2 Windows Server 2022:

Windows Server 2022 ist ein reines 64-Bit-Betriebssystem. Es ist das Server-Pendant zu Windows 10 /
11 und unterstützt die Funktionen und Oberflächen der Windows Client-Betriebssysteme.

Mindestanforderungen:
.) 64-Bit Prozessor
.) 32 GB freier Festplattenplatz
.) 2 GB für Installation der GUI
.) 1 Gbit Netzwerkadapter
.) DVD-Laufwerk oder Boot-Funktion von USB
.) SVGA-Grafik, Tastatur/Maus

Im Unterricht erwähnt: Es gibt Windows Server 2022 Essentials, ist eher für kleinere Unternehmen
(25 Benutzer/50 Geräte). Windows Server 2022 Standard --> hat normale Funktionalität und ist für
große Unternehmen.

SAC (Semi-Annual-Channel): ist eine Serviceoption, bei der Windows zweimal im Jahr ein Update für
Windows-Server-Betriebssysteme liefert.
LTSC (Long Term Servicing Channel): Der Support wird für max. 10 Jahre sichergestellt
Installationsarten: Standard mit GUI, Server-Core (von Microsoft bevorzugt, sicherer da weniger
Code) (Man kann zwischen beiden Schalten)

2.2 Virtualisierung:
Durch Hyper-V kann man unter Windows Server 2022 mehrere virtuelle Systeme betreiben.  Es
können Serverrollen an Betriebsysteminstanzen gekoppelt werden (um dadurch die vorhandene
Hardware besser ausnutzen)
Vorteile: Verringerung der Betriebskosten, Verringerung von Komponenten

Snapshots (Prüfpunkte): von virtuellen Servern: erlauben das Festhalten unterschiedlicher

Konfigurationszustände (Momentaufnahme der virtuellen Maschine). So lassen sich bestimmte
Konfigurationen mehrfach nacheinander ausüben, ohne erst eine Deinstallation von Diensten oder
gar Betriebssystemen durchführen zu müssen. --> gut für Testumgebungen

Hardwarevoraussetzungen für Virtualisierung

.) moderne CPU, die Virtualisierung und BIOS-Unterstützt
.) entsprechende Speicherkapazitäten (je nach Anzahl der benötigten Hosts)

2.3 Verzeichnisdienste: Verzeichnisdienste haben die Aufgabe, die Ressourcen eines Netzwerks
verfügbar zu machen. Eine Ressource ist alles, was zum Netzwerk gehört, z. B. Benutzer, Computer,
Dienste, gemeinsam verwendete Anwendungen und gemeinsam verwendete Daten oder Geräte im
Netzwerk.

Active Directory: Das Active Directory (AD) ist der Verzeichnisdienst in Microsoft-Netzwerken. Beim
AD handelt es sich um eine hierarchische strukturierte Datenbank. AD basiert auf der X.500
Datenbank. Das AD unter Windows Server 2022 ermöglicht das problemlose Klonen von
virtualisierten Domänencontrollern.
 2.4 Sicherheitsfunktionen:
Sicherheit durch AD-Verzeichnisdienst: Durch
Anmeldeauthentifizierung, Gruppenrichtlinien und
Zugriffsberechtigungen wird Sicherheit auf der logischen Ebene
gewährt.

Verschlüsselung: Verschlüsselung ist eine Methode, physische

Daten zu sichern. Z.B. Dateien und Ordner durch den Einsatz von EFS
(Encrypted File System) oder BitLocker. Auch Anmeldedaten im
Netzwerk können verschlüsselt werden, durch: MS-CHAPv2 und
PEAP. Protokolle zur sicheren Datenübertragung: IPsec und SSL.

BitLocker-Laufwerkverschlüsselung: Damit lassen sich komplette Datenträger verschlüsseln. Bevor

der Zugriff auf einen Datenträger erlaubt wird, wird eine Integritätsprüfung durchgeführt. (mit TPM-
Technik, Trusted Plattform Module)  Datenträger kann nicht mehr in einen anderen Rechner
eingebaut werden, um seinen Inhalt zu lesen. Verlust des Datenträgers hat keine Auswirkungen, bei
Defekt wird Zugriff auf Daten aber erschwert

RODC (Read-only Domain Controller): Damit stehen schreibgeschützte Versionen der Active
Directory-Datenbank zur Verfügung, die an Standorten mit eingeschränkter Replikation und ohne
administratives Personal verwendet werden können

2.5 Verwaltungsfunktionen:
Windows-Bereitstellungsdienste (Windows Deployment Services, WDS): ermöglichen eine schnelle
Installation von Workstations und Servern im Netzwerk.

Gruppenrichtlinien: ein mächtiges Verwaltungsinstrument unter AD. Mit ihnen können

beispielsweise die Desktops der verschiedenen Benutzer verwaltet und Anwendungen von zentraler
Stelle aus auf Workstations verteilt werden.

MMC (Microsoft Management Console): ist eine Verwaltungsplattform, mit der die verschiedenen
Programme (als „Snap-In“ bezeichnet) zur Verwaltung aufgerufen werden können. Sie können die
MMC anpassen, indem Sie nur solche Snap-Ins aufnehmen, die Sie zur Ausführung der
Verwaltungsarbeiten benötigen.

Windows Script Host (WSH): damit können Skripts vom Desktop oder von der Befehlszeile
ausgeführt werden. Ein Instrument zum Automatisieren von Verwaltungsaufgaben  ist
sprachunabhängig.

Windows PowerShell: Befehlszeilen- und Programmierschnittstelle, die mittels Cmdlets

(Commandlets) komplexe Befehle für die Konfiguration sämtlicher Systembestandteile bereitstellt.
Mit Cmdlets lassen sich Operationen an der Registry, an WMI-Klassen und COM-Objekten ausführen.

WMI (Windows Management Interface): Software-Schnittstelle, mit der Verwaltungsinformationen

standardisiert abgefragt werden können. Erlaubt die Abfrage/Zugriff lokal oder über das Netzwerk.

Windows Admin Center: webbasierte Verwaltungsoberfläche für Windows Server. Benötigt wird die
Installation des Gateways für das Windows Admin Center auf dem Server/der Arbeitsstation.
Administratoren verbinden sich mit einem Webbrowser mit dem Gateway und können dann darüber
die Server im Netzwerk mit dem Windows Admin Center verwalten.
Remotedesktopdienste: ermöglichen Benutzern den Fernzugriff auf einen Computer. Sie übertragen
nur die Benutzeroberfläche eines Programms auf den Arbeitsplatz des Benutzers. Der
Remotedesktopserver übernimmt die gesamte Rechenleistung für die Datenverarbeitung.

2.6 Skalierbarkeit, Zuverlässigkeit…

Die Unterstützung des Symmetric Multiprocessing ermöglicht den Betrieb von Multiprozessor-
Systemen, die den gleichen physischen Speicher verwenden. Hierdurch kann die Abarbeitung von
Prozessen auf mehrere Kerne verteilt werden.

Clustering für Lastenausgleich und Fehlertoleranz:

Mit Windows Server 2022 Standard und Datacenter können mehrere einzelne Server (Nodes,
Knoten) zu einem Cluster zusammengefasst werden. Der Cluster kann sowohl mehr Rechenleistung
als auch Fehlertoleranz bieten, indem mehrere Knoten gleichzeitig eingehende Anfragen bearbeiten.

Treibermodell: aktuelles Treibermodell trägt in erheblichem Umfang dazu bei, Abstürze zu

verhindern. Windows Server 2022 kann sowohl den Code des Betriebssystems als auch den eines
Treibers mit einem Schreibschutz versehen.

Hardwareunterstützung: Windows Server 2022 unterstützt aktuelle Hardware und Spezifikationen, z.

B. Plug & Play, iSCSI, USB 3.x, Firewire u.v.m. Daneben bringt es eine Vielzahl an Treibern bereits mit.

2.7 Netzwerkinfrastruktur:

2.8 Dateiverwaltung, Dateisystem:

Distributed File System: ermöglicht die Erstellung einer einzigen Verzeichnisstruktur für die
Datenbestände einer Organisation/Firma/Abteilung.

NTFS: Standard-Dateisystem unter Windows. New Technology File System

NTFS-Datenträgerkontingente: Auf NTFS-Datenträgern kann man die Speicherplatzbelegung über

Kontingente (Quotas, Anteil) verwalten. Kann Benutzer Speicherplatz zuweisen, den er auf dem
Datenträger zum Speichern seiner Dateien verwenden darf. Harter Quota: Speichergrenze fest
vorgegeben. Weicher Quota: Warnmeldung beim Überschreiten des Wertes.

Ressourcen-Manager: Unter Windows Server 2022 kann man mit dem Ressourcen-Manager
festzulegen, welche Dateitypen auf bestimmten Laufwerken gespeichert werden dürfen. Wenn ein
Benutzer versucht, verbotene Dateitypen zu speichern, lassen sich verschiedene Reaktionen
vorgeben, etwa das Verbot der Speicherung oder eine E-Mail-Benachrichtigung an den
Administrator. Dynamic Access Control, DAC) ermöglicht durch Klassifizierung von Dateien nach
Kriterien (z.B. Speicherort, Größe, Dateityp…) eine Verwaltung von Dateiservern inklusive einer
intelligenten Kontingentverwaltung. Klassifizierung kann automatisch (durch die festgelegten Regeln)
oder manuell für bestimmte Ordner eingerichtet werden.
Datenträgerdeduplizierung: Damit können redundante Dateien, die auf einem Datenträger liegen,
erfasst und eliminiert werden.

ReFS: Resilient File System (robustes Dateisystem, ReFS) Dateisystem welches für die Bereitstellung
von Dateien im Netzwerk geeignet ist. ReFS baut auf NTFS auf, verzichtet jedoch auf einige
Funktionen von NTFS. Daher kann ReFS nicht für bootbare Systemdatenträger verwendet werden.
Derzeit primär auf Speicherdatenträgern von Fileservern auffindbar.

5 Hyper-V-Testumgebung
Virtualisierung: reale Komponenten durch eine virtuelle (scheinbar existierende) Entsprechung
darzustellen. Kann in der IT eine Hardware, eine bestimmte Funktion oder eine komplette
Softwareumgebung sein.
Prüfpunkte
Live-Migration: Mit aktuellen Hyper-V-Version können virtuelle Maschinen im laufenden Betrieb auf
einen anderen Host verschoben werden. Dieser Vorgang ist für die Benutzer völlig transparent und
erfordert kein Abschalten oder Neustart oder Konfigurationsänderungen am virtuellen Server.

Cluster
Serverrollen: Server können unterschiedliche Rollen im Netzwerk übernehmen. Manche sind für
Virtualisierung geeignet andere nicht. (nicht allzu relevant i believe)

Virtueller Switch:
6 Active Directory
Verzeichnisdienst in Windows-Netzten in dem alle Ressourcen hierarchisch strukturiert gespeichert,
identifiziert & zugänglich gemacht werden.

Dahinterliegende Datenbank basiert am X.500-DB-Modell

 Zur Abfrage & Modif. der DB-inhalte wird LDAP (Lightweight Directory Access Protocol) benutzt
AD ist Kernkomponente des Active Directory Domain Services (AD DS)
Schema definiert die Struktur/Aufbau der LDAP-Datenbank
In Schema
 Werden Attribute definiert, die den Typ des Eintrags festlegen
 Attribute dann in Klassen zusammengefasst
 Als Verzeichnis-Eintrag wird ein Objekt gespeichert, das mindestens einer Klasse angehören
muss.
 Jedes Objekt eindeutig identifizierbar durch Distinguished Name (DN)

AD ermöglicht Struktur eines Unternehmens abzubilden, durch …

 Objekttypen (Benutzer, Gruppe, Computer) die an unterschiedlichen Orten
(Organisationseinheit, Domäne) gespeichert werden
AD-Datenbankdatei = NTDS.dit / in 3 Teile gegliedert
 Schema-Partition enthält das Schema
 Konfigurations-Partition enthält Info über vorhandene Domänen & Vertrauensstellung
 Domänen-Partition enthält alle Objekte einer bestimmten Domäne

Schema- und die Konfigurations-Partition ist auf allen Domänencontroller (DC) in einem
AD gleich. AD wird durch AD-Domänendienst ADDS(Serverrolle) verwaltet.
6.2 Domäne, Struktur & Gesamtstruktur
Planung der Verzeichnisstruktur
 Logische Zusammenhänge zwischen Geschäftsprozessen, Abhängigkeiten, Hierarchien, sowie
die Funktion und Aufgabenteilung untersuchen.
 Geografische Gegebenheiten haben kein Einfluss auf Domänenplanung

Domäne
 Stellt zentral verwalteten Sicherheitsbereich dar, der administrative Grenze im AD bildet
 Ous: Zur Strukturierten Speicherung der Objekte
 Domäne ähnelt umzäunten Grundstück, also Eigentümer bestimmt:
o wer (nicht) reindarf
o wo sich Personen/Einrichtungen auf dem Grundstück befinden
 o Hausordnung regelt Umgang miteinander
 AD-Implementierungen bestehen meistens aus einzelnen Domänen (>1 Domänen, wenn man
mio. Objekte verwaltet, mehrere administrative Grenzen benötigt werden oder bei einzelnen
Standorten mit sehr langsamen Verbindungen untereinander)
 Domäne erstellen, indem man DC installiert
 Domänen-Name orientiert sich am DNS-Namespace
 DC speichert alle Objekte seiner Domäne

Struktur: Baum/Tree
 Wird erstellt, wenn …
o in AD-Domäne weitere Domänen hinzugefügt werden und ihnen der übergeordneten
Domänen-Name zugeordnet wird (entsteht Subdomäne)

Gesamtstruktur, Wald/Forest, entsteht wenn:

 in AD weitere Domänen hinzugefügt werden die einen anderen Namen als die bestehende Domäne
haben
 Gesamtstruktur: alle Domänen, die zu einem AD gehören
 Jede Domäne muss sich in einer Gesamtstruktur befinden


Vertrauensstellung: innerhalb AD automatisch zwischen Domänen angelegt
 Ermöglichen, dass User einer Domäne auf Ressourcen einer anderen Domäne zugreifen können
 Beschreibt Beziehung zwischen 2 Domänen
 Vertrauende Domäne lässt Anmeldeauthentifizierungen aus vertrauten Domänen zu (vertrauen
User der vertrauten Domäne)

Unidirektionale (eine Richtung), nichttransitive (nicht selbstvorsetzend) Vertrauen:

 X trust Y | Y trust Z | X trust Z | Y trust X |…

 Wenn Pfeile in beide Richtungen Vertrauen dann X trust Z & Y trust X …

Bidirektionale, transitive(selbstfortsetzend) Vertrauensstellungen

 Alle Auto. erstellten Vertrauensstellungen innerhalb AD sind bidirektional + transitiv (dadurch
vertraut jede Domäne jeder anderen)
 Geht auch Vertrauensstellungen aufzubauen, wenn Domäne nicht in AD
 6.3 Funktionsebenen
Sind Betriebsmodi des AD, die Modi legt fest
 Welche Funktionen zur Verfügung stehen
 Welche Betriebssystem-Versionen für DC eingesetzt werden können
 Funktionsebenen gibt es auch auf Domänen-&Forest-Ebenen.
 Betriebssystem-Version von DCs darf nicht kleiner sein als Forest-Funktionsebene

6.4 Domänencontroller, Betriebsmaster und globaler Katalog

Multimaster-Replikation: Wenn Objekt geändert wird, müssen diese Änderungen auf andere DCs
übertragen werden  Vorgang wird Replikation genannt. Es gibt keinen zentralen (einzigen) DC, der
der Ausgangspunkt aller Änderungen ist.

 Erhöht Ausfallsicherheit
 Man sollte mehrere DCs in einer Domäne haben (DCs gleichberechtigt), auf denen
Verwaltungsaufgaben erfolgen können  Lastenverteilung
 Betriebsmaster-Rolle stellt Ausnahme von Gleichberechtigungsregel dar

Read-Only Domain Controller (RODC) – schreibgeschützter DC

 Einsatz in kleinen Filialen, wo physische Sicherheit des Servers nicht gegeben ist
 stellt einen DC ohne Schreibberechtigung und ohne sicherheitsrelevante Daten dar.
 Bestimmte User können auf RODC repliziert werden (ein beschreibbarer DC muss vorhanden
sein, Domänen-Admin muss adrep /rodcprep ausführen)
 Fehlende Schreibrechte stellen Schutz vor Missbrauch dar.

Betriebsmaster (FSMO Flexible Single Master Operation):

 5 Betriebsmaster-Rollen Arten (1&2 einmalig in Forest | 3&4&5 einmalig in Domäne)

PDC Emulator: (PDC= Primary Domain Controller) um:

 Repliziert Kennwortänderungen, die von anderen DCs in der Domäne ausgeführt werden,
 Fehler bei der Authentifizierung, die auf DCs in einer Domäne auftreten, werden an den PDC-Emulator
weitergeleitet, bevor dem Benutzer eine Meldung zu einem Kennwortfehler angezeigt wird
 Verarbeitet Kennwortänderungen
o einmal pro Domäne vorhanden

RID Master: zuerstmal was RID ist

wenn ein DC ein Objekt (Z.B. Benutzer/Gruppe) erstellt, dann weist dieser diesem Objekt eine
Sicherheitskennung (SID), bestehend aus einer Domain-SID (die für alle Objekte, die in einer Domäne erstellt
werden, identisch ist) und einer RID (Relative ID die für jede SID eindeutig ist), zu.

RID-Master ist für das Verarbeiten von Anforderungen an den RID-Pool von allen DCs in einer bestimmten
Domäne verantwortlich.
à einmal pro Domäne vorhanden
Infrastrukturmaster: dafür verantwortlich, die SIDs eines Objekts und dessen Distinguished Name in einer
domänenübergreifenden Referenz zu aktualisieren.
 Distinguished Name: für einen menschlichen Benutzer verwertbare Name des Objekts.

Domain Naming Master: kann eine Domäne zum Verzeichnis hinzufügen/entfernen. Er stellt die
Eindeutigkeit der Namen der Domänen sicher. àeinmal pro Forest vorhanden

Schemamaster: ist für Änderung des Schemas zuständig. Wenn die Schemaaktualisierung abgeschlossen ist,
wird sie vom Schemamaster aus auf alle anderen DC im Verzeichnis repliziert à ist einmal pro Forest
vorhanden.

Globaler Katalog (GC)

 Stellt Domänenübergreifende Suchfunktion für AD-Objekte zur Verfügung
 GC speichert gewisse Attribute aller Objekte aus allen Domänen
 Ohne GC-Server können manche AD-Funktionen nicht arbeiten
 An jedem Standort im AD sollte ein GC-Server sein
 GC ist eine weitere Rolle, die ein DC erhalten kann
 GC sollte an mehreren DCs zugewiesen sein

Verwaltung & Verteilung der Betriebsmaser

 Stabilität & Performance des Betriebsmaster ist wichtig
 Standartmäßig besitzt erster DC eines Forest alle 5 FSMO-Rollen
 jeder erste DC weiterer Domänen verwaltet PDC-Emulator, RID-Master, Infrastrukturmaster

Empfehlung zur Verteilung von Betriebsmastern

 Infrastruktur-Master sollte nicht auf einem GC liegen
o Problem bei Auflösung von Gruppen, wenn User aus verschiedene Domäne
 Domänennamen-Master & Schema-Master auf 1 gemeinsame DC liegen, der auch GC ist
 PDC-Emulator & RID-Master auf 1 gemeinsamen DC liegen, der auch GC ist

6.5 Organisationseinheiten
Sinn von OU:

OU ist ein Objekt in einer Domäne, dient zu:

 Strukturiertes Speichern von Objekten
 Delegierung von Verwaltung: User-/Gruppenverwaltung kann auf OU-Ebene an Nichtadmin
delegiert werden
 Zuweisung von GPOs

6.6 Standort im Active Directory (AD)

Um auf standortübergreifende Datenverkehr Einfluss zu nehmen, muss AD-Standort definiert
werden.

Wenn AD-Client lokal keine Ressourcen findet, sucht er weiter auf billigste Standortverknüpfung. Je
mehr Standorte der Client passiert erhöhen sich die „Wegkosten“.

AD-Standort ist keine OU / Gruppe, sondern 1 oder mehr IP-Netze mit Namen

6.7 Sysvol – Ressourcen für Anmeldungen

Jeder DC stellt bei Anmeldung GPOs zur Verfügung.

Für User-Anmeldung ist Anmeldeskript möglich.

 Infos darüber in Ordner SYSVOL (standardmäßig in C:\Windows\SYSVOL) gespeichert

In SYSVOL sind die Ordner:

 SYSVOL\sysvol
 o Auf jedem DC vorhanden, entspricht der Freigabe SYSVOL. Darin ist ein Ordner mit Namen
der eigenen Domäne.
 SYSVOL\sysvol\<Domänenname>\Policies und SYSVOL\domain\Policies
o In diesen Ordnern sind mehrere Ordner beginnend mit { und darin sind GPOs

o
 SYSVOL\sysvol\<Domänenname>\scripts
o Darin werden Benutzer-Anmeldeskripte gespeichert
 SYSVOL\staging
o zur Replikation-Verwaltung benötigt
 SYSVOL\staging areas
o zur Replikation-Verwaltung benötigt

8 DNS Domain Name System

8.1 Domänennamespace
IP-Adressen & Name
 TCP/IP greift über IP-Adressen auf andere PCs zu (IPv4 32 Bit / IPv6 128 Bit)
 Man kann IP-Adressen eindeutige Namen zuweisen => FQDN Fully Qualified Domain Name
 Für die Auflösung von Name in IP ist DNS zuständig
 Aus Kompatibilitätsgründen hat man NetBios-Name gelassen = PC-Name
o Bezeichnung: WINS Windows Internet Name Service (der die Namensauflösung von
NetBIOS-Computernamen vornimmt)

Domain Name System

 DNS für Namensauflösung

 Jeder Rechner/Server (die Kreise) sind ausschließlich nur für ihren Bereich zuständig & darf nur
für seien Verbindungen antworten

DNS-Domänenname
 ist ein hierarchischer Namensraum für Computer, Dienste und DNS-Subdomänen eines
Netzwerks
 durch die Domänen bildet sich eine Hierarchie
o Root-Domäne
 Zentrale Verbindung aller Domänen => Ausgangspunkt (wird meist nicht
angegeben in der URL)
o Firstlevel-Domäne (Toplevel-Domäne)
 Länder oder Organisationen (.at/.de/.org/.com)
o Secoundlevel-Domäne
 Von Organisationen (schon registrierte Namen) die Subdomänen
  Für die interne Auflösung jedoch selbst verantwortlich

Hostnamen

Der FQDN besteht aus Host und Domänenname

 Wenn 1 Computer mehrere IP-Adressen/Hostnamen besitzt (meist Webserver) braucht man

virtuelle Hosts diese werden dann im DNS Aufgelöst

Primäres DNS-Suffix
 entspricht dem Namen der Active Directory-Domäne
 DNS-Domänenname muss für jeden Host angegeben werden
 Wenn ein Computer mehrere Netzwerkkarten dann benutzt, werden verbindungsspezifische
DNS-Suffixe verwendet

Hostname und Computername

 Computer kann Hostnamen und Computernamen (NetBios-Namen) haben (meist gleich)

Richtlinien für die Erstellung des Domänennamespace

 DNS-Struktur darf nur 5 Ebenen haben
 Eindeutige Namen für Subdomäne
 Kurze, aussagekräftige Namen
 Max. Länge der einzelnen Domänen = 63 Zeichen
 FQDN max. Länge = 255 Zeichen
 Erlaubte Zeichen => a-z 0-9 und –

8.2 Namensauflösung
Wie DNS funktioniert
 Vor Aufbau einer Verbindung zu Zielhost muss Namensauflösung durchgeführt werden
 Geschieht meist von angegebenen FQDN zu IP (es geht auch andersrum IP zu FQDN)
 Je nach Richtung der Namensauflösung verwendet man
o Forward-Lookup
o Reverse-Lookup

Forward-Lookup
 Bei der Forward-Lookup-Anfrage sendet DNS-Client FQDN zu einen DNS-Server, der gesuchte
IP-Adresse zurückliefert
 Damit Verbindung aufgebaut werden kann, muss die Anfrage beantwortet werden

Reverse-Lookup
 Bei der Reverse-Lookup-Anfrage sendet DNS-Client eine IP-Adresse zu einen DNS-Server, der
gesuchte FQDN returniert
  Anfrage muss nicht zwingend beantwortet werden


Client-/Servermodell der Namensauflösung
 Falls DNS-Server die Anfrage des DNS-Clients nicht lösen kann > schickt DNS-Server die Anfrage
weiter an übergeordneten DNS-Server
 Alternativ kann man auf einem DNS-Server einen anderen DNS-Server konfigurieren, um
Weiterleitung zu gewährleisten
 Man kann auch Namensauflösung ISP (Internet Service Provider) überlasen

Namenservercaching
 Bei jeder Abfrage speichert DNS-Server Ergebnis im Cache
 Lebensdauer des Ergebnis hängt vom TTL (Time To Live) ab
 TTL default Wert bei
o Microsoft-Server: 24h
o Clients: 1h

8.3 Global Names

Ist aber NetBIOS deaktiviert oder der DNS-Server nicht in der Lage, einen WINS-Server abzufragen, so
kann der Name nicht aufgelöst werden.

Die GlobalNames-Zone
 Ist ein weiterer Datentyp im DNS
 Darin können Hostnamen gespeichert werden, die unabhängig von DNS-Suffix aufgelöst werden
sollen
 Eine spezielle Art von Forward-Lookupzone, die auf DNS-Suffix verzichtet
 Muss extra aktiviert werden

8.4 Dynamisches DNS

Dynamische Aktualisierung
 Hierbei wird beim Start des Netzwerkadapters, Veränderung der eigenen IP-Adresse oder des
Hostnamens, die Änderung an den primären DNS-Server übermittelt  Weniger
Verwaltungsaufwand
 DNS & DHCP können so eingerichtet werden, dass die Zuordnung von Hostnamen zu IP vom
DHCP-Server an DNS mitgeteilt wird => wird dynamisch in DNS-DB integriert
 Selbst Rechner die dynamisches DNS nicht unterstützen profitieren

Zusammenspiel von Dynamischem DNS & DHCP

 DHCP muss für auto. Registrierung in DNS-DB konfiguriert werden
1. Client fordert IP
2. DHCP-Server weist Client IP zu
3. DHCP-Server übergibt DNS > IP + Hostname
  Client hätte auch selber seine Daten zu DNS schicken können
 Zusätzlich sind Sicherheitsmechanismen implementiert, dass nicht beliebige PC einschleichen

Sichere dynamische Aktualisierung

 DNS wird üblich von DC angeboten und DNS ist in AD integriert
 Erst wenn Client passendes Dienstticket für Domäne hat > wir der Client in DNS aktualisiert

8.5 Zonen
Zonen & Zonendateien
 Bei vielen IPs & Namen (große NW) werden Domänennamespace in Zonen aufgeteilt
 Dadurch wird Namensauflösung beschleunigt
 Verwaltung des Domänennamespace kann durch Aufteilung in Zonen auf mehreren admins
verteilt werden
 Zone kann umfassen
o Domäne &/oder Subdomänen
o Einzelne Subdomänen
o Teile einer Domäne
 Jede Zone speichert DNS-Namen von IPs in Zonendatei, welche in Zonendatenbank gespeichert
wird.

 Ist meistens aufwändig und eine saubere Auflösung von Anfragen ist nicht garantiert
 Besser in Subdomänen teilen

Domänenstamm einer Zone

 firma.de ist Domänenstamm für Zone 1
 service.firma.de ist Domänenstamm für Zone 2
 Alle Zonen-Infos sind in der eigenen Zone gespeichert

DNS-Stamm
 Sind DNS-Domänen an oberster Stelle in der Hierarchie (Im Internet wäre das “.“ = root)
 DNS-Server, die den haben nennt man => Stammnamenserver (Root Name Server)

Namenserver
 Server mit Zonendatenbank => DNS-Namensserver
 Ist für Zone autorisiert
 Jede Zone braucht einen DNS-Namensserver
 1 Server kann mehrere Zonen haben
o Nachteil
 Wenn der eine ausfällt > fallen alle Zonen mit (keine Namensauflösung)
 Auslastung hoch der muss dann alle Zonen verwalten
Positionierung mehrerer Namenserver
 1 ist primärer Namenserver mit primäre Zonendb
 Alle anderen sekundäre Namenserver, haben Kopie von primäre Zonendb (Zonenübertragung)
 Bei Änderungen wird primäre Zonendb geändert und sekundäre werden aktualisiert
 In sekundäre Namenserver kann man sich nicht registrieren

Active Directory-integrierte Zone (wie oben nur, dass es in AD ist)

 DC können DNS-Zonendaten für Namespace der Domäne in AD integrieren
 Dadurch wird auch Zonenübertragung vereinfacht
8.6 Zonenübertragung
Klassische Replikation der Zonendatei: Zonendatei einer Zone wird vom primären auf den
sekundären Namensserver (DNS) kopiert. Informationsfluss erfolgt nur in diese Richtung

Replikationsmethoden:
 Vollständige Zonenü. (AXFR): gesamte Zonendatei von primären DNS auf die sekundären
übertragen.
 Inkrementelle Zonenü. (IXFR): nur Änderung der Zonendaten werden vom primären DNS an
den sekundären übertragen.
 Vom primären DNS(Namensserver) veranlasse Zonenü.: Bei Änderung der Zonendaten
benachrichtigt der primäre DNS den sekundären über die Änderung. Der sekundäre
Namenserver fordern daraufhin eine Zonenübertragung an.
 Vom sekundären DNS veranlasste Zonenü.: Ein sekundärer Namenserver fragt seinen
Masterserver nach Änderungen in der Zonendatei ab, wenn der DNS-Serverdienst auf dem
sekundären Namenserver neu gestartet wird oder das Intervall für die Serveraktualisierung
abläuft.
8.7 Zonendelegierung: das Festlegen des/der zuständigen Nameserver für eine Zone.

Vorteile Delegierung:
 Ein Teil des DNS-Namespaces kann einer anderen Abteilung bzw. einem anderen
Administrator überantwortet werden.
  Auslastung der für die übergeordnete Zone autorisierenden DNS-Server wird verringert.

Delegierungseinträge: übergeordnete Zone enthält Ressourceneinträge (Delegierungseinträge,

Verbindungsdatensätze), die auf die untergeordnete Zone verweist.
Ressourceneinträge enthalten zonenexterne Daten wie:
 einen Ressourceneintrag, der auf den Namenserver der delegierten Zone verweist
 einen Hosteintrag, der zum FQD-Namen des für die delegierte Zone autorisierenden Servers
die IP-Adresse nennt.
Delegierungen können nur für Subzonen eingerichtet werden, wenn der Server selber über die
übergeordnete Zone verfügt. Es ist nicht möglich, mittels Delegierung auf einen Namenserver für
beliebige andere DNS-Zonen zu verweisen.
Stubzone : Auszug aus der Kopie einer DNS-Zone von einem anderen DNS-Server.
Stubzone enthält:
 Namen der kopierten Zone
 Den Autoritätsursprung für diese Zone
 Liste der Namensservereinträge für diese Zone
Der befragte DNS-Server kann daraufhin lokale Anfragen für die Stubzone direkt an einen
zuständigen Namenserver weiterleiten und ist nicht gezwungen, zuerst bei den übergeordneten DNS-
Servern nachzufragen.

Außerdem wird der DNS-Server, der die Stubzone hält, durch regelmäßige Replikation mit dem
Master-DNS-Server über Änderungen informiert. Somit lernt er, wenn neue Namenserver
hinzugefügt oder bestehende aus der Struktur entfernt werden.
8.8 Einträge in der Zonendatenbankdatei
 Heißen Ressourceneinträge

10 DHCP – dynamische IP-Konfiguration

10.1 TCP/IP:
 Ipv4 Adressen: IPv4-Adressen sind 32 Bit lang und werden aus Gründen der Lesbarkeit in der
„dotted decimal notation“ dargestellt.
 IP-Adresse besteht aus: Netzwerkadresse (Netz-ID) und Rechneradresse (Hostadresse, Host-ID)
 Subnetzmaske: ist ebenfalls 32 Bit lang und legt fest, wie viele Bits der IP-Adresse zur Netz-ID
gehören. Sie trennt die Netzwerkadresse von der Rechneradresse und bestimmt so, ob zwei
Netzwerkgeräte im selben Teilnetz liegen oder nicht.
 CIDR-Schreibweise: Classless Inter-Domain Routing = /24 am Ende von einer Adresse
 Öffentliche IP-Adressen: Öffentliche, vom Internet aus erreichbare IP-Adressen werden von
verschiedenen Gremien verwaltet, die diese Adressen an Internet-Provider weitergeben, die sie
dann an die Endkunden verteilen
 Private IP-Adressen: sind aus diesem Verteilungsverfahren ausgeschlossen, d. h., sie werden im
Internet niemals genutzt und sind von dort auch nicht erreichbar.
 Ipv6-Adressen: sind 128 Bit lang und werden in der Doppelpunkt-Hexadezimal-Notation
geschrieben.
 Subnetzmasken IPv6: gibt es nicht mehr. Stattdessen wird zur Angabe von Präfixen und
Netzwerkbereichen die modernere CIDR-Schreibweise genutzt, die nach dem Schrägstrich die
Anzahl der gültigen Netz-Bits angibt.
 Netzwerkadresse: zur Lokalisierung eines Rechners. In einer Firma können mehrere Netzwerke
vorhanden sein, die sich durch unterschiedliche Netzwerkadressen auszeichnen. Will ein
Computer eine Verbindung zu einer anderen Netzwerkadresse aufbauen, muss diese Verbindung
über einen Router vermittelt werden. Diese Art der Netzwerk-Segmentierung benötigen Sie
spätestens dann, wenn Sie unterschiedliche Standorte über öffentliche IP-Netze
zusammenschließen wollen.
 Standartgateway: ist der Default-Router, den ein PC benutzt, wenn er Datenpakete an Rechner
mit einer anderen Netz-ID senden will und über keine Informationen bezüglich der zu
benutzenden Wege verfügt.

Identifikation im Netzwerk über:

 MAC-Adresse: vom Hersteller der Netzwerkkarte zugewiesene, 6 Bytes lange
Identifikationsnummer. Rechner mit gleicher Netzwerkadresse kommunizieren über MAC-
Adressen miteinander.
 Der MAC-Adresse wird eine IP-Adresse zugeordnet.
 Benutzer können Rechner auch über Namen ansprechen. Dieser wird in die IP-Adresse
aufgelöst.
 Windows-Rechner haben eigentlich zwei Namen: NetBIOS-Namen, bei der Installation
angeben, und einen Host-Namen, der aus dem NetBIOS-Namen abgeleitet wird. Wenn Sie für
Computer-Namen nur englische Buchstaben, Ziffern und den Bindestrich verwenden, sind
beide Namen identisch.

Dynamische IP-Konfig mit DHCP:

Jeder Computer benötigt eine eindeutige IP-Adresse. Kann aufwendig werden bei vielen Computern
 DHCP-Server nimmt Aufgabe ab.

 DHCP-Server: Computer, die DHCP-Clients eine automatische Konfiguration von IPv4-Adressen

und damit zusammenhängender Konfigurationsparameter anbieten.
 DHCP-Clients: Netzwerkknoten, die mit einem DHCP-Server kommunizieren können, um von
ihm eine dynamisch geleaste IPv4-Adresse sowie die damit zusammenhängenden
Konfigurationsparameter zu erhalten.
 DHCP-Relay-Agents: Netzwerkknoten, in der Regel Router, die DHCP-Broadcast- und -
Unicastnachrichten erfassen und sie zwischen DHCP-Servern und DHCP-Clients vermitteln.
Jedes Mal, wenn ein DHCP-Client startet, fordert er IPv4-Adressinformationen von einem DHCP-
Server an, darunter:
  IPv4-Adresse
 Subnetzmaske
 Zusätzliche Konfigurationsparameter, etwa die Adresse des Standardgateways, die Adresse
des DNS-Servers (Domain Name System) und die Adresse des WINS-Servers (Windows
Internet Name Service).

Bekommt Client keine Antwort auf Anforderung

 Weil DHCP-Server nicht erreichbar oder keine freie IP-Adresse verfügbar
a. Client versucht weiter Verbindung mit DHCP-Server herzustellen
DHCP-Zustände
 Initialisierung
 Auswahl
 Anforderung
 Bindung
 Verlängerung
 Erneute Verbindung

In folgenden Fällen erhält der Client eine ablehnende Antwort DHCP-NACK (Non
Acknowledgement):

 Der DHCP-Server hat die angeforderte IP-Konfiguration inzwischen anderweitig vergeben.

 Die angeforderte IP-Adresse passt nicht zum Subnetz des Clients.
 Nach einem DHCP-NACK muss der Client wieder bei Schritt 1 beginnen.

Adressierung mit statischer IP-Adresse – manuelle konfig.

Vergabe einer statischen IP-Adresse ist in der Regel für Server vorgesehen. Vor allem Rechner, die
das Netzwerk an sich begründen oder zentrale Adressierungsfunktionen für das Netzwerk
bereitstellen, müssen immer die gleiche IP-Adresse haben.
 Domänencontroller
  DNS-Server (Domain Name System): eine Art automatisches Telefonbuch, das zu einem Host-
Namen die IP-Adresse liefert.
 DHCP-Server

DHCP unterstützt sogenannte Reservierungen. Dabei wird einer MAC-Adresse eine IP-Adresse fest
zugeordnet. So erhalten Computer dynamisch immer dieselbe IP-Adresse. Reservierungen sind nicht
für alle Server-Typen geeignet, beispielsweise darf ein DHCP-Server nicht gleichzeitig DHCP-Client
sein.

WINS-Server (Windows Internet Name Service): automatisches Telefonbuch für NetBIOS-Namen.

11 Physische Struktur von AD:

Standort: Ein Standort ist eine Ansammlung von Computern, die alle über schnelle und zuverlässige
Datenübertragungswege miteinander in Verbindung stehen.

 Standort in den meisten Fällen --> LAN

 Standort umfasst ein/mehrere IP-Subnetz/e
 Standort umfasst immer ganze IP-Subnetze

11.2 Replikation innerhalb eines Standortes

Häufige Replikation: Innerhalb eines Standorts erfolgt die Replikation zwischen DCs automatisch und
mit relativ hoher Frequenz. Regelmäßig wird repliziert, selbst wenn es keine Änderungen am AD-
Verzeichnis gegeben hat.

Replikationsintervall kann gewählt werden zwischen: keine Replikation, 1x, 2x oder 4x pro Stunde.

Änderungsbenachrichtigungen: Innerhalb eines Standorts benachrichtigen DCs ihre

Replikationspartner über eine Änderung nach 15 Sekunden und leiten so einen Replikationszyklus
ein. Diese Verzögerung sorgt dafür, dass auf weitere Änderungen, die direkt im Anschluss
durchgeführt werden, gewartet wird, bevor eine Replikation erfolgt. Damit werden Replikationen im
Sekundentakt vermieden.

Dringende Replikationen:
Kritische Änderungen im AD werden sofort repliziert. Dringende Replikationen werden durch
folgendes ausgelöst:
.) Benutzerkontosperrung  mehrmaliger falschen Eingabe des Kennworts
.) Bearbeitung der Kontosperrungsrichtlinien
.) Änderungen am RID-Master usw....

Weitergabe von Kennwortänderungen von Domänenbenutzern: nicht normal repliziert, sondern durch
einen sicheren Kanal über RPC-over-IP-Verbindung. Kann keine Verbindungen hergestellt bekommt
man eine Fehlermeldung.

wird bei PDC erklärt

11.3 Replikation zwischen Standorten:
Seltene Replikation: Replikation zwischen DCs an unterschiedlichen Standorten erfolgt nicht so oft
wie innerhalb eines LANs. Bei langsamen oder teuren WAN-Verbindungen besteht die
Notwendigkeit, Kosten und Netzwerklast zu minimieren und die Replikation auf Zeiten zu verlegen, in
denen die Verbindungen kostengünstiger oder weniger ausgelastet sind. Standartmäßig = alle drei
Stunden
Keine Änderungsbenachrichtigungen zwischen Standorten
Standardmäßig ist die Änderungsbenachrichtigung (und damit auch die dringende Replikation)
zwischen Standorten deaktiviert, sie kann jedoch auch standortübergreifend aktiviert werden über
ADSI-Editor.

11.4 Replikationskomponenten
 Konsistenzprüfung: Die KCC läuft als Dienst auf allen Domänencontrollern. Sie erstellt eine
Replikationstopologie für die Active Directory-Replikation, indem sie Replikationspfade
einrichtet.
 Serverobjekte: Das Serverobjekt bezieht sich auf die Rolle des Domänencontrollers in der
physischen Struktur, also seine Zugehörigkeit zu einem Standort und seine Stellung innerhalb der
Replikationstopologie.
 NTDS-Settings: Dieser Container gehört zum jeweiligen Serverobjekt. Er enthält alle
Verbindungsobjekte des Serverobjekts.
 Verbindungsobjekt: Ein Verbindungsobjekt ist ein unidirektionaler Replikationspfad zwischen
zwei Serverobjekten.

12 AD-Objekte verwalten
Container der Domäne
Vordefinierte Container in einer Domäne:
 Builtin: Gruppen, die man auf einem Mitgliedsserver/Client findet.
 Computers: alle Computerkonten, die beim Hinzufügen eines Rechners zur Domäne automatisch
erstellt wurden.
 Domain Controllers: Alle DCs dieser Domäne sind darin gespeichert. Ist die einzige
standardmäßig eingerichtete Organisationseinheit. Sollte die Einstellungen/Inhalt dieser OU nicht
ändern.
 ForeignSecurityPrincipals: Container für SIDs vertrauter Domänen einer anderen
Gesamtstruktur.
 LostAndFound: alle AD-Objekte aufbewahrt, die nicht zugeordnet werden können. Dies können
z. B. Objekte sein, die in eine bereits gelöschte OU verschoben wurden, was jedoch noch nicht im
AD repliziert wurde.
 Managed Service Accounts: Dienste/Konten (z. B. für Exchange-, SQL- oder Internet Information
Server) und virtuelle Konten einfacher verwaltet (ausschließlich über PowerShell) werden.
 Selbst erstellte Ous: alle OUs, die innerhalb der Domäne erstellt wurden. Ous bilden die logische
Struktur des Active Directory.
 Program Data: Container, in dem Anwendungen ihre Daten im AD speichern können.
 System: Bei der Installation von Microsoft-Applikationen werden hier Informationen abgelegt.
 Users: Benutzer- und Gruppenkonten der Windows-Domäne.
 NTDS Quotas (Active Directory-Kontingente): Mit den Quotas lässt sich festlegen, wie viele
Objekte in einer Active Directory-Domäne ein Benutzer erstellen bzw. besitzen darf.
 TPM Devices: Container, der die Wiederherstellungsinformationen für TPM-Geräte (Trusted
Platform Module) enthält.
ADSI-Editor (Active Directory Service Interface Editor): mit dem können Objekte/Attribute in dem
Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) verwaltet (das
Anzeigen, Ändern, Löschen und Erstellen von Objekten) werden.
13 Benutzer und Gruppen
Objekt Benutzer dient dazu, Personen im AD abzubilden. Komponenten des Benutzerobjektes sind
die SID und die GUID, über die das Objekt eindeutig in der Domäne und der Gesamtstruktur
identifiziert werden kann.

Kontakte: Kontakte dienen dazu, Personen im AD zu erfassen, die selbst keine

Anmeldeberechtigungen in der Domäne besitzen. Die Kontaktdaten können von Anwendungen wie
Exchange verwendet werden, die auf das AD zugreifen können.
Kontakte haben weniger Eigenschaften --> können keinen Zugriff erhalten

13.1 Gruppentypen:
Sicherheitsgruppen: Sicherheitsgruppen steuern den Zugriff auf Ressourcen. Dabei wird die SID der
Gruppe in die ACL eines Objektes aufgenommen.

Verteilergruppe: Über Verteilergruppen können E-Mails an die Gruppenmitglieder versendet werden.

Verteilergruppen sind nicht geeignet, um darüber Berechtigungen auf Objekte zu erteilen.
Verteilergruppen können sowohl Benutzer als auch Kontakte enthalten.

Lokale Gruppen (in Domäne): Zuweisung von Berechtigungen in der lokalen Domäne
Mitglieder:
· Eingebettete lokale Gruppen derselben Domäne
· Benutzer von Domänen der Gesamtstruktur
· Globale/universale Gruppen von Domänen der Gesamtstruktur
· Benutzer, globale/universale Gruppen der verbundenen Forests

Globale Gruppen: Zuweisung von domänenübergreifende Berechtigungen.

Mitglieder:
· Benutzer der Domäne, in der die Gruppe angelegt ist
· Eingebettete globale Gruppen derselben Domäne

Universale Gruppen: Zum Zuweisen von Berechtigungen in allen Domänen der Gesamtstruktur und in
Vertrauensstellungen verbundenen Gesamtstrukturen
Mitglieder:
· Benutzer aus beliebigen Domänen der Gesamtstruktur
· Globale Gruppen beliebiger Domänen der Gesamtstruktur
· Eingebettete universale Gruppen aus jeder Domäne der Gesamtstruktur
AGDLP-Regel: Teil der Erfolgsmethoden für Windows-Administratoren. Regel erklärt die sinnvolle
Verschachtelung von Gruppen. Die Buchstaben stehen für A = Account (Benutzerkonto), G = globale
Gruppe, DL = domänenlokale Gruppe, P = Permission (Erlaubnis)
1. Benutzer(A) erhält Mitgliedschaft in einer globalen Gruppe (G)
2. Globale Gruppe (G) in lokale Gruppe (DL) platziert
3. Vergabe von Zugriffsberechtigungen (P)
15 Rechte und Berechtigungen
 Recht: ist die Erlaubnis oder die Verweigerung, auf einem System bestimmte Handlungen
durchzuführen.
 Beispiele für Rechte betreffen Tätigkeiten wie das Installieren von Treibern, lokale Anmeldungen,
den Zugriff auf bestimmte Bereiche der Registry, das Ändern der Systemzeit oder das Anlegen
von Benutzerkonten.
 Rechte werden für bestimmte Benutzer oder Gruppen definiert oder können auch von
vordefinierten Gruppen stammen, denen das Benutzerkonto hinzugefügt wird.

Berechtigungen: werden an Objekte gekoppelt. Sie definieren, dass ein Benutzer, eine Gruppe oder
ein Computer bestimmte Handlungen an einem Objekt durchführen darf. Die Berechtigungen
werden auch in den Eigenschaften des Objektes gespeichert.
Berechtigungen verweigern: Berechtigungen können gewährt oder verweigert werden. Dabei ist das
Verweigern stets stärker als das Gewähren.

Arten von Berechtigungen:

 Freigabeberechtigungen: Lesen, Ändern, Vollzugriff
 NTFS-Berechtigungen: zugriff auf Dateien oder Verzeichnisse und Eigenschaften gesteuert
werden
 Berechtigungen auf Drucker: Drucken,Drucker verwalten, Dokumente verwalten
 Berechtigungen auf Objekte im AD: differenzierte steuern von Lese und Schreibberechtigungen
 Indirekte Steuerung des Zugriffs: Berechtigungen können vererbt werden. Das bedeutet, dass
ein Benutzer Zugriff auf ein Objekt bekommt, ohne dass Sie diesen Zugriff für ihn explizit erteilen.

14.6 Gruppen mit Batchdatei anlegen

DAC (Dynamic Access Control)
Um große Dateimengen in komplexen Umgebungen verwalten zu können. Den Dateien werden
zusätzliche Metadaten angehängt. Diese Metadaten entscheiden, über Regeln/Bedingungen und den
Zugriff der Dateien. Metadaten bleiben erhalten, selbst wenn Datei verschoben/kopiert wird.
20 Gruppenrichtlinien
Definition: GPOs sind das Administrationswerkzeug für die Windows-Umgebung.

Mit Gruppenrichtlinien (GPO) können diverse Konfigurationen für Benutzer/Computer in

Abhängigkeit von dem Standort/Domäne/OU, in der sich der Computer/Benutzer befindet,
vorgenommen werden.

Vorteile:
 Handlungsmöglichkeiten von Benutzern festlegen
 Aufrechterhaltung von Computerkonfigurationen
 Pflege und Verfügbarkeit der verwendeten Anwendungsprogramme im Unternehmen
 Verwaltungsaufwand der Admind. Senken

Einsatzbereiche:
 Registrierungseinträge überschreiben
 Domänensicherheit
 Skriptverarbeitung
 Softwareinstallation
 Softwareeinschränkung
 Internet Explorer
 Ordnerumleitung

ADM vs ADMX à Administrative Vorlagen

 Mit denen können beliebige Registry-Einstellungen in das GPO-System eingefügt werden.
 Werden in .adm oder admx Dateien gespeichert
 Nachteile:
o .adm unterstützt nur eine Sprache
o Keine zentrale Ablage für administrative Vorlagen
o Alles wir in (ADMX) XML-Dokumenten gespeichert (=> besser, weil mit adml Dateien
verknüpft (falls vorhanden) und bietet deswegen Mehrsprachigkeit)
o Die Vorlagen sind in c:\windows\PolicyDefinitions gespeichert
o Die eigentlichen Richtlinien (*.pol-Datei etc.) befinden sich im SYS VOL-Verzeichnis

Gruppenrichtlinienergebnisse und Modellierung: Tools/Werkzeuge in der

Gruppenrichtlinienverwaltung für Überprüfen für angewendete Richtlinien gut damit man Probleme
findet/vermeidet
In der GPO (Group Policy Object) werden die Gruppenrichtlinien gespeichert. Inhalt des GPO wird in
Vorlage und Container gespeichert.

Verarbeitung:

Mehrfachkonfiguration: wird in der pdf highkey nicht erklärt

20.4 Gruppenrichtlinienberechtigungen:
Damit GPO wirksam ist müssen folgende Berechtigungen gelten: lesen, Gruppenrichtlinie
übernehmen

20.5 Vererbung
 Innerhalb einer Domäne findet eine Vererbung der GPOs statt, d. h., OU erbt immer die GPOs
einer übergeordneten OU
 Ebenso kann man Vererbung ERZWINGEN, das heißt diese GPO wird auch wenn in
untergeordneten OUs durch eine Richtlinie eine Einstellung wieder rückgängig gemacht wird,
bleibt die Einstellung so gesetzt, wie in der erzwungenen Richtlinie konfiguriert.

Anlegung GPO
 GPO können an 4 Orten angelegt werden
o Domäne > gilt für alle Benutzer/Computer in Domäne
o OU > gilt für alle in OU
o Standort > GPO an physischen Ort, gilt für alle die da sind
o Lokal > GPO lokal am Rechner
 Da es mehrere GPOs geben kann wird nach Reihenfolge abgearbeitet/verarbeitet:
o Lokal
o Standort
o Domäne
o Äußerste OU
o Innerste OU
  Tabelle gilt, wenn Vererbung aktiv
o Wenn nicht aktiv, dann zählt eigene

Sicherheit
 Rechte können auf ein GPO gesetzt werden, Z.B. Zugriffsrechte
Filter
 Man kann Filter (Bedingungen) erstellen, wer soll GPO nehmen, wer nicht à BSP Mit WMI-
Filtern lässt sich beispielsweise steuern, dass eine GPO nur auf Computern mit einem
»Genuine Intel«-Prozessor ausgeführt werden soll.
 Nennt man WMI-Filter (Windows Management Instrumentation)

Lokale GPOs
 4 lokale GPOs für Einstellungen des lokalen PC
o Das Lokale Richtlinienobjekt (Local Policy Object)
o GPO für Administratoren
o GPO für Nicht-Administratoren
o Ein benutzerspezifisches lokales GPO
 Diese GPOs sind gut für „spezielle“ Computer, die zusätzliche Einstellungen brauchen

Starter-GPO
 Über Domänengrenze gibt es keine GPO Vererbung heißt, wenn User über mehrere Domänen
verteilt sind und dasselbe tun sollen => muss in jeder Domäne gleiche GPOs sein
 Wenn mehrere OUs mit Mitarbeitern an mehreren Standorten gibt und die alle dieselben
Aufgaben haben sollen (GPO) dann funktioniert Vererbung auch nicht wie gewollt
 Starter-GPOs lösen diese Probleme, damit man nicht überall dieselben GPOs eintippen muss
 Starter-GPOs dienen als Art „Vorlage“, die verwendet werden kann für neu erstellte Objekte

Softwareverteilung mit Gruppenrichtlinien

 Über Gruppenrichtlinien Software installieren => limitiert
 Nur MSI-Pakete können verteilt werden
 Software über User / Computer verteilen
 Nachteil: Lizenzproblem (=> zu viele Installationen)
 3 Arten für Softwareverteilung
o Veröffentlicht
 Benutzer muss händisch installieren
 o Zugewiesen
 Auto. installiert
o Erweitert
 Man wählt auch zwischen Veröffentlicht/Zugewiesen aber mit Konfig.
Möglichkeit

Gruppenrichtlinien Voreinstellungen
 Bietet diverse Voreinstellungen, bisher verwendete Login-Skripts zu eliminieren


 Voreinstellungen vs Richtlinien
23 Notfallsicherung
23.1 Strategien und Wiederherstellungsfunktionen
Fehlertoleranz: bezeichnet ein Konzept, das gewährleistet, dass durch den Ausfall einer
Teilkomponente das Gesamtsystem nicht nennenswert beeinträchtigt wird.

Strategien im laufenden Netzwerkbetrieb

Im laufenden Netzwerkbetrieb selbst wirken standardmäßig bereits zahlreiche Mechanismen, die
helfen, Fehler zu eliminieren oder kurze Ausfälle ohne Datenverlust zu überwinden. --> AD-
Replikation, redundanted DHCP
Andere Maßnahmen:
 Redundanter Netzteile in Servern
 Einsatz fehlertoleranter Datenträger auf Domänencontrollern und Dateiservern
 Datensicherung der geschäftlich relevanten Daten
 Datensicherung der systemrelevanten Daten
23.2 Fehlertolerante Datenträger (RAID):
Windows Server 2022 bietet mehrere Strategien, Festplatten optimal hinsichtlich Speicherplatz,
Geschwindigkeit und Ausfallsicherheit zu kombinieren. Die einzelnen Technologien bieten
unterschiedliche Grade an Datensicherheit und sind nach RAID (Redundant Array of Independent
Disks) klassifiziert.
RAID 1: Mirroring – Spiegelung
Hier werden Duplikate der jeweiligen Daten auf der Festplatte erzeugt

 2 oder mehr identische Festplatten

 Kapazität des Arrays so groß wie kleinste beteiligte Festplatte
 Bei Ausfall einer Festplatte kann die andere genutzt werden
 Bietet hohe Ausfallsicherheit (Totalverlust bei Ausfall aller Platten)
 Erhöhung von Sicherheit durch lesen und vergleichen von beiden Platten
  Bei Unstimmigkeiten > Fehlermeldung
 Nachteil:
 Fehlerhafte Schreiboperationen werden gleich auf der Spiegelplatte übertagen
 z.B durch Stromausfall währen Datentransfer
 Spiegelung wird auch beschädigt und Inkonsistenz könnte eintreten
 Abhilfe > Backup & Transaktions-Log

RAID 5: Performance + Parität

 Bietet Höhe Datendurchsatz beim Lesen & Redundanz von Daten

bei geringen Kosten
 Min. 3 Festplatten
 Nicht empfehlenswert bei schreibintensiven Umgebung

 Daten werden, wie bei RAID 0 verteilt (parallelisiert)

 Paritätsinformationen werden ebenfalls verteilt gespeichert
 Berechnung für Parität erfordert leistungsfähige RAID-Controller & beim Schreiben
Datentransfer kann sehr langsam sein, da man dir Parität berechnen muss
 Beim Lesen nur Vorteil, wenn große Daten
 Maximal 1 Festplatte kann ausfallen, jedoch währen diese eine Platte rekonstruiert wird singt
die Performance (je nachdem wie viele Platte man hat, weil Parität verteilt gespeichert)
 Für Ausfallsicherheit > präemptives RAID 5
o Interne Fehlerkorrekturstatistik (S.M.A.R.T)
 Self-Monitoring, Analysis and Reporting Technology
o Es tut den Versagenszeitpunkt vorhersagen