Beruflich Dokumente
Kultur Dokumente
Windows Server 2022 ist ein reines 64-Bit-Betriebssystem. Es ist das Server-Pendant zu Windows 10 /
11 und unterstützt die Funktionen und Oberflächen der Windows Client-Betriebssysteme.
Mindestanforderungen:
.) 64-Bit Prozessor
.) 32 GB freier Festplattenplatz
.) 2 GB für Installation der GUI
.) 1 Gbit Netzwerkadapter
.) DVD-Laufwerk oder Boot-Funktion von USB
.) SVGA-Grafik, Tastatur/Maus
Im Unterricht erwähnt: Es gibt Windows Server 2022 Essentials, ist eher für kleinere Unternehmen
(25 Benutzer/50 Geräte). Windows Server 2022 Standard --> hat normale Funktionalität und ist für
große Unternehmen.
SAC (Semi-Annual-Channel): ist eine Serviceoption, bei der Windows zweimal im Jahr ein Update für
Windows-Server-Betriebssysteme liefert.
LTSC (Long Term Servicing Channel): Der Support wird für max. 10 Jahre sichergestellt
Installationsarten: Standard mit GUI, Server-Core (von Microsoft bevorzugt, sicherer da weniger
Code) (Man kann zwischen beiden Schalten)
2.2 Virtualisierung:
Durch Hyper-V kann man unter Windows Server 2022 mehrere virtuelle Systeme betreiben. Es
können Serverrollen an Betriebsysteminstanzen gekoppelt werden (um dadurch die vorhandene
Hardware besser ausnutzen)
Vorteile: Verringerung der Betriebskosten, Verringerung von Komponenten
2.3 Verzeichnisdienste: Verzeichnisdienste haben die Aufgabe, die Ressourcen eines Netzwerks
verfügbar zu machen. Eine Ressource ist alles, was zum Netzwerk gehört, z. B. Benutzer, Computer,
Dienste, gemeinsam verwendete Anwendungen und gemeinsam verwendete Daten oder Geräte im
Netzwerk.
Active Directory: Das Active Directory (AD) ist der Verzeichnisdienst in Microsoft-Netzwerken. Beim
AD handelt es sich um eine hierarchische strukturierte Datenbank. AD basiert auf der X.500
Datenbank. Das AD unter Windows Server 2022 ermöglicht das problemlose Klonen von
virtualisierten Domänencontrollern.
2.4 Sicherheitsfunktionen:
Sicherheit durch AD-Verzeichnisdienst: Durch
Anmeldeauthentifizierung, Gruppenrichtlinien und
Zugriffsberechtigungen wird Sicherheit auf der logischen Ebene
gewährt.
RODC (Read-only Domain Controller): Damit stehen schreibgeschützte Versionen der Active
Directory-Datenbank zur Verfügung, die an Standorten mit eingeschränkter Replikation und ohne
administratives Personal verwendet werden können
2.5 Verwaltungsfunktionen:
Windows-Bereitstellungsdienste (Windows Deployment Services, WDS): ermöglichen eine schnelle
Installation von Workstations und Servern im Netzwerk.
MMC (Microsoft Management Console): ist eine Verwaltungsplattform, mit der die verschiedenen
Programme (als „Snap-In“ bezeichnet) zur Verwaltung aufgerufen werden können. Sie können die
MMC anpassen, indem Sie nur solche Snap-Ins aufnehmen, die Sie zur Ausführung der
Verwaltungsarbeiten benötigen.
Windows Script Host (WSH): damit können Skripts vom Desktop oder von der Befehlszeile
ausgeführt werden. Ein Instrument zum Automatisieren von Verwaltungsaufgaben ist
sprachunabhängig.
Windows Admin Center: webbasierte Verwaltungsoberfläche für Windows Server. Benötigt wird die
Installation des Gateways für das Windows Admin Center auf dem Server/der Arbeitsstation.
Administratoren verbinden sich mit einem Webbrowser mit dem Gateway und können dann darüber
die Server im Netzwerk mit dem Windows Admin Center verwalten.
Remotedesktopdienste: ermöglichen Benutzern den Fernzugriff auf einen Computer. Sie übertragen
nur die Benutzeroberfläche eines Programms auf den Arbeitsplatz des Benutzers. Der
Remotedesktopserver übernimmt die gesamte Rechenleistung für die Datenverarbeitung.
2.7 Netzwerkinfrastruktur:
Ressourcen-Manager: Unter Windows Server 2022 kann man mit dem Ressourcen-Manager
festzulegen, welche Dateitypen auf bestimmten Laufwerken gespeichert werden dürfen. Wenn ein
Benutzer versucht, verbotene Dateitypen zu speichern, lassen sich verschiedene Reaktionen
vorgeben, etwa das Verbot der Speicherung oder eine E-Mail-Benachrichtigung an den
Administrator. Dynamic Access Control, DAC) ermöglicht durch Klassifizierung von Dateien nach
Kriterien (z.B. Speicherort, Größe, Dateityp…) eine Verwaltung von Dateiservern inklusive einer
intelligenten Kontingentverwaltung. Klassifizierung kann automatisch (durch die festgelegten Regeln)
oder manuell für bestimmte Ordner eingerichtet werden.
Datenträgerdeduplizierung: Damit können redundante Dateien, die auf einem Datenträger liegen,
erfasst und eliminiert werden.
ReFS: Resilient File System (robustes Dateisystem, ReFS) Dateisystem welches für die Bereitstellung
von Dateien im Netzwerk geeignet ist. ReFS baut auf NTFS auf, verzichtet jedoch auf einige
Funktionen von NTFS. Daher kann ReFS nicht für bootbare Systemdatenträger verwendet werden.
Derzeit primär auf Speicherdatenträgern von Fileservern auffindbar.
5 Hyper-V-Testumgebung
Virtualisierung: reale Komponenten durch eine virtuelle (scheinbar existierende) Entsprechung
darzustellen. Kann in der IT eine Hardware, eine bestimmte Funktion oder eine komplette
Softwareumgebung sein.
Prüfpunkte
Live-Migration: Mit aktuellen Hyper-V-Version können virtuelle Maschinen im laufenden Betrieb auf
einen anderen Host verschoben werden. Dieser Vorgang ist für die Benutzer völlig transparent und
erfordert kein Abschalten oder Neustart oder Konfigurationsänderungen am virtuellen Server.
Cluster
Serverrollen: Server können unterschiedliche Rollen im Netzwerk übernehmen. Manche sind für
Virtualisierung geeignet andere nicht. (nicht allzu relevant i believe)
Virtueller Switch:
6 Active Directory
Verzeichnisdienst in Windows-Netzten in dem alle Ressourcen hierarchisch strukturiert gespeichert,
identifiziert & zugänglich gemacht werden.
Schema- und die Konfigurations-Partition ist auf allen Domänencontroller (DC) in einem
AD gleich. AD wird durch AD-Domänendienst ADDS(Serverrolle) verwaltet.
6.2 Domäne, Struktur & Gesamtstruktur
Planung der Verzeichnisstruktur
Logische Zusammenhänge zwischen Geschäftsprozessen, Abhängigkeiten, Hierarchien, sowie
die Funktion und Aufgabenteilung untersuchen.
Geografische Gegebenheiten haben kein Einfluss auf Domänenplanung
Domäne
Stellt zentral verwalteten Sicherheitsbereich dar, der administrative Grenze im AD bildet
Ous: Zur Strukturierten Speicherung der Objekte
Domäne ähnelt umzäunten Grundstück, also Eigentümer bestimmt:
o wer (nicht) reindarf
o wo sich Personen/Einrichtungen auf dem Grundstück befinden
o Hausordnung regelt Umgang miteinander
AD-Implementierungen bestehen meistens aus einzelnen Domänen (>1 Domänen, wenn man
mio. Objekte verwaltet, mehrere administrative Grenzen benötigt werden oder bei einzelnen
Standorten mit sehr langsamen Verbindungen untereinander)
Domäne erstellen, indem man DC installiert
Domänen-Name orientiert sich am DNS-Namespace
DC speichert alle Objekte seiner Domäne
Struktur: Baum/Tree
Wird erstellt, wenn …
o in AD-Domäne weitere Domänen hinzugefügt werden und ihnen der übergeordneten
Domänen-Name zugeordnet wird (entsteht Subdomäne)
Vertrauensstellung: innerhalb AD automatisch zwischen Domänen angelegt
Ermöglichen, dass User einer Domäne auf Ressourcen einer anderen Domäne zugreifen können
Beschreibt Beziehung zwischen 2 Domänen
Vertrauende Domäne lässt Anmeldeauthentifizierungen aus vertrauten Domänen zu (vertrauen
User der vertrauten Domäne)
Erhöht Ausfallsicherheit
Man sollte mehrere DCs in einer Domäne haben (DCs gleichberechtigt), auf denen
Verwaltungsaufgaben erfolgen können Lastenverteilung
Betriebsmaster-Rolle stellt Ausnahme von Gleichberechtigungsregel dar
RID-Master ist für das Verarbeiten von Anforderungen an den RID-Pool von allen DCs in einer bestimmten
Domäne verantwortlich.
à einmal pro Domäne vorhanden
Infrastrukturmaster: dafür verantwortlich, die SIDs eines Objekts und dessen Distinguished Name in einer
domänenübergreifenden Referenz zu aktualisieren.
Distinguished Name: für einen menschlichen Benutzer verwertbare Name des Objekts.
Domain Naming Master: kann eine Domäne zum Verzeichnis hinzufügen/entfernen. Er stellt die
Eindeutigkeit der Namen der Domänen sicher. àeinmal pro Forest vorhanden
Schemamaster: ist für Änderung des Schemas zuständig. Wenn die Schemaaktualisierung abgeschlossen ist,
wird sie vom Schemamaster aus auf alle anderen DC im Verzeichnis repliziert à ist einmal pro Forest
vorhanden.
6.5 Organisationseinheiten
Sinn von OU:
Wenn AD-Client lokal keine Ressourcen findet, sucht er weiter auf billigste Standortverknüpfung. Je
mehr Standorte der Client passiert erhöhen sich die „Wegkosten“.
AD-Standort ist keine OU / Gruppe, sondern 1 oder mehr IP-Netze mit Namen
o
SYSVOL\sysvol\<Domänenname>\scripts
o Darin werden Benutzer-Anmeldeskripte gespeichert
SYSVOL\staging
o zur Replikation-Verwaltung benötigt
SYSVOL\staging areas
o zur Replikation-Verwaltung benötigt
DNS-Domänenname
ist ein hierarchischer Namensraum für Computer, Dienste und DNS-Subdomänen eines
Netzwerks
durch die Domänen bildet sich eine Hierarchie
o Root-Domäne
Zentrale Verbindung aller Domänen => Ausgangspunkt (wird meist nicht
angegeben in der URL)
o Firstlevel-Domäne (Toplevel-Domäne)
Länder oder Organisationen (.at/.de/.org/.com)
o Secoundlevel-Domäne
Von Organisationen (schon registrierte Namen) die Subdomänen
Für die interne Auflösung jedoch selbst verantwortlich
Hostnamen
Primäres DNS-Suffix
entspricht dem Namen der Active Directory-Domäne
DNS-Domänenname muss für jeden Host angegeben werden
Wenn ein Computer mehrere Netzwerkkarten dann benutzt, werden verbindungsspezifische
DNS-Suffixe verwendet
8.2 Namensauflösung
Wie DNS funktioniert
Vor Aufbau einer Verbindung zu Zielhost muss Namensauflösung durchgeführt werden
Geschieht meist von angegebenen FQDN zu IP (es geht auch andersrum IP zu FQDN)
Je nach Richtung der Namensauflösung verwendet man
o Forward-Lookup
o Reverse-Lookup
Forward-Lookup
Bei der Forward-Lookup-Anfrage sendet DNS-Client FQDN zu einen DNS-Server, der gesuchte
IP-Adresse zurückliefert
Damit Verbindung aufgebaut werden kann, muss die Anfrage beantwortet werden
Reverse-Lookup
Bei der Reverse-Lookup-Anfrage sendet DNS-Client eine IP-Adresse zu einen DNS-Server, der
gesuchte FQDN returniert
Anfrage muss nicht zwingend beantwortet werden
Client-/Servermodell der Namensauflösung
Falls DNS-Server die Anfrage des DNS-Clients nicht lösen kann > schickt DNS-Server die Anfrage
weiter an übergeordneten DNS-Server
Alternativ kann man auf einem DNS-Server einen anderen DNS-Server konfigurieren, um
Weiterleitung zu gewährleisten
Man kann auch Namensauflösung ISP (Internet Service Provider) überlasen
Namenservercaching
Bei jeder Abfrage speichert DNS-Server Ergebnis im Cache
Lebensdauer des Ergebnis hängt vom TTL (Time To Live) ab
TTL default Wert bei
o Microsoft-Server: 24h
o Clients: 1h
Die GlobalNames-Zone
Ist ein weiterer Datentyp im DNS
Darin können Hostnamen gespeichert werden, die unabhängig von DNS-Suffix aufgelöst werden
sollen
Eine spezielle Art von Forward-Lookupzone, die auf DNS-Suffix verzichtet
Muss extra aktiviert werden
8.5 Zonen
Zonen & Zonendateien
Bei vielen IPs & Namen (große NW) werden Domänennamespace in Zonen aufgeteilt
Dadurch wird Namensauflösung beschleunigt
Verwaltung des Domänennamespace kann durch Aufteilung in Zonen auf mehreren admins
verteilt werden
Zone kann umfassen
o Domäne &/oder Subdomänen
o Einzelne Subdomänen
o Teile einer Domäne
Jede Zone speichert DNS-Namen von IPs in Zonendatei, welche in Zonendatenbank gespeichert
wird.
Ist meistens aufwändig und eine saubere Auflösung von Anfragen ist nicht garantiert
Besser in Subdomänen teilen
DNS-Stamm
Sind DNS-Domänen an oberster Stelle in der Hierarchie (Im Internet wäre das “.“ = root)
DNS-Server, die den haben nennt man => Stammnamenserver (Root Name Server)
Namenserver
Server mit Zonendatenbank => DNS-Namensserver
Ist für Zone autorisiert
Jede Zone braucht einen DNS-Namensserver
1 Server kann mehrere Zonen haben
o Nachteil
Wenn der eine ausfällt > fallen alle Zonen mit (keine Namensauflösung)
Auslastung hoch der muss dann alle Zonen verwalten
Positionierung mehrerer Namenserver
1 ist primärer Namenserver mit primäre Zonendb
Alle anderen sekundäre Namenserver, haben Kopie von primäre Zonendb (Zonenübertragung)
Bei Änderungen wird primäre Zonendb geändert und sekundäre werden aktualisiert
In sekundäre Namenserver kann man sich nicht registrieren
Replikationsmethoden:
Vollständige Zonenü. (AXFR): gesamte Zonendatei von primären DNS auf die sekundären
übertragen.
Inkrementelle Zonenü. (IXFR): nur Änderung der Zonendaten werden vom primären DNS an
den sekundären übertragen.
Vom primären DNS(Namensserver) veranlasse Zonenü.: Bei Änderung der Zonendaten
benachrichtigt der primäre DNS den sekundären über die Änderung. Der sekundäre
Namenserver fordern daraufhin eine Zonenübertragung an.
Vom sekundären DNS veranlasste Zonenü.: Ein sekundärer Namenserver fragt seinen
Masterserver nach Änderungen in der Zonendatei ab, wenn der DNS-Serverdienst auf dem
sekundären Namenserver neu gestartet wird oder das Intervall für die Serveraktualisierung
abläuft.
8.7 Zonendelegierung: das Festlegen des/der zuständigen Nameserver für eine Zone.
Vorteile Delegierung:
Ein Teil des DNS-Namespaces kann einer anderen Abteilung bzw. einem anderen
Administrator überantwortet werden.
Auslastung der für die übergeordnete Zone autorisierenden DNS-Server wird verringert.
Außerdem wird der DNS-Server, der die Stubzone hält, durch regelmäßige Replikation mit dem
Master-DNS-Server über Änderungen informiert. Somit lernt er, wenn neue Namenserver
hinzugefügt oder bestehende aus der Struktur entfernt werden.
8.8 Einträge in der Zonendatenbankdatei
Heißen Ressourceneinträge
In folgenden Fällen erhält der Client eine ablehnende Antwort DHCP-NACK (Non
Acknowledgement):
DHCP unterstützt sogenannte Reservierungen. Dabei wird einer MAC-Adresse eine IP-Adresse fest
zugeordnet. So erhalten Computer dynamisch immer dieselbe IP-Adresse. Reservierungen sind nicht
für alle Server-Typen geeignet, beispielsweise darf ein DHCP-Server nicht gleichzeitig DHCP-Client
sein.
Replikationsintervall kann gewählt werden zwischen: keine Replikation, 1x, 2x oder 4x pro Stunde.
Dringende Replikationen:
Kritische Änderungen im AD werden sofort repliziert. Dringende Replikationen werden durch
folgendes ausgelöst:
.) Benutzerkontosperrung mehrmaliger falschen Eingabe des Kennworts
.) Bearbeitung der Kontosperrungsrichtlinien
.) Änderungen am RID-Master usw....
Weitergabe von Kennwortänderungen von Domänenbenutzern: nicht normal repliziert, sondern durch
einen sicheren Kanal über RPC-over-IP-Verbindung. Kann keine Verbindungen hergestellt bekommt
man eine Fehlermeldung.
11.4 Replikationskomponenten
Konsistenzprüfung: Die KCC läuft als Dienst auf allen Domänencontrollern. Sie erstellt eine
Replikationstopologie für die Active Directory-Replikation, indem sie Replikationspfade
einrichtet.
Serverobjekte: Das Serverobjekt bezieht sich auf die Rolle des Domänencontrollers in der
physischen Struktur, also seine Zugehörigkeit zu einem Standort und seine Stellung innerhalb der
Replikationstopologie.
NTDS-Settings: Dieser Container gehört zum jeweiligen Serverobjekt. Er enthält alle
Verbindungsobjekte des Serverobjekts.
Verbindungsobjekt: Ein Verbindungsobjekt ist ein unidirektionaler Replikationspfad zwischen
zwei Serverobjekten.
12 AD-Objekte verwalten
Container der Domäne
Vordefinierte Container in einer Domäne:
Builtin: Gruppen, die man auf einem Mitgliedsserver/Client findet.
Computers: alle Computerkonten, die beim Hinzufügen eines Rechners zur Domäne automatisch
erstellt wurden.
Domain Controllers: Alle DCs dieser Domäne sind darin gespeichert. Ist die einzige
standardmäßig eingerichtete Organisationseinheit. Sollte die Einstellungen/Inhalt dieser OU nicht
ändern.
ForeignSecurityPrincipals: Container für SIDs vertrauter Domänen einer anderen
Gesamtstruktur.
LostAndFound: alle AD-Objekte aufbewahrt, die nicht zugeordnet werden können. Dies können
z. B. Objekte sein, die in eine bereits gelöschte OU verschoben wurden, was jedoch noch nicht im
AD repliziert wurde.
Managed Service Accounts: Dienste/Konten (z. B. für Exchange-, SQL- oder Internet Information
Server) und virtuelle Konten einfacher verwaltet (ausschließlich über PowerShell) werden.
Selbst erstellte Ous: alle OUs, die innerhalb der Domäne erstellt wurden. Ous bilden die logische
Struktur des Active Directory.
Program Data: Container, in dem Anwendungen ihre Daten im AD speichern können.
System: Bei der Installation von Microsoft-Applikationen werden hier Informationen abgelegt.
Users: Benutzer- und Gruppenkonten der Windows-Domäne.
NTDS Quotas (Active Directory-Kontingente): Mit den Quotas lässt sich festlegen, wie viele
Objekte in einer Active Directory-Domäne ein Benutzer erstellen bzw. besitzen darf.
TPM Devices: Container, der die Wiederherstellungsinformationen für TPM-Geräte (Trusted
Platform Module) enthält.
ADSI-Editor (Active Directory Service Interface Editor): mit dem können Objekte/Attribute in dem
Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) verwaltet (das
Anzeigen, Ändern, Löschen und Erstellen von Objekten) werden.
13 Benutzer und Gruppen
Objekt Benutzer dient dazu, Personen im AD abzubilden. Komponenten des Benutzerobjektes sind
die SID und die GUID, über die das Objekt eindeutig in der Domäne und der Gesamtstruktur
identifiziert werden kann.
13.1 Gruppentypen:
Sicherheitsgruppen: Sicherheitsgruppen steuern den Zugriff auf Ressourcen. Dabei wird die SID der
Gruppe in die ACL eines Objektes aufgenommen.
Lokale Gruppen (in Domäne): Zuweisung von Berechtigungen in der lokalen Domäne
Mitglieder:
· Eingebettete lokale Gruppen derselben Domäne
· Benutzer von Domänen der Gesamtstruktur
· Globale/universale Gruppen von Domänen der Gesamtstruktur
· Benutzer, globale/universale Gruppen der verbundenen Forests
Universale Gruppen: Zum Zuweisen von Berechtigungen in allen Domänen der Gesamtstruktur und in
Vertrauensstellungen verbundenen Gesamtstrukturen
Mitglieder:
· Benutzer aus beliebigen Domänen der Gesamtstruktur
· Globale Gruppen beliebiger Domänen der Gesamtstruktur
· Eingebettete universale Gruppen aus jeder Domäne der Gesamtstruktur
AGDLP-Regel: Teil der Erfolgsmethoden für Windows-Administratoren. Regel erklärt die sinnvolle
Verschachtelung von Gruppen. Die Buchstaben stehen für A = Account (Benutzerkonto), G = globale
Gruppe, DL = domänenlokale Gruppe, P = Permission (Erlaubnis)
1. Benutzer(A) erhält Mitgliedschaft in einer globalen Gruppe (G)
2. Globale Gruppe (G) in lokale Gruppe (DL) platziert
3. Vergabe von Zugriffsberechtigungen (P)
15 Rechte und Berechtigungen
Recht: ist die Erlaubnis oder die Verweigerung, auf einem System bestimmte Handlungen
durchzuführen.
Beispiele für Rechte betreffen Tätigkeiten wie das Installieren von Treibern, lokale Anmeldungen,
den Zugriff auf bestimmte Bereiche der Registry, das Ändern der Systemzeit oder das Anlegen
von Benutzerkonten.
Rechte werden für bestimmte Benutzer oder Gruppen definiert oder können auch von
vordefinierten Gruppen stammen, denen das Benutzerkonto hinzugefügt wird.
Berechtigungen: werden an Objekte gekoppelt. Sie definieren, dass ein Benutzer, eine Gruppe oder
ein Computer bestimmte Handlungen an einem Objekt durchführen darf. Die Berechtigungen
werden auch in den Eigenschaften des Objektes gespeichert.
Berechtigungen verweigern: Berechtigungen können gewährt oder verweigert werden. Dabei ist das
Verweigern stets stärker als das Gewähren.
Vorteile:
Handlungsmöglichkeiten von Benutzern festlegen
Aufrechterhaltung von Computerkonfigurationen
Pflege und Verfügbarkeit der verwendeten Anwendungsprogramme im Unternehmen
Verwaltungsaufwand der Admind. Senken
Einsatzbereiche:
Registrierungseinträge überschreiben
Domänensicherheit
Skriptverarbeitung
Softwareinstallation
Softwareeinschränkung
Internet Explorer
Ordnerumleitung
Verarbeitung:
20.5 Vererbung
Innerhalb einer Domäne findet eine Vererbung der GPOs statt, d. h., OU erbt immer die GPOs
einer übergeordneten OU
Ebenso kann man Vererbung ERZWINGEN, das heißt diese GPO wird auch wenn in
untergeordneten OUs durch eine Richtlinie eine Einstellung wieder rückgängig gemacht wird,
bleibt die Einstellung so gesetzt, wie in der erzwungenen Richtlinie konfiguriert.
Anlegung GPO
GPO können an 4 Orten angelegt werden
o Domäne > gilt für alle Benutzer/Computer in Domäne
o OU > gilt für alle in OU
o Standort > GPO an physischen Ort, gilt für alle die da sind
o Lokal > GPO lokal am Rechner
Da es mehrere GPOs geben kann wird nach Reihenfolge abgearbeitet/verarbeitet:
o Lokal
o Standort
o Domäne
o Äußerste OU
o Innerste OU
Tabelle gilt, wenn Vererbung aktiv
o Wenn nicht aktiv, dann zählt eigene
Sicherheit
Rechte können auf ein GPO gesetzt werden, Z.B. Zugriffsrechte
Filter
Man kann Filter (Bedingungen) erstellen, wer soll GPO nehmen, wer nicht à BSP Mit WMI-
Filtern lässt sich beispielsweise steuern, dass eine GPO nur auf Computern mit einem
»Genuine Intel«-Prozessor ausgeführt werden soll.
Nennt man WMI-Filter (Windows Management Instrumentation)
Lokale GPOs
4 lokale GPOs für Einstellungen des lokalen PC
o Das Lokale Richtlinienobjekt (Local Policy Object)
o GPO für Administratoren
o GPO für Nicht-Administratoren
o Ein benutzerspezifisches lokales GPO
Diese GPOs sind gut für „spezielle“ Computer, die zusätzliche Einstellungen brauchen
Starter-GPO
Über Domänengrenze gibt es keine GPO Vererbung heißt, wenn User über mehrere Domänen
verteilt sind und dasselbe tun sollen => muss in jeder Domäne gleiche GPOs sein
Wenn mehrere OUs mit Mitarbeitern an mehreren Standorten gibt und die alle dieselben
Aufgaben haben sollen (GPO) dann funktioniert Vererbung auch nicht wie gewollt
Starter-GPOs lösen diese Probleme, damit man nicht überall dieselben GPOs eintippen muss
Starter-GPOs dienen als Art „Vorlage“, die verwendet werden kann für neu erstellte Objekte
Gruppenrichtlinien Voreinstellungen
Bietet diverse Voreinstellungen, bisher verwendete Login-Skripts zu eliminieren
Voreinstellungen vs Richtlinien
23 Notfallsicherung
23.1 Strategien und Wiederherstellungsfunktionen
Fehlertoleranz: bezeichnet ein Konzept, das gewährleistet, dass durch den Ausfall einer
Teilkomponente das Gesamtsystem nicht nennenswert beeinträchtigt wird.