Active Directory.pdf - Gattner

Weitere Magazine

Empfehlungen

Info

28 Kapitel 2: Active Directory-Domänendienstkomponenten Auf der DVD Über das auf der CD enthaltene Windows PowerShell-Skript ListDomainControllers.ps1 können sämtliche Domänencontroller in einer Domäne und globalen Katalogserver in einer Gesamtstruktur aufgelistet werden. Bei Ausführung von Windows PowerShell auf einem Computer unter Windows Server 2008 muss die PowerShell-Skriptausführungsrichtlinie über den Befehl Set-ExecutionPolicy RemoteSigned zum Zulassen von nicht signierten Zertifikaten konfiguriert werden. Ferner muss bei der Ausführung eines Windows PowerShell-Skripts der vollständige Pfad angegeben werden. Beispiele für VMScript-Skripte (Visual Basic Scripting Edition) zum Abrufen von AD DS-Informationen finden Sie auf der Script Center Script Repository-Website unter http://www.microsoft.com/technet/scriptcenter/ scripts/default.mspx?mfr=true. Betriebsmaster Die AD DS sind als Multimaster-Replikationssystem konzipiert. Dies erfordert, dass mit Ausnahme von RODCs sämtliche Domänencontroller über Schreibberechtigungen für die Verzeichnisdatenbank verfügen. Dieses System eignet sich für die meisten Verzeichnisvorgänge, für bestimmte Verzeichnisvorgänge wird jedoch ein einzelner autorisierender Server benötigt. Domänencontroller mit spezifischen Rollen werden als Betriebsmaster bezeichnet, und jeder von ihnen verfügt über eine FSMO- Rolle (Flexible Single-Master Operations). Domänencontroller mit Betriebsmasterrollen werden zum Ausführen bestimmter Aufgaben eingesetzt, um Konsistenz sicherzustellen und mögliche Konflikte bei Einträgen in der AD DS-Datenbank zu verhindern. In den AD DS gibt es die folgenden fünf Betriebsmasterrollen: • Schemamaster • Domänennamenmaster • RID-Master • PDC-Emulator • Infrastrukturmaster Die ersten beiden Rollen, Schemamaster und Domänennamenmaster gelten pro Gesamtstruktur. Dies bedeutet, dass es nur einen Schemamaster und nur einen Domänennamenmaster pro Gesamtstruktur gibt. Die anderen drei Rollen gelten pro Domäne, das heißt, dass für jede Domäne in der Gesamtstruktur eine dieser Betriebsmasterrollen vorhanden ist. Bei der Installation der AD DS und Erstellung des ersten Domänencontrollers in der Gesamtstruktur werden diesem Domänencontroller alle fünf Rollen zugewiesen. Ebenso werden beim Hinzufügen von Domänen zur Gesamtstruktur dem ersten Domänencontroller in jeder neuen Domäne die pro Domäne geltenden Betriebsmasterrollen zugewiesen. Beim Hinzufügen von Domänencontrollern zu einer Domäne können diese Rollen an andere Domänencontroller übertragen werden. Schemamaster Der Schemamaster ist der einzige Domänencontroller mit Schreibberechtigungen für das Verzeichnisschema. Zum Ändern des Schemas muss der Administrator (der Mitglied der Sicherheitsgruppe Schema-Admins sein muss) mit dem Schemamaster verbunden sein. Beim Versuch, Schemaänderungen auf einem Domänencontroller durchzuführen, bei dem es sich nicht um den Schemamaster handelt, schlägt dieser Vorgang fehl. Nach dem Durchführen einer Änderung werden Schemaaktualisierungen auf allen anderen Domänencontrollern in der Gesamtstruktur repliziert.
Physische Struktur der AD DS 29 Der Schemamaster ist durch den Wert des Attributs fSMORoleOwner für das Stammobjekt der Schemapartition gekennzeichnet. Standardmäßig übernimmt der erste in einer Gesamtstruktur installierte Domänencontroller die Schmamasterrolle. Diese Rolle kann jederzeit über das Snap-In für das Active Directory-Schema oder über das Befehlszeilenprogramm Ntdsutil übertragen werden. Domänennamenmaster Der Domänennamenmaster ist der zum Hinzufügen und Entfernen aller Verzeichnispartitionen innerhalb einer Gesamtstrukturhierarchie eingesetzte Domänencontroller. Der Domänencontroller mit der Rolle des Domänennamenmasters muss verfügbar sein, wenn Sie folgende Aufgaben ausführen: • Hinzufügen oder Entfernen von Domänen Beim Erstellen oder Entfernen einer untergeordneten Domäne oder neuen Domänenstruktur kontaktiert der Installations-Assistent den Domänennamenmaster und fordert das Hinzufügen oder Entfernen an. Der Domänennamenmaster stellt sicher, dass eindeutige Domänennamen vergeben werden. Wenn der Domänennamenmaster nicht verfügbar ist, können keine Domänen aus der Gesamtstruktur entfernt oder zu dieser hinzugefügt werden. • Hinzufügen oder Entfernen von Anwendungsverzeichnispartitionen Bei Anwendungsverzeichnispartitionen handelt es sich um spezielle Partitionen, die auf Domänencontrollern unter Windows Server 2003 oder Windows Server 2008 erstellt werden können, um Speicherplatz für dynamische Anwendungsdaten bereitzustellen. Wenn der Domänencontroller, der die Rolle des Domänennamenmasters hostet, nicht verfügbar ist, können keine Anwendungsverzeichnispartitionen zur Gesamtstruktur hinzugefügt oder aus dieser entfernt werden. • Hinzufügen oder Entfernen von Querverweisobjekten Beim Erstellen einer neuen Gesamtstruktur werden die Schema-, Konfigurations- und Domänenverzeichnispartitionen auf dem ersten Domänencontroller in der Gesamtstruktur erstellt. Auf der Konfigurationsverzeichnispartition wird für jede Verzeichnispartition im Container Partitions ein Querverweisobjekt erstellt (CN=partitions, CN=configuration, DC=forestRootDomain). Wenn neue Domänen oder Anwendungsverzeichnispartitionen erstellt werden, wird im Container Partitions ein verknüpftes Querverweisobjekt erstellt. Wenn der Domänennamenmaster nicht verfügbar ist, können keine Querverweisobjekte hinzugefügt oder entfernt werden. • Validieren von Domänenumbenennungsanweisungen Bei Verwendung des Domänenumbenennungstools Rendom.exe zum Umbenennen einer AD DS-Domäne muss das Tool auf den Domänennamenmaster zugreifen können. Wenn Sie das Tool ausführen, wird das XML-codierte Skript mit den Anweisungen zur Domänenumbenennung in das Attribut msDS-UpdateScript im Containerobjekt Partitions (CN=partitions,CN=configuration,DC=ForestRootDomain) auf der Konfigurationsverzeichnispartition geschrieben. Ferner wird der neue DNS-Name jeder umbenannten Domäne durch Rendom.exe in das Attribut msDS-DnsRootAlias für das Querverweisobjekt (Klasse crossRef) für diese Domäne geschrieben. Beide Objekte werden im Container Partitions gespeichert, und der Container kann ausschließlich auf dem Domänencontroller mit der Rolle des Domänennamenmasters für die Gesamtstruktur aktualisiert werden. Der Domänennamenmaster ist durch den Wert des Attributs fSMORoleOwner für das Containerobjekt Partitions gekennzeichnet. Standardmäßig übernimmt der erste in einer Gesamtstruktur installierte Domänencontroller die Rolle des Domänennamenmasters. Diese Rolle kann jederzeit über das Snap-In Active Directory-Domänen und -Vertrauensstellungen oder über das Befehlszeilenprogramm Ntdsutil übertragen werden.
Seite 1 und 2:
Microsoft ® Windows Server 2008 Ac
Seite 3: Für die drei wunderbaren Frauen in
Seite 6 und 7: VI Inhaltsverzeichnis Schreibgesch
Seite 8 und 9: VIII Inhaltsverzeichnis Entwerfen d
Seite 10 und 11: X Inhaltsverzeichnis Konfigurieren
Seite 12 und 13: XII Inhaltsverzeichnis Importieren
Seite 14 und 15: XIV Inhaltsverzeichnis Zusätzliche
Seite 16 und 17: XVI Inhaltsverzeichnis Zusätzliche
Seite 19 und 20: XIX Einführung Willkommen zu Windo
Seite 21 und 22: Über dieses Buch XXI • Kapitel 1
Seite 23 und 24: Begleit-CD XXIII Element So funktio
Seite 25: Supporthinweise für die technische
Seite 29 und 30: 3 K A P I T E L 1 Neuerungen in Act
Seite 31 und 32: Neuerungen in den Active Directory-
Seite 33 und 34: Fein abgestimmte Kennwortrichtlinie
Seite 35 und 36: Neuerungen in den Active Directory-
Seite 37 und 38: Zusätzliche Active Directory-Diens
Seite 43: Zusammenfassung 17 Der AD RMS-fähi
Seite 46 und 47: 20 Kapitel 2: Active Directory-Dom
Seite 104 und 105:
78 Kapitel 3: Active Directory-Dom
Seite 106 und 107:
Seite 108 und 109:
Seite 110 und 111:
Seite 112 und 113:
Seite 114 und 115:
Seite 116 und 117:
Seite 119 und 120:
93 K A P I T E L 4 Active Directory
Seite 121 und 122:
Replikationsverfahren 95 Die AD DS
Seite 123 und 124:
Replikationsverfahren 97 Das Attrib
Seite 125 und 126:
Replikationsverfahren 99 Sie könne
Seite 127 und 128:
Replikationsverfahren 101 Wenn die
Seite 129 und 130:
Replikationsverfahren 103 Hinweis U
Seite 131 und 132:
Standortinterne und standortübergr
Seite 133 und 134:
Standortinterne und standortübergr
Seite 135 und 136:
Erstellen der Replikationstopologie
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Erstellen zusätzlicher Standorte K
Seite 149 und 150:
Konfigurieren der standortübergrei
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Problembehandlung bei der Replikati
Seite 159 und 160:
Seite 161 und 162:
Seite 163 und 164:
Zusätzliche Ressourcen 137 • „
Seite 165:
T E I L I I Entwerfen und Implement
Seite 168 und 169:
142 Kapitel 5: Entwerfen der Active
Seite 170 und 171:
Seite 172 und 173:
Seite 174 und 175:
Seite 176 und 177:
Seite 178 und 179:
Seite 180 und 181:
Seite 182 und 183:
Seite 184 und 185:
Seite 186 und 187:
Seite 188 und 189:
Seite 190 und 191:
Seite 192 und 193:
Seite 194 und 195:
Seite 196 und 197:
Seite 198 und 199:
Seite 200 und 201:
Seite 202 und 203:
Seite 204 und 205:
Seite 206 und 207:
Seite 208 und 209:
Seite 210 und 211:
Seite 212 und 213:
Seite 214 und 215:
Seite 216 und 217:
Seite 218 und 219:
Seite 220 und 221:
Seite 222 und 223:
Seite 224 und 225:
Seite 226 und 227:
Seite 228 und 229:
Seite 230 und 231:
Seite 232 und 233:
Seite 234 und 235:
Seite 236 und 237:
Seite 239 und 240:
213 K A P I T E L 6 Installieren de
Seite 241 und 242:
Voraussetzungen für die AD DS-Inst
Seite 243 und 244:
Voraussetzungen für die AD DS-Inst
Seite 245 und 246:
Grundlegendes zu den AD DS-Installa
Seite 247 und 248:
Verwenden des Assistenten zum Insta
Seite 249 und 250:
Seite 251 und 252:
Seite 253 und 254:
Seite 255 und 256:
Seite 257 und 258:
Durchführen einer unbeaufsichtigte
Seite 259 und 260:
Durchführen einer unbeaufsichtigte
Seite 261 und 262:
Bereitstellen von RODCs Entfernen d
Seite 263 und 264:
Entfernen der AD DS 237 Nachdem Sie
Seite 265 und 266:
Zusammenfassung 239 Weitere Informa
Seite 267:
Zusätzliche Ressourcen 241 • Nä
Seite 270 und 271:
244 Kapitel 7: Migrieren auf die Ac
Seite 272 und 273:
Seite 274 und 275:
Seite 276 und 277:
Seite 278 und 279:
Seite 280 und 281:
Seite 282 und 283:
Seite 284 und 285:
Seite 286 und 287:
Seite 288 und 289:
Seite 290 und 291:
Seite 292 und 293:
Seite 295 und 296:
269 K A P I T E L 8 Active Director
Seite 297 und 298:
AD DS-Sicherheitsgrundlagen 271 •
Seite 299 und 300:
AD DS-Sicherheitsgrundlagen 273 Zug
Seite 301 und 302:
AD DS-Sicherheitsgrundlagen 275 Wen
Seite 303 und 304:
Einführung in Kerberos Kerberos-Si
Seite 305 und 306:
Kerberos-Authentifizierung Kerberos
Seite 307 und 308:
Kerberos-Sicherheit 281 5. An diese
Seite 309 und 310:
Kerberos-Sicherheit 283 Praxistipp:
Seite 311 und 312:
Kerberos-Sicherheit 285 • Proxy D
Seite 313 und 314:
Kerberos-Sicherheit 287 Das KDC ert
Seite 315 und 316:
Kerberos-Sicherheit 289 • Auch do
Seite 317 und 318:
Kerberos-Sicherheit 291 Die PKI (Pu
Seite 319 und 320:
Integration in Smartcards Kerberos-
Seite 321 und 322:
Problembehandlung für Kerberos Ker
Seite 323 und 324:
Kerberos-Sicherheit 297 • UDP-Pak
Seite 325 und 326:
NTLM-Authentifizierung 299 Windows
Seite 327 und 328:
Verringern der Angriffsfläche von
Seite 329 und 330:
Implementieren der Sicherheit für
Seite 331 und 332:
Seite 333 und 334:
Seite 335 und 336:
Seite 337 und 338:
Seite 339 und 340:
Entwerfen sicherer administrativer
Seite 341 und 342:
Zusammenfassung 315 • Sichern Sie
Seite 343 und 344:
Verwandte Tools Zusätzliche Ressou
Seite 345 und 346:
319 K A P I T E L 9 Delegieren der
Seite 347 und 348:
Zugreifen auf Active Directory-Obje
Seite 349 und 350:
Active Directory-Objektberechtigung
Seite 351 und 352:
Seite 353 und 354:
Seite 355 und 356:
Seite 357 und 358:
Seite 359 und 360:
Seite 361 und 362:
Seite 363 und 364:
Seite 365 und 366:
Delegieren von Verwaltungsaufgaben
Seite 367 und 368:
Überwachen der Verwendung von Admi
Seite 369 und 370:
Seite 371 und 372:
Seite 373 und 374:
Tools für die delegierte Verwaltun
Seite 375 und 376:
Zusammenfassung 349 Um den erforder
Seite 377 und 378:
351 K A P I T E L 1 0 Verwalten von
Seite 379 und 380:
Verwalten von Benutzern 353 Beim Er
Seite 381 und 382:
Verwalten von Benutzern 355 Tabelle
Seite 383 und 384:
Verwalten von Benutzern 357 Benutze
Seite 385 und 386:
Verwalten von Benutzern 359 Sie kö
Seite 387 und 388:
Verwalten von Gruppen 361 Wenn Sie
Seite 389 und 390:
Verwalten von Gruppen 363 Hinweis D
Seite 391 und 392:
Standardgruppen in Active Directory
Seite 393 und 394:
Verwalten von Gruppen 367 Tabelle 1
Seite 395 und 396:
Verwalten von Gruppen 369 Die globa
Seite 397 und 398:
Verwalten von Computern 371 Diese O
Seite 399 und 400:
Verwalten von Druckerobjekten Verwa
Seite 401 und 402:
Verwalten von Druckerobjekten 375 M
Seite 403 und 404:
Verwalten von veröffentlichten fre
Seite 405 und 406:
Automatisieren der Active Directory
Seite 407 und 408:
Seite 409 und 410:
Seite 411 und 412:
Seite 413 und 414:
Seite 415 und 416:
Zusätzliche Ressourcen 389 • Ver
Seite 417:
Zusätzliche Ressourcen 391 • Bei
Seite 420 und 421:
394 Kapitel 11: Einführung in Grup
Seite 422 und 423:
Seite 424 und 425:
Seite 426 und 427:
Seite 428 und 429:
Seite 430 und 431:
Seite 432 und 433:
Seite 434 und 435:
Seite 436 und 437:
Seite 438 und 439:
Seite 440 und 441:
Seite 442 und 443:
Seite 444 und 445:
Seite 446 und 447:
Seite 448 und 449:
Seite 450 und 451:
Seite 452 und 453:
Seite 454 und 455:
Seite 456 und 457:
Seite 458 und 459:
Seite 460 und 461:
Seite 462 und 463:
Seite 464 und 465:
Seite 466 und 467:
Seite 468 und 469:
Seite 470 und 471:
Seite 472 und 473:
Seite 475 und 476:
449 K A P I T E L 1 2 Einsetzen von
Seite 477 und 478:
Desktopverwaltung mithilfe von Grup
Seite 479 und 480:
Verwalten von Benutzerdaten und Pro
Seite 481 und 482:
Seite 483 und 484:
Seite 485 und 486:
Seite 487 und 488:
Seite 489 und 490:
Seite 491 und 492:
Seite 493 und 494:
Seite 495 und 496:
Seite 497 und 498:
Administrative Vorlagen Administrat
Seite 499 und 500:
Administrative Vorlagen 473 Abbildu
Seite 501 und 502:
Administrative Vorlagen 475 Hinweis
Seite 503 und 504:
Verwalten der Benutzerumgebung mith
Seite 505 und 506:
Bereitstellen von Software mithilfe
Seite 507 und 508:
Seite 509 und 510:
Seite 511 und 512:
Seite 513 und 514:
Seite 515 und 516:
Seite 517 und 518:
Seite 519 und 520:
Seite 521 und 522:
Seite 523 und 524:
Übersicht über Gruppenrichtlinien
Seite 525 und 526:
Seite 527 und 528:
Seite 529 und 530:
Zusammenfassung 503 Abbildung 12.27
Seite 531 und 532:
505 K A P I T E L 1 3 Einsetzen von
Seite 533 und 534:
Konfigurieren der Domänensicherhei
Seite 535 und 536:
Seite 537 und 538:
Seite 539 und 540:
Seite 541 und 542:
Seite 543 und 544:
Seite 545 und 546:
Seite 547 und 548:
Seite 549 und 550:
Verstärken der Serversicherheit mi
Seite 551 und 552:
Seite 553 und 554:
Seite 555 und 556:
Konfigurieren der Netzwerksicherhei
Seite 557 und 558:
Seite 559 und 560:
Seite 561 und 562:
Konfigurieren von Sicherheitseinste
Seite 563 und 564:
Konfigurieren von Sicherheitseinste
Seite 565:
Zusammenfassung Zusammenfassung 539
Seite 569 und 570:
543 K A P I T E L 1 4 Überwachen u
Seite 571 und 572:
Überwachen von Active Directory 54
Seite 573 und 574:
Seite 575 und 576:
Seite 577 und 578:
Seite 579 und 580:
Seite 581 und 582:
Seite 583 und 584:
Seite 585 und 586:
Seite 587 und 588:
Seite 589 und 590:
Seite 591 und 592:
Seite 593 und 594:
Verwalten der Active Directory-Date
Seite 595 und 596:
Seite 597 und 598:
Seite 599:
Zusätzliche Ressourcen 573 • Der
Seite 602 und 603:
576 Kapitel 15: Active Directory-No
Seite 604 und 605:
Seite 606 und 607:
Seite 608 und 609:
Seite 610 und 611:
Seite 612 und 613:
Seite 614 und 615:
Seite 616 und 617:
Seite 618 und 619:
Seite 620 und 621:
Seite 622 und 623:
Seite 624 und 625:
Seite 626 und 627:
Seite 628 und 629:
Seite 630 und 631:
Seite 632 und 633:
Seite 634 und 635:
Seite 637 und 638:
611 K A P I T E L 1 6 Active Direct
Seite 639 und 640:
AD LDS - Übersicht 613 • Unterne
Seite 641 und 642:
AD LDS - Architektur und Komponente
Seite 643 und 644:
Seite 645 und 646:
Seite 647 und 648:
Seite 649 und 650:
Seite 651 und 652:
Seite 653 und 654:
Seite 655 und 656:
Seite 657 und 658:
Implementieren der AD LDS 631 Abbil
Seite 659 und 660:
Implementieren der AD LDS 633 Abbil
Seite 661 und 662:
Implementieren der AD LDS 635 Um e
Seite 663 und 664:
Implementieren der AD LDS 637 Tabel
Seite 665 und 666:
Implementieren der AD LDS 639 4. Le
Seite 667 und 668:
Implementieren der AD LDS 641 Siche
Seite 669 und 670:
Konfigurieren der AD DS- und AD LDS
Seite 671 und 672:
Konfigurieren der AD DS- und AD LDS
Seite 673 und 674:
Zusätzliche Ressourcen Zusätzlich
Seite 675 und 676:
649 K A P I T E L 1 7 Active Direct
Seite 677 und 678:
Active Directory-Zertifikatdienste
Seite 679 und 680:
Seite 681 und 682:
Zertifikatsperrlisten Active Direct
Seite 683 und 684:
Seite 685 und 686:
Installieren von AD CS-Stammzertifi
Seite 687 und 688:
Implementieren der AD CS 661 Hardwa
Seite 689 und 690:
Implementieren der AD CS 663 Die Ba
Seite 691 und 692:
Implementieren der AD CS 665 2. Kli
Seite 693 und 694:
Implementieren der AD CS 667 Die hi
Seite 695 und 696:
Implementieren der AD CS 669 Wurde
Seite 697 und 698:
Implementieren der AD CS 671 Um in
Seite 699 und 700:
Konfigurieren von Zertifikatvorlage
Seite 701 und 702:
Verwalten von Zertifikaten in den A
Seite 703 und 704:
Seite 705 und 706:
Seite 707 und 708:
Entwerfen einer AD CS-Implementieru
Seite 709 und 710:
Seite 711 und 712:
Seite 713 und 714:
Zusammenfassung 687 Ausstellungssic
Seite 715:
Verwandte Informationen Zusätzlich
Seite 718 und 719:
692 Kapitel 18: Active Directory-Re
Seite 720 und 721:
Seite 722 und 723:
Seite 724 und 725:
Seite 726 und 727:
Seite 728 und 729:
Seite 730 und 731:
Seite 732 und 733:
Seite 734 und 735:
Seite 736 und 737:
Seite 738 und 739:
Seite 740 und 741:
Seite 742 und 743:
Seite 744 und 745:
Seite 746 und 747:
Seite 748 und 749:
Seite 750 und 751:
Seite 752 und 753:
Seite 754 und 755:
Seite 756 und 757:
Seite 758 und 759:
732 Kapitel 19: Active Directory-Ve
Seite 760 und 761:
Seite 762 und 763:
Seite 764 und 765:
Seite 766 und 767:
Seite 768 und 769:
Seite 770 und 771:
Seite 772 und 773:
Seite 774 und 775:
Seite 776 und 777:
Seite 778 und 779:
Seite 780 und 781:
Seite 782 und 783:
Seite 784 und 785:
Seite 786 und 787:
Seite 788 und 789:
Seite 790 und 791:
Seite 792 und 793:
Seite 794 und 795:
Seite 796 und 797:
Seite 798 und 799:
Seite 800 und 801:
Seite 802 und 803:
Seite 804 und 805:
778 Stichwortverzeichnis Active Dir
Seite 806 und 807:
780 Stichwortverzeichnis Authentifi
Seite 808 und 809:
782 Stichwortverzeichnis Datenbanke
Seite 810 und 811:
784 Stichwortverzeichnis Domänenco
Seite 812 und 813:
786 Stichwortverzeichnis Replikatio
Seite 814 und 815:
788 Stichwortverzeichnis IPconfig.e
Seite 816 und 817:
790 Stichwortverzeichnis Messaging
Seite 818 und 819:
792 Stichwortverzeichnis Objekte (F
Seite 820 und 821:
794 Stichwortverzeichnis Replikatio
Seite 822 und 823:
796 Stichwortverzeichnis Sicherheit
Seite 824 und 825:
798 Stichwortverzeichnis T TCP-IP-N
Seite 826 und 827:
800 Stichwortverzeichnis Verwaiste
Seite 828 und 829:
802 Stichwortverzeichnis Mitgliedsc
Seite 830 und 831:
804 Über die Autoren Byron Wright
Alle anzeigen

Active Directory.pdf - Gattner

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?