77
Microsoft Active Directory Kay Ködel 25.01.06

Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

Embed Size (px)

Citation preview

Page 1: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

Microsoft Active Directory

Kay Ködel25.01.06

Page 2: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

Index1 Einführung in das Active Directory

2 Das Microsoft Active Directory2.1 Begriffe2.2 Hauptwerkzeuge2.3 Installation2.4 Active Directory Objekte2.5 Berechtigungen2.6 Replikation2.7 Richtlinien

3 Dienste und Ihre Bedeutung für das Gesamtsystem3.1 Ereignisanzeige

4 Abschließende Bemerkungen

Page 3: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

1 Einführung in das Active Directory

Verzeichnisse (engl. Directories) sind Sammlungen von Daten einer bestimmten Art. So kann man Telefon- und Adressbücher wie auch Kataloge oder Fernseh-Programme als Verzeichnisse bezeichnen. Dabei liegt allen Directories ein ordnendes Prinzip zugrunde: Telefonbücher sind nach Namen geordnet, Kataloge nach Themen und Fernseh-Programme nach TV-Kanälen und Datum.

Page 4: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

1 andere Definition

Das Active Directory ist ein hierarchischer Verzeichnisdienst, der unternehmensrelevante Daten (Benutzer, Computer, Drucker, etc.) an einer zentralen Stelle verwaltet und diese über standardisierte Schnittstellen (LDAP) den Benutzern des Netzwerkes zur Verfügung.

Page 5: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

1 Herkunft

• Einführung mit Windows 2000

• LDAP

• Notwendigkeit für die Administration größerer Netze

• Ansätze in Windows NT

Page 6: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

1 Unterstützte Technologien

DHCP - Dynamic Host Configuration Protocol (D)DNS - (Dynamic) Domain Name System SNTP - Simple Network Time Protocol LDAP - Lightweight Directory Access Protocol

v3 LDIF - LDAP Data Interchange Format - X.509 v3-Zertifikate - Authentifizierung TCP/IP - Transmission Control

Protocol/Internet Protocol

Page 7: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2 Microsoft Active Directory

Vorteile:

Informationssicherheit Richtlinienbasierte Verwaltung Erweiterungsfähigkeit Skalierbarkeit Replikation von Informationen DNS-Integration Zusammenarbeit mit anderen

Verzeichnisdiensten

Page 8: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2 Allgemein

global verteiltes Verzeichnis

hierarchisch angeordnete Objekte

Hauptaufgabe eines Verzeichnisdienstes ist die Zuordnung von Namen eines Objektes zu einer Menge von Werten und Eigenschaften.

Suchen nach Objekten mit geeigneten Browsern

Internationale ISO/ITU-T Standards für einen plattformunabhängigen verteilten Verzeichnisdienst

Page 9: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2 Allgemein

Eine Art Zuordnungsliste Datensätze, Objekte Atribute Vorraussetzung DNS Aktiv in der Anwendungsschicht und nutzt andere

Protokolle Organisation, Bereitstellung und Überwachung Dreiteilung: Schema, Konfiguration und Domain Active-Directory-Datenbank (Windows 2000)

benutzt Jet-Basierende ESE98 (Grenze bei 17 Terabytes und 10 Millionen Objekte pro Domain)

Page 10: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Begriffsdefinition

Domäne Tree Forest Standort Organisationseinheit Gruppenrichtilinienobjekte Schema Global Catalog

Page 11: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Domäne

SD

2 0 0

R

pentium.........

PROSIGNIA

SD

2 0 0

R

pentium.........

PROSIGNIA

SD

2 0 0

R

pentium.........

PROSIGNIA

Besteht aus mind. 1 DC

Der das komplette Verzeichnis vorhält

Durch Multi-Master Replikation Änderungen von allen DCs aus möglich

Domäne bildet Grenze für die Replikation

Page 12: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Struktur (Tree)Beliebig tiefer hierarchischer Domänen-Baum

einheitliches Namensschemata

alka.dehalle.alka.de

Transitive Kerberos Vertrauensstellung

Page 13: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Gesamtstruktur (Forest)

Beliebig tiefer hierarchischer Domänen-Baum

einheitliches Namensschemata

alka.dehalle.alka.de

Transitive Kerberos Vertrauensstellungen

Page 14: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Standort (Site)

Definiert ein Netzwerk mit schnellen Verbindungen.

Definition über IP-Subnetze

Replikation innerhalb des Standorts und über Standortgrenzen hinweg separat konfigurierbar

Clients können stets „nahe“ Ressourcen nutzen.

Page 15: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Organisationseinheit

Active Directory Container Objekt innerhalb einer Domäne

Verwaltung Benutzer-, Gruppen und Computerobjekten

Kleinste Bereich auf den Gruppenrichtlinienobjekte angewendet werden können

Page 16: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Gruppenrichtlienenobjekte

Gruppenrichtlinene (Group Policy Object GPO)

Definition: Policies bieten die Möglichkeit, an zentraler Stelle die Anwendungsumgebung der Benutzer einmalig festzulegen, wobei das Betriebssystem die Einhaltung sicherstellt.

Ca. 600 Konfigurationsmöglichkeiten

Unterteilt in Computer- und Benutzereinstellungen

Können vom Administrator erweitert werden

Page 17: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Schema

Beschreibung aller Objekte inkl. Ihrer Attribute des Active Directory

Wird vom Schema-Master verwaltet

1 Schemamaster pro Domäne

Eindeutigkeit in einem Forest sicherstellen

Page 18: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.1 Globaler Katalog

Page 19: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.2 Hauptwerkzeuge des AD

• Active Directory Benutzer und Gruppen• Active Directory Domänene und

Vertrauensstellungen• Active Directory Standorte und Dienste• Sicherheitsrichtilininien für Domänen• Sicherheitsrichtlinien für

Domänencontroler• Serververwaltung Standardkomponenten

Page 20: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.2 Serververwaltung unter Windows

Dateiserver Druckserver Anwendungsserver (IIS,ASP.NET) Mailserver(POP3, SMTP) Terminalserver RAS/VPN-Server Domänencontroler DNS-Server DHCP-Server Streaming-Media-Server WINS-Server

Page 21: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

Mögliche Varianten für den Einsatz des Domaincontrollers:

Erste Root-Domäne (im Wald oder in einer Gesamtstruktur)

zusätzlichen Domänencontrollers (Replikationscontroller)

weitere Sub- bzw. Child-Domäne

neuer Domänenbaum innerhalb der Domänengesamtstruktur (Domänenwald)

2.3 Installation des Active Directory

Page 22: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.3 Installation des Active Directory

Wahl des Domainnamens Planung des Einsatzes und Zwecks Dokumentation der Einstellungen

Entwerfen einer Bennenungsstrategie Entwerfen einer Schematarichtlinie Unterstützung von Gruppenrichtlinien Verzeichnisstruktur mit mehreren Domains Entwerfen einer Standardtopologie Entwerfen einer Infrastruktur

Page 23: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.3 Installation des Active Directory

Programm: DCPROMO.EXE

Page 24: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.3 Serverrollen

Windows 2000 - 5 Serverrollen

RID-Master (eindeutig in Domäne)Stellt den DCs seiner Domäne sogenannte Relative IDs (RID) in Kontingenten zur Verfügung. RIDs benötigen die DCs bei der Erzeugung von Security Principals, das sind User-, Gruppen- oder Computer-Objekten. Zusammen mit der SID, die innerhalb einer Domäne immer gleich ist, ergibt sich daraus die endgültige SID.

Infrastruktur-Master (eindeutig in Domäne)Löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus der Gruppe verschwunden, und zwar solange bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Gruppenmitgliedern werden.

Page 25: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.3 Serverrollen

Schema Master (eindeutig im Forest) Der Schema-Master verwaltet alle Änderungen am Schema. Das Schema definiert alle Objekttypen der AD-Datenbank.

Domänennamen-Master (eindeutig imForest)Er kontrolliert das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Zusätzlich gibt es drei domänenweite FISMOs:

PDC-Emulator (eindeutig in Domäne)Übernimmt die Rolle des PDC in einem W2k-Netz, das auch andere nicht-W2k-Clients oder BDCs enthält. Überwacht Anmeldungen und Paßwortänderungen.

Page 26: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.3 AD Dateien im Dateisystem

Dateien liegen standardmäßig unter: Stamm\NTDS

Folgende Dateien sollten vorhanden seinNTDS.DIT die AD DatenbankEDB.LOG das TransaktionsprotokollEDBxxxx.LOG fortlaufende LOG DateienEDB.CHK Log CheckpointRES1(2).LOG Reserve-Log DateienTemp.EDB SuchoptionenSchema.INI Standard Schema

Page 27: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.3 Deinstallation des Active Directory

Programm: DCPROMO.EXE

Page 28: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 AD Objekte

Benutzer, Gruppen, Computer, Drucker, Sicherheits-

richtlinien, Dateifreigaben, Applikationen und untergeordnete OE.

Page 29: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Benutzerkonten

DomDomänenbenutzerkontenänenbenutzerkontenDomDomänenbenutzerkontenänenbenutzerkonten Ermöglichen einem Benutzer die Anmeldung an der Domäne, um Zugriff auf

Netzwerkressourcen zu erhalten Befinden sich in Active Directory

Ermöglichen einem Benutzer die Anmeldung an der Domäne, um Zugriff auf Netzwerkressourcen zu erhalten

Befinden sich in Active Directory

LoLokkalale Benutzerkontene BenutzerkontenLoLokkalale Benutzerkontene Benutzerkonten

Ermöglichen einem Benutzer die Anmeldung an einem bestimmten Computer, um Zugriff auf die Ressourcen auf diesem Computer zu erhalten.

Ermöglichen einem Benutzer die Anmeldung an einem bestimmten Computer, um Zugriff auf die Ressourcen auf diesem Computer zu erhalten.

Vordefinierte BenutzerkontenVordefinierte BenutzerkontenVordefinierte BenutzerkontenVordefinierte Benutzerkonten

Ermöglichen einem Benutzer die Ausführung von Verwaltungsaufgaben oder den temporären Zugriff auf Netzwerkressourcen

Befinden sich in Active Directory (vordefinierte Domänenbenutzerkonten)

Ermöglichen einem Benutzer die Ausführung von Verwaltungsaufgaben oder den temporären Zugriff auf Netzwerkressourcen

Befinden sich in Active Directory (vordefinierte Domänenbenutzerkonten)Administrator

und GastAdministrator

und Gast

Page 30: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Erstellen eines Domänenbenutzerkontos

New Object - User

Page 31: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Namenskonventionen

Benutzeranmeldenamen müssen eindeutig sein

Benutzeranmeldenamen: Können bis zu 20 Zeichen enthalten Eine Kombination von speziellen und

alphanumerischen Zeichen kann verwendet werden

Eine Namenskonvention sollte: Eine Regel zum Auflösen von identische Namen

enthalten Temporäre Benutzer identifizieren können

Page 32: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Erstellen eines Domänenbenutzerkontos

Page 33: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Kennwortrichtlinien

Weisen Sie dem Konto „Administrator“ stets ein Kennwort zu

Legen Sie fest, wer die Kontrolle über dieKennwörter hat

Standardmäßig müssen bei Windows 2003 Kennwörter „stark“ sein

Page 34: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Persönliche Eigenschaften

Hinzufügen persönlicher Informationen über Benutzer und Speichern im Active Directory

Verwenden persönlicher Eigenschaften, um Active Directory zu durchsuchen

Page 35: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Kontoeigenschaften

Benutzer02 UserBenutzer03 UserBenutzer04 UserBenutzer05 UserBenutzer06 User

Benutzer01 User

Page 36: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Anmeldeoptionen

StandardStandard StandardStandard

Page 37: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Anmeldeoptionen

Anmeldezeiten so festlegen, dass sie den Arbeitszeiten der Benutzer entsprechen

Festlegen der Computer, von denen aus sich der Benutzer anmelden kann

Domänenbenutzer können sich standardmäßig an jedem Computer der Domäne anmelden

Domänenbenutzer können auf bestimmte Computer eingeschränkt werden, damit die Sicherheit erhöht wird

Page 38: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.4 Servergespeicherte Profile

\Basis

Benutzer1

Benutzer2

Benutzer3

So erstellen sie einen Basisordner:

- Erstellen Sie einen Ordner auf einem Server, und geben Sie diesen frei

- Erteilen Sie die entsprechende Berechtigung

- Benutzerkonto entsprechend konfigurieren

Page 39: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Berechtigungen

Umfangreiche Gestaltung

Anlenung an Objektorientierte Standards

Vererbungsstrategie

Zugriffsrechte anstelle von Beschränkungen

Page 40: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 NTFS-Datei/Ordner Berechtigungen

Orderberechtigungen Dateiberechtigungen

Lesen Lesen

Schreiben Schreiben

Ordnerinhalt auflisten

Lesen, Ausführen Lesen, Ausführen

Ändern Ändern

Vollzugriff Vollzugriff

Spezial Spezial

Page 41: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Kopieren & Verschieben

Durch das Kopieren gehen Berechtigungen verlohren Nur durch das Verschieben innerhalb einer Partition

werden Berechtigungen beibehalten

NTFS-PartitionD:\

NTFS-PartitionE:\

NTFS-PartitionC:\ KopierenKopierenKopierenKopieren

VerschiebenVerschieben

Kopieren oder VerschiebenKopieren oder Verschieben

Page 42: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Gruppen

Gruppenmitglieder verfügen über zugewiese Rechte der Gruppe

Benutzer können Mitglieder mehrerer Gruppen sein

Gruppen und Computer können ebenfalls Mitglieder von Gruppen sein

Berechtigungen werden für jedes Benutzerkonto einzeln

erteilt

Berechtigungen werden für jedes Benutzerkonto einzeln

erteilt

Berechtigungen werden einmal für einen Gruppe

erteilt

Berechtigungen werden einmal für einen Gruppe

erteiltAAnstelle vonnstelle vonAAnstelle vonnstelle von

Page 43: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Gruppentypen und -bereiche

GruppentypenGruppentypenGruppentypenGruppentypen

SicherheitsgruppenSicherheitsgruppenVerwenden zum Erteilen von Berechtigungen Können als E-Mail-Verteilungsliste verwendetwerden

Verwenden zum Erteilen von Berechtigungen Können als E-Mail-Verteilungsliste verwendetwerden

VerteilergruppenVerteilergruppenKönnen nicht zum Erteilen von Berechtigungen verwendet werden Können als E-Mail-Verteilungsliste verwendetwerden

Können nicht zum Erteilen von Berechtigungen verwendet werden Können als E-Mail-Verteilungsliste verwendetwerden

GruppenbereicheGruppenbereicheGruppenbereicheGruppenbereiche

Globale GruppeGlobale GruppeVerwenden Sie diesen Gruppenbereich, um Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zu organisieren

Verwenden Sie diesen Gruppenbereich, um Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zu organisieren

Gruppe der lokalen Domäne

Gruppe der lokalen Domäne

Verwenden Sie diesen Bereich, um Berechtigungen für Domänenressourcen zu erteilenVerwenden Sie diesen Bereich, um Berechtigungen für Domänenressourcen zu erteilen

Universelle Gruppe

Universelle Gruppe

Verwenden Sie diesen Bereich zum Erteilen von Zugriffsberechtigungen für Ressourcen, die sich in mehreren Domänen befinden

Verwenden Sie diesen Bereich zum Erteilen von Zugriffsberechtigungen für Ressourcen, die sich in mehreren Domänen befinden

Page 44: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Gruppen anlegen und löschen

Neues Objekt - Group

Erstellen in: nwtraders.msft/Users

Gruppenname:

Gruppenname (Windows NT 3.5x/4.0):

Gruppenbereich:

Lokale DomäneGlobalUniversal

Gruppentyp:

SicherheitVerteiler

OKOK Abbrechen

Public GruppennameGruppennameGruppennameGruppenname

Page 45: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 NTFS-Berechtigungen

„Verweigern“ setzt andere Berechtigungen außer Kraft

Page 46: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Berechtigungen für Freigaben

DatenDaten

Berechtigungen fürfreigegebene OrdnerBerechtigungen für

freigegebene Ordner

LesenLesen

ÄndernÄndern

VollzugriffVollzugriff

Benutzer

• Benutzer benötigen auf einem NTFS-Datenträger zusätzlich die entsprechende NTFS-Berechtigung

• Restriktivste Berechtigung gilt

• Empfehlung: Auf Freigabeebene der Gruppe Jeder Vollzugriff erteilen und explizite Berechtigungen über NTFS- Berechtigungen konfigurieren

Page 47: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Verbindung zu freigegebenen Ordnern

Verwendung von „Netzwerkumgebung“ -> SUCHEN Freigabenamen mit angehängtem „$“ werden nicht angezeigt

Verwenden von „Netzlaufwerk verbinden“ \\Server\Name_des_freigegebenen_Ordners\Datei

Über Eingabeaufforderung: net use <Laufwerksbuchstaben> <Freigabename>

Page 48: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Richtlinien

Dienst läuft unter einem Benutzerkontext Interne Dienste unter Systemkonten Externe Dienste unter Benutzerkonten

Default Domain (Controllers) Policy Unter welchen Berechtigungen Dienste

laufen dürfen Log on as a service /Deny logon as a service

Page 49: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.5 Richtlinien

Page 50: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.6 Richtlinien

Mit Hilfe des Gruppenrichtilinieneditors lassen sich umfangreiche Einstellungen vornehmen um die Administration zu vereinfachen.

Neben den schon bereits erleuterten Sicherheitseinstellungen können speziell Benutztereinstellungen wie verfügbare Programme, installierte Dienste, Windowseinstellungen und administrative Aufgaben konfiguriert werden. Als Standard existiert am Anfang nur die Default Domain Policy.

Page 51: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.7 Replikation

Die Replikation von Änderungen der Active Directory-Informationen spielt dann eine Rolle, wenn mehrere Domänencontroller in einem Windows 2000-Netzwerk installiert sind.

Jeder Domänencontroller repliziert bzw. synchronisiert seine Active Directory-Datenbank mit anderen Domänencontrollern in der Domänengesamtstruktur.

Die Bedeutung der Replikation von Active Directory-Informationen steigt mit der Größe des Netzwerkes.

Page 52: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

2.7 Replikation

Replikation wird automatisch nach vorgegebenene Einstellungen durchgeführt

Bei Ausfall des PDC übernimmt Bsp der SDC die Auifgaben des PDC

Replikation umfasst die Einstellung einer Domäne und ist auf die Domäne begrenzt

Mittels des Replokationsmonitors kann die Replikation überwacht werden

Page 53: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3 Dienste

Was sind Dienste? Programme, die unabhängig von

angemeldeten Benutzern unter einem Benutzerkontext ausgeführt werden können

Motivation? Unmenge an Diensten werden installiert,

selbst wenn diese nicht gebraucht werden teilweise schlechte Beschreibungen unverzichtbare Dienste

Verwaltung über mmc.exe Snap-In Dienste bzw. services.msc

Page 54: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3 Starttyp

Automatisch: Dienst wird beim Rechnerstart gestartet

Manuell: Dienst kann bei Bedarf per Hand oder von Programmen gestartet werden

Deaktiviert: Dienst kann nicht gestartet werden, kritisch bei unverzichtbaren Diensten

Page 55: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3 Unverzichtbare Dienste

Remoteprozeduraufruf

COM+-Ereignissystem

Ereignisprotokoll

Windows-Verwaltungsinformationen

Sicherheitskontenverwaltung

Plug & Play

Page 56: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3 Ausgewählte Dienste 1

Dienstbezeichnung Executable empf. Startart

Ablagemappe clipsrv.exe deaktiviert

Anmeldedienst lsass.exe manuell

Anwendungsverwaltung services.exe / svchost.exe manuell

Arbeitsstationsdienst services.exe / svchost.exe automatisch

COM+-Ereignissystem svchost.exe manuell

Computerbrowser services.exe / svchost.exe je nach Bedarf

DHCP-Client services.exe / svchost.exe je nach Bedarf

DNS-Client services.exe / svchost.exe je nach Bedarf

Druckwarteschlange spoolsv.exe automatisch

Ereignisprotokoll services.exe automatisch

Geschützter Speicher services.exe / lsass.exe automatisch

Leistungsdatenprotokolle und Warnungen smlogsvc.exe manuell

Nachrichtendienst services.exe / svchost.exe je nach Bedarf

Netzwerkverbindungen svchost.exe manuell

Plug & Play services.exe automatisch

Page 57: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3 Ausgewählte Dienste 2

Dienstbezeichnung Executable empf. Startart

Remoteprozeduraufruf (RPC) svchost.exe automatisch

Remote-Registrierung regsvc.exe / svchost.exe automatisch

Server services.exe / svchost.exe automatisch

Sicherheitskontenverwaltung lsass.exe automatisch

Systemereignisbenachrichtigung svchost.exe automatisch

Taskplaner MSTask.exe / svchost.exe je nach Bedarf

Telnet tlntsvr.exe deaktiviert

Windows Installer msiexec.exe manuell

Windows-Verwaltungsinstrumentation WinMgmt.exe / svchost.exe automatisch

Windows-Zeitgeber services.exe / svchost.exe je nach Bedarf

Page 58: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3 Aufbau Dienste (XP/2003)

Die meisten Dienste laufen unterGeneric Host Process for Win32 Services Weniger laufende Prozesse

(min.) vier Instanzen von svchost.exe SYSTEM - nahezu alle eingebauten Dienste SYSTEM - zweite Instanz für RPC LOCAL SERVICE - z.B. Remote Registry NETWORK SERVICE - z.B. DNS-Client

2 neue weniger privilegierte Dienstkontosfür eingebaute Dienste LOCAL SERVICE; NETWORK SERVICE

Page 59: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3 Process Explorer

Page 60: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Die Ereignisanzeige

Page 61: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Die Ereignisanzeige

Zusammenfassung aller Meldungen des Systems

Standardmäßige Unterteilung in Application, Security und System Log

Je nach installiertem Dienst werden weitere Unterpunkte hinzuaddiert

Page 62: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Komponenten

Application Log- anwendungsspezifische Meldungen- editierbar per VBScript/WMI

System Log- Meldungen von Betriebssystemkomponenten

Security Log- Sicherheitsmeldungen (z.B. Anmeldung, Zugriffe)- Kann vom Administrator nich editiert werden

Page 63: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Allgemeine Konfiguration

Page 64: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Allgemeine Konfiguration

Einstellungen können in der Default Domain Policyvorgenommen werden

Page 65: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Das Security Log

Auditing wird ebenfalls durch GPO‘s gesteuert

Page 66: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Auswertung

Das Event Log bietet eine Fülle von durchaus nützlichen Informationen

Probleme:

Übersichtlichkeit Verständlichkeit und Dokumentation

Page 67: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Auswertung

Page 68: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Sicherheitscheck

Vor der Installation prüfen: DNS-Namensraum, Speicherort der Datenbank, Struktur des Active Directory, Aufgaben- bzw. Berechtigungszuweisungen in Bezug auf die Administration, Datensicherung bzw. Replikation des Active Directory.

Auslagern der Datenbank in größeren Netzen

Anlegen von Organisationseinheiten (OE) Diese bilden die Grundlage für die Abgrenzung von Administrationsbefugnissen und die Zuweisung von Gruppenrichtlinien.

Page 69: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

3.1 Sicherheitscheck

Prüfen Sie die Administrationsbefugnisse im Active Directory sorgfältig und begrenzen Sie sie auf ein Minimum.

Die Gruppe Organisations-Admins hat die Aufgabe, das Active Directory zu verwalten. Sie verfügt über Vollzugriffsrechte auf allen Ebenen und darf auf der Domänenebene nicht entfernt werden.

Mithilfe der Datei adminpak.msi kann Active Directory von einem Client aus audministriert werden

Einrichten von Standorten

Um eine hohe Verfügbarkeit (Replikation) des Active Directory zu gewährleisten,sollten Sie innerhalb jeder Domäne zwei Domänencontroller einrichten.

Page 70: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

4 Abschliessende Bemerkungen

Aktive Direktory ist ein mächtiges Werkzeug für die Administration der gesamten IT in einem Unternehmen.

Es stehen umfassende Programme zur Verfügung um die Verwaltung von Active Direkory Objekten zu erleichtern und effizient zu gestalten.

Page 71: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

4 Abschliessende Bemerkungen

Windows 2003 beinhaltet einige Neuerungen und Besserungen. Im Gegensatz zu 2000 ist nach der Installation alles sehr restriktiv ausgelegt.

starke Passwörter

lokales, interaktives anmelden verboten

Dot.Net Schnittstelle

Page 72: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

4 Abschliessende Bemerkungen

Mit Hilfe der Gruppenrichtlinien lassen sich Benutzerumgebungen, (Desktopaussehen und Verhalten, installierte Programme usw.) individuell für Gruppen anpassen und vorgeben.

Keine Bindung an spezielle Computer oder Computer an Ressourcen

Jedes Objekt kann bequem individuell konfiguriert werden

Page 73: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

4 Abschliessende Bemerkungen

Primäre und Sekundäre Server vermindern Ausfälle und mildern die Folgen

Replikation funktioniert automatisch

Verschiedene Standorte verbessern die Datensicherheit enorm

Page 74: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

4 Abschliessende Bemerkungen

Active Directory erzeugt große Mengen an Daten

Wenn sich ein User das erste mal an einem Computer anmeldet kann dies sehr lange dauern, weil das Benutzerprofil lokal gespeichert wird, ggf. Software installiert wird und gewisse Tests durchgeführt werde

Ein Administrator sollte es auf jedenfall vermeiden sich an weniger gesicherten Computern anzumelden da dies ein erhöhtes Sicherheitsrisiko darstellt.

Page 75: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

4 Abschliessende Bemerkungen

Die meisten Einstellungen die man am Active Directory vornimmt werden nicht sofort umgesetzt und dauern eine Weile. Dies hängt von den jeweiligen Einstellungen der Ressource, der Replikation sowie der Netzwerkanbindung ab.

Das Active Directory ist eines der wichtigsten Technologien von Microsoft. In Zukunft wird die Bedeutung mit Sicherheit noch weiter steigen

Page 76: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

Praxisteil

Installation von Microsoft Windows 2003 Enterprise Edition

Update von Windows Aktivierung und Festlegung des Active

Direktory mit dcpromo Konfiguration des Aktive Direktory

(Benutzer, Computer, ...) Verschaffen eines Überblicks Test der ausgewählten Funktionalitäten Deinstallation des Active Directory

Page 77: Microsoft Active Directory Kay Ködel 25.01.06. Index 1 Einführung in das Active Directory 2 Das Microsoft Active Directory 2.1 Begriffe 2.2 Hauptwerkzeuge

Praxisteil

Firma: AlKa Server: 1 Server (leistungsfähig), Clientcomputer Domainname: halle.alka.de Feste IP: 192.168.10.1 Servername: PDC Benutzer: Otto Chef, Inge Verwaltung, Hans

Produktion, Ingo Administrator, Paula Praktikantin

Computer: einige Client-Computer Drucker: Verwaltung1, Produktion1 Firmenverzeichnis: c:/Firmenverzeichnis/Chefsache/*

c:/Firmenverzeichnis/Verwaltung/*c:/Firmenverzeichnis/PublicFirma/*c:/Firmenverzeichnis/Proddaten/*

Verschiedene Zugriffsrechte auf die Ordner