Technik News - ITwelzel.biz

Weitere Magazine

Empfehlungen

Info

DDie Directory-Database ist Bestandteil der Registry. Unter HKEY_LOCAL_MACHINE (HKLM) finden Sie einen Eintrag, der SAM bzw. SECURITY lautet. Diese sind zunächst auch für den Administrator nicht zugänglich. Unter dem Menü Security des Registryeditors lassen sich die notwendigen Rechte für den Administrator in gewohnter Explorerweise zuweisen. In diesem Subkey dürfen auf keinen Fall Änderungen vorgenommen werden. Hier sind nicht nur die Keys der User und Gruppen, der Verbindungen untereinander, der Paßwörter, Trusts und Computeraccounts abgelegt, sondern auch die notwendigen System-Accounts und deren Berechtigungen. Eine wahllose Veränderung der Schlüssel und Werte hätte katastrophale Folgen für das Betriebssystem. Diese Informationen werden zunächst auf dem Primären Domain Controller (PDC) als Master-Database aktuell gehalten. Die Veränderungen, die der Administrator beispielsweise im User- oder Servermanager speichert, werden hier sofort eingetragen. P R A X I S pP R A X I S WORKSHOP TEIL VII NT4.0 Registry entschlüsselt Netzwerkeinstellungen optimieren Von Olivier Plein Die Registry beinhaltet eine Vielfalt von Einstellungsmöglichkeiten. Abgesehen von den einzelnen Protokollen und den Session-Parametern, lassen sich aber auch Werte verändern, die der Kommunikation der Domain-Controller untereinander dienen. Im letzten Beitrag unseres Workshops wollen wir uns den Abgleich der Directory-Database, also der Userdatenbank, einmal genauer anschauen. Backup-Domain-Controller Zur Entlastung der Logon-Anfragen der Clients könnten Sie einen oder mehrere Backup-Domain-Controller (BDC) in Ihr System integrieren. Diese halten eine Kopie der Directory-Database vor und können bei Ausfall des PDC - nach manuellem Wechsel - dessen Rolle übernehmen. Diese Replica-Database auf dem BDC muß natürlich eine identische Kopie der Datenbank des PDC sein. Unter dem Subkey HKLM\System\CurrentControlSet\Ser vices\Netlogon\Parameters finden Sie die Werte, die für die Aktualisierung dieser Replica zuständig sind. Es wird dabei zwischen einer Gesamt-aktualisierung (Full) und einer Teilaktualisierung (Partiell) unterschieden. Eine Übertragung der gesamten Daten ist normalerweise nur bei der Erstinstallation des BDC notwendig, kann aber auch unter dem Key Update mit dem Wert Yes (Default: NO) als Standardabgleich eingetragen werden. Dies ist aber nur selten erforderlich. 42 42 12 Änderungen synchronisieren Nach Veränderungen der Directory-Database, z.B. durch Ändern eines Paßwortes, benachrichtigt der PDC mit Ablauf der unter dem Key Pulse eingetragenen Sekunden (Default: 300), seine untergeordneten Helfer. Natürlich werden nur die BDC informiert, die diese Änderung noch nicht abgeholt haben. Dazu führt der PDC eine interne Liste und informiert immer nur eine unter dem Key PulseConcurrency (Default: 20) definierte maximale Anzahl von BDC gleichzeitig. Dadurch wird ein Engpaß beim Abholen der Daten vermieden. Unterstützt wird dies durch eine unter Randomize definierte Zeitspanne, mit der sich der BDC dann zufallsgesteuert beim PDC meldet. Sollte dies erst nach einer vorgegebenen Zeit (PulseTime Out1) geschehen, wird dieser BDC als „nonresponsive“ gekennzeichnet und ein anderer noch nicht abgeglichener BDC über die abzuholende Änderung informiert. Dabei hat jeder BDC maximal eine unter Pul seTimeOut2 vorgegebene Zeit für die Vervollständigung seiner partiellen Synchronisation einzuhalten. Braucht er länger, wird er vorläufig ebenfalls als „nonre-sponsive“ markiert, kann sich aber erneut verbinden und nochmals die entsprechende Zeitspanne nutzen. Dadurch wird gewährleistet, daß bei einer großen Anzahl von BDC die Verbindungskanäle (RPC) auch für andere Rechner wieder frei werden. WAN-Links Kritisch könnte diese integrierte Funktion bei Verwendung eines WAN-Links werden. Steht auf dieser Verbindung nicht die nötige Band-breite zur Verfügung, hat der BDC nicht die Möglichkeit, seine Datenbank vollständig zu aktualisieren. Sollten die notwendigen Änderungen gänzlich mit dem PDC differieren, wird sowieso ein voller Abgleich notwendig, für den aber dann beispielsweise in den Nachtstunden Bandbreite geschaffen werden kann. Der Wert ReplicationGovernor gibt den anteiligen Ausgabe 12/97
Abb1: Änderung der Common.adm für den Wert NoDrives Abb2: Änderung der Common.adm im Bereich [Strings] Abb3: Veränderte Wahlmöglichkeit im Policyeditor Prozentsatz der Paketgröße (Default: 128kb) und der TimeOut-Werte an. Beim Wert 50 werden also nur 64kb- Buffer-Frames versendet und nach der halben (50%) PulseTimeOut2-Zeit die Verbindung wieder getrennt. Der Wert 0 gibt an, daß keine Syn-chronisation erfolgen soll. Mit einem Scheduler (AT, WinAT) könnten Sie beispielsweise eine Batchdatei abarbeiten, die den Ausgabe 12/97 43 43 Registry-Wert tagsüber auf unter 25 setzt und nachts dann erhöht. Dazu ist der Netlogon-Dienst zu stoppen und wieder zu starten. Diese Lösung ist nicht für Netzwerke zu empfehlen, die möglichst schnell die entsprechenden Änderungen auf der entgegenge-setzten WAN-Lokation benötigen. 12 Laufwerke verbergen Auf besonderen Leserwunsch möchte ich zum Abschluß gerne hier noch das Problem der Absicherung von Laufwerken behandeln. Jeder Administrator, der beispielsweise mit dem Policy-Editor versucht, Laufwerke zu verstecken, wird feststellen, daß dies nur für alle lokalen bzw. Netzwerklaufwerke möglich ist. Mit einem kleinen Trick jedoch können Sie z.B. nur das Diskettenlaufwerk vor Userzugriffen schützen. Die entsprechende Optionsbox in der Policy DefaultUser/ Shell/Restrictions/HideDrives in My Computer schaltet auf Seiten der Registry unter HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer den Schalter NoDrives (REG_DWORD) entweder auf 0 oder auf 67108863. Die Möglichkeiten zwischen diesen beiden Grenzwerten werden hier gar nicht genutzt. Dabei sollten Sie sich zunächst alle 26 Buchstaben des Alphabets mit Z von links beginnend, hintereinander aufschreiben. Für alle sichtbaren Laufwerke schreiben Sie eine 0 unter den entsprechenden Buchstaben, für ein verborgenes Laufwerk eine 1. Wenn wir also nur das Diskettenlaufwerk A: verstecken wollen, wären das 25 Nullen und ganz rechts eine 1. Diesen ermittelten Wert tragen wir als Binärwert im genannten Schlüssel ein. Nach einem erneuten Login des gerade angemeldeten Users wird das Floppylaufwerk im Explorer und im Ordner „My Computer“ nicht mehr sichtbar sein. Doch Achtung! Zugriffe auf die Floppy sind u.a. immer noch unter Start-Run oder im DOS-Fenster möglich. Diese Funktionen sollten ebenfalls re-stringiert werden. An dieser Stelle ist die Frage nach der Übertragbarkeit unseres erfolgreichen Tests auf den Policy-Editor berechtigt. Dazu müssen wir die Vorlagedatei common.adm im Verzeichnis system32\inf nachbearbeiten (Sicherheitskopie anfertigen). Suchen Sie nach dem Eintrag NoDrives und verändern Sie diesen wie in Abb. 1 dargestellt. Die neuen Einträge in Abb. 2 müssen am Ende dieser Datei unter der Sektion [Strings] angefügt werden. Nach erneutem Aufruf des Menüs Option-PolicyTempla-te und anschließendem OK im Policy-Editor, werden die neuen Werte eingelesen und sind danach verfügbar. Jetzt können Sie die oben ermittelte Binärzahl, die auch ohne weiteres in eine Hex- oder Dezi-malzahl umgewandelt werden kann, im verfügbaren Feld (Abb. 3) eintragen. Für Fragen bezüglich der Registry stehe ich Ihnen gerne unter oplein@compu-shack.com zur Verfügung. Nochmals herzlichen Dank für die zahlreichen E-Mails.
Seite 1 und 2: Technik News - Netzwerkmagazin N 12
Seite 3 und 4: Ausgabe 12/97 COMPU-SHACK PROJEKTMA
Seite 5 und 6: E Ausgabe 12/97 PARTNER IM PROJEKT-
Seite 7 und 8: lungen, weiter in die Breite zu geh
Seite 9 und 10: konnte ein Drucker direkt mit dem P
Seite 11 und 12: MMicrosoft stellt für die Bedürfn
Seite 13 und 14: lassen sich auch lokale Verzeichnis
Seite 15 und 16: NNovells Produktstrategie zielt una
Seite 17 und 18: Ausgabe 12/97 Barcode-Leser Der Bar
Seite 19 und 20: Übersicht en des Microsoft Office
Seite 21 und 22: WSUPDATE für 16- und ACU für 32-B
Seite 23 und 24: Die Dummheit der Schildbürger ist
Seite 25 und 26: muß doppelt angenommene Pakete aus
Seite 27 und 28: Verbindungen zu Gruppen zusammen, u
Seite 29 und 30: ten Bits des Host-ID Parts hängt v
Seite 31 und 32: Ausgabe 12/97 31 31 12
Seite 33 und 34: D Ausgabe 12/97 AVM Maskerade Servi
Seite 35 und 36: Z Frage: Sind häufige Timeouts bei
Seite 37 und 38: geladen ist - geben Sie statt MODU-
Seite 39 und 40: DDas reine Einwählen zu T-Online m
Seite 41: Ausgabe 12/97 Neue Patches in der
Seite 45 und 46: scher Breite kilobytegroße Grafike
Seite 47 und 48: geschaltet wird, werden Accounting-
Seite 49 und 50: Novell stellt mit der IntranetWare

Technik News - ITwelzel.biz

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?