Microsoft Active Directory
Kay Ködel25.01.06
Index1 Einführung in das Active Directory
2 Das Microsoft Active Directory2.1 Begriffe2.2 Hauptwerkzeuge2.3 Installation2.4 Active Directory Objekte2.5 Berechtigungen2.6 Replikation2.7 Richtlinien
3 Dienste und Ihre Bedeutung für das Gesamtsystem3.1 Ereignisanzeige
4 Abschließende Bemerkungen
1 Einführung in das Active Directory
Verzeichnisse (engl. Directories) sind Sammlungen von Daten einer bestimmten Art. So kann man Telefon- und Adressbücher wie auch Kataloge oder Fernseh-Programme als Verzeichnisse bezeichnen. Dabei liegt allen Directories ein ordnendes Prinzip zugrunde: Telefonbücher sind nach Namen geordnet, Kataloge nach Themen und Fernseh-Programme nach TV-Kanälen und Datum.
1 andere Definition
Das Active Directory ist ein hierarchischer Verzeichnisdienst, der unternehmensrelevante Daten (Benutzer, Computer, Drucker, etc.) an einer zentralen Stelle verwaltet und diese über standardisierte Schnittstellen (LDAP) den Benutzern des Netzwerkes zur Verfügung.
1 Herkunft
• Einführung mit Windows 2000
• LDAP
• Notwendigkeit für die Administration größerer Netze
• Ansätze in Windows NT
1 Unterstützte Technologien
DHCP - Dynamic Host Configuration Protocol (D)DNS - (Dynamic) Domain Name System SNTP - Simple Network Time Protocol LDAP - Lightweight Directory Access Protocol
v3 LDIF - LDAP Data Interchange Format - X.509 v3-Zertifikate - Authentifizierung TCP/IP - Transmission Control
Protocol/Internet Protocol
2 Microsoft Active Directory
Vorteile:
Informationssicherheit Richtlinienbasierte Verwaltung Erweiterungsfähigkeit Skalierbarkeit Replikation von Informationen DNS-Integration Zusammenarbeit mit anderen
Verzeichnisdiensten
2 Allgemein
global verteiltes Verzeichnis
hierarchisch angeordnete Objekte
Hauptaufgabe eines Verzeichnisdienstes ist die Zuordnung von Namen eines Objektes zu einer Menge von Werten und Eigenschaften.
Suchen nach Objekten mit geeigneten Browsern
Internationale ISO/ITU-T Standards für einen plattformunabhängigen verteilten Verzeichnisdienst
2 Allgemein
Eine Art Zuordnungsliste Datensätze, Objekte Atribute Vorraussetzung DNS Aktiv in der Anwendungsschicht und nutzt andere
Protokolle Organisation, Bereitstellung und Überwachung Dreiteilung: Schema, Konfiguration und Domain Active-Directory-Datenbank (Windows 2000)
benutzt Jet-Basierende ESE98 (Grenze bei 17 Terabytes und 10 Millionen Objekte pro Domain)
2.1 Begriffsdefinition
Domäne Tree Forest Standort Organisationseinheit Gruppenrichtilinienobjekte Schema Global Catalog
2.1 Domäne
SD
2 0 0
R
pentium.........
PROSIGNIA
SD
2 0 0
R
pentium.........
PROSIGNIA
SD
2 0 0
R
pentium.........
PROSIGNIA
Besteht aus mind. 1 DC
Der das komplette Verzeichnis vorhält
Durch Multi-Master Replikation Änderungen von allen DCs aus möglich
Domäne bildet Grenze für die Replikation
2.1 Struktur (Tree)Beliebig tiefer hierarchischer Domänen-Baum
einheitliches Namensschemata
alka.dehalle.alka.de
Transitive Kerberos Vertrauensstellung
2.1 Gesamtstruktur (Forest)
Beliebig tiefer hierarchischer Domänen-Baum
einheitliches Namensschemata
alka.dehalle.alka.de
Transitive Kerberos Vertrauensstellungen
2.1 Standort (Site)
Definiert ein Netzwerk mit schnellen Verbindungen.
Definition über IP-Subnetze
Replikation innerhalb des Standorts und über Standortgrenzen hinweg separat konfigurierbar
Clients können stets „nahe“ Ressourcen nutzen.
2.1 Organisationseinheit
Active Directory Container Objekt innerhalb einer Domäne
Verwaltung Benutzer-, Gruppen und Computerobjekten
Kleinste Bereich auf den Gruppenrichtlinienobjekte angewendet werden können
2.1 Gruppenrichtlienenobjekte
Gruppenrichtlinene (Group Policy Object GPO)
Definition: Policies bieten die Möglichkeit, an zentraler Stelle die Anwendungsumgebung der Benutzer einmalig festzulegen, wobei das Betriebssystem die Einhaltung sicherstellt.
Ca. 600 Konfigurationsmöglichkeiten
Unterteilt in Computer- und Benutzereinstellungen
Können vom Administrator erweitert werden
2.1 Schema
Beschreibung aller Objekte inkl. Ihrer Attribute des Active Directory
Wird vom Schema-Master verwaltet
1 Schemamaster pro Domäne
Eindeutigkeit in einem Forest sicherstellen
2.1 Globaler Katalog
2.2 Hauptwerkzeuge des AD
• Active Directory Benutzer und Gruppen• Active Directory Domänene und
Vertrauensstellungen• Active Directory Standorte und Dienste• Sicherheitsrichtilininien für Domänen• Sicherheitsrichtlinien für
Domänencontroler• Serververwaltung Standardkomponenten
2.2 Serververwaltung unter Windows
Dateiserver Druckserver Anwendungsserver (IIS,ASP.NET) Mailserver(POP3, SMTP) Terminalserver RAS/VPN-Server Domänencontroler DNS-Server DHCP-Server Streaming-Media-Server WINS-Server
Mögliche Varianten für den Einsatz des Domaincontrollers:
Erste Root-Domäne (im Wald oder in einer Gesamtstruktur)
zusätzlichen Domänencontrollers (Replikationscontroller)
weitere Sub- bzw. Child-Domäne
neuer Domänenbaum innerhalb der Domänengesamtstruktur (Domänenwald)
2.3 Installation des Active Directory
2.3 Installation des Active Directory
Wahl des Domainnamens Planung des Einsatzes und Zwecks Dokumentation der Einstellungen
Entwerfen einer Bennenungsstrategie Entwerfen einer Schematarichtlinie Unterstützung von Gruppenrichtlinien Verzeichnisstruktur mit mehreren Domains Entwerfen einer Standardtopologie Entwerfen einer Infrastruktur
2.3 Installation des Active Directory
Programm: DCPROMO.EXE
2.3 Serverrollen
Windows 2000 - 5 Serverrollen
RID-Master (eindeutig in Domäne)Stellt den DCs seiner Domäne sogenannte Relative IDs (RID) in Kontingenten zur Verfügung. RIDs benötigen die DCs bei der Erzeugung von Security Principals, das sind User-, Gruppen- oder Computer-Objekten. Zusammen mit der SID, die innerhalb einer Domäne immer gleich ist, ergibt sich daraus die endgültige SID.
Infrastruktur-Master (eindeutig in Domäne)Löst Inter-Domain-Referenzen auf. Werden zum Beispiel Gruppenmitglieder umbenannt, so sind sie vorerst aus der Gruppe verschwunden, und zwar solange bis der Infrastrukturmaster die neuen Namen in der Gruppe einträgt, wodurch sie wieder zu Gruppenmitgliedern werden.
2.3 Serverrollen
Schema Master (eindeutig im Forest) Der Schema-Master verwaltet alle Änderungen am Schema. Das Schema definiert alle Objekttypen der AD-Datenbank.
Domänennamen-Master (eindeutig imForest)Er kontrolliert das Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Zusätzlich gibt es drei domänenweite FISMOs:
PDC-Emulator (eindeutig in Domäne)Übernimmt die Rolle des PDC in einem W2k-Netz, das auch andere nicht-W2k-Clients oder BDCs enthält. Überwacht Anmeldungen und Paßwortänderungen.
2.3 AD Dateien im Dateisystem
Dateien liegen standardmäßig unter: Stamm\NTDS
Folgende Dateien sollten vorhanden seinNTDS.DIT die AD DatenbankEDB.LOG das TransaktionsprotokollEDBxxxx.LOG fortlaufende LOG DateienEDB.CHK Log CheckpointRES1(2).LOG Reserve-Log DateienTemp.EDB SuchoptionenSchema.INI Standard Schema
2.3 Deinstallation des Active Directory
Programm: DCPROMO.EXE
2.4 AD Objekte
Benutzer, Gruppen, Computer, Drucker, Sicherheits-
richtlinien, Dateifreigaben, Applikationen und untergeordnete OE.
2.4 Benutzerkonten
DomDomänenbenutzerkontenänenbenutzerkontenDomDomänenbenutzerkontenänenbenutzerkonten Ermöglichen einem Benutzer die Anmeldung an der Domäne, um Zugriff auf
Netzwerkressourcen zu erhalten Befinden sich in Active Directory
Ermöglichen einem Benutzer die Anmeldung an der Domäne, um Zugriff auf Netzwerkressourcen zu erhalten
Befinden sich in Active Directory
LoLokkalale Benutzerkontene BenutzerkontenLoLokkalale Benutzerkontene Benutzerkonten
Ermöglichen einem Benutzer die Anmeldung an einem bestimmten Computer, um Zugriff auf die Ressourcen auf diesem Computer zu erhalten.
Ermöglichen einem Benutzer die Anmeldung an einem bestimmten Computer, um Zugriff auf die Ressourcen auf diesem Computer zu erhalten.
Vordefinierte BenutzerkontenVordefinierte BenutzerkontenVordefinierte BenutzerkontenVordefinierte Benutzerkonten
Ermöglichen einem Benutzer die Ausführung von Verwaltungsaufgaben oder den temporären Zugriff auf Netzwerkressourcen
Befinden sich in Active Directory (vordefinierte Domänenbenutzerkonten)
Ermöglichen einem Benutzer die Ausführung von Verwaltungsaufgaben oder den temporären Zugriff auf Netzwerkressourcen
Befinden sich in Active Directory (vordefinierte Domänenbenutzerkonten)Administrator
und GastAdministrator
und Gast
2.4 Erstellen eines Domänenbenutzerkontos
New Object - User
2.4 Namenskonventionen
Benutzeranmeldenamen müssen eindeutig sein
Benutzeranmeldenamen: Können bis zu 20 Zeichen enthalten Eine Kombination von speziellen und
alphanumerischen Zeichen kann verwendet werden
Eine Namenskonvention sollte: Eine Regel zum Auflösen von identische Namen
enthalten Temporäre Benutzer identifizieren können
2.4 Erstellen eines Domänenbenutzerkontos
2.4 Kennwortrichtlinien
Weisen Sie dem Konto „Administrator“ stets ein Kennwort zu
Legen Sie fest, wer die Kontrolle über dieKennwörter hat
Standardmäßig müssen bei Windows 2003 Kennwörter „stark“ sein
2.4 Persönliche Eigenschaften
Hinzufügen persönlicher Informationen über Benutzer und Speichern im Active Directory
Verwenden persönlicher Eigenschaften, um Active Directory zu durchsuchen
2.4 Kontoeigenschaften
Benutzer02 UserBenutzer03 UserBenutzer04 UserBenutzer05 UserBenutzer06 User
Benutzer01 User
2.4 Anmeldeoptionen
StandardStandard StandardStandard
2.4 Anmeldeoptionen
Anmeldezeiten so festlegen, dass sie den Arbeitszeiten der Benutzer entsprechen
Festlegen der Computer, von denen aus sich der Benutzer anmelden kann
Domänenbenutzer können sich standardmäßig an jedem Computer der Domäne anmelden
Domänenbenutzer können auf bestimmte Computer eingeschränkt werden, damit die Sicherheit erhöht wird
2.4 Servergespeicherte Profile
\Basis
Benutzer1
Benutzer2
Benutzer3
So erstellen sie einen Basisordner:
- Erstellen Sie einen Ordner auf einem Server, und geben Sie diesen frei
- Erteilen Sie die entsprechende Berechtigung
- Benutzerkonto entsprechend konfigurieren
2.5 Berechtigungen
Umfangreiche Gestaltung
Anlenung an Objektorientierte Standards
Vererbungsstrategie
Zugriffsrechte anstelle von Beschränkungen
2.5 NTFS-Datei/Ordner Berechtigungen
Orderberechtigungen Dateiberechtigungen
Lesen Lesen
Schreiben Schreiben
Ordnerinhalt auflisten
Lesen, Ausführen Lesen, Ausführen
Ändern Ändern
Vollzugriff Vollzugriff
Spezial Spezial
2.5 Kopieren & Verschieben
Durch das Kopieren gehen Berechtigungen verlohren Nur durch das Verschieben innerhalb einer Partition
werden Berechtigungen beibehalten
NTFS-PartitionD:\
NTFS-PartitionE:\
NTFS-PartitionC:\ KopierenKopierenKopierenKopieren
VerschiebenVerschieben
Kopieren oder VerschiebenKopieren oder Verschieben
2.5 Gruppen
Gruppenmitglieder verfügen über zugewiese Rechte der Gruppe
Benutzer können Mitglieder mehrerer Gruppen sein
Gruppen und Computer können ebenfalls Mitglieder von Gruppen sein
Berechtigungen werden für jedes Benutzerkonto einzeln
erteilt
Berechtigungen werden für jedes Benutzerkonto einzeln
erteilt
Berechtigungen werden einmal für einen Gruppe
erteilt
Berechtigungen werden einmal für einen Gruppe
erteiltAAnstelle vonnstelle vonAAnstelle vonnstelle von
2.5 Gruppentypen und -bereiche
GruppentypenGruppentypenGruppentypenGruppentypen
SicherheitsgruppenSicherheitsgruppenVerwenden zum Erteilen von Berechtigungen Können als E-Mail-Verteilungsliste verwendetwerden
Verwenden zum Erteilen von Berechtigungen Können als E-Mail-Verteilungsliste verwendetwerden
VerteilergruppenVerteilergruppenKönnen nicht zum Erteilen von Berechtigungen verwendet werden Können als E-Mail-Verteilungsliste verwendetwerden
Können nicht zum Erteilen von Berechtigungen verwendet werden Können als E-Mail-Verteilungsliste verwendetwerden
GruppenbereicheGruppenbereicheGruppenbereicheGruppenbereiche
Globale GruppeGlobale GruppeVerwenden Sie diesen Gruppenbereich, um Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zu organisieren
Verwenden Sie diesen Gruppenbereich, um Benutzer mit ähnlichen Anforderungen an den Netzwerkzugriff zu organisieren
Gruppe der lokalen Domäne
Gruppe der lokalen Domäne
Verwenden Sie diesen Bereich, um Berechtigungen für Domänenressourcen zu erteilenVerwenden Sie diesen Bereich, um Berechtigungen für Domänenressourcen zu erteilen
Universelle Gruppe
Universelle Gruppe
Verwenden Sie diesen Bereich zum Erteilen von Zugriffsberechtigungen für Ressourcen, die sich in mehreren Domänen befinden
Verwenden Sie diesen Bereich zum Erteilen von Zugriffsberechtigungen für Ressourcen, die sich in mehreren Domänen befinden
2.5 Gruppen anlegen und löschen
Neues Objekt - Group
Erstellen in: nwtraders.msft/Users
Gruppenname:
Gruppenname (Windows NT 3.5x/4.0):
Gruppenbereich:
Lokale DomäneGlobalUniversal
Gruppentyp:
SicherheitVerteiler
OKOK Abbrechen
Public GruppennameGruppennameGruppennameGruppenname
2.5 NTFS-Berechtigungen
„Verweigern“ setzt andere Berechtigungen außer Kraft
2.5 Berechtigungen für Freigaben
DatenDaten
Berechtigungen fürfreigegebene OrdnerBerechtigungen für
freigegebene Ordner
LesenLesen
ÄndernÄndern
VollzugriffVollzugriff
Benutzer
• Benutzer benötigen auf einem NTFS-Datenträger zusätzlich die entsprechende NTFS-Berechtigung
• Restriktivste Berechtigung gilt
• Empfehlung: Auf Freigabeebene der Gruppe Jeder Vollzugriff erteilen und explizite Berechtigungen über NTFS- Berechtigungen konfigurieren
2.5 Verbindung zu freigegebenen Ordnern
Verwendung von „Netzwerkumgebung“ -> SUCHEN Freigabenamen mit angehängtem „$“ werden nicht angezeigt
Verwenden von „Netzlaufwerk verbinden“ \\Server\Name_des_freigegebenen_Ordners\Datei
Über Eingabeaufforderung: net use <Laufwerksbuchstaben> <Freigabename>
2.5 Richtlinien
Dienst läuft unter einem Benutzerkontext Interne Dienste unter Systemkonten Externe Dienste unter Benutzerkonten
Default Domain (Controllers) Policy Unter welchen Berechtigungen Dienste
laufen dürfen Log on as a service /Deny logon as a service
2.5 Richtlinien
2.6 Richtlinien
Mit Hilfe des Gruppenrichtilinieneditors lassen sich umfangreiche Einstellungen vornehmen um die Administration zu vereinfachen.
Neben den schon bereits erleuterten Sicherheitseinstellungen können speziell Benutztereinstellungen wie verfügbare Programme, installierte Dienste, Windowseinstellungen und administrative Aufgaben konfiguriert werden. Als Standard existiert am Anfang nur die Default Domain Policy.
2.7 Replikation
Die Replikation von Änderungen der Active Directory-Informationen spielt dann eine Rolle, wenn mehrere Domänencontroller in einem Windows 2000-Netzwerk installiert sind.
Jeder Domänencontroller repliziert bzw. synchronisiert seine Active Directory-Datenbank mit anderen Domänencontrollern in der Domänengesamtstruktur.
Die Bedeutung der Replikation von Active Directory-Informationen steigt mit der Größe des Netzwerkes.
2.7 Replikation
Replikation wird automatisch nach vorgegebenene Einstellungen durchgeführt
Bei Ausfall des PDC übernimmt Bsp der SDC die Auifgaben des PDC
Replikation umfasst die Einstellung einer Domäne und ist auf die Domäne begrenzt
Mittels des Replokationsmonitors kann die Replikation überwacht werden
3 Dienste
Was sind Dienste? Programme, die unabhängig von
angemeldeten Benutzern unter einem Benutzerkontext ausgeführt werden können
Motivation? Unmenge an Diensten werden installiert,
selbst wenn diese nicht gebraucht werden teilweise schlechte Beschreibungen unverzichtbare Dienste
Verwaltung über mmc.exe Snap-In Dienste bzw. services.msc
3 Starttyp
Automatisch: Dienst wird beim Rechnerstart gestartet
Manuell: Dienst kann bei Bedarf per Hand oder von Programmen gestartet werden
Deaktiviert: Dienst kann nicht gestartet werden, kritisch bei unverzichtbaren Diensten
3 Unverzichtbare Dienste
Remoteprozeduraufruf
COM+-Ereignissystem
Ereignisprotokoll
Windows-Verwaltungsinformationen
Sicherheitskontenverwaltung
Plug & Play
3 Ausgewählte Dienste 1
Dienstbezeichnung Executable empf. Startart
Ablagemappe clipsrv.exe deaktiviert
Anmeldedienst lsass.exe manuell
Anwendungsverwaltung services.exe / svchost.exe manuell
Arbeitsstationsdienst services.exe / svchost.exe automatisch
COM+-Ereignissystem svchost.exe manuell
Computerbrowser services.exe / svchost.exe je nach Bedarf
DHCP-Client services.exe / svchost.exe je nach Bedarf
DNS-Client services.exe / svchost.exe je nach Bedarf
Druckwarteschlange spoolsv.exe automatisch
Ereignisprotokoll services.exe automatisch
Geschützter Speicher services.exe / lsass.exe automatisch
Leistungsdatenprotokolle und Warnungen smlogsvc.exe manuell
Nachrichtendienst services.exe / svchost.exe je nach Bedarf
Netzwerkverbindungen svchost.exe manuell
Plug & Play services.exe automatisch
3 Ausgewählte Dienste 2
Dienstbezeichnung Executable empf. Startart
Remoteprozeduraufruf (RPC) svchost.exe automatisch
Remote-Registrierung regsvc.exe / svchost.exe automatisch
Server services.exe / svchost.exe automatisch
Sicherheitskontenverwaltung lsass.exe automatisch
Systemereignisbenachrichtigung svchost.exe automatisch
Taskplaner MSTask.exe / svchost.exe je nach Bedarf
Telnet tlntsvr.exe deaktiviert
Windows Installer msiexec.exe manuell
Windows-Verwaltungsinstrumentation WinMgmt.exe / svchost.exe automatisch
Windows-Zeitgeber services.exe / svchost.exe je nach Bedarf
3 Aufbau Dienste (XP/2003)
Die meisten Dienste laufen unterGeneric Host Process for Win32 Services Weniger laufende Prozesse
(min.) vier Instanzen von svchost.exe SYSTEM - nahezu alle eingebauten Dienste SYSTEM - zweite Instanz für RPC LOCAL SERVICE - z.B. Remote Registry NETWORK SERVICE - z.B. DNS-Client
2 neue weniger privilegierte Dienstkontosfür eingebaute Dienste LOCAL SERVICE; NETWORK SERVICE
3 Process Explorer
3.1 Die Ereignisanzeige
3.1 Die Ereignisanzeige
Zusammenfassung aller Meldungen des Systems
Standardmäßige Unterteilung in Application, Security und System Log
Je nach installiertem Dienst werden weitere Unterpunkte hinzuaddiert
3.1 Komponenten
Application Log- anwendungsspezifische Meldungen- editierbar per VBScript/WMI
System Log- Meldungen von Betriebssystemkomponenten
Security Log- Sicherheitsmeldungen (z.B. Anmeldung, Zugriffe)- Kann vom Administrator nich editiert werden
3.1 Allgemeine Konfiguration
3.1 Allgemeine Konfiguration
Einstellungen können in der Default Domain Policyvorgenommen werden
3.1 Das Security Log
Auditing wird ebenfalls durch GPO‘s gesteuert
3.1 Auswertung
Das Event Log bietet eine Fülle von durchaus nützlichen Informationen
Probleme:
Übersichtlichkeit Verständlichkeit und Dokumentation
3.1 Auswertung
3.1 Sicherheitscheck
Vor der Installation prüfen: DNS-Namensraum, Speicherort der Datenbank, Struktur des Active Directory, Aufgaben- bzw. Berechtigungszuweisungen in Bezug auf die Administration, Datensicherung bzw. Replikation des Active Directory.
Auslagern der Datenbank in größeren Netzen
Anlegen von Organisationseinheiten (OE) Diese bilden die Grundlage für die Abgrenzung von Administrationsbefugnissen und die Zuweisung von Gruppenrichtlinien.
3.1 Sicherheitscheck
Prüfen Sie die Administrationsbefugnisse im Active Directory sorgfältig und begrenzen Sie sie auf ein Minimum.
Die Gruppe Organisations-Admins hat die Aufgabe, das Active Directory zu verwalten. Sie verfügt über Vollzugriffsrechte auf allen Ebenen und darf auf der Domänenebene nicht entfernt werden.
Mithilfe der Datei adminpak.msi kann Active Directory von einem Client aus audministriert werden
Einrichten von Standorten
Um eine hohe Verfügbarkeit (Replikation) des Active Directory zu gewährleisten,sollten Sie innerhalb jeder Domäne zwei Domänencontroller einrichten.
4 Abschliessende Bemerkungen
Aktive Direktory ist ein mächtiges Werkzeug für die Administration der gesamten IT in einem Unternehmen.
Es stehen umfassende Programme zur Verfügung um die Verwaltung von Active Direkory Objekten zu erleichtern und effizient zu gestalten.
4 Abschliessende Bemerkungen
Windows 2003 beinhaltet einige Neuerungen und Besserungen. Im Gegensatz zu 2000 ist nach der Installation alles sehr restriktiv ausgelegt.
starke Passwörter
lokales, interaktives anmelden verboten
Dot.Net Schnittstelle
4 Abschliessende Bemerkungen
Mit Hilfe der Gruppenrichtlinien lassen sich Benutzerumgebungen, (Desktopaussehen und Verhalten, installierte Programme usw.) individuell für Gruppen anpassen und vorgeben.
Keine Bindung an spezielle Computer oder Computer an Ressourcen
Jedes Objekt kann bequem individuell konfiguriert werden
4 Abschliessende Bemerkungen
Primäre und Sekundäre Server vermindern Ausfälle und mildern die Folgen
Replikation funktioniert automatisch
Verschiedene Standorte verbessern die Datensicherheit enorm
4 Abschliessende Bemerkungen
Active Directory erzeugt große Mengen an Daten
Wenn sich ein User das erste mal an einem Computer anmeldet kann dies sehr lange dauern, weil das Benutzerprofil lokal gespeichert wird, ggf. Software installiert wird und gewisse Tests durchgeführt werde
Ein Administrator sollte es auf jedenfall vermeiden sich an weniger gesicherten Computern anzumelden da dies ein erhöhtes Sicherheitsrisiko darstellt.
4 Abschliessende Bemerkungen
Die meisten Einstellungen die man am Active Directory vornimmt werden nicht sofort umgesetzt und dauern eine Weile. Dies hängt von den jeweiligen Einstellungen der Ressource, der Replikation sowie der Netzwerkanbindung ab.
Das Active Directory ist eines der wichtigsten Technologien von Microsoft. In Zukunft wird die Bedeutung mit Sicherheit noch weiter steigen
Praxisteil
Installation von Microsoft Windows 2003 Enterprise Edition
Update von Windows Aktivierung und Festlegung des Active
Direktory mit dcpromo Konfiguration des Aktive Direktory
(Benutzer, Computer, ...) Verschaffen eines Überblicks Test der ausgewählten Funktionalitäten Deinstallation des Active Directory
Praxisteil
Firma: AlKa Server: 1 Server (leistungsfähig), Clientcomputer Domainname: halle.alka.de Feste IP: 192.168.10.1 Servername: PDC Benutzer: Otto Chef, Inge Verwaltung, Hans
Produktion, Ingo Administrator, Paula Praktikantin
Computer: einige Client-Computer Drucker: Verwaltung1, Produktion1 Firmenverzeichnis: c:/Firmenverzeichnis/Chefsache/*
c:/Firmenverzeichnis/Verwaltung/*c:/Firmenverzeichnis/PublicFirma/*c:/Firmenverzeichnis/Proddaten/*
Verschiedene Zugriffsrechte auf die Ordner