Active Directory

Einleitung:
Active Directory (AD) bezeichnet ein Verzeichnisdienst von Microsoft Windows Server, aber der Version Windows Server 2008 wird die Kernkomponente als Active Directory Domain Services (ADDS) bezeichnet. Mit Hilfe des Active Directory lassen sich in einem Netzwerk die Struktur einer Organisation und/oder seine rumliche Verteilung nachbilden, um dies zu realisieren speichert und verwaltet es Informationen ber Netzwerk-Objekte und Ressourcen. Den Administratoren ist es mglich Benutzern NetzwerkRessourcen freizuschalten oder zu sperren, zu den Netzwerk-Ressourcen zhlen Zugriffsberechtigungen, Nutzungsrechte fr Anwendungen, Speicherplatz, Netzwerkdienste und Netzwerk-Peripherie. Das Active Directory ist eine objektorientierte Datenbank bestehend aus Klassen, Schemata und Objekten, die hierarchisch angeordnet sind. Fr die Nachbildung einer Organisationsstruktur werden Domnen eingesetzt, hierbei handelt es sich um eine Organisationseinheit der Sicherheitsrichtlinien und einstellungen unterliegen. Die Domne bildet die Gesamtstruktur ab und enthlt einen eindeutigen Namen, sie ermglicht dem Administrator Zugriff auf die Benutzerund Gruppenkonten.

Die Installation:
Den Installationsassistenten rufen wir mit Hilfe der dcpromo.exe auf, diese lsst sich Ausfhren indem man im Startmen auf Ausfhren klickt, dort den Namen dcpromo.exeeingibt und das Ganze mit dem Button OK besttigt. Daraufhin erscheint der Assistent zum Installieren von Active DirectoryDomnendienste, in diesem Fenster whlen wir den Punkt Neue Domne in neuer Gesamtstruktur erstellenklicken auf den Button Weiter. Im Nun erscheinenden Fenstern mssen wir einen FQDN(FullyQualified Domain Name) fr unsere Domne bestimmen, in unserem Fall lautet dieser Server11.betit.net. Nun Besttigen wir diese und die darauf folgenden Fenstern mit Weiter ohne weitere Einstellungen vorzunehmen. Als letztes Fenster erscheint eine Zusammenfassung mit allen vorgenommen Einstellungen, mit einer Besttigung dieses Fenster beginnt die Installation des Active Directory, inklusive Domnencontroller und DNS-Server. Nach der Vollendung der Installation ist ein Neustart des Systems notwendig.

Active Directory
Die Konfiguration: DNS:
Nach einem Erfolgreichen Neustart stehen DNS-Server und Domnencontroller zur Verfgung. Diese sind allerdings nur teilweise Konfiguriert, somit liegt unser Augenmerk nun darauf, die Konfiguration fr unsere Zwecke zu vervollstndigen. Die ntige Konfiguration fhren wir ber den Server Manager aus, der sich im Startmen finden lsst. Als erstes richten wir den DNS-Server bzw. dessen Reverse-Lookupzone ein. Diese ist ntig um Domnen-Namen in die dazugehrige IP-Adresse umzuwandeln. Um diese zu Konfigurieren machen wir einen Rechtsklick auf den Punkt Reverse-Lookupzone und whlen im erscheinenden Fenster den Punkt Neue Zone aus. Nun ffnet sich ein Konfigurator, bis zum Punkt Netzwerk-ID knnen wir die Schritte alle so stehen lassen. In diesem Feld mssen wir die IP, des Netzes angeben in dem der DNS-Server arbeiten soll. In unserem Fall ist es 192.168.192. Nun klickt man Weiter bis das letzte Fenster erscheint in dem man die Konfiguration mit Fertigstellen vollendet. Die Funktionsweise des DNS-Servers lsst sich einfach mit dem Befehl nslookup prfen , diesen fgt man in die Kommandozeile ein und fgt hintendran einen Domnennamen ein, der in seine IP-Adresse aufgelst werden soll. In unserem Fall gibt es nur eine Domne, nmlich Server11.bet-it.net und bei dieser Anfrage msste die IP-Adresse 192.168.214.200 erscheinen. Falls dies nicht der Fall ist, dann wurden hchstwahrscheinlich Fehler bei der Konfiguration gemacht. Diese lsst sich allerdings im Nachhinein problemlos ndern.

Active Directory
Lastenheft
Ein Pflichtenheft wird von dem Auftraggeber erstellt und enthlt alle Forderungen fr ein bestimmtes Projekt. Anhand des Lastenheftes erstellt der Auftragnehmer ein Pflichtenheft, dieses Dokumentiert alle ntigen Schritte um die Forderungen des Lastenheftes zu realisieren. In unserem Fall sah das Lastenheft so aus:

> > > > > > > >

Alle Mitarbeiter haben Zugriff auf ihr Homelaufwerk Z: Alle Mitarbeiter haben Zugriff auf gemeinsame Daten (Tauschlaufwerk X) Mitarbeiter einer Abteilung tauschen Daten ber Y Alle Mitarbeiter finden an jedem Arbeitsplatzt ihre gewohnte Umgebung wieder Azubis haben an gemeinsamen Daten nur leserechte Azubis knnen Daten ber Y tauschen Azubis finden ihre gewohnte Arbeitsumgebung wieder, knnen diese aber nur fr die Dauer einer Sitzung ndern Mitarbeiter haben kein Zugriff auf die Konsole

Die nun folgenden Seiten knnen als Pflichtenheft angesehen werden, denn sie enthalten alle ntigen Schritte, die wir gebraucht haben um die Vorgaben des Lastenheftes zu erfllen.

Active Directory
Active Directory/Firmenstruktur:
Als erstes haben wir die komplette Firmenstruktur (Mitarbeiter, Abteilungen usw.) im Active Directory abgebildet, dies ist Grundvoraussetzung fr die Umsetzung des Lastenheftes.

Organisationseinheit:
Das Active Directory lsst sich ber das Programm Active Directory-Benutzer und Computer konfigurieren und steuern. Diesen findet man unter START -> Verwaltung. ber dieses Programm fgen wir der Domne 4 Organisationseinheiten zu. Diese fgt man hinzu, indem man einen Rechtsklick auf die Domne macht -> Neu auswhlt -> Organisationseinheit auswhlt. Nun ffnet sich ein kleines Fenster wo der Name der Organisationseinheit einzugeben ist und dieser mit OK besttigt wird. In unserem Fall haben wir 4 OUs erstellt, deren Namen sind Abteilung 1, Abteilung 2, Abteilung 3 und Azubi. Diese Struktur war Teil des Lastenheftes das uns erteilt wurde.

Benutzer:
Zu jeder Abteilung haben wir jeweils 3 Benutzer hinzugefgt, diese sind nur Platzhalter und knnen nach Fertigstellung des Projektes durch reale Mitarbeiter eine Firma ersetzt werden. Die Platzhalter sind ausreichend um die Funktionsweise des Servers zu testen. Benutzer knnen innerhalb einer Domne bzw. einer Organisationseinheit erstellt werden, auerdem kann jeder Benutzer in eine Gruppe hinzugefgt werden. Beim Erstellen der Benutzer ist ein Anmeldename und Passwort anzugeben. In unserem Fall hat jeder Benutzerdas Passwort Herbst11.

Active Directory
Gruppen: Bei einer Gruppe handelt es sich um eine Sammlung von Benutzern, Computern, Kontakten und weiteren Gruppen, die es ermglicht alle Gruppenmitglieder gebndelt anzusteuern. Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden, auerdem lassen sich dieser Gruppe Berechtigungen zuteilen, die daraufhin fr alle Gruppenmitglieder gelten. Eine Gruppe fgt man hinzu, indem man einen Rechtsklick auf die Domne macht ->Neu auswhlt -> Gruppe auswhlt.

Daraufhin ffnet sich ein Fenster in dem Gruppenname, Gruppenbereich und Gruppentyp ausgewhlt werden mssen. In unserem Fall haben wir jeweils eine Sicherheitsgruppe in den 4 OUs erstellt, deren Namen sind Abteilung 1, Abteilung 2, Abteilung 3 und Azubis. Als Gruppenbereich wurde immer
5

Active Directory
Global ausgewhlt, der Unterschied zwischen den verschiedenen Einstellungen wird im spteren Verlauf der Dokumentation erklrt.

Nun fgen wir die Benutzer, die wir im vorherigen Verlauf erstellt haben, den einzelnen Gruppen zu. Alle Mitarbeiter der Organisationseinheiten Abteilung 1, Abteilung 2, Abteilung 3 und Azubis werden den entsprechenden Gruppen zugeordnet also alle Mitarbeiter der OU Abteilung 1 werden der Sicherheitsgruppe Abteilung 1 zugeordnet usw.

Active Directory
Freigaben
Das Lastenheft gibt uns den Auftrag 3 virtuelle Laufwerke zu erstellen, zum einen das Homelaufwerk Z, dann das Abteilungslaufwerk Y und das Tauschlaufwerk X. Jeder Mitarbeiter hat ein eigenes Homelaufwerk und jeder Benutzer hat Zugriff auf das gemeinsame Tauschlaufwerk. Auerdem gibt es separat fr jede Abteilung ein eigenes Laufwerk, auf das jeder Mitarbeiter der, der Abteilung angehrt, zugreifen kann. Die Freigabe lassen sich ber das Programm Freigabe- und Speicherverwaltung realisieren, dies ist die Voraussetzung um spter mit Hilfe der Anmeldeskripte die Benutzer mit den virtuellen Laufwerken zu verlinken.

Durch klicken auf Freigabe bereitstellen lsst sich der Freigabeassistent ffnen, dieser fhrt einen durch die einzelnen Schritte dir zur Freigabe fhren.

Active Directory
Im ersten Schritt mssen wir den Pfad des Ordners angeben der Freigegeben werden soll.

In den Schritten NTFS-Berechtigung und SMB-Berechtigungen knnen wir die Berechtigungen fr diese Freigabe bestimmen. So knnen wir bestimmen z.B. bestimmen welcher Benutzer/ welche Gruppe oder OU Lesezugriff hat und wer zu dem noch Daten in der Freigabe schreiben/ndern darf. Das Beispielbild zeigt wie der Ordner Abteilung 1 freigegeben wird. In diesem Fall haben wir allen Benutzern, die zur OU Abteilung 1 gehren, vollzugriff gewhrt, damit sie, wie in dem Lastenheft aufgegeben, Daten tauschen knnen.

Active Directory

Active Directory
Im letzten Schritt des Freigabeassistenten bekomme wir eine bersicht ber alle vorgenommen Einstellungen angezeigt, dies nutzen wir um alles nochmal genau zu berprfen und Klicken den Button Erstellen um die Freigabe zu erstellen.

Auf diese Weise haben wir noch weitere Freigaben wir die anderen Abteilungen, das Homelaufwerk und das Tauschlaufwerk gemacht.
C:\Freigabe\Abteilung1 C:\Freigabe\Abteilung2 C:\Freigabe\Abteilung3 C:\Freigabe\Azubi C:\Freigabe\Homelaufwerk C:\Freigabe\Tauschlaufwerk

10

Active Directory
Gruppenrichtlinien/Anmeldeskripte
Um die die virtuellen Laufwerke erstellen zu knnen mssen wir Verlinkungen von den Benutzern zu den Freigaben erstellen. Um dies zu realisieren mssen wir Anmeldeskripte erstellen, die bei der Anmeldung eines Benutzers einen Link zu den entsprechenden Freigaben vollzieht. Dies wiederum ist nur mglich wenn entsprechende Gruppenrichtlinien erstellt werden. Die Bezeichnung Gruppenrichtlinien ist irrefhrend da diese nicht auf Gruppen im Sinne von Verteiler-/Sicherheitsgruppen angewendet werden sondern auf Organisationseinheiten. Organisationseinheit -> Gruppenrichtlinien -> Anmeldeskripte Das Erstellen der Gruppenrichtlinien und einfgen der Anmeldeskripte erfolgt in der Gruppenrichtlinienverwaltung. Nun haben wir zu jeder OU die passenden Gruppenrichtlinien erstellt.

11

Active Directory
Als nchstes haben wir 4 Anmeldescripte (Fr jede Abteilung bzw. OU) erstellt, die gengen um die Anforderungen des Lastenheftes zu erfllen. Die Erfolg einfach du das Erstellen einer Textdatei, dort haben wir den Scriptcode reingeschrieben und die Datei mit der Endung .bat gespeichert damit es den dort enthaltenen Code verwerten kann. Jedes Script enthlt 3 Codezeilen, die den Benutzer mit den virtuellen Laufwerken Z: , X: und Y: verbindet.

Jetzt mssen die erstellten Scripte nur noch den Gruppenrichtlinien zugewiesen werden. Dies geschieht ber die Gruppenrichtlinien verwalten, dort whlt man die vorher erstellten Gruppenrichtlinien aus und bearbeitet sie mit dem Gruppenrichtlinienverwaltungs-Editor. Dort geht man unter Benutzerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Scripts (Anmelden/Abmelden). Dann ein Doppelklick auf Anmelden und es ffnet sich ein Konfigurationsfenster. Jetzt klickt man nur noch auf Hinzufgen whlt die entsprechende Scriptdatei aus. In unserem Beispiel wurde gerade das erste Anmeldescript der Gruppenrichtlinie Abteilung_1 zugewiesen.

12

Active Directory
Diesen Vorgang fhren wir ebenfalls mit den anderen Skripten durch, nun wird bei jeder Anmeldung durch einen Benutzer das zu ihm gehrige Script ausgefhrt (abhngig von seiner Abteilungszugehrigkeit). Die Funktionsweise des Skriptes lsst sich auch ohne Client testen, dazu wird fhrt der Administrator einen Doppelklick auf das zu testende Skript aus, dabei sollten die zum Skript gehrigen virtuellen Laufwerke nun mit dem Administrator verbunden sein. Ist dies nicht der Fall dann wurde in einem der vorherigen Schritte ein Fehler gemacht.

13