrag ist.
10. Sie haben eine Computerrichtlinie konfiguriert, die ein Datenträgerkontin-
gent durchsetzt und definiert. Das jedem Benutzer zugewiesene Standardda-
tenträgerkontingent beträgt laut der Richtlinie 100 Mbyte auf allen NTFS-
Partitionen. Das Sie diesen Standardwert für das Benutzerkonto von Ho-
wardH nicht verändert haben, erhält er über die GPO-Einstellungen 100
Mbyte Speicherplatz.
11. Ja, die Systemsteuerung steht unter EINSTELLUNGEN zur Verfügung. Die für
die Sicherheitsgruppe Telemarketing in der OU Vertrieb konfigurierte Grup-
penrichtlinie wird wegen des Filters nicht auf HowardH angewendet.
502 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
12. Ja, der Befehl AUSFÜHREN steht im Startmenü zur Verfügung. In den Benut-
zereinstellungen der Gruppenrichtlinie wurde dieser Befehl für die Sicher-
heitsgruppe Telemarketing in der OU Vertrieb entfernt. HowardH ist jedoch
kein Mitglied der Sicherheitsgruppe Telemarketing, sodass diese Richtli-
nieneinstellung auf ihn nicht angewendet wird.
13. Ja, die Computerrichtlinieneinstellungen werden durchgesetzt. Es wurden
Datenträgerkontingente für alle Benutzer von Computern in der OU For-
schung eingerichtet, und jedem Benutzer für jede Partition ein Standarddaten-
trägerkontingent von 100 Mbyte zugewiesen.
14. Nein, die Einstellungen der Benutzerrichtlinie der OU Vertrieb werden für
diesen Benutzer auf dem Computer nicht durchgesetzt. HowardH ist kein
Mitglied der Sicherheitsgruppe Telemarketing, auf welche die Richtlinie an-
gewendet wird. Der Befehl AUSFÜHREN steht im Startmenü nicht zur Verfü-
gung, während die Systemsteuerung zur Verfügung steht.
Antworten zu den Wiederholungsfragen
1. Ein GPO besteht aus zwei Teilen: einem Gruppenrichtlinien-Container und
einer Gruppenrichtlinienvorlage. Der GPC ist ein Active Directory-Objekt,
welches die GPO-Attribute und Versionsinformationen enthält. Die Domä-
nencontroller verwenden den GPC zur Entscheidung darüber, ob sie über die
neueste Version des GPO verfügen. Die GPT stellt eine Ordnerhierarchie im
freigegebenen Ordner SYSVOL auf Domänencontrollern dar. Die GPT ent-
hält sämtliche GPO-Einstellungen betreffend administrative Vorlagen, Skrip-
te, die Softwareinstallation, Ordnerumleitung und Sicherheit. Siehe dazu
»Gruppenrichtlinien – eine Einführung« und »Gruppenrichtlinienkomponen-
ten«.
2. Um sicherzustellen, dass ein GPO eines Standorts auf alle Benutzer und
Computer im Standort angewendet wird, aktivieren Sie KEIN VORRANG FÜR
DAS GPO. Hierdurch werden die GPO-Einstellungen auf alle nachfolgenden
Ebenen der Hierarchie einschließlich Domänen und OUs durchgesetzt, da
GPOs für einen Standort als Erste verarbeitet werden. Siehe dazu »Gruppen-
richtliniensicherheit«, »Gruppenrichtlinienvererbung« und »Gruppenrichtli-
nieneinstellungen durchsetzen«.
3. GPO-Einstellungen werden standardmäßig nur auf die Mitglieder der Gruppe
Authentifizierte Benutzer angewendet. Auf dieser Ebene werden die GPO-
Einstellungen auf alle in der Domäne angemeldeten Benutzer und alle nach
dem Start in der Domäne angemeldeten Computer angewendet. Siehe dazu
»Gruppenrichtliniensicherheit« und Gruppenrichtliniensicherheit konfigurie-
ren«.
Lernzielkontrolle 503
ÜBERNEHMEN für das GPO erhält. Damit dieses GPO nicht auf andere Benut-
zer der Domäne angewendet wird, entfernen Sie die Sicherheitsgruppe Do-
mänenbenutzer aus der Liste der Benutzer und Gruppen mit Berechtigungen
für das GPO.
Auch die Antwort B stellt eine Lösung dar, setzt aber das Erstellen zweier
Richtlinien voraus, was mehr Administrationsaufwand als nötig bedeutet. Da
nach der besten Antwort gefragt wurde, ist D die einzige logische Möglichkeit.
Siehe dazu »Gruppenrichtlinienbereich« und »Gruppenrichtliniensicherheit«.
2. B, D. Dass einigen Benutzern immer noch den Befehl AUSFÜHREN zur Verfü-
gung steht, weist darauf hin, dass die GPO-Vererbung auf der Ebene der OU
Buchhaltung deaktiviert ist. Es gibt GPOs, die manchen Benutzern die Ver-
wendung von AUSFÜHREN im Startmenü erlauben, und andere, die dies ver-
bieten. Wenn Sie die GPO-Einstellungen mit der Option KEIN VORRANG
durchgesetzt hätten, wäre es nicht zu diesem Ergebnis gekommen – der Be-
fehl AUSFÜHREN stünde keinem Benutzer zur Verfügung. Ursache des Pro-
blems ist also einerseits die Tatsache, dass das GPO nicht durchgesetzt
worden ist, und andererseits, dass die OU-Administratoren noch die Richtli-
nienvererbung deaktivieren können. Siehe dazu »Gruppenrichtliniensicher-
heit« und »Gruppenrichtlinienvererbung«.
3. D. Um den Junior-Administratoren die Bearbeitung von GPOs in ihren OUs
zu erlauben, müssen Sie ihnen die Berechtigungen LESEN und SCHREIBEN für
die GPOs in ihrer OU zuweisen. Auch die Zuweisung des uneingeschränkten
Zugriffs wäre möglich, würde aber mehr Rechte verleihen, als benötigt wer-
den (beispielsweise das Recht zum Ändern der Berechtigungen eines GPO
oder die Aktivierung von KEIN VORRANG). Das Gewähren der Berechtigun-
gen LESEN und SCHREIBEN für die OU ermöglicht ihnen, andere Objekte in-
nerhalb der OU ändern zu können, und verschafft ihnen wiederum höhere
Rechte, als benötigt werden. Den Assistent zum Zuweisen der Objektverwal-
tung können Sie zum Delegieren der Kontrolle über GPOs nicht verwenden;
dieser kann nur zum Delegieren der administrativen Autorität an übergeordne-
506 Kapitel 6 Benutzerverwaltung mit Gruppenrichtlinien
Lernziele
7
In diesem Kapitel wird ein Ziel aus dem Prüfungsabschnitt »Installation, Konfigura-
tion, Verwaltung, Überwachung und Fehlerbehebung beim Änderungs- und Konfi-
gurationsmanagement« behandelt. Andere Ziele und Teilziele dieser Einheit werden
in anderen Kapiteln behandelt. In diesem Kapitel wird auf das folgende Prüfungs-
ziel eingegangen:
씰 Wir empfehlen dringend, bei der Vorbereitung auf die Microsoft-Prüfung alle
Schritt-für-Schritt-Abschnitte und Übungen in diesem Kapitel durchzuarbeiten.
씰 Ein Verständnis der verschiedenen Optionen bei der Bereitstellung von Soft-
ware sowie von Windows Installer, Gruppenrichtlinien und ZAP-Dateien ist
unabdingbar. Testen Sie sich selbst anhand der Wiederholungsfragen und der
Beispiele für Prüfungsfragen in diesem Kapitel.
씰 Machen Sie sich mit den Features und Regeln rund um Gruppenrichtlinien
vertraut, insbesondere mit Vererbung, Filterung und Vorrang.
씰 »Übung macht den Meister.« Wie das alte Sprichwort sagt, durch Übung des
Umgangs mit Gruppenrichtlinien sowie mit der Erstellung, Bereitstellung
und Entfernung von Softwarepaketen bringen Sie sich in Bestform für die
Bewältigung der Probleme, die in der Prüfung auf Sie zukommen.
7.1 Einführung
Im letzten Kapitel wurden die Gruppenrichtlinien von Windows 2000 und ihre Ver-
wendung für die Konfigurierung von Computer- und Benutzerumgebungen vorge-
stellt. Darüber hinaus bieten Gruppenrichtlinien eine Reihe von Möglichkeiten, die
sie für den Windows-2000-Netzwerkadministrator unentbehrlich machen. Eine
davon ist die Möglichkeit, Softwareanwendungen an Benutzer zu verteilen, um
deren Bedarf zu decken oder einen Unternehmensstandard durchzusetzen. Mit die-
sem Feature können Sie außerdem Software aktualisieren, wenn eine neue Version
erschienen ist, oder Software zwangsweise vom Computer eines Benutzers entfer-
nen, wenn die Organisation deren Einsatz nicht mehr wünscht.
씰 Wartung. Wie Ihnen bereits bestens bekannt sein dürfte, bleibt in dieser
Branche nichts statisch. Software ist keine Ausnahme. Würden Sie dieses
Buch lesen, wenn Microsoft nicht NT 4 auf Windows 2000 aktualisiert hätte?
Im Laufe der Zeit müssen Sie möglicherweise eine Aktualisierung für Soft-
ware auf Benutzercomputern konfigurieren und verteilen. In anderen Fällen
ist es evtl. nötig, bereits verteilte Software erneut zu verteilen; vielleicht müs-
sen Patches oder ein Service Pack eingesetzt werden, um die Software auf
den neuesten Stand zu bringen und/oder ggf. vorhandene Mängel (Fehler
oder Anomalien – undokumentierte Features) zu reparieren. Im Abschnitt
»Wartung von Softwarepaketen mittels Gruppenrichtlinien« wird diskutiert,
wie Software im Feld aktualisiert werden kann und welche Aktualisierungs-
optionen verfügbar sind.
씰 Entfernung. Es kommt vor, dass Software nicht mehr nützlich ist und ent-
fernt werden muss. Wie viele Ihrer Benutzer benötigen immer noch Micro-
soft Word 2.0 auf ihrem Computer? Im Abschnitt »Entfernen eines Pakets«
werden die Fragen rund um die zwangsweise oder freiwillige Entfernung von
Software vom Desktop des Benutzers behandelt.
HINWEIS
Windows-2000-zertifizierte Anwendungen
Microsoft besitzt ein Verfahren zur Zertifizierung von Anwendungen, die unter
Windows 2000 und Windows 98 korrekt ausgeführt werden können. Weitere Infor-
mationen über Voraussetzungen zur Zertifizierung einer Anwendung für Windows
2000 finden Sie auf der Website von Microsoft unter http://msdn.microsoft.com/
certification/default.asp. Dazu gehören Informationen zum Ablauf des Verfahrens,
die verschiedenen Stufen Zertifiziert oder Kompatibel, sowie einige der Tools, die
für den Test eines Pakets zur Verfügung stehen. Eine Liste der Pakete, die für
Windows 2000 zertifiziert sind (die höchste Stufe) bzw. vom Hersteller für kompa-
tibel gehalten werden, finden Sie unter http://www.microsoft.com/windows2000/
upgrade/compat/search/software.asp auf der Website von Microsoft. Beide bie-
ten gute Unterstützung bei der Feststellung, ob die zu verteilende Software unter
Windows 2000 ordnungsgemäß ausgeführt wird.
HINWEIS
Windows Installer unter NT 4. 0
Windows Installer wird auch unter NT 4.0 installiert, wenn Sie Microsoft Office
2000 oder eine andere Anwendung installieren, die davon Gebrauch macht. Er
kann von einem Entwickler in das Setup-Programm einer Anwendung aufgenom-
men werden und wird beim Start des Setup-Programms installiert, wenn es nicht
gefunden wurde. Die bloße Installation des Windows-Installer-Dienstes unter
Windows NT 4.0 bedeutet nicht, dass Sie Software auf Windows-NT-4.0-Desk-
tops verteilen können. Dies ist nicht möglich. Windows NT 4.0 unterstützt nicht
die Gruppenrichtlinien von Windows 2000 und kann folglich die Softwarebereit-
stellungsfeatures der Gruppenrichtlinien nicht verwenden. Auf dem Zieldesktop
ist sowohl die Unterstützung der Gruppenrichtlinien als auch die Unterstützung
des Windows-Installer-Dienstes erforderlich, damit Gruppenrichtlinien zur auto-
matischen Softwarebereitstellung eingesetzt werden können.
516 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Windows-Installer-Technologie
Windows Installer wurde mit Microsoft Office 2000 zum ersten Mal in großem
Maßstab eingeführt und stellt die Technologie dar, die es ermöglicht, Software mit-
tels Gruppenrichtlinien zu installieren und zu managen. Er besteht aus zwei Haupt-
komponenten:
씰 Windows-Installer-Dienst
씰 Windows-Installer-Paket
Windows Installer bietet dem Administrator wie dem Endbenutzer die folgenden
drei wesentlichen Vorteile gegenüber bisherigen Verfahren:
Windows Installer ist eine Komponente, die dem Administrator viele Vorteile bei
der Automatisierung der Softwarebereitstellung verschaffen kann. Der Windows-
Installer-Dienst ist für die automatische Installation, Aktualisierung und Entfernung
von Software mittels Gruppenrichtlinien erforderlich. Windows-Installer-Paketda-
teien sind die bevorzugte Methode zur Vorbereitung von Software für die automati-
sche Bereitstellung.
Was geschieht aber, wenn für die zu verteilende Software kein Paket verfügbar ist? In
Windows 2000 können Sie auch dann Software für die Bereitstellung konfigurieren,
wenn keine fertige Windows-Installer-Paketdatei vorhanden ist. Dazu gibt es zwei
Möglichkeiten: Sie können eine ZAP-Datei erzeugen, um dem Windows Installer
mitzuteilen, wie die Anwendung installiert werden soll, oder Sie können mit Hilfe
518 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Die ZAP-Datei ist eine normale Textdatei, die mit jedem Texteditor erstellt werden
kann (der Editor reicht aus) und eine Reihe von Angaben über die zu installierende
Software enthält. Die ZAP-Datei kann den Anwendungsnamen, den Namen des
Setup-Programms, beliebige Parameter für Setup sowie ggf. Dateierweiterungen,
die der Anwendung zugeordnet sind, und die Website-Adresse für technischen Sup-
port enthalten. Nicht alle diese Informationen müssen in der ZAP-Datei enthalten
sein, nur der Anwendungsname (FriendlyName) und der Dateiname der ausführba-
ren Setup-Datei (SetupCommand). Die Beispiel-ZAP-Datei im folgenden Code-
block zeigt einen einfachen Satz von Tags, die benutzt werden können.
[Application]
FriendlyName = Microsoft Office 97
SetupCommand = setup.exe /unattend
DisplayVersion = 8.0
Publisher = Microsoft Corporation
URL = http://www.microsoft.com/office
[Ext]
DOC=
DOT=
XLS=
RPT=
RTF=
ZAP-Dateiabschnitte
Die ZAP-Datei besteht aus zwei Abschnitten, wie im vorangegangenen Codeblock
gezeigt: dem Abschnitt Application und dem Abschnitt Ext (Extensions). Der
Abschnitt Application enthält Informationen über das Softwarepaket und dessen
Installation. Der Abschnitt Ext legt fest, welche Dateierweiterungen in Active
Directory mit der Anwendung verknüpft werden sollen.
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien 519
Im Abschnitt Application kann eine Reihe von Tags verwendet werden. Diese sind
in Tabelle 7.1 beschrieben.
FriendlyName Dies ist der Name, der dem Endbenutzer und Erforderlich
dem Administrator nach Installation der Anwen-
dung angezeigt wird. Er wird auch in Software
in der Systemsteuerung angezeigt, wenn die
Anwendung veröffentlicht wird oder wenn der
Benutzer sie entfernen möchte. Dies ist ein
Name, der die Anwendung beschreibt. Er sollte
nicht der Name einer ausführbaren Datei sein.
Anders ausgedrückt, verwenden Sie als Friend-
lyName so etwas wie Microsoft Word97 statt
WINWORD.EXE. Der Name sollte benutzer-
freundlich sein.
SetupCommand Dies ist der Name des ausführbaren Programms Erforderlich
für die Installation der Anwendung. Dies kann
eine EXE-, BAT- oder CMD-Datei sein, solange
sie die zur Installation der Anwendung nötigen
Schritte ausführt. Der Dateiname sollte relativ
zum physischen Speicherort der ZAP-Datei
angegeben werden, die ihn enthält. Anders
ausgedrückt, wenn sich die ZAP-Datei und
SetupCommand im selben Ordner befinden, darf
dem Dateinamen nicht der Ordnername voran-
gestellt werden. Falls sich das Programm in
einem anderen Ordner befindet als die ZAP-
Datei, können Sie einen relativen Pfadnamen
vom Speicherort der ZAP-Datei aus als Setup-
Command verwenden. Angenommen, die ZAP-
Datei und SETUP.EXE befinden sich beide in
einem Ordner namens Office97 auf der Netz-
werkverteilungs-Freigabe. Sie müssen lediglich
das Tag angeben als SetupCommand=setup.exe /
unattend, ohne vorangestellten Pfadnamen.
Wenn andererseits die ZAP-Datei im Software-
verteilungs-Freigabeordner liegt und das Setup-
Programm in einem Unterordner namens
Office97, dann sollte das Tag den Pfadnamen
enthalten wie in SetupCom-
mand=Office97\setup.exe /unattend.
Eine ZAP-Datei muss lediglich den Abschnitt Application und die Tags Friendly-
Name und SetupCommand enthalten. Alle anderen Bestandteile einschließlich des
Abschnitts Ext können jedoch sehr nützlich sein.
Der Abschnitt Ext (für Extensions) der ZAP-Datei wird verwendet, um die Anwen-
dung mit einer Dateierweiterung in Windows 2000 Active Directory zu verknüpfen.
Windows 2000 verwendet den Abschnitt Ext, um festzustellen, welche Anwendung
installiert werden soll, wenn ein Benutzer eine Betriebssystemdatei öffnet bzw.
darauf doppelklickt. Falls die Erweiterung der Datei nicht in einer Liste von
Anwendungen auf dem Computer vorkommt, mit denen diese Datei geöffnet wer-
den kann, dann wird das Setup-Programm für die Anwendung gestartet, die mit der
betreffenden Erweiterung verknüpft ist, und die Anwendung wird installiert, sodass
der Benutzer die Datei ansehen kann.
Um einen Abschnitt Ext in die ZAP-Datei einzufügen, geben Sie einfach auf einer
eigenen Zeile die Überschrift Ext ein. Geben Sie auf den nachfolgenden Zeilen die
Erweiterungen an, die mit der Anwendung verknüpft werden sollen, ohne führenden
Punkt. Ein Beispiel finden Sie im folgenden Codeblock.
[Application]
FriendlyName = Microsoft Office 97
SetupCommand = setup.exe /unattend
DisplayVersion = 8.0
Publisher = Microsoft Corporation
URL = http://www.microsoft.com/office
[Ext]
DOC=
DOT=
XLS=
RPT=
RTF=
Nach alledem werden Sie sich wahrscheinlich fragen, wann Sie eine ZAP-Datei ein-
setzen würden. Die Antwort ist höchstwahrscheinlich: »Kaum jemals.« ZAP-
Dateien bieten eine völlig annehmbare Möglichkeit zur Veröffentlichung von Soft-
ware, die auf einem Computer nicht unbedingt installiert sein muss. Sie stellen eine
Methode zur Bereitstellung optionaler Software wie etwa Dienstprogramme in
einem Unternehmen dar. Zu den Beispielen für Anwendungen, die sicher mittels
ZAP-Dateien verteilt werden können, gehören u.a. WinZip32, Dateidekomprimie-
rer oder Adobe Acrobat Reader. Solche Anwendungen sind nützlich, aber auf dem
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien 523
Computer eines Benutzers nicht unbedingt erforderlich; der Benutzer hat die Wahl,
ob er das Produkt installieren möchte.
HINWEIS
Speicherort von WinINSTALL LE
Microsoft stellt auf der Installations-CD-ROM für Windows 2000 eine Anwendung
WinINSTALL LE von einem Drittanbieter namens Veritas zur Verfügung, mit der
eine Anwendung umgepackt werden kann. Das Programm befindet sich bei jeder
Windows-2000-Version (Professional, Server und Advanced Server) im Ordner
VALUEADD\3RDPARTY\MGMT\WINSTLE und ist selbst eine Microsoft-Windows-Instal-
ler-Paketdatei.
Zu den Schritten des Umpackens einer Anwendung gehören die Vorbereitung eines
Referenzcomputers, die Vorbereitung eines Netzwerkinstallations-Freigabeord-
ners, die Installation von Veritas WinINSTALL LE sowie die Aufzeichnung eines
Vorher-Bilds der Systemkonfiguration. Mehrere Schritt-für-Schritt-Tutorien führen
Sie durch den Umpackprozess für eine Anwendung.
524 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Der erste Schritt bei der Installation der umzupackenden Anwendung ist die Vorbe-
reitung eines Computers, auf dem installiert werden soll. Auf dem Referenzcompu-
ter sollte lediglich Windows 2000 und keine andere Software installiert sein.
Andere Software auf dem Computer kann dazu führen, dass Teile der umzupacken-
den Anwendung nicht installiert werden (etwa, wenn die Dateien auf der Festplatte
bereits vorhanden sind), was dazu führen kann, dass WinINSTALL LE während des
Umpackvorgangs fehlerhafte Informationen erhält.
Der nächste Schritt ist die Installation von Veritas WinINSTALL LE auf einem zwei-
ten Windows-2000-Computer. Sie sollten WinINSTALL LE nicht auf dem Referenz-
computer installieren, weil dadurch die saubere Umgebung, die Sie konfiguriert
haben, beeinträchtigt werden könnte. Installieren Sie WinINSTALL LE immer auf
einem zweiten Computer.
Folgen Sie zur Installation von WinINSTALL LE auf dem zweiten Computer der
Schritt-für-Schritt-Anleitung 7.1.
Abbildung 7.1
Nach Installation von WinINSTALL LE und Freigabe des Ordners WINSTALL kön-
nen Sie den ersten wichtigen Schritt beim Umpacken einer Anwendung angehen.
Sie sind bereit, das Vorher-Bild des Referenzcomputers aufzunehmen.
Abbildung 7.2
Das Startdialogfeld
von WinINSTALL
Discover
Abbildung 7.3
Der Paketdefiniti-
onsschirm von
WinINSTALL
Discover
Abbildung 7.4
Der WinINSTALL-
Bildschirm zur Aus-
wahl des temporä-
ren Laufwerks
Abbildung 7.5
Dies ist sinnvoll, damit Sie testen können, ob die MSI-Datei funktioniert, be-
vor sie anderen zugänglich gemacht wird. Klicken Sie auf WEITER, um fort-
zufahren.
3. Wählen Sie im folgenden Bildschirm (Abbildung 7.4) das Laufwerk, auf dem
der Discover Wizard seine temporären Dateien speichern kann. Dies sollte
ein anderes Laufwerk sein als das für die Installation der Software vorgese-
hene. Klicken Sie auf WEITER, um fortzufahren.
4. Abbildung 7.5 zeigt den nächsten Bildschirm. Wählen Sie die Laufwerke, die
in das Vorher-Bild aufgenommen werden sollen. Die Liste der gewählten
Laufwerke sollte das Laufwerk umfassen, auf dem Windows 2000 installiert
ist, sowie das Laufwerk, auf dem die Software installiert werden soll.
528 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.6
Abbildung 7.7
Abbildung 7.8
Nachdem die Anwendung konfiguriert ist, müssen Sie ein Nachher-Bild des Refe-
renzcomputers aufnehmen. Dieses wird auf Unterschiede durchsucht, und der Dis-
cover Wizard ermittelt den notwendigen Inhalt des Pakets. Verbinden Sie den Refe-
renzcomputer mit der Freigabe WINSTALL und starten Sie den Discover Wizard
erneut, um die Erstellung des Nachher-Bildes zu beginnen. Schritt für Schritt 7.3
führt Sie durch den Prozess.
Abbildung 7.9
Abbildung 7.10
Abbildung 7.11
Abbildung 7.12
3. Der WinINSTALL LE Discover Wizard beginnt, die Festplatte und die Regist-
rierung zu durchsuchen, um festzustellen, welche Änderungen während der
Anwendungsinstallation stattgefunden haben. Während dieses Suchvorgangs
wird ein Statusbildschirm angezeigt wie in Abbildung 7.10. Am Ende werden
ggf. Fehler- und Warnmeldungen angezeigt, wie in Abbildung 7.11 zu sehen
ist. Notieren Sie die Warn- und Fehlermeldungen und klicken Sie auf OK, um
fortzufahren.
4. Der Nachher-Schnappschuss ist nun vollständig, wie das nächste Dialogfeld
zeigt (Abbildung 7.12). Außerdem wird angezeigt, wo die Paketdatei erstellt
wurde. Klicken Sie auf OK, um die Erstellung des Nachher-Bildes abzu-
schließen und den Discover Wizard zu beenden.
Sie haben nun erfolgreich eine Anwendung umgepackt. An dieser Stelle sollten Sie
die Paketdatei in die vorher erstellte Softwareverteilungsfreigabe kopieren, um sie
für die Installation verfügbar zu machen.
씰 Erstellen Sie für jedes Paket einen eigenen Ordner in der Softwarevertei-
lungsfreigabe. Mit anderen Worten, legen Sie jedes Paket mit allen zugehöri-
gen Dateien in einen eigenen Ordner in der Softwareverteilungsfreigabe. Dies
erleichtert die Wartung der Pakete und verringert potenzielle Probleme bei
der Zuordnung von Dateien zu Paketen.
Wenn Sie weitere Änderungen am Paket vornehmen möchten, sollten Sie dies tun,
bevor es in die Softwareverteilungsfreigabe kopiert wird. Damit ist gewährleistet,
dass kein Benutzer die Anwendung installiert, bevor sie fertig ist. Wenn die Anwen-
dung ausschließlich über Gruppenrichtlinien installiert wird, können Sie solche
Änderungen auch später vornehmen.
Um ein Paket zu ändern, starten Sie die Veritas Software Console für WinINSTALL
LE, öffnen Sie das Paket und führen Sie die nötigen Änderungen durch, wie in
Schritt für Schritt 7.4 beschrieben.
Abbildung 7.13
Der Hauptbild-
schirm von Veritas
Software Console
7.3 Vorbereitung der Software für die Bereitstellung mittels Gruppenrichtlinien 533
Abbildung 7.14
Abbildung 7.15
Die allgemeine
Paketinformation in
VERITAS SOFTWARE
CONSOLE
Abbildung 7.16
Die Paketdateiliste
in VERITAS SOFTWARE
CONSOLE
Abbildung 7.17
Die Paketverknüp-
fungsinformatio-
nen in VERITAS
SOFTWARE CONSOLE
Abbildung 7.18
Das Dialogfeld zu
Anwendungsver-
knüpfungsdetails in
VERITAS SOFTWARE
CONSOLE
8. Wenn Ihre Änderungen abgeschlossen sind, speichern Sie diese durch Kli-
cken auf das Festplattensymbol unterhalb des Menüs FILE. Sie können Ihre
Änderungen auch speichern, indem Sie Veritas Software Console beenden
und die Frage, ob Sie Ihre Änderungen speichern möchten, positiv beantwor-
ten.
Die Vorbereitung von Software für die Bereitstellung ist eine wichtige Aufgabe, die
unbedingt ausgeführt werden sollte, damit gewährleistet ist, dass Alles, was auf dem
Computer eines Benutzers installiert wird, in Aussehen und Verhalten Ihren Erwar-
tungen entspricht. Das Umpacken von Anwendungen in eine MSI-Datei mit zuge-
hörigen Dateien für die Installation mit Windows Installer ist die beste Möglichkeit,
zu gewährleisten, dass Software so funktioniert wie erforderlich. Durch Speichern
der vollständigen Pakete auf einem Windows-2000-Computer, Freigabe des Ord-
ners und Festlegung der erforderlichen Berechtigungen für den Ordner wird
gewährleistet, dass die Software mittels Gruppenrichtlinien verteilt werden kann
und Benutzern wie Computern zugänglich ist.
Die Veröffentlichung von Software ist angebracht, wenn Sie dem Benutzer die Ent-
scheidung überlassen möchten, welche Softwareprodukte er installiert. Sie ist eben-
falls nützlich, wenn Sie sicher stellenmöchten, dass Benutzer Dokumente öffnen
können, aber nicht alle Dokumentarten für alle Benutzer unterstützt werden müssen.
Durch Veröffentlichung der Software geben Sie dem Benutzer mehr Wahlfreiheit,
aber sie ist nur für weniger wichtige Anwendungen wirklich sinnvoll. Software, die
alle Benutzer installiert haben sollten oder die für bestimmte Benutzer zur Erledi-
gung ihrer Aufgaben im Unternehmen unerlässlich ist, sollte nicht veröffentlicht,
sondern zugewiesen werden.
Die Zuweisung von Software an Benutzer ermöglicht die Ankündigung der Soft-
ware auf dem Desktop des Benutzers. Dies bedeutet, dass die Symbole für die
Anwendung verfügbar sind, auch wenn diese noch gar nicht installiert ist. Durch
Doppelklicken auf das Softwaresymbol oder eine per Erweiterung mit der Software-
anwendung verknüpfte Datei wird automatisch die Installation ausgeführt. Wenn
der Benutzer niemals auf das Softwaresymbol oder eine per Erweiterung mit der
7.4 Softwarebereitstellung mittels Gruppenrichtlinien 539
Durch Zuweisung von Software an Computer wird gewährleistet, dass die Software
installiert wird, sobald der Computer eingeschaltet und mit dem Netzwerk verbun-
den wird. Wenn der Computer das nächste Mal seine Einstellungen der Gruppen-
richtlinien verarbeitet, stellt er fest, dass ihm Software zugewiesen wurde, und die
Software wird automatisch installiert. Jede einem Computer zugewiesene Software
ist für alle Benutzer dieses Computers verfügbar.
Software, die auf jeden Fall installiert werden muss, sollte einem Computer zuge-
wiesen werden. Software, die von allen Benutzern benötigt wird, aber nicht unbe-
dingt von Anfang an auf dem Computer installiert sein muss, kann dem Benutzer
bzw. der Gruppe zugewiesen und bei Bedarf installiert werden. Beide Methoden
gewährleisten, dass die Software bei Bedarf zur Verfügung steht.
Folgen Sie Schritt für Schritt 7.5 zur Bereitstellung von Software mittels Gruppen-
richtlinien.
4. Klicken Sie auf das GPO, das zur Softwarebereitstellung verwendet werden
soll, und dann auf BEARBEITEN, um den Gruppenrichtlinieneditor zu öffnen,
wie in Abbildung 7.19 gezeigt.
Abbildung 7.19
Der Hauptkonsol-
bildschirm des
GPO Editor MMC
Abbildung 7.20
SOFTWAREBEREIT-
STELLUNG kann für
den Bereich Com-
puter oder Benut-
zer der Gruppen-
richtlinien
konfiguriert werden
Abbildung 7.21
Abbildung 7.22
Auswahl eines
Pakets mittels Netz-
werkfreigabepfad
7. Wenn Sie entschieden haben, das Softwarepaket mit dem Benutzerteil der
Gruppenrichtlinien zu verknüpfen, wird ein Dialogfeld wie in Abbildung
7.23 angezeigt. Wenn das Paket mit dem Computerkonfigurationsteil des
GPO-Objekts verknüpft werden soll, wird ein Dialogfeld wie in Abbildung
542 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
7.24 angezeigt. Wie bereits erwähnt, können Pakete nicht für Computer ver-
öffentlicht werden. Die Option VERÖFFENTLICHT wird deshalb in der Compu-
terkonfiguration grau dargestellt. Die dritte Option erlaubt Ihnen einfach die
Konfiguration weiterer Optionen (d.h. die Änderung des Pakets), wenn Sie es
zuweisen oder veröffentlichen. Diese Option wird im nächsten Abschnitt
genauer behandelt. Entscheiden Sie, ob veröffentlicht oder zugewiesen wer-
den soll, und klicken Sie dann auf OK.
Abbildung 7.23
Paketoptionen bei
Verknüpfung mit
der Benutzerkonfi-
guration in GRUP-
PENRICHTLINIEN
Abbildung 7.24
Paketoptionen bei
Verknüpfung mit
der Computerkonfi-
guration in GRUP-
PENRICHTLINIEN
8. Sie haben nun Ihr Softwarepaket für Benutzer bzw. Computer veröffentlicht
oder zugewiesen. Der Gruppenrichtlinieneditor sieht aus wie in Abbildung
7.25. In den Eigenschaften des Paketes können Sie weitere Informationen
über das verteilte Paket sehen und bearbeiten. Klicken Sie dazu mit der rech-
ten Maustaste auf das Paket und wählen Sie EIGENSCHAFTEN. Zu den für
jedes Paket angezeigten Informationen gehört der Name des Pakets und seine
Versionsnummer, wie in der Paketdatei festgelegt. Der Bereitstellungsstatus
(veröffentlicht oder zugewiesen) und die Information, ob das Paket automa-
tisch per Dokumentaktivierung (über die Dateierweiterung) installiert werden
soll, werden hier zusammengefasst. Außerdem können Sie den Aktualisie-
rungs- bzw. Installationstyp (optional oder obligatorisch) feststellen und
7.4 Softwarebereitstellung mittels Gruppenrichtlinien 543
ermitteln, ob es sich bei dem Paket um eine Aktualisierung für ein anderes
vorhandenes Paket handelt. Sie können diese selbst konfigurieren und die
Paketinformationen ändern.
Abbildung 7.25
9. Schließen Sie das Dialogfeld , indem Sie auf OK klicken. Beenden Sie zum
Abschluss der Konfiguration die verwendete MMC-Konsole.
7.4.4 Paketbereitstellungsoptionen
Softwaremanagement und -fehlersuche mittels Gruppenrichtlinien
씰 Konfiguration von Paketbereitstellungsoptionen
Nachdem Sie ein Paket verteilt haben, können Sie diverse Optionen für das Paket
konfigurieren, die dessen Verhalten ändern und die Festlegung zusätzlicher Optio-
nen ermöglichen. Dazu klicken Sie mit der rechten Maustaste auf das Objekt SOFT-
WAREINSTALLATION im Ordner SOFTWAREEINSTELLUNGEN der Gruppenrichtlinien,
in dem Sie das Paket konfiguriert haben.
HINWEIS
Erweitert veröffentlicht oder zugewiesen
Diese Option wird beim Hinzufügen eines Pakets angezeigt und ist kein spezieller
Optionstyp für dieses Paket. Wenn Sie diese Option verwenden, bedeutet dies le-
diglich, dass die Eigenschaften des Pakets für Sie angezeigt werden, damit Sie
weitere Optionen für das Paket konfigurieren können. Dasselbe erreichen Sie, in-
dem Sie nach Zuweisung oder Veröffentlichung mit der rechten Maustaste auf
das Paket klicken und EIGENSCHAFTEN wählen.
544 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.26
Das Dialogfeld
EIGENSCHAFTEN VON
SOFTWAREINSTALLA-
TION im Gruppen-
richtlinieneditor
Wenn Sie mit der rechten Maustaste auf ein Paket klicken und Eigenschaften wäh-
len, wird ein Dialogfeld angezeigt wie in Abbildung 7.27. Das Register ALLGEMEIN
des Dialogfelds EIGENSCHAFTEN für das Paket zeigt allgemeine Informationen über
das Paket an, u.a. Hersteller, Plattform, Support-URL und Kontaktinformationen.
7.4 Softwarebereitstellung mittels Gruppenrichtlinien 545
Abbildung 7.27
Das Dialogfeld
EIGENSCHAFTEN des
Pakets in Gruppen-
richtlinie
Abbildung 7.28
Die Registerkarte
BEREITSTELLUNG VON
SOFTWARE im Dia-
logfeld EIGENSCHAF-
TEN von Gruppen-
richtlinie
HINWEIS
Widersprüchliche Optionen
Es ist nicht ratsam, die Option AUTOMATISCH INSTALLIEREN, WENN DIE DATEIERWEITE-
RUNG AKTIVIERT WIRD und die Option DIESES PAKET IN DER SYSTEMSTEUERUNG UNTER
»SOFTWARE« NICHT ANZEIGEN gleichzeitig zu deaktivieren. Dadurch wird die Instal-
lation der Software beim Öffnen eines passenden Dokuments verhindert; zu-
gleich wird verhindert, dass das Paket in Software angekündigt wird. Das Paket
ist zwar so konfiguriert, dass es dem Benutzer zur Verfügung steht, aber dieser
erfährt nie davon und kann das Installationsprogramm nicht starten. Das Paket
belegt Speicherplatz und verbraucht zusätzliche Kapazität für die GPO-Verarbei-
tung, wird aber niemals installiert. Dies ist nur unmittelbar vor einer Softwarefrei-
gabe sinnvoll, wenn Sie das Paket bis zum Startschuss unter Verschluss halten
möchten.
Bei optionalen Aktualisierungen kann der Benutzer weiterhin die ältere Software-
version einsetzen oder wahlweise auf die neueste Version aktualisieren. Bei optio-
nalen Aktualisierungen werden die Benutzer darüber informiert, dass eine neuere
Version verfügbar ist, und gefragt, ob sie sofort aktualisieren möchten. Falls ein
Benutzer mit der Aktualisierung einverstanden ist, wird die neue Softwareversion
installiert und die alte ersetzt. Andernfalls kann der Benutzer weiterhin mit der älte-
ren Version der Software arbeiten. Er bzw. sie wird weiterhin aufgefordert, die neue
Version der Software zu installieren. Sie können auch ein Datum festlegen, zu dem
Benutzer die Aktualisierung durchgeführt haben müssen, andernfalls wird sie
zwangsweise installiert (eine Art optionale Aktualisierung mit obligatorischem
Ende).
Folgen Sie Schritt für Schritt 7.6, um eine der beiden Aktualisierungsarten auszu-
führen.
Abbildung 7.29
Abbildung 7.30
Das Dialogfeld
EIGENSCHAFTEN für
das Paket
6. Klicken Sie auf HINZUFÜGEN, um ein Paket in die Liste derjenigen aufzuneh-
men, die vom vorliegenden Paket aktualisiert werden können. Es wird ein
Bildschirm wie in Abbildung 7.32 angezeigt. Dieser bietet mehrere Wahl-
möglichkeiten, u.a. wo das Aktualisierungspaket im aktuellen oder in einem
anderen GPO zu finden ist. Sie können dann unter den anderen GPOs im
Unternehmen nach einem Paket suchen, das zur Aktualisierung verwendet
werden soll.
550 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Abbildung 7.31
Die Registerkarte
AKTUALISIERUNGEN
im Dialogfeld
EIGENSCHAFTEN des
Pakets in Gruppen-
richtlinien
Abbildung 7.32
Festlegung eines
Pakets, das zur
Aktualisierung
eines vorhandenen
Pakets verwendet
werden soll
Abbildung 7.33
Paketaustauschin-
formationen in der
Registerkarte AKTU-
ALISIERUNGEN des
Dialogfelds EIGEN-
SCHAFTEN zum
Paket in Gruppen-
richtlinien
8. Sie haben nun, wie in Abbildung 7.34 gezeigt, zwei Pakete im Softwarepa-
ket-Detailbereich von Gruppenrichtlinien. Das jüngste installierte Paket ist
als obligatorische Aktualisierung für das in unserem Beispiel vorhergehende
552 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Paket vorgesehen. Jeder neue Benutzer, der die Software installiert, erhält das
neueste Paket; bei vorhandenen Benutzern wird die Software automatisch
aktualisiert, weil die Aktualisierung als obligatorisch markiert ist. Schließen
Sie den Gruppenrichtlinieneditor, um die GPO-Einstellungen in Kraft zu set-
zen.
Abbildung 7.34
Der Softwarepaket-
Bildschirm in Grup-
penrichtlinien
Die Konfigurierung von Paketaktualisierungen ist ganz einfach, wenn man davon
absieht, dass sichergestellt werden muss, dass die Aktualisierung im richtigen For-
mat (d.h. als MSI-Datei) vorliegt. Sie können die Aktualisierung als obligatorisch
oder als optional konfigurieren. Bei obligatorischen Aktualisierungen wird der
Benutzer zum Austausch des älteren Pakets gegen das neuere gezwungen. Neue
Benutzer erhalten immer die aktuellste Version. Was geschieht jedoch, wenn Sie
nur bestimmte Dateien in einem Paket austauschen, es aber nicht aktualisieren müs-
sen?
Möglicherweise möchten Sie auch eine neue Paketdatei (MSI) mit genau demsel-
ben Namen wie beim vorhandenen Paket erstellen und am selben Speicherort able-
gen wie das Originalpaket. Bei dieser Methode können Sie weit reichendere Ände-
rungen an der Software vornehmen, als nur das vorhandene Paket zu ändern. So
lange die Version und der Paketname identisch sind, wird davon ausgegangen, dass
es sich um dieselbe Software handelt. Sie können das Paket dann nach Bedarf neu
verteilen.
Um ein Paket nach Abschluss der Änderungen neu zu verteilen, folgen Sie der
Schrittanleitung.
Abbildung 7.35
Die Paketliste im
Ordner SOFTWAREIN-
STALLATION des
Gruppenrichtlinien-
editors
554 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
4. Um ein Paket neu zu verteilen, klicken Sie mit der rechten Maustaste auf das
Paket, wählen Sie ALLE TASKS und klicken Sie dann auf ANWENDUNG
ERNEUT BEREITSTELLEN. Abbildung 7.36 zeigt das Dialogfeld zur Bestäti-
gung der Neubereitstellung. Klicken Sie auf JA, um das Paket neu zu vertei-
len.
Abbildung 7.36
Wie Sie gesehen haben, ist die Neubereitstellung ganz einfach in den Fällen, in
denen bestimmte Dateien für eine Anwendung aktualisiert wurden, der Rest des
Pakets aber unverändert bleibt. Sie sollten jedoch daran denken, dass ein Paket bei
Neubereitstellung auf sämtlichen Clientcomputern installiert wird, was einen
beträchtlichen Anteil der Netzwerkbandbreite beanspruchen kann.
씰 Obligatorische bzw. erzwungene Entfernung, bei der die Software vom Com-
puter des Benutzers entfernt wird, ohne Rücksicht darauf, ob sie noch benö-
tigt wird oder nicht. Diese Option wird gewählt, indem Sie die Option SOFT-
7.5 Wartung von Softwarepaketen mittels Gruppenrichtlinien 555
Abbildung 7.37
Das Entfernen von Software mittels Gruppenrichtlinien ist relativ einfach. Denken
Sie daran, dass die Entscheidung zwischen optionaler und zwangsweiser Entfer-
nung nicht rückgängig gemacht werden kann. Das Paket wird aus dem GPO und
auch vom Computer des Benutzers entfernt, zwangsweise oder mit Einverständnis
des Benutzers. Wenn der Benutzer beschließt, das Paket auf seinem Computer zu
behalten, können Sie es später nicht mehr zwangsweise entfernen; das Paket ist
nicht mehr im GPO enthalten.
HINWEIS
Transformationsdateien (MST)
Abbildung 7.38
Änderungen an
einem Paket kön-
nen in diesem Dia-
logfeld hinzugefügt
werden
7. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für das Paket zu
schließen.
8. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu
setzen.
9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Container zu
schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
Abbildung 7.39
In SOFTWARE in der
Systemsteuerung
werden im Netz-
werk verfügbare
Pakete nach Kate-
gorien aufgelistet
560 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Ein sehr wichtiger Punkt, den es zu vermitteln gilt, ist die Tatsache, dass Katego-
rien, die in einem GPO einer Domäne konfiguriert sind, in der gesamten Domäne
verfügbar sind. Dies bedeutet, dass Softwarekategorien domänenweit funktionieren.
Sie können aus jedem GPO in jeder OU der Domäne auf die Registerkarte KATEGO-
RIEN zugreifen. Alle Änderungen an den aufgeführten Kategorien sind in der
gesamten Domäne wirksam. Beispielsweise können Sie nicht einen Satz von Kate-
gorien in der OU Verkauf und einen anderen Satz in der OU Entwicklung definie-
ren, wenn beide zur selben Domäne gehören. Alle Kategorien in allen OUs sind in
der gesamten Domäne verfügbar. In unterschiedlichen Domänen können Sie jedoch
verschiedene Gruppen von Kategorien definieren.
Abbildung 7.40
Die Registerkarte
K ATEGORIEN des
Dialogfelds EIGEN-
SCHAFTEN VON SOFT-
WAREINSTALLATION in
Gruppenrichtlinien
Abbildung 7.41
Abbildung 7.42
Die Registerkarte
K ATEGORIEN des
Dialogfelds EIGEN-
SCHAFTEN VON SOFT-
WAREINSTALLATION in
Gruppenrichtlinien
nach Hinzufügen
einer Softwarekate-
gorie
Nachdem Sie die Kategorien erstellt haben, können diese zur Gruppierung vorhan-
dener oder neuer Pakete verwendet werden, die Sie für die Bereitstellung konfigu-
riert haben. Folgen Sie der Schrittanleitung, um einem Paket eine Softwarekategorie
zuzuordnen.
7.6 Management der Softwarebereitstellung 563
5. Klicken Sie auf das Register KATEGORIEN, um die Liste der verfügbaren und
diesem Paket zugeordneten Kategorien anzuzeigen, wie in Abbildung 7.43
gezeigt.
Abbildung 7.43
Die Registerkarte
K ATEGORIEN des
Pakets zeigt die
Liste verfügbarer
Kategorien sowie
der Kategorien an,
die diesem Paket
zugeordnet sind
564 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
6. Klicken Sie unter VERFÜGBARE KATEGORIEN auf die Kategorie, der Sie die-
ses Paket zuordnen möchten, und klicken Sie dann auf AUSWÄHLEN, um das
Paket dieser Kategorie zuzuordnen. Um dieses Paket aus einer Kategorie zu
entfernen, markieren Sie die betreffende Kategorie unter AUSGEWÄHLTE
KATEGORIEN und klicken Sie auf ENTFERNEN. Wenn Sie fertig sind, klicken
Sie auf OK, um Ihre Änderungen zu speichern.
7. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu
setzen.
8. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu
schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
Sie haben nun Kategorien erstellt und ein Paket einer oder mehreren Kategorien
zugeordnet. Wenn Sie in der Systemsteuerung SOFTWARE öffnen, wird die Liste der
zur Installation verfügbaren Software angezeigt. Dort können Sie die Kategorie der
zu installierenden Software wählen, und es werden nur die Pakete angezeigt, die in
dieser Kategorie konfiguriert sind.
Wie Sie gesehen haben, ist die Erstellung von Kategorien für Software ganz einfach.
Dies ist von großem Vorteil für Organisationen, die viele Anwendungen mittels
Gruppenrichtlinien veröffentlichen möchten. Es erleichtert Benutzern das Auffinden
der Anwendungen, die sie installieren möchten. Administratoren kategorisieren die
verfügbaren Anwendungen und Benutzer können die Kategorien verwenden, um
nach verfügbaren Anwendungen zu suchen. Wie gesagt, ein Paket kann in mehreren
Kategorien vorkommen.
Aber was ist, wenn Benutzer keinen Zugriff auf Software in der Systemsteuerung
haben?
wenn dieser auf eine PDF-Datei doppelklickt, um sie zu öffnen, und die Software
noch nicht installiert ist. Auf diese Weise können Benutzer die Installation
bestimmter Softwareanwendungen starten.
Die Liste der Dateierweiterungen und der Anwendungen (Pakete), die diese Erwei-
terungen unterstützen, wird in Windows 2000 Active Directory veröffentlicht und
fortgeschrieben. Die Zuordnung zwischen Erweiterung und Softwarepaket wird
domänenweit geführt, aber die Festlegung, welches Softwarepaket installiert wer-
den soll, wenn ein Benutzer versucht, eine Datei mit einer bestimmten Erweiterung
zu öffnen, kann auf OU-Ebene oder einer anderen Ebene konfiguriert werden. Dies
bedeutet, dass Benutzer in einem bestimmten Zweig von Active Directory (z.B. in
der OU Verkauf) eine Anwendung installieren können, wenn sie ein Dokument
durch Doppelklicken aktivieren, wogegen für Benutzer in einer anderen OU (der
OU Entwicklung) eine andere Anwendung installiert wird.
Beispielsweise könnte es in Ihrer Organisation notwendig sein, für Dateien mit der
Erweiterung .DOC sowohl Microsoft Word 2000 als auch WordPerfect 2000 zu
unterstützen. Benutzer in der Rechtsabteilung bevorzugen aus historischen Gründen
WordPerfect 2000 für die Bearbeitung ihrer Dokumente. Die Anwendung WordPer-
fect enthält Vorlagen und andere für die Mitarbeiter in diesem Organisationsbereich
nützliche Tools. Benutzer in anderen Abteilungen bevorzugen jedoch Word 2000,
weil dies der Unternehmensstandard für Textverarbeitung ist. Sie können für die
Rechtsabteilung die Priorität der Anwendung festlegen, mit der eine .DOC-Datei
geöffnet werden soll, indem Sie das GPO anpassen, das zur Bereitstellung von Soft-
ware in der OU Recht benutzt wird. Alle anderen Bereiche des Unternehmens haben
Microsoft Word 2000 in einer höheren Priorität als WordPerfect 2000 mit der
Erweiterung .DOC verknüpft. Deshalb wird bei ihnen Microsoft Word 2000 instal-
liert, wenn sie eine DOC-Datei öffnen.
HINWEIS
Nur Windows 2000
Die Priorität für Dateierweiterungen kann nur für Anwendungen konfiguriert wer-
den, die mittels Windows-2000-Gruppenrichtlinien verteilt werden (d.h. als Win-
dows-Installer-Paket konfiguriert sind). Auch wenn eine andere Anwendung, etwa
eine Standardkomponente von Windows 2000, das Öffnen einer Datei mit einer
bestimmten Erweiterung unterstützt, kann diese nicht innerhalb des GPO mit der
Erweiterung verknüpft werden. Beispielsweise kann WordPad in Windows 2000
zum Öffnen von .DOC-Dateien verwendet, aber nicht im GPO mit der Erweiterung
.DOC verknüpft werden. Dies liegt daran, dass es kein Paket gibt, das zur Bereit-
stellung von WordPad über ein GPO verwendet werden kann. Wenn Sie WordPad
mit der Erweiterung .DOC verknüpfen möchten, müssen Sie ein Paket zur Bereit-
stellung von WordPad erstellen. Der wesentliche Punkt hier ist, dass die Priorität
bei Dateierweiterungen nur für Pakete gilt, die mit Windows-2000-Gruppenrichtli-
nien verteilt werden. Sie gilt nicht für Software, die mit anderen Methoden verteilt
wird.
5. Klicken Sie auf das Register DATEIERWEITERUNGEN, um die Liste der Pakete
und Dateierweiterungen anzuzeigen, wie in Abbildung 7.44 gezeigt.
6. Wählen Sie die Erweiterung, zu der Sie die Anwendungspriorität ändern
möchten. Verwenden Sie hierzu das Drop-down-Listenfeld, um eine Liste der
mit der betreffenden Erweiterung verknüpften Softwareanwendungen anzu-
zeigen.
7.6 Management der Softwarebereitstellung 567
Abbildung 7.44
Die Registerkarte
DATEIERWEITERUN-
GEN des Dialog-
felds EIGENSCHAF-
TEN VON
SOFTWAREINSTALLA-
TION
7. Bringen Sie die Anwendung, die standardmäßig installiert werden soll, mit
Hilfe der Schaltflächen NACH OBEN und NACH UNTEN an den Anfang der
Liste. Klicken Sie OK, wenn Sie fertig sind, um die Änderungen zu spei-
chern.
8. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen in Kraft zu
setzen.
9. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN des Containers zu
schließen, und beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
Wenn Sie sich fragen, wie die Dateierweiterung mit einem bestimmten Paket in
Verbindung gebracht wurde, denken Sie zurück an den Abschnitt »Packen von Soft-
ware für die Bereitstellung« in diesem Kapitel. Vielleicht erinnern Sie sich, dass Sie
beim Umpacken einer Anwendung festlegen konnten, mit welchen Dateierweiterun-
gen diese Anwendung verknüpft werden soll. Genauso verknüpft ein Softwareent-
wickler bestimmte Dateierweiterungen mit seiner Anwendung, wenn er ein Paket
für die Installation seiner Software erstellt. Auf diese Weise können Benutzer die
Anwendung nutzen wie vorgesehen.
568 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Auf welche Weise auch immer eine Erweiterung mit einer Anwendung verknüpft
wird, diese Verknüpfung wird in Active Directory veröffentlicht und auf jedem Cli-
entcomputer fortgeschrieben. Dies geschieht, damit Dateien geöffnet werden kön-
nen und Benutzer nicht in die Verlegenheit kommen, Dateien zu besitzen, die sie
nicht öffnen können.
Anwendung Die wahrscheinlichste Ursache dieses Problems ist, dass der Benutzer
kann nicht die Netzwerkfreigabe nicht erreichen kann, in der sich das Paket
installiert befindet. Prüfen Sie, ob die Freigabe wirklich verfügbar ist, und ob
werden der Benutzer berechtigt ist, auf die Paketdateien zuzugreifen. Die
nötigen Berechtigungen sind Lesen für die Freigabe und Lesen und
Ausführen auf NTFS-Ebene für den Datenträger, auf dem die Paketda-
teien liegen. Die NTFS-Berechtigungen sind für alle Dateien und
Ordner erforderlich, die zum Paket gehören.
Anwendungen Die wahrscheinlichste Ursache dieses Problems ist die Art der Bereit-
werden auf dem stellung der Software. Wenn die Anwendung dem Benutzer zuge-
Desktop nicht wiesen wurde, sollten die Verknüpfungen für die Anwendung auf dem
angezeigt wie Desktop des Benutzers angezeigt werden. Wenn dies nicht der Fall ist,
erwartet melden Sie sich als Benutzer an und prüfen Sie, ob die Anwendung in
der Systemsteuerung unter Software aufgeführt ist. Wenn ja, dann
wurde die Anwendung veröffentlicht, nicht zugewiesen. In diesem
Fall muss der Benutzer die Anwendung manuell installieren oder die
Installation per Dokumentaktivierung starten.
Wenn die Anwendung nicht unter Software aufgeführt wird und keine
Verknüpfungen auf dem Desktop angezeigt werden, dann könnte es
sein, dass die Anwendung nie verteilt oder in einer anderen OU
verteilt wurde. Es ist ebenfalls möglich, dass die Anwendung in der
richtigen OU verteilt wurde, dass aber der Benutzer aus dem Gültig-
keitsbereich des GPO herausgefiltert wurde, in dem die Anwendungs-
bereitstellung festgelegt ist. Prüfen Sie die Sicherheitseinstellungen
für das GPO, um sicherzustellen, dass der Benutzer nicht aus den
GPO-Einstellungen herausgefiltert wird.
Verteilte Anwen- In manchen Fällen verläuft das Umpacken von Anwendungen mit
dungen funktio- einem Packprogramm von einem Drittanbieter, wie etwa Veritas
nieren nach der WinINSTALL LE, nicht korrekt. Wenn beispielsweise das Setup-
Installation nicht Programm der Anwendung beim Umpacken bestimmte Dateien nicht
richtig auf der Festplatte des Referenzcomputers installiert, sind diese
Dateien nicht in der erstellten Paketdatei enthalten und müssen auf der
Festplatte des Benutzers vorhanden sein. Werden sie hier nicht
gefunden, so funktioniert die Anwendung nach der Bereitstellung u.U.
nicht richtig. Um das Problem zu beheben, packen Sie die Anwen-
dung erneut oder fügen Sie die benötigten Dateien zum Paket hinzu.
Bei Paketinstal- Dies ist ebenfalls ein Problem beim Umpacken. Wenn dabei eine
lation werden längere Zeit zwischen Vorher- und Nachher-Schnappschuss liegt,
andere Dateien können andere Änderungen am System stattgefunden haben, falls
entfernt andere Programme gestartet wurden. Dies kann dazu führen, dass das
endgültige Paket nach Erstellung des Nachher-Schnappschusses
Anweisungen zur Entfernung von Dateien von der Festplatte enthält.
Ist dies der Fall, so werden dieselben Dateien bei der Bereitstellung
des Pakets vom Computer des Benutzers entfernt, was Probleme bei
anderen Anwendungen verursachen kann. Um dieses Problem zu
beheben, ändern Sie das Paket so, dass keine Dateien gelöscht werden,
oder packen Sie die Software neu, um sicherzustellen, dass sie korrekt
konfiguriert ist.
Anwendungen Die wahrscheinlichste Ursache dafür sind Konflikte in Gruppenrichtli-
werden nicht nien. GPOs können auf verschiedenen Ebenen von Active Directory
verteilt wie erstellt werden, und in diesen kann Softwarebereitstellung konfigu-
erwartet oder riert sein. Es ist möglich, dass eine Einstellung in einem GPO, das mit
überhaupt nicht einem Active Directory-Container verknüpft ist, im Widerspruch steht
verteilt mit einer Einstellung in einem anderen GPO in einem Container auf
einer tieferen Ebene in Active Directory. Außerdem können, da Soft-
ware sowohl Computern als auch Benutzern zugewiesen werden kann,
Computereinstellungen je nach AD-Ebene, auf der sie angewandt
werden, Benutzereinstellungen überschreiben.
Wenn einem Benutzer beispielsweise Microsoft Word 2000 auf Ebene
des Domänen-GPO zugewiesen wurde, ihm aber dieselbe Anwendung
auf OU-Ebene verweigert wurde, dann wird die Anwendung nicht
installiert. Wenn ferner einem Benutzer eine Anwendung wie Micro-
soft Excel 2000 auf Domänenebene zugewiesen, aber für die obligato-
rische Entfernung von seinem Computer markiert wurde, steht die
Anwendung dem Benutzer nicht zur Verfügung.
Es ist immer sinnvoll, die Vererbung von GPOs innerhalb der Active
Directory-Struktur zu prüfen.
Wie Sie in der vorstehenden Tabelle sehen konnten, haben viele verbreitete Prob-
leme bei der Softwarebereitstellung mit Fehlern beim Umpacken oder Problemen
mit Gruppenrichtlinien zu tun. Das Verständnis für die allgemeine Funktionsweise
von GPOs (ganz gleich, ob Sie GPOs für die Softwarebereitstellung verwenden
oder nicht) ist von entscheidender Bedeutung. Durch Testen der Softwarebereitstel-
lung auf wenigen Computern vor der Einführung im großen Stil wird das Risiko
verringert, dass Probleme im großen Maßstab auftreten.
Situationsbeschreibung
In diesem Kapitel haben Sie gesehen, wie Gruppenrichtlinien bei der Bereitstel-
lung von Softwarepaketen in einem Unternehmen oder an eine bestimmte
Gruppe von Benutzern verwendet werden können. Es wurden außerdem
Methoden vorgestellt, die zur Aktualisierung von bereits verteilten Paketen ein-
gesetzt werden können, und Sie haben gelernt, wie Software, die nicht in einem
Windows-Installer-kompatiblen Format vorliegt, umgepackt werden kann. Hier
werden Sie feststellen, wie dies zur Lösung eines bestimmten Problems bei der
Sonnenschein-Brauerei verwendet werden kann.
Situationsanalyse
Die Herausforderung durch den Maßstab dieser Softwarebereitstellung mag
zwar auf den ersten Blick etwas erschreckend erscheinen, aber durch den Ein-
satz von Gruppenrichtlinien für die Bereitstellung ist dieses Problem leicht zu
lösen.
Auf der ERP-Seite würden Sie mindestens zwei verschiedene Softwarekonfi-
gurationen benötigen: eine für das Verkaufspersonal, das eine Untermenge des
ERP-Pakets (nur die CRM-Komponente) erhält, und die andere für alle admi-
nistrativen Benutzer, auf deren Desktops die gesamte ERP-Clientsoftware
installiert werden soll. Da der ERP-Hersteller die Anwendung nicht im Win-
dows-Installer-Paketformat anbietet und Ihnen dies beim Verkaufspersonal
auch nichts nützen würde, müssen Sie zunächst zwei Windows-Installer-Pakete
mit der korrekten Konfiguration erstellen.
572 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
Zusammenfassung
Bei Veröffentlichung von Software wird die Anwendung dem Benutzer zur Verfü-
gung gestellt, aber nicht unmittelbar installiert. Die Software wird entweder über
Software in der Systemsteuerung oder durch Dokumentaktivierung installiert. Letz-
tere findet statt, wenn der Benutzer versucht, eine Datei zu öffnen, deren Erweite-
rung mit einem bestimmten Paket verknüpft ist. Windows 2000 prüft, ob auf dem
Computer des Benutzers eine Anwendung verfügbar ist, mit der die Datei geöffnet
werden kann. Ist dies nicht der Fall, so wird Active Directory auf eine Liste von
Anwendungen und deren Priorität hin überprüft. Dann wird mittels Gruppenrichtli-
nien Windows Installer gestartet, um die Anwendung zu installieren.
Nach einiger Zeit mag es notwendig sein, den Benutzern neuere Versionen ihrer
Anwendungen zukommen zu lassen oder andere, nicht mehr benötigte Anwendun-
gen zu entfernen. Der Administrator kann ein Softwarepaket als obligatorische oder
optionale Aktualisierung für eine vorhandene Anwendung festlegen. Obligatorische
Aktualisierungen werden installiert, ohne den Benutzer an der Entscheidung zu
beteiligen; optionale Aktualisierungen lassen dem Benutzer die Wahl, ob er bzw. sie
auf die aktuellste Version aktualisieren möchte. Auch die Entfernung von Software
kann obligatorisch oder optional sein. Bei der erzwungenen Entfernung wird das
Softwarepaket zwangsweise vom Computer des Benutzers entfernt. Die optionale
Entfernung lässt dem Benutzer die Freiheit, die Software weiterhin zu verwenden.
Auch wenn der Benutzer das Paket auf seinem System belässt, kann es nicht mehr
installiert werden, weil es nicht mehr in Active Directory veröffentlicht wird.
Die meisten Probleme bei der Bereitstellung von Software mittels Gruppenrichtli-
nien gehen auf Netzwerkfehler zurück, beispielsweise wenn ein Softwarevertei-
lungspunkt nicht erreichbar ist. Manche Probleme sind auf die Anwendung von
Gruppenrichtlinien zurückzuführen. Beim Einkreisen von Problemen müssen Sie
alle Regeln einhalten, die für die Richtlinienvererbung, Filterung und andere Ele-
mente gelten, wie in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«,
beschrieben. Bereitstellung ist ein extrem nützlicher Aspekt der Gruppenrichtlinien,
aber sie ändert nicht die allgemeine Funktionsweise von Gruppenrichtlinien.
Schlüsselbegriffe
쎲 Erzwungene (obligatorische) 쎲 Paketänderungen
Paketentfernung
쎲 GPO-Gültigkeitsbereich 쎲 Softwarekategorien
쎲 Gruppenrichtlinienfilterung 쎲 Transformationsdateien
쎲 Gruppenrichtlinienobjekt 쎲 Umpacken einer Anwendung
(GPO)
쎲 Gruppenrichtlinienpriorität 쎲 Umpacken von Software
쎲 Gruppenrichtlinienvererbung 쎲 Veröffentlichung von
Software
쎲 Neubereitstellung 쎲 Windows Installer
쎲 Obligatorische Aktualisierung 쎲 Windows-Installer-Dienst
쎲 Optionale Aktualisierung 쎲 ZAP-Datei
쎲 Optionale Entfernung 쎲 Zuweisung von Software
Lernzielkontrolle 575
Lernzielkontrolle
Übungen
Alle Übungen zu diesem Kapitel setzen voraus, dass Sie Windows 2000 Server
(bzw. Advanced Server) auf einem Computer installiert haben. Ihr Windows 2000
Server muss als Domänencontroller für eine Domäne konfiguriert sein, damit die
Übungen funktionieren. Sie müssen sich bei der Domäne als Administrator anmel-
den können (d.h. Ihr Benutzerkonto muss Mitglied der Gruppe Organisations-
Admins oder der Gruppe Domänen-Admins sein). Es reicht aus, wenn Sie das
Kennwort für das Administratorkonto kennen.
Die Übungen in diesem Kapitel bauen auf den Übungen in Kapitel 6, »Benutzerver-
waltung mit Gruppenrichtlinien«, auf. Sie sollten die Übungen in Kapitel 6 abge-
schlossen haben, bevor Sie die folgenden Übungen beginnen.
1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler,
für den die Gruppenrichtlinie gültig ist (TimC).
2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG.
3. Doppelklicken Sie auf SOFTWARE, um die Anwendung zu starten.
4. Klicken Sie auf NEUE PROGRAMME HINZUFÜGEN , um eine Liste verfügbarer
Anwendungen im Netzwerk anzuzeigen. Wird das Paket, das Sie vorher kon-
figuriert haben, in der Liste angezeigt?
_____________________________________________________________
_____________________________________________________________
5. Klicken Sie auf die Schaltfläche HINZUFÜGEN, um das Paket auf dem Com-
puter zu installieren. Wie viel Benutzerinteraktion findet während der Instal-
lation statt?
_____________________________________________________________
_____________________________________________________________
6. Versuchen Sie, die Anwendung zu starten, und testen Sie, ob sie richtig funk-
tioniert. Ist dies der Fall?
_____________________________________________________________
_____________________________________________________________
7. Melden Sie sich beim Computer ab, wenn Sie mit dem Test der Anwendungs-
funktionalität fertig sind.
Lernzielkontrolle 577
9. Wenn Sie mit dem Hinzufügen von Kategorien fertig sind, klicken Sie auf
ÜBERNEHMEN und dann auf OK, um das Dialogfeld EIGENSCHAFTEN VON
SOFTWAREINSTALLATION zu schließen.
10. Um Ihr Paket in Softwarekategorien aufzunehmen, markieren Sie das Paket,
klicken Sie mit der rechten Maustaste darauf und wählen Sie dann EIGEN-
SCHAFTEN.
11. Klicken Sie auf das Register KATEGORIEN, um zu prüfen, in welche Kategori-
en die Software aufgenommen wurde. Markieren Sie Dateileser und Dienst-
programme in der Liste verfügbarer Kategorien, und klicken Sie auf
AUSWÄHLEN. Klicken Sie auf OK, wenn Sie mit der Kategorienauswahl fer-
tig sind.
12. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu spei-
chern.
13. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON FORSCHUNG auf OK, um es
zu schließen.
14. Schließen Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER MMC.
Führen Sie folgende Schritte aus, um die Aufnahme der Software in Kategorien zu
überprüfen:
1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler,
für den die Gruppenrichtlinie gültig ist (TimC).
2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG.
3. Doppelklicken Sie auf SOFTWARE, um die Anwendung zu starten.
4. Klicken Sie auf NEUE PROGRAMME HINZUFÜGEN, um eine Liste verfügbarer
Anwendungen im Netzwerk anzuzeigen. Welche Kategorien sind im Drop-
down-Listenfeld KATEGORIEN verfügbar?
_____________________________________________________________
_____________________________________________________________
5. Wählen Sie eine der Kategorien, in die Sie Ihr Paket aufgenommen haben
(Dienstprogramme oder Dateileser). Wird Ihr Paket in der Kiste angezeigt,
wenn die Kategorie Dienstprogramme markiert ist? Wird es auch in der Kate-
gorie Dateileser angezeigt? (Geben Sie hier ggf. Ihre eigenen Kategorien an)
_____________________________________________________________
_____________________________________________________________
6. Schließen Sie SOFTWARE und schließen Sie dann SYSTEMSTEUERUNG.
7. Melden Sie sich beim Computer ab, wenn Sie fertig sind.
Lernzielkontrolle 579
Führen Sie folgende Schritte aus, um ein Paket als Aktualisierung für Ihr vorhande-
nes Paket hinzuzufügen:
10. Wählen Sie in der angezeigten Liste das erste Anwendungspaket, und aktivie-
ren Sie passend zu Ihrer Softwareanwendung entweder BESTEHENDES PAKET
DEINSTALLIEREN, AKTUALISIERUNGSPAKET INSTALLIEREN oder PAKET KANN
ÜBER DAS BESTEHENDE PAKET AKTUALISIEREN. Klicken Sie auf OK.
11. Stellen Sie sicher, dass in der Registerkarte AKTUALISIERUNGEN die Option
BESTEHENDE PAKETE AKTUALISIEREN aktiviert ist, und klicken Sie auf ÜBER-
NEHMEN, dann auf OK, um das Dialogfeld EIGENSCHAFTEN für Pakete zu
schließen.
12. Schließen Sie den Gruppenrichtlinieneditor, um Ihre Änderungen zu spei-
chern.
13. Klicken Sie im Dialogfeld EIGENSCHAFTEN VON FORSCHUNG auf OK, um es
zu schließen.
14. Melden Sie sich beim Computer ab, nachdem Sie ACTIVE DIRECTORY-BE-
NUTZER UND -COMPUTER MMC geschlossen haben.
1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler,
für den die Gruppenrichtlinie gültig ist (TimC).
2. Wählen Sie im Startmenü EINSTELLUNGEN und dann SYSTEMSTEUERUNG.
3. Starten Sie Ihr erstes Anwendungspaket, indem Sie darauf doppelklicken
oder eine damit verknüpfte Dateierweiterung öffnen. Was passiert?
_____________________________________________________________
_____________________________________________________________
4. Ist die ältere Version Ihrer Anwendung immer noch installiert? Warum bzw.
warum nicht?
_____________________________________________________________
_____________________________________________________________
5. Wenn Sie fertig sind, schließen Sie alle Programme und melden Sie sich beim
Computer ab.
7.4 Entfernen verteilter Pakete mittels Gruppenrichtlinien
In dieser Übung konfigurieren Sie die obligatorische Entfernung des zuletzt instal-
lierten Pakets (d.h. der letzten Aktualisierung). Dann testen Sie die Aktualisierung,
um sicherzustellen, dass sie erfolgreich ist.
Führen Sie folgende Schritte aus, um ein Paket als Aktualisierung für Ihr vorhande-
nes Paket hinzuzufügen:
1. Melden Sie sich beim Computer an als Benutzer in der Gruppe Entwickler,
für den die Gruppenrichtlinie gültig ist (TimC).
2. Welche neuen Meldungen werden während des Anmeldevorgangs angezeigt?
_____________________________________________________________
_____________________________________________________________
3. Werden die Symbole bzw. Verknüpfungen für eines Ihrer Pakete angezeigt
bzw. sind sie noch verfügbar? Warum bzw. warum nicht?
_____________________________________________________________
_____________________________________________________________
582 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
4. Wenn Sie fertig sind, schließen Sie alle Programme und melden Sie sich beim
Computer ab.
Wiederholungsfragen
1. Wie muss Software konfiguriert werden, damit sie mittels Gruppenrichtlinien
verteilt werden kann?
2. Sie müssen sicherstellen, dass alle Benutzer in Ihrer Organisation Microsoft
Outlook 2000 als E-Mail-Client installiert haben. Wie würden Sie das reali-
sieren?
3. Benutzer in Ihrem Büro in Frankreich beschweren sich, dass sie in Microsoft
Outlook 2000 keine Eingabeaufforderungen und andere Informationen auf
Französisch erhalten. Wie würden Sie das Problem beheben?
4. Wenn eine Softwareanwendung nicht als Windows-Installer-Paketdatei aus-
geliefert wird, welche Alternativen gibt es für die Bereitstellung mittels
Gruppenrichtlinien?
5. Wenn Ihre Organisation viele Softwarepakete verteilt hat, wie können Sie
Benutzern die Suche nach der gewünschten Anwendung erleichtern?
6. In welchen Fällen würden Sie eine Anwendung einem Computer statt einem
Benutzer zuweisen?
7. Welche Optionen der Softwarebereitstellung sind bei ZAP-Dateien nicht ver-
fügbar?
8. Wie würden Sie einer vorhandenen MSI-Datei eine Supporttelefonnummer
und eine Website-Adresse hinzufügen?
9. Warum entfernt ein Softwarepaket Dateien vom Computer des Benutzers,
wenn es verteilt wird?
10. Wie können Sie sicher sein, dass Benutzer eine Anwendung weiterhin einset-
zen können, nachdem sie aus dem GPO entfernt wurde?
Prüfungsfragen
1. Sie sind Administrator einer großen multinationalen Organisation mit Büros
in Paris, London, Berlin, Moskau, Tokio und Sydney sowie der Zentrale in
New York. Ihr Informationsvorstand hat mit Microsoft verhandelt und macht
Microsoft Office 2000 zum Unternehmensstandard für Büropakete. Er
braucht Sie, um sicherzustellen, dass die Software verteilt wird.
Die Anforderungen an die Bereitstellung sind:
D. Reise- und andere Kosten für die Bereitstellung müssen möglichst niedrig
gehalten werden.
5. Wenn ein Paket für einen Benutzer veröffentlicht wird, wie kann der Benut-
zer die Installation der Softwareanwendung im Paket einleiten? (Wählen Sie
zwei korrekte Antworten aus.)
A. Durch Öffnen einer Datei, deren Erweiterung mit dem Paket verknüpft ist
(Dokumentaktivierung)
B. Durch Starten des Setup-Programms für das Paket (Installationsaktivie-
rung)
6. Im GPO für die OU der Verkaufsabteilung haben Sie ein Paket für die
zwangsweise Entfernung bei allen Benutzern konfiguriert. Wenn Sie Benut-
zer in der Verkaufsabteilung besuchen, stellen Sie fest, dass die Anwendung
von den Computern einiger Benutzer entfernt wurde, aber nicht bei allen.
Was könnte der Grund dafür sein, dass sich das Paket immer noch auf den
Computern einiger Benutzer in der Verkaufsabteilung befindet? (Wählen Sie
die beste Antwort aus.)
A. Diese Benutzer haben die Frage, ob die Anwendung entfernt werden soll,
mit Nein beantwortet.
B. Diese Computer wurden aus dem Gültigkeitsbereich des GPO herausgefil-
tert.
C. Diese Benutzer haben das Paket auf ihren Computern als unerlässlich
markiert, wodurch die zwangsweise Entfernung übergangen wurde.
D. Diese Benutzer sind Verkaufsmanager und unterliegen deshalb nicht den
Regeln des normalen Verkaufs-GPO.
E. Sie haben die Anwendung mit Software in der Systemsteuerung neu in-
stalliert, nachdem sie entfernt worden war.
7. Sie möchten eine Aktualisierung für eine vorhandene Anwendung verteilen.
Sie möchten sicherstellen, dass alle Benutzer die Aktualisierung erhalten, und
dass die alte Version der Software nicht mehr verfügbar ist. Wie sollten Sie
die Aktualisierung konfigurieren? (Wählen Sie zwei korrekte Antworten
aus.)
Lernzielkontrolle 587
1. Ja, das Paket wird in der Liste der im Netzwerk verfügbaren Programme an-
gezeigt.
2. Bei einer Paketdatei ist der Umfang der Benutzerinteraktion minimal. Wäh-
rend des Installationsvorgangs werden Statusinformationen angezeigt, aber es
werden keine Eingaben von Optionen für die Anwendungskonfiguration an-
gefordert. Die Installation wird erfolgreich abgeschlossen und verwendet die
in der Paketdatei festgelegten Parameter. Wenn Sie eine ZAP-Datei anstelle
einer Paketdatei verwenden, findet so viel Interaktion statt, wie das Setup-
Programm für die zu installierende Anwendung benötigt.
3. Die Anwendung sollte normal funktionieren. Mit anderen Worten, sie sollte
so funktionieren wie vor dem Umpacken, wenn Sie sie mit Veritas WinINS-
TALL LE bzw. nach Vorgaben des Herstellers umgepackt haben. Windows
Installer führt einfach die Aufgaben aus, die vom Softwareentwickler vorge-
geben sind, um die Anwendung zu installieren und funktionsfähig zu ma-
chen. Falls diese Konfiguration Fehler enthält, wenden Sie sich an den
Hersteller bzw. die Person, welche die Software umgepackt hat.
588 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
1. Sie erhalten Meldungen darüber, dass die verteilte Software während des An-
meldungsvorgangs entfernt wird.
2. Symbole und Verknüpfungen für die mittels Gruppenrichtlinien verteilte
Software sind nicht mehr verfügbar. Die Pakete wurden vollständig von Ih-
rem Computer entfernt.
Antworten auf Wiederholungsfragen
1. Software muss in Form einer Windows-Installer-Paketdatei vorliegen, oder
Sie müssen eine ZAP-Datei erstellen, wenn Sie die Software mittels Grup-
penrichtlinien verteilen möchten.
Die MSI-Datei ist im systemeigenen Windows-Installer-Format und enthält
die Dateien, Registrierungseinstellungen und Verknüpfungen, aus denen die
Anwendung besteht, sowie Informationen darüber, wo diese Elemente instal-
liert werden sollen.
Eine ZAP-Datei ist eine Textdatei, in der Informationen gespeichert werden
über das Programm, das zur Installation der Anwendung gestartet werden
soll, evtl. nötige Parameter sowie Dateierweiterungen, die mit der Anwen-
dung verknüpft werden sollen. Näheres finden Sie im Abschnitt »Vorberei-
tung der Software für die Bereitstellung mittels Gruppenrichtlinien«.
Lernzielkontrolle 589
2. Konfigurieren Sie ein GPO auf Domänenebene und erstellen Sie das Micro-
soft-Outlook-2000-Paket im Container Benutzerkonfiguration des GPO.
Weisen Sie die Software zu, statt sie zu veröffentlichen, um sicherzustellen,
dass sie auf den Desktops aller Benutzer installiert wird. Siehe Abschnitt
»Softwarebereitstellung mittels Gruppenrichtlinien«.
3. Erstellen Sie ein GPO in der OU für deutsche Benutzer in Active Directory
und weisen Sie ihm das Paket zu. Konfigurieren Sie eine Transformationsda-
tei (MST) mit den für die deutsche Sprache notwendigen Merkmalen und
verknüpfen Sie die Datei mit dem Paket. Damit wird gewährleistet, dass Mic-
rosoft Outlook 2000 zwar immer noch installiert wird (es ist zugewiesen),
dass aber auch die sprachlichen Anforderungen der deutschen Benutzer über
die Transformationsdatei (MST) berücksichtigt werden. Siehe Abschnitt
»Management der Softwarebereitstellung«.
4. Sie können eine ZAP-Datei erstellen, um die Anwendung zu installieren, und
dann das Softwareprodukt in Gruppenrichtlinien veröffentlichen. Sie können
die Anwendung auch mit einem Umpacktool von einem Drittanbieter wie
etwa Veritas WinINSTALL LE umpacken, wodurch eine Windows-Installer-
Paketdatei erzeugt wird, die bei der Bereitstellung größere Flexibilität ge-
währt. Siehe Abschnitt »Vorbereitung der Software für die Bereitstellung
mittels Gruppenrichtlinien«.
5. Erstellen Sie Softwarekategorien, die domänenweit verfügbar sind. Ändern
Sie dann Ihre Pakete in den verschiedenen GPOs und ordnen Sie die Pakete
jeweils einer oder mehreren Kategorien zu. Auf diese Weise kann ein Benut-
zer, wenn er bzw. sie eine veröffentlichte Anwendung installieren möchte, in
der Systemsteuerung unter Software die Liste aller Softwareprodukte oder
nur die für ihn bzw. sie interessanten Kategorien anzeigen. Siehe Abschnitt
»Management der Softwarebereitstellung«.
6. Sie würden eine Anwendung eher einem Computer als einem Benutzer zu-
weisen, wenn die Anwendung allen Benutzern auf einem oder mehreren
Computern zur Verfügung stehen muss. Auf diese Weise ist wichtige Softwa-
re immer für alle Benutzer verfügbar. Siehe Abschnitt »Softwarebereitstel-
lung mittels Gruppenrichtlinien«.
7. Beim Einsatz von ZAP-Dateien können Sie das Paket nicht Benutzern oder
Computern zuweisen; sie können es nur veröffentlichen. Dies liegt daran, dass
eine ZAP-Datei lediglich dem Windows Installer mitteilt, welches Programm
zum Starten des Installationsvorgangs aufgerufen werden soll. Windows Instal-
ler hat keinen Einfluss darauf, was während der Anwendungsinstallation tat-
sächlich geschieht und kann sie daher nicht steuern. Aus diesem Grund können
Pakete nicht zugewiesen werden, da Windows Installer dazu die Installation der
Softwareanwendung automatisieren muss. Siehe Abschnitt »Vorbereitung von
Software für die Bereitstellung mittels Gruppenrichtlinien«.
590 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
war. Schließlich haben Sie dadurch, dass Sie alles mithilfe von Windows-
2000-Gruppenrichtlinien erledigt haben, die Kosten gering gehalten. Siehe
die Abschnitte »Softwarebereitstellung mittels Gruppenrichtlinien« in diesem
Kapitel und »Gruppenrichtlinienvererbung« in Kapitel 6, »Benutzerverwal-
tung mit Gruppenrichtlinien«.
3. D. Paketdateien beinhalten Verknüpfungen, Registrierungseinstellungen und
die zur Installation benötigten Dateien; dies trifft auf ZAP-Dateien nicht zu.
ZAP-Dateien sind Textdateien, welche die mit einer Anwendung verknüpften
Erweiterungen sowie das Programm, das zur Installation der Softwareanwen-
dung ausgeführt werden muss, beschreiben. Windows Installer kann ZAP-Da-
teien nicht mit höheren Privilegien ausführen, weil in Wirklichkeit Sie das
Setup-Programm für die Anwendung ausführen müssen, und dieses im Sicher-
heitskontext des Benutzers ausgeführt wird, der die Installation einleitet. So-
wohl ZAP- als auch MSI-Dateien (Paketdateien) können mit wenigen
Einschränkungen bei der Softwarebereitstellung eingesetzt werden. Siehe Ab-
schnitt »Vorbereitung von Software für die Bereitstellung mittels Gruppen-
richtlinien«.
4. B. Es würde zwar auch D funktionieren, aber es ist besser, die Anwendung
neu zu packen und zu veröffentlichen, als eine ZAP-Datei zu verwenden.
Wenn der Benutzer nicht die Berechtigung zur Änderung der Registrierung
oder zum Speichern von Dateien im Systemordner besitzt, könnte die Metho-
de mit der ZAP-Datei fehlschlagen, weil die Anwendung nicht mit höheren
Privilegien installiert werden kann. Windows-Installer-Paketdateien, auch
solche, die mit WinINSTALL LE umgepackt wurden, können mit höheren
Privilegien installiert werden. Bei Zuweisung der umgepackten Anwendung
an alle Benutzer würden sie auf deren Computern installiert, ganz gleich, ob
die Benutzer die Anwendung wollen oder nicht, aber Sie wollten den Benut-
zern die Entscheidung überlassen. ZAP-Dateien können nicht zugewiesen
werden; Sie können sie lediglich veröffentlichen. Siehe die Abschnitte »Vor-
bereitung von Software für die Bereitstellung mittels Gruppenrichtlinien« in
diesem Kapitel und »Softwarebereitstellung mittels Gruppenrichtlinien«.
5. A, D. Wenn ein Paket für einen Benutzer veröffentlicht wird, kann es entwe-
der über Dokumentaktivierung (der Benutzer öffnet eine Datei, deren Erwei-
terung mit der Anwendung verknüpft ist) oder durch Benutzeraktivierung,
wobei der Benutzer in der Systemsteuerung unter Software die zu installie-
rende Softwareanwendung auswählt, installiert werden. Das Paket wird nicht
installiert, wenn der Benutzer sich anmeldet oder der Computer neu gestartet
wird, weil es veröffentlicht und nicht zugewiesen wurde. Damit eine automa-
tische Installation stattfindet, müssten Sie das Paket dem Benutzer oder dem
Computer zuweisen. Siehe Abschnitt »Softwarebereitstellung mittels Grup-
penrichtlinien«.
592 Kapitel 7 Softwarebereitstellung mittels Gruppenrichtlinien
6. B. Dass die Anwendung immer noch auf deren Computern installiert war,
liegt höchstwahrscheinlich daran, dass diese Benutzer aus dem GP herausge-
filtert wurden, in dem die zwangsweise Entfernung konfiguriert war. Da die
Entfernung der Software obligatorisch war, konnten die Benutzer sie nicht
ablehnen, weil sie nie gefragt wurden. Ob es sich um Verkaufsmanager han-
delt oder nicht, die Gruppenrichtlinien gelten auch für sie (die Position hat bei
Gruppenrichtlinien keine Priorität). Die Benutzer hätten das Paket mittels
Software nicht neu installieren können, weil es nicht mehr zur Verfügung
stand. Es war entfernt worden. Es gibt keine Möglichkeit, eine Anwendung
auf einem Computer als »unerlässlich« zu markieren und so die GPO-Einstel-
lungen zu übergehen; diese Funktionalität existiert nicht. Siehe die Abschnit-
te » Softwarebereitstellung mittels Gruppenrichtlinien« in diesem Kapitel
und »Gruppenrichtliniensicherheit« in Kapitel 6, »Benutzerverwaltung mit
Gruppenrichtlinien«.
7. A, D. Um zu gewährleisten, dass alle Benutzer ausschließlich die neue Ver-
sion haben, müssen Sie die Aktualisierung obligatorisch machen und die älte-
re Version während der Aktualisierung deinstallieren. Die Aktualisierung
optional zu machen und den Benutzern zu erlauben, die alte Version zu be-
halten, ist ein und dasselbe. Beim Überschreiben der alten Version können
Teile dieser Anwendung erhalten bleiben, was nicht Ihren Anforderungen
entspricht. Siehe Abschnitt »Wartung von Softwarepaketen mittels Gruppen-
richtlinien«.
8. B, C, D. Mit Windows-Installer-Paketdateien können Sie Benutzern und
Computern Software zuweisen. Außerdem ist der Deinstallationsprozess in-
telligent genug, um beim Entfernen von Software zu wissen, welche Dateien
noch von anderen Anwendungen benötigt werden, da der Windows-Installer-
Dienst Buch führt über solche Informationen. Schließlich sorgen Windows-
Installer-Pakete dadurch für widerstandsfähige Software, dass wichtige Da-
teien automatisch ersetzt werden, wenn sie beschädigt oder gelöscht wurden.
Die Veröffentlichung von Software kann mittels ZAP-Dateien oder Win-
dows-Installer-Paketen erfolgen, sodass diese Antwort, was Pakete betrifft,
nicht 100% korrekt ist. Mit Windows-Installer-Paketdateien können Sie Soft-
ware auf Computern von Benutzern installieren, auch wenn diese nicht die
dafür nötigen Privilegien besitzen, weil Windows Installer eine Installation
unter Verwendung seiner eigenen Privilegien (d.h. mit höheren Privilegien)
durchführen kann. Siehe Abschnitt »Vorbereitung von Software für die Be-
reitstellung mittels Gruppenrichtlinien«.
Lernzielkontrolle 593
Lernziele
8
In diesem Kapitel werden folgende Ziele aus dem Prüfungsabschnitt »Konfigurie-
ren, Verwalten, Überwachen und Fehlerbehebung bei Sicherheitsmodellen von
Active Directory« behandelt.
8.1 Einführung
Sie haben gesehen, wie Gruppenrichtlinien mittels administrativer Vorlagen und
Skripte zur Konfiguration von Benutzer- und Computereinstellungen eingesetzt
werden können. Sie haben ebenfalls gesehen, wie Gruppenrichtlinien eingesetzt
werden können, um Softwareanwendungen zu verteilen und den Zeitaufwand für
die Installation von Software im Unternehmen zu minimieren. Mit Gruppenrichtli-
8.2 Verfügbare Sicherheitseinstellungen in Windows-2000-Gruppenrichtlinien 597
Wie Abbildung 8.1 zeigt, kann die Anzahl der Elemente, die in der Computerkonfi-
guration von Gruppenrichtlinien angegeben werden kann, im Vergleich mit dem
Bereich Benutzerkonfiguration ganz beträchtlich sein. Letzterer enthält nur einen
Eintrag: Richtlinien öffentlicher Schlüssel. Die Einstellungen, die in Gruppenricht-
linien für den Computer konfiguriert werden können, sind in der folgenden Tabelle
aufgeführt.
Abbildung 8.1
Sicherheitsoptio-
nen in Gruppen-
richtlinien
Einstellung Beschreibung
Einstellung Beschreibung
Einstellung Beschreibung
Richtlinien für öffentliche Schlüssel, die konfiguriert werden können, enthalten nur
einen Bereich: Organisationsvertrauen. Hier kann der Administrator für den Benut-
zer festlegen, welcher Stammzertifizierungsstelle vertraut werden soll, wodurch
gewährleistet ist, dass der Benutzer keine anderen Zertifizierungsstellen zulassen
kann.
Microsoft Windows 2000 wird mit einer Reihe von vorkonfigurierten Sicherheits-
vorlagen ausgeliefert, die für den Einsatz auf Domänencontrollern, Servern und
Workstations vorgesehen sind. Diese Vorlagen beinhalten vier Sicherheitsstufen,
die den Umfang der verfügbaren Anwendungsfunktionalität beeinflussen können.
Wenn Sie beispielsweise beschließen, eine hohe Sicherheitsstufe einzusetzen, funk-
tionieren möglicherweise einige Anwendungen, die andere Bereiche des Betriebs-
systems nutzen, nicht mehr korrekt, weil der Benutzer vielleicht keinen Zugriff auf
diese gesicherten Betriebssystembereiche hat. Sicherheitsvorlagen werden auf Win-
dows-2000-Computern im Ordner WINNT\SECURITY\TEMPLATES gespeichert. Bei
den vier Stufen von Sicherheitsvorlagen handelt es sich um folgende:
씰 Secure. Bei diesen Vorlagen ist erstmals die Sicherheit wichtiger als die
Funktionalität von Geschäftsanwendungen. Dies bedeutet, dass in einer si-
cheren Umgebung nicht garantiert werden kann, dass Geschäftsanwendungen
funktionieren, weil diese möglicherweise Teile des Betriebssystems nutzen,
die abgesichert wurden. So könnte eine Geschäftsanwendung etwa ohne Mel-
dungen in das Anwendungsprotokoll der Ereignisanzeige schreiben, ohne
dazu berechtigt zu sein. Sichere Vorlagen werden für Domänencontroller (SE-
CUREDC) und Workstations (SECUREWS) mitgeliefert.
Abbildung 8.2
Abbildung 8.3
Abbildung 8.4
Um ein Snap-In
HINZUZUFÜGEN,
wählen Sie Snap-In
hinzufügen/entfer-
nen im Menü Kon-
sole des MMC-
Konsolenfensters
8.3 Implementierung von Sicherheitsrichtlinien 605
Abbildung 8.5
Abbildung 8.6
Abbildung 8.7
Nachdem Sie eine MMC-Konsole konfiguriert haben, die Sie immer wieder zur
Erstellung und Änderung von Sicherheitsvorlagen verwenden können, sind Sie in
der Lage, eine Vorlage zu erstellen. Führen Sie die Schrittanleitung aus, um eine
Sicherheitsvorlage zu erstellen.
8.3 Implementierung von Sicherheitsrichtlinien 607
Abbildung 8.8
Der Standardpfad
zum Speichern von
MMC-Konsolein-
stellungen ist der
Ordner VERWAL-
TUNG. Sie können in
diesem Drop-
down-Listenfeld
einen anderen Pfad
wählen
Abbildung 8.9
Speichern der
MMC-Sicherheits-
vorlagen auf Ihrem
Desktop
3. Wenn Sie einen neuen Pfad zum Speichern von Sicherheitsvorlagen hinzufü-
gen möchten, wie in Abbildung 8.11 gezeigt, klicken Sie mit der rechten
Maustaste auf SICHERHEITSVORLAGEN und wählen Sie NEUER VORLAGEN-
SUCHPFAD. Dies kann nützlich sein, wenn Sie einen Satz von Vorlagen, die
noch in Entwicklung sind, an einem Speicherort ablegen, aber nicht zur allge-
meinen Verwendung freigeben möchten. Außerdem ist es sinnvoll in Fällen,
in denen ein Satz von Sicherheitsvorlagen, die in einem Unternehmen einge-
setzt werden, in einer Netzwerkfreigabe gespeichert werden kann.
Abbildung 8.10
Anzeige der am
Standardpfad ver-
fügbaren Sicher-
heitsvorlagen
Abbildung 8.11
Abbildung 8.12
5. Geben Sie im Dialogfeld, das in Abbildung 8.13 gezeigt wird, einen Namen
für die Sicherheitsvorlage und optional eine Kurzbeschreibung ein, die im
MMC-Snap-In angezeigt wird. Klicken Sie auf OK, wenn Sie fertig sind.
Abbildung 8.13
6. Sie haben nun eine Sicherheitsvorlage erstellt, die auf diesem Computer ein-
gesetzt oder, wie Sie später sehen werden, in ein Gruppenrichtlinienobjekt
importiert werden kann. Die erstellte Sicherheitsvorlage enthält sämtliche
Optionen, aber es sind keine eingestellt. Die Standardkonfiguration für jedes
Element der Vorlage ist nicht definiert, sodass Sie nur die Elemente der Vor-
lage konfigurieren und in Kraft setzen müssen, die Sie durchsetzen möchten.
610 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Nachdem Sie die Sicherheitsvorlage erstellt haben, müssen Sie die Einstellungen
ändern, damit die Sicherheitsrichtlinie das gewünschte Verhalten widerspiegelt. Um
eine Sicherheitsvorlage zu ändern, folgen Sie der Schrittanleitung.
HINWEIS
Verwendung einer vorhandenen Sicherheitsvorlage
Statt eine völlig neue Sicherheitsvorlage zu erstellen, wie in Schritt für Schritt 8.2
gezeigt, können Sie eine vorhandene Vorlage als Grundlage für die Erstellung ei-
ner neuen Vorlage verwenden. Klicken Sie hierzu mit der rechten Maustaste auf
die Vorlage die Sie kopieren möchten, und wählen Sie SPEICHERN UNTER. Geben
Sie im Dialogfeld SPEICHERN UNTER einen Dateinamen für die zu erstellende Vorla-
genkopie ein. Der Sicherheitsvorlagenpfad wird nun aktualisiert, um die erstellte
Vorlagenkopie zu berücksichtigen.
Das Kopieren einer Vorlage hat gegenüber der Neuerstellung einige Vorteile,
aber auch Nachteile. Ein wesentlicher Vorteil ist es, dass, falls die meisten Ein-
stellungen, die Sie durchsetzen möchten, bereits enthalten sind, die Änderung für
einige wenige neue Einstellungen nicht so aufwendig ist wie die Neueingabe
sämtlicher Einstellungen. Wird eine vorhandene Vorlage jedoch kopiert, ohne de-
ren Inhalt genau zu kennen, kann dies auch zur Umsetzung von Einstellungen
führen, die Sie so nicht erwartet haben. Ganz gleich, ob Sie die Vorlage neu er-
stellen oder eine vorhandene kopieren, Sie sollten immer den Inhalt der betreffen-
den Vorlage kennen und gründlich überprüfen, ob die vorgenommenen
Änderungen das gewünschte Ergebnis liefern. Wie bei allem ist Testen eine wich-
tige Anforderung.
4. Markieren Sie den Bereich, in dem Sie eine Einstellung ändern möchten, bei-
spielsweise KONTORICHTLINIEN. Es wird eine weitere Gruppe von Kategorien
für Einstellungen angezeigt. Erweitern Sie die Einstellungen so lange, bis Sie
die zu ändernde Einstellung gefunden haben, etwa MINIMALE KENNWORT-
LÄNGE in der KENNWORTRICHTLINIE, wie in Abbildung 8.15 gezeigt.
Abbildung 8.14
Bei Erweiterung
einer Sicherheits-
vorlage wird eine
Liste von Einstellun-
gen angezeigt, die
geändert werden
können
Abbildung 8.15
Um die minimale
Länge eines Kenn-
worts zu ändern,
erweitern Sie Kon-
torichtlinien und
dann Kennwort-
richtlinien in der zu
ändernden Sicher-
heitsvorlage
DESTENS NZEICHEN ENTHALTEN auf dem Bildschirm ändern. Klicken Sie auf
OK, wenn Sie fertig sind.
Abbildung 8.16
Im Dialogfeld
SICHERHEITSRICHTLI-
NIENVORLAGE kön-
nen Sie Einstellun-
gen für
Sicherheitsrichtlini-
en, wie z. B. die
minimale Kennwort-
länge, ändern
HINWEIS
Dialogfeld Sicherheitsrichtlinienvorlage
Die Informationen, die in diesem Dialogfeld angezeigt werden, variieren je nach
verfügbaren Optionen für eine Einstellung und Art der Definition in der Vorlage.
Das Dialogfeld mag zwar den gleichen Namen haben, aber die zu ändernden In-
formationen können unterschiedlich sein.
Es wurde zwar noch nicht erwähnt, aber Sie können nicht mehr benötigte Sicher-
heitsvorlagen auch löschen. Löschen Sie hierzu die Datei direkt in dem Ordner, in
dem sie sich befindet (z.B. C:\WINNT\Security\Templates), oder mit Hilfe des
MMC-Snap-Ins SICHERHEITSVORLAGEN.
Wie Sie gesehen haben, ist das Erstellen, Ändern und Löschen von Sicherheitsvor-
lagen relativ einfach. Der schwierigste Teil ist es, genau zu bestimmen, welche Ein-
stellung angewandt werden soll. Diese Entscheidung beruht jedoch meistens eher
auf Geschäftsanforderungen als auf technischen Gegebenheiten und erfordert mög-
licherweise Diskussionen mit anderen im Unternehmen.
Abbildung 8.17
Abbildung 8.18
Um eine Sicher-
heitsvorlage in
MMC zu löschen,
klicken Sie mit der
rechten Maustaste
auf die zu löschen-
de Vorlage und
wählen Sie
Löschen
Abbildung 8.19
Um eine Datenbank zu erstellen, die zur Analyse Ihres Computers im Vergleich mit
einer Vorlage verwendet werden soll, folgen Sie der Schrittanleitung.
Abbildung 8.20
Sicherheitskonfigu-
ration und -analyse
benötigt eine
Datenbank zum
Speichern der
Sicherheitseinstel-
lungen
Abbildung 8.21
Um eine Daten-
bank zu erstellen,
wählen Sie DATEN-
BANK, nachdem Sie
mit der rechten
Maustaste auf
SICHERHEITSKONFI-
GURATION UND -ANA-
LYSE geklickt haben
Abbildung 8.22
5. Als Nächstes wird ein Dialogfeld ähnlich Abbildung 8.23 angezeigt, in dem
Sie aufgefordert werden, eine Sicherheitsvorlage zu importieren, die zum
Vergleich der Sicherheitseinstellungen verwendet werden soll. Sie sollten
eine Vorlage wählen, deren Einstellungen für den Computer, auf dem
SICHERHEITSKONFIGURATION UND -ANALYSE ausgeführt wird, wünschens-
wert sind. Wenn Sie beispielsweise einen Domänencontroller mit elementa-
ren Sicherheitseinstellungen konfigurieren wollten, würden Sie die Sicher-
heitsvorlage basicdc importieren. Wählen Sie eine Vorlage und klicken Sie
auf OK, um deren Einstellungen zu laden.
618 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Abbildung 8.23
Abbildung 8.24
5. Wählen Sie in dem angezeigten Dialogfeld die Vorlage, die Sie als Grundlage
für die Analyse Ihres Computers verwenden möchten, und klicken Sie auf
ÖFFNEN. Wie weiter vorne erwähnt, sollten Sie eine Vorlage wählen, die den
erwünschten Einstellungen nahe kommt.
6. Um die Analyse durchzuführen, klicken Sie mit der rechten Maustaste auf
SICHERHEITSKONFIGURATION UND -ANALYSE, und wählen Sie COMPUTER
JETZT ANALYSIEREN, wie in Abbildung 8.26 gezeigt.
Abbildung 8.25
Abbildung 8.26
Abbildung 8.27
10. Um die Analyseprotokolldatei anzuzeigen, klicken Sie mit der rechten Maus-
taste auf SICHERHEITSKONFIGURATION UND -ANALYSE, und stellen Sie sicher,
dass die Option PROTOKOLLDATEI ANSEHEN aktiviert ist. Wie in Abbildung
8.30 gezeigt, ändert sich die Anzeige im Detailbereich nun, um die Protokoll-
datei anzuzeigen. Sie können die Protokolldatei durchgehen, um festzustel-
len, ob während der Analyse ernsthafte Fehler aufgetreten sind.
622 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Abbildung 8.28
Abbildung 8.29
Nach Abschluss
der Analyse werden
alle Sicherheitsein-
stellungen aus der
Vorlage in der
MMC-Konsole
angezeigt
8.3 Implementierung von Sicherheitsrichtlinien 623
Abbildung 8.30
Um die Analysepro-
tokolldatei anzuzei-
gen, klicken Sie mit
der rechten Maus-
taste auf SICHER-
HEITSKONFIGURATI-
ON UND -ANALYSE,
und wählen Sie
PROTOKOLLDATEI
ANSEHEN
Abbildung 8.31
Nach Abschluss
der Analyse können
Sie die Vorlagen-
einstellungen mit
den aktiven Einstel-
lungen des Com-
puters vergleichen
624 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
HINWEIS
Analyse vieler Computer
Für Situationen, in denen häufig die Analyse einer großen Menge von Computern
anfällt, enthält Windows 2000 ein Befehlszeilenprogramm namens SECEDIT. Die-
sem Programm können der Dateiname und der Pfad der Datenbank sowie wei-
tere in SICHERHEITSKONFIGURATION UND -ANALYSE festgelegte Parameter
übergeben werden. Das Programm führt die Sicherheitsanalyse durch, wie Sie es
in MMC getan haben, aber Sie benötigen trotzdem noch das Snap-In SICHER-
HEITSKONFIGURATION UND -ANALYSE, um die Analyseergebnisse anzuzeigen.
Das Befehlszeilenprogramm SECEDIT.EXE kann dort wertvoll sein, wo es sinnvoll
ist, die Analyse außerhalb der Spitzenlastzeiten durchzuführen. Tatsächlich ist
das Programm in erster Linie zur Verwendung über den Taskplaner vorgesehen
und nicht direkt über die Befehlszeile. Administratoren können einen zentralen
Speicherort für die Datenbanken vieler Computer konfigurieren und erhalten dann
auch die Ergebnisse an dieser Stelle. Nach der Analyse über Nacht kann der Ad-
ministrator die Inhalte der Datenbanken mit Hilfe des Snap-Ins SICHERHEITSKON-
FIGURATION UND -ANALYSE durchsuchen, um festzustellen, ob Probleme
vorliegen.
11. Um die Ergebnisse der Analyse anzuzeigen und den Vergleich zwischen
Computereinstellungen und Datenbank zu sehen, erweitern Sie den Bereich,
den Sie vergleichen möchten, und klicken Sie darauf, wie in Abbildung 8.31
angezeigt. Um beispielsweise für die Kennwortrichtlinie die Unterschiede
zwischen den Einstellungen des Computers und denen in der Datenbank (d.h.
den Einstellungen in der zum Vergleich herangezogenen Vorlage) zu ermit-
teln, würden Sie Kontorichtlinien erweitern und dann auf Kennwortrichtlinie
klicken. Der Detailbereich würde drei Spalten enthalten: Richtlinie, für den
Namen der Einstellung; Datenbankeinstellung, die Vorlageneinstellung in der
Datenbank auf der Basis der von Ihnen importierten Vorlage, sowie Compu-
tereinstellung, die derzeit aktive Konfiguration des Systems.
12. Gehen Sie die Analyse durch, um ein vollständiges Bild davon zu erhalten,
wie nahe Ihr System bei den Einstellungen der Vorlage liegt, und wo Ände-
rungen angebracht sind. Schließen Sie die MMC-Konsole, wenn Sie fertig
sind.
von Sicherheitsvorlagen auf dem lokalen Computer anwenden. Führen Sie dazu die
Schrittanleitung aus.
Abbildung 8.32
Abbildung 8.33
6. Wie Sie beim Analysevorgang gesehen haben, wird bei der Konfiguration des
Computers ein Statusbildschirm wie in Abbildung 8.34 angezeigt, der Ihnen
Informationen über den Fortschritt der Anwendung von Sicherheitseinstel-
lungen auf den lokalen Computer liefert. Nach deren Abschluss werden die
verschiedenen Einstellungen nicht mehr im Bildschirm der MMC-Konsole
SICHERHEITSKONFIGURATION UND -ANALYSE angezeigt.
7. Nachdem die Konfiguration abgeschlossen ist, können Sie die Ergebnisse
prüfen, indem Sie wie bei der Analyse die Protokolldatei anzeigen (siehe
Abbildung 8.35).
8. Schließen Sie die MMC-Konsole, wenn Sie fertig sind.
Abbildung 8.34
Abbildung 8.35
Nach Abschluss
der Konfiguration
können Sie prüfen,
was sich geändert
hat, indem Sie die
Protokolldatei in
Sicherheitskonfigu-
ration und -analyse
untersuchen
628 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Abbildung 8.36
Abbildung 8.37
2. Klicken Sie mit der rechten Maustaste auf den Container, dessen GPO
zwecks Anwendung von Sicherheitseinstellungen geändert werden soll, und
klicken Sie auf EIGENSCHAFTEN.
3. Klicken Sie auf das Register GRUPPENRICHTLINIE und wählen Sie das GPO,
das Sicherheitseinstellungen an Objekte in seinem Gültigkeitsbereich weiter-
geben soll. Klicken Sie auf BEARBEITEN, um den GRUPPENRICHTLINIENEDI-
TOR zu öffnen.
Abbildung 8.38
Abbildung 8.39
Abbildung 8.40
Wie die Diskussion zeigt, ist der Import von Sicherheitsvorlagen und deren Anwen-
dung in einem GPO eine einfache Angelegenheit. Die Einstellungen der Vorlage
werden nun bei allen Computern und/oder Benutzern im Gültigkeitsbereich des
GPO umgesetzt. Sie können das MMC-Snap-In SICHERHEITSKONFIGURATION UND -
ANALYSE verwenden, um die Einstellungen einzelner Computer zu überprüfen.
Windows 2000 bietet dem Administrator große Flexibilität bei der Implementierung
einer Sicherheitsrichtlinie für Benutzer und Computer. Wie Sie gesehen haben, kön-
nen Sie mit Sicherheitsvorlagen die Einstellungen konfigurieren, die für einen Com-
puter bzw. Benutzer zu gelten haben. Mit SICHERHEITSKONFIGURATION UND -ANA-
LYSE können Sie die gegenwärtig aktiven Einstellungen (Istzustand) mit denen in
einer Sicherheitsvorlage (Sollzustand) vergleichen. Um auf einer Reihe von ver-
schiedenen Computern bzw. für eine Anzahl verschiedener Benutzer die gleichen
Sicherheitseinstellungen zu implementieren, können Sie Gruppenrichtlinien einset-
zen und diese Einstellungen auf Standort-, Domänen- oder OU-Ebene zuweisen.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie 633
Ereignis Beschreibung
Ereignis Beschreibung
Angesichts dieser Tabelle sollten Sie nun verstehen, dass es möglich ist, fast jede
Aktion zu verfolgen, die in einem System durchgeführt wird, falls dies gewünscht
wird. Im Allgemeinen ist zu viel Überwachung jedoch nicht zu empfehlen. Die
Überwachung kann die Leistung des Zielsystems ernsthaft beeinträchtigen. Ande-
rerseits ist der Totalverzicht auf Überwachung zwar besonders gut für die Leistung,
bietet aber auch keine Informationen über Versuche von Außenstehenden, Zugriff
auf Ressourcen zu erlangen. Das ideale Ausmaß der Überwachung liegt auf dem
Grat zwischen Leistung und Sicherheit und ist für jede Organisation anders zu
bewerten. Die Planung ist der Schlüssel.
Abbildung 8.41
Abbildung 8.42
Doppelklicken Sie
auf das Ereignis, für
das Sie die Über-
wachung konfigu-
rieren möchten, um
das Dialogfeld
SICHERHEITSRICHTLI-
NIE zu öffnen
Wie Sie sehen, ist die Einrichtung einer Überwachung ganz einfach. Denken Sie
jedoch daran, dass Sie für den Zugriff auf Objekte und Verzeichnisdienste noch
festlegen müssen, für welche Objekte (Dateien, Ordner oder Drucker) bzw. Active
Directory-Container Sie den Zugriff von wem überwachen möchten.
Abbildung 8.43
Denken Sie an Folgendes, wenn Sie die Überwachung für Dateisystemobjekte fest-
legen:
Abbildung 8.44
Abbildung 8.45
Die Registerkarte
SICHERHEITSEINSTEL-
LUNGEN des NTFS-
Ordners zeigt die
gegenwärtig zuge-
ordneten Berechti-
gungen an
Abbildung 8.46
Abbildung 8.47
Die Registerkarte
ÜBERWACHUNG lis-
tet die aktuell konfi-
gurierten Überwa-
chungsoptionen für
den Ordner auf
Abbildung 8.48
Durch Markieren
einer Gruppe oder
eines Benutzers
wird das Auswahl-
dialogfeld ÜBERWA-
CHUNGSEINTRAG
angezeigt, in dem
Sie die für diesen
NTFS-Ordner zu
überwachenden
Erfolgs- bzw. Fehle-
rereignisse aus-
wählen können
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie 645
7. Treffen Sie Ihre Wahl, indem Sie in die passenden Kontrollkästchen unter
ERFOLGREICH bzw. FEHLGESCHLAGEN klicken, und klicken Sie auf OK,
wenn Sie fertig sind.
8. Wiederholen Sie die Schritte 6 und 7, um weitere Gruppen und Benutzer hin-
zuzufügen und deren Überwachungseinstellungen zu konfigurieren.
9. Nachdem Sie Ihre Wahl getroffen haben, kehren Sie zum Dialogfeld
ZUGRIFFSEINSTELLUNGEN zurück. Klicken Sie auf ANWENDEN und dann auf
OK, um Ihre Änderungen zu speichern.
10. Beenden Sie Windows Explorer, wenn Sie fertig sind. Wiederholen Sie
andernfalls die vorangegangenen Schritte für jeden weiteren Ordner bzw.
jede weitere Datei, den bzw. die Sie für die Überwachung konfigurieren
möchten.
Abbildung 8.49
Abbildung 8.50
Das Dialogfeld
EIGENSCHAFTEN zum
Drucker wird geöff-
net, wenn Sie mit
der rechten Maus-
taste auf den Dru-
cker klicken und
EIGENSCHAFTEN
wählen
648 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Abbildung 8.51
Das Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN wird geöff-
net, wenn Sie in der
Registerkarte
SICHERHEITSEINSTEL-
LUNGEN des EIGEN-
SCHAFTEN-Dialog-
felds auf ERWEITERT
klicken
Abbildung 8.52
6. Nachdem Sie den Benutzer bzw. die Gruppe gewählt haben, deren Aktionen
Sie überwachen möchten, wird das Dialogfeld ÜBERWACHUNGSEINTRAG
angezeigt (siehe Abbildung 8.53).Wählen Sie die zu überwachenden Aktio-
nen, und klicken Sie auf OK, wenn Sie fertig sind.
Beachten Sie, dass Sie Ihre Überwachungsaktionen auf den Drucker und Do-
kumente, nur auf den Drucker oder nur auf Dokumente anwenden können.
Außerdem ist es wichtig, anzumerken, dass die Überwachung der Berechti-
gung DRUCKEN zusätzlich die Überwachung der Leseberechtigungen erfor-
dert, weil Benutzer den Drucker auffinden müssen, um darauf zu drucken.
8.4 Konfiguration und Implementierung einer Überwachungsrichtlinie 649
Abbildung 8.53
In dem Dialogfeld
ÜBERWACHUNGSEIN-
TRAG wählen Sie die
zu überwachenden
Aktionen
Ähnlich wie bei Dateien und Ordnern ist es für die Überwachung des Zugriffs auf
Drucker erforderlich, dass Sie festlegen, welche Aktionen von welchen Benutzern
für welche Drucker protokolliert werden sollen. Es ist sinnvoll, den Zugriff auf sehr
spezielle oder wichtige Drucker (wie etwa Scheckdrucker oder teure Farbdrucker)
zu überwachen, nicht aber auf einfache Drucker, die von jedem benutzt werden,
oder gar auf solche, die auf dem Schreibtisch eines Benutzers stehen.
650 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Wenn Sie den Zugriff auf Active Directory-Objekte überwachen, sollten Sie wich-
tige Objekte, wie etwa Benutzerkonten und alle Gruppen mit gefährdeter Mitglied-
schaft, sowohl auf Erfolgs- als auch auf Fehlerereignisse überwachen. Sie sollten
dies für alle administrativen Benutzer tun, vor allem für solche, denen Sie evtl. die
Kontrolle über ein Active Directory-Objekt übertragen haben. Damit können Sie
feststellen, ob eine der Personen, die Sie mit der Verantwortung für Teile Ihrer
Netzwerkinfrastruktur betraut haben, versucht, mehr Zugriffsrechte zu erlangen als
ihr gewährt wurden.
Um den Zugriff auf Active Directory-Objekte zu überwachen, stellen Sie die Über-
wachungsrichtlinie auf VERFOLGUNG DES ZUGRIFFS und die Nutzung von Verzeich-
nisdiensten ein. Aktivieren Sie die Überwachung des Objekts mit Hilfe der passen-
den MMC-Konsole, wie etwa ACTIVE DIRECTORY-BENUTZER UND -COMPUTER,
ACTIVE DIRECTORY-STANDORTE UND -DIENSTE oder ACTIVE DIRECTORY-DOMÄ-
NEN UND -VERTRAUENSSTELLUNGEN. Um beispielsweise die Überwachung für den
Container BENUTZER in Active Directory zu aktivieren, führen Sie die folgende
Schrittanleitung aus.
Abbildung 8.54
Im Dialogfeld
ZUGRIFFSEINSTEL-
LUNGEN für den
Active Directory-
Container BENUT-
ZER können Sie auf
die Überwachungs-
einstellungen für
das Active Directo-
ry-Objekt zugreifen
4. Klicken Sie auf das Register ÜBERWACHUNG, um eine Liste der aktuellen
Überwachungseinträge anzuzeigen. Um einen neuen Eintrag hinzuzufügen,
klicken Sie auf die Schaltfläche HINZUFÜGEN, und wählen Sie einen Benutzer
bzw. eine Gruppe, die überwacht werden sollen, wie in Abbildung 8.55
gezeigt.
Abbildung 8.55
5. Wählen Sie im Dialogfeld die Aktion, die Sie überwachen möchten, ERFOLG-
REICH oder FEHLGESCHLAGEN, sowie den Gültigkeitsbereich der Überwa-
chung, wie in Abbildung 8.56 gezeigt. Klicken Sie auf OK, wenn Sie fertig
sind, um Ihre Änderungen zu speichern. Beachten Sie, dass Active Directory-
652 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Abbildung 8.56
HINWEIS
Fokussierung der Überwachung auf präzise Stufen
Seien Sie vorsichtig bei der Anwendung der Überwachung auf alle Objekte ein-
schließlich der untergeordneten. Dadurch werden u.U. Überwachungseinträge für
eine große Anzahl von Objekten erzeugt, wenn sich der Container weit oben in
der Active Directory-Hierarchie befindet. Normalerweise ist es sinnvoll, die Über-
wachung von Active Directory-Objekten präzise auf den benötigten Umfang ein-
zuschränken und nicht zuzulassen, dass sie sich über die gesamte Struktur
ausbreitet.
Eines der wunderbaren Features von Windows 2000 für Administratoren ist die fle-
xible Kontrolle, die Active Directory ermöglicht. Damit dies funktioniert, ist es
jedoch entscheidend, zu gewährleisten, dass nur diejenigen Zugriff auf einen
bestimmten Bereich in Active Directory erhalten, die ihn benötigen. Durch Konfi-
guration der Überwachung von Zugriffen auf Active Directory-Objekte, wie in der
Schrittanleitung gezeigt, können Sie unangebrachte Zugriffsversuche verfolgen.
Das Programm, mit dem Sie die Sicherheitsaufzeichnungen anzeigen können, ist die
Ereignisanzeige. Dieses wurde Ihnen bereits in Kapitel 5, »Server verwalten«, vor-
gestellt, und Sie sollten seine Funktionsweise kennen. Überwachungseinträge wer-
den im Sicherheitsprotokoll der Ereignisanzeige in chronologischer Reihenfolge
gespeichert. Ereignisse werden grundsätzlich auf dem Computer gespeichert, auf
dem sie eintreten, mit Ausnahme von Kontoanmeldeereignissen, die im Sicherheits-
ereignisprotokoll des Domänencontrollers gespeichert werden, der die Anforderung
bearbeitet. Mit anderen Worten, um zu sehen, welche Aktivitäten stattgefunden
haben, müssen Sie das Protokoll des Computers analysieren, an dem Sie interessiert
sind.
Abbildung 8.57
Das Sicherheits-
protokoll der Ereig-
nisanzeige enthält
eine Liste der auf
dem lokalen Com-
puter überwachten
Ereignisse
4. Prüfen Sie weitere Protokolleinträge nach Wunsch. Wenn Sie fertig sind,
beenden Sie die Ereignisanzeige.
Die Verwendung der Ereignisanzeige zur Prüfung der auf einem Computer einge-
tretenen Überwachungsereignisse ist für den Administrator die einzige Möglichkeit,
festzustellen, ob die Sicherheitseinstellungen, die mittels Gruppenrichtlinien oder
Sicherheitskonfiguration und -analyse implementiert wurden, funktionieren.
Fallstudie: Verwendung von Gruppenrichtlinien 655
Abbildung 8.58
Weitere Details
über die Aktion
werden angezeigt,
wenn Sie auf das
Ereignis doppelkli-
cken und das Dia-
logfeld EREIGNISEI-
GENSCHAFTEN
anzeigen
Wenn Sie für die Bereiche von Windows 2000, die mit Sicherheitsvorlagen konfi-
guriert wurden, die Überwachung aktivieren, sind Sie in der Lage, alle unbefugten
Versuche zu verfolgen und festzustellen, wer versucht, Zugriff auf Ihr Netzwerk
bzw. Ihren Computer zu erlangen. Darüber hinaus erhalten Sie, wenn Sie die Über-
wachung des Erfolgs einer Aktion aktivieren, ein Protokoll der Aktivitäten in Sys-
tembereichen wie Dateien oder Druckern ebenso wie in Windows-2000-Kompo-
nenten wie etwa Active Directory.
Situationsbeschreibung
Für die sichere Übertragung und den sicheren Zugriff auf Daten ist es unerläss-
lich, dass geeignete Sicherheitsrichtlinien im gesamten Unternehmen oder Tei-
len davon einheitlich umgesetzt werden. Die Rückverfolgung der Urheber von
Versuchen, eine Ressource ohne Autorisierung zu benutzen, sowie eine
Methode zur Überprüfung, ob die Wächter dieser Richtlinien nicht ihre Posi-
tion missbrauchen, sind beides Dinge, die mittels Sicherheitsvorlagen in Grup-
penrichtlinien durchgesetzt werden können. In dieser Fallstudie werden Sie
sehen, wie Gruppenrichtlinien zur Lösung eines bestimmten Problems bei der
Sonnenschein-Brauerei eingesetzt werden können.
Situationsanalyse
Die vom VV der Sonnenschein-Brauerei skizzierten Anforderungen können
alle durch Einsatz von Sicherheitseinstellungen in Gruppenrichtlinien erfüllt
werden. Da Letztere auf verschiedenen Ebenen von Active Directory sowie
mittels Gruppenrichtlinienfilterung auf bestimmten Computern im Unterneh-
mensnetzwerk umgesetzt werden können, sind Sie zuversichtlich.
Ihre erste Empfehlung sollte die Festlegung einer Domänenüberwachungsricht-
linie sein, welche die Überwachung fehlgeschlagener Kontoanmeldungen und
Anmeldungen ermöglicht, um rückzuverfolgen, welche Benutzerkonten für
unbefugte Zugriffsversuche auf wichtige Server verwendet werden. Diese
Richtlinie würde auf Computern in einer bestimmten Liste umgesetzt. Diese
Liste könnte in einer globalen Sicherheitsgruppe gehalten werden, die von
einem Administrator verwaltet wird, wobei das GPO so gefiltert wird, dass es
nur diese Sicherheitsgruppe betrifft. Auf diese Weise würden bei anderen, nicht
unternehmenswichtigen Servern keine Anmeldungsereignisse überwacht. Bei
der Gruppenrichtlinie sollte die Option KEIN VORRANG aktiviert sein. Um chro-
nologische Aufzeichnungen der Sicherheitsereignisse fortzuschreiben, können
Sie die Ereignisprotokolleinstellungen mit Hilfe der Sicherheitsrichtlinie für
die kritischen Server so konfigurieren, dass das Sicherheitsprotokoll nie über-
schrieben wird. Natürlich würden Sie die Protokollgröße mittels GPO auf einen
Wert (um die 100 MB) einstellen, der es Ihnen ermöglicht, hinreichend viele
Ereignisse aufzuzeichnen, bevor der Inhalt der Protokolldatei gelöscht wird.
Außerdem würden Sie den Gästezugriff auf das Sicherheitsprotokoll mittels
derselben Richtlinie einschränken, und für maximale Sicherheit die Einstellun-
gen so konfigurieren, dass der Computer heruntergefahren wird, wenn die Pro-
tokolldatei voll ist. Das GPO sollte auf Domänenebene mit KEIN VORRANG
konfiguriert werden.
658 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
Da die Liste der Administratoren für die wichtigen Server des Unternehmens
zentral kontrolliert werden muss, könnten Sie ein weiteres GPO erstellen, das
den Bereich EINGESCHRÄNKTE GRUPPEN der Sicherheitseinstellungen nutzen
würde, um Benutzer zu der von Ihnen mit Hilfe des GPO erstellten Sicherheits-
gruppe SecureServerAdmins hinzuzufügen. Dieses GPO würde auch auf eine
Liste bestimmter Server angewandt und so gefiltert, dass die Administration
anderer Server in der Organisation nicht eingeschränkt wird. Das GPO sollte
auf Domänenebene erstellt werden und mit KEIN VORRANG konfiguriert wer-
den.
Zur Durchsetzung der Kennwortvorgaben erstellen Sie eine weitere Richtlinie
auf Domänenebene mit geeigneten Einstellungen (z.B. maximales Alter 30
Tage und 12 Kennwörter merken). Die Richtlinie sollte auch ein minimales
Kennwortalter von mindestens einem Tag enthalten, damit Benutzer nicht
innerhalb von weniger als 12 Tagen wieder ihr ursprüngliches Kennwort ver-
wenden können. Die Kennwortlänge ist zwar nicht vorgegeben, aber sie sollte
auf mindestens ein Zeichen (besser wären fünf oder sechs) gesetzt werden,
damit Benutzer ein Kennwort verwenden müssen. Diese Richtlinie könnte auch
die Einstellungen für die Kontosperre aufnehmen, die nach drei Versuchen
innerhalb von 30 Minuten einsetzt. Die GPOs sollten außerdem mit KEIN VOR-
RANG konfiguriert werden, damit sie einheitlich im ganzen Unternehmen
umgesetzt werden. Sie sollten so gefiltert werden, dass alle Benutzer berück-
sichtigt werden.
Es ist möglich, den Telnet-Dienst über den Bereich SYSTEMDIENSTE der
Sicherheitseinstellungen zu deaktivieren. Die Richtlinie sollte ebenfalls auf
Domänenebene erstellt werden und zu den Servern gefiltert werden, die als kri-
tisch gelten.
Schließlich, um zu gewährleisten, dass ein Benutzer der Abteilung Forschung
und Entwicklung sofort abgemeldet wird, wenn er bzw. sie die Smartcard aus
dem Computer entfernt, konfigurieren Sie dieses Verhalten in den Sicherheits-
optionen eines GPO auf Ebene der OU Forschung und Entwicklung. Damit
wird ein Benutzer automatisch abgemeldet, wenn die Karte entfernt wird.
Da Sie alle diese Sicherheitsanforderungen über GPOs implementiert haben,
können diese auf einfache Weise zentral verwaltet und nach Bedarf in der
gesamten Domäne oder auf OU-Ebene umgesetzt werden.
Zusammenfassung 659
Zusammenfassung
In diesem Kapitel haben Sie gelernt, wie eine Sicherheitsrichtlinie erstellt wird, und
wie deren Effektivität durch Überwachung überprüft werden kann. Es sollte hervor-
gehoben werden, dass die Überwachung selbst eine Komponente der Sicherheits-
richtlinie ist und zusammen mit der Planung Ihrer Sicherheitsrichtlinie als Ganzes
behandelt und geplant werden sollte. (Wie könnten Sie sonst wissen, ob Ihre Sicher-
heitsrichtlinie greift?)
Zur Einrichtung einer Sicherheitsrichtlinie können Sie zwei Tools verwenden: das
MMC-Snap-In SICHERHEITSKONFIGURATION UND -ANALYSE oder GRUPPENRICHT-
LINIEN innerhalb von Active Directory. Mit SICHERHEITSKONFIGURATION UND
-ANALYSE können Sie die Sicherheitsrichtlinie für den lokalen Computer konfigu-
rieren. Außerdem können Sie damit die aktuellen Sicherheitseinstellungen für den
Computer abrufen und mit einer Sicherheitsvorlage vergleichen, die einen Satz von
vorkonfigurierten Sicherheitseinstellungen enthält. Auf diese Weise können Sie die
aktuellen Sicherheitseinstellungen Ihres Computers mit der Liste von erwünschten
Einstellungen in der Vorlage vergleichen. Ferner können Sie Ihre aktuellen Sicher-
heitseinstellungen auf dem Computer mit Hilfe von SICHERHEITSKONFIGURATION
UND -ANALYSE in eine Vorlage exportieren. Schließlich können Sie eine Sicher-
heitsvorlage in SICHERHEITSKONFIGURATION UND -ANALYSE IMPORTIEREN und
deren Einstellungen auf Ihrem Computer umsetzen, um eine lokale Richtlinie zu
aktivieren.
HINWEIS
Sicherheit und Benutzerfreundlichkeit
Ein Beispiel für zu viel Sicherheit zu Lasten der Benutzerfreundlichkeit ist es, wenn
vom Benutzer verlangt wird, das Kennwort jeden Tag zu ändern. Dies ist für Be-
nutzer ermüdend und führt dazu, dass sie häufig das neueste Kennwort verges-
sen. Das System wird dadurch sicher (weil niemand hineinkommt), aber die
Benutzerfreundlichkeit lässt zu wünschen übrig.
Ein Beispiel für unzureichende Sicherheit bei ausgezeichneter Benutzerfreund-
lichkeit ist es, wenn gar keine Kennwörter vom Benutzer verlangt werden. Dies er-
leichtert den Personen die Nutzung des Systems ungemein, liefert es aber völlig
schutzlos den Angriffen derjenigen aus, die keinen Zugriff haben sollen. Das ist
natürlich keine gute Lösung.
Die beste Konfiguration ist eine, die gute Sicherheit mit angemessener Benutzer-
freundlichkeit verbindet. Was dies tatsächlich bedeutet, hängt von der jeweiligen
Situation und vom jeweiligen Unternehmen ab. Sicherheit sollte den Unterneh-
mensforderungen nach minimalem Risiko Rechnung tragen, zugleich aber das
legitime Bedürfnis der Benutzer, ein benutzbares System, im Auge behalten.
verfeinern. Dies ist bei Dateien und Ordnern, Druckern und Active Directory-
Objekten erforderlich, weil das Aktivieren der Überwachung für alles einen zu gro-
ßen Overhead zur Folge hätte. Wenn Sie die Überwachung für solche Objekte kon-
figurieren, aber auch allgemein, gilt: Überwachen Sie nur so viel wie nötig, damit
kein zu großer Overhead im System erzeugt wird.
Schlüsselbegriffe
쎲 Active Directory 쎲 Registrierung
쎲 Datenträgerkontingente 쎲 Sicherheitskonfiguration und
-analyse
쎲 Deaktivierung der 쎲 Sicherheitsvorlage
Richtlinienvererbung
쎲 GPO-Gültigkeitsbereich 쎲 Überwachung
쎲 GPO-Vererbung 쎲 Überwachungsrichtlinie
쎲 Gruppenrichtlinienfilterung
Lernzielkontrolle
Übungen
In den folgenden Übungen werden Sie mittels Gruppenrichtlinien eine Sicherheits-
richtlinie konfigurieren. Eine Komponente der Sicherheitsrichtlinie wird eine Über-
wachungsrichtlinie sein. Anschließend werden Sie überprüfen, ob Ihre Sicherheits-
und Überwachungsrichtlinie den gewünschten Effekt hatte.
Sie benötigen einen zweiten Computer, der Mitglied Ihrer Domäne ist, in der die
Richtlinie getestet werden soll. Dieser Computer muss zur OU Forschung gehören,
die Sie in Kapitel 6, » Benutzerverwaltung mit Gruppenrichtlinien«, erstellt haben.
Führen Sie folgende Schritte aus, um ein GPO für die Sicherheitsrichtlinie zu erstel-
len und dafür Berechtigungen festzulegen:
6. Klicken Sie auf das Register SICHERHEITSEINSTELLUNGEN und dann auf die
Schaltfläche HINZUFÜGEN, um einen neuen Sicherheitseintrag hinzuzufügen.
Fügen Sie die Gruppe Entwickler hinzu, und ordnen Sie ihr die Berechtigun-
gen LESEN und GRUPPENRICHTLINIE ÜBERNEHMEN für die Richtlinie FOR-
SCHUNGSSICHERHEITSRICHTLINIE zu. Stellen Sie außerdem sicher, dass der
Computer, der zum Testen der Anmeldung verwendet werden soll (beispiels-
weise der Computer namens BERLIN), ebenfalls die Berechtigungen LESEN
und GRUPPENRICHTLINIE ÜBERNEHMEN erhält. Wenn das Register SICHER-
HEITSEINSTELLUNGEN nicht verfügbar ist, klicken Sie auf das Menü ANSICHT
in der MMC-Konsole und wählen Sie ERWEITERTE FUNKTIONEN, um die An-
zeige der erweiterten Optionen in der Konsole zu aktivieren.
7. Klicken Sie auf OK, um Ihre Änderungen zu speichern.
8. Klicken Sie auf SCHLIESSEN, um das Dialogfeld EIGENSCHAFTEN für die OU
Forschung zu schließen.
Um Einstellungen für die Forschungssicherheitsrichtlinie zu konfigurieren, führen
Sie folgende Schritte aus:
1. Versuchen Sie, sich vom zweiten Computer aus als Benutzer TimC mit dem
Kennwort Microsoft bei der Domäne anzumelden. Der Versuch sollte fehl-
schlagen. Nehmen Sie andernfalls ein anderes Kennwort und stellen Sie si-
cher, dass es nicht funktioniert.
664 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
7. Was ist die Standarderweiterung für die Datenbankdateien, die von SICHER-
HEITSKONFIGURATION UND -ANALYSE erstellt werden?
B. Sicherheitsvorlagen
C. Active Directory-Benutzer und -Computer
lage und AuditVorlage vor, die von Ihrem Vorgänger erstellt wurden.
Mehrere andere Einstellungen sind in keiner Vorlage enthalten und müssen
neu definiert werden.
Welche Schritte müssen Sie unternehmen, um die Sicherheitsvorlage zu er-
stellen? (Wählen Sie vier korrekte Antworten aus.)
A. Öffnen des Gruppenrichtlinieneditors und Import der Vorlagen KENN-
WORTVORLAGE und AUDITVORLAGE.
B. Anmeldeereignisse überwachen
Lernzielkontrolle 667
C. Systemereignisse überwachen
D. Active Directory-Zugriff überwachen
E. Anmeldeversuche überwachen
F. Datei- und Druckerzugriff überwachen
5. Sie müssen die Sicherheitskonfiguration aller Computer in der Entwicklungs-
und Finanzabteilung regelmäßig analysieren. Mit welchen beiden Tools
könnten Sie das am effizientesten erledigen? (Wählen Sie zwei korrekte Ant-
worten aus.)
A. Active Directory-Benutzer und -Computer
B. Taskplaner
C. Windows Explorer
D. Sicherheitskonfiguration und -analyse
E. SECEDIT
F. NTDSUTIL
6. Sie möchten verfolgen, wie lange die Benutzer im Netzwerk angemeldet
sind. Welches der folgenden Überwachungsereignisse sollten Sie aktivieren?
(Wählen Sie die beste Antwort aus.)
A. Objektzugriffsversuche überwachen – ERFOLGREICH
B. Kontenverwaltung überwachen – ERFOLGREICH
C. Anmeldeversuche überwachen – FEHLGESCHLAGEN
D. Anmeldeereignisse überwachen – ERFOLGREICH
E. Anmeldeereignisse überwachen – FEHLGESCHLAGEN
F. Kontenverwaltung überwachen – FEHLGESCHLAGEN
7. Das Management von conciliar.com hat beschlossen, dass jeder Unterneh-
mensbereich selbst für die Fortschreibung der Kennwortrichtlinien verant-
wortlich sein soll. Die einzige unternehmensweite Anforderung ist eine
minimale Kennwortlänge von fünf Zeichen.
Die Active Directory-Struktur von conciliar.com enthält eine Domäne auf
höchster Ebene namens conciliat.com und vier weitere untergeordnete Domä-
nen namens namerica.conciliar.com, europe.conciliar.com, samerica.conci-
liar.com und specific.conciliar.com, die für Administrationszwecke erstellt
668 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
wurden. Da die Migration auf Windows 2000 erst vor kurzem abgeschlossen
wurde, sind bisher keine neuen Gruppenrichtlinienobjekte erstellt worden.
Wie würden Sie Gruppenrichtlinien konfigurieren, um die unternehmenswei-
te Einstellung für Kennwortrichtlinien durchzusetzen, und alle anderen Ele-
mente der Kennwortverwaltung auf lokaler Ebene zu belassen? (Wählen Sie
alle korrekten Antworten aus.)
A. Änderung der Standard-Domänenrichtlinie für die Domäne conciliar.com
mit den Kennworteinstellungen.
B. Erstellung eines GPO namens Kennwortrichtlinieneinstellungen in jeder
Domäne mit den Kennworteinstellungen.
C. Erstellung eines GPO namens Kennwortrichtlinieneinstellungen in der
Domäne conciliar.com mit den Kennworteinstellungen.
D. Verknüpfung des GPO Kennwortrichtlinieneinstellungen der Domäne
conciliar.com mit jeder untergeordneten Domäne.
E. Konfiguration der Option RICHTLINIENVERERBUNG DEAKTIVIEREN für das
GPO Kennwortrichtlinieneinstellungen.
F. Verlagerung aller Benutzer in den untergeordneten Domänen in den Con-
tainer BENUTZER der Domäne conciliar.com.
G. Konfiguration der Option KEIN VORRANG für das GPO Kennwortrichtli-
nieneinstellungen.
H. Konfiguration der Option KEIN VORRANG für das GPO Standard-Domä-
nenrichtlinie in der Domäne conciliar.com.
8. Sie beschließen, eine Überwachungsrichtlinie zu implementieren, um folgen-
de Anforderungen zu erfüllen:
씰 Alle Benutzerversuche zur Anmeldung beim Netzwerk müssen über-
wacht werden.
씰 Benutzer, die erfolglos versuchen, sich beim Dateiserver Findata anzu-
melden, sollen verfolgt werden.
씰 Aktionen von Administratoren zum Löschen, Hinzufügen oder Ändern
von Benutzern im Standardcontainer BENUTZER sollen verfolgt werden.
씰 Alle Zugriffe auf die OU Informationsdienste in Active Directory sollen
verfolgt werden.
Lernzielkontrolle 669
es sich um andere Benutzer handeln könnte) und für die Überwachung des
fraglichen Rechts (AUF DIESEN COMPUTER VOM NETZWERK AUS ZUGREIFEN)
konfiguriert ist. Siehe »Konfiguration und Implementierung einer Überwa-
chungsrichtlinie«.
3. Aktivieren Sie die Überwachung von Objektzugriffsversuchen auf dem Win-
dows-2000-Computer, auf dem der Drucker definiert ist. Ordnen Sie dem ge-
meinsamen Drucker geeignete Berechtigungen zu, damit gewährleistet ist,
dass nur Mitglieder der Grafikabteilung Zugriff haben. Konfigurieren Sie die
Überwachung für den Drucker auf FEHLGESCHLAGEN bei den Operationen
DRUCKEN und DRUCKER LESEN für die Gruppe JEDER, sowie auf ERFOLG-
REICH und FEHLGESCHLAGEN für Mitarbeiter der Grafikabteilung. Ersteres
erlaubt Ihnen die Verfolgung unbefugter Versuche, auf den Drucker zuzu-
greifen. Letzteres verfolgt die Druckernutzung innerhalb der Grafikabteilung.
Siehe »Konfiguration und Implementierung einer Überwachungsrichtlinie«.
4. SICHERHEITSKONFIGURATION UND -ANALYSE kann zur Analyse der Systemsi-
cherheit verwendet werden, indem eine Sicherheitsdatenbank erstellt wird
und deren Einstellungen mit einer Sicherheitsvorlage verglichen werden. Es
kann auch durch Anwendung von Vorlageneinstellungen auf den Computer
zur Konfiguration der Systemsicherheit verwendet werden. Schließlich kann
es verwendet werden, um neue Vorlagen für die aktuelle Computerkonfigura-
tion zu erstellen, oder um vorhandene Einstellungen mit einer Vorlage zu ei-
ner neuen Sicherheitsvorlage zusammenzuführen. Siehe »Implementierung
von Sicherheitsrichtlinien«.
5. Sie würden zuerst zwei Sicherheitsgruppen erstellen: eine für alle Mitglieds-
server in der Finanzabteilung und eine weitere für die Clientcomputer in der
Finanzabteilung. Dann würden Sie eine OU für die Finanzabteilung erstellen,
falls noch nicht vorhanden, und die Computer sowie die Sicherheitsgruppen
in die OU aufnehmen. Anschließend würden Sie auf Ebene der Finanz-OU
ein GPO mit den nötigen Einstellungen erstellen und den beiden Sicherungs-
gruppen zuordnen. Siehe »Implementierung von Sicherheitsrichtlinien«. Sie-
he auch »Gruppenrichtlinienbereich« in Kapitel 6, »Benutzerverwaltung mit
Gruppenrichtlinien«.
6. Die beste Möglichkeit, Ihre Ziele zu erreichen, ist die Erstellung eines GPO
auf Ebene der Entwicklungs-OU. Konfigurieren Sie eine Sicherheitsvorlage
mit den passenden Einstellungen, und importieren Sie diese in das GPO. Ord-
nen Sie dann das GPO den Computern in der Entwicklungs-OU zu. Dadurch
werden den Computern der Entwicklungsabteilung die Einstellungen der
Vorlage zugewiesen. Um die gleichen Einstellungen auf den Computer in der
Qualitätssicherung zu bekommen, würden Sie in SICHERHEITSKONFIGURATI-
ON UND -ANALYSE auf diesem Computer die Vorlage importieren und die
674 Kapitel 8 Sicherheit mittels Gruppenrichtlinien
7. C, D, G. Diese Frage ist etwas trickreich, weil sie in erster Linie Ihre Kennt-
nisse der Gruppenrichtlinien testet. Das Problem hier ist, wie Sie eine Unter-
nehmensrichtlinie in einer Struktur durchsetzen, die untergeordnete Domänen
enthält. Wie Sie in Kapitel 6 gelernt haben, sind Domänen die Grenzen des
Administrators, und GPOs überqueren keine Domänengrenzen, es sei denn,
sie sind für einen Standort konfiguriert. Von Standorten ist hier keine Rede,
sodass dies auch nicht weiterhilft. Dann ist es die beste Möglichkeit zur Er-
füllung der Anforderungen, das GPO »Kennwortrichtlinieneinstellungen«
mit den passenden Einstellungen auf Ebene der Domäne conciliar.com zu er-
stellen. Sie würden diese anschließend mit jeder untergeordneten Domäne
verknüpfen, damit sie dort verfügbar ist. Schließlich würden Sie KEIN VOR-
RANG aktivieren, um sicherzustellen, dass diese Minimaleinstellungen im ge-
samten Unternehmen durchgesetzt werden. Siehe »Implementierung von
Sicherheitsrichtlinien«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel 6,
»Benutzerverwaltung mit Gruppenrichtlinien«.
8. A, C. Die einzigen Anforderungen, die Ihre Lösung erfüllt, wären die Über-
wachung aller Anmeldeversuche beim Netzwerk und die Überwachung der
Änderung von Benutzerkonten im Standardcontainer Benutzer durch einen
Administrator. Tatsächlich würde die von Ihnen implementierte Richtlinie
alle Kontenverwaltungsaktivitäten sämtlicher Benutzer überwachen, weil das
GPO auf die Gruppe Authentifizierte Benutzer angewandt wird, zu der alle
Benutzer gehören. Auch wenn bei der von Ihnen beschlossenen Konfigurati-
on noch ganz andere Dinge passieren, die beiden Anforderungen, die defini-
tiv erfüllt werden, sind A und C. Beachten Sie, dass Microsoft Ihnen in einer
Prüfung möglicherweise auch Antworten anbietet, die über die Anforderun-
gen hinausgehen, aber wenn Sie das angestrebte Ziel erreichen, können die
Antworten richtig sein. Siehe »Konfiguration und Implementierung einer
Überwachungsrichtlinie«. Siehe auch »Gruppenrichtlinienbereich« in Kapitel
6, »Benutzerverwaltung mit Gruppenrichtlinien«.
9. A, D, F, I. Um die Anforderung zu erfüllen, ohne zusätzliche Informationen
im Sicherheitsprotokoll zu erzeugen, müssten Sie die Überwachung der An-
meldeversuche auf ERFOLGREICH und FEHLGESCHLAGEN ausweiten, damit
alle Anmeldungen im Netzwerk verfolgt werden. Sie müssten außerdem die
Überwachung der Anmeldeereignisse auf FEHLGESCHLAGEN beschränken,
um erfolglose Versuche zum Aufbau einer Verbindung mit dem Dateiserver
EXECUTIVE zu verfolgen. Um erfolglose Versuche zur Änderung der
Richtlinieneinstellungen zu verfolgen, brauchen Sie Richtlinienänderungen
nur auf Fehler zu überwachen. Schließlich können Sie auch die Überwachung
der Systemereignisse auf Fehler einschränken, wenn Sie nur verfolgen möch-
ten, welche Benutzer beim Herunterfahren ihres Computers eine Fehlermel-
dung erhielten. Siehe »Konfiguration und Implementierung einer
Überwachungsrichtlinie«.
Lernzielkontrolle 677
10. B, E. Ihre Lösung verfolgt alle erfolglosen Versuche von Benutzern, sich
beim Server FINDATA anzumelden, weil Sie die Überwachung des Anmel-
deereignisses konfiguriert haben. Weil das GPO auf Domänenebene erstellt
wird und Sie dem Server FINDATA die Berechtigung Gruppenrichtlinien
übernehmen gewährt haben, wird die Richtlinie auf dem Server wirksam, und
es werden erfolglose Anmeldeversuche beim Server verfolgt. Sie haben au-
ßerdem die Überwachung des Ordners COMMISIONS auf dem Server SALES-
DATA mit Windows Explorer richtig konfiguriert und die Überwachung von
ERFOLGREICH und FEHLGESCHLAGEN bei Objektzugriffsversuchen im Domä-
nen-GPO aktiviert. Damit werden Versuche von Mitgliedern der Gruppe Ver-
kaufsPersonal verfolgt, auf diesen Ordner zuzugreifen. Siehe »Konfiguration
und Implementierung einer Überwachungsrichtlinie«.
Lernziele
In diesem Kapitel werden die beiden Ziele aus dem Prüfungsabschnitt »Installieren,
Konfigurieren, Verwalten, Überwachen, Optimieren und Fehler beheben im Ände-
rungs- und Konfigurationsmanagement« behandelt, die mit Remoteinstallations-
diensten zu tun haben.
Dadurch, dass Microsoft Sie zur Bereitstellung von Windows 2000 prüft, soll
sichergestellt werden, dass Sie mit den Sicherheitsaspekten von RIS völlig vertraut
sind. Dazu gehören u.a. Fragen wie die Autorisierung eines RIS-Servers zur Bear-
beitung von Clientanforderungen, wie und wann die Erstellung von Computerkon-
ten an andere Benutzer in der Organisation delegiert wird, und wie schließlich
sichergestellt wird, dass nur Computer mit bekannter Identifikation Windows 2000
mittels RIS bereitstellen dürfen (d.h. Vorkonfiguration eines Clientcomputers).
Die speziellen Teilziele werden in zwei Abschnitten des Kapitels behandelt. Die
Autorisierung und Gewährung von Computerberechtigungen zur Erstellung werden
im Abschnitt »Einrichten eines RIS-Servers« behandelt, und die Vorkonfiguration
von Clientcomputern in einem eigenen Abschnitt. Dies sollte unbedenklich sein,
weil Microsoft Sie wahrscheinlich in ein und derselben Frage zu diesen und anderen
Themen prüft. Seien Sie sich einfach der Fragen im Zusammenhang mit Sicherheit
und RIS bewusst.
씰 Sie sollten außerdem die Vorkonfiguration eines Clients sowie die Autorisie-
rung eines RIS-Servers in Active Directory üben. Kenntnisse über die Konfi-
guration der Namengebung für Clientcomputer sowie der Autorisierung von
Benutzern zur Erstellung von Computerkonten sind ebenfalls erforderlich.
Sie erhalten diese normalerweise dadurch, dass Sie die Schritt-für-Schritt-
Abschnitte und die Übungen in diesem Kapitel durcharbeiten.
씰 Noch einmal: Die beste Möglichkeit, sich auf diesen Teil der Prüfung vorzu-
bereiten, ist die Arbeit mit dem Produkt und die Durchführung mindestens ei-
ner Installation mittels RIS.
9.1 Einführung 681
9.1 Einführung
Wie Sie nach der Konfiguration von Active Directory mittels Gruppenrichtlinien
gesehen haben, gibt es eine ganze Menge Features, die benutzt werden können, dar-
unter Steuerung der Benutzerumgebung mit Gruppenrichtlinien, Bereitstellung von
Software und Aktualisierungen für Benutzer und Computer sowie Konfiguration
und Überwachung von Sicherheitseinstellungen. Sie müssen jedoch immer noch
Windows 2000 Professional oder andere Windows-2000-Varianten auf den Compu-
tern installieren, um alle diese schönen Features benutzen zu können.
Bei der Installation von Windows 2000 auf Clientcomputern haben Sie die Wahl
zwischen mehreren Methoden. Sie können erstens Windows 2000 von der CD-
ROM installieren und die Einstellungen für jeden Computer manuell konfigurieren.
Das Problem hierbei ist, dass dieser Vorgang ziemlich zeitraubend werden kann,
und dass zur ordnungsgemäßen Abwicklung sehr viele Benutzereingriffe nötig sind.
Eine andere Methode ist die Erstellung einer Datei für die unbeaufsichtigte Installa-
tion und die automatische Installation von einer Netzwerkfreigabe oder der CD-
ROM, sodass weniger Benutzereingriffe erforderlich sind. Dies erleichtert die
gleichzeitige Installation auf mehreren Computern und kann ein sinnvoller Aus-
gangspunkt sein.
Eine dritte Methode ist die Erstellung eines Abbilds auf einem Windows-2000-
Referenzcomputer mit Hilfe eines Image-Produkts von einem Drittanbieter, wie
etwa Symantec Ghost oder PowerQuest Disk Image Pro, und anschließend das
Kopieren des Abbilds auf andere Computer mit genau den gleichen Merkmalen der
Hardwareabstraktionsschicht (Hardware Abstraction Layer, HAL). Dies geht ziem-
lich schnell und kann ebenfalls eine brauchbare Lösung sein.
Eine vierte Methode ist die Verwendung des neuen Windows-2000-Features Remo-
teinstallationsdienste (Remote Installation Services, RIS), mit dem die Installation
von Windows 2000 Professional aus einer Netzwerkfreigabe auf Clientcomputern
automatisiert werden kann. Diese Methode bietet zusätzliche Sicherheit sowie wei-
tere Features, die sie in vielen Organisationen zur richtigen Wahl für die Bereitstel-
lung machen können.
682 Kapitel 9 Windows 2000 und Remote- installationsdienste
씰 Eine NTFS-Partition zur Aufnahme der Abbilder von Windows 2000 Profes-
sional, die auf den Clientcomputern installiert werden sollen. Eine Partition
kann mehrere Images enthalten.
씰 Images zur Durchführung der Installation von Windows 2000 Professional
auf Clientcomputern. Images können die auf der CD-ROM zu findenden
Installationsdateien für Windows 2000 Professional oder RIPrep-Images
(Remote Installation Preparation, Remoteinstallationsvorbereitung) sein.
RIPrep-Images stehen für einen vollständig konfigurierten Computer, ein-
schließlich zusätzlicher Anwendungssoftware, Desktopeinstellungen und
Netzwerkverbindungen, und bieten eine einfache Möglichkeit, die gleiche
Konfiguration schnell auf mehreren Computern zu installieren.
씰 Remoteinstallationsdienste, die Clientanforderungen zur Installation von
Windows 2000 Professional auf einem Clientcomputer entgegennehmen und
bearbeiten. Remoteinstallationsdienste verwendet die drei nachfolgenden
Windows-2000-Netzwerkkomponenten. Diese müssen auf dem RIS-Server
installiert und aktiv sein.
9.2 Übersicht über Remoteinstallationsdienste 683
씰 Ein Computer mit CPU Pentium 166 oder besser. Empfohlen wird Pentium
233 oder besser, einschließlich Celeron, Pentium II und Pentium III. Der
Clientcomputer, auf dem mittels RIS Windows 2000 Professional installiert
werden soll, muss die Mindestvoraussetzungen für das Betriebssystem Win-
dows 2000 Professional erfüllen.
씰 Eine Festplatte mit mindestens 1 Gbyte freiem Speicherplatz, konfiguriert als
primäre Partition. Es empfiehlt sich, mehr Speicherplatz bereitzustellen,
wenn Sie zusätzliche Anwendungen installieren möchten. 2 Gbyte Speicher-
platz sind zu bevorzugen.
684 Kapitel 9 Windows 2000 und Remote- installationsdienste
4. Die Gewährung des Rechts zur Erstellung von Computerkonten in der Domä-
ne für Benutzer, die Windows 2000 mittels RIS auf ihrem Computer installie-
ren und diesen zur Domäne hinzufügen sollen.
Der erste Schritt in der Folge ist die Installation des RIS-Servers.
씰 Eine CPU Pentium 166 oder besser. Ein Pentium II 300 oder besser wird
empfohlen.
씰 Eine 10-Mb/s-Netzwerkkarte (z.B. 10BASE-T). Eine 100-Mb/s-Netzwerk-
karte (z.B. 100BASE-TX) wird empfohlen.
씰 Mindestens 256 Mbyte RAM, obwohl auch eine Konfiguration mit
128 Mbyte RAM unterstützt wird. Mehr Speicher ist erforderlich, wenn Sie
vorhaben, auf dem gleichen Server neben RIS auch DHCP, DNS oder andere
Dienste auszuführen.
씰 Mindestens 2 Gbyte freier Speicherplatz auf der Festplatte (4 Gbyte empfoh-
len), der in zwei Partitionen auf der Festplatte aufgeteilt ist. Eine Partition
wird zum Speichern der RIS-Images verwendet und muss NTFS benutzen;
die andere wird für das Betriebssystem Windows 2000 Server verwendet. Es
9.3 Installation und Konfiguration eines RIS-Servers 687
wird empfohlen, alle Partitionen als NTFS zu konfigurieren. Die Partition für
RIS-Images muss so viel Speicherplatz umfassen, dass sie alle Images auf-
nehmen kann, die auf dem Server verfügbar sein sollen.
씰 Eine VGA-Videokarte mit einer Auflösung von 800x600 Bildpunkten.
씰 Eine Maus und eine Tastatur.
씰 Ein CD-ROM-Laufwerk wird bei Verwendung von CD-basierten Images
empfohlen, damit Sie den Inhalt der Windows-2000-Professional-CD an den
Image-Speicherort kopieren können.
씰 Der einzige größere Unterschied bei den Voraussetzungen für die Installation
eines RIS-Servers auf Computern mit Windows 2000 Server bzw. Advanced
Server ist die Notwendigkeit von mindestens zwei Datenträgern auf der Fest-
platte; einer für die RIS-Images, der als NTFS-Dateisystem formatiert sein
muss, und ein zweiter für das Betriebssystem des Servers.
Softwarevoraussetzungen für RIS
Bevor Sie RIS installieren und in Ihrem LAN verwenden können, muss eine Reihe
von weiteren Softwarekomponenten installiert werden. Sie können diese auf dem
gleichen Server wie RIS oder zur Verbesserung der Leistung auf einem anderen
Computer mit Windows 2000 Server bzw. Advanced Server installieren.
Folgende Softwarekomponenten müssen vor der Installation von RIS installiert und
konfiguriert werden:
씰 Domain Name System (DNS). Dieses wird zur Ortung von Objekten in Acti-
ve Directory benötigt. Jeder DNS-Server, der mit Active Directory verwendet
werden kann, funktioniert. Der RIS-Computer muss mit der IP-Adresse des
DNS-Servers konfiguriert werden.
씰 Active Directory. RIS benötigt Active Directory zur Ortung von Computer-
konten und Verwaltung der RIS-Konfiguration. RIS kann nicht in einer Um-
gebung installiert werden, in der Active Directory nicht installiert und konfi-
guriert ist – Active Directory ist eine notwendige Komponenten.
1. Installieren Sie RIS auf dem Windows 2000 Server-Computer. Sie können
RIS während der Installation von Windows 2000 Server oder danach instal-
lieren. Durch die Installation wird RIS nicht konfiguriert, sondern es werden
lediglich die Dateien installiert, die RIS funktionsfähig machen.
2. Konfigurieren und starten Sie den RIS-Server mit Hilfe des Assistenten zur
Installation der Remoteinstallationsdienste. In diesem Schritt müssen Sie ein
erstes CD-basiertes Image erstellen, was voraussetzt, dass Sie die Windows-
2000-Professional-CD-ROM bereithalten.
3. Autorisieren Sie mit Hilfe von DHCP Manager den RIS-Server in Active Di-
rectory. Dadurch wird der RIS-Server in die Lage versetzt, Clientanforderun-
gen zum Start einer Remoteinstallation zu bedienen.
4. Gewähren Sie den Benutzern, die Remoteinstallationen mit RIS durchführen
sollen, das Recht, in der Domäne Computerkonten zu erstellen.
Installation von RIS auf einem Windows-2000-Server-Computer
Wenn Sie RIS bei der Installation von Windows 2000 Server nicht ausgewählt
haben, können Sie es jederzeit nachträglich installieren, indem Sie Software in der
Systemsteuerung oder den Assistenten für die Konfiguration des Servers verwen-
den. Sie müssen die CD-ROM für Windows 2000 Server bzw. Advanced Server
oder einen Pfad zu den Quelldateien im Netzwerk bereithalten.
Folgen Sie Schritt für Schritt 9.1, um RIS mit dem Assistenten für die Konfiguration
des Servers zu installieren.
Eine weitere Möglichkeit zur Installation von RIS ist die Verwendung von Software
in der Systemsteuerung. Wenn Sie diese Methode verwenden möchten, führen
Sie an Stelle der Schritte 1 bis 4 in Schritt für Schritt 9.1 folgende Schritte aus:
9.3 Installation und Konfiguration eines RIS-Servers 689
Abbildung 9.1
3. Wählen Sie ERWEITERT im Assistenten für die Konfiguration des Servers und
klicken Sie auf OPTIONALE KOMPONENTEN, von wo Sie den Assistenten für
Windows-Komponenten starten können, wie in Abbildung 9.2 gezeigt.
4. Klicken Sie auf STARTEN, um den Assistenten für Windows-Komponenten
zu starten, worauf ein Bildschirm ähnlich Abbildung 9.3 angezeigt wird
5. Rollen Sie, wie in Abbildung 9.4 gezeigt, die Liste verfügbarer Komponenten
abwärts, und markieren Sie REMOTEINSTALLATIONSDIENSTE, indem Sie das
Kontrollkästchen daneben aktivieren. Klicken Sie dann auf WEITER, um die
Installation zu starten.
690 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.2
Abbildung 9.3
Abbildung 9.4
Abbildung 9.5
7. Wenn Sie Terminaldienste nicht installiert haben, wird die Installation fortge-
setzt und Sie werden, wie in Abbildung 9.6 gezeigt, aufgefordert, die CD-
ROM für Windows 2000 Server bzw. Advanced Server einzulegen, wenn sie
sich nicht schon im CD-ROM-Laufwerk befindet. Legen Sie die CD ein, und
klicken Sie auf OK. Die Installation wird fortgesetzt, wie in Abbildung 9.7
gezeigt.
692 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.6
Abbildung 9.7
Abbildung 9.8
Nachdem der
Assistent für Win-
dows-Komponen-
ten die Remotein-
stallationsdienste
installiert hat, kli-
cken Sie auf FERTIG
STELLEN, um die
Installation abzu-
schließen
9.3 Installation und Konfiguration eines RIS-Servers 693
8. Wenn die Installation abgeschlossen ist, wird ein Bildschirm ähnlich Abbil-
dung 9.8 angezeigt. Klicken Sie auf FERTIG STELLEN, um die Installation
abzuschließen.
9. Sie werden aufgefordert, Ihren Computer neu zu starten, wie in Abbildung
9.9 gezeigt. Klicken Sie auf JA, um Windows 2000 Server neu zu starten und
die Installation der Remoteinstallationsdienste abzuschließen.
Abbildung 9.9
Zum Zweiten können Sie den Assistenten zur Installation der Remoteinstallations-
dienste öffnen und RIS konfigurieren, indem Sie in der Systemsteuerung Software
öffnen und WINDOWS-KOMPONENTEN HINZUFÜGEN/LÖSCHEN wählen.
694 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.10
Sie werden aufgefordert, RIS zu konfigurieren, wie in Abbildung 9.11 gezeigt. Kli-
cken Sie auf die Schaltfläche KONFIGURIEREN, um die Konfiguration der Remotein-
stallationsdienste zu beginnen.
Abbildung 9.11
Die dritte Methode zur Konfiguration von RIS ist das Öffnen des Assistenten zur
Installation der Remoteinstallationsdienste mit Hilfe des Programms risetup.exe,
wie in folgendem Schritt für Schritt gezeigt.
9.3 Installation und Konfiguration eines RIS-Servers 695
Abbildung 9.12
Abbildung 9.13
3. Nach dem Start zeigt der Assistent zur Installation der Remoteinstallations-
dienste einen Bildschirm ähnlich Abbildung 9.13 an, in dem darauf hingewie-
sen wird, dass für die Konfiguration DNS, DHCP und die Windows-2000-
696 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.14
Abbildung 9.15
HINWEIS
Exklusive Festplatte empfohlen
Es wird empfohlen, die Festplatte, auf der das erste und alle weiteren Images ge-
speichert werden sollen, exklusiv RIS zur Verfügung zu stellen. Auf diese Weise
erhalten Sie die beste Leistung, und andere OS-Aktivitäten werden nicht durch
Clients beeinträchtigt, die Dateien auf der RIS-Festplatte lesen.
Die Festplatte, auf der die Images gespeichert werden, muss außerdem eine Ba-
sisfestplatte sein. Der SIS-Dienst (Single Instance Store) unterstützt dynamische
Festplatten nicht, sodass zum Speichern von RIS-Images nur Basisfestplatten in
Frage kommen. Aus Gründen der Fehlertoleranz im Falle des Festplattenausfalls
wird empfohlen, an einem Standort mehrere RIS-Server einzurichten; dies ermög-
licht zugleich die Lastverteilung zwischen den RIS-Servern während der Bereit-
stellung.
Abbildung 9.16
Abbildung 9.17
Abbildung 9.18
7. Nachdem Sie einen Pfad zum richtigen Produkt angegeben haben, werden Sie
aufgefordert, den Namen des Ordners anzugeben, in den die CD-basierten
Imagedateien kopiert werden sollen, wie in Abbildung 9.19 gezeigt. Norma-
lerweise ist es am besten, die Standardeinstellung win2000.pro für das erste
9.3 Installation und Konfiguration eines RIS-Servers 699
Image beizubehalten und andere Images später anders zu nennen. Wenn der
Ordner bereits vorhanden ist, tritt ein Fehler auf, und es wird ein Dialogfeld
angezeigt, in dem Sie gefragt werden, ob der Inhalt des Ordners überschrie-
ben werden soll. Klicken Sie auf JA, um den Ordner zu überschreiben. Kli-
cken Sie auf NEIN, um zum Dialogfeld WÄHLEN SIE EINEN ORDNER zurück-
zukehren, und einen anderen Namen anzugeben.
Abbildung 9.19
Abbildung 9.20
8. Sie werden nun aufgefordert, einen angezeigten Namen und eine Beschrei-
bung für das vom Assistenten für die Installation der Remoteinstallations-
dienste erstellte Image anzugeben, wie in Abbildung 9.20 gezeigt. Dies ist der
Name, der Benutzern beim Start ihres Computers angezeigt wird, wenn sie
aufgefordert werden, das zu installierende Image zu wählen. Lassen Sie den
Namen, wie er ist, oder überschreiben Sie die Informationen mit Ihren eige-
nen. Klicken Sie auf WEITER, um fortzufahren.
9. Nun wird ein Zusammenfassungsbildschirm mit den durchzuführenden Akti-
onen angezeigt, wie in Abbildung 9.21 gezeigt. Klicken Sie auf FERTIG STEL-
LEN, um die Konfiguration der Remoteinstallationsdienste abzuschließen.
Abbildung 9.21
Der Zusammenfas-
sungsbildschirm für
die Remoteinstalla-
tionsdienste zeigt
die durchzuführen-
den Aktionen an
Abbildung 9.22
Abbildung 9.23
Dazu können Sie die DHCP-Konsole verwenden, die Bestandteil der Verwaltungs-
programme ist. Sollten die Verwaltungsprogramme nicht auf dem RIS-Server
installiert sein, so müssen Sie sie installieren, damit Sie den Server autorisieren kön-
nen. Doppelklicken Sie hierzu auf Adminpak.msi im Ordner WINNT\SYSTEM32 auf
Ihrem Computer. Dieses Paket enthält alle Verwaltungsprogramme, darunter die
DHCP-Konsole.
Führen Sie nach der Installation der Verwaltungsprogramme folgende Schritte aus,
um Ihren Server zu autorisieren:
Abbildung 9.24
Abbildung 9.25
Abbildung 9.26
Sie haben nun Ihren RIS-Server in Active Directory erfolgreich autorisiert und ihn
in die Lage versetzt, Clientanforderungen zu bedienen. Zu diesem Zeitpunkt können
sich Clients an den RIS-Server wenden, um die Remoteinstallation von Windows
2000 Professional mit dem Standardimage einzuleiten, das Sie bei der Konfigura-
tion Ihres RIS-Servers erstellt haben. Clients sind jedoch nicht in der Lage, Compu-
terkonten in der Domäne einzurichten oder ihre Workstation in die Domäne aufzu-
nehmen. Dies bedeutet letztlich, dass die Clients Windows 2000 Professional nicht
mittels Remoteinstallationsdienste installieren können.
Denken Sie bei der Entscheidung, welchen Benutzern das Recht zur Erstellung von
Computerkonten in der Domäne gewährt werden soll, daran, dass dies aus Sicher-
heitsgründen so restriktiv wie möglich gehandhabt werden sollte. Wenn eine
Anzahl von Personen mit der Aufgabe betraut wird, Windows 2000 Professional auf
Clientcomputern zu installieren, dann seien dies diejenigen, denen dieses Privileg
gewährt werden sollte. Es ist sinnvoll, in Active Directory eine Sicherheitsgruppe
einzurichten, dieser die Benutzer zuzuordnen, die RIS zur Installation von Windows
2000 Professional verwenden sollen, und dann dieser Gruppe das Recht zu gewäh-
ren.
Abbildung 9.27
4. Beim Start zeigt der Assistent zum Zuweisen der Objektverwaltung ein Infor-
mationsdialogfeld an, wie in Abbildung 9.28 gezeigt.
5. Sie werden nun aufgefordert, Benutzer oder Gruppen hinzuzufügen, denen
Sie die Objektverwaltung zuweisen möchten, wie in Abbildung 9.29 gezeigt.
Klicken Sie auf HINZUFÜGEN, um die Liste der Benutzer anzuzeigen, wählen
Sie die Benutzer bzw. Gruppen, denen Sie das Recht zur Erstellung von
Computerkonten in der Domäne zugestehen möchten, und klicken Sie dann
auf HINZUFÜGEN. Wenn Sie alle in Frage kommenden Benutzer bzw. Grup-
pen hinzugefügt haben, klicken Sie auf WEITER.
6. Im nächsten Dialogfeld können Sie wählen, ob allgemeine Aufgaben dele-
giert werden sollen, oder ob Sie eine benutzerdefinierte Gruppe von Privile-
gien festlegen möchten, die Sie delegieren wollen, wie in Abbildung 9.30
gezeigt.
706 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.28
Abbildung 9.29
Markieren Sie FÜGT EINEN COMPUTER EINER DOMÄNE HINZU in der ange-
zeigten Liste allgemeiner Aufgaben, und klicken Sie auf WEITER. Diese Be-
rechtigung genügt für die Erstellung von Computerkonten in der Domäne
mittels RIS.
9.3 Installation und Konfiguration eines RIS-Servers 707
Abbildung 9.30
Abbildung 9.31
In der Zusammen-
fassung des Assis-
tenten zum Zuwei-
sen der
Objektverwaltung
wird eine Liste der
durchzuführenden
Aufgaben ange-
zeigt. Klicken Sie
auf FERTIG STELLEN,
um den ausgewähl-
ten Benutzern bzw.
Gruppen das Recht
zur Erstellung von
Computerkonten in
der Domäne zu
gewähren
Zu diesem Zeitpunkt haben Sie alle nötigen Aufgaben erledigt, damit andere Benut-
zer mit Hilfe von Remoteinstallationsdienste eine Standardkonfiguration von Win-
dows 2000 Professional auf Clientcomputern installieren und diese Computer in die
Domäne aufnehmen können.
Möglicherweise möchten Sie jedoch den Benutzern die Möglichkeit geben, aus
einer Liste von Images für Windows 2000 Professional zu wählen, damit verschie-
dene Benutzer unterschiedliche Konfigurationen von Windows 2000 Professional
installieren können. Dazu müssen Sie geeignete Images erstellen.
Ein RIPrep-Image ist ein Image für Windows 2000 Professional, das auf einem
Referenz- bzw. Quellcomputer vorkonfiguriert wurde. Es kann sowohl das
Betriebssystem als auch zusätzliche Anwendungen enthalten. Wird ein RIPrep-
Image bereitgestellt, so wird auf dem Zielcomputer mittels Remoteinstallations-
dienste eine Kopie des Referenzcomputers erstellt. Sie können ein RIPrep-Image
mit dem Assistenten zur Vorbereitung der Remoteinstallation erstellen, der im Lie-
ferumfang von Windows 2000 Server, Advanced Server oder Data Center Server
enthalten ist.
Abbildung 9.32
DEPLOY.CAB im Ord-
ner SUPPORT\TOOLS
der Windows-2000-
CD-ROM enthält
die Dateien für den
Assistenten für das
Installations-
Management
Führen Sie zur Erstellung und Konfiguration einer Datei für unbeaufsichtigte Instal-
lation mit Windows Installations-Manager folgende Schritte aus.
Abbildung 9.33
3. Der Assistent für den Installations-Manager wird gestartet und zeigt das
Informationsdialogfeld an, wie in Abbildung 9.34 gezeigt.
Abbildung 9.34
Windows Installati-
ons-Manager star-
tet und zeigt das
Informationsdialog-
feld an
Abbildung 9.35
Abbildung 9.36
Aktivieren Sie im
Assistenten für den
Installations-Mana-
ger die Option
REMOTEINSTALLATI-
ONSDIENSTE, um
eine Antwortdatei
für RIS zu erstellen
Abbildung 9.37
Um die Installation
von Windows 2000
Professional mit
RIS zu automatisie-
ren, aktivieren Sie
im Bildschirm
BENUTZEREINGRIFF
die Option VOLLAU-
TOMATISIERT
Abbildung 9.38
8. Als Nächstes werden Sie nach dem Kennwort gefragt, das für das Konto
Administrator auf dem Zielkonto zu verwenden ist, wie in Abbildung 9.40
gezeigt. Wenn Sie eine vollautomatische Installation gewählt haben, ist dies
die einzige verfügbare Option; wenn während der Installation Benutzerein-
griffe möglich sind, haben Sie zusätzlich die Option, dem Benutzer selbst die
Festlegung des Administrator-Kennworts zu überlassen. Ein hier angegebe-
nes Kennwort wird auf allen Computern verwendet, die diese Antwortdatei
benutzen (d.h. auf allen diesen Computern gilt dasselbe Administrator-Kenn-
wort). Wird der Benutzer ermächtigt, das Kennwort selbst festzulegen, so
erhält er bzw. sie damit die administrative Kontrolle über sein bzw. ihr Desk-
top. Wählen Sie die Option, die den Richtlinien Ihres Unternehmens folgt
und für die gewählte Installationsart verfügbar ist. Geben Sie in diesem Bei-
spiel ein Kennwort Ihrer Wahl in den Feldern KENNWORT und KENNWORT
BESTÄTIGEN ein.
Wenn Sie das Administrator-Kennwort leer lassen, haben Sie außerdem die
Möglichkeit, sich beim ersten Start des Computers automatisch als Administ-
rator anzumelden. Diese Option weist die geringste Sicherheit auf und wird
nicht empfohlen.
9. Wie in Abbildung 9.40 gezeigt, werden Sie nun aufgefordert, die Bildschirm-
einstellungen für den Zielcomputer festzulegen. Wenn Sie alle Optionen als
Windows-Standard belassen, werden für den Zielcomputer 16 Farben mit
einer Auflösung von 640x480 bei der Standardaktualisierungsrate für die
Videokarte und den Monitor eingestellt.
9.4 Erstellen von Images für Remoteinstallationsdienste 715
Abbildung 9.39
Abbildung 9.40
Abbildung 9.41
Abbildung 9.42
Abbildung 9.43
씰 Telefonie. Mit dieser Option werden die Vorwahl, das Land und die
Telefoneigenschaften für Zielcomputer konfiguriert. Diese Einstellungen
werden beim Wählen über ein Modem verwendet (siehe Abbildung 9.44)
씰 Ländereinstellungen. Zu diesen Einstellungen gehören Datumsformat,
Währung, Zahlen und Tastaturlayout (siehe Abbildung 9.45).
718 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.44
Telefonieeigen-
schaften können
mit benutzerdefi-
nierten Einstellun-
gen konfiguriert
werden
Abbildung 9.45
Ländereinstellun-
gen für den Com-
puter können mit
benutzerdefinier-
ten Einstellungen
konfiguriert werden
Abbildung 9.46
Spracheinstellun-
gen für den Com-
puter können mit
benutzerdefinier-
ten Einstellungen
konfiguriert werden
Abbildung 9.47
Proxy-Einstellun-
gen für Internet
Explorer und der
Ordner FAVORITEN
können mit benut-
zerdefinierten Ein-
stellungen konfigu-
riert werden
Abbildung 9.48
Um Windows 2000
Professional mit
RIS in einem ande-
ren Ordner zu
installieren, konfi-
gurieren Sie den
Pfad mit benutzer-
definierten Einstel-
lungen
HINWEIS
IEAK notwendig
Die Einstellungen, die in der Antwortdatei festgelegt werden können, sind nur ein
Teil der für Internet Explorer konfigurierbaren Einstellungen. Das Internet Explorer
Administration Kit kann zur Erstellung weiterer Skripts verwendet werden, bei-
spielsweise des in dieser Liste erwähnten Skripts Proxy-Konfiguration, um das
Verhalten von Internet Explorer weitergehend festzulegen. Weitere Informationen
finden Sie auf den Internet-Explorer-Webseiten unter http://www.microsoft.com/
ie.
Abbildung 9.49
Abbildung 9.50
13. Wie in Abbildung 9.51 gezeigt, müssen Sie nun den Namen und eine
Beschreibung für die zu erstellende Antwortdatei eingeben. Der Name wird
Benutzern angezeigt, wenn sie die Windows-2000-Installation über RIS ein-
leiten. Er sollte so aussagekräftig sein, dass Benutzer wissen, was sie instal-
lieren. Geben Sie den Namen und die Beschreibung ein, und klicken Sie dann
auf WEITER.
722 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.51
14. Im nächsten Bildschirm werden Sie, wie in Abbildung 9.52 gezeigt, aufgefor-
dert, den Namen und Pfad der Antwortdatei anzugeben. Sie können einen
beliebigen Namen wählen, aber die Datei sollte im Image-Ordner des RIS-
Servers, der während der Installation von Remoteinstallationsdienste erstellt
wurde, abgelegt werden. Ein Ordner kann mehrere Antwortdateien enthalten.
Geben Sie Name und Pfad der SIF-Datei an, und klicken Sie auf WEITER, um
ihn zu speichern.
Abbildung 9.52
Abbildung 9.53
Nach der Erstellung der Antwortdatei kann es u.U. vorkommen, dass Sie diese
ändern möchten, Beispielsweise möchten Sie in einem Geschäftsumfeld keine
Spiele auf den Clientcomputern installieren. Sie können die nötigen Änderungen an
der Antwortdatei mit Notepad vornehmen.
Abbildung 9.54
Die Registerkarte
REMOTEINSTALLATI-
ON des Dialogfelds
Eigenschaften für
den Computer in
ACTIVE DIRECTORY-
BENUTZER UND -
COMPUTER zeigt die
RIS-Einstellungen
für den Server an
9.4 Erstellen von Images für Remoteinstallationsdienste 725
Abbildung 9.55
8. Klicken Sie auf der Registerkarte ABBILDER auf HINZUFÜGEN, um ein weite-
res Image zur Liste verfügbarer Images hinzuzufügen. Dadurch wird der in
Abbildung 9.57 gezeigte Bildschirm angezeigt.
9. Im Dialogfeld HINZUFÜGEN... für eine neue Antwortdatei oder ein Installati-
onsabbild haben Sie die Möglichkeit, ein neues CD-basiertes Image hinzuzu-
fügen oder eine neue Antwortdatei mit einem vorhandenen Image zu ver-
knüpfen. Aktivieren Sie EINEM VORHANDENEN ABBILD EINE ANTWORTDATEI
ZUWEISEN, und klicken Sie auf WEITER.
10. Im darauf folgenden Dialogfeld (siehe Abbildung 9.58) müssen Sie den Pfad
angeben, von dem die Antwortdatei kopiert werden soll. Zur Wahl stehen
Beispiel-Imagedateien, die mit Windows 2000 geliefert und während der ers-
ten RIS-Installation erstellt wurden, ein anderer RIS-Server oder ein alternati-
ver Pfad, der jeden Speicherort umfassen kann. Aktivieren Sie ALTERNATIVE
QUELLE, und klicken Sie auf WEITER.
726 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.56
Abbildung 9.57
11. Suchen Sie im nun angezeigten Dialogfeld (Abbildung 9.59) den Speicherort
der von Ihnen erstellten Antwortdatei und markieren Sie diese. Klicken Sie
auf WEITER, um fortzufahren.
9.4 Erstellen von Images für Remoteinstallationsdienste 727
Abbildung 9.58
Abbildung 9.59
Durchsuchen Sie
Ihre Festplatte nach
der Antwortdatei,
und klicken Sie auf
WEITER, um fortzu-
fahren
12. Wie in Abbildung 9.60 gezeigt, werden Sie nun nach dem Windows-2000-
Installationsabbild auf dem RIS-Server gefragt, mit dem Sie diese Antwort-
datei verknüpfen möchten. Klicken Sie auf das Installationsabbild und dann
auf WEITER.
728 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.60
13. Als Nächstes werden Sie aufgefordert, den Namen und die Beschreibung des
Installationsabbilds zu bestätigen, das mit dieser Antwortdatei installiert wer-
den soll (siehe Abbildung 9.61). Dies sind der Name und die Beschreibung,
die Sie bei der Erstellung der Antwortdatei mit Windows Installations-Mana-
ger angegeben haben. Sie können hier Änderungen vornehmen, dann klicken
Sie auf WEITER.
Abbildung 9.61
14. Überprüfen Sie die Einstellungen für die Antwortdatei, mit der das Installati-
onsabbild installiert werden soll, und klicken Sie auf FERTIG STELLEN, um die
Datei an den Vorlagenspeicherort zu kopieren, wie in Abbildung 9.62
gezeigt.
Abbildung 9.62
Bestätigen Sie im
Prüfbildschirm Ihre
Einstellungen und
klicken Sie auf F ER-
TIG STELLEN, um die
Antwortdatei in den
Ordner VORLAGEN
zu kopieren
Abbildung 9.63
Die Registerkarte
ABBILDER wird aktu-
alisiert mit den
Image-Informatio-
nen zur neuen Ant-
wortdatei, nach-
dem Sie auf FERTIG
STELLEN geklickt
haben
730 Kapitel 9 Windows 2000 und Remote- installationsdienste
15. Wie in Abbildung 9.63 gezeigt, wird die neue Antwortdatei zur Liste der von
diesem Server mittels RIS installierbaren Images hinzugefügt. Klicken Sie
auf OK, um das EIGENSCHAFTEN-Dialogfeld zu schließen.
16. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND -COMPUTER.
Sie haben nun eine neue Antwortdatei installiert, die zur Remoteinstallation von
Windows 2000 Professional mit den Einstellungen der Antwortdatei verwendet
werden kann. Möglicherweise möchten Sie jedoch den Kreis der Benutzer ein-
schränken, die dieses Image verwenden dürfen, damit gewährleistet ist, dass nur
autorisierte Benutzer die Privilegien zur Installation des Image besitzen.
TES unter dem Ordner, der das von Ihnen auf dem RIS-Server installierte
Image enthält, wie in Abbildung 9.64 gezeigt.
Abbildung 9.64
Navigieren Sie zu
dem Ordner TEMP-
LATES in dem Pfad,
in dem das Image
installiert wurde,
um die Antwortda-
tei zu finden, der
Sie Berechtigun-
gen zuordnen
möchten
Abbildung 9.65
4. Klicken Sie mit der rechten Maustaste auf die SIF-Datei, deren Berechtigun-
gen Sie ändern möchten, wählen Sie dann EIGENSCHAFTEN und die Register-
karte SICHERHEITSEINSTELLUNGEN, um die aktuellen Berechtigungen für die
Datei anzuzeigen, wie in Abbildung 9.65 gezeigt.
5. Wie Sie sehen, sind die der Datei derzeit zugeordneten Berechtigungen im
Feld SICHERHEIT grau dargestellt. Das bedeutet, dass sie vom übergeordneten
Ordner geerbt wurden. Um einer Gruppe bestimmte Berechtigungen zuzuord-
nen, müssen Sie die geerbten Berechtigungen löschen. Deaktivieren Sie dazu
die Option VERERBBARE ÜBERGEORDNETE BERECHTIGUNGEN ÜBERNEHMEN.
Darauf wird das in Abbildung 9.66 gezeigte Dialogfeld angezeigt. Klicken
Sie auf KOPIEREN, um die vorhandenen Berechtigungen für die Datei zu
kopieren.
Abbildung 9.66
Um geerbte
Berechtigungen zu
löschen, deaktivie-
ren Sie die Option
VERERBBARE ÜBER-
GEORDNETE BERECH-
TIGUNGEN ÜBERNEH-
MEN, und klicken
Sie auf KOPIEREN,
um die geerbten
Berechtigungen für
diese Datei zu
kopieren
Sie haben nun die Verwendung des Images auf die Gruppe Administratoren plus
zusätzlich festgelegte Benutzer eingeschränkt, die dieses Image verwenden sollen.
Gehen Sie genauso vor, um anderen Images Berechtigungen zuzuordnen.
9.4 Erstellen von Images für Remoteinstallationsdienste 733
Abbildung 9.67
Jetzt sind Sie so weit, Benutzern mit geeigneten Berechtigungen die Installation des
Images von Windows 2000 Professional mit den Einstellungen in Ihrer Antwortda-
tei auf deren Computern zu gestatten.
Zur Erstellung eines RIPrep-Image für die Installation von Windows 2000 Professi-
onal samt Anwendungen benötigen Sie zwei Computer:
씰 Den Quellcomputer, auf dem Windows 2000 Professional und alle Anwen-
dungen installiert werden. Dieser ist die Basis für die Erstellung des RIPrep-
Image mit Hilfe eines Tools aus Remoteinstallationsdienste.
씰 Einen RIS-Server, auf den das RIPrep-Image kopiert wird und für die Instal-
lation auf anderen Computern zur Verfügung steht, um die Anwendungen
und Einstellungen des Quellcomputers zu duplizieren.
HINWEIS
CD-basiertes Image notwendig
Damit ein RIPrep-Image zwecks Installation auf anderen Computern auf einem
RIS-Server installiert werden kann, muss dieser bereits ein CD-basiertes Image
enthalten. Dies ist normalerweise kein Problem, weil während der Konfiguration
von RIS ein CD-basiertes Standardimage erstellt wird. Falls dieses Image jedoch
für eine andere CPU-Familie erstellt wurde als das RIPrep-Image, müssen Sie vor
der Installation des RIPrep-Image auf dem RIS-Server ein CD-basiertes Image für
die gleiche CPU-Familie installieren, damit die Bereitstellung funktioniert.
9.4 Erstellen von Images für Remoteinstallationsdienste 735
6. Wählen Sie das Profil für Administrator und klicken Sie auf KOPIEREN NACH.
7. Kopieren Sie das Profil im Dialogfeld KOPIEREN NACH an den Pfad
C:\DOKUMENTE UND EINSTELLUNGEN\DEFAULTUSER, wo das Standardbe-
nutzerprofil gespeichert ist.
8. Klicken Sie im Abschnitt BENUTZER des Dialogfelds KOPIEREN NACH auf
die Schaltfläche ÄNDERN, um festzulegen, wer dieses Profil benutzen darf.
9. Klicken Sie im Feld SUCHEN IN auf den lokalen Computer.
10. Doppelklicken Sie im Feld Name auf JEDER, um der Gruppe Jeder (also allen
Benutzern) die Verwendung dieses Profils zu gestatten.
11. Klicken Sie auf OK, um dieses Dialogfeld zu schließen.
9.4 Erstellen von Images für Remoteinstallationsdienste 737
Nachdem Sie auf dem Quellcomputer Windows 2000 Professional sowie die benö-
tigten Anwendungen konfiguriert und das Benutzerprofil Administrator in das Stan-
dardbenutzerprofil kopiert haben, ist das Schlimmste überstanden. Jetzt müssen Sie
ein Image der Quellcomputerkonfiguration erstellen, damit es auf anderen Compu-
tern bereitgestellt werden kann.
씰 Erstellung eines RIPrep-Image mit den Einstellungen des Computers und Ko-
pieren desselben auf den angegebenen RIS-Server.
씰 Erstellung einer Antwortdatei (SIF) und Verknüpfung dieser Datei mit dem
RIPrep-Image,
Führen Sie folgende Schritte aus, um mit Hilfe des Assistenten für die Remotein-
stallationsvorbereitung ein RIPrep-Image zu erstellen und auf einem RIS-Server zu
installieren.
738 Kapitel 9 Windows 2000 und Remote- installationsdienste
wobei <RIS_SERVER> der Name Ihres RIS-Servers ist. Klicken Sie auf OK.
4. Geben Sie im angezeigten Dialogfeld die benötigten Optionen ein wie folgt:
Option Beschreibung
5. Klicken Sie auf FERTIG STELLEN, um die Erstellung des Image zu starten. Der
Assistent für die Remoteinstallationsvorbereitung erledigt seine Aufgaben
und benachrichtigt Sie, wenn er damit fertig ist.
Sie sind nun bereit, dieses Image mit allen Anwendungen und Desktopeinstellun-
gen, die den Quellcomputer widerspiegeln, auf Zielcomputern bereitzustellen.
Wenn Sie die Nutzung des RIPrep-Image auf eine ausgewählte Gruppe von Benut-
zern einschränken möchten, ändern Sie wie beim CD-basierten Image die Berechti-
gungen für die SIF-Datei, mit der das Image verknüpft ist.
9.5 Ausführung einer Remoteinstallation 739
HINWEIS
Manueller Lastausgleich zwischen RIPrep-Images
Die Erstellung des RIPrep-Image und dessen Installation auf einem RIS-Server ist
der letzte Schritt bei der Erstellung eines Quellcomputer-Image. Wie Sie gesehen
haben, umfassen die Schritte die Installation von Windows 2000 Professional und
sämtlicher Anwendungen auf den Quellcomputern, das Kopieren des Administra-
tor-Profils in das Standardbenutzerprofil und schließlich die Erstellung und Installa-
tion des Image auf einem RIS-Server mit Hilfe des Assistenten für die Remotein-
stallationsvorbereitung. Jetzt sind Sie bereit, eine Remoteinstallation dieses wie
auch aller anderen Images auf dem RIS-Server auszuführen.
Führen Sie zur Konfiguration der Namensoptionen für Clientcomputer und des
Active Directory-Computerkontexts für Clients, die den RIS-Server benutzen, fol-
gende Schritte aus.
Abbildung 9.68
Konfigurieren Sie
RIS-Servereinstel-
lungen in der
Registerkarte
Remoteinstallation
des Dialogfelds
EIGENSCHAFTEN für
Ihren RIS-Server
9.5 Ausführung einer Remoteinstallation 741
Abbildung 9.69
Im Dialogfeld
EIGENSCHAFTEN VON
REMOTEINSTALLATI-
ONSDIENSTE können
Sie u. a. die
Namensoptionen
für Computer fest-
legen
HINWEIS
Deaktivierung aller Images auf einem RIS-Server
Beachten Sie, dass global festgelegt werden kann, ob Ihr Server Clientanforde-
rungen bedient, indem Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON
CLIENTS ANTWORTEN auf der Registerkarte REMOTEINSTALLATION des Dialog-
felds EIGENSCHAFTEN FÜR DEN SERVER deaktivieren. Dadurch sind die Images
auf dem Server nicht verfügbar, und Clients können diesen RIS-Server nicht be-
nutzen.
Sie auf die Schaltfläche ANPASSEN, worauf ein Dialogfeld ähnlich Abbildung
9.70 angezeigt wird.
Abbildung 9.70
9. Klicken Sie nach der Konfiguration der für Computer gültigen Namenskon-
ventionen und des Active Directory-Kontexts, zu dem die per RIS bereitge-
stellten Computer gehören sollen, auf OK, um das Dialogfeld EIGENSCHAF-
TEN VON REMOTEINSTALLATIONSDIENSTE zu schließen.
10. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den RIS-Server
zu schließen und Ihre Änderungen zu speichern.
11. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER.
Abbildung 9.71
Jetzt können Sie wirklich von sich behaupten, für die Bereitstellung Ihrer Windows-
2000-Professional-Images bereit zu sein. Vergessen Sie nicht, das Kontrollkästchen
AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN in der Registerkarte REMOTEIN-
STALLATION des Dialogfelds EIGENSCHAFTEN zu aktivieren (siehe Abbildung 9.71).
Andernfalls können Clients keine Verbindung mit dem RIS-Server herstellen, um
eine Liste der installierbaren Images zu erhalten. Nachdem Sie dies erledigt haben,
stellen Sie sicher, dass Clients die Systemvoraussetzungen einhalten, und beginnen
Sie mit der Bereitstellung.
Abbildung 9.72
Um die Clientinstal-
lationsoptionen für
RIS zu ändern, kon-
figurieren Sie die
Einstellungen für
Remoteinstallati-
onsdienste in Grup-
penrichtlinien für
die Benutzer, die
Installationen aus-
führen
Abbildung 9.73
Durch Doppelkli-
cken auf AUSWAHL-
OPTIONEN können
Sie die RIS-Client-
optionen einstellen
746 Kapitel 9 Windows 2000 und Remote- installationsdienste
Einstellung Beschreibung
Einstellung Beschreibung
Abbildung 9.74
9. Klicken Sie auf OK, um Ihre Optionseinstellungen zu speichern und das Dia-
logfeld AUSWAHLOPTIONEN zu schließen.
10. Schließen Sie den Gruppenrichtlinieneditor, um die GPO-Einstellungen zu
speichern.
11. Klicken Sie auf OK, um das Dialogfeld EIGENSCHAFTEN für den Container zu
schließen.
12. Beenden Sie ACTIVE DIRECTORY-BENUTZER UND COMPUTER.
Noch einmal: Gruppenrichtlinien sind ein mächtiges Werkzeug zur Festlegung des
Verhaltens von Windows-2000-Diensten, in diesem Fall von RIS. Mit Gruppen-
richtlinien kann die Einhaltung von Unternehmensrichtlinien zur Bereitstellung von
Windows 2000 mittels RIS durchgesetzt werden.
Hardwarekomponente Voraussetzung
CPU Pentium 166 oder besser. Pentium II 300 oder besser wird
empfohlen.
Speicher Mindestens 64 Mbyte RAM. 128 Mbyte RAM empfohlen.
Festplattenplatz Mindestens 1 Gbyte Speicherplatz. 2 Gbyte empfohlen. Es
werden SCSI- und IDE-Festplattenlaufwerke unterstützt.
Netzwerkkarte PCI-Netzwerkkarte mit mindestens 10 Mb/s (z.B. 10 BASE-
T). 100 Mb/s empfohlen (100 BASE-TX). Die Karte sollte
entweder ein PXE-fähiges Boot-ROM (Version .99c oder
höher) enthalten oder von einer Remotestartdiskette unterstützt
werden. PC-Karten-/PCMCIA-Netzwerkadapter werden nicht
unterstützt.
Startgerät Der Computer sollte für den Start von der PXE-fähigen Netz-
werkkarte konfiguriert sein.
9.5 Ausführung einer Remoteinstallation 749
Wenn Ihr Zielcomputer die Hardwarevoraussetzungen erfüllt, können Sie nun mit
der Bereitstellung von Windows 2000 Professional mittels RIS auf diesem Compu-
ter beginnen.
HINWEIS
Notebooks können mittels RIS bereitgestellt werden
Sie können zwar mit RIS keine PC-Karten- oder PCMCIA-Netzwerkadapter zur Be-
reitstellung von Windows 2000 Professional auf einem Notebook-Computer ver-
wenden, aber es ist dennoch möglich, RIS zur Bereitstellung auf einem Notebook
einzusetzen. Wenn Sie für das Notebook eine Dockingstation haben, in der eine
PCI-Netzwerkkarte installiert ist, können Sie eine Remotestartdiskette verwenden.
Falls die Karte PXE-fähig ist, können Sie über das Netzwerk starten und dann mit
der Bereitstellung von Windows 2000 Professional beginnen. Dies ist die einzige
Möglichkeit, Windows 2000 mittels RIS auf einem Notebook bereitzustellen.
Übrigens enthalten einige neuere Notebooks, die heute am Markt sind, integrierte
PCI-basierte Netzwerkkarten. Wenn eine solche Karte von einer Remotestartdis-
kette unterstützt wird oder PXE-fähig ist, kann Windows 2000 Professional mögli-
cherweise ohne den Einsatz einer Dockingstation für solche Notebooks
bereitgestellt werden.
Starten Sie dann den Computer. Wenn die Netzwerkkarte anzeigt, dass versucht
wird, vom Netzwerk zu starten, drücken Sie (F12). Nachdem der Clientcomputer
eine Verbindung mit einem RIS-Server hergestellt hat (und von einem DHCP-Ser-
ver eine IP-Adresse erhalten hat und an einen RIS-Server verwiesen wurde), wird
der Benutzer aufgefordert, erneut (F12) zu drücken, um den Assistenten für die
Clientinstallation zu übertragen.
Nachdem dies geschehen ist, wird der Benutzer aufgefordert, sich bei der Domäne
anzumelden. Falls die Anmeldung erfolgreich ist, wird eine Liste von Optionen
angezeigt.
750 Kapitel 9 Windows 2000 und Remote- installationsdienste
Einstellung Beschreibung
Automatische Installation Der Benutzer darf wählen, welches Image installiert werden
soll. Wenn er berechtigt ist, auf das Image zuzugreifen, wird
dieses ohne weiteren Benutzereingriff auf dem Clientcom-
puter installiert. Falls auf dem RIS-Server nur ein Image
verfügbar ist, wird die Installation automatisch gestartet,
ohne den Benutzer zu fragen.
Benutzerdefinierte Instal- Benutzer können u.U. den Computernamen und den Active
lation Directory-Container, in dem der Computer gespeichert
werden soll, überschreiben. Dies funktioniert nur, wenn dem
Benutzer nicht in einer für ihn gültigen Gruppenrichtlinie
die Berechtigung Benutzerdefinierte Installation verweigert
wird.
Neustart der Installation Der Benutzer kann einen fehlgeschlagenen Versuch der
(nach einem vorangegan- Installation eines Image auf dem Computer neu starten.
genen Versuch) Dabei wird der gesamte Installationsvorgang von vorne
begonnen, aber der Benutzer wird nicht zur Eingabe von
Informationen aufgefordert, die bereits beim ersten Installa-
tionsversuch angegeben wurden.
Extras Der Benutzer kann Tools von Drittanbietern zur Wartung
und Fehlersuche auf dem Zielcomputer einsetzen.
Nachdem Sie Ihre Wahl getroffen haben, wird der Installationsvorgang begonnen.
Wenn Sie eine benutzerdefinierte Installation gewählt haben, werden Sie nach dem
Namen für den Computer und nach dem Speicherort des Active Directory-Contai-
ners gefragt, in dem das Computerkonto erstellt werden soll.
HINWEIS
Mehrsprachige Bereitstellung
Das Menü, das angezeigt wird, wenn der Benutzer (F12) drückt, hängt vom Inhalt
einer Datei namens WELCOME.OSC ab, die sich im Ordner OSChooser in dem ge-
meinsamen RIS-Ordner auf dem RIS-Server befindet. Standardmäßig ist diese
Datei in Englisch und geht davon aus, dass alle Eingabeaufforderungen auf Eng-
lisch erfolgen sollen. Microsoft stellt im gleichen Ordner eine Beispieldatei na-
mens MULTILING.OSC zur Verfügung, die zeigt, wie Eingabeaufforderungen und
Benutzereingriffe bei RIS mehrsprachig ausgelegt werden können. Diese Datei
sollte als Vorlage für die Erstellung eines eigenen mehrsprachigen Menüs für Be-
reitstellungsoptionen verwendet werden, falls dies erforderlich ist.
9.5 Ausführung einer Remoteinstallation 751
dabei ist <RIS_SERVER> der Name Ihres RIS-Servers. Klicken Sie auf OK. Da-
mit wird die Windows-2000-Remotestart-Diskettenerstellung gestartet, wie
in Abbildung 9.75 gezeigt.
Abbildung 9.75
Die Windows-2000-
Remotestart-Dis-
kettenerstellung
kann zur Erstellung
einer Startdiskette
für Remoteinstallati-
onsdienste verwen-
det werden
752 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.76
Nachdem Sie die Remotestartdiskette erstellt haben, prüfen Sie, ob das Disketten-
laufwerk auf dem Zielcomputer als Standard-Startgerät konfiguriert ist, legen Sie
die Diskette in das Diskettenlaufwerk ein und schalten Sie den Computer ein. Drü-
cken Sie ähnlich wie beim Start mit einer PXE-kompatiblen Netzwerkkarte die
Taste (F12), wenn Sie dazu aufgefordert werden. Die restlichen Schritte zur Bereit-
stellung eines Windows-2000-Professional-Image mit RIS stimmen mit der (in
Schritt für Schritt 9.13 gezeigten) Vorgehensweise beim Start von einer PXE-kom-
patiblen Netzwerkkarte überein.
soll. Dies ist natürlich eine potenzielle Sicherheitslücke und erlaubt u.U. jedem
Benutzer die Installation eines Windows-2000-Professional-Image, der über ein
gültiges Domänenkonto mit Berechtigungen zum Zugriff auf die Antwortdatei ver-
fügt.
Um den Kreis der von einem RIS-Server bedienten Computer einzuschränken, müs-
sen Sie die Clientcomputer vorkonfigurieren, damit der RIS-Server ihre Identität
kennt. Dazu gehört auch die Festlegung, welcher RIS-Server von einem Client
benutzt werden soll, um eine Liste der verfügbaren Images zu erhalten und das
Bereitstellungsimage zu übertragen.
Bei der Vorkonfiguration eines Clientcomputers müssen Sie dessen GUID angeben
und vor Beginn der RIS-Installation ein Computerkonto in der Domäne erstellen.
Die GUID eines Clientcomputers als Bestandteil der PXE-Spezifikation wird vom
Hersteller geliefert. Sie befindet sich normalerweise auf einem Aufkleber im oder
am Computergehäuse und wird oft auch in den BIOS-Einstellungen angezeigt. Die
GUID ist immer 32 Zeichen lang und hat das Format
{dddddddd-dddd-dddd-dddd-dddddddddddd}
Auch wenn Ihr Clientcomputer keine PXE-fähige Netzwerkkarte enthält und Sie
eine Remotestartdiskette zur Bereitstellung des Windows-2000-Professional-Image
auf dem Clientcomputer verwenden, können Sie den Computer vorkonfigurieren.
Die GUID eines Computers, der von einer Remotestartdiskette gestartet wird, ist die
MAC-Adresse der Netzwerkkarte, die mit führenden Nullen auf 32 Zeichen verlän-
gert wird. Beispiel:
{00000000-0000-0000-0000-00104BF91001}
Nachdem Sie die GUID des Clientcomputers ermittelt haben, können Sie ihn mittels
Active Directory-Benutzer und -Computer vorkonfigurieren. Führen Sie dazu fol-
gende Schritte aus.
3. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, in der das
Computerkonto erstellt werden soll, zeigen Sie auf NEU, dann auf COMPU-
TER.
Abbildung 9.77
Um einen Client-
computer vorzu-
konfigurieren, öff-
nen Sie das
Dialogfeld NEUES
OBJEKT – COMPUTER
zur Erstellung des
Computerkontos
Abbildung 9.78
Abbildung 9.79
In der letzten Schrittanleitung wurden Sie durch den Vorgang der Vorkonfiguration
für einen Clientcomputer mit bekannter GUID geführt. Vor allem bei älteren Compu-
tern ist die GUID manchmal nicht bekannt, etwa, wenn Sie eine Remotestartdiskette
verwenden und die MAC-Adresse der Netzwerkkarte nicht leicht zu finden ist. Sol-
che Computer können jedoch trotzdem vorkonfiguriert werden. Um einen Computer
mit unbekannter GUID vorzukonfigurieren, führen Sie die folgenden Schritte aus.
756 Kapitel 9 Windows 2000 und Remote- installationsdienste
Abbildung 9.80
Im Zusammenfas-
sungsbildschirm
wird eine Liste der
auszuführenden
Aktionen und der
festgelegten Ein-
stellungen ange-
zeigt. Klicken Sie
auf FERTIG STELLEN,
um den Computer
vorzukonfigurieren
Jetzt ist der RIS-Client vorkonfiguriert und kann ein RIS-Image von jedem RIS-Ser-
ver empfangen. Wenn Sie die Clientcomputer außerdem einem bestimmten RIS-
Server zuordnen möchten, können Sie dies im Dialogfeld EIGENSCHAFTEN FÜR DEN
RIS-CLIENTCOMPUTER in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER tun.
9.5 Ausführung einer Remoteinstallation 757
Eine letzte Aufgabe, die Sie ggf. noch erledigen können, ist die Konfiguration des
Servers, sodass er nur vorkonfiguriert Clients bedient. Hierzu aktivieren Sie das
Kontrollkästchen UNBEKANNTEN CLIENTS NICHT ANTWORTEN im Register REMO-
TEINSTALLATION für den RIS-Server, wie in Abbildung 9.81 gezeigt.
Abbildung 9.81
Um sicherzustellen,
dass der RIS-Ser-
ver nur Anforderun-
gen von vorkonfigu-
rierten Clients
bedient, aktivieren
Sie das Kontroll-
kästchen UNBE-
KANNTEN CLIENTS
NICHT ANTWORTEN in
der Registerkarte
REMOTEINSTALLATI-
ON für den RIS-Ser-
ver
Bis hierher haben Sie den Prozess der Installation und Konfiguration, einschließlich
Autorisierung, von Remoteinstallationsdienste auf Computern mit Windows 2000
Server, Advanced Server oder Data Center Server durchlaufen. Sie haben ferner ein
CD-basiertes Image erstellt und sind den Prozess der Erstellung eines RIPrep-Image
auf Grundlage einer Quellcomputerkonfiguration durchgegangen. Anschließend
haben Sie den Images und den Computern Berechtigungen zugeordnet, damit nur
die Computer RIS verwenden können, deren GUID in Active Directory bekannt ist.
Sie haben die Berechtigungen dann weiter verfeinert, sodass bestimmte Clients nur
von einem bestimmten Server mit einem bestimmten Image installieren können.
Darüber hinaus haben Sie die notwendigen Hardwarevoraussetzungen für RIS-Cli-
entcomputer ermittelt und sind den Prozess der Erstellung einer Remotestartdiskette
für Computer ohne PXE-fähige Netzwerkkarte durchgegangen. Aber auch wenn Sie
dies alles wissen und sichergestellt haben, dass sämtliche Voraussetzungen erfüllt
sind, können dennoch Probleme auftreten.
758 Kapitel 9 Windows 2000 und Remote- installationsdienste
Clientcomputer können die Dies wird höchstwahr- Stoppen Sie den NetPC Boot
Übertragung eines Image scheinlich von einem Service Manager Service, und
nicht starten. hängenden NetPC Boot starten Sie ihn neu.
Service Manager
(BINLSVC) auf dem
RIS-Server verursacht.
In dieser Situation wird
auf dem Client die
BINL-Meldung ange-
zeigt, die darauf
hinweist, dass mit einem
RIS-Server Kontakt
aufgenommen wurde,
aber weiter geschieht
nichts.
Clients, die eine Remote- Die wahrscheinlichste Prüfen Sie, ob die Netzwerk-
startdiskette verwenden, Ursache für dieses karte in der Adapterliste des
können keine Verbindung Problem ist, dass der Programms Remotestart-
mit dem RIS-Server Clientcomputer eine Diskettenerstellung angezeigt
herstellen. Netzwerkkarte enthält, wird. Wenn nicht, ersetzen Sie
die von der Remotestart- die Netzwerkkarte durch eine
diskette nicht unterstützt aus der Liste.
wird.
Durch Drücken auf (F12) Die wahrscheinlichste Wechseln Sie die Netzwerk-
wird ein Remotestart einge- Ursache für dieses karte oder das Boot-ROM aus,
leitet, aber der Client kann Problem ist, dass die um dieses Problem zu
keine Verbindung mit dem PXE-fähige Netzwerk- beheben. Dieses Problem kann
RIS-Server herstellen. karte ein Boot-ROM mit auch auftreten, wenn der RIS-
einer älteren Version als Server nicht in Betrieb ist.
.99c enthält. Die Version Stellen Sie sicher, dass ein
des Boot-ROM für PXE RIS-Server betriebsbereit ist.
muss .99c oder neuer
sein. Bei einigen Netz-
werkkarten kann Version
.99i notwendig sein,
damit sie richtig funktio-
nieren.
Wie Sie gesehen haben, hat die Mehrzahl der Probleme bei RIS damit zu tun, dass
notwendige Unterstützungsserver nicht verfügbar sind oder Clientkomponenten
nicht ganz einwandfrei funktionieren. Wie immer gewährleistet sorgfältige Planung
aller Aspekte von RIS sowie der Gruppenrichtlinienelemente, die RIS beeinflussen,
eine robuste und (zum größten Teil) problemlose Installation.
Die Computer der Abteilung Forschung und Entwicklung sollen nur das Basis-
betriebssystem Windows 2000 Professional enthalten, weil die Zusatzanwen-
dungen, die in dieser Abteilung installiert werden müssen, sehr spezialisiert
sind. Unternehmensweit eingesetzte Anwendungen wie etwa Office 2000 wer-
den nach der Konfiguration der Computer mit Windows 2000 Professional über
Gruppenrichtlinien bereitgestellt. Die Namen von Computern der Abteilung
Forschung und Entwicklung sollen in der OU Forschung und Entwicklung vor-
konfiguriert werden, um zu gewährleisten, dass nur die für diese Abteilung vor-
gesehenen Computer in dieser Organisationseinheit erstellt werden und deren
Berechtigungen erben.
Die Computer der Manager sollen Office 2000 Professional sowie die Berichts-
software für das ERP-Paket enthalten. Zusätzlich benötigte Anwendungen wer-
den manuell oder über Gruppenrichtlinien installiert. Die Computer sollen vor-
konfiguriert werden.
Die IT-Computer sollen ebenfalls nur Windows 2000 Professional enthalten
sowie die Verwaltungsprogramme für Active Directory und das Windows 2000
Resource Kit.
Auf den Computern der Verwaltung soll die derzeitige Desktopkonfiguration
nachgebildet werden, und sie müssen nicht vorkonfiguriert werden.
씰 Die Bereitstellung für alle Computer, mit Ausnahme von Forschung und
Entwicklung, soll von IT-Mitarbeitern an den verschiedenen Standorten
per Installation über das Netzwerk durchgeführt werden. Sie möchten
ggf. sicherstellen, dass das DFÜ-Netzwerk nicht zur Übertragung der für
die Betriebssysteminstallation benötigten Dateien verwendet wird (d.h.,
dass jeder Standort einen eigenen Server als Quelle für die Bereitstellung
des Betriebssystems besitzt).
Situationsbeschreibung
Die Bereitstellung von Windows 2000 Professional auf neuen Desktop-Com-
putern kann schon für sich genommen, und erst recht mit zusätzlichen
Anwendungen, ein zeitraubender Vorgang sein. In diesem Kapitel wurden
Remoteinstallationsdienste und ihre Nutzung zur Beschleunigung der Betriebs-
systembereitstellung sowie, mittels RIPrep-Image, zur Beschleunigung der
Bereitstellung zusätzlicher Anwendungen vorgestellt. Sie werden sehen, wie
dies zur Lösung eines Problems bei der Sonnenschein-Brauerei eingesetzt wer-
den kann.
762 Kapitel 9 Windows 2000 und Remote- installationsdienste
Situationsanalyse
Die einfache Lösung des Problems ist die Komponente Remoteinstallations-
dienste von Windows 2000. Weil alle neuen Computer mit einer PXE-fähigen
Netzwerkkarte einer geeigneten Version bestückt sind und sich alle Kompo-
nenten der Computer auf der HCL befinden, brauchen Sie sich während der
Bereitstellung nicht mit seltsamen Problemen (außer Hardwareproblemen)
herumzuschlagen.
Um den Erfolg der Bereitstellung zu gewährleisten, würden Sie folgende
Schritte ausführen:
씰 Installation und Konfiguration eines RIS-Servers an jedem Standort.
씰 Laden eines ersten CD-basierten Image namens Standard Windows 2000
Professional Install auf jedem RIS-Server während der Konfiguration.
씰 Autorisieren aller RIS-Server in Active Directory.
씰 Sicherstellen, dass an jedem Standort ein DHCP-Server vorhanden und
in Active Directory autorisiert ist.
씰 Erstellung eines RIPrep-Image (einschließlich der Anwendungen) von
einem typischen Managercomputer, und Kopieren dieses Image auf
jeden RIS-Server, der Managercomputer bedienen soll.
씰 Vorkonfiguration der Managercomputer mittels Active Directory-Benut-
zer und -Computer und der jeweiligen GUID.
씰 Erstellung eines RIPrep-Image für die Benutzer aus der Verwaltung von
einem typischen Verwaltungscomputer, wie er derzeit vorhanden ist.
Dieses Image wird auf alle RIS-Server in allen Standorten kopiert, in
denen Verwaltungscomputer erstellt werden.
씰 Erstellung eines RIPrep-Image mit der Konfiguration der IT-Benutzer
und Kopieren desselben an alle Standorte, an denen IT-Mitarbeiter ange-
siedelt sind.
씰 Zuordnung von Berechtigungen zur Erstellung von Computerkonten in
der OU Forschung und Entwicklung für die Sicherheitsgruppe For-
schung und Entwicklung, und Veranlassung des Vorkonfiguration für
diese Computer.
씰 Start aller Computer von der Netzwerkkarte und Auswahl des passenden
Image zur Installation.
Zusammenfassung 763
Zusammenfassung
RIS unterstützt Clients, welche die Spezifikation NetPC einhalten. Dazu ist eine
Netzwerkkarte mit einem PXE-fähigen Boot-ROM der Version .99c oder neuer
erforderlich. Auch Clientcomputer ohne PXE-fähige Netzwerkkarte können durch
Erstellung einer Remotestartdiskette mittels RIS bereitgestellt werden. Solche Cli-
ents müssen mit einer von der Remotestartdiskette unterstützten Netzwerkkarte
bestückt sein.
Auf der Serverseite muss RIS auf einem Computer mit Windows 2000 Server,
Advanced Server oder Data Center Server installiert werden. Der RIS-Server hängt
von anderen Windows-2000-Technologien ab, darunter Active Directory und
DHCP. Ein RIS-Server muss in Active Directory autorisiert werden, damit er Cli-
ents, die Windows 2000 Professional installieren möchten, mit Images versorgen
kann.
Die zur Bereitstellung von Windows 2000 Professional mittels RIS verwendeten
Images können CD-basierte Images oder RIPrep-Images (Images für die Remotein-
stallationsdienstevorbereitung) sein. CD-basierte Images enthalten jeweils eine
Kopie der zur Installation von Windows 2000 Professional benötigten Dateien, und
ihre Installation verläuft genauso wie eine unbeaufsichtigte Installation von der
Windows-2000-Professional-CD. Mit RIPrep-Images können Sie Windows 2000
Professional sowie weitere Anwendungen auf einem Quellcomputer konfigurieren,
in einem gemeinsamen RIS-Ordner ein Image erstellen, das die gesamte Computer-
764 Kapitel 9 Windows 2000 und Remote- installationsdienste
Ein einzelner RIS-Server kann mehrere Images aufnehmen. Images können in einer
separaten Partition im NTFS-Format gespeichert werden, aber aus Leistungsgrün-
den empfiehlt sich die Speicherung der Images auf einer eigenen physischen Fest-
platte. In einem Netzwerk können mehrere RIS-Server vorhanden sein. Zum Last-
ausgleich empfiehlt es sich, häufig verwendete Images auf mehrere Server zu
kopieren.
Sie können die Verwendung eines bestimmten Images für die Installation einschrän-
ken, indem Sie der damit verknüpften Antwortdatei Berechtigungen zuordnen.
Benutzer, die Windows 2000 Professional auf einem nicht vorkonfigurierten Com-
puter installieren, müssen die Berechtigung zum Erstellen von Computerobjekten
innerhalb des Containers, in dem das Computerkonto erstellt werden soll, besitzen.
Dieser Container kann, ebenso wie das Namensformat für neue Computerkonten, in
Active Directory-Benutzer und -Computer unter Eigenschaften für den RIS-Server
konfiguriert werden.
Um die Installation von Windows 2000 Professional mittels RIS zu beginnen, müs-
sen Sie sicherstellen, dass die PXE-fähige Netzwerkkarte das erste Startgerät auf
dem Computer ist, oder, bei Verwendung einer Remotestartdiskette, dass das Dis-
kettenlaufwerk das Startgerät ist. Während der Startphase drückt der Benutzer die
Taste (F12), um einen gestaffelten Ladevorgang einzuleiten, worauf der DHCP-Ser-
ver aufgefordert wird, dem Computer eine IP-Adresse zu geben und ihn mit einem
RIS-Server zu verbinden. Vorkonfigurierte Clients können so konfiguriert werden,
dass ihr Image direkt von einem bestimmten RIS-Server übertragen wird, damit
gewährleistet ist, dass der Client das benötigte Image erhält.
Lernzielkontrolle 765
Schlüsselbegriffe
쎲 Active Directory 쎲 Quellcomputer
쎲 Antwortdatei 쎲 rbfg.exe (Remotestart-
Diskettenerstellung)
쎲 Assistent für die Installation 쎲 Remoteinstallationsdienste
und Konfiguration von Remo- (RIS)
teinstallationsdienste
(RISETUP)
쎲 Autorisierung eines RIS- 쎲 Remoteinstallationsvorberei-
Servers tung (RIPrep)
쎲 Beschränkung von Images 쎲 Remotestartdiskette
쎲 CD-basiertes Image 쎲 RIS-Image
쎲 DHCP (Dynamic Host Confi- 쎲 SIS-Dienst, Single Instance
guration Protocol) Store
쎲 DNS-Server (Domain Name 쎲 Sysprep-Programm
System-Server)
쎲 GUID (Global eindeutiger 쎲 TFTP (Trivial File Transfer
Kennzeichner) Protocol)
쎲 Installations-Manager 쎲 Vorkonfiguration
쎲 MAC-Adresse (Media Access 쎲 Zielcomputer
Control-Adresse)
쎲 PXE (Pre-boot execution
environment)
Lernzielkontrolle
Übungen
In den folgenden Übungen werden Sie Remoteinstallationsdienste auf Ihrem Win-
dows-2000-Server-Computer installieren, RIS konfigurieren und das erste CD-
basierte Image erstellen, Berechtigungen für das Image festlegen, eine Remotestart-
diskette erstellen sowie das Image auf einem Clientcomputer mit einer PXE-fähigen
Netzwerkkarte bzw. einer von der Remotestartdiskette unterstützten Netzwerkkarte
bereitstellen.
766 Kapitel 9 Windows 2000 und Remote- installationsdienste
Stellen Sie bei Ihrem RIS-Server sicher, dass der DHCP-Serverdienst installiert und
in Active Directory autorisiert wurde (dies ist notwendig, damit der RIS-Server Cli-
entanforderungen bedienen kann), und dass der DHCP-Server mindestens für einen
für Ihr LAN gültigen Bereich von IP-Adressen konfiguriert ist. Sie können auch
weitere Einstellungen konfigurieren, wie etwa Gateway-Adresse, DNS-Server usw.
Stellen Sie außerdem sicher, dass sich auf der Festplatte mindestens zwei Partitio-
nen befinden, von denen eine mit NTFS formatiert ist und sich von derjenigen
unterscheidet, in der Windows 2000 Server installiert ist.
Die Übungen setzen voraus, dass eine OU Forschung sowie eine Sicherheitsgruppe
EINGESCHRÄNKTE ENTWICKLER vorhanden ist (diese wurden in den Übungen zu
den Kapiteln 6 bis 8 verwendet). Ist dies nicht der Fall, so erstellen Sie die OU
sowie die Sicherheitsgruppe und einen Benutzer, der Mitglied der Sicherheits-
gruppe EINGESCHRÄNKTE ENTWICKLER werden soll.
5. Rollen Sie auf der Seite WINDOWS-KOMPONENTEN die Liste unter Kompo-
nenten abwärts, bis REMOTEINSTALLATIONSDIENSTE angezeigt wird. Markie-
ren Sie diese und klicken Sie auf WEITER.
6. Wenn das Dialogfeld ERFORDERLICHE DATEIEN angezeigt wird, legen Sie die
Windows-2000-Server-CD-ROM in das Laufwerk ein, geben Sie den Spei-
cherort der Windows-2000-Server-Dateien an und klicken Sie auf OK.
7. Wenn das Dialogfeld FERTIGSTELLEN des Assistenten angezeigt wird, kli-
cken Sie auf FERTIG STELLEN.
Lernzielkontrolle 767
8. Wenn Sie zum Neustart Ihres Computers aufgefordert werden, klicken Sie
auf JA.
9.2 Konfiguration von RIS und Installation des ersten Image
In dieser Übung konfigurieren Sie Remoteinstallationsdienste und installieren das
erste CD-basierte Image für Windows 2000 Professional.
5. Klicken Sie beim Start des Assistenten zur Installation der Remoteinstallati-
onsdienste auf WEITER, um den Einführungsbildschirm zu übergehen.
6. Wenn Sie nach dem Speicherort Ihres Installationsordners gefragt werden,
stellen Sie sicher, dass der Standardpfad D:\REMOTE-INSTALL (bzw. der ent-
sprechende Pfad mit dem angezeigten Laufwerkbuchstaben) auf eine NTFS-
Partition verweist, die nicht die Systempartition ist. Wenn Sie einen anderen
Speicherort festlegen möchten, tun Sie dies. Klicken Sie auf WEITER, um fort-
zufahren.
7. Wenn das Dialogfeld ANFANGSEINSTELLUNGEN angezeigt wird, deaktivieren
Sie das Kontrollkästchen AUF DIENSTANFRAGEN VON CLIENTS ANTWORTEN,
und klicken Sie auf WEITER.
8. Legen Sie die Windows-2000-Professional-CD in das Laufwerk ein. Wenn
das Fenster Windows-2000-Professional-CD angezeigt wird, schließen Sie
es.
9. Wen Sie nach dem Speicherort der Windows 2000 Professional-Dateien ge-
fragt werden, geben Sie Laufwerk:\i386 ein, wobei Laufwerk der Buchstabe
für Ihr CD-ROM-Laufwerk ist (Beispiel: e:\i386). Klicken Sie auf WEITER,
um fortzufahren.
10. Wenn Sie nach dem Ordner gefragt werden, in dem das erste CD-basierte
Image von Windows 2000 Professional gespeichert werden soll, behalten Sie
den Standardwert WIN2000.PRO bei und klicken Sie auf WEITER.
768 Kapitel 9 Windows 2000 und Remote- installationsdienste
11. Wenn Sie zur Eingabe eines angezeigten Namens und einer Beschreibung für
das Image aufgefordert werden, geben Sie diese ein, um das Standardimage
zu identifizieren, oder behalten Sie den vordefinierten Text bei, und klicken
Sie auf WEITER.
12. Wenn das Dialogfeld EINSTELLUNGEN ÜBERPRÜFEN angezeigt wird, stellen
Sie sicher, dass die Einstellungen korrekt sind, und klicken Sie dann auf FER-
TIG STELLEN.
13. Der Assistent zur Installation der Remoteinstallationsdienste erstellt nun den
gemeinsamen RIS-Ordner, kopiert die von RIS benötigten Dateien sowie die
Windows-2000-Professional-Dateien in den Image-Ordner, erstellt eine Ant-
wortdatei für das Image, konfiguriert RIS, aktualisiert die Registrierung, er-
stellt einen SIS-Datenträger und startet den Dienst RIS.
14. Beenden Sie SOFTWARE
15. Schließen Sie SYSTEMSTEUERUNG.
9.3 Absicherung des Image und Gewährung des Rechts zur
Erstellung eines Computerkontos in der OU Forschung
In dieser Übung konfigurieren Sie RIS-Serveroptionen so, dass das während der
Bereitstellung von Windows 2000 Professional erstellte Computerkonto in der OU
FORSCHUNG (d.h. in derselben OU wie das Benutzerkonto) eingerichtet wird.
Anschließend werden Sie der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER
die Berechtigungen zur Erstellung des Computerkontos zuordnen. Schließlich wer-
den Sie der Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER die Berechtigungen
zum Zugriff auf die Antwortdatei für das Image zuordnen und diese aus der Gruppe
JEDER entfernen, sodass nur Mitglieder dieser Sicherheitsgruppe das Image instal-
lieren können.
Führen Sie folgende Schritte aus, um RIS so zu konfigurieren, dass das Computer-
konto in der OU Forschung erstellt wird:
3. Suchen Sie Ihren RIS-Server in der MMC-Konsole, klicken Sie mit der rech-
ten Maustaste darauf, und wählen Sie EIGENSCHAFTEN.
4. Klicken Sie im Dialogfeld EIGENSCHAFTEN des Computers auf das Register
REMOTEINSTALLATION.
Lernzielkontrolle 769
3. Suchen Sie die OU Forschung, klicken Sie mit der rechten Maustaste darauf,
und wählen Sie OBJEKTVERWALTUNG ZUWEISEN.
4. Klicken Sie beim Start des Assistenten für die Zuweisung der Objektverwal-
tung auf WEITER.
5. Klicken Sie im Bildschirm BENUTZER UND GRUPPEN auf HINZUFÜGEN, mar-
kieren Sie in der Liste die Sicherheitsgruppe EINGESCHRÄNKTE ENTWICKLER,
klicken Sie auf HINZUFÜGEN, dann auf OK. Sie kehren zum Bildschirm BE-
NUTZER UND GRUPPEN zurück. Klicken Sie auf WEITER.
3. Navigieren Sie mit Windows Explorer in Ihrem RIS-Ordner, bis Sie unter
dem Ordner, der das Standardimage enthält, eine Datei namens RISTNDRD.SIF
gefunden haben. Ein möglicher Speicherort dafür könnte
D:\REMOTE-INSTALL\SETUP\ENGLISH\IMAGES\WIN2000.PRO\I386\TEMPLATES
sein, falls Sie das Image in einem Ordner namens WIN2000.PRO gespeichert
und den RIS-Ordner RemoteInstall genannt haben.
4. Klicken Sie mit der rechten Maustaste auf RISTNDRD.SIF, und wählen Sie EI-
GENSCHAFTEN.
\\<RIS_SERVER>\reminst\admin\i386\rbfg.exe
dabei ist <RIS_SERVER> der Name Ihres RIS-Servers. Klicken Sie auf OK. Da-
mit wird die Windows-2000-Remotestart-Diskettenerstellung gestartet.
4. Klicken Sie auf ADAPTERLISTE, um eine Liste unterstützter Netzwerkkarten
anzuzeigen und zu prüfen, ob Ihre Netzwerkkarte unterstützt wird.
5. Legen Sie eine leere, formatierte Diskette in Ihr Diskettenlaufwerk ein und
klicken Sie auf Diskette erstellen, um die Remotestartdiskette zu erstellen.
9.7 Bereitstellung von Windows 2000 mittels
Remoteinstallationsdienste
In dieser Übung stellen Sie mit Hilfe von Remoteinstallationsdienste Windows
2000 bereit.
1. Wechseln Sie auf dem Clientcomputer in das BIOS Setup, und überprüfen
Sie, ob die PXE-fähige Netzwerkkarte das erste Startgerät ist. Wenn Sie eine
Remotestartdiskette verwenden, prüfen Sie, ob das Diskettenlaufwerk das
erste Startgerät ist.
2. Falls Sie eine Remotestartdiskette verwenden, legen Sie diese in das Lauf-
werk ein. Starten Sie den Clientcomputer.
3. Drücken Sie auf einem PXE-fähigen Computer während der Startphase die
Taste (F12). Drücken Sie bei Verwendung einer Remotestartdiskette (F12),
wenn Sie dazu aufgefordert werden.
4. Wenn Sie dazu aufgefordert werden, drücken Sie erneut (F12), um den Assis-
tenten für die Clientinstallation zu übertragen und zu starten.
5. Wenn Sie aufgefordert werden, sich anzumelden, tun Sie dies als Benutzer
TimC mit dem Kennwort password. TimC ist ein Benutzer in der Sicherheits-
gruppe EINGESCHRÄNKTE ENTWICKLER. Wenn Sie in der Sicherheitsgruppe
einen Benutzer anderen Namens erstellt haben, melden Sie sich unter diesem
Benutzernamen an.
6. Aktivieren Sie AUTOMATISCHE INSTALLATION in der Liste verfügbarer In-
stallationsoptionen, um Windows 2000 Professional mit den Standardeinstel-
lungen zu installieren.
7. Wenn Sie nach dem zu installierenden Image gefragt werden, wählen Sie das-
jenige, für das Sie Berechtigungen definiert haben. Sie sollten nicht nach ei-
nem Image gefragt werden, weil in den vorangegangenen Übungen lediglich
ein Image auf Ihrem RIS-Server installiert wurde.
8. Folgen Sie ggf. den Aufforderungen während der Installation.
772 Kapitel 9 Windows 2000 und Remote- installationsdienste
Wiederholungsfragen
1. Welche Arten von Images können mit RIS bereitgestellt werden?
2. Welche Berechtigungen benötigt ein Benutzer zur Konfiguration eines Cli-
entcomputers mit Hilfe von Remoteinstallationsdienste?
3. Welche Vorteile bietet die Vorkonfiguration von Clients für den Administra-
tor?
4. Welcher RIS-Server bedient standardmäßig die Anforderung eines Clients,
ein Betriebssystem auf dem Clientcomputer zu installieren?
5. Sie müssen Clientcomputer nach der MAC-Adresse des Netzwerkadapters
mit vorangestelltem PC- benennen. Wie kann dies erreicht werden?
6. Sie müssen sicherstellen, dass auch gemeinsame Netzwerkdrucker auf einem
Clientcomputer installiert werden, der mittels RIS bereitgestellt wird. Wie
schaffen Sie das?
7. Sie möchten Windows 2000 Professional auf neuen Computern bereitstellen,
die in Ihrer Buchhaltungsabteilung verwendet werden sollen. Das Manage-
ment hat entschieden, dass auf keinem Computer in der Organisation Spiele
installiert werden dürfen. Wie können Sie RIS konfigurieren, damit auf die-
sen neuen Computern keine Spiele installiert werden?
8. Ihr Unternehmen hat vor kurzem 100 neue Notebooks für das Verkaufsperso-
nal angeschafft. Sie möchten die Bereitstellung von Windows 2000 Professi-
onal mit Microsoft Office 2000 und mehreren hausintern entwickelten
Anwendungen auf diesen Notebooks vereinfachen. Wie hilft Ihnen RIS, die
Bereitstellung zu vereinfachen?
9. Welche Taste müssen Sie bei einem Clientcomputer drücken, bevor mit der
Bereitstellung von Windows 2000 Professional begonnen werden kann?
10. Welche Aktionen werden bei der Konfiguration von Remoteinstallations-
dienste vom Assistenten zur Installation der Remoteinstallationsdienste erle-
digt?
Prüfungsfragen
1. Sie wurden vor kurzem von SoftLogic Inc. eingestellt, um bei der Konfigura-
tion und Bereitstellung von Clientcomputern mittels RIS zu helfen. Es wurde
beschlossen, bei allen Computern im Netzwerk die 1-Gbyte-Festplatten durch
neue 10-Gbyte-Festplatten zu ersetzen und ein CD-ROM-Laufwerk zu instal-
lieren. Die vorhandenen Computer enthalten Pentium-166-CPUs, 32 Mbyte
RAM und ISA-Netzwerkkarten mit 10 Mb/s.
Lernzielkontrolle 773
C. DNS
D. Trivial File Transfer Protocol
E. Active Directory
F. Single Instance Storage
3. Sie haben beschlossen, eine RIS-basierte Bereitstellung für 50 Computer in
der Marketingabteilung zu verwenden. Sie haben verifiziert, dass alle Com-
puter vor kurzem angeschafft wurden und ein PXE-fähiges Boot-ROM auf-
weisen. Sie erstellen und konfigurieren das Image auf dem RIS-Server und
ordnen die richtigen Berechtigungen zu. Sie starten den Clientcomputer und
drücken (F12), um eine RIS-Installation einzuleiten; es sieht jedoch so aus,
als ob Sie keine Verbindung mit dem RIS-Server bekommen. Sie verifizie-
ren, dass der DHCP-Server, der RIS-Server und der DNS-Server betriebsbe-
reit sind, und dass im Netzwerk ein Domänencontroller vorhanden ist.
Welches ist die wahrscheinlichste Ursache des Problems? (Wählen Sie die
beste Antwort.)
A. Der BINLSVC wurde auf dem RIS-Server nicht gestartet.
B. Das PXE-Boot-ROM ist älter als Version .99c.
C. Das PXE-Boot-ROM ist älter als Version .99i.
D. Die Netzwerkkarte enthält kein PXE-Boot-ROM.
E. Das Netzwerkkabel ist beim Clientcomputer nicht eingesteckt.
774 Kapitel 9 Windows 2000 und Remote- installationsdienste
B. RIPrep-Images können auf Computern mit einer anderen HAL als der des
Quellcomputers bereitgestellt werden.
C. Mit RIPrep-Images wird eine vollständige Betriebssysteminstallation
durchgeführt, sodass der Benutzer alle Einstellungen festlegen kann.
776 Kapitel 9 Windows 2000 und Remote- installationsdienste
E. Startdienst-Manager
10. Sie sind als Domänenadministrator in Ihrer Organisation für eine Windows-
2000-Active-Directory-Domäne verantwortlich. In Kürze erhalten Sie 200
neue Desktop-Computer zum Austausch vorhandener Systeme. Alle neuen
Computer sind mit einer PXE-fähigen Netzwerkkarte, 10-Gbyte-Festplatte,
CD-ROM-Laufwerk und 128 Mbyte Speicher ausgestattet.
Die neuen Computer sollen in vier Bereichen eingesetzt werden: Finanzen,
Verkauf, IT und Management. Jeder Bereich ist in Active Directory durch
eine eigene OU vertreten. Die IT-Abteilung ist unterbesetzt und schafft ihr
Arbeitspensum nicht.
Sie müssen Folgendes gewährleisten:
씰 Auf allen Computern muss Windows 2000 Professional installiert wer-
den.
씰 Für Benutzer in Finanzen, Verkauf und IT muss die Kontoführungsan-
wendung der Firma installiert werden.
씰 Für Benutzer in allen Bereichen muss Microsoft Office 2000 installiert
werden.
씰 Nur Mitglieder der Gruppe Domänen-Admins dürfen Computer in die
Domäne aufnehmen.
씰 Die Bereitstellung muss so schnell wie möglich über die Bühne gehen.
Um den Aufwand für die Bereitstellung von Windows 2000 Professional auf
diesen Computern zu minimieren, entscheiden Sie sich für den Einsatz von
RIS. Sie konfigurieren den RIS-Server ordnungsgemäß und autorisieren ihn
in Active Directory. Die Benutzer beginnen ordnungsgemäß mit der Installa-
tion, und alles scheint reibungslos zu laufen, bis ein Benutzer Sie anruft und
sagt, dass er die Eingabeaufforderungen auf dem Bildschirm nicht versteht.
Sie haken nach und stellen fest, dass dieser Benutzer mit französischen Ein-
gabeaufforderungen besser zurechtkäme als mit englischen, die von RIS stan-
dardmäßig angezeigt werden. Ihr Chef erinnert Sie außerdem daran, dass alle
Benutzeroberflächen bei kanadischen Regierungsstellen zweisprachig sein
müssen.
Wie ist diese Anforderung am einfachsten zu erfüllen? (Wählen Sie die beste
Antwort aus.)
A. Installation von RIS auf einem zweiten Server, der mit der Version Fran-
zösisch (Kanada) von Windows 2000 Server konfiguriert ist; Vorkonfigu-
ration aller französischen Clientcomputer in Active Directory, sodass ge-
währleistet ist, dass sie sich nur mit dem neuen Server verbinden, und
schließlich Start der Bereitstellung durch die Benutzer.
B. Kopieren von MULTILNG.OSC nach WELCOME.OSC im Ordner OSChooser
Ihres vorhandenen RIS-Servers.
C. Kopieren von WELCOME.OSC nach MULTILNG.OSC im Ordner OSChooser
Ihres vorhandenen RIS-Servers.
D. Bereitstellung einer Remotestartdiskette mit französischen Menüs für je-
den frankofonen Benutzer.
E. Erstellung eines neuen CD-basierten Image auf dem Server, der die Ver-
sion Französisch (Kanada) von Windows 2000 Professional verwendet.
12. Sie sind als Domänenadministrator in Ihrer Organisation für eine Windows-
2000-Active-Directory-Domäne verantwortlich. In Kürze erhalten Sie 200
neue Desktop-Computer zum Austausch vorhandener Systeme. Alle neuen
Computer sind mit einer PXE-fähigen Netzwerkkarte, 10-Gbyte-Festplatte,
CD-ROM-Laufwerk und 128 Mbyte Speicher ausgestattet.
Die neuen Computer sollen in vier Bereichen eingesetzt werden: Finanzen,
Verkauf, IT und Management. Jeder Bereich ist in Active Directory durch
eine eigene OU vertreten. Die IT-Abteilung ist unterbesetzt und schafft ihr
Arbeitspensum nicht.
Lernzielkontrolle 779
dieses Buch lesen (allerdings war zur Zeit der Drucklegung noch nicht be-
kannt, ob Windows Millennium von RIS unterstützt wird). Siehe »Übersicht
über Remoteinstallationsdienste«.
5. B, D. Bei der Vorkonfiguration kann der Clientcomputer einem bestimmten
RIS-Server zugeordnet werden. Wenn Sie alle Clientcomputer vorkonfigurie-
ren, können Sie die Last auf mehrere RIS-Server verteilen, sodass gewähr-
leistet ist, dass kein Server überlastet wird. Siehe »Durchführung einer
Remoteinstallation«.
6. B, C, D, E. Die einzigen Computer , die nicht mit RIS bereitgestellt werden
können, sind die Notebooks mit PC-Karten-Netzwerkadaptern. Da alle ande-
ren Computer entweder die Minimalvoraussetzungen für Windows 2000 Pro-
fessional erfüllen oder eine PCI-Netzwerkkarte mit PXE-Boot-ROM bzw.
eine mit einer Remotestartdiskette verwendbare Netzwerkkarte enthalten,
können diese mit RIS bereitgestellt werden. Siehe »Durchführung einer Re-
moteinstallation«.
7. B. Zur Vorkonfiguration von Clientcomputern würden Sie ACTIVE DIRECTO-
RY-BENUTZER UND -COMPUTER verwenden, um durch Angabe der GUID das
Computerkonto in der passenden OU zu erstellen. Siehe »Durchführung einer
Remoteinstallation«.
8. A, E. Ein RIPrep-Image kann sowohl Anwendungen als auch das Betriebs-
system enthalten, weil es ein Abbild des Quellcomputers ist, der zur Erstel-
lung des RIPrep-Image verwendet wurde. Außerdem können RIPrep-Images
u.U. kleiner sein als ein CD-basiertes Image und schneller bereitgestellt wer-
den, weil das gesamte Image auf den Clientcomputer kopiert wird, statt den
normalen Installationsvorgang von Windows 2000 Professional zu durchlau-
fen, wie es beim CD-basierten Image der Fall ist. Darüber hinaus müssen Sie
beim CD-basierten Image die Anwendungen mittels Gruppenrichtlinien oder
manuell installieren, was noch mehr Zeit kostet. Siehe »Erstellung von
Images für Remoteinstallationsdienste«.
9. A, D, E. Nach der Ausführung des Assistenten zur Installation der Remotein-
stallationsdienste sind Single Instance Storage, Trivial File Transfer Protocol
und Boot Service Manager-Dienst installiert. DHCP und DNS sind Voraus-
setzung für die Installation von RIS auf einem Server im Netzwerk. Siehe
»Installation und Konfiguration eines RIS-Servers«.
10. A, B, C, D. Die von Ihnen gewählte Lösung gewährleistet, dass Windows
2000 auf allen Clientcomputern installiert wird, und dass nur die Gruppe Do-
mänen-Admins Computerkonten in der Domäne erstellen kann. Dies liegt da-
ran, dass Sie ein CD-basiertes Image erstellt haben, als Sie den RIS-Server
installiert und ordnungsgemäß autorisiert haben. Außerdem haben Sie die
Domänen-Admins angewiesen, die Aufgabe zu erledigen. Durch die Erstel-
lung eines GPO, mit dem die umgepackte Kontoführungsanwendung Benut-
786 Kapitel 9 Windows 2000 und Remote- installationsdienste
15. B. Die beste Möglichkeit, zu gewährleisten, dass Benutzer den Namen nicht
während der RIS-Bereitstellung ändern können, ist es, die Installation jedes
Mal von vorne zu beginnen, weil eine unterbrochene Installation den Benut-
zer zu weiteren Eingaben auffordern könnte. Sie müssen Benutzern die Er-
stellung von Computerkonten gestatten, weil zu viele Computer
vorzukonfigurieren sind. Das Entfernen der Berechtigung Lesen von der Ant-
wortdatei hätte zur Folge, dass Benutzer die Datei nicht mehr verwenden und
die Bereitstellung nicht mehr durchführen könnten. Siehe »Fehlersuche bei
Remoteinstallationsdienste« und »Durchführung einer Remoteinstallation«.
Teil
10. Gesamtzusammenfassung
11. Tipps zur Prüfungsvorbereitung
Gesamt-
zusammenfassung
10
Nun, da Sie das Buch gelesen, die Übungen durchgearbeitet und so viel praktische
Erfahrung mit der Verwaltung von Active Directory gesammelt haben, wie Sie
konnten, sind Sie reif für die Prüfung. Dieser letzte Teil ist als »letzter Happen auf
dem Parkplatz« gedacht, bevor Sie in die Prüfung gehen. Sie können das ganze
Buch nicht in einer Stunde durchlesen, wohl aber diesen Abschnitt.
Dieser Abschnitt ist nach Lerzielkategorien geordnet und gibt Ihnen nicht nur eine
Zusammenfassung, sondern wiederholt die wichtigsten Punkte aus jedem Kapitel.
Denken Sie daran, dies ist als Wiederholung von Konzepten gedacht und als
Gedächtnisstütze für Sie, um sich die vielen Einzelheiten merken zu können, die Sie
in der Prüfung parat haben müssen. Wenn Sie diese Informationen und die Kon-
zepte, die dahinterstehen, im Gedächtnis haben, ist die Prüfung für Sie vermutlich
ein Klacks.
씰 Das Wichtigste, was Sie sich zu Standorten merken sollten, ist, dass sie die
Replikation innerhalb der Domäne steuern.
씰 Standorte gehören zum physischen Netzwerk, nicht zur logischen Struktur.
씰 Jeder Standort sollte einen Domänencontroller und einen Server für den glo-
balen Katalog enthalten.
10.1 Installation, Konfiguration und Fehlersuche bei Active Directory 793
씰 Clients suchen immer zuerst im Standort nach einem Server, dann in der
Domäne und zuletzt in der Gesamtstruktur. Die beste Antwortzeit wird
erreicht, wenn die Server in den Standorten bei den Benutzern gehalten wer-
den.
씰 Standorte werden über eine Standortverknüpfung mit allen anderen Standor-
ten verbunden.
씰 Sie erstellen einen Standort in dem Programm ACTIVE DIRECTORY-STAND-
ORTE UND -DIENSTE. Klicken Sie mit der rechten Maustaste auf die Sites und
wählen Sie NEUER STANDORT. Sie müssen einen Standortnamen angeben und
die als Standard zu verwendende Standortverbindung auswählen.
씰 Ein Standort ist definiert als Sammlung von IP-Subnetzen, die über ein Hoch-
geschwindigkeitsnetzwerk verbunden sind.
씰 Für Standorte können Gruppenrichtlinienobjekte definiert werden. Wenn ein
Standort ein GPO enthält, sollte ein Domänencontroller für die Domäne, in
welcher das GPO erstellt wurde, in den Standort aufgenommen werden.
씰 Server für den globalen Katalog sind eigentlich LDAP-Server, die den Cli-
ents die Liste der Objekte zur Verfügung stellen.
씰 Die Server für den globalen Katalog spielen auch eine wichtige Rolle bei der
Replikation der Schema- und der Konfigurations-Partition.
씰 Im globalen Katalog sind die von Ihnen definierten Gruppen untergebracht.
씰 In jeder Domäne und in jedem Standort sollte mindestens ein Server für den
globalen Katalog vorhanden sein.
씰 Server für den globalen Katalog sind Domänencontroller. In ACTIVE DIREC-
TORY-STANDORTE UND -DIENSTE gibt es unter NTDS Settings für jeden Ser-
ver ein Kontrollkästchen, das bestimmt, ob er Server für den globalen
Katalog ist.
796 Kapitel 10 Gesamt- zusammenfassung
씰 Damit Server die besten Antwortzeiten liefern, sollten sie sich im selben
Standort befinden wie der Client. Aus diesem Grund ist es sinnvoll, Server zu
verschieben.
씰 Der Server, den Sie in einen Standort verschieben, sollte im physischen Sub-
netz sein.
씰 Einen Server verschieben Sie, indem Sie mit der rechten Maustaste auf den
Server klicken und VERSCHIEBEN wählen.
씰 Sie können sowohl Standardzonen als auch AD-integrierte Zonen für Aktua-
lisierung konfigurieren.
씰 Wenn die Zone AD-integriert ist, können Sie festlegen, dass die Aktualisie-
rungen sicher sein sollen (prüfen Sie die Berechtigungen des Objekts).
씰 Der DNS-Server sorgt für inkrementelle Übertragungen (IXFR), die RFCs
sind und auf der Seriennummer der Zonendatei beruhen.
씰 Aufräumen ist der Vorgang, bei dem Datensätze, die nicht aktualisiert wur-
den, aus der Zone des DNS-Servers entfernt werden. Dies ist bei beiden
Zonenarten möglich. Die Zeiten können beim Serverobjekt und beim Zonen-
objekt festgelegt werden.
씰 Der Client, der DHCP-Server oder beide können dynamische Aktualisierun-
gen durchführen. Normalerweise registriert der Client den Forward-Zonenna-
men, und der DHCP-Server registriert den Namen der Reverse-Lookupzone.
씰 Denken Sie daran, dass der Domänencontroller oder jeder andere Server sich
nicht bei DNS registriert, wenn der DNS-Server nicht in seinen TCP/IP-Ein-
stellungen konfiguriert ist.
씰 Sie können nach wie vor einen Verweis auf WINS verwenden, um eine dyna-
mische DNS-Umgebung für kompatible Clients und Server zu schaffen.
Mit Gruppenrichtlinien können Sie festlegen, wie ein Computer konfiguriert wer-
den soll, ob Benutzer an bestimmten Computerkonfigurationen Änderungen vor-
10.3 Installation, Konfiguration... 803
nehmen dürfen oder nicht, welche Software automatisch oder optional auf den
Computern der Benutzer installiert werden soll, und wie Sicherheitseinstellungen
umgesetzt werden sollen.
씰 Gruppenrichtlinien können auf Ebene des Standorts, der Domäne oder der
Organisationseinheit erstellt werden.
씰 Nach der Erstellung werden GPO-Einstellungen mit dem MMC-Snap-In
Gruppenrichtlinieneditor geändert.
씰 Nur Domänen-Admins oder Benutzer, die das Recht Gruppenrichtlinienob-
jekt erstellen besitzen, dürfen ein GPO auf beliebiger Ebene erstellen.
804 Kapitel 10 Gesamt- zusammenfassung
Administrative Vorlagen und Skripte können für Computer und für Benutzer konfi-
guriert werden.
씰 Skripte können BAT- oder CMD-Dateien sowie alle von Windows Scipting
Host unterstützten Dateien sein.
씰 Mit Skripte werden Benutzer und/oder Einstellungen konfiguriert, die mit
anderen Elementen von Gruppenrichtlinien nicht konfigurierbar sind.
씰 Wenn bei der Anwendung von Skripte ein Konflikt auftritt, werden die Ein-
stellungen des zuletzt ausgeführten Skripte wirksam, ganz gleich, ob es sich
um ein Benutzeranmeldeskript oder ein Systemstartskript handelt.
씰 Die meisten Probleme bei der Bereitstellung von Software mittels Gruppen-
richtlinien sind auf Netzwerkfehler zurückzuführen, wie etwa Unerreichbar-
keit des Softwareverteilungspunkts, oder haben mit der Anwendung von
Gruppenrichtlinien zu tun.
씰 Beim Einkreisen des Problems müssen Sie sich nach wie vor an alle Regeln
halten, die für Richtlinienvererbung, Filterung und andere Elemente gelten.
Verwaltung der Netzwerkkonfiguration mittels Gruppenrichtlinien
Zur Prüfung Ihrer Kenntnisse über die Verwaltung der Netzwerkkonfiguration mit-
tels Gruppenrichtlinien wird Microsoft den Computerteil von Gruppenrichtlinien-
vorlagen heranziehen. Außerdem sollten Sie damit vertraut sein, welche Typen von
Einstellungen angewandt werden können und was bei einem Konflikt zwischen
Benutzer- und Computereinstellungen passiert. Daneben werden Sie auch zu ande-
ren Elementen von Gruppenrichtlinien (Vererbung, Filterung usw.) allgemein
geprüft, was deren Anwendung auf Computer betrifft.
Windows- Teilen von Windows 2000 und seiner Hilfsprogramme. Hier können
Komponenten Sie das Verhalten von Teilen von Windows 2000 konfigurieren,
darunter Internet Explorer, Microsoft NetMeeting, Windows
Installer, Taskplaner. Zu den konfigurierbaren Dingen gehören u.a.,
ob das Programm installiert werden darf, die Konfiguration des
Programms auf dem Computer, welche Teile des Programms benutzt
werden dürfen und wie sich das Programm nach dem Start verhalten
soll.
System Betrieb von Teilen von Windows 2000, u.a. was geschieht nach An-
oder Abmeldung, DNS-Clientsuffix-Konfiguration, ob Festplatten-
kontingente erzwungen werden sollen, und Merkmale von Gruppen-
richtlinien, etwa interne Aktualisierung. Außerdem wird damit der
Windows-Dateischutz sowie die Möglichkeit von Windows 2000
gesteuert, wichtige Systemdateien automatisch zu ersetzen, wenn sie
von anderen Programmen überschrieben wurden.
Netzwerk Attributen von Netzwerkverbindungen, z.B. ob gemeinsame Verbin-
dungsnutzung auf dem Computer aktiviert werden soll, sowie das
Verhalten von Offlinedateien, u.a. wie und wann die Synchronisie-
rung stattfindet.
Drucker Konfiguration von Druckern, z.B. ob sie in Active Directory veröf-
fentlicht werden dürfen, ob Drucker automatisch veröffentlicht
werden sollen, ob veröffentlichtes oder nicht-webgestütztes Drucken
zulässig ist, sowie weitere Einstellungen wie Computerstandort,
Abfragehäufigkeit für Drucker und andere.
씰 RIS muss auf einem Computer mit Windows 2000 Server, Advanced Server
oder Data Center Server installiert werden. Es sind zwei Festplattenpartitio-
nen erforderlich. Die Partition zum Speichern der Images muss mit NTFS
formatiert sein und darf nicht die Systempartition sein.
씰 Die Installation eines RIS-Servers erfolgt über den Assistenten für die Konfi-
guration des Servers oder über WINDOWS-KOMPONENTEN HINZUFÜGEN/ENT-
FERNEN in der Systemsteuerung unter SOFTWARE. Bei der Installation von
RIS werden alle von RIS benötigten Dateien installiert. Sie müssen den RIS-
Server allerdings noch konfigurieren.
씰 Ein RIS-Server wird nach der Installation von RIS mit dem Assistenten zur
Installation der Remoteinstallationsdienste konfiguriert. Dieser kann von der
Befehlszeile mit dem Befehl risetup, über START/AUSFÜHREN oder über
SOFTWARE gestartet werden.
씰 Bei der Konfiguration des RIS-Servers wird auf dem Server ein erstes CD-
basiertes Image erstellt, und es werden alle von RIS benötigten Dienste
gestartet, darunter Trivial File Transfer Protocol (TFTP), Single Instance
Store (SIS) und der Boot Service Manager-Dienst (BINLSVC).
Fehlerbehebung bei RIS-Problemen
Verbreitete RIS-Probleme werden in der folgenden Tabelle aufgeführt.
Clients erhalten eine IP- Die wahrscheinlichste Ursache für dieses Problem ist,
Adresse, aber es wird keine dass der RIS-Server nicht online ist. Eine weitere
BINL-Meldung angezeigt, die mögliche Ursache könnte sein, dass der RIS-Server zwar
auf eine Verbindung mit dem online ist, aber in Active Directory nicht autorisiert
RIS-Server hinweist. wurde. Bringen Sie den RIS-Server online und autori-
sieren Sie ihn.
Clientcomputer können die Dies wird höchstwahrscheinlich von einem hängenden
Übertragung von einem RIS- NetPC Boot Service Manager (BINLSVC) auf dem RIS-
Server nicht starten. Server verursacht. In dieser Situation wird auf dem
Client die BINL-Meldung angezeigt, die darauf
hinweist, dass mit einem RIS-Server Kontakt aufge-
nommen wurde, aber weiter geschieht nichts. Stoppen
Sie den NetPC Boot Service Manager Service, und
starten Sie ihn neu, um das Problem zu korrigieren.
Clients, die eine Remotestart- Die wahrscheinlichste Ursache für dieses Problem ist,
diskette verwenden, können dass der Clientcomputer eine Netzwerkkarte enthält, die
keine Verbindung mit dem von der Remotestartdiskette nicht unterstützt wird.
RIS-Server herstellen. Prüfen Sie, ob die Netzwerkkarte in der Adapterliste des
Programms Remotestart-Diskettenerstellung angezeigt
wird. Wenn nicht, ersetzen Sie die Netzwerkkarte durch
eine aus der Liste.
Durch Drücken auf (F12) Die wahrscheinlichste Ursache für dieses Problem ist,
wird ein Remotestart einge- dass die PXE-fähige Netzwerkkarte ein Boot-ROM mit
leitet, aber der Client kann einer älteren Version als .99c enthält. Die Version des
keine Verbindung mit dem Boot-ROM für PXE muss .99c oder neuer sein. Bei
RIS-Server herstellen. einigen Netzwerkkarten kann Version .99i notwendig
sein, damit sie richtig funktionieren.
Wechseln Sie die Netzwerkkarte oder das Boot-ROM
aus, um dieses Problem zu beheben.
Dieses Problem kann auch auftreten, wenn der RIS-
Server nicht in Betrieb ist. Stellen Sie sicher, dass ein
RIS-Server betriebsbereit ist.
Installationsoptionen sind Die wahrscheinlichste Ursache für dieses Problem sind
wider Erwarten für einen Konflikte bei Gruppenrichtlinien. Wenn für den
Benutzer nicht verfügbar. Benutzer ein GPO auf Organisationseinheitenebene defi-
niert ist, könnte ein GPO auf höherer Ebene die Einstel-
lung KEIN VORRANG aktiviert haben und ebenfalls Konfi-
gurationseinstellungen für RIS enthalten.
Überprüfen Sie die GPO-Rangfolge für den Benutzer.
814 Kapitel 10 Gesamt- zusammenfassung
씰 Bei der Konfiguration des RIS-Servers wird auf dem Server ein erstes CD-
basiertes Image erstellt, und es werden alle von RIS benötigten Dienste
gestartet, darunter Trivial File Transfer Protocol, Single Instance Store und
der Boot Service Manager-Dienst.
씰 Die zur Installation von Windows 2000 Professional mittels RIS verwendeten
Images können CD-basierte Images oder RIPrep-Images (Remote Installation
Preparation) sein.
씰 CD-basierte Images enthalten Kopien von Dateien, die zur Installation von
Windows 2000 Professional benötigt werden, und der Ablauf entspricht
genau einer unbeaufsichtigten Installation von der Windows-2000-Professio-
nal-CD.
씰 Bei RIPrep-Images können Sie Windows 2000 Professional sowie zusätzli-
che Anwendungen auf einem Quellcomputer konfigurieren, ein Image in
einem gemeinsamen RIS-Ordner erstellen, das die gesamte Computerkonfi-
guration enthält, und dieses auf Zielcomputern bereitstellen. RIPrep-Images
bieten die schnellste Möglichkeit zur Bereitstellung von Betriebssystem und
Anwendungen.
씰 RIPrep-Images erfordern einen Referenzcomputer, auf dem Windows 2000
Professional und alle Anwendungen installiert sind, sowie das Programm
SYSPREP zur Vorbereitung des Image.
씰 Alle Images sind mit einer Antwortdatei (SIF) verknüpft, die mit dem Pro-
gramm Installations-Manager erstellt wird. Dieses Programm ist Bestandteil
des Windows 2000 Resource Kit und befindet sich im Ordner TOOLS auf der
CD-ROM von Windows 2000.
씰 Durch Zuordnung von Berechtigungen zur Antwortdatei (SIF) können Sie
einschränken, wer ein bestimmtes Paket installieren darf.
씰 Ein RIS-Server kann mehrere Images enthalten. Images müssen in einer sepa-
raten Partition gespeichert werden, die mit NTFS formatiert wurde. Ein Netz-
werk kann auch mehrere RIS-Server enthalten, von denen jeder dieselben
oder unterschiedliche Images enthalten kann. Gebräuchliche Images sollten
zwecks Lastausgleich auf mehrere Server kopiert werden.
10.3 Installation, Konfiguration... 815
씰 Damit ein Benutzer, der mittels RIS ein Image für einen Computer bereitstel-
len möchte, ein Computerkonto erstellen kann, muss er bzw. sie die Berechti-
gung zum Erstellen von Computerobjekten innerhalb des Containers
besitzen, in dem das Computerkonto erstellt werden soll.
씰 Benutzern können die erforderlichen Privilegien über die Registerkarte
SICHERHEITSEINSTELLUNGEN des Dialogfelds EIGENSCHAFTEN FÜR DEN
ACTIVE DIRECTORY-CONTAINER oder über den Assistenten zum Zuweisen
der Objektverwaltung gewährt werden.
씰 Domänen-Admins und Organisations-Admins besitzen standardmäßig die
Berechtigung zum Erstellen von Computerobjekten für alle Active Directory-
Container.
씰 Benutzer, die Windows 2000 Professional auf einem Computer installieren,
der nicht vorkonfiguriert wurde, müssen das Privileg zum Erstellen von Com-
puterobjekten innerhalb des Containers besitzen, in dem das Computerkonto
erstellt werden soll.
816 Kapitel 10 Gesamt- zusammenfassung
씰 Der Container, in dem das Computerkonto erstellt werden soll, kann unter
ERWEITERTE EIGENSCHAFTEN des RIS-Servers in ACTIVE DIRECTORY-
BENUTZER UND -COMPUTER konfiguriert werden, ebenso wie das bei der
Erstellung des Computerkontos zu verwendende Namensformat.
Vorkonfiguration von RIS-Clientcomputern für zusätzliche Sicherheit und
Lastausgleich
Berücksichtigen Sie bei der Vorkonfiguration von RIS-Clientcomputern für zusätz-
liche Sicherheit und Lastausgleich Folgendes:
씰 Zum Verschieben gehört nicht nur das Verschieben innerhalb von Active
Directory, sondern auch zwischen Active Directory und anderen Verzeichnis-
diensten. Dazu gehört auch die Verwendung der Programme LDIFDE und
CSVDE. Diese können zum Verschieben von Daten zwischen unterschiedli-
chen Arten von Systemen verwendet werden.
씰 Das Verschieben eines Objekts beschränkt sich in ACTIVE DIRECTORY-
BENUTZER UND -COMPUTER auf die Domäne, weil die eindeutige ID der
Domäne den ersten Teil der SID des Objekts ausmacht. Um ein Objekt in
eine andere Domäne zu verschieben, müssen Sie MOVETREE einsetzen, das
für diesen Zweck mitgeliefert wird.
씰 Innerhalb einer Domäne können Sie den Befehl VERSCHIEBEN im Kontext-
menü verwenden.
씰 Denken Sie beim Verschieben (oder Löschen) eines Containers, z.B. einer
Organisationseinheit, daran, dass die von einem anderen Benutzer in dieser
Zeit erstellten neuen Objekte in Lost and Found landen. Prüfen Sie diesen
Container gelegentlich.
Veröffentlichen von Ressourcen in Active Directory
Berücksichtigen Sie beim Veröffentlichen von Ressourcen in Active Directory Fol-
gendes:
씰 Bedenken Sie, dass ein verteiltes Dateisystem (DFS) ein eigenständiges Sys-
tem oder ein fehlertolerantes System sein kann. Dieses wird nicht in Active
Directory veröffentlicht. Bei der Veröffentlichung wird eine vorhandene
Freigabe in Active Directory verfügbar gemacht.
씰 Windows-2000-Drucker werden standardmäßig veröffentlicht. Ob dies
geschieht oder nicht, hängt von der Einstellung des Kontrollkästchens IN
VERZEICHNISLISTE ANZEIGEN ab.
씰 Nicht-Windows-2000-Drucker können veröffentlicht werden durch Erstel-
lung des Druckerobjekts mittels ACTIVE DIRECTORY-BENUTZER UND -COM-
PUTER.
씰 Denken Sie daran, dass eine der wichtigsten Eigenschaften jedes Objekts die
Zugriffssteuerungsliste (ACL) ist. In dieser wird festgelegt, was Benutzer mit
dem Objekt anstellen dürfen. Die Zugriffssteuerungsliste besteht aus
Zugriffssteuerungseinträgen.
씰 Die innerhalb von Containerobjekten erstellten Objekte erben die Berechti-
gungen der betreffenden Containerobjekte. Diese Vererbung kann deaktiviert
werden. In diesem Fall werden Sie gefragt, was mit den vorhandenen Berech-
tigungen geschehen soll: Beibehalten oder Entfernen.
씰 Die Berechtigungen des Benutzers sind an den Benutzerprozess gekoppelt.
Wenn der Prozess einen Zugriff versucht, wird die SID aus den Berechtigun-
gen (Zugriffstoken) mit den Einträgen in der Zugriffssteuerungsliste vergli-
chen.
씰 Bei der Festlegung von Berechtigungen haben Sie in der Regel die Möglich-
keit, diese auf ein Objekt, das Objekt und dessen untergeordnete Objekte oder
nur auf untergeordnete Objekte anzuwenden.
Delegieren der administrativen Zuständigkeit für Objekte in Active
Directory
Berücksichtigen Sie beim Delegieren der administrativen Zuständigkeit für Objekte
in Active Directory Folgendes:
씰 Wenn Sie die Zuständigkeit delegieren, legen Sie für das Objekt und unterge-
ordnete Objekte Berechtigungen fest.
씰 Der Assistent zum Zuweisen der Objektverwaltung sollte verwendet werden,
um das Delegieren zu vereinfachen. Er stellt die Berechtigungen einschließ-
lich erweiterter Berechtigungen für Sie ein.
씰 Delegiert wird normalerweise an Organisationseinheiten. Dies ist deren
Hauptzweck.
씰 Sie sollten wissen, welche die wichtigsten Berechtigungen sind und wofür sie
vergeben werden. Denken Sie daran, dass Berechtigungen für Objekte und
für Eigenschaften festgelegt werden können.
820 Kapitel 10 Gesamt- zusammenfassung
ACLDiag. Mit diesem Programm können Sie feststellen, ob ein Benutzer Zu-
griff auf ein Verzeichnisobjekt hat. Es kann außerdem die Zugriffssteue-
rungsliste auf ihren Standardzustand zurücksetzen.
ADSIEdit. Mit diesem MMC-Snap-In können Sie alle Objekte im Verzeich-
nis anzeigen und ändern oder Zugriffssteuerungslisten für sie festlegen.
DNSCMD. Dieses Programm überprüft die dynamische Registrierung von
DNS-Ressourcendatensätzen.
DOMMAP. Dieses Programm prüft die Replikationstopologie und die Do-
mänenbeziehungen.
DSACLS. Damit können Sie die Zugriffssteuerungslisten von Verzeichnis-
objekten überprüfen und bearbeiten.
DSAStat. Damit werden Informationen über Domänencontroller verglichen,
um Unterschiede zu ermitteln.
ESEUtil. Dieses Programm arbeitet an der Komponente für erweiterbaren
Hintergrundspeicher und kann Datenbankdateien reparieren, überprüfen,
komprimieren, verschieben und abbilden. NTDSUTIL ruft diese Funktionen
auf, um verschiedene Aufgaben zu erledigen.
NETDOM5. Dieses Programm wickelt die Verwaltung von Vertrauensstel-
lungen im Stapelbetrieb ab durch Aufnahme von Computern in Domänen und
Überprüfung von Vertrauensstellungen und sicheren Kanälen.
NETTest. Dieses Programm kann die Ende-zu-Ende-Netzwerkkonnektivität
sowie Funktionen von verteilten Diensten überprüfen.
NLTest. Dieses Programm prüft, ob der Locator-Dienst und der sichere Ka-
nal funktionieren.
NTDSUtil. Neben der Verwaltung von Betriebsmastern und der Zulassung
von maßgebenden Wiederherstellungsvorgängen verwaltet dieses Programm
die Datenbankdateien (mittels ESEUtil) und listet Standort-, Domänen- und
Serverinformationen auf.
REPAdmin. Damit werden die Replikationskonsistenz zwischen Replikati-
onspartnern überprüft, der Replikationsstatus überwacht, Replikations-Meta-
daten angezeigt sowie Replikationsereignisse und Neuberechnungen des
Knowledge-Konsistenzprüfers erzwungen.
REPLMon. Dieses Programm zeigt die Replikationstopologie an, überwacht
den Replikationsstatus und kann Replikationsereignisse und Neuberechnun-
gen des Knowledge-Konsistenzprüfers erzwingen.
822 Kapitel 10 Gesamt- zusammenfassung
씰 Die wichtigsten Programme sind REPAdmin und REPLMon. Mit dem Pro-
gramm Admin können Sie die Replikation von der Befehlszeile aus verwal-
ten, und mit dem Snap-In REPLMon können Sie die Replikation überwachen.
Einstellung Beschreibung
Einstellung Beschreibung
Lokale Richtlinien Ermöglicht die Festlegung von Einstellungen für lokale Computer
zur Überwachung, Zuordnung von Benutzerrechten (z.B. Lokale
Anmeldung, Als Dienst anmelden usw.) und bestimmte Computer-
sicherheitsoptionen, z.B. Text der vor Anmeldung anzuzeigenden
Meldung, ob der Name des zuletzt angemeldeten Benutzers bei der
Anmeldung angezeigt werden soll, und andere.
Ereignisprotokoll Ermöglicht die Konfiguration von Protokolldateigrößen für die
drei wichtigsten Ereignisprotokolle (System, Sicherheit und
Anwendung), die Festlegung, ob Protokolle überschrieben werden
sollen, sowie ggf. die Einschränkung des Leserechts für Protokoll-
dateien.
Eingeschränkte Ermöglicht die Einschränkung der Sicherheitsgruppenmitglied-
Gruppen schaft auf bestimmte Benutzer. Außerdem können Sie damit fest-
legen, welchen anderen Gruppen diese Gruppen angehören dürfen.
Mit anderen Worten, mit dieser Einstellung können Sie die Grup-
penmitgliedschaft mittels Sicherheitsrichtlinien konfigurieren, um
sicherzustellen, dass nach der Anwendung der Richtlinien
bestimmte Benutzer bzw. Gruppen immer Mitglieder bestimmter
Gruppen sind.
Registrierung Damit können Sie die Sicherheit für Registrierungsschlüssel konfi-
gurieren. Über die Sicherheitsrichtlinie können Sie festlegen, wer
Schlüssel in der Registrierung lesen, ändern oder hinzufügen darf.
Dateisystem Mit dieser Sicherheitseinstellung können Sie Sicherheitsparameter
des Dateisystems für Ordner und Dateien in NTFS-Partitionen
festlegen und davon ausgehen, dass sie nach Inkrafttreten der
Richtlinie wirksam werden.
Richtlinien öffentli- Damit können Sie festlegen, welche Benutzer Agenten für die
cher Schlüssel Wiederherstellung von Daten in einem verschlüsselten Datei-
system (EFS) sein sollen. Wiederherstellungsagenten können
Dateien entschlüsseln, wenn der Benutzer, der sie erstellt hat, nicht
verfügbar ist oder gelöscht wurde. Hier können Sie außerdem
Zertifikate von Stammzertifizierungsstellen importieren, denen
Windows 2000 vertrauen soll. Diese konfigurieren Vertrauensstel-
lungen für Stellen und von diesen herausgegebene Zertifikate und
legen Parameter für die automatische Anforderung von Zertifi-
katen fest. In Windows 2000 wurde einiges getan, um zu gewähr-
leisten, dass die Kommunikation sicher ist und dass nur solche
Computer bzw. Benutzer Zugriff erhalten, die einen gültigen
Authentizitätsnachweis erbringen, z.B. ein Zertifikat. Diese wich-
tigen Sicherheitsfunktionen werden mittels Gruppenrichtlinien
implementiert.
10.5 Konfiguration, Verwaltung... 825
Einstellung Beschreibung
IP-Sicherheitsricht- Damit können Sie festlegen, wie Client, Server und Domänencont-
linien roller kommunizieren sollen, und welche Sicherheitsstufe angefor-
Verzeichnisrichtli- dert, vorgeschrieben oder abgelehnt werden soll. Diese Einstel-
nien in Active lungen gelten für den TCP/IP-Verkehr zwischen den
Directory verschiedenen Arten von Windows-2000-Computern.
씰 Die Ereignisanzeige ist das Programm, das zur Überwachung von sicherheits-
bezogenen Ereignissen, wie etwa den durch die Überwachung konfigurierten,
verwendet wird.
씰 Das Sicherheitsprotokoll der Ereignisanzeige enthält alle sicherheitsbezoge-
nen Ereignisse.
씰 Durch Filtern des Protokolls sind interessante Ereignisse leichter zu finden.
씰 Für den Fall, dass das Sicherheitsprotokoll voll ist, kann der Administrator
festlegen, dass der Computer heruntergefahren wird. Damit ist gewährleistet,
dass keine sicherheitsrelevanten Informationen verloren gehen.
11
Tipps zur
Prüfungs-
vorbereitung
Dieser Teil des Buches gibt Ihnen einige allgemeine Richtlinien für die Vorberei-
tung auf ein Zertifizierungsexamen. Er gliedert sich in vier Abschnitte: Der erste
behandelt die Lernstile und ihren Einfluss auf die Prüfungsvorbereitung. Im zweiten
Abschnitt geht es um Ihre Aktivitäten bei der Prüfungsvorbereitung und um allge-
meine Studientipps. Daran schließt sich ein Überblick über die MCP-Examen an,
einschließlich einer Reihe spezieller Tipps, die sich auf die verschiedenen Prüfungs-
formate und Fragetypen von Microsoft beziehen. Der letzte Abschnitt erläutert
Änderungen gegenüber den bisherigen Prüfungsrichtlinien von Microsoft und deren
Auswirkungen auf Sie.
11.1 Lernstile
Damit Sie sich optimal auf die Prüfungen vorbereiten können, müssen Sie das Ler-
nen als Prozess begreifen. Vielleicht wissen Sie bereits, wie Sie sich neues Material
am besten erarbeiten. Für den einen sind Gliederungen des Stoffes wichtig, während
es für einen »visuellen Typ« besser ist, die Dinge »zu sehen«. Welchen Stil Sie auch
bevorzugen, an der Prüfungsvorbereitung führt kein Weg vorbei. Natürlich sollten
Sie mit dem Studium für die Prüfungen nicht erst einen Tag vorher beginnen. Ler-
nen ist ein Entwicklungsprozess! Wenn Sie das verstanden haben, können Sie sich
darauf konzentrieren, was Sie bereits wissen und was Sie noch lernen müssen.
Der Lernprozess beruht unter anderem darauf, neue Informationen mit vorhande-
nem Wissen zu verknüpfen. Sie verfügen bereits über Erfahrung im Umgang mit
Computern und Netzwerken. Nun bereiten Sie sich für das Zertifizierungsexamen
vor. Mit diesem Buch, der geeigneten Software und entsprechendem Ergänzungs-
material erweitern Sie aber Ihr Wissen nicht einfach inkrementell; während des Stu-
diums bauen Sie sich neue gedankliche Strukturen auf. Das führt zu einem umfas-
senderen Verständnis der Aufgaben und Konzepte, die in den Lernzielen umrissen
sind und die für die Computertechnik im Allgemeinen gelten. Auch das ist ein sich
wiederholender Prozess und kein Einzelereignis. Behalten Sie dieses Lernmodell im
828 Kapitel 11 Tipps zur Prüfungs- vorbereitung
Auge, während Sie sich auf die Prüfungen vorbereiten – Sie können dann besser
einschätzen, über welche Kenntnisse Sie bereits verfügen und wie viel Sie noch ler-
nen müssen.
11.2 Studienhinweise
Es gibt viele Ansätze zum Studieren und ebenso viele Arten von Studienmaterial.
Die folgenden Tipps beziehen sich speziell auf das in den Zertifizierungsexamen
behandelte Material.
11.2.1 Lernstrategien
Auch wenn jeder seinen eigenen Lernstil hat, gibt es einige allgemein gültige Lern-
prinzipien. Deshalb sollten Sie bestimmte Lernstrategien übernehmen, die sich auf
diese Prinzipien stützen. Dazu gehört unter anderem, dass sich das Lernen in ver-
schiedene Ebenen gliedern lässt. Die Wiedererkennung (zum Beispiel von Begrif-
fen) veranschaulicht eine oberflächliche Lernebene, bei der Sie auf abrufbereites
Wissen zurückgreifen. Das Erkennen bzw. Verstehen (zum Beispiel von Konzepten
hinter den Begriffen) stellt eine tieferliegende Lernebene dar. Die Fähigkeit, ein
Konzept zu analysieren und die daraus gewonnenen Erkenntnisse in neuer Form
anzuwenden, repräsentiert eine noch tiefere Lernebene.
Ihre Lernstrategie sollte Sie dahin bringen, dass Sie den Stoff eine oder zwei Ebe-
nen unter der reinen Wiedererkennung beherrschen. Damit können Sie sich optimal
auf die Prüfungen vorbereiten; Sie verstehen das Material so umfassend, dass Sie
auch mit Fragen vom Typ Multiple Choice problemlos umgehen können. Außerdem
sind Sie in der Lage, Ihr Wissen bei der Lösung neuer Probleme anzuwenden.
Eine Gliederung liefert zwei Ansätze zum Studium. Erstens können Sie sich anhand
der Gliederung auf die Organisation des Materials konzentrieren. Arbeiten Sie die
Punkte und Unterpunkte Ihrer Gliederung durch und stellen Sie dabei Querverbin-
dungen zwischen den einzelnen Punkten her. Zum Beispiel sollten Sie erkennen,
worin sich die Hauptlernziele ähneln bzw. sich unterscheiden. Dann fahren Sie in
gleicher Weise mit den Teilzielen fort; beachten Sie dabei, welche Teilziele sich auf
welche Lernziele beziehen und wie die Teilziele zueinander in Beziehung stehen.
11.2 Studienhinweise 829
Als Nächstes arbeiten Sie die Gliederung durch und konzentrieren sich dabei auf die
Details. Prägen Sie sich die Begriffe und deren Definitionen, Fakten, Regeln und
Strategien, Vorteile und Nachteile usw. ein. Bei diesem Durchgang durch die Glie-
derung lernen Sie Details und nicht nur die Hauptpunkte – die organisatorischen
Informationen, die Sie sich im ersten Durchlauf durch die Gliederung erarbeitet
haben.
Untersuchungen haben gezeigt, dass es dem Lernprozess als Ganzes nicht zuträg-
lich ist, beide Arten von Informationen gleichzeitig aufzunehmen. Trennen Sie Ihr
Studium in die beiden Ansätze – und Sie sind besser auf die Prüfung vorbereitet.
Aktive Lernstrategien
Wenn Sie sich Ziele, Teilziele, Begriffe, Fakten und Definitionen notieren, beschäf-
tigen Sie sich aktiv mit dem Stoff und nehmen ihn wahrscheinlich besser auf, als
wenn Sie ihn lediglich lesen und damit nur passiv verarbeiten.
Als Nächstes testen Sie, ob Sie die gelernten Informationen anwenden können. Ver-
suchen Sie deshalb, selbstständig Beispiele und Szenarios zu erzeugen. Denken Sie
darüber nach, wie und wo Sie die gelernten Konzepte anwenden können. Schreiben
Sie auch hier die gewonnenen Ergebnisse nieder, um die Fakten und Konzepte aktiv
zu verarbeiten.
Vernünftige Strategien
Schließlich sollten Sie beim Lernen auch den gesunden Menschenverstand einset-
zen. Studieren Sie, wenn Sie aufnahmebereit sind, vermeiden Sie Ablenkungen und
machen Sie Pausen, wenn Sie abgespannt sind.
11.2.2 Trockentraining
Mit einem Trockentraining können Sie abschätzen, wie weit Sie vorangekommen
sind. Einer der wichtigsten Lernaspekte ist das so genannte »Meta-Lernen«. Dabei
erkennen Sie, wann Sie ein Thema beherrschen und wo Sie weitere Anstrengungen
unternehmen müssen. Mit anderen Worten: Sie erkennen, wie gut oder wie schlecht
Sie das Studienmaterial aufgenommen haben.
mehrere Zyklen, wobei Sie Ihren Kenntnisstand einschätzen, den Stoff wiederholen
und eine erneute Einschätzung vornehmen, bis Sie sich schließlich für die Prüfung
fit fühlen.
Sicherlich haben Sie schon das Praxisexamen in diesem Buch bemerkt. Verwenden
Sie es als Teil des Lernprozesses. Die auf der CD enthaltene Software zur Testsimu-
lation ExamGear, Training Guide Edition bietet Ihnen eine hervorragende Gelegen-
heit, Ihr Wissen zu testen.
Für das Trockentraining sollten Sie sich ein Ziel setzen. Dabei ist ein Punktestand
sinnvoll, der kontinuierlich bei etwa 90 Prozent liegt.
Im Anhang C finden Sie weitere Erläuterungen zur Software für die Testsimulation.
Die Kenntnis der Examensformate ist ein Schlüssel zur guten Vorbereitung, denn
das Format bestimmt die Anzahl der präsentierten Fragen, den Schwierigkeitsgrad
dieser Fragen und die Zeit, die Ihnen für das Examen zur Verfügung steht.
Die einzelnen Prüfungsformate verwenden viele Fragen des gleichen Typs. Dazu
gehören die herkömmlichen Multiple-Choice-Fragen, Multiple-Rating- (oder szena-
riobasierte) Fragen und simulationsbasierte Fragen. In einigen Prüfungen finden Sie
Fragen, bei denen Objekte per Drag&Drop auf dem Bildschirm zu verschieben, Lis-
ten neu zu ordnen oder Elemente zu kategorisieren sind. Andere Prüfungen enthal-
ten Fragen, die Sie als Ergebnis einer präsentierten Fallstudie beantworten müssen.
Es ist wichtig, die Arten der gestellten Fragen zu verstehen, um sie in der richtigen
Weise beantworten zu können.
11.3 Tipps zur Prüfungsvorbereitung 831
Der Rest dieses Abschnitts erläutert die einzelnen Examensformate und geht dann
die Fragetypen durch. Das Verständnis der Formate und Fragetypen hilft Ihnen, sich
sicherer zu fühlen, wenn Sie die eigentliche Prüfung absolvieren.
11.3.2 Prüfungsformat
Wie bereits erwähnt, gibt es drei grundsätzliche Formate für die MCP-Examen: das
herkömmliche Examen mit festem Format, die adaptive Testmethode und die Fall-
studien. Wie die Bezeichnung vermuten lässt, präsentiert das erste Format einen
feststehenden Satz von Fragen während der Examenssitzung. Das adaptive Format
verwendet dagegen nur eine Teilmenge der Fragen, die während einer bestimmten
Prüfung aus einem größeren Pool herausgezogen werden. Das letzte Format umfasst
Fallstudien, die als Grundlage für die Beantwortung der verschiedenen Fragetypen
dienen.
Festes Format
Ein computerunterstütztes Examen mit festem Format basiert auf einem feststehen-
den Satz von Prüfungsfragen. Die einzelnen Fragen werden während einer Prü-
fungssitzung in zufälliger Reihenfolge präsentiert. Wenn Sie das gleiche Examen
mehrfach absolvieren, erhalten Sie nicht unbedingt jedes Mal dieselben Fragen. Das
hängt damit zusammen, dass die Fragen für ein Examen aus zwei oder drei Formu-
laren stammen. Diese Formulare sind gewöhnlich mit den Buchstaben A, B und C
bezeichnet.
Die endgültigen Formulare einer Prüfung mit festem Format decken zwar den glei-
chen Inhalt ab, bestehen aus der gleichen Anzahl von Fragen und stellen die gleiche
Zeit zur Verfügung; sie unterscheiden sich aber in den Fragen selbst. Allerdings
können die gleichen Fragen auch auf verschiedenen endgültigen Formularen auftau-
chen. Der Anteil der gemeinsam verwendeten Fragen ist im Allgemeinen aber sehr
gering. Viele endgültige Formulare haben überhaupt keine Fragen gemeinsam, bei
älteren Prüfungen sind auf den endgültigen Formularen etwa 10 bis 15 Prozent
gemeinsam verwendete Fragen zu finden.
Bei Prüfungen mit festem Format ist auch das Zeitlimit gleich, in dem die Prüfun-
gen zu absolvieren sind. Die Software ExamGear, Training Guide Edition auf der
Begleit-CD zum Buch enthält Prüfungen des festen Formats.
Schließlich basiert die Punktzahl für eine feste Prüfung auf der Anzahl der richtig
beantworteten Fragen. Für MCP-Prüfungen liegt die erreichbare Punktzahl zwi-
schen 0 und 1000. Die Bestehensgrenze ist für alle endgültigen Formulare einer
bestimmten festen Prüfung gleich.
832 Kapitel 11 Tipps zur Prüfungs- vorbereitung
씰 50 bis 60 Fragen
씰 Die Fragen müssen nicht unbedingt der Reihe nach beantwortet werden und
man hat auch die Möglichkeit, Antworten zu ändern
Adaptives Format
Eine adaptive Prüfung hat die gleiche Erscheinung wie eine feststehende Prüfung,
wobei sich aber die Fragen hinsichtlich des Umfangs und des Auswahlverfahrens
unterscheiden. Auch wenn die Auswertung eines adaptiven Tests recht kompliziert
erscheint – im Verlauf der Prüfung geht es darum, das Niveau der Fertigkeiten und
Fähigkeiten im Umgang mit dem Prüfungsthema zu bestimmen. Diese Einschät-
zung beginnt damit, dass Sie Fragen mit unterschiedlichen Schwierigkeitsgraden
erhalten. Aus Ihren Antworten geht dann hervor, auf welcher Schwierigkeitsstufe
Sie die Fragen zuverlässig beantworten können. Schließlich bestimmt diese Ein-
schätzung, ob die Fähigkeitsebene über oder unter dem Niveau liegt, das für ein
Bestehen der Prüfung erforderlich ist.
Der typische Entwurf für die adaptive Prüfung sieht folgendermaßen aus:
씰 20 bis 25 Fragen
씰 Die Wiederholung von Fragen ist nicht erlaubt; damit gibt es auch keine
Möglichkeit, Antworten zu ändern
11.3 Tipps zur Prüfungsvorbereitung 833
Wie Abbildung 11.1 zeigt, wird der Ablauf einer adaptiven Prüfung durch eine
Reihe statistischer Maße bestimmt. Für Sie ist vor allem die Fähigkeitsbewertung
(Ability) relevant. Zu den statistischen Maßen gehören auch der Standardfehler
(Std. Error of Measurement), die charakteristische Elementkurve (Item Characteris-
tic Curve) und die Testinformationskurve (Test Information).
Abbildung 11.1
Demoprogramm
von Microsoft für
einen adaptiven
Test
Der Standardfehler ist ein Schlüsselfaktor, der bestimmt, wann das Ende der adapti-
ven Prüfung erreicht ist. Er gibt die Größe des Fehlers in der Fähigkeitsbewertung
an. Die charakteristische Elementkurve spiegelt die Wahrscheinlichkeit einer richti-
gen Antwort in Bezug zur Fähigkeit des Prüfungsteilnehmers wider. Die Kurve der
Testinformationen liefert schließlich ein Maß für den Informationsgehalt des Fra-
genkomplexes, den der Teilnehmer beantwortet hat. Dieser Wert ist ebenfalls auf
das Fähigkeitsniveau des Teilnehmers bezogen.
Zu Beginn einer adaptiven Prüfung ist der Standardfehler auf einen Zielwert vorein-
gestellt. Unter diesen Wert muss der Standardfehler im Verlauf der Prüfung fallen,
um die Prüfung abzuschließen. Der Zielwert spiegelt ein bestimmtes Konfidenzin-
tervall im Prozess wider. Die Fähigkeit des Prüfungsteilnehmers wird anfangs auf
den Mittelwert des möglichen Punktestandes gesetzt (500 bei MCP-Prüfungen).
834 Kapitel 11 Tipps zur Prüfungs- vorbereitung
Im Verlauf einer adaptiven Prüfung erhält der Teilnehmer Fragen mit unterschiedli-
chen Schwierigkeitsgraden. Basierend auf dem Muster, das sich aus der Beantwor-
tung der Fragen ergibt, wird die Fähigkeitseinschätzung neu berechnet und gleich-
zeitig die Standardfehlereinschätzung vom anfänglich festgelegten Wert in
Richtung Zielwert angepasst. Wenn der Standardfehler seinen Zielwert erreicht, ist
die Prüfung beendet. Je beständiger Sie die Fragen der gleichen Schwierigkeitsstufe
beantworten, desto schneller fällt der Standardfehler und desto weniger Fragen
müssen Sie letztendlich während der Prüfungssitzung beantworten. Abbildung 11.2
zeigt eine derartige Prüfungssituation.
Abbildung 11.2
Die statistischen
Werte im Verlauf
einer adaptiven
Prüfung
Wie Sie aus den bisherigen Erläuterungen ableiten können, sollte man in einer adap-
tiven Prüfung jede Frage so behandeln, als wäre sie die wichtigste Frage. Der
Bewertungsalgorithmus einer adaptiven Prüfung versucht, ein Muster der Antwor-
ten zu entdecken, das eine bestimmte Ebene der Sachkenntnis mit dem Prüfungsge-
genstand widerspiegelt. Falsche Antworten garantieren fast immer, dass zusätzliche
Fragen zu beantworten sind (sofern Sie natürlich nicht jede Frage falsch beantwor-
ten). Das hängt damit zusammen, dass sich der Bewertungsalgorithmus an Informa-
tionen, die nicht mit dem entstehenden Muster konsistent sind, anpassen muss.
Fallstudienformat
Das Format der Fallstudien erschien erstmals mit der Prüfung 70-100 (Solution
Architectures). Die Fragen bei einer Fallstudie sind keine unabhängigen Einheiten,
wie in den festen und adaptiven Formaten. Stattdessen sind die Fragen an die Fall-
studie – eine längere szenarioartige Beschreibung einer Informationstechnologiesi-
tuation – gebunden. Als Testteilnehmer müssen Sie aus der Fallstudie die Informati-
onen herausziehen, die zum Fragenkomplex der jeweiligen Microsoft-Technologie
gehören. Eine Fallstudie beschreibt eine Situation, die mehr praxisorientiert ist, als
es die Fragen bei anderen Prüfungsformaten sind.
Die Fallstudien werden als »Testlets« präsentiert. Das sind Abschnitte innerhalb der
Prüfung, in der Sie die Fallstudie lesen und dann 10 bis 15 Fragen bezüglich der
Fallstudie beantworten. Wenn Sie diesen Abschnitt beendet haben, kommen Sie zu
einem anderen Testlet mit einer anderen Fallstudie und den damit verbundenen Fra-
gen. Ein Examen kann sich aus bis zu fünf Testlets zusammensetzen. Das Zeitkon-
tingent in derartigen Prüfungen ist größer, weil Sie die Fälle durchlesen und analy-
sieren müssen. Insgesamt stehen Ihnen für die Prüfung drei Stunden zur Verfügung
11.3 Tipps zur Prüfungsvorbereitung 835
– und Sie werden diese Zeit komplett brauchen. Während Sie in einem Testlet arbei-
ten, sind die Fallstudien jederzeit über eine Verknüpfung verfügbar. Nachdem Sie
jedoch ein Testlet verlassen haben, können Sie nicht mehr zu ihm zurückkehren.
Abbildung 11.3
11.3.3 Fragetypen
In MCP-Prüfungen kann eine Vielzahl verschiedener Fragetypen erscheinen. Bei-
spiele für diese Typen finden Sie in diesem Buch und in der Software ExamGear,
Training Guide Edition. Wir haben versucht, alle bei Manuskripterstellung verfüg-
baren Fragetypen abzudecken. Die meisten Fragetypen, die die folgenden
Abschnitte behandeln, können in jedem der drei Prüfungsformate erscheinen.
Die typische MCP-Prüfungsfrage basiert auf dem Konzept, Fertigkeiten und Fähig-
keiten für die Realisierung einer Aufgabe zu messen. Demzufolge präsentieren die
meisten Fragen eine Situation, die eine Rolle (beispielsweise ein Systemadministra-
tor oder ein Techniker), eine Technologieumgebung (100 Computer, die unter
Windows 98 in einem Windows-2000-Server-Netzwerk laufen) und ein zu lösendes
Problem (der Benutzer kann eine Verbindung zu Diensten im LAN, nicht aber zum
Intranet herstellen) umfassen. Die Antworten nennen Aktionen, mit denen Sie die
Probleme lösen können, oder Sie müssen Setups bzw. Umgebungen erstellen, die
von Beginn an korrekt funktionieren. Berücksichtigen Sie diese Hinweise, wenn Sie
sich die Prüfungsfragen durchlesen. Gelegentlich treffen Sie auf einige Fragen, die
lediglich die Wiedergabe von Fakten verlangen – das ist aber die Ausnahme.
Multiple-Choice-Fragen
Trotz der Verschiedenartigkeit der Fragetypen, die jetzt in verschiedenen MCP-
Examen erscheinen, bleiben die Multiple-Choice-Fragen die Grundbausteine der
Prüfungen. Die Multiple-Choice-Fragen gibt es in drei Varianten:
Multiple-Rating-Fragen
Diese Fragen bezeichnet man auch als Szenariofragen. Ähnlich den Multiple-
Choice-Fragen bieten sie erweiterte Beschreibungen der Computerumgebung und
ein Problem, das zu lösen ist. Es werden erforderliche und optionale Ergebnisse der
Problemlösung sowie eine Lösung spezifiziert. Dann sollen Sie beurteilen, ob die in
der Lösung genannten Aktionen zum Teil oder insgesamt zu den erforderlichen und
optionalen Ergebnissen führen. In der Regel gibt es nur eine korrekte Antwort.
Simulationsfragen
Simulationsbasierte Fragen reproduzieren das Erscheinungsbild wesentlicher Teile
von Microsoft-Produkten für einen Test. Die in MCP-Prüfungen verwendete Simu-
lationssoftware ist so konzipiert, dass sie dem tatsächlichen Produkt soweit wie
möglich entspricht. Zur Beantwortung von Simulationsfragen in einer MCP-Prü-
11.3 Tipps zur Prüfungsvorbereitung 837
fung gehört demnach auch, dass Sie eine oder mehrere Aufgaben lösen, die den
Abläufen im eigentlichen Produkt entsprechen.
Abbildung 11.4
Im nächsten Schritt starten Sie den Simulator über die vorhandene Schaltfläche.
Nachdem Sie auf die Schaltfläche SHOW SIMULATION geklickt haben, erscheint ein
Merkmal des Produkts, wie es das Dialogfeld in Abbildung 11.5 zeigt. Auf den
Computern des Testcenters verdeckt die Simulationsanwendung teilweise den Fra-
getext. Positionieren Sie ruhig den Simulator neu und wechseln Sie zwischen den
Bildschirmen für den Fragetext und dem Simulator mit Tastenkombinationen, mit
der Maus oder indem Sie einfach erneut auf die Startschaltfläche des Simulators kli-
cken.
838 Kapitel 11 Tipps zur Prüfungs- vorbereitung
Abbildung 11.5
Die gestartete
Simulationsanwen-
dung
Wichtig ist, dass Ihre Antwort auf die Simulationsfrage erst dann aufgezeichnet
wird, wenn Sie zur nächsten Prüfungsfrage übergehen. Damit erhalten Sie die Mög-
lichkeit, die Simulationsanwendung zu schließen und für dieselbe Frage erneut
(über die Startschaltfläche) zu öffnen, ohne dass Sie eine Teilantwort verlieren, die
Sie bereits gegeben haben.
Im dritten Schritt verwenden Sie den Simulator wie das eigentliche Produkt, um das
Problem zu lösen oder die definierten Aufgaben durchzuführen. Auch hier ist die
Funktionalität der Simulationssoftware – innerhalb eines sinnvollen Bereichs – so
ausgelegt wie beim eigentlichen Produkt. Erwarten Sie aber nicht, dass der Simula-
tor ein perfektes Verhalten oder ein identisches Erscheinungsbild des Produkts
reproduziert.
Abbildung 11.6
Die Lösung zum Simulationsproblem, die Abbildung 11.6 zeigt, illustriert perfekt
beide Punkte. Wie aus dem Frageszenario (siehe dazu Abbildung 11.4) ersichtlich
ist, sollten Sie einem neuen Benutzer, FridaE, passende Berechtigungen zuweisen.
Darüber hinaus sollten Sie keine weiteren Änderungen an den Berechtigungen vor-
nehmen. Wenn Sie also die Berechtigungen des Administrators modifizieren oder
entfernen, zählt das in einer MCP-Prüfung als falsch.
Hot-Area-Fragen
Hot-Area-Fragen verlangen, dass Sie auf eine Grafik oder ein Diagramm klicken,
um eine bestimmte Aufgabe zu realisieren. Die Fragestellung unterscheidet sich
kaum von einer normalen Frage, hier aber klicken Sie kein Optionsfeld oder Kon-
trollkästchen neben einer Frage an, sondern klicken auf das relevante Element in
einem Screenshot oder einer Zeichnung. Abbildung 11.7 zeigt ein Beispiel für ein
derartiges Element.
Drag&Drop-Fragen
Microsoft verwendet in Prüfungen zwei verschiedene Arten von Drag&Drop-Fra-
gen. Die erste ist eine Select & Place-Frage (Auswählen und Platzieren), die andere
eine Drop&Connect-Frage (Ablegen und Verbinden). Die folgenden Abschnitte
gehen auf beide Typen ein.
Select&Place
Fragen dieses Typs erfordern in der Regel, dass Sie Beschriftungen auf ein Bild
oder eine Zeichnung ziehen und dort ablegen – zum Beispiel, um einen Teil eines
Netzwerks zu kennzeichnen. Abbildung 11.8 zeigt den Frageteil eines
Select&Place-Elements.
840 Kapitel 11 Tipps zur Prüfungs- vorbereitung
Abbildung 11.7
Abbildung 11.8
Eine Select&Place-
Frage
Nachdem Sie auf SELECT AND PLACE geklickt haben, erscheint das in Abbildung
11.9 gezeigte Fenster. Es enthält die eigentliche Zeichnung, in der Sie die Kästchen
mit den verschiedenen Serverrollen auswählen und auf die bezeichneten Felder der
betreffenden Computer ziehen.
Drop&Connect
Eine andere Version der Drag&Drop-Fragen sind die Drop&Connect-Fragen. Hier
erstellen Sie Felder mit Beschriftungen und erzeugen verschiedenartige Verbin-
dungslinien, mit denen Sie die Beziehungen zwischen den Feldern herstellen.
11.3 Tipps zur Prüfungsvorbereitung 841
Abbildung 11.9
Praktisch erzeugen Sie ein Modell oder ein Diagramm, um die Frage zu beantwor-
ten. Beispiele dafür sind ein Netzwerkdiagramm oder ein Datenmodell für ein
Datenbanksystem. Abbildung 11.10 zeigt das Konzept einer Drop&Connect-Frage.
Abbildung 11.10
Eine Drop&Con-
nect-Frage
842 Kapitel 11 Tipps zur Prüfungs- vorbereitung
Abbildung 11.11
Strukturfragen
Bei Strukturfragen müssen Sie in Hierarchien und Kategorien denken. Derartige
Fragen fordern Sie dazu auf, Elemente aus einer Liste in Kategorien einzuordnen,
die als Knoten in einer Baumstruktur erscheinen. Zum Beispiel müssen Sie Bezie-
hungen zwischen übergeordneten und untergeordneten Elementen in Prozessen oder
die Struktur der Schlüssel in einer Datenbank identifizieren. Manchmal ist auch die
Reihenfolge innerhalb der Kategorien anzugeben – wie bei einer Frage mit geordne-
ter Liste. Abbildung 11.12 zeigt eine typische Strukturfrage.
Wie Sie sehen, verwendet Microsoft Fragetypen, die über das einfache Abrufen von
gelernten Fakten hinausgehen. Bei diesen Fragen müssen Sie wissen, wie Sie Auf-
gaben realisieren, und Sie müssen Konzepte und Beziehungen verstehen. Richten
Sie Ihre Prüfungsvorbereitungen vor allem auf diese Fragen aus und nicht nur auf
die einfachen Fragen, die Fakten abrufen.
11.3 Tipps zur Prüfungsvorbereitung 843
Abbildung 11.12
Eine Strukturfrage
11.3.4 Zusammenfassung
Die folgenden Abschnitte bieten eine Reihe von Tipps, die Ihnen helfen sollen, die
verschiedenen Arten von MCP-Prüfungen zu bestehen.
씰 Machen Sie sich mit dem Produkt vertraut. Praktische Erfahrung ist für jedes
MCP-Examen einer der Schlüssel zum Erfolg. Wiederholen Sie die Übungen
und schrittweisen Anleitungen im Buch.
씰 Machen Sie sich mit dem aktuellen Führer zur Prüfungsvorbereitung auf der
MCP-Website von Microsoft (www.microsoft.com/mcp/examinfo/exams.htm)
vertraut. Die Dokumentation, die Microsoft über das Web verfügbar macht,
nennt auch die Fähigkeiten, die jede Prüfung testen soll.
씰 Merken Sie sich grundsätzliche technische Details, aber denken Sie daran,
dass MCP-Prüfungen im Allgemeinen mehr auf die Problemlösung ausge-
richtet sind. Im Vordergrund steht anwendungsbereites Wissen und nicht das
Wiedergeben von auswendig gelernten Fakten.
씰 Nutzen Sie alle verfügbaren Praxistests. Absolvieren Sie den zum Buch gehö-
renden Test und die Tests, die Sie mit dem ExamGear auf der CD-ROM
erstellen können. Als Ergänzung zum Material dieses Buches sollten Sie auch
versuchen, die frei verfügbaren Praxistests auf der MCP-Website von Micro-
soft zu praktizieren.
844 Kapitel 11 Tipps zur Prüfungs- vorbereitung
씰 Sehen Sie sich auf der Website von Microsoft nach Beispielen und Demonst-
rationselementen um. Diese Beispiele machen Sie mit neuen Testverfahren
bekannt, bevor sie Ihnen in MCP-Prüfungen begegnen.
Während der Prüfungssitzung
Die folgende Übersicht bringt bewährte Tipps, die Sie während der MCP-Prüfung
beherzigen sollten:
씰 Atmen Sie tief durch und entspannen Sie sich, wenn Sie eine Prüfungssitzung
beginnen. Es ist sehr wichtig, dass Sie den Druck steuern, den Sie (naturge-
mäß) fühlen, wenn Sie Prüfungen ablegen.
씰 Sie erhalten Notizzettel. Nehmen Sie sich einen Moment Zeit, um alle sachli-
chen Informationen und technischen Details zu notieren, die Sie noch in
Ihrem Kurzzeitgedächtnis haben.
씰 Lesen Sie sorgfältig alle Informations- und Anweisungsbildschirme. Diese
Anzeigen geben Ihnen Informationen, die für die von Ihnen abgelegte Prü-
fung relevant sind.
씰 Nehmen Sie die Vertraulichkeitsvereinbarung und die Vorprüfung als Teil
des Prüfungsprozesses an. Füllen Sie die Formulare genau aus und fahren Sie
dann zügig fort.
씰 Lesen Sie die Prüfungsfragen genau. Lesen Sie jede Frage erneut, um alle
relevanten Details zu erfassen.
씰 Beantworten Sie die Fragen in der Reihenfolge, in der sie präsentiert werden.
Herumspringen stärkt nicht Ihr Selbstvertrauen – die Zeit läuft!
씰 Hetzen Sie nicht, halten Sie sich aber auch nicht zu lange bei schwierigen
Fragen auf. Die Fragen variieren im Schwierigkeitsgrad. Lassen Sie sich
nicht durch eine besonders schwere oder wortreiche Frage aus der Fassung
bringen.
Prüfungen im festen Format
Aufbauend auf diesen grundlegenden Vorbereitungen und Teilnahmehinweisen
müssen Sie auch die Herausforderungen betrachten, die sich durch die unterschied-
liche Prüfungsgestaltung ergeben. Da eine Prüfung mit festem Format aus einer
festgelegten und begrenzten Menge von Fragen besteht, sollten Sie die folgenden
Tipps in Ihrer Strategie für das Ablegen einer Prüfung mit festem Format berück-
sichtigen:
씰 Notieren Sie sich die verfügbare Zeit und die Anzahl der Fragen der zu absol-
vierenden Prüfung. Überschlagen Sie grob, wie viele Minuten Sie mit jeder
Frage zubringen können und orientieren Sie daran Ihr Tempo durch die Prü-
fung.
11.3 Tipps zur Prüfungsvorbereitung 845
씰 Nutzen Sie die Möglichkeit, dass Sie zu Fragen zurückkehren können, die Sie
übersprungen haben oder die Sie noch einmal überprüfen wollen. Notieren
Sie sich die Fragen, die Sie nicht schlüssig beantworten können, auf dem
Notizzettel und schreiben Sie sich auch den relativen Schwierigkeitsgrad
jeder Frage auf. Am Ende der Prüfung können Sie zu den schwierigen Fragen
zurückkehren.
씰 Wenn Sie alle Fragen beantwortet haben und Ihnen am Ende der Prüfungssit-
zung noch Zeit bleibt (und Sie nicht zu abgespannt sind!), überprüfen Sie Ihre
Antworten. Achten Sie besonders auf Fragen, die viele Details enthalten oder
die Grafiken erfordern.
씰 Hinsichtlich der Änderung von Antworten gilt die Faustregel: besser nicht!
Wenn Sie die Frage sorgfältig und vollständig gelesen und die Antwort mit
sicherem Gefühl gegeben haben, dann sollten Sie auch bei Ihrer Meinung
bleiben. Stellen Sie sich nicht selbst infrage. Wenn sich bei der Überprüfung
deutlich zeigt, dass etwas falsch ist, können Sie die Antwort natürlich ändern.
Falls Sie aber generell unsicher sind, bleiben Sie bei Ihrer ersten Entschei-
dung.
Adaptive Prüfungen
Wenn Sie an einer adaptiven Prüfung teilnehmen, sollten Sie folgende Zusatztipps
beherzigen:
씰 Lesen und beantworten Sie jede Frage mit großer Sorgfalt. Wenn Sie eine
Frage lesen, identifizieren Sie jedes relevante Detail, jede Anforderung oder
Aufgabe, die Sie durchführen müssen, und prüfen Sie doppelt und dreifach
Ihre Antwort, um sicher zu sein, dass Sie sich allen Einzelheiten angenom-
men haben.
씰 Wenn Sie eine Frage nicht beantworten können, schränken Sie die Anzahl der
möglichen Antworten schrittweise ein und nehmen dann Ihre beste Schät-
zung. Dumme Fehler bedeuten unausweichlich, dass Sie zusätzliche Fragen
erhalten.
씰 Zurückliegende Fragen können Sie sich nicht erneut ansehen und die Ant-
worten ändern. Es gibt kein Zurück, sobald Sie eine Frage verlassen haben –
ob Sie die Frage nun beantwortet haben oder nicht. Überspringen Sie keine
Frage; wenn Sie es dennoch tun, zählt es als Fehler.
Prüfungen mit Fallstudien
Dieses neue Prüfungsformat verlangt nach speziellen Studien- und Absolvierungs-
strategien. Denken Sie bei derartigen Examen daran, dass Sie mehr Zeit haben als in
einer herkömmlichen Prüfung. Nehmen Sie sich die Zeit und lesen Sie die Fallstu-
die gründlich durch. Verwenden Sie die Notizzettel oder das jeweils bereitgestellte
846 Kapitel 11 Tipps zur Prüfungs- vorbereitung
Medium, um sich Notizen zu machen, Prozesse zu skizzieren und aktiv die wichti-
gen Informationen herauszusuchen. Arbeiten Sie jedes Testlet wie eine unabhän-
gige Prüfung durch. Denken Sie daran, dass Sie nicht zurückgehen können, nach-
dem Sie ein Testlet verlassen haben. Beziehen Sie sich auf die Fallstudie so oft wie
nötig, aber missbrauchen Sie diese Möglichkeit nicht als Ersatz dafür, die Fragestel-
lung bereits zu Anfang sorgfältig durchzulesen und sich Notizen zu machen.
11.4 Schlussbemerkungen
Schließlich hat eine Reihe von Änderungen im MCP-Programm darauf Einfluss,
wie oft man eine Prüfung wiederholen kann und welches Prüfungsformat man in
diesen Fällen zu erwarten hat.
Diese Änderungen bedeuten, dass die »gewaltsamen« Strategien für das Absolvie-
ren von MCP-Prüfungen bald ihre Daseinsberechtigung verlieren werden. Wenn Sie
also eine Prüfung nicht beim ersten oder zweiten Versuch bestehen, ist es wahr-
scheinlich, dass sich das Format der Prüfung bis zu Ihrem nächsten Versuch
beträchtlich geändert hat. Microsoft könnte die Prüfung von einem festen Format zu
einem adaptiven aktualisiert oder eine andere Gruppe von Fragen oder Fragetypen
festgelegt haben.
11.4 Schlussbemerkungen 847
Die Absicht von Microsoft besteht nicht darin, die Prüfungen mit unerwünschten
Änderungen schwieriger zu gestalten, sondern einen gültigen Maßstab für das erfor-
derliche Wissen und die technischen Fertigkeiten eines MCP zu schaffen und auf-
rechtzuerhalten. Die Vorbereitungen für eine MCP-Prüfung betreffen nicht nur den
Lerngegenstand an sich, sondern auch die Planung für den Testablauf. Mit den
jüngsten Änderungen gilt dies mehr als sonst.
Musterprüfung
12
Diese Prüfung besteht aus 65 Fragen, die das Material abdecken, das Sie in den
Kapiteln durchgearbeitet haben. Diese Fragen sind repräsentativ für die Art von
Fragen, die Sie in der eigentlichen Prüfung erwarten können. Es ist dringend zu
empfehlen, dass Sie diese Prüfung so bearbeiten, als ob sie wie eine echte Prüfung
im Prüfungszentrum stattfinden würde. Setzen Sie sich Zeitgrenzen, lesen Sie sorg-
fältig und beantworten Sie alle Fragen nach bestem Wissen.
Bei den meisten Fragen werden nicht nur Fakten abgefragt. Sie erfordern Denkar-
beit auf Ihrer Seite, damit Sie die beste Antwort finden. Viele Fragen sind nicht
ganz eindeutig und müssen sorgfältig und gründlich durchgelesen werden, bevor
Sie versuchen, sie zu beantworten. Arbeiten Sie die Prüfung durch. Wenn Sie bei
einer Frage daneben liegen, gehen Sie das zugehörige Material noch einmal durch.
12.1 Prüfungsfragen
1. Sabine arbeitet derzeit bei der Schreibwerk GmbH an der Konfiguration von
DNS für die Kompatibilität mit Windows 2000. Auf dem Server läuft Win-
dows 2000 Advanced Server, und Sabine will diesen Server für die Erstinstal-
lation der Active Directory-Infrastruktur verwenden. Nach der Konfiguration
des Servers versucht sie, den ersten Domänencontroller zu installieren. Wäh-
rend der Installation wird sie gefragt, ob ein DNS-Server installiert werden
soll. Sie entscheidet sich dagegen. Nach dem Neustart des Systems erhält sie
Fehlermeldungen, dass der Netlogon-Dienst nicht gestartet werden kann.
Was sollte sie tun, um dieses Problem zu beheben?
A. Einen DNS-Server auf dem Domänencontroller installieren.
B. Die TCP/IP-Eigenschaften konfigurieren.
C. Mit DCPROMO den Server herabstufen und dann mit DCPROMO wieder
heraufstufen und dieses Mal die Installation des DNS-Servers akzeptieren.
850 Kapitel 12 Musterprüfung
D. Es ist nichts zu machen, bis die Zone als Active Directory-integriert konfi-
guriert ist.
A. Sie muss sich die Aktualisierung des vorher benutzten Programms vom
Drittanbieter besorgen.
B. Sie muss im Dialogfeld VERSCHIEBEN als neuen Pfad den vollständig an-
gezeigten Namen eingeben.
C. Sie muss das Programm MOVETREE zum Verschieben des Benutzers
verwenden.
D. Sie muss den Benutzer löschen und in der anderen Domäne neu erstellen.
6. Jenny hat soeben einen neuen Standort erstellt und die Subnetze zu dem
Standort im Netzwerk von Wackelzahn-Spielwaren hinzugefügt. Die Benut-
zer beschweren sich, dass der Anmeldevorgang nun länger dauert als normal.
Was soll Jenny tun, um das Problem zu beheben?
A. Sie muss dem neuen Standort einen DNS-Server hinzufügen.
B. Sie muss dem neuen Standort einen DC hinzufügen.
C. Sie muss dem Standort einen Anmeldungs-Proxy hinzufügen.
D. Sie muss gar nichts tun. Dies ist eine Folge der Verwendung von Standor-
ten.
7. Sie haben ein Problem mit einem Computer im Netzwerk, der sich nicht beim
DNS-Server registrieren lässt. Das System ist Bestandteil einer Organisati-
onseinheit, und Sie arbeiten mit einem Benutzer zusammen, der Administra-
torrechte für die Organisationseinheit erhalten hat, um das Problem zu lösen.
Wenn der Computer beim Start versucht, seinen Namen beim DNS-Server re-
gistrieren zu lassen, erhalten Sie einen Berechtigungsfehler im Ereignisproto-
koll auf dem DNS-Server und einen Fehler in der Liste der Ereignisanzeige
auf dem System. Wenn Sie sich jedoch anmelden und das Programm IPCON-
FIG zum Registrieren des Namens verwenden, funktioniert es. Was sollten
Sie als Nächstes prüfen?
A. Sie sollten prüfen, ob das System ein DHCP-Client ist.
B. Sie sollten die Berechtigungen für das Active Directory-Objekt prüfen.
C. Sie sollten prüfen, ob der DNS-Server für das Akzeptieren von Aktualisie-
rungen konfiguriert ist.
D. Sie sollten prüfen, ob das Computerkonto in Active Directory existiert.
8. Sie sind Administrator des Netzwerks der Schreibwerk GmbH. Sie haben
eben den Austausch eines Systems abgeschlossen, das wegen eines Festplat-
tenfehlers abgestürzt war. Sie haben das System ausgewechselt und mit
12.1 Prüfungsfragen 853
10. Sie müssen den Server offline nehmen, der momentan Schema- und Domä-
nennamen-Betriebsmaster ist. Das System wird längere Zeit offline sein, und
Sie möchten die Betriebsmasterfunktionen auf einen anderen Computer über-
tragen. Welche der folgenden Programme werden Sie dazu benötigen? (Wäh-
len Sie alle zutreffenden aus.)
A. ACTIVE DIRECTORY-BENUTZER UND -COMPUTER
B. ACTIVE DIRECTORY-STANDORTE UND -DIENSTE
854 Kapitel 12 Musterprüfung
13. Sie sind Administrator in einem Netzwerk, und Ihr Vorgesetzter hat Sie gebe-
ten, einen Computer von der Domäne Engineering im Standort West7 zu ei-
nem Server für den globalen Katalog heraufzustufen. Was müssen Sie tun?
A. Die NTDS-Einstellungen für einen geeigneten Controller bearbeiten.
B. Die Gruppenrichtlinien für die Organisationseinheit Engineering bearbei-
ten und diesem einen Computer nur die Berechtigung Anwenden gewäh-
ren.
C. Dies muss in der Registrierung erledigt werden.
15. Ihre Firma ist an fünf Standorten in ganz Deutschland vertreten. Es gibt eine
Zentrale, in der die IT-Abteilung angesiedelt ist, und vier Zweigstellen, die
sich um Verkauf und Lieferung kümmern. Die Firma möchte die zentrale
Kontrolle über die Ressourcen und Benutzer in der Zentrale behalten, aber in
jeder Zweigstelle soll es Benutzer geben, die Kontrolle über die Kennwortän-
derungen haben und sich um Drucker- und Freigabeprobleme kümmern sol-
len. Was ist die beste Möglichkeit, dies zu implementieren?
A. Erstellung einer Stammdomäne in der Zentrale mit einer untergeordneten
Domäne für jede Zweigstelle.
856 Kapitel 12 Musterprüfung
16. Während einer kürzlich durchgeführten Bereinigung alter Konten hat ein jun-
ger Administrator versehentlich eine ganze Organisationseinheit gelöscht,
welche die Konten für Benutzer enthielt, die für längere Zeit außer Haus sind,
aber zurückkommen. Sie wissen, dass einige der Benutzer EFS verwendet ha-
ben, und andere über sehr spezielle Berechtigungen verfügt haben, sodass die
Neuerstellung der Konten lange dauern würde und u.U. nicht praktikabel ist.
Sie möchten die Konten wieder herstellen. Was sollten Sie tun? (Wählen Sie
zwei.)
A. Eine Wiederherstellung aus einer Systemsicherung durchführen.
20. Sie sind Administrator im Netzwerk der Schreibwerk GmbH. Sie sind für ei-
nen Bereich des physischen Netzwerks verantwortlich, das 10 Standorte um-
fasst. Die Benutzer in einem der Standorte beschweren sich, dass der
Anmeldevorgang viel länger dauert als normal. Es gibt zwei Domänencont-
roller in diesem Standort: einen für die Stammdomäne, die in erster Linie für
DNS und den globalen Katalog verwendet wird, und einen für die Domäne
Human Resources. Was sollten Sie als Nächstes tun, um das Problem einzu-
kreisen?
A. Mit dem Systemmonitor die Domänencontroller überprüfen.
B. Mit dem Netzwerkmonitor nachsehen, wie viel Datenverkehr auf dem
Netzwerk herrscht.
C. Mit dem Befehlszeilenprogramm NBTSTAT den Serverstatus überprüfen.
D. Die beiden Server neu aufbauen.
21. Sie versuchen, im Rahmen Ihrer Einführung von Windows 2000 den ersten
Domänencontroller in der ersten Domäne zu installieren. Derzeit gibt es eine
Windows-NT-4.0-Domäne namens ScribercoNT. Im Laufe der Jahre hat die-
se Domäne jedoch etliche Administratoren über sich ergehen lassen, und Sie
beschließen, jetzt reinen Tisch zu machen und mit Ihrer Organisation von 100
Leuten von vorne anzufangen.
Sie starten das Programm DCPROMO und beginnen mit der Installation der
Domäne, nachdem Sie Scriberco.lokal als Domänennamen eingegeben ha-
ben. Das System pausiert längere Zeit und kommt dann mit einer Warnung,
dass der kompatible Domänenname Scriberco0 ist, weil eine Domäne Scri-
berco bereits im Netzwerk existiert. Was sollten Sie tun, um dies zu korrigie-
ren?
A. Den Namen der neuen Domäne ändern.
B. Die Protokolle ändern, die Sie in der NT-4.0-Domäne installiert haben,
damit sie nicht TCP/IP benutzt.
C. Die Domänencontroller für die Domäne Scriberco suchen und offline neh-
men.
B. CPU
C. Physische Festplatte
D. Netzwerksegment
E. Task-Manager
24. Sie versuchen, im Snap-In ACTIVE DIRECTORY-STANDORTE UND -DIENSTE
einen Standort zu erstellen. Der zu erstellende Standort soll Minn heißen.
Welche Information außer dem Namen benötigen Sie noch?
A. Sie benötigen die Standortverknüpfung, zu der er gehören soll.
B. Sie benötigen die Informationen über das erste Subnetz, das zu diesem
Standort gehören soll.
C. Sie benötigen den Namen eines Domänencontrollers, der zu diesem
Standort gehören soll.
D. Sie brauchen außer dem Namen nichts zu wissen.
25. Sie sollen Ihr Netzwerk in den nächsten Monaten auf Windows 2000 aktuali-
sieren. Sie studieren die Anforderungen an den DNS-Server, der für die Win-
dows-2000-Domäne benutzt werden soll, weil Sie immer noch mehrere
Server mit UNIX haben. Sie möchten wissen, ob Sie die DNS-Server auf das
System Windows 2000 umstellen müssen, oder ob diese weiterhin unter
UNIX einsetzbar sind. Welche sind die Anforderungen an DNS, damit es mit
Active Directory funktioniert?
A. Der DNS-Server muss SRV-Datensätze unterstützen.
B. Der DNS-Server muss inkrementelle Übertragungen unterstützen.
860 Kapitel 12 Musterprüfung
D. 260
29. Es ist Donnerstag, und einer der Mitgliedsserver in Ihrem Netzwerk ist abge-
stürzt. Sie müssen den Server von der Sicherung wiederherstellen. Sie haben
die Laufwerke ersetzt und Windows 2000 Advanced Server neu geladen. Sie
nehmen den Server in die Domäne auf und sind nun so weit, von Band wieder
herzustellen. Es gibt eine normale Sicherung von Sonntagmorgen und diffe-
renzielle Sicherungen von Montag, Dienstag und Mittwochnacht. Welche
sollten Sie laden? (Wählen Sie zwei.)
A. Sie sollten die normale Sicherung laden.
B. Sie sollten die differenzielle Sicherung vom Montag laden.
C. Sie sollten die differenzielle Sicherung vom Dienstag laden.
30. Ihre Firma hat derzeit DNS-Server im Einsatz, die mit den in der gesamten
Organisation verwendeten UNIX-Servern und -Workstations verwendet wer-
den. Sie werden in Kürze Windows 2000 mit Active Directory zum Netzwerk
hinzufügen, und Sie müssen neben der Möglichkeit, mit Windows 2000 zu
arbeiten, eine Lösung für die derzeitigen UNIX-Server und -Workstations an-
bieten. Sie wissen bereits, dass die verwendete BIND-Version keine SRV-
Datensätze unterstützt und mit Active Directory nicht funktioniert. Was ist
die einfachste Möglichkeit, dieses Problem zu lösen?
A. Windows-2000-Server als DNS-Server in Ihrem Unternehmen einsetzen.
B. Die BIND-Version aktualisieren, damit sie in Active Directory benutzt
werden kann.
862 Kapitel 12 Musterprüfung
C. Eine sekundäre Zonendatei für die existierende Zone auf den Windows-
2000-Servern erstellen. Die anderen Windows-2000-DNS-Server sollen
diese als Masterserver benutzen.
D. Den Windows-2000-DNS-Server so konfigurieren, dass er den UNIX-
Server als Weiterleiter verwendet.
31. Sie stellen fest, dass Sie häufig (etwa ein- bis zweimal die Woche) neue Be-
nutzer für die Verkaufsabteilung erstellen müssen. Sie möchten die Erstel-
lung der Konten so einfach wie möglich machen. Was sollten Sie tun?
A. Eine Textdatei mit allen Einstellungen für den Verkauf erstellen und, nach
Bearbeitung für jedes neue Konto, in ACTIVE DIRECTORY-BENUTZER UND
-COMPUTER importieren.
B. Ein Pseudokonto für den Verkauf erstellen, das deaktiviert ist. Dieses
Konto kopieren, wenn ein neuer Benutzer erstellt werden soll.
C. Mittels Gruppenrichtlinien die Kontoinformationen für die gesamte Orga-
nisationseinheit festlegen und dann nur elementare Benutzer erstellen.
C. Sie müssen die Funktion auf dem ehemaligen Schema-Master an sich zie-
hen und dann das Laufwerk auf dem System formatieren, das die Funktion
entzogen hatte.
D. Sie müssen das gesamte Active Directory neu installieren.
34. Sie haben soeben den ersten Domänencontroller in Ihrer Active Directory-
Gesamtstruktur installiert. Nach dem Neustart des Systems überprüfen Sie,
ob die Active Directory-Tools im Menü VERWALTUNG angezeigt werden, und
ob Ihr Computer im Container DOMÄNENCONTROLLER von Active Directory
zu finden ist.
Sie öffnen die DNS-Konsole und erweitern Ihren Server, der in der Liste auf-
geführt ist. Sie sehen den Namen Ihrer Forward-Lookupzone und erweitern
diese. Es gibt zwei Einträge, aber die Active Directory-Einträge sind nicht
aufgeführt. Was sollten Sie tun? (Wählen Sie alle zutreffenden.)
A. Mit dem Befehl IPCONFIG /REGISTERDNS Ihren Computer registrieren.
B. Den DNS-Serverdienst stoppen und wieder starten.
씰 Sie weisen den Computern in der Domäne Microsoft Word 2000 zu.
RobS, ein Mitglied der Gruppe Domänen-Admins, meldet sich nach der In-
stallation von Windows 2000 Professional auf einem nagelneuen Computer
bei der Domäne an. Welche Softwarekonfiguration findet als Ergebnis der
GPO-Einstellungen statt? (Wählen Sie alle korrekten Antworten.)
A. Adobe Acrobat wird auf dem Computer installiert.
B. Microsoft Office 2000 wird auf dem Computer installiert.
C. Microsoft Word 2000 wird auf dem Computer installiert.
씰 Sie weisen den Computern in der Domäne Microsoft Word 2000 zu.
RudiM, ein Mitglied der Gruppe Entwickler, meldet sich nach der Installation
von Windows 2000 Professional auf einem nagelneuen Computer bei der Do-
mäne an. Welche Softwarekonfiguration findet als Ergebnis der GPO-Ein-
stellungen statt? (Wählen Sie alle korrekten Antworten.)
A. Adobe Acrobat wird auf dem Computer installiert.
B. Microsoft Office 2000 wird auf dem Computer installiert.
C. Microsoft Word 2000 wird auf dem Computer installiert.
43. Sie ändern die Einstellungen des Ordners OFFLINE FÜR BENUTZER in einem
vorhandenen GPO, das der Sicherheitsgruppe VerkaufsPersonal zugeordnet
ist. NataschaR, ein Mitglied der Sicherheitsgruppe VerkaufsPersonal, ist be-
reits auf einem Windows-2000-Professional-Computer bei der Domäne ange-
meldet. Wann werden die aktualisierten Einstellungen für Offline-Ordner auf
ihrem Computer wirksam?
A. Wenn sie sich zum nächsten Mal bei der Domäne anmeldet.
B. Innerhalb von 5 Minuten.
45. Sie sind Administrator der Domäne faxnix.com. Sie haben folgende Active
Directory-Container erstellt:
씰 Eine Organisationseinheit Verkauf
G. Domänencontroller
12.1 Prüfungsfragen 869
46. Sie haben in der Domäne schreibwerk.com eine Gruppenrichtlinie auf Domä-
nenebene mit folgenden Einstellungen konfiguriert:
씰 Sie haben die Windows-Installer-Einstellung IMMER MIT ERHÖHTEN
RECHTEN INSTALLIEREN für die Computerkonfiguration in der Domäne
aktiviert.
씰 Sie haben die Tools zur Bearbeitung der Registrierung für Benutzer in der
Domäne deaktiviert.
씰 Sie haben die Erstellung neuer Aufgaben im Taskplaner für Benutzer in
der Domäne deaktiviert.
씰 Sie haben die Windows Installer-Einstellung IMMER MIT ERHÖHTEN
RECHTEN INSTALLIEREN für die Benutzerkonfiguration in der Domäne
deaktiviert.
씰 Sie haben DRAG&DROP beim Taskplaner für Computer in der Domäne
aktiviert.
NataschaR meldet sich auf einem Windows-2000-Professional-Computer in
der Domäne an. Welche Einstellungen werden als Ergebnis Ihrer Gruppen-
richtlinienkonfiguration für sie wirksam? (Wählen Sie alle zutreffenden aus.)
A. Windows Installer installiert Anwendungen mit erhöhten Privilegien.
49. Welche der folgenden Tags sind im Abschnitt APPLICATION einer ZAP-Datei
obligatorisch? (Wählen Sie zwei korrekte Antworten aus.)
A. DisplayVersion
B. ApplicationName
C. FriendlyName
D. Publisher
E. URL
F. SetupCommand
50. In schreibwerk.com wurden in großem Umfang Gruppenrichtlinien zur Ver-
öffentlichung und Zuweisung von Software an Benutzer und Computer im
gesamten Unternehmen eingesetzt. In letzter Zeit haben sich Benutzer be-
schwert, dass die Liste von Anwendungen in der Systemsteuerung unter Soft-
ware so lang ist, dass sie beim Installieren von Anwendungen das gewünschte
Softwarepaket nicht mehr ohne weiteres finden. Wie können Sie den Benut-
zern das Auffinden der zu installierenden Anwendungen erleichtern?
A. Anwendungen bestimmten Benutzern zuweisen.
B. Anwendungen für bestimmte Benutzer veröffentlichen.
12.1 Prüfungsfragen 871
C. In einem Ordner gleichen Namens wie das GPO in der Freigabe SYSVOL
jedes Domänencontrollers
D. In einem Ordner gleichen Namens wie die GUID des GPOs in der Freiga-
be SYSVOL jedes Domänencontrollers
E. In einem Ordner gleichen Namens wie das GPO in der Freigabe SYSVOL
jedes Windows-2000-Computers
F. In einem Ordner gleichen Namens wie die GUID des GPOs in der Freiga-
be SYSVOL jedes Windows-2000-Computers
56. Sie haben den Verdacht, dass Benutzer auf Ebene der OU Operations, an
welche die Verwaltungsrechte für die OU delegiert wurden, zulassen, dass
Benutzer Administratoren ihrer eigenen Computer werden. Die Sicherheits-
richtlinien des Unternehmens schreiben vor, dass nur Domänen-Admins und
Mitglieder der Sicherheitsgruppe ComputerAdmins administrative Rechte für
874 Kapitel 12 Musterprüfung
57. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstel-
lungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne
besteht aus folgenden Organisationseinheiten:
씰 Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwick-
lung und Netzwerk Admin
씰 Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen
und Operations
씰 Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰 Geschäftsleitung
Auf Domänenebene existiert ein GPO, das von allen Benutzern alle 30 Tage
die Änderung des Kennworts verlangt.
Auf Ebene der OU Verkauf existiert ein GPO, das den Befehl AUSFÜHREN
vom Desktop entfernt und ein Hintergrundbild mit den Beförderungen des
Monats auf den Computern installiert.
Auf Ebene der OU Geschäftsleitung existiert ein GPO, das allen Benutzern
im Gültigkeitsbereich des GPO Microsoft Office 2000 zuweist.
Auf Ebene der OU Finanz existiert ein GPO, das allen Computern im Gültig-
keitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwen-
dung des Unternehmens zuweist.
12.1 Prüfungsfragen 875
씰 Erstellung eines GPO auf Ebene der OU Operations, das die Systemsteu-
erung für alle authentifizierten Benutzer deaktiviert.
Welche der erwähnten Anforderungen wurden von Ihrer Lösung erfüllt?
(Wählen Sie alle zutreffenden aus.)
A. Auf den Computern aller Benutzer wird das gleiche Hintergrundbild in-
stalliert.
12.1 Prüfungsfragen 877
59. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstel-
lungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne
besteht aus folgenden Organisationseinheiten:
씰 Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwick-
lung und Netzwerk Admin
씰 Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen
und Operations
씰 Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰 Geschäftsleitung
Auf Domänenebene existiert ein GPO, das von allen Benutzern alle 30 Tage
die Änderung des Kennworts verlangt.
Auf Ebene der OU Verkauf existiert ein GPO, das den Befehl AUSFÜHREN
vom Desktop entfernt und ein Hintergrundbild mit den Beförderungen des
Monats auf den Computern installiert.
Auf Ebene der OU Geschäftsleitung existiert ein GPO, das allen Benutzern
im Gültigkeitsbereich des GPO Microsoft Office 2000 zuweist.
Auf Ebene der OU Finanzen existiert ein GPO, das allen Computern im Gül-
tigkeitsbereich des GPO Microsoft Excel 2000 und die Buchhaltungsanwen-
dung des Unternehmens zuweist.
Vor kurzem wurden Sie gebeten, folgende Anforderungen zu erfüllen:
씰 Der Vorstandsvorsitzende hat beschlossen, dass auf den Computern aller
Benutzer das gleiche Hintergrundbild installiert werden soll.
878 Kapitel 12 Musterprüfung
60. Als Domänenadministrator von faxnix.com wurden Sie gebeten, die Einstel-
lungen für Benutzerdesktops in der Domäne zu konfigurieren. Die Domäne
besteht aus folgenden Organisationseinheiten:
씰 Informationsdienste, die weitere drei OUs umfasst: Helpdesk, Entwick-
lung und Netzwerk Admin
씰 Unternehmenslogistik, die ebenfalls zwei weitere OUs enthält: Finanzen
und Operations
씰 Verkauf, die zwei weitere OUs Verkauf Intern und Verkauf Extern enthält
씰 Geschäftsleitung
Nachdem Sie Gruppenrichtlinien zur Erfüllung verschiedener Anforderungen
des Managements konfiguriert haben, beschweren sich Benutzer in der OU
Finanzen, dass die Anmeldung bei der Domäne erheblich länger dauert. Was
ist die wahrscheinlichste Ursache des Problems?
A. Die Computer in der Finanzabteilung sind zu langsam für die Verarbei-
tung von Gruppenrichtlinien.
B. Auf den Computern in der Finanzabteilung wird Windows NT 4.0 einge-
setzt, das Zeit braucht, um Gruppenrichtlinien in Systemrichtlinien zu
konvertieren.
C. Sie verwenden Anmeldeskripts, die erst nach Anwendung aller Richtlini-
en verarbeitet werden.
D. Die Computer in der Finanzabteilung haben eine große Anzahl von GPOs
zu verarbeiten, weil diese OU auf unterster Ebene liegt.
E. Die Computer in der Finanzabteilung müssen Gruppenrichtlinien und Sys-
temrichtlinien verarbeiten, weil die Domäne im gemischten Modus ist.
880 Kapitel 12 Musterprüfung
F. Nach 30 Tagen den Aktualisierungstyp für Microsoft Office 2000 von OB-
LIGATORISCH zu OPTIONAL ändern.
64. Welche Vorteile hat die Verwendung eines RIPrep-Image gegenüber einem
CD-basierten Image? (Wählen Sie zwei korrekte Antworten aus.)
A. RIPrep-Images können neben dem Betriebssystem auch Anwendungen
enthalten.
B. RIPrep-Images können auf Computern bereitgestellt werden, deren HAL
sich von der des Quellcomputers unterscheidet.
sind, dann hat das offensichtlich einen Grund. Die Entfernung von Servern
zur Senkung der Bandbreitennutzung würde wahrscheinlich andere Probleme
nach sich ziehen. Weitere Informationen finden Sie im Abschnitt »Im physi-
schen Netzwerk« in Kapitel 3, »Active Directory-Struktur aufbauen«.
10. C, D, E. Sie können die Funktionen per grafischer Schnittstelle übertragen,
indem Sie das Active Directory-Schema zur Übertragung der Funktion Sche-
ma-Master und Active Directory-Domänen und -Vertrauensstellungen zur
Übertragung der Funktion Domänennamen-Master verwenden. Sie könnten
auch das Programm NTDSUTIL zur Übertragung der Funktionen verwenden.
ACTIVE DIRECTORY-BENUTZER UND -COMPUTER kann zur Übertragung der
anderen Funktionen per grafischer Schnittstelle verwendet werden, aber nicht
der in der Frage angesprochenen. Das bedeutet, dass Antwort A falsch ist.
ACTIVE DIRECTORY-STANDORTE UND -DIENSTE dient zwar zur Verwaltung
von Active Directory, kann aber keine Funktionen übertragen. Deshalb ist
Antwort B ebenfalls unkorrekt. Die Snap-Ins COMPUTERVERWALTUNG und
DNS dienen nicht zur Verwaltung von Active Directory, sodass die Antwor-
ten F und G falsch sind. Weitere Informationen finden Sie im Abschnitt »Ser-
verrollen« in Kapitel 5, »Server verwalten«.
11. D. Leider gibt es in MMC keine Drag&Drop-Funktionalität zum Verschieben
von Computern, Antwort A ist also falsch. Der Befehl VERSCHIEBEN im Kon-
textmenü verschiebt die Benutzer. Sie müssen allerdings jeden einzeln ver-
schieben. Deshalb ist B nicht die beste Antwort. Die Benutzer in eine Gruppe
aufzunehmen, ist wahrscheinlich ohnehin sinnvoll. Dadurch werden jedoch
keine Benutzerkonten verschoben. Die beste Wahl ist die Verwendung des
Befehls SUCHEN und Überprüfung der gefundenen Systeme und Benutzer.
Nach Überprüfung der Benutzer und Computer können Sie diese en masse
verschieben. Weitere Informationen finden Sie im Abschnitt »Objekte im
Verzeichnis verschieben« in Kapitel 4, »Active Directory-Dienste verwal-
ten«.
12. C. In diesem Fall konnte, wie bei Windows NT 4.0, die Kennwortänderung,
die auf dem PDC-Emulator ausgeführt werden musste, noch nicht zum Reser-
vedomänencontroller in der Nähe des Clients repliziert werden. In solchen
Fällen sollten Sie die Replikation des Reservedomänencontrollers in der
Nähe des Clients mit dem PDC-Emulator erzwingen. Dies ist in Windows
2000 möglich, aber es wird immer ein Computer gezwungen, mit einem an-
deren zu replizieren. Um die flächendeckende Replikation zu erzwingen, wie
in Antwort A vorgeschlagen, müssten Sie sehr viel Zeit damit verbringen, die
Replikation für jeden Server über jede Verbindung zu erzwingen. Der Server
für den globalen Katalog enthält zwar zusätzliche Informationen und ist stan-
dardmäßig der PDC-Emulator, aber da der PDC-Emulator in einer separaten
Frage angesprochen wird, ist dies nicht die beste Antwort. Der PDC-Emula-
tor ist das System, das die NT-Domänencontroller in Trab versetzt. D würde
886 Kapitel 12 Musterprüfung
zwar helfen, wenn der Server, den der Benutzer verwenden wollte, ein Win-
dows-2000-Domänencontroller wäre, aber weil dies nicht der Fall ist, ist die-
se Antwort falsch. Siehe Abschnitt »Serverrollen« in Kapitel 5, »Server
verwalten«.
13. A. Das ist keine schwere Aufgabe, aber Sie sollten sich merken, dass sie
durch Bearbeitung der NTDS-Einstellungen und Aktivierung des globalen
Katalogs auf dem Server erledigt wird. Diese Aufgabe könnte zwar auch per
Gruppenrichtlinien erledigt werden, weil diese die Möglichkeit bieten, die
Registrierung des Domänencontrollers zu ändern, aber Gruppenrichtlinien
sind nicht für einzelne Benutzer oder Computer vorgesehen. Das bedeutet,
dass Antwort B falsch ist. Da dies nicht in der Registrierung erledigt werden
muss, ist Antwort C falsch. Antwort D ist offensichtlich ein Overkill. Siehe
Abschnitt »Server für den globalen Katalog« in Kapitel 3, »Active Directory-
Struktur aufbauen«.
14. C. In diesem Fall sollten Sie den Datenverkehr im Netzwerk unter die Lupe
nehmen. Der Systemmonitor zeigt Ihnen, wie stark das Netzwerk ausgelastet
ist, aber er kann Ihnen eigentlich nicht sagen, welche Protokolle im Netzwerk
verwendet werden, deshalb sind die Antworten A und B falsch. Antwort D
bedeutet, Sie müssen Netzwerkmonitor einsetzen, aber dies ist auf jedem
Windows-2000-Computer möglich, nicht nur auf Domänencontrollern. Dies
bedeutet, Antwort D ist falsch. Siehe Abschnitt »Domänencontroller überwa-
chen« in Kapitel 5, »Server verwalten«.
15. D. In diesem Fall liegt kein Grund vor, mehrere Domänen einzuführen. Um
die Kontrolle in der Zentrale zu halten und zugleich den Zweigstellen etwas
Selbstständigkeit zu geben, ist eine Domäne mit freien Organisationseinhei-
ten die beste Lösung. Alle anderen Antworten sehen das Zerlegen des Netz-
werks in Domänen vor. Bei NT 4.0 hätte man dies getan, aber Microsoft legt
Wert auf die Tatsache, dass dies nicht mehr erforderlich ist. Siehe Abschnitt
»Organisationseinheit erstellen« in Kapitel 4, »Active Directory-Dienste ver-
walten«.
16. B, C. In diesem Fall werden Sie gefragt, wie eine nachdrückliche Wiederher-
stellung auszuführen ist. Dazu gehört natürlich der Neustart des Systems im
Wiederherstellungsmodus der Verzeichnisdienste, die Wiederherstellung der
Systemstatusdaten, die nachdrückliche Wiederherstellung mit NTDSUTIL
(dem Verzeichnisdienste-Programm) und dann der Neustart des Servers im
Normalmodus. Der Trick bei dieser Frage ist, Ihnen die Ergebnisse einer
nachdrücklichen Wiederherstellung (Erhöhung der USN) vorzusetzen, statt
nach dieser selbst zu fragen. Antwort A ist offensichtlich falsch, weil eine
Systemsicherung nicht unbedingt das Active Directory enthält, und Antwort
D macht keinen Sinn, weil Sie die OU bei der Wiederherstellung überschrei-
ben. Weitere Informationen finden Sie im Abschnitt »Server sichern und wie-
derherstellen« in Kapitel 5, »Server verwalten«.
12.2 Antworten auf die Prüfungsfragen 887
17. B. Sie brauchen nur die Standortverknüpfungen zu erstellen, und der KCC
stellt die Verbindungen her. Der KCC verwendet transitive Überbrückung
(automatische Überbrückung) zur Verbindung aller Standorte. Sie könnten
zwar eine Standortverknüpfungsbrücke erstellen und die transitive Überbrü-
ckung deaktivieren, aber die Frage gibt dafür keine Begründung her. Dies be-
deutet, dass die Antworten C und D falsch sind. Antwort A ist ebenfalls nicht
korrekt, weil Sie dies dem KCC überlassen möchten, damit er die Verbindun-
gen an Netzwerkbedingungen anpassen kann. Siehe Abschnitt »Informatio-
nen in Active Directory replizieren« in Kapitel 3, »Active Directory-Struktur
aufbauen«.
18. D. Die beste Möglichkeit ist die Erstellung einer Standortverknüpfung, die
tagsüber aktiv ist, mit einem großen Abstand zwischen Replikationen. Dann
erstellen Sie eine zweite Standortverknüpfung, die nachts aktiv ist, mit einem
kurzen Replikationsintervall. Antwort A funktioniert vielleicht in der Theo-
rie, ist aber sicher nicht die beste Lösung. Antwort B wäre o.k., wenn Sie für
eine Standortverknüpfung zwei Zeitpläne erstellen könnten, aber das geht
nicht. Antwort C würde schlicht nicht funktionieren, weil es nur zwei Stand-
orte gibt und die beiden Verknüpfungen zwischen den gleichen Standorten
automatisch überbrückt würden. Weitere Informationen finden Sie im Ab-
schnitt »Informationen in Active Directory replizieren« in Kapitel 3, »Active
Directory-Struktur aufbauen«.
19. A. Weil der Server kein Betriebsmaster war und kein anderer spezieller
Dienst als schnellste Möglichkeit erwähnt wird, den anderen Server wieder-
herzustellen, wird er hierdurch gezwungen, alle Informationen vom verblei-
benden Server zu replizieren. Wenn der abgestürzte Server Betriebsmaster
gewesen wäre, hätten Sie die Funktion entziehen können, vorausgesetzt, er
war nicht unmittelbar nach einer Sicherung abgestürzt. Alle anderen Mög-
lichkeiten sind umständlicher und deshalb nicht die beste Lösung. Weitere In-
formationen finden Sie in »Server sichern und wiederherstellen« in Kapitel 5,
»Server verwalten«.
20. A. Die nächste Prüfung würde die Ereignisprotokolle auf den beiden Syste-
men betreffen. Dann würden Sie prüfen, ob die Domänencontroller Anmelde-
anforderungen annehmen und in welchem Zustand die vier Hauptressourcen
sind. Diese sind Speicher, Festplatte, CPU und Netzwerk. Dafür sollten Sie
den Systemmonitor verwenden. Falls diese in Ordnung sind, würden Sie das
Netzwerk unter die Lupe nehmen und feststellen, welche Anforderungen im
lokalen Netzwerk gesendet werden. Dies könnte etwas so Dummes sein wie
ein Domänencontroller für die lokale Domäne, der nicht mit der richtigen IP-
Adresse für einen DNS-Server konfiguriert und daher als solcher nicht regist-
riert ist. Antwort B ist wahrscheinlich in manchen Fällen erwägenswert, aber
nicht ganz oben auf dieser Liste. Antwort C könnte nützlich sein, wenn dies
ein TCP/IP-Problem wäre, aber das ist nicht der Fall. Antwort D ist ein Over-
888 Kapitel 12 Musterprüfung
kill, sehr zeitraubend und hilft nicht, wenn das Problem erneut auftritt. Weite-
re Informationen finden Sie im Abschnitt »Domänencontroller überwachen«
in Kapitel 5, »Server verwalten«.
21. C. Hier passiert Folgendes: Bei der Installation wird auf Namen von kompa-
tiblen Domänen geprüft, in diesem Fall Scriberco. Weil dieser Name im
Netzwerk vorhanden ist, wird Ihnen der Name Scriberco1 angeboten, den Sie
akzeptieren könnten. Es wäre aber besser, den Ausreißer im Netzwerk aufzu-
spüren und vom Netz zu nehmen. Antwort A kommt nicht in Frage, weil Sie
den Domänennamen benutzen möchten. Antwort B würde funktionieren, aber
der Aufwand für die Änderung der Protokolle auf allen Computern in der Do-
mäne, nur um mit dem kompatiblen Namen fertig zu werden, steht in keinem
Verhältnis zum Schaden auf Grund der fehlenden Kommunikation zwischen
der alten und der neuen Domäne. Antwort D funktioniert ebenfalls. Die beste
Antwort ist jedoch, den wild gewordenen Domänencontroller und den Benut-
zer zu finden, der ihn installiert hat. Siehe Abschnitt »Die erste Domäne er-
stellen« in Kapitel 3, »Active Directory-Struktur aufbauen«.
22. A. Das beste Tool zur Messung der Systemleistung ist Systemmonitor. Damit
können Sie die vier wichtigsten Systemressourcen überwachen: Festplatte,
CPU, Speicher und Netzwerksubsystem. Der Netzwerkmonitor kümmert sich
nur um Netzwerkverkehr und wäre in diesem Fall nicht übermäßig nützlich.
Deshalb ist Antwort B falsch. Es gibt keine Registerkarte ÜBERWACHUNG im
Dialogfeld EIGENSCHAFTEN des Servers (wohl aber für den DNS-Dienst), so-
dass Antwort C falsch ist. Task-Manager könnte eingesetzt werden, bietet
aber nicht so viele Informationen wie ein Protokoll von Systemindikatoren,
deshalb ist Antwort D falsch. Weitere Informationen finden Sie im Abschnitt
»Domänencontroller überwachen« in Kapitel 5, »Server verwalten«.
23. A, C. In diesem Fall sollten Sie nachsehen, mit welcher Art von Lese- und
Schreiboperationen das System beschäftigt ist und wie die Speicherauslas-
tung aussieht. Die häufigste Ursache für eine ständig blinkende Festplatten-
anzeige ist ein Speicherproblem, das übermäßige Auslagerung verursacht.
Dies hat eine drastische Verschlechterung der Systemantwortzeiten zur Fol-
ge, weil sowohl Befehle als auch Daten zwischen RAM und Festplatte hin-
und herbewegt werden müssen. Sicher lohnt es sich, die CPU zu überwachen,
aber der Hinweis auf die Festplattenanzeige in der Frage deutet auf Speicher
und Festplatte hin. Dasselbe gilt für das Netzwerksegment, sodass die Ant-
worten B und D falsch sind. Antwort E ist sinnlos. Weitere Informationen
finden Sie im Abschnitt »Domänencontroller überwachen« in Kapitel 5,
»Server verwalten«.
24. A. Zum Erstellen eines Standorts benötigen Sie dessen Namen und die zu
verwendende Standortverknüpfung. Nach Erstellung des Standorts können
Sie Subnetze in diesen verschieben oder darin erstellen. Das bedeutet, Ant-
12.2 Antworten auf die Prüfungsfragen 889
wort B ist falsch. Nach den Subnetzen können Sie einen Domänencontroller
in den Standort verschieben. Das bedeutet, Antwort C ist falsch. Weil Ant-
wort A richtig ist, muss Antwort D falsch sein. Siehe Abschnitt »Informatio-
nen in Active Directory replizieren« in Kapitel 3, »Active Directory-Struktur
aufbauen«.
25. A. Die einzige echte Anforderung ist, dass der DNS-Server SRV-Datensätze
unterstützen muss. Die Unterstützung für inkrementelle Übertragungen (Ant-
wort B) und Aktualisierungen aller Art (Antworten C und D) ist nicht erfor-
derlich. Sie sollten jedoch in der realen Welt die Möglichkeit dynamischer
Aktualisierungen in Erwägung ziehen. Siehe Abschnitt »DNS und Active Di-
rectory integrieren« in Kapitel 2, »DNS für Active Directory konfigurieren«.
26. B. Sie brauchen nur in der Registerkarte FREIGABE die Option IM VERZEICH-
NIS ANZEIGEN zu aktivieren, damit ein Drucker von einem Windows-2000-
Computer aufgelistet wird. Antwort A ist falsch, weil es im Dialogfeld DRU-
CKER kein Register ACTIVE DIRECTORY gibt. Sie müssen einen Drucker nur
dann in ACTIVE DIRECTORY-BENUTZER UND -COMPUTER hinzufügen, wenn
er von einem Nicht-Windows-2000-Computer freigegeben wird. Weil Ant-
wort B richtig ist, brauchen Sie nicht, wie Antwort D vorschlägt, den Drucker
zu entfernen und wieder hinzuzufügen. Weitere Informationen finden Sie im
Abschnitt »Drucker veröffentlichen« in Kapitel 4, »Active Directory-Dienste
verwalten«.
27. C. Antwort A kommt zwar nahe, aber dort wird der Drucker nach der Erstel-
lung nicht freigegeben. In der realen Welt würden Sie dies tun und den Dru-
cker dann erst freigeben, damit der Druckertreiber allen interessierten
Benutzern zur Verfügung steht. Antwort B ist falsch, weil nur eine Verbin-
dung mit einem Netzwerkdrucker hergestellt wird, der Drucker danach aber
nicht mehr freigegeben werden kann. Antwort D ist falsch, weil Sie den Dru-
cker zu Active Directory hinzufügen können. Weitere Informationen finden
Sie im Abschnitt »Drucker veröffentlichen« in Kapitel 4, »Active Directory-
Dienste verwalten«.
28. A. Mit den neuen Zeitplanungsfunktionen in Windows 2000 können Sie ei-
nen einzigen Task erstellen, der an den erforderlichen Tagen ausgeführt wird,
statt für jede Sicherung einen eigenen Task zu erstellen. Weitere Informatio-
nen finden Sie im Abschnitt »Server sichern und wiederherstellen« in Kapitel
5, »Server verwalten«.
29. A, D. Weil eine differenzielle Sicherung alle geänderten Informationen seit
der letzten normalen (Voll-) Sicherung kopiert, brauchen Sie lediglich die
Vollsicherung und die letzte differenzielle wiederherzustellen. Weitere Infor-
mationen finden Sie im Abschnitt »Server sichern und wiederherstellen« in
Kapitel 5, »Server verwalten«.
890 Kapitel 12 Musterprüfung
30. A. Merken Sie sich für die Prüfung: Je mehr Microsoft, desto besser. Deshalb
ist die Antwort, einen Microsoft-DNS-Server zu verwenden, vorzuziehen,
wenn keine Anforderung einen BIND-DNS-Server verlangt. Die Aktualisie-
rung eines BIND-Servers auf Kompatibilität würde funktionieren, ist aber
keine Microsoft-Lösung, sodass Antwort A besser ist. Zwar würde auch Ant-
wort C funktionieren, aber Sie könnten keine dynamischen Aktualisierungen
verwenden, deshalb ist Antwort A besser. Auch Antwort D würde funktionie-
ren, weil Sie eine Active Directory-Zone erstellen und dann die Anfragen für
UNIX-Server einfach weiterleiten könnten. Siehe Abschnitt »DNS und Acti-
ve Directory integrieren« in Kapitel 2, »DNS für Active Directory konfigu-
rieren«.
31. B. Es ist zwar möglich, eine Textdatei zu erstellen, aber dies ist nicht die bes-
te Antwort, weil Sie einen Texteditor zur Bearbeitung der Datei und dann ein
Programm zum Import des Kontos benötigen, deshalb ist Antwort A nicht
korrekt. Antwort C würde Ihnen die Kontrolle über einige Aspekte der Benut-
zerinformationen geben, aber nicht alle. Antwort D funktioniert auch, aber
auch dies ist eine umständliche Methode zur Erstellung von Benutzern. B ist
die beste Antwort, weil die Verwendung von Vorlagen eine einfache Mög-
lichkeit zur Erstellung von Benutzern ist. Siehe Abschnitt »Administrative
Grundfunktionen« in Kapitel 4, »Active Directory-Dienste verwalten«.
32. C. Wenn Sie interne Vorgänge in Windows 2000 messen müssen, sollten Sie
den Systemmonitor verwenden. In diesem Fall können Sie jedoch auch den
Task-Manager benutzen, der schneller und einfacher ist, sodass A nicht die
beste Antwort ist. Mit dem Befehl NET erhalten Sie zwar einige Statistikwer-
te über den Server und Workstation-Dienste, aber es kann einen Prozess nicht
profilieren, sodass Antwort B falsch ist. Das Tool Systeminformationen exis-
tiert nicht, sodass Antwort D falsch ist. Weitere Informationen finden Sie im
Abschnitt »Domänencontroller überwachen« in Kapitel 5, »Server verwal-
ten«.
33. A. In diesem Fall ist der Schaden eingetreten und das Beste, was Sie tun kön-
nen, ist, das Netzwerk in einen stabilen Zustand zurück zu bringen. Weil der
Jungoperator die Funktion entziehen konnte, ist davon auszugehen, dass der
Schema-Master offline war, Sie sollten also den alten Server entfernen, damit
er nicht wieder online geht. Durch Formatierung des Laufwerks wird sicher-
gestellt, dass er in Zukunft nicht mehr online gehen kann. Die Antworten B
und C haben wahrscheinlich eine Ausweitung des Schadens zur Folge, und
Sie könnten beides nur durchführen, wenn der neue Schema-Master offline
wäre. Antwort D ist schlicht Overkill, aber wenn das Schema beschädigt ist,
bleibt Ihnen u.U. nichts anderes übrig. Weitere Informationen finden Sie im
Abschnitt »Serverrollen« in Kapitel 5, »Server verwalten«.
12.2 Antworten auf die Prüfungsfragen 891
34. A, D, F. In diesem Fall müssen Sie prüfen, ob Sie auf den richtigen DNS-Ser-
ver verweisen, und dann versuchen, den Computernamen und die Dienste zu
registrieren. Stoppen und Starten der DNS- oder Server-Dienste bringt in die-
sem Fall nichts, also sind die Antworten B und C nicht korrekt. Die Netzwerk-
identifikation wird von DCPROMO während der Heraufstufung festgelegt,
also ist Antwort E richtig. Es gibt keinen Befehl REGISTERDNS im Verzeichnis
NSLOOKUP, sodass Antwort G falsch ist. Siehe Abschnitt »Fehlerbehebung im
DNS« in Kapitel 2, »DNS für Active Directory konfigurieren«.
35. C. Es ist möglich, dass dieses eine Objekt andere Berechtigungen aufweist,
sodass die mit dem Assistenten zum Zuweisen der Objektverwaltung einge-
stellten Berechtigungen blockiert werden. Wahrscheinlich werden Sie die Be-
rechtigungen für die delegierte OU überprüfen, aber weil Sandra Kennwörter
für andere Benutzer zurücksetzen konnte, wäre dies nicht die erste Wahl.
Dies bedeutet, A ist nicht die beste Antwort. B ist unwahrscheinlich, weil
Sandras Konto funktioniert. Die erneute Ausführung des Assistenten könnte
das Problem beheben, aber dies ist unwahrscheinlich, weil es beim ersten Mal
schon nicht geklappt hat. Das bedeutet, Antwort D ist falsch. Siehe Abschnitt
»Berechtigungen in Active Directory-Diensten« in Kapitel 4, »Active Direc-
tory-Dienste verwalten«.
36. C. Wenn Sie nicht Milliarden und Abermilliarden von Computern hinzufü-
gen, haben Sie keine Chance, Active Directory zu füllen. Es gibt kein Limit
für Sitzungen, sodass D auch nicht wahrscheinlich ist, bleibt also Antwort C.
Wenn der RID-Master lange offline ist, könnten dem Domänencontroller die
RIDs ausgehen und er könnte keine neuen Objekte mehr erzeugen. Weitere
Informationen finden Sie im Abschnitt »Serverrollen« in Kapitel 5, »Server
verwalten«.
37. B. Die wahrscheinlichste Ursache ist, dass der Computer nicht Mitglied einer
Active Directory-Domäne ist. Active Directory muss installiert sein und eine
Domäne muss erstellt werden, bevor ein RIS-Server installiert werden kann.
Weitere Informationen finden Sie in den Abschnitten »Installation und Kon-
figuration eines RIS-Servers«, »Voraussetzungen für Remoteinstallations-
dienste« und »RIS-Softwarevoraussetzungen«, in Kapitel 9, »Bereitstellung
von Windows 2000 mittels Remoteinstallationsdienste«.
38. A, C. Weil Sie das GPO auf Domänenebene mit Kein Vorrang konfiguriert
haben, werden die im GPO für die OU Verkauf festgelegten Einstellungen ig-
noriert, wenn sie im Widerspruch zu den Einstellungen auf Domänenebene
stehen. Das bedeutet, dass der Benutzer das Hintergrundbild der Domäne
erhält, weil diese Einstellungen sich direkt widersprechen. Die Deaktivierung
der Systemsteuerung in der OU Verkauf tritt jedoch auch in Kraft, weil sie auf
OU-Ebene, also am nächsten zum anmeldenden Benutzer, festgelegt ist. Falls
der Benutzer auf die Systemsteuerung zugreifen könnte, wären in Wirklich-
892 Kapitel 12 Musterprüfung
keit jedoch nur Software und Anzeige verfügbar, wie im GPO auf Domänen-
ebene festgelegt. Weil der Benutzer nicht auf die Systemsteuerung zugreifen
kann, ist dies die effektive Einstellung. Weitere Informationen finden Sie in
den Abschnitten »Gruppenrichtliniensicherheit« und »Gruppenrichtlinienver-
erbung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
39. C, D. Die zusätzlich auszuführenden Schritte betreffen die Ausführung von
RISETUP.EXE, das den Assistenten zur Installation der Remoteinstallations-
dienste startet und ein erstes CD-basiertes Image installiert. Der Assistent zur
Installation der Remoteinstallationsdienste fragt, ob ein erstes CD-basiertes
Image installiert werden soll, aber Sie können beschließen, diese Aufgabe
nicht auszuführen, weshalb C und D die richtigen Antworten sind. Es ist nicht
erforderlich, den RIS-Server in Active Directory zu autorisieren, weil er als
DHCP-Server bereits autorisiert ist. Siehe Abschnitte »Einrichtung eines
RIS-Servers« und »Konfiguration der Remoteinstallationsdienste« in Kapitel
9, »Bereitstellung von Windows 2000 mittels Remoteinstallationsdienste«.
40. A, C, E. Weil Adobe Acrobat und Microsoft Word 2000 Computern zuge-
wiesen wurden, werden diese Anwendungen automatisch beim Start auf den
Computern installiert. Microsoft Office 2000 wurde für Benutzer veröffent-
licht, d.h. es wird in Software aufgeführt, sodass RobS es bei Bedarf oder
mittels Dokumentaktivierung installieren kann. Obwohl er Mitglied der
Gruppe Domänen-Admins ist, gelten die Standardberechtigungen Lesen und
Gruppenrichtlinien übernehmen für Authentifizierte Benutzer, zu der alle an-
gemeldeten Benutzer einschließlich Domänen-Admins gehören. Weitere In-
formationen finden Sie in Kapitel 7, »Softwarebereitstellung mittels
Gruppenrichtlinien« und Kapitel 6, »Benutzerverwaltung mit Gruppenrichtli-
nien«.
41. C, F. Das Standard-Aktualisierungsintervall für Gruppenrichtlinien ist 5 Mi-
nuten auf Domänencontrollern und 90 Minuten plus/minus 30 Minuten auf
Servern und Workstations. Weitere Informationen finden Sie in den Ab-
schnitten »Gruppenrichtlinienbereiche« und »Gruppenrichtlinienverarbei-
tung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien ».
42. A, C, E. Weil Adobe Acrobat und Microsoft Word 2000 Computern zuge-
wiesen wurden, werden diese Anwendungen automatisch beim Start auf den
Computern installiert. Microsoft Office 2000 wurde für Benutzer veröffent-
licht, d.h. es wird in Software aufgeführt, sodass RudiM es bei Bedarf oder
mittels Dokumentaktivierung installieren kann. Obwohl er Mitglied der
Gruppe Domänen-Admins ist, gelten die Standardberechtigungen Lesen und
Gruppenrichtlinien übernehmen für Authentifizierte Benutzer, zu der alle an-
gemeldeten Benutzer einschließlich Domänen-Admins gehören. Weitere In-
formationen finden Sie in Kapitel 7, »Softwarebereitstellung mittels
Gruppenrichtlinien«, und Kapitel 6, »Benutzerverwaltung mit Gruppenricht-
12.2 Antworten auf die Prüfungsfragen 893
linien«. Die Antwort zu dieser Frage ist identisch mit der zu Frage 40. Die
Frage wurde zweimal gestellt, um Ihre Kenntnisse über Berechtigungseinstel-
lungen und deren Anwendung auf die GPO-Verarbeitung zu testen.
43. A. Einstellungen für Offline-Dateien unterliegen nicht dem normalen Aktua-
lisierungsintervall für Gruppenrichtlinien. Damit diese GPO-Einstellungen
wirksam werden, muss der Benutzer sich bei der Domäne ab- und wieder
anmelden. Weitere Informationen finden Sie in den Abschnitten »Gruppen-
richtlinienbereiche« und »Gruppenrichtlinienverarbeitung« in Kapitel 6, »Be-
nutzerverwaltung mit Gruppenrichtlinien«.
44. D. Die einfachste Möglichkeit, die Einstellungen einer Gruppenrichtlinie für
eine andere OU außerhalb des Gültigkeitsbereichs des ursprünglichen GPO
zu übernehmen, ist deren Verknüpfung mit der neuen OU. Auf diese Weise
werden alle Änderungen am ursprünglichen GPO in allen OUs wirksam, mit
denen das GPO verknüpft wurde. Wenn Sie in den OUs unterschiedliche Ein-
stellungen beibehalten möchten, können Sie in jeder OU ein separates GPO
erstellen und die Einstellungen manuell konfigurieren, aber dies wäre nicht
die einfachste Möglichkeit, die gleichen Einstellungen wie das ursprüngliche
GPO zu verwenden. Siehe Abschnitt »Gruppenrichtlinien erstellen und ver-
walten« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
45. A, D, G. Sie können kein GPO in den Containern Benutzer, Computer oder
Domänencontroller in Active Directory erstellen. Diese Container entspre-
chen keinen Organisationseinheiten und können folglich nicht mit einem
GPO verknüpft werden. Siehe Abschnitt »Gruppenrichtlinien erstellen und
verwalten« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
46. A, D, F. Wenn bei der Verarbeitung von Gruppenrichtlinien eine Einstellung
sowohl für den Benutzer als auch für den Computer festgelegt ist, hat die Ein-
stellung für den Computer immer Vorrang. Das bedeutet in dieser Situation,
dass Windows Installer immer erhöhte Privilegien verwendet. Andere festge-
legte Einstellungen sind dadurch nicht betroffen. Auch wenn Sie wegen des
Taskplaners DRAG&DROP für den Computer aktiviert haben, kann NataschaR
keinen Task erstellen, weil Sie die Erstellung neuer Tasks für Benutzer
deaktiviert haben. Gemäß der Konfiguration für Benutzer sind auch Tools zur
Bearbeitung der Registrierung deaktiviert. Siehe Abschnitt »Gruppenrichtli-
nienbereiche«, »Gruppenrichtlinien kombinieren« und »Gruppenrichtlinien-
verarbeitung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlinien«.
47. F. Weil NatashaR einen Computer mit Windows NT Workstation 4.0 ein-
setzt, werden die Gruppenrichtlinieneinstellungen nicht wirksam. Das liegt
daran, dass Gruppenrichtlinieneinstellungen nur auf Windows-2000-Compu-
tern wirksam sind. Siehe die Anmerkung im Abschnitt »Gruppenrichtlinien –
eine Einführung« in Kapitel 6, »Benutzerverwaltung mit Gruppenrichtlini-
en«.
894 Kapitel 12 Musterprüfung
noch mehr Zeit kosten würde. Siehe die Abschnitte »Erstellung von Images
für Remoteinstallationsdienste« und »Erstellung eines RIPrep-Image für Re-
moteinstallationsdienste« in Kapitel 9, »Bereitstellung von Windows 2000
mittels Remoteinstallationsdienste«.
65. A, E. Weil nur die 10 600-MHz-Notebooks mit einer PCI-Netzwerkkarte und
die 800-MHz-AMD-Athlon-Computer eine PXE-fähige Netzwerkkarte ent-
halten, sind diese die einzigen Computer, die mittels Remoteinstallations-
diensten ohne Startdiskette installiert werden können. Die anderen Computer
können höchstwahrscheinlich mit RIS bereitgestellt werden, benötigen aber
eine RIS-Startdiskette. Siehe die Abschnitte »Ausführung einer Remotein-
stallation« und »Voraussetzungen für Clientcomputer« in Kapitel 9, »Bereit-
stellung von Windows 2000 mittels Remoteinstallationsdienste«.
3
Anhang
Teil
A. Glossar
B. Überblick über die Zertifizierung
C. Die Prüfungssoftware auf der CD-ROM
Glossar
A
A
Active Directory (AD) Ein hierarchischer Verzeichnisdienst in Windows 2000.
Benutzer werden Organisationseinheiten und Domänen zugeordnet, die alle zu
einem Namensraum gehören.
Attribute Eigenschaften, die ein Objekt in ähnlicher Weise beschreiben wie Adjek-
tive ein Substantiv (z.B. die grüne Tür). Im Falle eines Objekts wie z.B. einer Datei
wäre der Dateityp ein Attribut.
Aufräumen Ein Vorgang, der auf einem Server mit dynamischer Registrierung aus-
geführt werden muss. Dabei werden veraltete Datensätze gesucht und gelöscht.
Authentifizierung Die Überprüfung, die stattfindet, wenn sich ein Benutzer bei
einem Computer oder ein Computer sich bei einer Domäne anmeldet. Durch
Authentifizierung wird der Identitätsnachweis für einen Benutzer bzw. Computer
erbracht. Damit wird keinerlei Verschlüsselung angeboten.
B-D
Banyan Banyan VINES war eines der ersten PC-Netzwerkbetriebssysteme mit
unternehmensweiten Verzeichnisdiensten. Bei Banyan waren diese Dienste auf dem
Network Informations System aufgebaut, das ursprünglich in der UNIX-Welt ent-
wickelt wurde und auf dem alle Banyan-Funktionen beruhen.
Benutzer (Benutzername) Ein Benutzer ist eine Klasse von Objekten in der Active
Directory-Datenbank, die zur Repräsentation von Personen verwendet wird, die sich
beim Netzwerk anmelden und Ressourcen verwenden können.
Benutzerprozess Ein Prozess, der von einem Benutzer gestartet wird. Die Sicher-
heitsinformationen des Benutzers werden an den Prozess angehängt, um zu gewähr-
leisten, dass der Prozess nicht auf Informationen zugreifen kann, die nicht für ihn
bestimmt sind.
903
Berechtigungen Diese geben einem Benutzer die Möglichkeit, mit einem Objekt zu
arbeiten. Die Berechtigungen, die ein Benutzer oder ein anderer Sicherheitsprinci-
pal für ein Objekt hat, sind in der DACL (Discretionary Access Control List) enthal-
ten. Diese wird vom Eigentümer des Objekts oder von einem Benutzer mit der
Berechtigung »Berechtigungen« für das Objekt festgelegt.
Betriebssystem Ein Programm oder eine Menge von Programmen, die für den
Benutzer eines Computers grundlegende Dienste anbieten. Das Betriebssystem
sollte zumindest in der Lage sein, den Computer zu starten, dessen Speicher zu ver-
walten, mit dem BIOS des Computers zu kommunizieren und die Ausführung von
Programmen im System zu planen.
CD-basiertes Image Ein Image von Windows 2000 Professional, das eine Kopie
der Installationsdateien auf der Windows-2000-Professional-CD-ROM ist. CD-
basierte Images werden mit RIS bereitgestellt.
Datenbank Eine Struktur, die Daten in einer Reihe von Tabellen (Listen) mit
jeweils einer festen Gruppe von Spalten speichert. Jede Tabelle definiert einen Ele-
menttyp, eine Klasse in Windows 2000, wobei eine Zeile Informationen über ein
Exemplar dieses Typs enthält. Beispielsweise gibt es in Windows 2000 eine Klasse
904 Anhang A Glossar
Benutzer, die als Tabelle in der Active Directory-Datenbank gespeichert ist. Für
jeden Benutzer wird eine Zeile in diese Tabelle eingefügt. Es gibt eine einzige
Spalte, die eine eindeutige Kennung enthält, und alle anderen Spalten enthalten
Attribute oder Sammlungen zu dem betreffenden Element.
DCPROMO Dieses Programm wird zum Herauf- und Herabstufen von Computern
eingesetzt. Durch Heraufstufen wird ein System zum Domänencontroller, und durch
Herabstufen wird es wieder zum Mitgliedsserver oder zum Alleinstehenden Server.
Definierter Name Der vollständige Name eines Objekts in Active Directory. Dazu
gehören der Domänenname und die Namen der Organisationseinheiten, zu denen
ein Benutzer gehört. Wenn sich beispielsweise ein Benutzer namens BichlerS im
Benutzercontainer einer Domäne namens technik.tutnix.lokal befindet, wäre der
definierte Name für den Benutzer cn=BichlerS,cn=users,dc=technik,dc=tut-
nix,dc=lokal. Für einen anderen Benutzer im gleichen Container könnte der relativ
definierte Name cn=BichlerS verwendet werden, weil alle anderen Bestandteile des
Namens gleich sind.
Domäne Im Zusammenhang mit DNS ist dies ein Name, den eine Organisation im
Internet erhält. In Wirklichkeit ist dies nur ein Teil des Internet-Namensraums. In
Windows 2000 ist eine Domäne ein Teil des Namensraums, aber auch eine logische
Unterteilung, die genutzt werden kann, um eine große Gruppe von Benutzern vom
übrigen Netzwerk zu separieren und Sicherheits- und Replikationsgrenzen zu zie-
hen.
Drucker Dies ist eine Klasse von Objekten in Active Directory, die zur Veröffentli-
chung bzw. Auflistung von Druckern in Active Directory verwendet wird, damit
Benutzer überall im Unternehmen nach Druckern suchen und diese verwenden kön-
nen, sofern sie dazu berechtigt sind.
E-H
Eigenschaften Beschreiben ein Objekt ähnlich wie ein Adjektiv ein Substantiv
beschreibt (z.B. die grüne Tür). Im Falle eines Objekts, etwa einer Datei, wäre der
Dateityp eine Eigenschaft.
Element Ein Eintrag in einer Datenbanktabelle. In Windows 2000 ist ein Element
ein beliebiger Typ bzw. eine beliebige Klasse von Objekten, die in Active Directory
gespeichert werden.
Enterprise Ein allgemeiner Begriff für einen Bereich, der die gesamte Organisation
umfasst.
Bei der erzwungenen Entfernung wird das Paket auf dem Computer immer
gelöscht.
Freigaben Eine Klasse von Objekten, die in Active Directory verfügbar ist. Freiga-
beobjekte ermöglichen die Veröffentlichung von freigegebenen Ordnerressourcen
in Active Directory, damit Benutzer sie einfacher finden können.
Gemischter Modus In diesem Modus lässt Active Directory die Verwendung von
Windows-NT-4.0- und 4.0-BDC-Computern zu. In diesem Modus ist es nicht mög-
lich, Gruppen zu schachteln oder mit universellen Sicherheitsgruppen zu arbeiten.
Globaler Katalog In Active Directory besteht der globale Katalog aus einer Liste
aller Objekte in allen Domänen, zusammen mit einer Untermenge der gebräuchli-
chen Attribute zu jedem Objekt. Der globale Katalog wird zum Auffinden von
Objekten in Active Directory verwendet und ist über die Active Directory-Dienste-
schnittstelle oder LDAP zugänglich.
Gruppen Ein Objekt vom Typ Container, das in Active Directory zu finden ist.
Gruppen werden hauptsächlich zur Zusammenfassung von Rechten und Berechti-
gungen oder von Benutzern für Verwaltungszwecke eingesetzt.
GUID (global eindeutige Kennung) Eine 32 Zeichen lange Zeichenfolge zur ein-
deutigen Identifizierung eines Computers für die Vorkonfiguration. In RIS ist dies
normalerweise die Kennung der PXE-fähigen Netzwerkkarte, aber es kann auch die
MAC-Adresse einer nicht-PXE-kompatiblen Netzwerkkarte sein, die im passenden
Format auf 32 Zeichen aufgefüllt ist.
Hierarchie Eine Struktur mit einen einzigen Ausgangspunkt, von dem aus sie sich
entfaltet. Dazu gehören Organigramme eines Unternehmens und der Domänenna-
mensraum. Die Hierarchie in Windows 2000 beschreibt den Namensraum ausge-
hend von einer Stammdomäne über die untergeordneten Domänen zu den diesen
untergeordneten Domänen.
Hintergrundprozess Ein Prozess, der von einem Dienst oder einem Benutzer
gestartet wurde und momentan nicht direkt mit dem Benutzer kommuniziert. Ein-
fach ausgedrückt, wenn ein Prozess keine Eingabe über die Tastatur oder die Maus
empfangen kann, ist es ein Hintergrundprozess.
909
I-L
Infrastrukturmaster Ein Betriebsmaster auf Domänenebene. Er ist für die Aktua-
lisierung der Gruppenmitgliedschaft von Domänenbenutzern im gesamten Unter-
nehmen verantwortlich.
Iterative Abfrage Ein DNS-Server führt bei der Namensauflösung iterative Abfra-
gen aus. Diese Art von Abfragen sucht nach der bestmöglichen Antwort einschließ-
lich einer Umleitung zu einem anderen Namensserver.
Klasse Eine Klasse von Objekten ist ein Objekttyp. Datei ist z.B. eine Objektklasse.
Unterschiedliche Objektklassen weisen unterschiedliche Attribute und in der Regel
verschiedene anwendbare Methoden auf. Alle Objektklassen haben einige Attribute
und Methoden gemeinsam, beispielsweise Name und Typ als Attribute und Erzeu-
gen und Löschen als Methoden.
Knowledge-Konsistenzprüfer (KCC) Der KCC ist für die Herstellung der stand-
ortinternen Verbindungen verantwortlich und gewährleistet, dass jeder Computer
mindestens zwei Replikationspartner hat. Außerdem nutzt er die von Ihnen erstell-
ten Standortverknüpfungen, um Verbindungen zwischen Servern in unterschiedli-
chen Standorten einzurichten, damit die Replikation zwischen diesen Standorten
stattfinden kann.
lokale Gruppe Das Gleiche wie eine domänenlokale Gruppe. Sie wird für Berechti-
gungen eingesetzt, ist aber auf Alleinstehenden Servern und Windows-2000-Profes-
sional-Computern vorhanden. Solche Gruppen werden auch auf Mitgliedsservern
im gemischten Modus verwendet.
M-Q
MAC (Media Access Control) Die MAC-Adresse ist die einer Netzwerkkarte
zugeordnete physische Adresse und dient zur Identifizierung der Netzwerkkarte im
Netzwerk.
Masterserver Der Server, von dem ein sekundärer DNS-Server die Kopie einer
Zonendatei erhält. Der Master kann ein primärer oder sekundärer Server sein.
Methode Eine Aktion, die mit einem Objekt ausgeführt werden kann. Zu den
gebräuchlichen Methoden gehören Erzeugen und Löschen. Methoden sind wichtig,
weil sie beim programmgesteuerten Zugriff auf Active Directory benutzt werden.
Namenserver Dies ist eine ganze Baumstruktur von Namen, die mit einem Stamm
beginnt und sich verzweigt. Der Namensraum ist mit einer Verzeichnisstruktur auf
einer Festplatte vergleichbar. Das gesamte Internet wird mit einem einzigen
Namensraum kontrolliert, wogegen jede Active Directory-Baumstruktur einen ein-
zelnen Namensraum darstellt.
911
NetLogon Der Dienst NetLogon oder Netzwerkanmeldung ist der Dienst, der
Benutzeranforderungen von Netzwerkauthentifizierungen bedient.
NSLOOKUP Dieses Programm kann zur Abfrage eines DNS-Servers von der
Befehlszeile aus oder durch Eröffnung einer Sitzung mit dem DNS-Server verwen-
det werden.
NTFS Das Dateisystem von Windows 2000. Es bietet viele Vorteile, darunter die
Möglichkeit, Datei- und Ordnerberechtigungen festzulegen, sodass es für die Frei-
gabe SYSVOL obligatorisch ist.
Objekt Ein allgemeiner Begriff für jede Ressource oder jedes andere Element, das
existiert. Durch das Objektmodell wird das Programmieren vereinfacht, weil Code
immer wieder verwendet werden kann.
Ordnerumleitung Die selektive Platzierung von Ordnern, auf die alle Benutzer
zugreifen, auf unterschiedlichen Datenträgern von lokalen Computern oder auf frei-
gegebenen Datenträgern im Netzwerk, wo sie gesichert werden können. Ordnerum-
leitung wird mittels Gruppenrichtlinien erzwungen.
Organisation Ein Begriff, der sich auf das Unternehmen bezieht, das Active Direc-
tory implementiert. In der Begriffswelt von X.400 und X.500 ist die Organisation
(O) der Name des Unternehmens.
Primärer Server Der Server, auf dem die Zonendatei erstellt wird. Änderungen an
der Zonendatei werden nur auf diesem Server vorgenommen und dann an die sekun-
dären Server gesendet. Wenn die Zone Active Directory-integriert ist, gibt es keinen
primären Server mehr, weil alle Domänencontroller, bei denen DNS installiert ist,
Änderungen vornehmen können.
RER.EXE). Jedem Prozess ist ein Satz von Sicherheitsinformationen in Form eines
Zugriffstokens zugeordnet, das die Berechtigungen und Rechte des Prozesses fest-
legt.
Quellcomputer Der Computer, auf dem Windows 2000 Professional und Anwen-
dungen installiert sowie weitere Einstellungen festgelegt werden, und der als Quelle
für ein RIPrep-Image verwendet wird.
R-S
RAS (Remote Access Service) Mit RAS können sich Benutzer in ein Windows-
2000-Netzwerk einwählen. Die alte Version in Windows NT 4.0 musste Benutzern
vollen Zugang zum Netzwerk gewähren, um sie zu authentifizieren. In Windows
2000 wird dies vermieden.
Rechte So, wie Berechtigungen bestimmen, was ein Benutzer mit einer Datei tun
darf, bestimmen Rechte, welche Systemaktionen ein Benutzer ausführen darf, bei-
spielsweise die Änderung der Systemzeit.
Registrierung Eine Sammlung von Einstellungen, die auf jedem Computer sowohl
für den Computer als auch für den Benutzer, der sich beim Computer anmeldet, vor-
handen ist. Die Registrierung setzt sich aus einer Reihe von Unterstrukturen zusam-
men, von denen KEY_LOCAL_MACHINE und HKEY_USERS die wichtigsten
sind, weil sie mit Computer-, COM+- und Benutzereinstellungen zu tun haben.
Administrative Vorlagen für Gruppenrichtlinien ändern die Registrierung, um
GPO-Einstellungen auf Benutzer und Computerebene durchzusetzen.
Rekursive Abfrage Eine Abfrage zwischen einem Client und dem DNS-Server, die
eine Namensauflösung oder Fehlerbenachrichtigung anfordert.
RPC (Remote Procedure Call) Eine der möglichen Methoden für die Interprozess-
kommunikation. Bei dieser Methode wird ein externer Redirector und Server einge-
setzt, den mehrere Dienste und Clients gleichzeitig benutzen können. Für die RPC-
Kommunikation Server-zu-Server sollte eine Netzwerkbandbreite von mindestens
64 Kb/s zur Verfügung stehen.
Replikation Das Kopieren von Daten von einem Speicherort zu einem anderen. Die
Replikation spielt in Active Directory eine große Rolle. In Active Directory werden
Schemainformationen, Konfigurationsinformationen, Domäneninformationen und
der globale Katalog repliziert.
Resolver Ein kleines Codestück, das in eine Anwendung oder in das Betriebssys-
tem integriert ist und die rekursive Abfrage beim DNS-Server ausführt.
Reverse-Lookup Die Abfrage eines Servernamens auf der Grundlage einer IP-
Adresse.
diskette kann verwendet werden, um die Installation eines RIS-Images auf einem
Zielcomputer zu starten.
Sammlung Eine spezielle Art von Objektattribut, bei der ein Attribut einen oder
mehrere Einträge aufweisen kann. Ein Beispiel für eine Sammlung ist eine Zugriffs-
steuerungsliste, die aus einem oder mehreren Zugriffssteuerungseinträgen besteht.
Schema Der Begriff für die Zeilen und Spalten, aus denen eine Datenbanktabelle
besteht. In Windows 2000 bezieht sich der Begriff auf die Definition von Klassen
(Tabellen) und Attributen (Spalten) innerhalb der Verzeichnisdatenbank.
Server für den globalen Katalog Das System, das den globalen Katalog enthält
und mit den anderen Servern für den globalen Katalog repliziert, um den vollständig
globalen Katalog aufzubauen. Bei der Planung dieses Servers sollte diese zusätzli-
che Belastung berücksichtigt werden.
Sicherheitsprincipal Ein Begriff, der für Objekte benutzt wird, denen Berechtigun-
gen oder Rechte eingeräumt werden können, z.B. Benutzer, Gruppen und Compu-
ter.
Sicherung Der Vorgang der Sicherung von System- und Benutzerdateien auf Band,
Diskette oder einem anderen Medium, das von dem verwendeten Sicherungspro-
gramm unterstützt wird.
SIS-Dienst (Single Instance Store) Ein Dienst, der auf einem RIS-Server ausge-
führt wird und dafür verantwortlich ist, dass die Dateien, die für ein CD-basiertes
RIS-Image benötigt werden, auch gefunden werden. Außerdem hilft er, Speicher-
platz zu sparen, indem er sicherstellt, dass Dateien, die für mehrere RIS-Images
benötigt werden, nur in einer gemeinsamen Kopie auf dem RIS-Server gespeichert
werden, statt mehrere Kopien zu speichern.
917
SMTP (Simple Mail Transfer Protocol) Ein einfaches Protokoll, das in der Regel
zur Übertragung von Informationen zwischen zwei Computern verwendet wird. In
Windows 2000 kann dieses Protokoll zur Replikation zwischen Standorten verwen-
det werden.
Subnetz Ein einzelnes Segment eines gerouteten Netzwerks. In der Regel wird es
identifiziert durch die Subnetz-ID, gefolgt von einem Schrägstrich und der Anzahl
der Bits in der Netzmaske. Beispielsweise wäre 148.53.64.0/18 ein Subnetz mit den
Hosts 148.53.64.1 bis 148.53.127.254.
SYSTEM-Konto Das Konto SYSTEM ist ein Spezialkonto, das zum Start von
Diensten verwendet werden kann, die auf einem Computer verfügbar sein sollen.
Dieses Konto ist eigentlich das Computerkonto, das die vollständige Kontrolle über
das lokale System besitzt.
T-Z
Tabelle Eine Struktur in einer Datenbank, die Daten enthält. Eine Tabelle besteht
aus Spalten, die Attribute oder Eigenschaften repräsentieren, und Zeilen, die Ele-
mente repräsentieren.
Task-Manager Dies ist ein elementares Programm, das einen schnellen Überblick
über die aktuelle Systemleistung liefert, darunter die ausgeführten Prozesse und die
Gesamtstatistiken für CPU und Speicher. Mit dieser Anwendung kann ein Task
beendet werden, der nicht mehr reagiert, oder die Priorität eines laufenden Tasks
geändert werden.
TFTP (Trivial File Transfer Protocol) Dieses Protokoll wird auf einem RIS-Ser-
ver ausgeführt und während der Bereitstellung zum Übertragen von Dateien auf den
Zielcomputer verwendet. Dieses ist ein anderes Protokoll als das FTP-Protokoll, das
Sie möglicherweise zur Verbindung mit einer FTP-Site im Internet verwenden.
TFTP unterscheidet sich von FTP darin, dass kein Benutzereingriff erforderlich ist.
Dies ist der Grund dafür, dass es für Remoteinstallationsdienste eingesetzt wird.
919
TTL (Time To Live, Lebensdauer) Wenn ein DNS-Server eine Adresse auflöst,
wird diese für den Zeitraum, der in den zurückgegebenen Informationen angegeben
wird, zwischengespeichert. Diese Zeit ist die TTL für den DNS-Cache-Eintrag.
Universelle Gruppe Eine Gruppe, die im globalen Katalog existiert und leicht
Domänen überspannen kann. Sicherheitsgruppen sollten sparsam eingesetzt wer-
den, weil sie die domänenübergreifende Replikation intensivieren.
Untergeordnete Domäne Eine Domäne, die innerhalb einer anderen Domäne liegt.
Beispielsweise wäre RD.Scrim.Tech.lokal eine untergeordnete Domäne von
Scrim.Tech.lokal.
Verkehr Ein allgemeiner Begriff in der Informatik, der sich auf Daten bezieht, die
sich in einem Netzwerk bewegen. Es ist eine große Sorge, dass in einem Netzwerk
mehr Verkehr anfällt, als dieses bewältigen kann.
Veröffentlichung von Softwarepaketen Damit wird ein Benutzer in die Lage ver-
setzt, ein mittels Gruppenrichtlinien bereitgestelltes Softwarepaket über Dokument-
aktivierung oder über die Systemsteuerung unter Software wahlweise zu installie-
ren.
Verteilergruppe Eine Gruppe, die zur Verteilung von E-Mail eingerichtet wird.
Verteilergruppen können keine Berechtigungen erhalten und dürfen nur Benutzer
enthalten.
Verzeichnis Dies ist, mit einfachen Worten, eine Liste, eine einfache Datenbank,
die eine Liste von Elementen enthält, nach denen jemand suchen könnte. In Win-
dows 2000 ist ein Verzeichnis eine Sammlung von Informationen über Objekte, die
im Netzwerk zu finden sind.
Vordergrundprozess Der aktive Prozess auf einem Computer. Der Prozess, mit
dem der Benutzer interagiert, wird als Vordergrundprozess bezeichnet.
921
Wiederherstellung Der Vorgang der Wiederherstellung von Daten aus einer Siche-
rung.
WINS (Windows Internet Naming System) Ein WINS-Server ist mit einem DNS-
Server vergleichbar, aber speziell für NetBIOS-Namen ausgelegt, die hierarchisch
sind. Solche Server sind für Windows-NT-4.0- und andere kompatible Clients erfor-
derlich.
X.500 Dies ist ein theoretischer Standard, der beschreibt, wie eine hierarchische
Verzeichnisstruktur erstellt und verwaltet wird. Microsofts Active Directory basiert
lose auf X.500.
ZAP-Datei Eine ASCII-Textdatei, die mit einem Texteditor erstellt wird (Notepad
reicht aus) und eine Reihe von Festlegungen für die zu installierende Software ent-
hält, darunter den Anwendungsnamen, den Namen des Installationsprogramms,
Parameter für die Installation sowie Dateierweiterungen, die mit der Anwendung
verknüpft werden sollen, die Adresse der Website für technischen Support usw.
ZAP-Dateien werden verwendet, um Software, für die kein Windows-Installer-
Paket vorliegt, mittels Gruppenrichtlinien bereitzustellen.
Zielcomputer Der Computer, auf dem RIPrep- oder CD-basierte Images mittels
Remoteinstallationsdienste installiert werden. Der Zielcomputer muss die Hard-
warevoraussetzungen für Windows 2000 Professional erfüllen und eine PXE-fähige
Netzwerkkarte enthalten oder von der RIS-Startdiskette unterstützt werden.
Zone Die Zone, oder Zonendatei, ist die Gruppe von Ressourcendatensätzen für
eine Domäne. Server, die eine Kopie der Zonendatei enthalten, können Anfragen
nach zuverlässigen Informationen über das System in der Domäne bedienen.
Für ein Examen können Sie sich telefonisch beim Sylvan Prometric Testing Center
oder bei VUE anmelden:
HINWEIS
Sylvan Prometric
Deutschland: 0130/83 97 08
Österreich: 06 60/85 82
Schweiz: 08 00/55 69 66
VUE
Deutschland: 08 00/1 81 06 96
Österreich: 06 60/31 21 50
Schweiz: 08 00/83 75 50
B.1 Zertifizierungsarten
씰 Microsoft Certified Professional (MCP): Personen mit diesem Zertifikat
besitzen umfangreiche Kenntnisse in mindestens einem Microsoft-Produkt
und können dieses Produkt professionell einsetzen. Kandidaten können Wahl-
examen absolvieren, um sich auf bestimmte Bereiche zu spezialisieren. Das
MCP-Zertifikat ist der Einstieg in das MCP-Programm.
HINWEIS
Neueste Informationen zu den Zertifizierungsarten finden Sie auf der Website für
Microsoft Training and Certification unter http://www.microsoft.com/mcp. Micro-
soft können Sie auch über die folgenden Quellen kontaktieren:
씰 mcp@msource.com
HINWEIS
Mit einem Sternchen gekennzeichnete Prüfungen werden demnächst eingestellt.
Windows-2000-Track
Um ein MCDBA im Windows-2000-Track zu werden, müssen Sie drei Pflichtexa-
men und ein Wahlexamen ablegen.
Pflichtexamen
Die erforderlichen Pflichtexamen für einen MCDBA im Windows-2000-Track sind:
oder Microsoft Windows 2000 Accelerated Exam for MCPs Certified on Mi-
crosoft Windows NT 4.0, #70-240 (nur für die Personen, die die Examen
#70-067*, #70-068* und #70-073* bestanden haben)
씰 Administering Microsoft SQL Server 7.0, #70-028
Wahlexamen
Weiterhin müssen Sie ein Wahlexamen aus der folgenden Liste bestehen:
Windows-NT-4.0-Track
Um ein MCDBA im Windows-NT-4.0-Track zu werden, müssen Sie vier Pflichtex-
amen und ein Wahlexamen bestehen.
928 Anhang B Überblick über die Zertifizierung
Pflichtexamen
Für einen MCDBA im Windows-NT-4.0-Track sind die folgenden Pflichtexamen
erforderlich:
Wahlexamen
Das abzulegende Wahlexamen können Sie aus der folgenden Liste wählen:
Die folgende Liste zeigt die Pflichtexamen für die Windows-2000- und Windows-
NT-4.0-Tracks sowie die Wahlexamen.
B.2 Anforderungen an die Zertifizierung 929
Windows-2000-Track
Beim Windows-2000-Track sind fünf Pflichtexamen (oder ein Accelerated Examen
und ein weiteres Pflichtexamen) abzulegen. Weiterhin müssen Sie zwei Wahlexa-
men bestehen.
Pflichtexamen
Alle Personen, die nicht die Examen #70-067, #70-068 und #70-073 abgelegt
haben, müssen die folgenden Pflichtexamen zum Windows-2000-Track für die
MCSE-Zertifizierung ablegen:
Für diejenigen, die die Examen #70-067*, #70-068* und #70-073* abgelegt haben,
sind folgende Pflichtexamen im Windows-2000-Track erforderlich:
Alle Kandidaten müssen eines der folgenden drei zusätzlichen Pflichtexamen able-
gen:
sie noch nicht abgelegt wurden, um die Anforderungen der oben genannten »zusätz-
lichen Pflichtexamen« zu erfüllen. Mit dem Examen #70-222 (Aktualisierung von
Microsoft Windows NT 4.0 auf Microsoft Windows 2000) kann man ebenfalls
diese Anforderung erfüllen. Schließlich zählen auch ausgewählte Zertifizierungen
von Drittanbietern, die sich auf Interoperabilität konzentrieren. Weitere Informatio-
nen zu derartigen Zertifizierungen entnehmen Sie bitte der Microsoft-MCP-Website
(www.microsoft.com/mcp).
Windows-NT-4.0-Track
Der Windows-NT-4.0-Track ist ebenfalls in Pflicht- und Wahlexamen organisiert.
Pflichtexamen
Für die MCSE-Zertifizierung sind im Windows-NT-4.0-Track die folgenden vier
Pflichtexamen abzulegen:
Wahlexamen
Für den Windows-NT-4.0-Track müssen Sie zwei der folgenden Wahlexamen für
eine MCSE-Zertifizierung bestehen:
Pflichtexamen
Die Zertifizierung zum MCSE + Internet erfordert die folgenden sieben Pflichtexa-
men:
Wahlexamen
Weiterhin müssen Sie zwei der folgenden Wahlexamen für die Zertifizierung zum
MCSE + Internet ablegen:
Neuer Track
Für den neuen Track müssen Sie drei Pflichtexamen und ein Wahlexamen ablegen.
Pflichtexamen
Aus jeder Gruppe der folgenden Pflichtexamen müssen Sie ein Examen ablegen:
Wahlexamen
Von den folgenden Wahlexamen können Sie eines auswählen:
씰 Designing and Implementing Solutions with Microsoft Office 2000 and Mic-
rosoft Visual Basic for Applications, #70-091
Alter Track
Zur Zertifizierung als MCSD müssen Sie beim alten Track zwei Kerntechnologie-
prüfungen und zwei Wahlprüfungen ablegen. Die folgenden Listen zeigen die erfor-
derlichen Technologieexamen und die Wahlexamen für die MCSD-Zertifizierung.
Pflichtexamen
Um sich für die MCSD-Zertifizierung zu qualifizieren, müssen Sie die folgenden
beiden Pflichtprüfungen ablegen:
Wahlexamen
Um MSCD zu werden, müssen Sie zwei der folgenden Wahlexamen ablegen:
http://www.microsoft.com/mcp/
Auf dieser Site können Sie das Dokument als Webseite lesen oder als Word-Datei
herunterladen. Der MCT Guide erläutert die Laufbahn zum MCT. Die allgemeinen
Schritte für die MCT-Zertifizierung lauten wie folgt:
Wenn Sie ein MCT werden wollen, können Sie sich weitere Informationen beschaf-
fen, indem Sie die Website für Microsoft Certified Training unter http://
www.microsoft.com/train_cert/mct/ besuchen oder unter 08 00/18 25 434 anrufen.
Die Prüfungssoftware
auf der CD-ROM
ExamGear bietet Ihnen die Möglichkeit, das adaptive Examen zu üben, um sich mit
dieser Prüfmethode vertraut zu machen. So ist sichergestellt, dass Sie umfassend auf
die reale Prüfung vorbereitet sind.
C.2 Prüfungsauswahl
Abbildung C.1
Die verschiedenen Prüfmodi von ExamGear bereiten Sie optimal auf die richtige
Prüfung vor. ExamGear beinhaltet drei Prüfmodi. Es ist wichtig, die Unterschiede
zwischen diesen Modi zu kennen.
C.2 Prüfungsauswahl 941
Der Lernmodus gestattet es Ihnen anzugeben, wie viele Fragen das Programm
zufällig aus der Datenbank auswählen soll und wieviel Zeit Sie sich für die Beant-
wortung der Fragen zugestehen wollen. Darüber hinaus können Sie festlegen, ob Sie
Fragen aus allen Gebieten oder nur aus spezifischen Gebieten beantworten wollen.
Damit können Sie Ihr Wissen gezielt in den Bereichen auffrischen, in denen Sie Ihre
Schwächen vermuten. Während des Examens können Sie sich zu den einzelnen Fra-
gen jederzeit die korrekten Antworten samt Erläuterung anzeigen lassen. Der Lern-
modus verfeinert Ihr Wissen und schult Sie im Umgang mit der Prüfungssituation,
da die korrekte Antwort über die Option ANTWORTEN ANZEIGEN nur einen
Mausklick entfernt ist. Ferner können Sie jeder Zeit zum Bildschirm FRAGENKATA-
LOG wechseln, um auf der Registerkarte AKTUELLE BEWERTUNG Ihren Punktestand
einzusehen.
Die Musterprüfung ist ein praxisorientierter Prüfungsmodus, der das konkrete Zer-
tifizierungsexamen simuliert. Die Fragen entstammen allen Prüfungsgebieten und
die Anzahl der Fragen sowie die Bearbeitungszeit entsprechen der tatsächlichen
Prüfungssituation. Die Musterprüfung beinhaltet praktisch die gleichen Optionen
wie der Lernmodus, allerdings lassen sich die Antworten nicht anzeigen. Sie ent-
spricht den tatsächlichen Gegebenheiten einer Zertifizierungsprüfung – der Bild-
schirm FRAGENKATALOG ist erst verfügbar, nachdem alle Fragen angezeigt wurden.
Im Lernmodus hingegen kann der Bildschirm FRAGENKATALOG jederzeit aufgeru-
fen werden. Bei der Musterprüfung können Sie Ihren abschließenden Punktestand
auf dem Bildschirm ABSCHLUSSERGEBNIS einsehen.
Bei der adaptiven Prüfung ist die erste Frage typischerweise recht einfach. Wenn
Sie sie richtig beantworten, folgt eine etwas schwierigere Frage. Solange Sie korrekt
antworten, werden die Fragen zunehmend schwieriger. Und umgekehrt: Wenn Sie
falsche Antworten geben, werden die Fragen zunehmend einfacher. Das Examen
passt sich also Ihrem Wissenstand an, indem es den Schwierigkeitsgrad der Fragen
geeignet variiert. Damit Sie das Examen allerdings bestehen, müssen Sie eine
bestimmte Anzahl von Fragen auf einem gegebenen Schwierigkeitsgrad richtig
beantwortet haben. Sobald Sie einen Punkt erreichen, an dem Sie definitiv bestan-
den oder nicht bestanden haben, endet das Examen und Sie erhalten Ihre Bewer-
tung. Falls Sie also den erforderlichen Schwierigkeitsgrad nicht innerhalb der vor-
gegebenen Zeit erreichen (typischerweise 30 Minuten), endet das Examen mit der
mit der Bewertung durchgefallen. Und wenn Sie schon vor Ablauf dieser Zeit
durchgefallen sind, kann der Test auch frühzeitig enden. Wie bei der Musterprüfung
erhalten Sie das Ergebnis der adaptiven Prüfung im Fenster ABSCHLUSSERGEBNIS.
942 Anhang C Die Prüfungssoftware auf der CD-ROM
In diesem Konfigurationsfenster finden Sie mehr Optionen als bei jedem anderen
Test von ExamGear. Aber keine Sorge, Sie werden trotzdem schnell damit klarkom-
men. Sie können aber auch die Standardeinstellungen verwenden, die so gewählt
sind, dass sie in den meisten Fällen eine gute Wahl für Ihre Lernbemühungen dar-
stellen.
Der Lernmodus wurde aufgenommen, um Sie mit den Fragen in einer Datenbank
vertraut zu machen und Sie zu unterstützen, falls Sie die Antwort auf eine Frage
nicht wissen. Wenn Sie im Lernmodus eine hohe Punktzahl erreichen, sind Sie auf
die tatsächliche Prüfung gut vorbereitet.
Abbildung C.2
Einstellungen für
den Lernmodus
Kapitel auswählen
In dem darunter gelegenen Listenfenster AUF FOLGENDE KAPITEL BESCHRÄNKEN
finden Sie eine Auflistung der einzelnen Kapitel (Lerneinheiten) des Fragensatzes.
Um den Lernmodus auf bestimmte Kapitel einzuschränken, entfernen Sie für die
Kapitel, an denen Sie nicht interessiert sind, die Häkchen aus den Kontrollkästchen.
Falls Sie gar kein Kapitel auswählen, erhalten Sie die Fehlermeldung »Keine Fra-
gen gefunden, die den angegebenen Kriterien entsprechen«.
Fragen auswählen
Neben einer Auswahl der Lerneinheiten können Sie auch festlegen, wie ExamGear
mit Fragen umgehen soll, die Sie bereits richtig bzw. falsch beantwortet haben. Das
Programm führt darüber Buch, mit welchen Fragen Sie Schwierigkeiten haben und
mit welchen nicht.
Für die Auswahl der Fragen während des Lernmodus können Sie eine der folgenden
Einstellungen treffen:
Aus allen verfügbaren Fragen auswählen – Diese Option ist die Voreinstellung.
Sie sorgt dafür, dass Ihnen das Programm Fragen aus allen gewählten Kapiteln
(Lerneinheiten) mit gleicher Wahrscheinlichkeit präsentiert.
Nur Fragen, die mindestens X mal falsch beantwortet wurden – wenn Sie diese
Option auswählen, drillt Sie ExamGear speziell auf die Fragen, die Sie mindestens
X mal falsch beantwortet haben. Die Voreinstellung für X ist 2.
Um die für eine Option geltende Voreinstellung wieder herzustellen, klicken Sie auf
die Schaltfläche STANDARD.
eine zeitliche Begrenzung einzustellen, und geben Sie dann die Dauer des Tests in
Minuten ein. Wenn das Kontrollkästchen deaktiviert ist, wird das Examen ohne
zeitliche Begrenzung durchgeführt.
Fragen nach Kapiteln geordnet – wenn Sie diese Option wählen, gruppiert Exam-
Gear die Fragen nach Lerneinheiten, die den Kapiteln in Ihrem Buch entsprechen
und arbeitet alle gewählten Lerneinheiten nacheinander ab.
Bewertungsoptionen
ExamGear lässt Ihnen im Lernmodus die Wahl zwischen zwei unterschiedlichen
Feedback-Mechanismen:
Bewertung am Ende der Prüfung – diese Option ist die Voreinstellung. Wenn sie
gewählt ist, bewertet ExamGear zwar Ihre Antworten, eine Anzeige der Bewertung
erfolgt aber erst nach Abschluss des Tests. Fragen, zu denen Sie die Lösung anfor-
dern, zählen nicht.
Bewertung direkt nach jeder Frage – wenn Sie diese Option auswählen, müssen
Sie später im Test zuerst auf die Schaltfläche BEWERTEN klicken, bevor Sie zur
nächsten Frage weiterschalten können. ExamGear zeigt Ihnen dann die korrekte
Antwort an bzw. signalisiert Ihnen durch einen Smiley, dass Ihre Antwort korrekt
ist. Fragen, zu denen die Lösung angezeigt wird, zählen nicht.
Mit den Schaltflächen im unteren Teil des Fensters können Sie das Programm inter-
aktiv bedienen.
Ihre Punktzahl wird nach Ende der Prüfung im Fenster ABSCHLUSSERGEBNIS ange-
zeigt. Damit das Examen als bestanden betrachtet wird, müssen Sie eine bestimmte
Punktzahl erreichen.
Die folgenden Optionen stehen während des Tests immer zur Verfügung:
Schaltfläche Beschreibung
PRÜFUNG BEENDEN Bricht die Prüfung ab und zeigt den Bildschirm Punktestand an.
Die Prüfung kann von diesem Bildschirm aus jedoch im Such-
modus wieder aufgenommen werden.
SIMULATION Diese Schaltfläche startet die Simulation zur aktuellen Frage.
STARTEN Unterstützt die Frage keine Simulation, so ist die Schaltfläche
deaktiviert.
ERLÄUTERUNG Betätigen Sie diese Schaltfläche, um eine Erläuterung zu öffnen.
Eine Erläuterung kann eine Grafik- oder Textdatei sein, die ergän-
zende Informationen zur aktuellen Frage beinhaltet. Sind für die
aktuelle Frage mehrere Erläuterungen vorhanden, dann wird das
Dialogfeld Erläuterung auswählen aufgerufen, in dem die
einzelnen Erläuterungen aufgelistet sind:
Wählen Sie einen Eintrag, um die entsprechende Erläuterung zu
öffnen, und betätigen Sie nachfolgend die Schaltfläche ÖFFNEN.
Die Erläuterungen werden in getrennten Fenstern angezeigt. Gibt
es zu einer Frage nur eine einzige Erläuterung, wird diese bei Betä-
tigung der Schaltfläche ERLÄUTERUNG direkt geöffnet. Sind keine
Erläuterungen vorhanden, dann ist die Schaltfläche deaktiviert.
ZURÜCKSETZEN Mit dieser Schaltfläche können Sie die aktuelle Frage auf ihre
Standardeinstellung (»nicht beantwortet«) zurücksetzen.
946 Anhang C Die Prüfungssoftware auf der CD-ROM
Schaltfläche Beschreibung
Beim adaptiven Examen wird Ihr Wissen sehr sorgfältig überprüft, d.h. Sie
müssen nicht nur eine hohe Gesamtpunktzahl erzielen, sondern auch eine Mindest-
punktzahl für jede einzelne Lerneinheit. Um die Prüfung zu bestehen, müssen Sie
alle Lerneinheiten bestehen und insgesamt 86 % oder mehr erreichen. Sie fallen
durch, wenn Sie eine Gesamtpunktuzahl von 85 % oder weniger erreichen oder
wenn Sie in einem der Bereiche unter 70 % haben.
Sie werden vor Ihrer Prüfung nicht erfahren, welche Examensfragen auf Sie zukom-
men. Wenn Sie bei einem bestimmten Thema Schwächen aufweisen, sind Sie viel-
leicht schon durchgefallen, bevor Sie Ihre Stärken auf anderen Gebieten unter
Beweis stellen konnten. Das adaptive Examen bereitet Sie auf alle Möglichkeiten
vor und sorgt dafür, dass Sie auch die reale Prüfung bestehen.
Sie starten das Examen durch Anklicken der Schaltfläche STARTE TEST.
C.4 Die Frageformen in ExamGear 947
Abbildung C.3
Viele der Fragen, die Ihnen bei einer Zertifizierungsprüfung gestellt werden, sind
Multiple-Choice-Fragen. Um eine solche Frage zu beantworten, wählen Sie einen
oder mehrere Einträge aus einer Liste möglicher Antworten aus.
Manchmal dürfen Sie nur eine Antwort wählen (dies wird durch einen Satz wie
etwa »Wählen Sie die beste Antwort« signalisiert), bei anderen Fragen wiederum
müssen Sie mehrere Antworten eintragen; dies wird durch eine entsprechende Auf-
forderung angezeigt (etwa: »Wählen Sie zwei Antworten!«).
Wenn es auf eine Frage nur eine korrekte Antwort gibt, werden Optionsfelder neben
den möglichen Antworten angezeigt; sind mehrere Antworten möglich, so werden
Kontrollkästchen verwendet.
948 Anhang C Die Prüfungssoftware auf der CD-ROM
Antwort auswählen
Wählen Sie eine der folgenden Möglichkeiten:
씰 Klicken Sie auf das zu der Antwort gehörige Optionsfeld oder Kontrollkäst-
chen. Falls für eine Frage mehr als eine korrekte Antwort zulässig oder erfor-
derlich ist (Sie entnehmen dies der Fragestellung), finden Sie Kontrollkäst-
chen vor den Antworten, ansonsten Optionsfelder.
씰 Drücken Sie die Taste für den der Frage zugeordneten Buchstaben (A, B, C,
etc.).
Optionsfeld löschen
Wählen Sie eine der folgenden Möglichkeiten:
씰 Drücken Sie die Taste für den Buchstaben einer anderen Frage.
씰 Klicken Sie auf die Schaltfläche Zurücksetzen, um die Frage in den Anfangs-
zustand zurückzuversetzen.
Kontrollkästchen löschen
Wählen Sie eine der folgenden Möglichkeiten:
씰 Drücken Sie die Taste für den der Frage zugeordneten Buchstaben.
C.4.2 Drop&Connect
Drop&Connect-Fragen beantworten Sie, indem Sie die korrekten Antwortobjekte
auswählen und nachfolgend die richtigen Beziehungen zwischen diesen herstellen.
Diese Beziehungen werden durch beschriftete Verbindungsobjekte repräsentiert.
C.4 Die Frageformen in ExamGear 949
Sie können ein und dasselbe Verbindungsobjekt mehrfach verwenden. Das Ver-
schieben verbundener Objekte ändert deren Beziehungen zueinander nicht.
Bewertet werden nur Objekte, die mit anderen Objekten verbunden sind.
Objekte auswählen
Sie wählen ein Objekt aus, indem Sie es an die gewünschte Stelle ziehen. Sie kön-
nen Objekte frei so anordnen, wie es zur Beantwortung der Frage notwendig
erscheint. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte verwendet
werden müssen.
Objekte verbinden
Wenn Sie die gewünschten Antwortobjekte platziert haben, verbinden Sie diese,
indem Sie zwei Objekte auswählen und dann das korrekte Verbindungsobjekt aus
der Liste selektieren. Beachten Sie, dass nicht unbedingt alle vorhandenen Objekte
verwendet werden müssen und dass Objekte auch mehrfach gewählt werden kön-
nen.
Verbindungen modifizieren
Sie können die Richtung eines Verbindungsobjekts umkehren und Verbindungsob-
jekte löschen. Um die Richtung umzukehren, klicken Sie mit der rechten Maustaste
auf das Verbindungsobjekt und wählen Sie Umkehren aus dem Kontextmenü. Sie
löschen ein Verbindungsobjekt, indem Sie mit der rechten Maustaste auf das Objekt
klicken und den Eintrag Löschen aus dem Kontextmenü wählen.
Antwort zurücksetzen
Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um Ihre Antwort zu löschen und
die Frage auf den ursprünglichen Status zurückzusetzen.
1. Wählen Sie die Einträge aus, die Sie der Liste hinzufügen wollen.
2. Verschieben Sie die gewählten Einträge, um eine bestimmte Reihenfolge zu
erstellen.
Einträge hinzufügen
Wählen Sie eine der folgenden Vorgehensweisen:
씰 Doppelklicken Sie auf den gewünschten Eintrag aus der Gruppe der verfüg-
baren Einträge (rechte Liste), um ihn der Antwortliste (links) hinzuzufügen.
씰 Wählen Sie den Eintrag aus der Gruppe der verfügbaren Einträge (rechte Lis-
te), den Sie der Antwortliste hinzufügen wollen, und klicken Sie nachfolgend
auf die Schaltfläche VERSCHIEBEN.
씰 Ziehen Sie den zu entfernenden Eintrag aus der Antwortliste zurück in die
Auswahlliste auf der rechten Seite.
씰 Wählen Sie den zu entfernenden Eintrag in der Antwortliste aus und klicken
Sie nachfolgend auf die Schaltfläche ENTFERNEN.
Antwortliste zurücksetzen
Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle Einträge aus der Antwort-
liste zu entfernen.
Beachten Sie, dass sich Listeneinträge auch mehrfach auswählen lassen. Bei einigen
Fragen werden Sie aufgefordert, die Schritte, die zur Lösung einer bestimmten Auf-
gabe notwendig sind, in der richtigen Reihenfolge anzugeben; einige dieser Schritte
können während des Vorgangs auch mehrfach ausgeführt (d.h. mehrfach aus der
Auswahlliste gewählt) werden.
C.5 Punktebewertung 951
C.4.4 Baumstruktur
Fragen vom Typ »Baumstruktur« präsentieren Ihnen eine Anzahl Objekte und for-
dern Sie auf, aus diesen Objekten eine Baumstruktur zu erstellen. Das Feld links im
Fenster beinhaltet bereits übergeordnete Ebenen, zwischen denen sich die Eintrags-
objekte einfügen lassen.
Ein Eintrag aus der Auswahlliste kann mehrfach zwischen den Einträgen im linken
Feld eingefügt werden. Einträge, die eingeblendet werden können, sind mit einem
Pluszeichen (+) gekennzeichnet, bei Einträgen mit einem Minuszeichen (-) werden
alle untergeordneten Einträge angezeigt.
Baumstruktur zurücksetzen
Klicken Sie auf die Schaltfläche ZURÜCKSETZEN, um alle dem Baum hinzugefügten
Objekte wieder zu entfernen.
C.5 Punktebewertung
Während Sie ein Examen bearbeiten, ermittelt ExamGear kontinuierlich Ihren
Punktestand.
Abbildung C.4
So bewertet Exam-
Gear Ihren Lerner-
folg
Die Musterprüfung erlaubt den Zugriff auf den Fragenkatalog, allerdings ist dieser
erst möglich, wenn alle Fragen, die Bestandteil der Prüfung waren, mindestens ein-
mal angezeigt wurden.
Bei der adaptiven Prüfung ist der Zugriff auf den Fragenkatalog nicht möglich, da
hier alle Fragen dynamisch ausgewählt werden.
Bei der Musterprüfung und beim adaptiven Examen wird am Ende der abschlie-
ßende Punktestand angezeigt. Das Fenster ABSCHLUSSERGEBNIS beinhaltet ferner
eine Funktion namens WAS WAR FALSCH ODER FEHLTE, mit der Sie sich alle Fragen
anzeigen lassen können, die Sie falsch beantwortet haben.
씰 eine Bewertung, ob Ihr Punktestand zum Bestehen der Prüfung ausreicht oder
nicht
씰 eine grafische Abbildung Ihrer Punktzahl für die einzelnen Kapitel (Lernein-
heiten)
Mit der angepassten Sortierung können Sie die Ansicht Ihren Bedürfnissen anpas-
sen.
C.6 Systemanforderungen 953
Darüber hinaus können Sie über die Schaltfläche WAS WAR FALSCH ODER FEHLTE
nachprüfen, welche Fragen falsch beantwortet wurden. In diesem Modus sehen Sie
Ihre Antwort, die korrekte Antwort und eine Erklärung der korrekten Antwort.
C.6 Systemanforderungen
Die Minimalanforderungen, die ExamGear an Ihr System stellt, sind die folgenden:
B Berechtigung 903
– Alle bestätigten Schreibvorgänge 245
Banyan 902 – Alle Eigenschaften lesen 244
Banyan Vines 28 – Alle Eigenschaften schreiben 244
– Organisationseinheit 28 – Alle erweiterten Rechte 245
Baumstruktur 902 – Alle untergeordneten Objekte erstellen
Benachrichtigung 902 242, 383
Benutzer 902 – Alle untergeordneten Objekte erstellen/
– Benutzerkonto 188 löschen 245
– Konto deaktivieren 191 – Alle untergeordneten Objekte löschen
– User Principal Name (UPN) 189 242
– verwalten 206 – Assistent für Objektverwaltung 247
Benutzerdefinierte Installation 746, 750 – Auswertungsreihenfolge für
Benutzerdesktops 874 Gruppenrichtlinien 389
Benutzerfreundlichkeit 660 – Berechtigungen ändern 245
Benutzerkonfiguration 600 – Berechtigungen lesen 245
– Skripte für An- und Abmeldung 443 – Besitzer ändern 245
Benutzerkonto – erweiterte 390
– deaktivieren 191, 208 – Erweiterte Funktionen 240
– Eigenschaften ändern 192 – Freigabe in Active Directory
– hinzufügen 189 veröffentlichen 255
– Kennwort zurücksetzen 209 – für freigegebene Ordner einstellen 254
– kopieren 210 – Gruppe in Gruppenrichtlinienobjekt 384
– löschen 207 – Gruppen 223
– reaktivieren 209 – Gruppenrichtlinie 384
– Registerkarte Adresse 193 – Gruppenrichtlinie übernehmen 383
– Registerkarte Allgemein 192 – Inhalt auflisten 244
– Registerkarte Einwählen 205 – Lesen 242
– Registerkarte Konto 194 – Löschen 244
– Registerkarte Mitglied von 205 – NTFS 253
– Registerkarte Objekt 205 – Objekte erstellen/löschen 245
– Registerkarte Organisation 199 – Schreiben 242
– Registerkarte Profil 196 – Sicherung 291
– Registerkarte Remoteüberwachung 202 – Standard für Gruppenrichtlinie 382
– Registerkarte Rufnummern 198 – Uneingeschränkter Zugriff 244
– Registerkarte Sicherheitseinstellungen – Unterstruktur löschen 245
205 – vererben 246
– Registerkarte Sitzungen 201 – Vererbung blockieren 246
– Registerkarte Terminaldienstprofile 202 – verwalten einer Gruppenrichtlinie 389
– Registerkarte Umgebung 200 – verweigern 383
– Registerkarte Veröffentlichte Zertifikate – verweigern, Warnung vor 254
203 – Windows Installer 430
– umbenennen 207 – zuweisen, zum Verwalten eines GPO 389
– User Principal Name (UPN) 189 Berechtigung für Images 730
– verwalten 188 Berechtigungen für Images 730
– Vorlage 210 Bereich, Gruppenrichtlinie 360
Benutzerprozess 902 Bereitstellung
Benutzerumgebungen – erneute 906
– Steuerung von 806 – von Software mittels Gruppenrichtlinien
– Verwaltung und Fehlersuche mittels 539
Gruppenrichtlinien 806 – von Software, erneute 552
Stichwortverzeichnis 959
– Umfang der Benutzereingriffe 712 – einer Datenbank für die Analyse Ihres
– und Konfiguration von WinINSTALL LE Computers in Sicherheitskonfiguration
525 und -analyse 616
– von RIS 688 – einer Überwachungsrichtlinie 638
Installations-Manager, zusätzliche – eines Computers mit
Einstellungen 716 Sicherheitseinstellungen 624f.
Installationsordner 719 – und Implementierung einer
Integration, Zonen 86 Überwachungsrichtlinie 633
Internet 909 – von Clientinstallationsoptionen 744
– .edu-, .gov-, .com-, .org-Domänen 55 – von MMC mit dem Snap-In
– Domänenhierarchie 54 Sicherheitskonfiguration und -analyse
– NS-Einträge 56 614
– Secondlevel-Domäne 55 – von MMC mit dem Snap-In
– Toplevel-Domäne 55 Sicherheitsvorlagen 604
Internet Explorer – von Paketänderungen 556
– administrative Vorlage 410, 429 – von Paketbereitstellungsoptionen 543
– Internet Explorer-Wartung 454 – von RIS 695
– Proxyserver 455 – von Softwareaktualisierungen
Internet Explorer Administration Kit 720 Übung 579
IP (Internet Protocol), Replikation 149 – der Überwachung für Dateien und Ordner
IPCONFIG, Verwendung 90 642
IP-Sicherheitsrichtlinien 600 – der Überwachung für Drucker 646
Iterative Abfrage 909 Konfiguration von
IXFR (inkrementelle Zonenübertragung) 85 Softwarebereitstellungsoptionen, Übung
577
K Konfigurationsinformationen, Replikation
142
Katalog, globaler 855, 907
Konfigurationspartition 909
Kategorien, Register 561
Konflikte, Gruppenrichtlinienverarbeitung
Kategorisieren eines Softwarepakets 563
368
KCC (Knowledge-Konsistenzprüfer) 144
Konten 862
– Verbindungsobjekt 145
Konten wieder herstellen 856
Kein Vorrang 909
Kontenerstellung und -verwaltung 818
Kennwort zurücksetzen 863
Kontensperrung 598
Kennwortrichtlinie 871
Kontenverwaltung 634
Kennwortvorgaben 658
Konto
Kerberos 82
– Administrator 189
Klasse 909
– Benutzerkonto 188
– Domäne 31
– Computerkonto 182
Knowledge-Konsistenzprüfer (KCC) 144,
– deaktivieren 191, 208
909
– Eigenschaften ändern 192
Konfiguration 791
– Gast 189
– der Dateierweiterungspriorität für ein GPO
– hinzufügen 189
566
– Kennwort zurücksetzen 209
– der Namensoptionen 740
– kopieren 210
– der Systemsicherheit 614
– löschen 207
– der Überwachung für Active Directory-
– reaktivieren 209
Objekte 650
– umbenennen 207
– des Quellcomputers 735
– Vorlage 210
– des Servers, Assistent 689, 693
Kontorichtlinien 598
– einer Antwortdatei 710
Stichwortverzeichnis 969
L – Warnungen 15
– Wiederholungsfragen 15
Ländereinstellungen 717 Lernstile 827
– administrative Vorlage 420 Lernziele 595
LAN-Manager, PDC (Primärer – Verzeichnisdienst-Infrastruktur 595
Domänencontroller) 27 Löschen von Sicherheitsvorlagen 612
27, 909 Lokal, Gruppe 217
Lastausgleich Lokale Richtlinien 599
– Vorkonfiguration 752
– zwischen RIPrep-Images 739 M
LDAP (Lightweight Directory Access
Protocol) 82, 909 MAC (Media Access Control) 910
LDAP Data Interchange Format Directory Macintosh, Sicherheit 240
Exchange (LDIFDE) 212 Maßgebende Wiederherstellung 293, 309
LDAP-Server 795 Masterserver 76, 910
LDIFDE (LDAP Data Interchange Format MCDBA 924
Directory Exchange) 212 MCP 924
– Beispieldatei 214 – Prüfungen 830
Leistungsindikator, Leistungsprogramm MCP + Internet 924
331 MCP + Site Building 924
Leistungsmanagement 820 MCSD 925, 933
Leistungsprogramm MCSE 924
– Leistungsindikator 331 MCSE + Internet 924
– Leistungsprotokolle 332 MCSE-Prüfung
– Nutzen 330 – Internet-Adressen 16
– Objekt 330 – Themenübersicht 16
Leistungsprotokolle, Leistungsprogramm – Tipps, allgemeine 21
332 MCT 925, 937
Lernhilfe – Guide 937
– ExamGear 15 Mehrsprachige Bereitstellung 750
– Fallstudie 15 Methode 910
– Hinweise 15 – Datenbank 35
– Organisation des Buchs 14 – Objekt 35
– praktische Testaufgaben 15 – Verb 35
– Prüfungstipps 14 Microsoft Certified Database
– Schlüsselbegriffe 15 Administratoren (MCDBA) 924
– Schlüsselbegriffe 2. Kapitel 94 Microsoft Certified Professional (MCP) 924
– Tipps für das Selbststudium 14 Microsoft Certified Professional + Internet
– Tipps für das Selbststudium zu Active (MCP + Internet) 924
Directory-Dienste verwalten 180 Microsoft Certified Professional + Site
– Tipps für das Selbststudium zu Active Building (MCP + Site Building) 924
Directory-Struktur aufbauen 110 Microsoft Certified Solution Developer
– Tipps für das Selbststudium zu DNS für (MCSD) 925, 933
Active Directory konfigurieren 52 Microsoft Certified Systems Engineer
– Tipps für das Selbststudium zu (MCSE) 13, 924
Gruppenrichtlinien zum Verwalten von Microsoft Certified Systems Engineer +
Benutzern 355 Internet (MCSE + Internet) 924
– Tipps für das Selbststudium zu Server Microsoft Certified Trainer (MCT) 925, 937
verwalten 278 Microsoft Management Console 597
– Tipps zum Selbststudium zu Grundlagen – administrative Vorlage 411
von Active Directory 25 Microsoft NetMeeting, administrative
– Tipps, allgemeine zur Prüfung 21 Vorlage 409, 428
970 Stichwortverzeichnis