Inhaltsverzeichnis
1.2. Installation eines Core-Server
1.2.2. Aufgabe: Dual Boot Server Core Installation
1.2.4. Betriebsmaster-Rollen (FSMO)
2.1. Berechtigungen in der Domäne
2.3. LDAP (Lightweight Directory Access Protocol)
3.0. GPO (Group Policy Objects)
Buch:
Das Handbuch Windows Server R2
Thomas Joos
ISBN: 978-3-86645-139-1
59,-€
Konfigurieren von Windows Server 2008 AD
ISBN: 978-3-86645-940-3
79,-€
nur 64 Bit
Versionen: (Fondation), (Web), Standard, Enterprise, Datacenter
Standalone-Server, Memberserver, Domain Controller
HCL (Hardware Compatibility List)
Rollen
DNS,
DHCP, Active Directory Service
Features
Sicherung
Core-Server
keine grafische Oberfläche
Konsolenebene nur „CMD“
AD = Certificate Service
AD = Domain Service
AD =
Lightweight Directory Service
(ehemals ADAM = Active Directory Application Mode)
Rollen eines Core-Server
Hyper-V
DHCP
DNS
Dateidienste
Branch Cache (Niederlassungs Cache)
Druckdienste
Mediaservices
iiS (Internet Information Server) => wichtigste Dienst WebServices
RAM: 1024 MB
20 GB
Enterprise-Core
Tastatur / Land / Passwort anpassen
deutsches Sprachpaket installieren (muss lokal auf dem Server vorliegen)
- Befehl: „control intl.cpl“ zum wechseln der Sprache
Zugriff auf Konsole wenn geschlossen über Taskmanager „neuer Task“ cmd
System beenden = shutdown –s –t 0
System Neustart = shutdown –r –t 0
IP ändern = netsh int ipv4 sh in
netsh int ipv4 set add 3 static
<ip> <mask> <gw>
DNS ändern = netsh int ipv4 set dns 3 static <ip>
2.DNS = netsh int ipv4 add dns 3 <ip>
Computername = netdom renamecomputer <old name> /newname
<neuer name>
Serverkonfig anzeigen = sconfig
Netz-LW verbinden = net use z: \\arthur.cbm.local\teilnehmer\klassen\nm 14-3
Liste
Komp./Features = oclist | more
suchen
„backup“ = oclist |find /I “backup” |more
WindowsServ.Back. = ocsetup
WindowsServerBackup
“Installiert” zeigen = oclist | find “Installiert” |more
1) Anmeldung an Windows 7 Arbeitsstation als ein Administrator Lösung: als Admin anmelden
2) Festplattenpartition (C:) größtmöglich verkleinern Lösung: Datenträgerverwaltung oder Diskpart
3) Neustart der Maschine. F12 für Bootoptionen. Start von DVD
4) Benutzerdefinierte Installation von Core Server Enterprise in freier Partition (siehe 2)
5) Server konfigurieren
Lösung: deutsche Sprachdatei installieren, Netzwerk konfigurieren
6) Remote-Desktopzugang auf Server aktivieren und testen
Lösung: sconfig
7) Hyper-V installieren!
Lösung: oclist | find /i „hyper“ | more
8) Eindeutiges, administratives Konto einrichten
Lösung: net user (www.support.microsoft.com/kb/251394) oder sconfig
net user hpyervisor /add /passwordchg:no
net localgroup
Administrators /add hypervisor
netsh adv set dom state off
netsh adv set private state off
netsh adv set public state off
netstart | find /i “rpc”
Zusätzlich benötigt man das “Remoteserver-Verwaltungstool”.
1) hosts (Win7) eintragen z.B. 172.16.200.11 hyperv hyperv.cbm.local
2) Remote Server Verwaltungstools installieren
3) User auf dem hyperv Server anlegen der auf dem PC installiert ist
net user /add helmut
net localgroup administrators /add helmut
4) Anschließend auf der Windows7 unter Systemsteuerung \Programme\Windowsfunktionen RemoteServerVerwaltungstools \Rollenverwaltungstools\HyperV hinzufügen
5) hvremote Datei nach c: auf dem Windows7 kopieren
6) cscript hvremote.wsf /anondcom:grant
cmdkey /add:hyperv /user:hyperv\hypervisor /pass
cscript hvremote.wsf /mmc:enable
7) hyperv starten
8) Server erstellen und installieren
9) Name und IP ändern
10) dcpromo /adv ausführen
Stammdomäne
Gesamtstruktur
(forrest)
Struktur
(tree)
Domäne
Betriebsmaster-Rollen
(FSMO-Flexibel Single Master Operation)
Active
Directory
Modus der Domäne
Modus der Gesamtstruktur
implizit = wird automatisch verknüpft
transitiv = alle Domänen vertrauen sich in der Gesamtstruktur
Verzeichnis = Katalog
Stamm DC = Erster DC in einer Domäne
1x pro
Gesamtstruktur
Schema-Master (nur auf Stamm DC) – Sammelung aller Klassen (Beschreibungen) für die Objekte
Domain Name Master (nur auf Stamm DC) – Hinzufügen und Entfernen von Domänen
1x pro Domäne
PDC-Emulator – Zeitgeber
RiD (R=Relativ-ID)-Master – Vergibt eindeutige ID´s
Infrastruktur Master – Korrekte Veröffentlichung der Objekte im Katalog
Aufgabe
IP-Bereich: 172.16.200.130 – 172.16.200.139
DCPROMO
1) Bei Vergabe des Namen darauf achten dass es ein
- FQDN ist z.B. bremen.lokal
- wenn lokal verwendet wird nicht local schreiben, da es Probleme mit der DNS-Auflösung kommen kann wenn Linux-Server verwendet werden
RR Resource
Records
SOA Start of Authority
Eigenschaften
von SOA
è Verantwortliche Person: Email Adresse des Verantwortlichen
z.B. helmut.googlemail.com
Das „@“ initalisiert die übergeordnete Zone und wird deshalb durch einen „.“ getauscht.
NS Nameserver
(DNS)
A Address
AAAA Address
(IPv6)
Fragen
1) DNS-Client auf DC korrekt konfiguriert?
Lösung:
2) DNS-Client: Ist die automatische Namensregistrierung aktiviert?
Lösung:
3) DNS-Client: Ist das „primäre Domänensuffix korrekt gesetzt?
Lösung: Computer\Eigenschaften\Ändern\weitere
4) DNS-Server: Zonentyp primär oder AD integriert?
Dynamische Updates zugelassen?
Aktion: Verwaltung\Dienste Anmeldedienst beenden / Anmeldedienst neu starten
Lösung Test:
1)
route add
<Zielnetz> <Subnetmask> <Gateway>
Bsp.
route add 192.168.100.0 255.255.255.0 192.168.200.248
Benutzername: FQDN
Anmeldung an lokales Konto: Host \ Benutzer
Anmeldung an Domänenkonto: benutzer@bremen.local
Lokal anmelden zulassen
SAM DC
andreas
-----------------------------------------------------------------------------------------------------------------
Anmelden an Sonnenschein
Der Benutzer andreas@sonnenschein.lokal meldet sich an der Domäne an. Dabei wird ein „Access Token“ ausgetauscht und der Benutzer wird daraufhin ein Domänen-Benutzer.
Keine Gruppenschachtelung von Globalen Gruppen (Keine Universalgruppen) verwenden !!!
Account
Global Group
Domain Local Group
Permissions (Rechte und Berechtigungen)
Benutzer dürfen nur 10x einer Domäne beitreten!!!
Übung
1) Aus Domäne Sonnenschein austreten
2) In eigene Domäne mit Windows 7 Maschine eintreten
3) Aktivieren von RSAT-Tools für DNS
4) In der Domäne zwei Benutzerkonten einrichten. Eins davon als administratives Konto. Das andere als „normales“ Benutzerkonto.
Die Verwendung von RDP ist nicht erlaubt!
Hyper-V\Server
2008R2
IP: 172.16.200.130 /16
User: helmutj
Domäne:
bremen.local
Windows 7
IP:
172.16.200.131 /16
Info:
Bsp. 172.16.0.0
Es wird nur die Netz-ID verwendet
172.16.
Reverse-Lookup-Zone
16.172.
in-addr.arpa
Bei Reverse-Lookupzonen wird
Subnetting ignoriert !
Bsp:
10.20.40 \24
10.in-addr.arpa
Reverse-Lookup-Zone
einrichten
Reverse-Lookupzonen \ Neue Zone
weiter
weiter
Datei wird immer in %Systemroot%\System32\<dns>
Anschließend Fertigstellen
Anschließend muss noch der „Pointer Eintrag“ hinzugefügt werden.
Anschließend muss ein 2. Pointer Eintrag hinzugefügt werden
DC = Domain Component
OU = Organizational Unit
CN = Common Name
DN = Distinguisted Name (Eindeutiger Name)
RDN = Relativ Eindeutiger Name
Beispiel für
LDAP-Namen:
cn=PC-1, ou=finanzen, dc=training,dc=local
Schreibt den kompletten LDAP-Namen auf.
dom.lokal
CN
CN
users
Domänen-Admins
OU
builtin
administratoren
OU
Bremen
Personal
Andrea
Berger
OU
computer
PC12
Lösung:
cn=users,
cn=Domänen-Admins, dc=dom, dc=local
cn=builtin,
cn=administratoren, dc=dom, dc=local
cn=Andrea
Berger, ou=Bremen, ou=Personal, dc=dom, dc=local
cn=PC12, ou=Bremen,
ou=Personal, ou=computer, dc=dom, dc=local
Partitionen der AD-Datenbank
Schema-Partition
Replikation
an alle DC´s der
Gesamtstruktur
Konfigurations- Partition
Vertrauensstellungen
Domänen-Partition
Konten
/ Richtlinen (Infos unserer
Domäne). Muß an alle DC´s einer Domäne
benutzer definierte Partition
____________________ repliziert
werden.
Anwendungs-Partition
Gebrauch davon macht DNS
Verwaltung \ Active Directory-Standorte und -Dienste
Sites = Standort
DC DC
Standort (Site) => der Summe schnell untereinander verbundener Netze
Auf Domain-Server „cmd“ als Admin ausführen
Das Programm „dsadd“ dient zur Automatisierung von Scripten.
dsadd = erstellt ein Objekt im Verzeichnis
dsget = anzeigen von Attributen eines Objekts
dsmod = ändern von Attributen eines Objekts
dsmove = verschieben eines Objektes in eine OU oder CN
dsrm = entfernen von Objekten
Organizational Unit erstellen
Bsp.: dsadd ou „ou=demo1, dc=domhelmut, dc=lokal“
User anlegen:
Bsp..: dsadd user
„cn=andreas,ou=demo1,dc=domhelmut,dc=lokal“ –upn andreas@domhelmut.lokal –samid andreas –pwd Start4cbm
Änderungen an bestehenden Usern oder Attributen vornehmen
Bsp.: dsmod user
„cn=Kalle Wirsch, ou=demo,ou=demo2, dc=domhelmut,dc=lokal“ –fn Karl-Hein –ln
Wirsch –desc „Augsburger Puppenkiste“
Tool zum Importieren / Exportieren von Objekten aus einer Textdatei, deren Informationen durch ein „,“ getrennt sind.
csvde –i –f
<Dateiname> -k
Parameter –i wird der Importmodus festgelegt
Parameter –f kennzeichnet den Namen der Datei
Parameter –k lässt Warnmeldungen außer Acht wenn Objekt vorhanden ist
Tool zum Importieren / Exportieren von Objekten aus einer Textdatei, wobei die Objekte durch eine Leerzeile von einander getrennt sind
ldifde –i –f
<Dateiname>.ldf
PSO = Password Setting Objects
csv = Comma Separated Values
csvde = Massenimport/-export
csvde –f
name.csv
ldifde =
ldifde –f
name.txt
set-exe(TAB
drücken) = set-executionpolicy
unrestricted
*.ps1 = Erweiterung der Scripte
cd env:
get-child (TAB drücken)
Benutzer
einrichten mit der Powershell
import-module Activedirectory = Laden des AD-Befehlssatz
help new-aduser = Hilfe verwende
-example
-
full
- detailed
new-aduser helmut
–samaccountname”helmut”
–userprincipalname helmut@bremen.lokal
-path
“ou=demo,dc=bremen,dc=lokal”
Erstellen einer
Variablen
$a=get-childitem
Anzeige: $a
$a>myfile.txt => der Inhalt der Variablen a soll in myfile.txt gespeichert werden
cat myfile.txt = Anzeige der Datei
$a | get-member = Zeigt Inhalt der Variablen
$a=1
$a | get-member = Anzeige der System.int32
$a.gettype () =
$x=105848873 =
$x=“Hallo NM14-3“
$y=$x.ToLower() = Methode “ToLower” in Variable y
$x.Length = zeigt mir die Anzahl der Zeichenkette an
$x=“a:b:c:d:e“ = Zeichenkette
$x.split(„:“) = Listet die Zeichenkette auf
$y=$x.split(„:“) =
$y.gettype() = Anzeigen des Array
! Jede Zeichenkette ist ein Array !
$y[2] = Anzeige des 2.Element des Array
1.Element 0
$y.length = Anzahl der Elemente
help about = Zeigt Hilfe der „about_....
$a[2].isreadonly
Benutzer einfügen mit Powershell
1) csv-Datei erstellen mit Notepad (kann auch als txt gespeichert werden)
2) import-csv .\datei.csv | new-aduser (darauf achten das man im richtigen Pfad ist !!!)
3) Kontrolle
Datei in eine Variable einfügen
$x=import-csv .\datei.csv Anschließend $x
$x >datei.csv
get-process = zeigt alle laufenden Prozesse
get-process| export-csv name.csv = exportiert die Prozessdaten in eine
Datei
get-aduser –filter „*“ = Anzeigen aller AD-User
get-aduser –filter „*“ | ft = Anzeigen aller AD-User in Listenform
get-aduser –filter „*“ | export-csv name = exportieren in eine Datei
help about_comparison
get-aduser –filter ´enabled –eq “true”´ = nur active AD-User anzeigen
Standort-GPU
Lokale GPO
Standort GPO
Domain GPO
OU GPO
Den Urzustand der Orginal Default Domain Policy herstellen mit folgenden Befehl:
dcgpofix /? = Optionen anzeigen
dcgpofix ./target both = Beide werden hergestellt
j x
Lokales GPO
j
Standort
GPO
j x
Domain GPO
j j x
OU GPO
RSOP
Resultant
Set of
Policies => Es gelten immer die letzten Einstellungen !
1) GPO1: „Ausführen soll im Startmenü vorhanden sein
2) GPO2: „Ausführen“ soll nicht im Startmenü sein
3) GPO3: Zugriff auf die Kommandozeile soll unterbunden werden
4) GPO4: calc.exe und notepad.exe dürfen nicht ausgeführt werden
GPO1 soll mit OU „Personal“ verknüpft werden
GPO2 soll mit OU „Bremen“ (Unter OU von Personal) verknüpft werden
GPO3+4 soll mit OU „Verkauf“ verknüpft werden
Hinzufügen und Verwalten von Benutzern in einer ActiveDirectory Domäne.
Erstellen von Benutzerkontenvorlagen. Diese können mittels kopieren mehrfach verwendet werden.
löschen von Benutzern mit entsprechenden Tools.
Gruppen werden mit dem SNAP-IN „AD Benutzer und –Computer erstellt.
Es wird unterschieden zwischen lokalen und globalen Gruppen. In einer Domäne
gilt immer folgende Vorgehensweise:
Accounts
Global Group
Domain Lokal Group
Permissions
Globale Gruppen können sich nur aus Benutzern, Computern und weiteren globalen Gruppen der gleichen Domäne zusammensetzen.
In diesem Kapitel erfährt man etwas über das Entwerfen einer OU-Struktur für Computer. Diese kann z.B. nach Standorten oder nach Geräten (Laptops und Computer) erstellt werden. Den entsprechenden Geräten kann dann explizit Benutzer zugewiesen werden.
Die Nutzungszeit der Computer kann in einem der Attribute ebenfalls vorgegeben werden.
Gruppenrichtlinien werden in der Gruppenrichtlinienverwaltung erstellt und bearbeitet. Beim bearbeiten unterscheidet man grundsätzlich zwischen Benutzer- und Computerkonfiguration.
Die erstellten GPO werden dann mit den entsprechenden OU´s verknüpft.
Steht ein GPO im Konflikt z. B. wenn 2GPO auf eine OU
verknüpft sind in dem 1x Notepad zur Verfügung steht und einmal verweigert
wird, gilt die Reihenfolge. Ausnahme:
Die Wirkung der entsprechenden GPO wird erzwungen.
Zusätzlich kann noch eine Vererbung der GPO deaktiviert werden. Dies geschieht jeweils an der jeweiligen OU und gilt für die darunter liegenden OU´s.
Schlüsselbegriffe:
Gruppenrichtlinienobjekt (Group Policy Object) Eine Sammlung an Richtlinieneinstellung die auf entsprechende OU´s angewandt wird.
Richtlinieneinstellung oder Richtlinie Eine Konfiguration bzw. Änderung innerhalb einer GPO.
Richtlinienergebnissatz (Resultant Set of Policies =RSOP) Die tatsächlichen Auswirkungen einer GPO (Filterung, Vererbung, etc. wird berücksichtigt).
Bereich ist der Part auf denen das GPO angewendet wird. Also Computer oder Benutzer.
Delegieren des Supports über GPO „Eingeschränkte Gruppen“
Es gibt zwei Arten der Delegierung:
1) Ist Miglied von Administratoren:
Ergebnis: Die Gruppe wird der lokalen Gruppe der Administratoren hinzugefügt.
Bsp: Globale Gruppe „Helpdesk“
2) Mitglieder dieser Gruppe: <Domäne>\Helpdesk
Ergebnis: Die globale Gruppe überschreibt die lokale Administratorengruppe