Active Directory.pdf - Gattner

372 Kapitel 10: Verwalten von Active Directory-Objekten
Sie möchten vermutlich die Mitgliedsserver in Ihrem Unternehmen abweichend von den Arbeitsstationen
verwalten, und daher ist es erforderlich, dass Sie zwei eigene OUs erstellen. Arbeitsstationen
können häufig in kleinere Gruppen aufgeteilt werden. Für Arbeitsstationen in der Vertriebsabteilung
sind beispielsweise andere Anwendungen erforderlich als auf den Arbeitsstationen in der Ingenieurabteilung.
Indem Sie zwei OUs erstellen und die Arbeitsstationen in die geeignete OU verschieben,
können Sie die beiden Arbeitsstationstypen unterschiedlich verwalten.
Hinweis Da es sich bei dem Container Computers nicht um eine OU handelt, können Gruppenrichtlinien
nicht direkt auf diesen Container angewendet werden.
Sie können den Standardspeicherort für Computerobjekte während der Erstellung beim Hinzufügen
zur Domäne umleiten. Wenn für die Domänenfunktionsebene mindestens Windows Server 2003 festgelegt
ist, können Sie mithilfe des Dienstprogramms Redircmp.exe einen neuen Speicherort festlegen.
Öffnen Sie eine Eingabeaufforderung, und geben Sie anschließend den Befehl redircmp
ou=OUfürComputer,dc=Domänenname,dc=com ein.
Hinweis Sie können den Befehl Rediruser.exe zum Ändern des Standardspeicherorts für neue Benutzerobjekte
verwenden.
Um Computerobjekte nach dem Erstellen nicht verschieben zu müssen, können Sie Computerobjekte
in der gewünschten OU erstellen, bevor Sie die Computer zur Domäne hinzufügen. Wenn bereits ein
Computerobjekt vorhanden ist, das dem Namen des Computers entspricht, wird dieses Computerobjekt
verwendet. Dadurch ist es auch nicht erforderlich, Verwaltungsrechte zum Hinzufügen von
Computern zur Domäne zu delegieren.
Der Gruppe Authentifizierte Benutzer wird das Recht Hinzufügen von Arbeitsstationen zur Domäne
zugewiesen. Dadurch können Benutzer Arbeitsstationen zu einer Domäne hinzufügen und bis zu zehn
Computerkonten erstellen. Wenn Benutzer weitere Computerkonten erstellen müssen, muss diesen
Benutzern in Active Directory die Berechtigung Computerobjekt erstellen delegiert werden. Diese
Berechtigung kann bei Bedarf nur für bestimmte OUs delegiert werden. Alternativ können Sie Benutzern
die Berechtigung Hinzufügen von Arbeitsstationen zur Domäne auch mithilfe einer Gruppenrichtlinie
erteilen. Dadurch können Benutzer Computerobjekte in der Domäne erstellen. Darüber
hinaus können Mitglieder der Gruppen Konten-Operatoren, Domänen-Admins und Organisations-
Admins Computerobjekte erstellen. Mitglieder der Gruppe Konten-Operatoren können keine Computerobjekte
in der OU Domain Controllers erstellen.
Beim Erstellen neuer Computerobjekte können Sie Befehlszeilenprogramme für die skriptbasierte
Durchführung des Verfahrens verwenden. Mithilfe des Dienstprogramms Dsadd.exe können Sie
während der Erstellung einen bestimmten Speicherort festlegen. Sie können das Dienstprogramm
Netdom.exe auch zum Hinzufügen eines Computers zur Domäne sowie zum Festlegen der OU für das
neue Computerobjekt verwenden.
Hinweis Die Tatsache, dass Sie vermutlich wenig Verwaltungsaufgaben für Computerobjekte in Active
Directory durchführen, heißt nicht, dass Sie Active Directory gar nicht für die Verwaltung von Computern verwenden.
In Kapitel 11, „Einführung in Gruppenrichtlinien“, Kapitel 12, „Einsetzen von Gruppenrichtlinien zum
Verwalten von Benutzerdesktops“, und Kapitel 13, „Einsetzen von Gruppenrichtlinien zum Verwalten der Sicherheit“,
werden Gruppenrichtlinien ausführlich beschrieben, die leistungsstarke Tools für die Computerverwaltung
darstellen.